Magic Quadrant™ para gerenciamento de acesso privilegiado 2025: Netwrix reconhecida pelo quarto ano consecutivo. Baixe o relatório.

Fale conoscoSuporteCommunity
English Español Italiano Français Deutsch Português
Plataforma
Soluções

Data Security Posture Management

Descubra e classifique dados em ambientes híbridos. Avalie, priorize e mitigue riscos aos dados sensíveis.

Directory Management

Simplifique e proteja a administração de diretórios reduzindo a complexidade, o risco e o esforço manual.

Endpoint Management

Proteja endpoints e previna a perda de dados enquanto mantém as equipes produtivas — não importa onde trabalhem.

Identity Management

Proteja cada identidade, simplifique cada processo e mantenha-se à frente da conformidade — sem adicionar complexidade.

Identity Threat Detection & Response

Mantenha-se à frente de ameaças baseadas em identidade — remediação proativa de riscos, bloqueio de ataques e garantia de recuperação rápida.

Privileged Access Management

Reduza sua superfície de ataque eliminando privilégios permanentes, protegendo credenciais e monitorando sessões privilegiadas.
Produtos em destaque Ver todos os produtos
Netwrix AuditorNetwrix Access AnalyzerNetwrix PingCastleNetwrix Endpoint Protector

A plataforma Netwrix 1Secure™

Explore
Netwrix AI Ambientes que protegemos Integrações MSPs Riscos de segurança do Active Directory Conformidade Preços
Resource Center Ver Todos
BlogAttack CatalogConformidadeHistórias de ClientesFrameworks de CibersegurançaGlossário de CibersegurançaEventsFreewareGuiasIdeas PortalNotíciasPodcastsPublicaçõesAnúncios de ProdutosPesquisaWebinars
Asset not found

História em Destaque de Cliente

A DXC Technology possibilita que clientes alcancem a conformidade com PCI DSS e se concentrem em iniciativas estratégicas
Parceiros
Programa de ParceirosTorne-se um ParceiroMSPsLocalizador de parceirosWebinars
Asset not found

História em Destaque de Cliente

AppRiver aprimora o controle sobre o Active Directory enquanto reduz significativamente o tempo de auditoria
Asset not found

História em Destaque de Cliente

MSP Ajuda Cliente a Recuperar de Ransomware em 6 Horas
Por que a Netwrix
Sobre NósLiderançaNetwrix AIHistórias de clientesReconhecimentoNoticiasCarreiras
Asset not found

História em Destaque de Cliente

Horizon Leisure Centres acelera a classificação de dados para cumprir o RGPD e economiza £80.000 por ano
Asset not found

História em Destaque de Cliente

Samsung R&D Institute garante a segurança dos dados com uso multiplataforma e implantação rápida no macOS usando Netwrix Endpoint Protector
Centro de recursosBlog
Replicação do Active Directory

Replicação do Active Directory

Feb 20, 2017

Os administradores de TI têm trabalhado com e em torno do Active Directory desde a introdução da tecnologia no Windows 2000 Server. O Windows 2000 Server foi lançado em 17 de fevereiro de 2000, mas muitos administradores começaram a trabalhar com o Active Directory no final de 1999, quando foi lançado para fabricação (RTM) em 15 de dezembro de 1999.

Nesta parte do nosso tutorial, falaremos sobre a replicação do AD.

Replicação do Active Directory

A replicação do Active Directory é o método de transferir e atualizar objetos do Active Directory de um DC para outro DC.

As conexões entre DCs são estabelecidas com base em suas localizações dentro de uma forest e site. Cada site no Active Directory contém uma ou mais sub-redes, que identificam a faixa de endereços IP associados ao site. Ao mapear o endereço IP de um DC para uma sub-rede, o Active Directory sabe quais DCs estão em qual site. Conexões são configuradas entre sites para garantir que os objetos do Active Directory sejam replicados entre os sites.

Tecnologias

A replicação do Active Directory depende das seguintes tecnologias para operar com sucesso:

  1. DNS
  2. Chamada de procedimento remoto (RPC)
  3. SMTP (opcional)
  4. Kerberos
  5. LDAP

Principais componentes

Existem quatro principais componentes da replicação no Active Directory:

  • Replicação multimaster

A replicação multimaster, em comparação com a replicação single-master usada no Windows NT 4.0, garante que cada controlador de domínio possa receber atualizações para objetos dos quais é autoritativo. Isso proporciona tolerância a falhas dentro de um ambiente de Active Directory.

