LeoPonti Blog

Hola a todos!

En esta oportunidad, vamos hablar un poco de la replicacion en un dominio entre los Domain Controllers del mismo, chequear que la replicacion este funcionando correctamente o solucionarlo lo mas pronto posible al presentarse algun problema de replicacion, es importante para que la informacion en nuestro dominio sea la correcta y no se manejen diferencias entre los distintos equipos que conforman nuestra infraestructura, tengamos en cuenta que todo se replica, desde la generacion de un simple grupo en AD, hasta una extension de Schema y si hay al menos un Domain Controller que no esta recibiendo estas actualizaciones, estamos teniendo muy inestable nuestra estructura.

Desde un principio tenemos que tener en claro, que la replicacion de un dominio en Active Directory, va por dos canales distintos, uno es mediante FRS (File Replication Service) hasta versiones de Domain Controllers 2003R2 y a partir de ADDS 2008, se comenzo a utilizar DFSR (Distributed Files System Replication), presentando varias diferencias entre un tipo de replicacion y otro, pero en sintesis, FRS y DFSR segun el caso, se replica la parte de nuestro dominio cuya informacion la tenemos alocada en archivos, cuyo directorio tenemos compartido en todos nuestros Domain Controllers llamados SYSVOL y NETLOGON, este ultimo es un directorio que esta alocado dentro del SYSVOL, pero tambien esta compartido y mediante Replicacion de File System, se replica todo el contenido a nuestros Domain Controllers.
Troubleshooting File Replication Service: http://technet.microsoft.com/en-us/library/bb727056.aspx
Verifying the State of SYSVOL Migration: http://technet.microsoft.com/en-us/library/dd639789(v=ws.10)

Por otro lado, tenemos la replicacion via RPC de nuestra Base de Active Directory (NTDS.DIT) y aca hay algo que aclarar porque muchos se confunden hoy en dia, en versiones actuales de dominio, diciendo “Domain Controller Principal” y la realidad es que desde hace muchos años, no existe mas las funciones en Domain Controllers cuya funcion sea “principal” o “secundario”, todos son principales, todos reciben cambios y los replican a sus pares, sobre todos podemos escribir y realizar consultas sin problemas, objetando obviamente lo Read Only DCs que renacieron en ADDS2008, pero fuera de esta aclaracion, todos los DCs sin importantes y “principales”, si bien existen roles y uno de ellos es el PDC, es para conservar ciertas funciones vitales en nuestra estructura, pero no con la idea de que solo en ese Domain Controller se puedan aplicar cambios.

Como les venia contando, la replicacion de la base de Active Directory, maneja otra metodologia diferente de replicacion y con tiempos distintos que FRS o DFSR, y hay varias herramientas y comandos para controllar en forma repida, la solud de nuestra replicacion, uno de esos comandos que quiero mostrarles en esta oportunidad, es “repadmin” es el primero y tan completo comando es el que tenemos que tener en nuestra cabeza cuando administramos una estructura de dominio, tengan en cuenta, que si tenemos dos o tres DCs en nuestra estructura, no nos llevaria tanto tiempo chequear una replicacion, pero si tenemos 100 DCs, los tiempos de solo chequeo, serian otros..

Para hablar de este comando, tenemos que sabes que nuestra base de dominio, tiene distintas particiones, las cuales manejan diferente informacion, algunas con visibilidad a nivel Forest y otras a nivel Dominio individual, y son diferentes los tiempos de replicacion entre cada una de estas particiones. Las mismas, las paso a detallar a continuacion:

Schema: El Schema y como a mi me gusta “mal pronunciarlo” YEMA, jaja, es una de las particiones mas criticas y complejas de restaurar en nuestra estructura, la misma contiene todas los atributos y clases de nuestro Active Directory y esta informacion se replica a todos los Domain Controllers de nuestro Forest. La criticidad de esta particion es tanta, que para modificar esta particion, requerimos tener derechos de Schema Admins y trabajar sobre el Domain Controller con rol Schema Master (ultimas aplicaciones, soportan trabajar remotamente a este DC, pero el requerido que el mismo este activo).-
Configuration: En esta particion, que aclaro la pronuncio correctamente, no como la particion anterior, jaja, contiene la informacion de configuracion de todos nuestros dominios, Forest, Site&Services con las subnets declaradas, sitios, replicaciones configuradas, etc y tambien configuraciones de aplicaciones que se adjuntan a nuestro Dominio, como son OCS/Lync, Exchange, SCCM, DHCP (cuando los autorizamos), etc y la informacion contenida en esta particion, como el caso anterior tambien replica a nivel Forest.
Domain: En esta particion, se almacena toda la informacion de usuarios, grupos, contactos, OUs, la parte de nuestras GPOs que son locales del dominio con sus punteros a los archivos alocados en el SYSVOL, y por los cambios que se reciben en esta particion, es la que en forma mas continua replica los cambios a los Domain Controllers del mismo dominio, con la excepcion de los DCs configurados como Global Catalog, que tambien recibiran los cambios de informacion de la particion “Domain” de otros dominios del mismo Forest, recordemos que los GC, tienen la particion “Domain” del dominio al que pertenecen y la particion “Domain” reducida y de solo lectura, del resto de los dominios del Forest al que pertenecen.-

