Replica di Active Directory

Gli amministratori IT lavorano con e intorno a Active Directory dalla presentazione della tecnologia in Windows 2000 Server. Windows 2000 Server è stato rilasciato il 17 febbraio 2000, ma molti amministratori hanno iniziato a lavorare con Active Directory alla fine del 1999, quando è stato rilasciato per la produzione (RTM) il 15 dicembre 1999.

In questa parte del nostro tutorial parleremo della replica di AD.

Replica di Active Directory

La replica di Active Directory è il metodo di trasferimento e aggiornamento degli oggetti di Active Directory da un DC a un altro DC.

Le connessioni tra i DC sono costruite in base alla loro posizione all'interno di una forest e sito. Ogni sito in Active Directory contiene una o più subnet, che identificano l'intervallo di indirizzi IP associati al sito. Mappando l'indirizzo IP di un DC a una subnet, Active Directory sa quali DC si trovano in quale sito. Le connessioni sono configurate tra i siti per garantire che gli oggetti di Active Directory siano replicati tra i siti.

Tecnologie

La replica di Active Directory si basa sulle seguenti technologies per operare con successo:

1. DNS
2. Chiamata di procedura remota (RPC)
3. SMTP (opzionale)
4. Kerberos
5. LDAP

Componenti principali

Ci sono quattro componenti principali della replica in Active Directory:

• Replica multimaster

La replica multimaster, a differenza della replica a singolo master utilizzata in Windows NT 4.0, garantisce che ogni domain controller possa ricevere aggiornamenti per gli oggetti di cui è autoritativo. Ciò fornisce tolleranza ai guasti all'interno di un ambiente Active Directory.

• Replica pull

La replica pull garantisce che i DC richiedano le modifiche degli oggetti invece che queste vengano inviate (soprattutto in modo non necessario). Il pull riduce leggermente il traffico di replica tra i DC.

• Replica store-and-forward

La replica store-and-forward garantisce che ogni DC comunichi con un sottoinsieme di DC per trasferire le modifiche agli oggetti che si sono verificate. Con la store-and-forward, ogni DC comunicherebbe con ogni altro DC, il che è inefficiente. La replica store-and-forward bilancia il carico di replica tra i DC all'interno di un ambiente Active Directory.

• Replica basata sullo stato

La replica basata sullo stato garantisce che ogni DC tenga traccia dello stato degli aggiornamenti di replica, eliminando conflitti e repliche non necessarie.

Gestione della replica

La replica è gestita dal Knowledge Consistency Checker (KCC).

Il KCC gestisce la replica tra i DC in un unico sito utilizzando connessioni create automaticamente. Il KCC legge i dati di configurazione e legge e scrive oggetti di connessione per i DC. Il KCC utilizza solo RPC per comunicare con il servizio di directory.

La replica intrasito non utilizza la compressione e le modifiche vengono inviate immediatamente ai DC. Tuttavia, la replica intersito si basa su collegamenti definiti dall'utente che devono essere creati. Il KCC utilizza questi collegamenti per creare una topologia in modo che la replica sia gestita attraverso i collegamenti sito-a-sito.

È possibile controllare le connessioni dei siti secondo un programma e i dati di replica vengono compressi per ridurre al minimo l'utilizzo della larghezza di banda. Il programma di replication schedule predefinito per le connessioni sito-a-sito è di 180 minuti il che è generalmente troppo lungo per la stragrande maggioranza delle organizzazioni. Questo può essere configurato fino a un minimo di 15 minuti nell'interfaccia utente grafica, e anche più velocemente modificando il registro.

La dimensione del pacchetto di replica viene calcolata in base alla quantità di RAM nel DC. Per impostazione predefinita, i limiti della dimensione del pacchetto sono 1/100^esima della dimensione della RAM, con un minimo di 1 MB e un massimo di 10 MB. Inoltre, il numero massimo di oggetti in un pacchetto è 1/1.000.000^esima della dimensione della RAM del sistema, con un minimo di 100 oggetti e un massimo di 1.000 oggetti. Pertanto, nei server moderni che hanno più di 1 GB di RAM, le dimensioni dei pacchetti di replica conterranno fino a 10 MB di dati o fino a 1.000 oggetti. La dimensione massima del pacchetto e il limite degli oggetti possono essere configurati modificando il registro nella posizione HKEY_LOCAL_MACHINESystemCurrentControlSetServicesNTDSParameters.

