Como mudar a replicação entre Sites e Objetos de Conexão no Active Directory utilizando o atributo option - Windows Server 2025

 A replicação do Active Directory entre sites é governada pelas propriedades dos objetos de conexão, que são gerados automaticamente pelo KCC (Knowledge Consistency Checker) ou criados manualmente por administradores em cenários específicos.

Documentação Learn: https://learn.microsoft.com/pt-br/windows-server/identity/ad-ds/plan/setting-site-link-properties 

Quando o KCC constrói esses objetos, ele utiliza como referência as propriedades do link de site (Site Link Object), que representam logicamente as conexões WAN (Wide Area Network) entre dois ou mais sites. Cada link de site reflete, em nível lógico, a disponibilidade e as características do tráfego de replicação que a organização deseja impor entre localidades.

Propriedades críticas de um link de site

1. Custo do link de site (Site Link Cost)

   • O custo é um valor administrativo que expressa a “preferência” de uso de um link em relação a outros.

   • O KCC sempre seleciona a rota com o menor custo total acumulado para alcançar um destino.

   • Valores típicos: links de fibra/metropolitanos → custo baixo (50, 100); links de satélite ou VPN lenta → custo alto (500, 1000).

   • Exemplo prático: se o Site A precisa replicar com o Site C, mas existe um caminho A→B→C mais barato que o A→C direto, o KCC priorizará a rota via Site B.

2. Agendamento de replicação (Replication Schedule)

   • Define em quais janelas de tempo a replicação é permitida entre sites.

   • Escala: blocos de 15 minutos ao longo da semana.

   • Exemplo prático: em links caros (ex.: MPLS com cobrança por tráfego), o administrador pode restringir a replicação para ocorrer apenas durante a madrugada.

3. Intervalo de replicação (Replication Interval)

   • Define a frequência de replicação dentro das janelas de tempo permitidas pelo agendamento.

   • Valor mínimo: 15 minutos.

   • Exemplo prático: se um link está configurado para replicar a cada 180 minutos, alterações feitas em um site podem demorar até 3 horas para aparecer nos DCs do outro site (a não ser que se use USE_NOTIFY para acelerar).

Cenários de aplicação

• Filiais com links instáveis ou caros

  • Configura-se um alto custo e um agendamento restrito, para que a replicação ocorra apenas em horários controlados.

• Datacenters com links redundantes

  • Vários links podem existir entre dois grandes sites; o KCC sempre escolherá o caminho com menor custo. Em falha de link, ele recalcula automaticamente e usa a segunda melhor rota.

• Replicação sensível a tempo (senhas e logons)

• Para reduzir latência, além de custo baixo e intervalos curtos, pode-se aplicar o atributo options = USE_NOTIFY, fazendo com que alterações sejam notificadas imediatamente, acelerando a convergência.

Resumo técnico:

A replicação entre sites do Active Directory é controlada pelos objetos de link de site, cujas propriedades determinam rota (custo), período permitido (agendamento) e frequência (intervalo de replicação). O KCC usa essas informações para construir uma topologia eficiente, equilibrando disponibilidade, latência e custo de tráfego conforme as características da rede corporativa.

O que é o atributo options

Dentro do Active Directory Sites and Services (dssite.msc), cada link de replicação entre dois controladores de domínio (DCs) possui propriedades.
Entre elas, o atributo options, que pode ser configurado via ADSI Edit ou ferramentas avançadas.

Ele funciona como um campo de bits (bitmask) que habilita/desabilita determinados comportamentos de replicação.

Foco no USE_NOTIFY

Um dos valores mais utilizados para esse atributo é o USE_NOTIFY, que ativa as notificações imediatas.

• Sem USE_NOTIFY (valor padrão em muitos links):

  • O DC aguarda o replication schedule ou um delay padrão (até 15 minutos) antes de avisar seus parceiros que houve mudanças.

  • Isso pode gerar latência na replicação (principalmente em ambientes grandes).

