none
Bridge all site links RRS feed

  • Pregunta

  • Buen día.

    Estoy revisando la topologia del Directorio Activo de un cliente y me surgio una duda, el escenario es el siguiente:

    Se tiene un sitio principal y 8 Sitios remotos enlazados por antenas y VPNs, dos Controladores de Dominio por Sitio (uno de ellos es catalogo global) con windows server 2003 R2, tiene creados vinculos entre el sitio principal y sitios los remotos (Intersite-Transport, IP) todos con el mismo costo e intervalo de replicacion.

    Un detalle importante es que no toda su red esta enrutada y hay controladores de dominio que no se ven entre ellos, solo los controladores de dominio del sitio principal ven y pueden ser vistos por todos los demas. El problema es que aparecieron unos mensajes de error en algunos controladores de dominio que indicaban que no se estaban podiendo replicar con ciertos controladores de dominio lo cual es debido a que no tienen acceso por red a ellos. Al estar revisando estos mensajes descubri que hay una opcion que se llama Bridge all site links la cual esta habilitada de manera predeterminada, lo que quiero saber es ¿Qué repercusiones puedo tener si deshabilito esa opcion? segun yo no debe haber ninguna porque ya tengo creados los vinculos entre sitios pero me gustaria que me ayudaran a entender mejor esta opcion y si necesito hacer ademas de los vinculos entre sitios algun "Puente de vinculo a sitios".

    Saludos....


    amejia

    miércoles, 30 de mayo de 2012 1:05

Respuestas

  • Hola,

    Como bien dices, la opcion de Bridge all site links esta habilitada por defecto, en tu caso, no trae inconveniente deshabilitarlo para evitar que un DC quiera realizar una replicacion inter-site con otro DC de un sitio diferente, que por diseño de red, no se puedan comunicar, tu estructura es una de las opciones por las cuales es recomendado deshabilitar la opcion que comentas:

    • La red no está enrutada por completo (no todos los controladores de dominio pueden comunicarse directamente con el resto de los controladores de dominio).-
    • La ubicación de un enrutamiento de red o bien de una directiva de seguridad impide que los controladores de dominio puedan comunicarse directamente con el resto de los controladores de dominio.-
    • El diseño de Active Directory incluye un gran número de sitios.-

    Obviamente, deshabilitandola no funcionara el Bridge si por algun motivo es necesario, pero si tienes una correcta configuracion de links de replica, no tendras inconveniente.-

    Salu2


    Leonardo Ponti
    MCTS: Microsoft Certified Technology Specialist
    MPN: Microsoft Partner Network
    MCC: Microsoft Community Contributor 2011
    MCSE: Microsoft Certified Systems Engineer (Windows Server 2003)
    MCSA: Microsoft Certified Systems Administrator (Windows Server 2003)
    MVA: Microsoft Virtual Academy
    MAP: Microsoft Active Professional (2010/2011)

    Este mensaje se proporciona "como está" sin garantías de ninguna clase, y no otorga ningún derecho. Ud. asume los riesgos.
    This posting is provided "AS IS" with no warranties, and confer no rights. You assume all risk for your use.

    miércoles, 30 de mayo de 2012 2:40
    Moderador
  • Lo que debes hacer es configurar correctamente los Site Links incluyendo los sitios que quieres sean conectados y creen Connection links entre ellos.

    Por lo cual verifica a nivel de IP en Inter Site transports, que deberias tener site links entre los sitios que quieres se conecten, si se estan creando conexiones contra controladores de dominio en sitios que no tienen conectividad es por que la configuracion esta dejando que KCC lo haga.

    1 . Haz un esquema de los sitios que tienen conectividad
    2 . Crea site Links que no contengan mas de dos sitios

    Sitio 1 --- > Sitio 2
    Sitio 2 --- > Sitio 3

    3 . Con esta configuracion KCC solo creara connection objects con domain controllers contenidos en el site link correspondiente, sin necesidad de deshabilitar BASL.

    4 . Por ultimo fuerza KCC locamente en cada uno de los domain controllers, para crear los nuevos conectores.

    Para esto estoy asumiendo que tienes declarados cada uno de los sitios en active directory :)

    The Knowledge Consistency Checker (KCC) is a built-in process that runs on all domain controllers and creates the replication topology for the forest. By default, the KCC runs at 15-minute intervals and designates the replication routes between domain controllers on the basis of the most favorable connections that are available at the time. The KCC creates replication connections between domain controllers in the same site automatically. When there is more than one site, configure links between the sites; the KCC can then create the connections automatically between the sites as well.

    El problema aqui es que generalmente se deja un solo Site Link que contiene todos los sitios, lo cual le indica a KCC que todo esta conectado, y da la posibilidad de que se creen Connection Objects contra todos los domain controllers. La manera de controlar esto es , configurar correctamente todos los sites en AD Sites And Services, y configurar los conectores para comunicar cada site con el site que debe conectarse.

