Active Directory Sites and Services && Subnet mapping

  • Article

Hoje escrevo sobre optimização da Active Directory, Sites e Subnets.

 

Na Active directory é de extrema importância ter todas as subnets associadas a um Site, dado que a localização de um controlador de domínio (para efeitos de logon) depende de uma configuração coerente dos sites
e subnets.

 

Por vezes, ao criar exceções e/ou subnets que partilham endereços, alguns clientes ficam associados ao site errado. A resolução de conflitos, no que respeita às subnets e correspondente associação aos sites, funcionada da seguinte forma:

1 Floresta /1 Domínio > Teste.com

3 Sites > Site1 – Site2 – Site3

4 Subnets

1-     192.168.0.0/24           intervalo: (192.168.0.1- 192.168.0.254)       -> Site1

2-     172.16.0.0/16             intervalo:(172.16.0.1 - 172.16.255.254)       -> Site2

3-     10.0.0.0/24                 intervalo: (10.0.0.1 - 10.0.0.254)                  -> Site3

4-     172.16.0.0/25             intervalo: (172.16.0.1 - 172.16.0.254)          -> Site1

 

No exemplo anterior temos um conflito entre as subnets 2 e 4:

  • 2  172.16.0.1 - 172.16.255.254
  • 4  172.16.0.1 - 172.16.0.254

 

Os endereços IP’s entre 172.16.0.1 e 172.16.0.254 pertencem às duas subnets, sendo que cada uma delas está associada a um site diferente.

Aqui entra o mecanismo de resolução de conflitos e aplica-se uma regra que decide que a subnet com o menor intervalo de endereços, ou bit mais elevado, é a subnet vencedora.

Neste caso, todos os endereços entre 172.16.0.1 e 172.16.0.254 (correspondentes à subnet 172.16.0.0/25) serão associados ao SITE1.

 

Um cliente cujo endereço pertença a uma subnet que não esteja associada a um site vai escolher um controlador de domínio de forma aleatória. Temos sempre a possibilidade de nos basear nas mnemónicas DNS para limitar os locais onde um controlador de domínio vai escrever os seus registos SRV e/ou criar supernets e desta forma abranger a maioria dos clientes e associa-los a um site específico.

 

Brevemente num futuro post iremos discutir a localização de controladores de domínio de uma forma mais aprofundada, nomeadamente sobre o serviço NETLOGON que é o responsável, entre outras tarefas, pela localização dos controladores de domínio.