Magic Quadrant™ para la gestión de acceso privilegiado 2025: Netwrix reconocida por cuarto año consecutivo. Descarga el informe.

ContáctenosSoporteCommunity
English Español Italiano Français Deutsch Português
Plataforma
Soluciones

Data Security Posture Management

Descubra y clasifique datos en entornos híbridos. Evalúe, priorice y mitigue los riesgos para los datos sensibles.

Directory Management

Simplifique y asegure la administración del directorio reduciendo la complejidad, el riesgo y el esfuerzo manual.

Endpoint Management

Asegure los endpoints y prevenga la pérdida de datos mientras mantiene a los equipos productivos, sin importar dónde trabajen.

Identity Management

Asegure cada identidad, agilice cada proceso y manténgase a la vanguardia del cumplimiento, sin añadir complejidad.

Identity Threat Detection & Response

Manténgase a la vanguardia de las amenazas basadas en identidades: remedie proactivamente los riesgos, bloquee ataques y asegure una recuperación rápida.

Privileged Access Management

Reduzca su superficie de ataque eliminando privilegios permanentes, asegurando credenciales y monitoreando sesiones privilegiadas.
Productos destacados Ver todos los productos
Netwrix AuditorNetwrix Access AnalyzerNetwrix PingCastleNetwrix Endpoint Protector

La plataforma Netwrix 1Secure™

Explorar
Netwrix AI Entornos que protegemos Integraciones MSPs Riesgos de seguridad de Active Directory Cumplimiento Precios
Centro de Recursos Ver todo
BlogAttack CatalogCumplimientoHistorias de clientesMarcos de CiberseguridadGlosario de CiberseguridadEventosFreewareGuíasIdeas PortalNoticiasPodcastsPublicacionesAnuncios de ProductosInvestigaciónWebinars
Asset not found

Historia Destacada de un Cliente

DXC Technology permite a los clientes lograr el cumplimiento de PCI DSS y centrarse en iniciativas estratégicas
Socios
Programa de SociosConviértete en un SocioMSPsBuscador de sociosWebinars
Asset not found

Historia Destacada de Cliente

AppRiver mejora el control sobre Active Directory al tiempo que reduce significativamente el tiempo de auditoría
Asset not found

Historia Destacada de un Cliente

MSP ayuda a cliente a recuperarse de un ransomware en 6 horas
¿Por qué Netwrix?
Acerca de nosotrosLiderazgoNetwrix AIHistorias de clientesReconocimientoNoticiasCarreras
Asset not found

Historia Destacada de un Cliente

Horizon Leisure Centres acelera la clasificación de datos para cumplir con el RGPD y ahorra £80,000 al año
Asset not found

Historia Destacada de un Cliente

Samsung R&D Institute protege los datos con uso multiplataforma y despliegue rápido en macOS utilizando Netwrix Endpoint Protector
Centro de recursosBlog
Replicación de Active Directory

Replicación de Active Directory

Feb 20, 2017

Los administradores de TI han estado trabajando con y alrededor de Active Directory desde la introducción de la tecnología en Windows 2000 Server. Windows 2000 Server se lanzó el 17 de febrero de 2000, pero muchos administradores comenzaron a trabajar con Active Directory a finales de 1999 cuando se lanzó para fabricación (RTM) el 15 de diciembre de 1999.

En esta parte de nuestro tutorial hablaremos sobre la replicación de AD.

Replicación de Active Directory

La replicación de Active Directory es el método de transferir y actualizar objetos de Active Directory de un DC a otro DC.

Las conexiones entre los DCs se establecen en base a sus ubicaciones dentro de un forest y sitio. Cada sitio en Active Directory contiene una o más subredes, que identifican el rango de direcciones IP asociadas con el sitio. Al mapear la dirección IP de un DC a una subred, Active Directory sabe qué DCs están en qué sitio. Las conexiones se configuran entre sitios para asegurar que los objetos de Active Directory se repliquen entre sitios.

Tecnologías

La replicación de Active Directory depende de las siguientes tecnologías para operar con éxito:

  1. DNS
  2. Llamada a procedimiento remoto (RPC)
  3. SMTP (opcional)
  4. Kerberos
  5. LDAP

Componentes principales

Hay cuatro componentes principales de la replicación en Active Directory:

  • Replicación multimaster

La replicación multimaster, en comparación con la replicación de un único maestro como se utilizaba en Windows NT 4.0, garantiza que cada controlador de dominio pueda recibir actualizaciones para los objetos de los cuales es autoritativo. Esto proporciona tolerancia a fallos dentro de un entorno de Active Directory.