    Si tienes un sitio central yo recomendaria utilizar una topologia de Hub and Spoke, donde los sitios remotos no se comuniquen entre si, y todos repliquen contra el sitio principal por lo cual los conectores deberian ser algo asi

    Sitio Central --- > Sitio Remoto 1
    Sitoi Central ----> Sitio Remoto 2
    etc ...

    De esta manera causaras que todos los sitios remotos repliquen SOLO con el sitio central y los sitios remotos no se comuniquen entre ellos, por supuesto que esto dependera de la conectividad fisica.


    Sebastian del Rio - MCP - MCSA +S - MCSE +S - MCITP:Enterprise Administrator Buenos Aires - Argentina Este mensaje se proporciona "como está" sin garantías de ninguna clase, y no otorga ningún derecho. Ud. asume los riesgos


    miércoles, 30 de mayo de 2012 13:21
    Moderador

Todas las respuestas

  • Hola,

    Como bien dices, la opcion de Bridge all site links esta habilitada por defecto, en tu caso, no trae inconveniente deshabilitarlo para evitar que un DC quiera realizar una replicacion inter-site con otro DC de un sitio diferente, que por diseño de red, no se puedan comunicar, tu estructura es una de las opciones por las cuales es recomendado deshabilitar la opcion que comentas:

    • La red no está enrutada por completo (no todos los controladores de dominio pueden comunicarse directamente con el resto de los controladores de dominio).-
    • La ubicación de un enrutamiento de red o bien de una directiva de seguridad impide que los controladores de dominio puedan comunicarse directamente con el resto de los controladores de dominio.-
    • El diseño de Active Directory incluye un gran número de sitios.-

    Obviamente, deshabilitandola no funcionara el Bridge si por algun motivo es necesario, pero si tienes una correcta configuracion de links de replica, no tendras inconveniente.-

    Salu2


    Leonardo Ponti
    MCTS: Microsoft Certified Technology Specialist
    MPN: Microsoft Partner Network
    MCC: Microsoft Community Contributor 2011
    MCSE: Microsoft Certified Systems Engineer (Windows Server 2003)
    MCSA: Microsoft Certified Systems Administrator (Windows Server 2003)
    MVA: Microsoft Virtual Academy
    MAP: Microsoft Active Professional (2010/2011)

    Este mensaje se proporciona "como está" sin garantías de ninguna clase, y no otorga ningún derecho. Ud. asume los riesgos.
    This posting is provided "AS IS" with no warranties, and confer no rights. You assume all risk for your use.

    miércoles, 30 de mayo de 2012 2:40
    Moderador
  • Lo que debes hacer es configurar correctamente los Site Links incluyendo los sitios que quieres sean conectados y creen Connection links entre ellos.

    Por lo cual verifica a nivel de IP en Inter Site transports, que deberias tener site links entre los sitios que quieres se conecten, si se estan creando conexiones contra controladores de dominio en sitios que no tienen conectividad es por que la configuracion esta dejando que KCC lo haga.

    1 . Haz un esquema de los sitios que tienen conectividad
    2 . Crea site Links que no contengan mas de dos sitios

    Sitio 1 --- > Sitio 2
    Sitio 2 --- > Sitio 3

    3 . Con esta configuracion KCC solo creara connection objects con domain controllers contenidos en el site link correspondiente, sin necesidad de deshabilitar BASL.

    4 . Por ultimo fuerza KCC locamente en cada uno de los domain controllers, para crear los nuevos conectores.

    Para esto estoy asumiendo que tienes declarados cada uno de los sitios en active directory :)

    The Knowledge Consistency Checker (KCC) is a built-in process that runs on all domain controllers and creates the replication topology for the forest. By default, the KCC runs at 15-minute intervals and designates the replication routes between domain controllers on the basis of the most favorable connections that are available at the time. The KCC creates replication connections between domain controllers in the same site automatically. When there is more than one site, configure links between the sites; the KCC can then create the connections automatically between the sites as well.

    El problema aqui es que generalmente se deja un solo Site Link que contiene todos los sitios, lo cual le indica a KCC que todo esta conectado, y da la posibilidad de que se creen Connection Objects contra todos los domain controllers. La manera de controlar esto es , configurar correctamente todos los sites en AD Sites And Services, y configurar los conectores para comunicar cada site con el site que debe conectarse.

    Si tienes un sitio central yo recomendaria utilizar una topologia de Hub and Spoke, donde los sitios remotos no se comuniquen entre si, y todos repliquen contra el sitio principal por lo cual los conectores deberian ser algo asi

    Sitio Central --- > Sitio Remoto 1
    Sitoi Central ----> Sitio Remoto 2
    etc ...

    De esta manera causaras que todos los sitios remotos repliquen SOLO con el sitio central y los sitios remotos no se comuniquen entre ellos, por supuesto que esto dependera de la conectividad fisica.


    Sebastian del Rio - MCP - MCSA +S - MCSE +S - MCITP:Enterprise Administrator Buenos Aires - Argentina Este mensaje se proporciona "como está" sin garantías de ninguna clase, y no otorga ningún derecho. Ud. asume los riesgos


    miércoles, 30 de mayo de 2012 13:21
    Moderador