Replikáció és konfigurációkészletek

Az Active Directory Lightweight Directory-szolgáltatások (AD LDS) replikáció alkalmazásával biztosít hibatűrést és terheléselosztást a címtárszolgáltatásoknak. Az AD LDS által használt replikációs típus a több főkiszolgálós replikáció. A replikáció során az AD LDS az adott AD LDS-példányon lévő címtárpartíción végrehajtott címtáradat-frissítéseket az ugyanazon címtárpartíció másolatait tároló további AD LDS-példányokra másolja. Ez utóbbi AD LDS-példányok konfigurációkészletnek nevezett logikai csoportokat alkotnak.

Több főkiszolgálós replikáció

A több főkiszolgálós replikáció azt jelenti, hogy bármely AD LDS-példány címtáradatain módosításokat lehet végrehajtani, és ezeket a változtatásokat az AD LDS automatikusan replikálja a konfigurációkészlet többi tagjára is. A több főkiszolgálós replikációt az adatok kismérvű konzisztenciája és konvergencia jellemzi. Egy adott AD LDS-példány címtárpartíciójában tárolt adatok módosításakor az ezen címtárpartíció más AD LDS-példányokon lévő replikái inkonzisztenssé válnak a címtárpartíció legújabb replikájához (azaz a módosításokat tartalmazó partícióhoz) viszonyítva. Mivel a változtatások replikálása a konfigurációkészleten keresztül zajlik, valamennyi partícióreplika újra azonos lesz, vagyis a legújabb adatoknak megfelelőek lesznek.

Konfigurációkészletek

Az AD LDS-példányok a konfigurációkészletben történő részvételnek megfelelően replikálják az adatokat. Az egyazon konfigurációkészletbe tartozó AD LDS-példányoknak közös konfigurációs címtárpartíciót és a séma közös címtárpartícióját kell replikálniuk, noha tetszőleges számú alkalmazásspecifikus címtárpartíciót is replikálhatnak. A konfigurációkészletben lévő AD LDS-példányoknak nem kötelező replikálniuk a készletbeli összes alkalmazásspecifikus címtárpartíciót. Egy adott Active Directory LDS-példány a saját konfigurációs készletében tárolt összes alkalmazásspecifikus címtárpartíciót (vagy azok bármely alkészletét) replikálhatja. de más konfigurációkészletben található alkalmazásspecifikus címtárpartíciót nem.

A következő ábrán két AD LDS szolgáltatásbeli konfigurációkészlet és mindegyikben két AD LDS-példány található. Az ábrán jól látszik, hogy egy számítógép több AD LDS-példányt is futtathat külön-külön konfigurációkészletekben.

Két AD LDS konfigurációs készlet két példánnyal
Megjegyzés

Az AD LDS-példányok csak a példánytelepítés során adhatók hozzá a konfigurációkészlethez.

Replikációs ütközések megelőzése

Tegyük fel, hogy két különböző felhasználó ugyanazon adatokat módosítja ugyanazon címtárpartíció két különböző AD LDS-példányon tárolt replikáin. Ebben az esetben mindkét AD LDS-példány megkísérli a módosítások replikálását, ez pedig ütközéshez vezet. Az ütközés feloldása érdekében azon replikációs partnerek, amelyek megkapják ezeket az ütköző módosításokat, megvizsgálják az azokban található attribútumadatokat (ezek mindegyike egy verziószámot és egy időbélyeget tartalmaz). Az AD LDS-példányok a magasabb verziószámú módosítást fogadják el, és elvetik a többi módosítást. Amennyiben azonosak a verziószámok, az AD LDS-példányok a legújabb időbélyeggel ellátott módosítást fogadják el.

Ha egy objektum több értékkel rendelkező attribútumának két vagy több értékét egyszerre frissítik két különböző AD LDS-példányon, a rendszer csak az egyik frissített értéket replikálja. Ez azt jelenti, hogy a több értékkel rendelkező attribútumok két különböző AD LDS-példányon végrehajtott egyidejű frissítése ütközést okoz, még akkor is, ha a frissítések a több értékkel rendelkező attribútum más-más értékeire vonatkoznak. E szabály alól kizárólag a csatolt értékek attribútumai (például a csoporttagságok) jelentenek kivételt, amelyek engedélyezik a csatolt érték attribútumán belüli különböző értékek egyidejű frissítését.

