Qual é o papel da GPO 'Try Next Closest Site' - Windows Server 2025

byEduardo Popovici -
0

 


Essa GPO fica localizada em:

1. Computer Configuration → Policies → Administrative Templates → System → Netlogon → DC Locator DNS Records

2. Configuração do Computador → Modelos Administrativos → Sistema → Logon de Rede → Registros DNS do localizador de controladores de domínio

Lá você encontra o Testar Site mais Próximo (Try Next Closest Site)


Documentação oficial no Learn: https://learn.microsoft.com/pt-br/windows-server/identity/ad-ds/plan/enabling-clients-to-locate-the-next-closest-domain-controller 

O que ela faz

Essa política define o comportamento do cliente ao localizar um Controlador de Domínio (DC) usando o mecanismo de DC Locator do Active Directory.

  • Normalmente, quando um cliente vai autenticar, ele procura um DC dentro do site do AD em que está configurado (com base no IP/Subnet).

  • Se não encontrar um DC disponível no site, o comportamento padrão é que ele escolha qualquer outro DC da floresta, mesmo que esteja em um site distante (podendo gerar latência e tráfego WAN desnecessário).

  • Com a GPO "Try Next Closest Site" habilitada:

    • O cliente não vai escolher qualquer DC aleatório.

    • Ele usará a topologia de sites e links do AD para determinar o site mais próximo (menor custo de link) e tentará localizar um DC lá.

Em resumo: garante que, se não houver DC no site local, o cliente procure um DC no próximo site mais próximo topologicamente, reduzindo impacto de latência e evitando escolhas ruins.

Descritivo da GPO.

Essa configuração de política permite que o Localizador de Controladores de Domínio tente localizar um controlador de domínio no site mais próximo com base no custo do link do site, caso um controlador de domínio no mesmo site não seja encontrado. Em cenários com vários sites, o failover para o site mais próximo durante a localização do controlador de domínio simplifica o tráfego de rede.

O serviço Localizador de Controladores de Domínio é usado pelos clientes para localizar controladores de domínio em seus domínios do Active Directory. O comportamento padrão do Localizador de Controladores de Domínio é localizar um controlador de domínio no mesmo site. Se nenhum for localizado no mesmo site, um controlador de domínio de outro site, que pode estar a vários sites de distância, pode ser retornado pelo Localizador de Controladores de Domínio. A proximidade entre dois sites é determinada pelo custo total de link de site entre eles. Um site estará mais próximo se tiver um custo de link de site menor do que outro site com um custo de link de site maior. 

Quando você habilita‏ essa configuração de política, o Local de Controladores de Domínio do recurso Tentar Site mais Próximo é habilitado no computador.

Quando você desabilita‏ essa configuração de política, o Local de Controladores de Domínio do recurso Tentar Site mais Próximo não é usado por padrão no computador. No entanto, se for feita uma chamada do Localizador de Controladores de Domínio usando explicitamente o sinalizador DS_TRY_NEXTCLOSEST_SITE, o comportamento Tentar Site mais Próximo será mantido.

Quando você não define‏ essa configuração de política, o Local de Controladores de Domínio do recurso Tentar Site mais Próximo não é usado por padrão no computador. Quando o sinalizador DS_TRY_NEXTCLOSEST_SITE é usado explicitamente, o comportamento de Site mais Próximo é usado.


Quando usar

  • Ambientes distribuídos com múltiplos sites AD interligados por links WAN.

  • Empresas que querem controlar tráfego de autenticação (ex.: evitar que clientes de uma filial pequena se autentiquem direto em um DC do datacenter principal, pulando filiais mais próximas).

  • Situações em que já existe uma topologia de sites e custos bem configurada no AD.

Cenários onde a Try Next Closest Site é melhor aplicada

1. Filiais sem DC local

  • Uma filial pequena não tem um controlador de domínio (DC).

  • Os computadores dessa filial precisam buscar autenticação fora.

  • Sem a GPO: eles podem cair em qualquer DC da floresta, até em um site distante, aumentando latência.