  • Replicación por extracción

La replicación por extracción asegura que los DC soliciten cambios de objeto en lugar de que los cambios sean empujados (especialmente si no es necesario). Extraer reduce ligeramente el tráfico de replicación entre los DC.

  • Replicación de almacenamiento y reenvío

La replicación de almacenamiento y reenvío asegura que cada DC se comunique con un subconjunto de DCs para transferir los cambios de objeto que han ocurrido. Con el almacenamiento y reenvío, cada DC se comunicaría con todos los demás DCs, lo cual es ineficiente. La replicación de almacenamiento y reenvío equilibra la carga de replicación entre los DCs dentro de un entorno de Active Directory.

  • Replicación basada en estados

La replicación basada en estado garantiza que cada DC rastrea el estado de las actualizaciones de replicación, lo que elimina conflictos y replicación innecesaria.

Image

Gestión de replicación

La replicación es gestionada por el Knowledge Consistency Checker (KCC).

El KCC gestiona la replicación entre DCs en un único sitio utilizando conexiones creadas automáticamente. El KCC lee los datos de configuración y lee y escribe objetos de conexión para los DCs. El KCC solo utiliza RPC para comunicarse con el servicio de directorio.

La replicación intrasitio no utiliza compresión y los cambios se envían a los DCs inmediatamente. Sin embargo, la replicación intersitio depende de enlaces definidos por el usuario que deben ser creados. El KCC utiliza estos enlaces para crear una topología de manera que la replicación se gestione a través de los enlaces de sitio a sitio.

Las conexiones de sitio se pueden controlar según un horario y los datos de replicación se comprimen para minimizar el uso de ancho de banda. El horario de replicación predeterminado para las conexiones de sitio a sitio es de 180 minutos lo cual suele ser demasiado tiempo para la gran mayoría de las organizaciones. Esto se puede configurar hasta un mínimo de 15 minutos en la GUI, e incluso más rápido modificando el registro.

El tamaño del paquete de replicación se calcula en base a la cantidad de RAM en el DC. Por defecto, los límites del tamaño del paquete son 1/100avo del tamaño de la RAM, con un mínimo de 1 MB y un máximo de 10 MB. Además, el número máximo de objetos en un paquete es 1/1,000,000avo del tamaño de la RAM del sistema, con un mínimo de 100 objetos y un máximo de 1,000 objetos. Por lo tanto, en servidores modernos que tienen más de 1 GB de RAM, los tamaños de los paquetes de replicación contendrán hasta 10 MB de datos o hasta 1,000 objetos. El tamaño máximo del paquete y el límite de objetos se pueden configurar modificando el registro en la ubicación HKEY_LOCAL_MACHINESystemCurrentControlSetServicesNTDSParameters.

Componentes primarios de replicación

Los siguientes son componentes de los primary replication components:

  • Knowledge Consistency Checker (KCC)

El KCC es un proceso que se ejecuta en cada DC y se comunica directamente con Ntdsa.dll para leer y escribir objetos de replicación.

  • Agente del Sistema de Directorios (DSA)

El DSA es un componente del servicio de directorio que se ejecuta como Ntdsa.dll en cada DC. Proporciona una interfaz para que los servicios y procesos lean la base de datos del directorio.

  • Extensible Storage Engine (ESE)

El ESE gestiona registros de bases de datos de directorios, que pueden contener una o más columnas.

  • Llamada a Procedimiento Remoto (RPC)

La replicación de directorios se comunica mediante el uso del protocolo RPC. RPC es un protocolo de comunicación que permite a los desarrolladores ejecutar código en un sistema local o remoto sin tener que desarrollar código específico para la ejecución remota. El KCC también utiliza RPC para comunicarse con los DCs para solicitar información al construir una topología de replicación.

  • Intersite Topology Generator (ISTG)

The ISTG manages the intersite inbound replication connection objects for a specific site. There is one ISTG server in each site. By default, the first DC in each site is the ISTG. To find the ISTG in a site named HQ in a domain named tailspintoys.com, you can run the Get- ADObject -Identity “cn=NTDS Site Settings,cn=HQ,cn=sites,cn=configuration,dc=tailspintoys,dc=com” -Properties interSiteTopologyGenerator |Select interSiteTopologyGenerator Windows PowerShell command.

Los objetos de Active Directory que son utilizados por el KCC y sus componentes incluyen:

  • Sitios

Los sitios son objetos de Active Directory en la clase de sitio, que corresponden a las subredes en un sitio dado.