  • Replicação pull

A replicação por pull garante que os DCs solicitem alterações de objetos em vez de as alterações serem enviadas (especialmente de forma desnecessária). Puxar reduz ligeiramente o tráfego de replicação entre os DCs.

  • Replicação store-and-forward

A replicação store-and-forward garante que cada DC comunique com um subconjunto de DCs para transferir as alterações de objetos que ocorreram. Com store-and-forward, cada DC comunicaria com todos os outros DCs, o que é ineficiente. A replicação store-and-forward equilibra a carga de replicação entre os DCs dentro de um ambiente de Active Directory.

  • Replicação baseada em estado

A replicação baseada em estado garante que cada DC acompanhe o estado das atualizações de replicação, o que elimina conflitos e replicação desnecessária.

Image

Gerenciamento de replicação

A replicação é gerida pelo Knowledge Consistency Checker (KCC).

O KCC gerencia a replicação entre DCs em um único site usando conexões criadas automaticamente. O KCC lê dados de configuração e lê e escreve objetos de conexão para DCs. O KCC usa apenas RPC para se comunicar com o serviço de diretório.

A replicação intrasite não utiliza compressão e as alterações são enviadas imediatamente para os DCs. No entanto, a replicação intersite depende de links definidos pelo usuário que devem ser criados. O KCC utiliza esses links para criar uma topologia de modo que a replicação seja gerenciada através dos links de site para site.

Site connections can be controlled on a schedule and the replication data is compressed to minimize bandwidth usage. The default replication schedule for site-to-site connections is 180 minutes which is usually way too long for the vast majority of organization. This can be configured to as low as 15 minutes in the GUI, and even faster by modifying the registry.

O tamanho do pacote de replicação é calculado com base na quantidade de RAM no DC. Por padrão, os limites do tamanho do pacote são 1/100º do tamanho da RAM, com um mínimo de 1 MB e um máximo de 10 MB. Além disso, o número máximo de objetos em um pacote é 1/1.000.000º do tamanho da RAM do sistema, com um mínimo de 100 objetos e um máximo de 1.000 objetos. Portanto, em servidores modernos que têm mais de 1 GB de RAM, os tamanhos dos pacotes de replicação conterão até 10 MB de dados ou até 1.000 objetos. O tamanho máximo do pacote e o limite de objetos podem ser configurados modificando o registro em HKEY_LOCAL_MACHINESystemCurrentControlSetServicesNTDSParameters no local.

Componentes primários de replicação

Os seguintes são componentes os primary replication components:

  • Knowledge Consistency Checker (KCC)

O KCC é um processo que é executado em cada DC e se comunica diretamente com o Ntdsa.dll para ler e escrever objetos de replicação.

  • Agente de Sistema de Diretório (DSA)

O DSA é um componente de serviço de diretório que é executado como Ntdsa.dll em cada DC. Ele fornece uma interface para serviços e processos lerem o banco de dados do diretório.

  • Extensible Storage Engine (ESE)

O ESE gerencia registros de banco de dados de diretório, que podem conter uma ou mais colunas.

  • Chamada de Procedimento Remoto (RPC)

A replicação de diretórios é comunicada usando o protocolo RPC. RPC é um protocolo de comunicação que permite aos desenvolvedores executar código em um sistema local ou remoto sem a necessidade de desenvolver código específico para execução remota. O KCC também utiliza RPC para se comunicar com os DCs para solicitar informações ao construir uma topologia de replicação.

  • Gerador de Topologia Intersite (ISTG)

O ISTG gerencia os objetos de conexão de replicação inbound entre sites para um site específico. Existe um servidor ISTG em cada site. Por padrão, o primeiro DC em cada site é o ISTG. Para encontrar o ISTG em um site chamado HQ em um domínio chamado tailspintoys.com, você pode executar o comando Get- ADObject -Identity “cn=NTDS Site Settings,cn=HQ,cn=sites,cn=configuration,dc=tailspintoys,dc=com” -Properties interSiteTopologyGenerator |Select interSiteTopologyGenerator do Windows PowerShell.

Os objetos do Active Directory que são utilizados pelo KCC e seus componentes incluem:

  • Sites

Sites são objetos do Active Directory na classe site, que correspondem às sub-redes em um determinado site.

  • Subnets

Os objetos de sub-rede estão na classe de sub-rede e definem a sub-rede IP da rede que corresponde a um site.