Replikációs topológia

Az AD LDS-példányok részeként működő tudáskonzisztencia-ellenőrző (KCC) folyamat automatikusan a leghatékonyabb replikációs topológiát állítja össze a hálózati adottságok alapján. A tudáskonzisztencia-ellenőrző a környezetben végrehajtott hálózati módosítások figyelembevételével rendszeresen újból kiszámítja a replikációs topológiát.

Megjegyzés

Minden AD LDS szolgáltatásbeli konfigurációkészlet saját replikációs topológiát tart fenn, elkülönítve azt az Active Directory esetleges létező replikációs topológiájától. A címtárpartíciók nem replikálhatók az AD LDS-példányok és az Active Directory tartományvezérlői között.

A replikáció biztonsága

A replikációs műveletek biztonsága végett az AD LDS biztonságos csatornán keresztül mindig hitelesíti a replikációs partnereket a replikáció megkezdése előtt. Az AD LDS a Security Support Provider Interface (SSPI) eljárással hozza létre a megfelelő hitelesítési biztonsági szintet a replikációs partnerek között. Az adott konfigurációkészleten belül alkalmazott replikációs hitelesítés módja a konfigurációs címtárpartíció msDS-ReplAuthenticationMode attribútumának értékétől függ. A replikációs partnerek sikeres hitelesítését követően a rendszer titkosítja a partnerek közötti teljes adatforgalmat.

Az alábbi táblázat a replikációs hitelesítés biztonsági szintjeit, valamint az egyes szintekhez tartozó msDS-ReplAuthenticationMode attribútum értékét tartalmazza. Egy új egyedi AD LDS-példány alapértelmezett replikációs biztonsági szintje 1, kivéve, ha egy helyi munkaállomás felhasználói fiókja az AD LDS szolgáltatásfiókjaként lett definiálva. Ebben az esetben a replikációs biztonsági szint 0.

Replikációs biztonsági szint Hitelesítési mód Leírás Támogatott környezetek

Kölcsönös hitelesítés Kerberos protokollal

2

Egyszerű szolgáltatásneveket használó, Kerberos típusú hitelesítést kell végrehajtani. Ha a Kerberos típusú hitelesítés nem sikerül, az AD LDS-példányok replikációjára nem kerül sor.

A konfigurációkészlet teljes egészében AD DS-alapú tartomány, erdő vagy erdőszintű bizalmi kapcsolat része kell, hogy legyen.

Egyezményes

1

A rendszer először Kerberos típusú hitelesítésre tesz kísérletet (egyszerű szolgáltatásnevek használatával). Ha a Kerberos típusú hitelesítés nem sikerül, a program NTLM-hitelesítésre tesz kísérletet. Ha az NTLM-hitelesítés nem sikerül, az AD LDS-példányok replikációjára nem kerül sor.

A konfigurációkészlet Microsoft Windows NT® 4.0 rendszerű tagkiszolgálókat tartalmazhat.

Egyezményes bejelentkezés

0

A konfigurációkészlet összes AD LDS-példányának az AD LDS szolgáltatásfiókjáéval megegyező fióknevet és jelszót kell használnia.

A konfigurációkészlet egy vagy több munkacsoporthoz vagy több, egymással bizalmi kapcsolatban nem álló tartományhoz vagy erdőhöz csatlakozó számítógépeket foglalhat magában.

Az AD LDS szolgáltatásban végrehajtott replikáció biztonsága érdekében ajánlott megfogadni az alábbi gyakorlati tanácsokat.

  • Mindig az adott környezet által támogatott legmagasabb szintű replikációs biztonsági megoldást kell alkalmazni.

  • AD DS-környezetekben lehetőség szerint nem tartományvezérlőkön, hanem tagkiszolgálókon kell futtatni az AD LDS szolgáltatást.

  • Ha az AD LDS szolgáltatás AD DS-környezetben működő tartományvezérlőn fut, az AD LDS szolgáltatásfiókjaként ne a Hálózati szolgáltatás fiókot adja meg. Ehelyett felügyeleti jogosultságok nélküli tartományi felhasználói fiókot használjon.

  • Munkacsoportra vagy Windows NT 4.0 rendszerre épülő környezetekben ne adjon meg felügyeleti jogosultságokkal bíró fiókot az AD LDS szolgáltatásfiókjaként.

  • Szigorú elkülönítési követelményekkel működő alkalmazások esetén külön konfigurációkészleteket kell használni.

Az AD LDS szolgáltatásfiókokkal szemben támasztott replikációs követelményeiről a Szolgáltatásfiók kijelölése című témakörben olvashat.

További hivatkozások


Tartalom