  • Subredes

Los objetos de subred están en la clase de subred y definen la subred IP de la red que corresponde con un sitio.

  • Servidores

Un objeto de servidor, en la clase de servidor, representa computadoras servidor, incluyendo DCs. Los objetos de servidor se tratan como principios de seguridad que se almacenan en una partición de directorio separada y tienen identificadores únicos globales (GUIDs) separados.

  • Configuración de NTDS

Los objetos de configuración NTDS están en la clase nTDSDSA y representan una instancia de Active Directory en un DC específico.

  • Conexiones

Los objetos de conexión están en la clase nTDSConnection y definen una ruta unidireccional de entrada desde un DC de origen al DC que almacena el objeto de conexión.

  • Enlaces del sitio

Los objetos de enlace de sitio están en la clase siteLink y identifican el protocolo y el horario para replicar datos entre dos o más sitios.

  • Configuración del sitio NTDS

Los objetos de configuración de sitio NTDS están en la clase nTDSSiteSettings e identifican la configuración de todo el sitio para Active Directory. Solo hay un objeto de configuración de sitio NTDS por sitio en el contenedor de Sitios.

  • Cruce de referencias

Los objetos de referencia cruzada están en la clase crossRef y almacenan la ubicación de las particiones de Active Directory en el contenedor Partitions.

El diagrama a continuación muestra un entorno típico de two-site Active Directory con algunos de los componentes de replicación.

Comandos y herramientas de replicación

A partir de Windows PowerShell en Windows Server 2012, hay 25 cmdlets para administrar específicamente la replicación de Active Directory. Estos cmdlets ofrecen funcionalidades como ver la información de replicación, configurar sitios, gestionar enlaces de sitios y forzar la ocurrencia de la replicación.

La herramienta de línea de comandos RepAdmin.exe también está disponible para proporcionar información y configurar la replicación de Active Directory.

Otra herramienta de replicación es la Active Directory Replication Status Tool. Está disponible en http://www.microsoft.com/en-us/download/details.aspx?id=30005. Puede utilizarla para analizar y solucionar problemas de replicación de Active Directory.

Más información sobre los fundamentos de Active Directory la encontrará en nuestro AD tutorial for beginners.

Compartir en

Aprende más

Acerca del autor

Asset Not Found

Brian Svidergol

TI

Experto en infraestructura de Microsoft y soluciones basadas en la nube alrededor de Windows, Active Directory, Azure, Microsoft Exchange, System Center, virtualización y MDOP. Además de escribir libros, Brian crea contenido de formación, documentos técnicos y es revisor técnico en un gran número de libros y publicaciones.

Aprende más sobre este tema

Leyes de Privacidad de Datos por Estado: Diferentes Enfoques para la Protección de la Privacidad

Ejemplo de Análisis de Riesgos: Cómo Evaluar los Riesgos

El Triángulo de la CIA y su Aplicación en el Mundo Real

¿Qué es la gestión de registros electrónicos?

Análisis Cuantitativo de Riesgo: Expectativa de Pérdida Anual

Últimos blogs

Los próximos cinco minutos de cumplimiento: construyendo seguridad de datos basada en la identidad a través de APAC

Gestión de configuración para el control seguro de Endpoint

Clasificación de datos y DLP: Prevenga la pérdida de datos, demuestre el cumplimiento

Cumplimiento de CMMC y el papel crítico del control de USB estilo MDM en la protección de CUI

DSPM, ASM y ITDR: Construyendo una estrategia de seguridad consciente de la exposición y basada en datos

De ruido a acción: convirtiendo el riesgo de datos en resultados medibles

IA en el trabajo: Velocidad, riesgo y por qué la simplicidad triunfa

Leyes de Privacidad de Datos por Estado: Diferentes Enfoques para la Protección de la Privacidad

Ejemplo de Análisis de Riesgos: Cómo Evaluar los Riesgos

El Triángulo de la CIA y su Aplicación en el Mundo Real

Nuestros artículos más destacados

Tipos comunes de dispositivos de red y sus funciones

Cómo ejecutar un script de PowerShell desde el Programador de tareas

Cómo instalar y usar Active Directory Users and Computers (ADUC)?

Descargue e instale PowerShell 7

Los ataques cibernéticos más grandes y notorios de la historia

Comandos esenciales de PowerShell: Una guía rápida para principiantes

Una visión general del ciberataque MGM

Extracción de hashes de contraseñas del archivo Ntds.dit

Guía para montar comparticiones Unix con un cliente NFS de Windows

Cómo los puertos abiertos inseguros y vulnerables representan serios riesgos de seguridad