Active Directory Sites and Services && Subnet mapping
Hoje escrevo sobre optimização da Active Directory, Sites e Subnets.
Na Active directory é de extrema importância ter todas as subnets associadas a um Site, dado que a localização de um controlador de domínio (para efeitos de logon) depende de uma configuração coerente dos sites
e subnets.
Por vezes, ao criar exceções e/ou subnets que partilham endereços, alguns clientes ficam associados ao site errado. A resolução de conflitos, no que respeita às subnets e correspondente associação aos sites, funcionada da seguinte forma:
1 Floresta /1 Domínio > Teste.com
3 Sites > Site1 – Site2 – Site3
4 Subnets
1- 192.168.0.0/24 intervalo: (192.168.0.1- 192.168.0.254) -> Site1
2- 172.16.0.0/16 intervalo:(172.16.0.1 - 172.16.255.254) -> Site2
3- 10.0.0.0/24 intervalo: (10.0.0.1 - 10.0.0.254) -> Site3
4- 172.16.0.0/25 intervalo: (172.16.0.1 - 172.16.0.254) -> Site1
No exemplo anterior temos um conflito entre as subnets 2 e 4:
- 2 172.16.0.1 - 172.16.255.254
- 4 172.16.0.1 - 172.16.0.254
Os endereços IP’s entre 172.16.0.1 e 172.16.0.254 pertencem às duas subnets, sendo que cada uma delas está associada a um site diferente.
Aqui entra o mecanismo de resolução de conflitos e aplica-se uma regra que decide que a subnet com o menor intervalo de endereços, ou bit mais elevado, é a subnet vencedora.
Neste caso, todos os endereços entre 172.16.0.1 e 172.16.0.254 (correspondentes à subnet 172.16.0.0/25) serão associados ao SITE1.
Um cliente cujo endereço pertença a uma subnet que não esteja associada a um site vai escolher um controlador de domínio de forma aleatória. Temos sempre a possibilidade de nos basear nas mnemónicas DNS para limitar os locais onde um controlador de domínio vai escrever os seus registos SRV e/ou criar supernets e desta forma abranger a maioria dos clientes e associa-los a um site específico.
Brevemente num futuro post iremos discutir a localização de controladores de domínio de uma forma mais aprofundada, nomeadamente sobre o serviço NETLOGON que é o responsável, entre outras tarefas, pela localização dos controladores de domínio.