Concetti di replica di Active Directory
Prima di progettare la topologia del sito, acquisire familiarità con alcuni concetti di replica di Active Directory.
Oggetto Connection
Oggetto Connection
Un oggetto connessione è un oggetto Active Directory che rappresenta una connessione di replica da un controller di dominio di origine a un controller di dominio di destinazione. Un controller di dominio è un membro di un singolo sito ed è rappresentato nel sito da un oggetto server in Active Directory Domain Services (AD DS). Ogni oggetto server ha un oggetto Impostazioni NTDS figlio che rappresenta il controller di dominio di replica nel sito.
L'oggetto connessione è un elemento figlio dell'oggetto Impostazioni NTDS nel server di destinazione. Affinché la replica si verifichi tra due controller di dominio, l'oggetto server di uno deve avere un oggetto connessione che rappresenta la replica in ingresso dall'altro. Tutte le connessioni di replica per un controller di dominio vengono archiviate come oggetti connessione nell'oggetto Impostazioni NTDS. L'oggetto connessione identifica il server di origine della replica, contiene una pianificazione della replica e specifica un trasporto di replica.
Gli oggetti connessione vengono creati automaticamente da Controllo di coerenza informazioni (KCC), ma possono essere creati anche manualmente. Gli oggetti connessione creati da KCC vengono visualizzati nello snap-in Siti e servizi di Active Directory come <generati automaticamente> e vengono considerati adeguati in condizioni operative normali. Gli oggetti connessione creati da un amministratore sono oggetti connessione creati manualmente. Un oggetto connessione creato manualmente viene identificato dal nome assegnato dall'amministratore al momento della creazione. Quando si modifica un oggetto connessione <generato automaticamente>, lo si converte in un oggetto connessione modificato in modo amministrativo e l'oggetto viene visualizzato sotto forma di GUID. KCC non apporta modifiche agli oggetti connessione manuali o modificati.
KCC
KCC è un processo predefinito che viene eseguito in tutti i controller di dominio e genera la topologia di replica per la foresta Active Directory. KCC crea topologie di replica separate a seconda che la replica si stia verificando all'interno di un sito (intrasito) o tra siti (intersito). KCC regola inoltre in modo dinamico la topologia, in modo da supportare l'aggiunta di nuovi controller di dominio, la rimozione dei controller di dominio esistenti, lo spostamento dei controller di dominio da e verso siti, la modifica dei costi e le pianificazioni e i controller di dominio temporaneamente non disponibili o in uno stato di errore.
All'interno di un sito, le connessioni tra controller di dominio scrivibili vengono sempre disposte in un anello bidirezionale, con connessioni rapide aggiuntive per ridurre la latenza in siti di grandi dimensioni. D'altra parte, la topologia tra siti è una sovrapposizione di alberi che si estendono, il che significa che esiste una connessione tra due siti per ogni partizione di directory e in genere non contiene connessioni di collegamento. Per ulteriori informazioni sull'espansione di strutture ad albero e topologia di replica di Active Directory, vedere Active Directory replica topologia Technical Reference (https://go.microsoft.com/fwlink/?LinkID=93578).
In ogni controller di dominio KCC crea route di replica creando oggetti connessione in ingresso unidirezionale che definiscono le connessioni da altri controller di dominio. Per i controller di dominio nello stesso sito, KCC crea automaticamente oggetti di connessione senza intervento amministrativo. Quando si dispone di più siti, si configurano i collegamenti tra siti e un singolo KCC in ogni sito crea automaticamente le connessioni tra siti.
Miglioramenti KCC per controller di dominio di sola lettura Windows Server 2008
In Windows Server 2008 sono presenti numerosi miglioramenti KCC per il controller di dominio di sola lettura appena reso disponibile. Uno scenario di distribuzione tipico per il controller di dominio di sola lettura è la succursale. La topologia di replica di Active Directory più comunemente distribuita in questo scenario si basa su una progettazione hub e spoke, in cui i controller di dominio di succursale in più siti vengono replicati con un numero ridotto di server testa di ponte in un sito hub.
Uno dei vantaggi della distribuzione del controller di dominio di sola lettura in questo scenario è la replica unidirezionale. I server testa di ponte non sono necessari per la replica dal controller di dominio di sola lettura, riducendo così l'amministrazione e l'utilizzo della rete.
Tuttavia, una sfida amministrativa evidenziata dalla topologia hub e spoke nelle versioni precedenti del sistema operativo Windows Server è che, dopo aver aggiunto un nuovo controller di dominio testa di ponte nell'hub, non esiste alcun meccanismo automatico per ridistribuire le connessioni di replica tra i controller di dominio succursale e i controller di dominio hub per sfruttare i vantaggi del nuovo controller di dominio hub.