  • Com a GPO: eles vão procurar primeiro o site topologicamente mais próximo (menor custo de link), evitando pular para um site longínquo.

➡ Exemplo: Filial em Campinas sem DC → em vez de autenticar direto em São Paulo (Datacenter principal), pode autenticar em Jundiaí, que tem link mais barato/rápido.

2. Topologia com vários sites intermediários

  • Em empresas com rede em “malha parcial” ou hierarquia de sites, um DC pode estar mais próximo em termos de rota de rede, mesmo não sendo o principal.

  • A GPO garante que o cliente siga a lógica de custos definida nos Site Links do AD.

➡ Exemplo:

Matriz em SP → Filial em RJ → Filial em Vitória.
Se Vitória não tem DC:

  • Sem GPO: Vitória pode cair em SP direto (pior latência).

  • Com GPO: Vitória cai em RJ (site mais próximo), e só se RJ não estiver disponível, tenta SP.

Obs, você consegue testar essa configuração com um pequeno laboratório. No meu caso tenho dois controladores de domínio com Windows Server 2025 Datacenter e um servidor membro com Server Core Datacenter 2025.


3. Sites críticos e sites de backup

  • Em cenários de alta disponibilidade ou DR (Disaster Recovery), você pode planejar para que, se o DC do site local cair, os clientes vão para o site de backup mais próximo em vez de espalhar logons para DCs aleatórios.

➡ Exemplo:
Datacenter Primário (São Paulo) + DR (Curitiba).
Se os DCs de SP falharem, clientes do interior paulista devem ir para Curitiba (mais próximo), não para Brasília ou outro DC da floresta.

4. Ambientes com links WAN de custo diferenciado

  • Quando há links caros (ex.: MPLS, satélite) e links baratos (ex.: fibra), usar essa GPO evita que autenticações usem links indesejados.

➡ Exemplo:
Um escritório remoto com link caro de satélite → sem GPO, pode cair em um DC via esse link.
Com GPO, segue a rota mais barata definida no custo do site link.

Quando não faz sentido usar

  • Ambientes com um único site ou sem topologia de sites bem definida.

  • Se as sub-redes não estão corretamente mapeadas para sites → a GPO pode causar comportamento imprevisível.

  • Ambientes pequenos onde qualquer DC pode atender sem impacto.

Resumo prático:

A GPO Try Next Closest Site é melhor aplicada quando:

  • Você tem múltiplos sites AD bem configurados com sub-redes atribuídas,

  • Existem filiais sem DC local,

  • E você quer garantir autenticação no DC mais próximo em termos de custo de link, reduzindo latência e tráfego WAN desnecessário.

Cenário onde não usar:

Por exemplo, quando sua rede contém uma floresta AD DS com três sites (Site1, Site2, Site3). Imagine que você abriu uma filial com apenas computadores cliente (sem nenhum servidor) e precisa garantir que eles sejam autenticados pelos DCs do Site1. Este é um caso em que não faz nenhum sentido usar essa GPO.

Veja, a autenticação é controlada pela associação de sub-redes a sites no Active Directory Sites and Services. A GPO 'Try Next Closest Site' só entra em ação quando não há DC disponível no site atribuído. Para garantir autenticação no Site1, a sub-rede da filial deve ser associada ao Site1.

Observações importantes

  • Para funcionar corretamente, é essencial que as subnets estejam devidamente atribuídas aos sites no AD.

  • Se a topologia não estiver bem desenhada, habilitar essa GPO pode causar comportamento inesperado (clientes indo para DCs não planejados).

  • Essa GPO não força fallback imediato — primeiro o cliente ainda tenta o DC do seu site local.

Resumindo:

A "Try Next Closest Site" instrui os clientes a procurarem um DC no site mais próximo na topologia do AD, caso o site local não tenha DCs disponíveis, evitando conexões diretas e desordenadas com DCs distantes.



Tags:

Postar um comentário

Comente sem faltar com respeito - ;-)

Postagem Anterior Próxima Postagem