Componenti primari di replica

I seguenti sono componenti i primary replication components:

• Knowledge Consistency Checker (KCC)

Il KCC è un processo che viene eseguito su ogni DC e comunica direttamente con Ntdsa.dll per leggere e scrivere oggetti di replica.

• Directory System Agent (DSA)

Il DSA è un componente del servizio di directory che viene eseguito come Ntdsa.dll su ogni DC. Fornisce un'interfaccia per i servizi e i processi per leggere il database della directory.

• Extensible Storage Engine (ESE)

L'ESE gestisce i record del database di directory, che possono contenere una o più colonne.

• Remote Procedure Call (RPC)

La replica delle Directory viene comunicata utilizzando il protocollo RPC. RPC è un protocollo di comunicazione che consente agli sviluppatori di eseguire codice su un sistema locale o remoto senza dover sviluppare codice specifico per l'esecuzione remota. Il KCC utilizza anche RPC per comunicare con i DC per richiedere informazioni durante la costruzione di una topologia di replica.

• Intersite Topology Generator (ISTG)

The ISTG manages the intersite inbound replication connection objects for a specific site. There is one ISTG server in each site. By default, the first DC in each site is the ISTG. To find the ISTG in a site named HQ in a domain named tailspintoys.com, you can run the Get- ADObject -Identity “cn=NTDS Site Settings,cn=HQ,cn=sites,cn=configuration,dc=tailspintoys,dc=com” -Properties interSiteTopologyGenerator |Select interSiteTopologyGenerator Windows PowerShell command.

Gli oggetti di Active Directory utilizzati dal KCC e dai suoi componenti includono:

• Siti

I siti sono oggetti di Active Directory nella classe sito, che corrispondono alle subnet in un dato sito.

• Sottoreti

Gli oggetti subnet si trovano nella classe subnet e definiscono la sottorete IP di rete che corrisponde a un sito.

• Server

Un oggetto server, nella classe server, rappresenta i computer server, inclusi i DC. Gli oggetti server sono trattati come principali di sicurezza che sono memorizzati in una partizione di directory separata e hanno identificatori univoci globali (GUID) separati.

• Impostazioni NTDS

Gli oggetti delle impostazioni NTDS si trovano nella classe nTDSDSA e rappresentano un'istanza di Active Directory su un DC specifico.

• Connessioni

Gli oggetti di connessione si trovano nella classe nTDSConnection e definiscono un percorso unidirezionale in entrata da un DC sorgente al DC che memorizza l'oggetto di connessione.

• Collegamenti del sito

Gli oggetti Site Link appartengono alla classe siteLink e identificano il protocollo e la pianificazione per replicare i dati tra due o più siti.

• Impostazioni del sito NTDS

Gli oggetti NTDS Site Setting si trovano nella classe nTDSSiteSettings e identificano le impostazioni valide per l'intero sito in Active Directory. Esiste un solo oggetto NTDS Site Settings per sito nel contenitore Sites.

• Cross-reference

Gli oggetti di riferimento incrociato si trovano nella classe crossRef e memorizzano la posizione delle partizioni di Active Directory nel contenitore Partitions.

Il diagramma sottostante mostra un tipico ambiente Active Directory a due siti con alcuni dei componenti di replica.

Comandi e strumenti di replica

A partire da Windows PowerShell in Windows Server 2012, ci sono 25 cmdlet per gestire specificamente la replica di Active Directory. Questi cmdlet offrono funzionalità come la visualizzazione delle informazioni di replica, la configurazione dei siti, la gestione dei collegamenti dei siti e il forcing della replica.

Lo strumento da riga di comando RepAdmin.exe è disponibile anche per fornire informazioni e configurare la replica di Active Directory.

Un altro strumento di replica è lo Active Directory Replication Status Tool. È disponibile su http://www.microsoft.com/en-us/download/details.aspx?id=30005. Puoi utilizzarlo per analizzare e risolvere problemi di replica di Active Directory.

Ulteriori informazioni sui basi di Active Directory le troverai nel nostro AD tutorial for beginners.