Per i controller di dominio di sola lettura di Windows Server 2008, il normale funzionamento del KCC offre alcuni ribilanciamenti. La nuova funzionalità è abilitata per impostazione predefinita. È possibile disabilitarla aggiungendo la seguente chiave del Registro di sistema impostata nel controller di dominio di sola lettura:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\Parameters
"Random BH Loadbalancing Allowed"1 = Enabled (default), 0 = Disabled
Per ulteriori informazioni sul funzionamento di questi miglioramenti KCC, vedere Pianificazione e distribuzione di Active Directory Domain Services per la succursale (https://go.microsoft.com/fwlink/?LinkId=107114).
Funzionalità failover
I siti assicurano che la replica venga instradata in caso di errori di rete e controller di dominio offline. KCC viene eseguito a intervalli specificati per regolare la topologia di replica per le modifiche che si verificano in Servizi di dominio Active Directory, ad esempio quando vengono aggiunti nuovi controller di dominio e vengono creati nuovi siti. KCC esamina lo stato di replica delle connessioni esistenti per determinare se le connessioni non funzionano. Se una connessione non funziona a causa di un controller di dominio non riuscito, KCC compila automaticamente le connessioni temporanee ad altri partner di replica (se disponibili) per garantire che la replica si verifichi. Se tutti i controller di dominio in un sito non sono disponibili, KCC crea automaticamente connessioni di replica tra controller di dominio da un altro sito.
Subnet
Una subnet è un segmento di una rete TCP/IP a cui viene assegnato un set di indirizzi IP logici. Le subnet raggruppano i computer in modo da identificarne la prossimità fisica nella rete. Gli oggetti subnet in Servizi di dominio Active Directory identificano gli indirizzi di rete usati per eseguire il mapping dei computer ai siti.
Sito
I siti sono oggetti di Active Directory che rappresentano una o più subnet TCP/IP con connessioni di rete altamente affidabili e veloci. Le informazioni sul sito consentono agli amministratori di configurare l'accesso e la replica di Active Directory per ottimizzare l'utilizzo della rete fisica. Gli oggetti sito sono associati a un set di subnet e ogni controller di dominio in una foresta è associato a un sito di Active Directory in base al relativo indirizzo IP. I siti possono ospitare controller di dominio da più domini e un dominio può essere rappresentato in più siti.
Collegamento sito
I collegamenti al sito sono oggetti Active Directory che rappresentano percorsi logici usati da KCC per stabilire una connessione per la replica di Active Directory. Un oggetto collegamento sito rappresenta un set di siti in grado di comunicare a costi uniformi tramite un trasporto tra siti specificato.
Tutti i siti contenuti nel collegamento sito vengono considerati connessi tramite lo stesso tipo di rete. I siti devono essere collegati manualmente ad altri siti usando collegamenti di sito in modo che i controller di dominio in un sito possano replicare le modifiche della directory dai controller di dominio in un altro sito. Poiché i collegamenti al sito non corrispondono al percorso effettivo eseguito dai pacchetti di rete nella rete fisica durante la replica, non è necessario creare collegamenti di sito ridondanti per migliorare l'efficienza della replica di Active Directory.
Quando due siti sono connessi da un collegamento al sito, il sistema di replica crea automaticamente connessioni tra controller di dominio specifici in ogni sito denominato server testa di ponte. In Windows Server 2008, tutti i controller di dominio in un sito che ospitano la stessa partizione di directory sono candidati per essere selezionati come server testa di ponte. Le connessioni di replica create da KCC vengono distribuite in modo casuale tra tutti i server testa di ponte candidati in un sito per condividere il carico di lavoro di replica. Per impostazione predefinita, il processo di selezione casuale viene eseguito una sola volta, quando gli oggetti di connessione vengono aggiunti per la prima volta al sito.
Ponte di collegamento di sito
Un ponte di collegamento di sito è un oggetto Active Directory che rappresenta un set di collegamenti al sito, tutti i cui siti possono comunicare utilizzando un trasporto comune. I ponti di collegamento di sito consentono ai controller di dominio che non sono connessi direttamente tramite un collegamento di comunicazione di replicarsi tra loro. In genere, un ponte di collegamento del sito corrisponde a un router (o a un set di router) in una rete IP.
Per impostazione predefinita, KCC può formare una route transitiva attraverso qualsiasi collegamento di sito che abbia alcuni siti in comune. Se questo comportamento è disabilitato, ogni collegamento di sito rappresenta la propria rete distinta e isolata. I set di collegamenti di sito che possono essere considerati come una singola route vengono espressi tramite un ponte di collegamento del sito. Ogni ponte rappresenta un ambiente di comunicazione isolato per il traffico di rete.
I ponti di collegamento del sito sono un meccanismo per rappresentare logicamente la connettività fisica transitiva tra siti. Un ponte di collegamento del sito consente a KCC di usare qualsiasi combinazione dei collegamenti di sito inclusi per determinare la route meno costosa per interconnettere le partizioni di directory contenute in tali siti. Il ponte di collegamento del sito non fornisce la connettività effettiva ai controller di dominio. Se il ponte di collegamento del sito viene rimosso, la replica sui collegamenti di sito combinati continuerà fino a quando KCC non rimuove i collegamenti.
