Design de replicação do Active Directory

Navegue suas respostas
2

Primer / Ambiente:

  • Sites: Santa Clara (data center), São Francisco (escritório), Seattle (escritório), Boston (escritório)
  • Dois controladores de domínio em cada site.
  • Todos os sites podem falar com São Francisco, mas não entre si.
  • Nenhum outro serviço é compartilhado / fornecido para os sites.
  • Apenas autenticação AD / LDAP
  • As sub-redes IP são atribuídas em sites e serviços do AD
  • O primeiro site padrão é usado em São Francisco

Problema:

Quando surge um novo DC, cria uma conexão com um site / DC com o qual ele não pode falar. Por exemplo: Um novo DC em San Jose, vamos chamá-lo SJC-DC02 tem uma conexão com um DC em Seattle, SEA-01 MAS ele não pode realmente se conectar ao SEA-01. Só pode (por design) falar com SFO-DC01 e SFO-DC02. Eu estou tendo que criar manualmente as conexões de SJC-DC02 para SFO-DC01 e SFO-DC02.

Pergunta 1:

Como faço para me livrar dessas conexões "geradas automaticamente" de uma vez por todas? (Eles voltam se você simplesmente os exclua)

Pergunta 2:

Lembre-me, todas as conexões devem ser bidirecionais? Exemplo: SJC-DC02 para SFO-DC01 e SFO-DC02, bem como SFO-DC01 para SJC-DC02 e SFO-DC02 para SJC-DC02

    
por Aaron Wurthmann 14.11.2014 / 01:16

2 respostas

2

Vou começar com uma suposição: estou supondo, com base em seus pontos, que você criou objetos Site e Sub-rede no Active Directory (AD) que representam suas localizações físicas e sub-redes. Se você não tem essa é a coisa primeiro que você precisa fazer.

Você realmente deve permitir que o AD crie conexões de replicação automaticamente. Eu entendo por que você está superando isso, mas felizmente a Microsoft já explicou o cenário que você tem. Fazer uma alteração de configuração deve fazer com que funcione corretamente com conexões geradas automaticamente.

Por padrão, o AD pressupõe conectividade de rede transitiva em toda a sua empresa. Ou seja, considera que as ligações entre sites são "interligadas".

Sua situação, no entanto, faz com que essa suposição seja inválida. Desativar a opção "Conectar todos os links de sites" fará com que o AD criar uma topologia de replicação que pressuponha conectividade de rede apenas entre sites diretamente adjacentes.

Se tiver paciência, você pode fazer essa alteração no site "hub" e aguardar que o AD replique a alteração. Você também pode forçar a replicação. Depois que as cópias do AD nos outros sites receberem a alteração, você poderá excluir os objetos de conexão criados manualmente e forçar o Verificador de Consistência de Conhecimento (KCC) para recalcular a topologia de replicação (com a função "Verificar Topologia de Replicação"). Você deve ver o AD criar automaticamente uma topologia de replicação que atenda aos seus requisitos.

Se você acabar com a conectividade de rede transitiva parcial em sua rede, poderá usar sempre o " Site Link Bridge " funcionalidade para informar AD desta transitividade parcial. Se você continuar a ter conectividade intransitiva, no entanto, não precisa se preocupar com isso.

Para responder à sua segunda pergunta:

As conexões de replicação são unidirecionais. Se você continuar a criá-los manualmente, precisará ter certeza de que tem uma conexão de replicação para cada partição do diretório "apontada" em ambas as direções de cada site.

Eu acho que você deveria tentar trabalhar com geração de topologia automática. Você ficará satisfeito com isso assim que estiver funcionando corretamente.

    
por 14.11.2014 / 01:24
2

Isso é o que é comumente chamado de topologia "hub and spoke"; você deve informar ao Active Directory como ele é e, em seguida, o próprio AD cuidará da configuração das conexões de replicação de acordo.

Para que isso funcione, você precisa definir vários sites:

  • Crie um site do Active Directory para cada cidade.
  • Mapeie as sub-redes IP locais para cada site.
  • Defina links de site entre cada site e São Francisco.
  • Coloque os controladores de domínio já existentes em seus respectivos sites.

Quando você adiciona um novo DC ao domínio, ele detecta o site ao qual ele pertence (com base em sua sub-rede IP) e automaticamente define suas conexões de replicação da maneira mais apropriada, ou seja, para outros controladores domanin no mesmo site e / ou para controladores de domínio no site central de São Francisco.

    
por 14.11.2014 / 01:27

Tags

A execução do comando “find” gera alta carga É possível substituir um GPO que não tenha uma opção 'Ativado' ou 'Desativado'?