Tambien podemos ver otras particiones como ForestDNSZones (replicando a todos los Domain Controllers del Forest que tengan rol de DNS Servers instalado) y DomainDNSZones (replicando a todos los Domain Controllers del mismo Dominio que tengan rol de DNS Servers instalado) que se crean una vez que los DCs de nuestro dominio, le implementamos rol de DNS Servers e integramos dicha funcion a nuestro dominio de Active Directory.-

Otro punto no menor, que hablaremos mas adelante en profundidad, es cuando definimos Sitios en nuestra estructura, recordemos que esta informacion, se almacena en la particion Configuration, con lo cual, al replicar a nivel Forest, tambien estamos configurando a nivel Forest cuando definimos diferentes sitios y como replican entre si, la replicacion entre Domain Controllers de un mismo sitio, es practicamente instantanea a comparacion de replicaciones entre sitios, todo depende la configuracion que hayamos aplicado, como siempre digo, lo que configuramos en nuestro Site&Services, tiene que ser la visibilidad logica de nuestra estructura fisica de red y ubicacion fisica de nuestros Domain Controllers. Este tema, lo veremos con mayor detalle en la “parte 2″.-

En “Replicacion de nuestro dominio Active Directory (parte 2)” veremos un poco mas sobre lo que estamos hablando, esta parte es a nivel introductoria y tambien habran algunos videos.. pero para empezar, quiero que vayan conociendo tres opciones del comando “repadmin”, la primera, es: repadmin /showrepl, con esta opcion, lo que hara el comando es tomar un DC del Site donde estamos y nos dara informacion como si el DC es Catalogo Global, si el sitio donde esta tiene alguna configuracion custom, el GUID e InvocationID del mismo, esto como datos importantes para la replicacion del DC analizado y que utiliza en su replicacion habitual.

Como tambien pueden ver en los resultados, se muestra el estado de replicacion, sitios, GUID de los DCs con lo que replica el equipo analizado, detallando las distintas particiones de dominio como hablamos en un principio y por eso era importante que lo charlaramos antes de mostrar el comando, en esta oportunidad, estamos hablando de 3 Domain Controllers que estan en un mismo sitio (por eso se muestra el DC analizado que replica contre otros dos DCs y el sitio definido para ambos, es el mismo), con este comando, tendremos un detalle mayor de como esta replicando el Domain Controller, caso que querramos consultar el detalle de replicacion de otro Domain Controller, no tenemos mas que aclararlo en el comando que corremos: repadmin /showrepl nombre_del_DC como se muestra a contunuacion, viendo los resultados de un nuevo equipo:

Otra opcion de nuestro comando y para tener una visibilidad generalizada del estado de replicacion en nuestro dominio, es el comando repadmin /replsummary como les comente al principio, si tenemos una estructura de dominio con dos o tres Domain Controllers no es esta tiempo analizar la replicacion, pero sobre una estructura de dominio con 100 Domain Controllers, el tiempo demandante sera mucho mayor, para lo cual, este comando nos sera de utilidad y en pocos segundos, nos dara el resultado como se muestra a continuacion:

En este caso el resultado de replicacion tanto de origen como destino es correcta, pero de presentar algun error, con este comando tendriamos el aviso para luego analizar mas en profundidad sobre que equipo esta presentando el problema, como el caso anterior, si queremos saber la replicacion sobre un equipo DC puntual, tambien detallandolo en la linea de comando, nos dara el resultado repadmin /replsummary nombre_del_DC

Por ultimo en este articulo, me interesa que conozcan otra variante del comando que es repadmin /bridgeheads, con este comando, nos detallara por Site de nuestro Forest, quienes tienen la funcion de Bridge, el cual replicara a los sitios que tenga configurados, los cambios aplicados localmente, por cada Site hay un Domain Controller con esta funcion y se configura automaticamente cuando nosotros detallamos la replicaciones inter-Site, si bien se puede tambien a mano definir un Bridge Server, es recomendable dejar que el dominio vaya habilitando automaticamente dichas funciones.-

En este caso, como solo tenemos un solo Site, solo se detalla el mismo y que Domain Controller tiene dicho rol.

Lo que respecta replicacion de Active Directory, es un tema muy largo pero que es importante lo tengamos presente, por eso este tema preferi repartirlo en varias partes y que ire extendiendo para que vayamos conociendo claramente como funciona.

Espero les sea de utilidad

Salu2

LeoPonti

Replicacion de nuestro dominio Active Directory (parte 2)