I ponti di collegamento al sito sono necessari solo se un sito contiene un controller di dominio che ospita una partizione di directory non ospitata anche in un controller di dominio in un sito adiacente, ma un controller di dominio che ospita tale partizione di directory si trova in uno o più siti della foresta. I siti adiacenti sono definiti come due o più siti inclusi in un singolo collegamento di sito.
Un ponte di collegamento di sito crea una connessione logica tra due collegamenti di sito, fornendo un percorso transitivo tra due siti disconnessi usando un sito provvisorio. Ai fini del generatore della topologia tra siti (ISTG), il ponte implica la connettività fisica usando il sito provvisorio. Il ponte non implica che un controller di dominio nel sito provvisorio fornirà il percorso di replica. Tuttavia, questo potrebbe essere il caso se il sito provvisorio conteneva un controller di dominio che ospitava la partizione di directory da replicare, nel qual caso non è necessario un ponte di collegamento di sito.
Il costo di ogni collegamento al sito viene aggiunto, creando un costo sommato per il percorso risultante. Il ponte di collegamento del sito viene usato se il sito provvisorio non contiene un controller di dominio che ospita la partizione di directory e non esiste un collegamento di costo inferiore. Se il sito provvisorio contiene un controller di dominio che ospita la partizione di directory, due siti disconnessi configurano le connessioni di replica al controller di dominio provvisorio e non usano il ponte.
Transitività collegamento sito
Per impostazione predefinita, tutti i collegamenti del sito sono transitivi o "bridged". Quando i collegamenti di sito vengono collegati dal ponte e le pianificazioni si sovrappongono, KCC crea connessioni di replica che determinano i partner di replica del controller di dominio tra siti, dove i siti non sono connessi direttamente dai collegamenti di sito, ma in modo transitivo tramite un set di siti comuni. Ciò significa che è possibile connettere un sito qualsiasi a qualsiasi altro sito tramite una combinazione di collegamenti di sito.
In generale, per avere una rete completamente instradata, non è necessario creare alcun ponte di collegamento di sito, a meno che non si voglia controllare il flusso delle modifiche di replica. Se la rete non è completamente instradata, è necessario creare ponti di collegamento di sito per evitare tentativi di replica impossibili. Tutti i collegamenti di sito per un trasporto specifico appartengono in modo implicito a un singolo ponte di collegamento del sito per tale trasporto. Il bridging predefinito per i collegamenti di sito si verifica automaticamente e nessun oggetto Active Directory rappresenta tale ponte. L'impostazione Collega tramite bridge i collegamenti di sito, disponibili nelle proprietà dei contenitori di trasporto tra siti IP e SMTP (Simple Mail Transfer Protocol), implementa il bridging automatico del collegamento al sito.
Nota
La replica SMTP non sarà supportata nelle versioni future di AD DS; pertanto, la creazione di oggetti collegamento di sito nel contenitore SMTP non è consigliata.
Server di catalogo globale
Un server di catalogo globale è un controller di dominio che archivia informazioni su tutti gli oggetti nella foresta, in modo che le applicazioni possano eseguire ricerche in Servizi di dominio Active Directory senza fare riferimento a controller di dominio specifici che archiviano i dati richiesti. Analogamente a tutti i controller di dominio, un server di catalogo globale archivia repliche complete e scrivibili delle partizioni di directory di schema e configurazione e una replica scrivibile completa della partizione della directory di dominio per il dominio che ospita. Inoltre, un server di catalogo globale archivia una replica parziale di sola lettura di ogni altro dominio nella foresta. Le repliche di dominio parziali e di sola lettura contengono tutti gli oggetti nel dominio, ma solo un subset degli attributi (gli attributi usati più comunemente per la ricerca nell'oggetto).
Memorizzazione nella cache dell'appartenenza a gruppi universali
La memorizzazione nella cache dell'appartenenza a gruppi universali consente al controller di dominio di memorizzare nella cache le informazioni sull'appartenenza a gruppi universali per gli utenti. È possibile abilitare i controller di dominio che eseguono Windows Server 2008 per memorizzare nella cache le appartenenze a gruppi universali tramite lo snap-in Siti e servizi di Active Directory.
L'abilitazione della memorizzazione nella cache dell'appartenenza a gruppi universali elimina la necessità di avere un server di catalogo globale in ogni sito di un dominio, riducendo al minimo l'utilizzo della larghezza di banda di rete perché un controller di dominio non deve replicare tutti gli oggetti che si trovano nella foresta. Riduce anche i tempi di accesso perché i controller di dominio di autenticazione non devono sempre accedere a un catalogo globale per ottenere informazioni sull'appartenenza a gruppi universali. Per altre informazioni su quando usare la memorizzazione nella cache dell'appartenenza a gruppi universali, vedere Pianificazione del posizionamento del server di catalogo globale.