  • Servidores

Um objeto de servidor, na classe de servidor, representa computadores servidores, incluindo DCs. Objetos de servidor são tratados como principais de segurança que são armazenados em uma partição de diretório separada e possuem identificadores únicos globais (GUIDs) separados.

  • Configurações do NTDS

Os objetos de configuração NTDS estão na classe nTDSDSA e representam uma instância do Active Directory em um DC específico.

  • Conexões

Os objetos de conexão estão na classe nTDSConnection e definem uma rota unidirecional e de entrada de um DC de origem para o DC que está armazenando o objeto de conexão.

  • Links do Site

Os objetos Site Link estão na classe siteLink e identificam o protocolo e o cronograma para replicar dados entre dois ou mais sites.

  • Configurações do site NTDS

Os objetos de configurações de site NTDS estão na classe nTDSSiteSettings e identificam as configurações de âmbito do site para o Active Directory. Existe apenas um objeto de configurações de site NTDS por site no contêiner Sites.

  • Cruzamento de referências

Os objetos de referência cruzada estão na classe crossRef e armazenam a localização das partições do Active Directory no contêiner Partitions.

O diagrama abaixo mostra um ambiente típico de two-site Active Directory com alguns dos componentes de replicação.

Comandos e ferramentas de replicação

A partir do Windows PowerShell no Windows Server 2012, existem 25 cmdlets para gerenciar especificamente a replicação do Active Directory. Esses cmdlets oferecem funcionalidades como visualizar informações de replicação, configurar sites, gerenciar links de sites e forçar a ocorrência da replicação.

A ferramenta de linha de comando RepAdmin.exe também está disponível para fornecer informações e configurar a replicação do Active Directory.

Outra ferramenta de replicação é a Active Directory Replication Status Tool. Está disponível em http://www.microsoft.com/en-us/download/details.aspx?id=30005. Você pode usá-la para analisar e solucionar problemas de replicação do Active Directory.

Mais informações sobre os fundamentos do Active Directory você encontrará em nosso AD tutorial for beginners.

Compartilhar em

Saiba Mais

Sobre o autor

Asset Not Found

Brian Svidergol

TI

Especialista em infraestrutura Microsoft e soluções baseadas na nuvem construídas em torno do Windows, Active Directory, Azure, Microsoft Exchange, System Center, virtualização e MDOP. Além de escrever livros, Brian produz conteúdo de treinamento, white papers e é revisor técnico em um grande número de livros e publicações.

Saiba mais sobre este assunto

Leis de Privacidade de Dados por Estado: Abordagens Diferentes para a Proteção da Privacidade

Exemplo de Análise de Risco: Como Avaliar Riscos

O Triângulo da CIA e Sua Aplicação no Mundo Real

O que é Gerenciamento de Registros Eletrônicos?

Análise de Risco Quantitativa: Expectativa de Perda Anual

Últimos blogs

Os próximos cinco minutos de conformidade: construindo segurança de dados com foco em identidade em toda a APAC

Gerenciamento de configuração para controle seguro de endpoint

Classificação de dados e DLP: Previna a perda de dados, comprove a conformidade

Conformidade com CMMC e o papel crítico do controle de USB estilo MDM na proteção de CUI

DSPM, ASM e ITDR: Construindo uma Estratégia de Segurança Consciente da Exposição e Orientada por Dados

De ruído a ação: transformando risco de dados em resultados mensuráveis

IA no Trabalho: Velocidade, Risco e Por Que a Simplicidade Vence

Leis de Privacidade de Dados por Estado: Abordagens Diferentes para a Proteção da Privacidade

Exemplo de Análise de Risco: Como Avaliar Riscos

O Triângulo da CIA e Sua Aplicação no Mundo Real

Nossos principais artigos

Tipos Comuns de Dispositivos de Rede e Suas Funções

Como Executar um Script do PowerShell a partir do Agendador de Tarefas

Como instalar e usar o Active Directory Users and Computers (ADUC)?

Baixe e instale o PowerShell 7

Os Maiores e Mais Notórios Ataques Cibernéticos da História

Comandos Essenciais do PowerShell: Um Guia de Consulta Rápida para Iniciantes

Uma visão geral do ataque cibernético da MGM

Extração de Hashes de Senha do arquivo Ntds.dit

Guia para Montar Compartilhamentos Unix com um Cliente NFS do Windows

Como Portas Abertas Inseguras e Vulneráveis Representam Sérios Riscos de Segurança