• Com USE_NOTIFY habilitado:

  • Assim que um DC recebe/gera uma alteração (ex.: novo usuário, mudança de senha, atualização de grupo), ele notifica imediatamente seus parceiros configurados.

  • Os parceiros iniciam a replicação sem esperar o agendamento.

  • Isso reduz drasticamente o tempo de propagação de mudanças.

Isso é crítico em senhas: sem notificação, pode demorar minutos para a senha replicar em todos os DCs; com notificação, o processo é quase instantâneo.

Valores comuns do atributo options

• 0 → padrão, sem notificações imediatas.

• 1 → USE_NOTIFY: habilita notificação imediata.

• 2 → TWOWAY_SYNC: força replicação bidirecional imediata.

• 4 → DISABLE_INBOUND_REPL: desabilita replicação inbound.

• 8 → DISABLE_OUTBOUND_REPL: desabilita replicação outbound.

(Esses valores podem ser somados se mais de uma flag estiver ativa, por isso você vê valores como 5, 9, etc.)

Cuidados

• Habilitar USE_NOTIFY em todos os links de um ambiente gigante pode aumentar tráfego de rede.

• O ideal é usar em sites críticos ou em links de alta prioridade (como DCs de hubs).

• Sempre alinhar com o replication schedule já configurado.

Como configurar (exemplo via ADSI Edit)

1. Abra o ADSI Edit.

2. Conecte em Configuration → Sites → <Site> → Servers → <DC> → NTDS Settings → Conexão.

3. Abra as propriedades da conexão.

4. Localize o atributo options.

5. Altere o valor para 1 (habilita USE_NOTIFY).

O atributo options com USE_NOTIFY garante que os DCs notifiquem imediatamente seus parceiros de replicação quando houver mudanças, reduzindo a latência na propagação de objetos críticos (como senhas, grupos e permissões).

Tabela de valores do atributo options

Valor	Flag (constante)	O que faz
0	(padrão)	Nenhuma opção especial definida.
1	USE_NOTIFY	Habilita notificações imediatas: o DC notifica o parceiro assim que há alteração, sem esperar o intervalo de replicação agendado.
2	TWOWAY_SYNC	Força sincronização bidirecional imediata quando a conexão é usada (em vez de apenas replicação unidirecional normal).
4	DISABLE_INBOUND_REPL	Desabilita replicação de entrada (inbound). O DC não aceitará atualizações desse parceiro.
8	DISABLE_OUTBOUND_REPL	Desabilita replicação de saída (outbound). O DC não enviará atualizações para esse parceiro.
16	SCHEDULE_MASK (reservado)	Usado internamente para manipular agendamento de replicação (não alterar manualmente).
32	NONDOMAIN_NCS_ONLY	Restringe replicação apenas para partições não de domínio (ex.: Configuração, Esquema).
64	DISABLE_AUTHENTICATION	Desabilita autenticação Kerberos/NTLM nessa conexão (raro e não recomendado).
128	DISABLE_COMPRESSION	Desativa compressão na replicação — útil apenas em links rápidos/locais.
2147483648	RODC_TOPOLOGY	Usado quando a conexão envolve um Read-Only Domain Controller (RODC).

Como interpretar combinações

Como é um campo de bits, o valor pode ser a soma de várias flags.
Exemplos:

• 5 = 1 (USE_NOTIFY) + 4 (DISABLE_INBOUND_REPL)

• 9 = 1 (USE_NOTIFY) + 8 (DISABLE_OUTBOUND_REPL)

Boas práticas

• USE_NOTIFY (1): recomendável em links rápidos/entre hubs para reduzir latência.

• TWOWAY_SYNC (2): usado raramente, só em cenários muito específicos.

• DISABLE_INBOUND/OUTBOUND (4/8): útil para troubleshooting ou cenários de isolar DC, mas perigoso em produção.

• 128 (sem compressão): só em LAN muito rápida.

• Outros valores (16, 32, 64, 2147483648) são casos avançados e raramente ajustados manualmente.