Replikacja i zestawy konfiguracyjne
Usługi LDS w usłudze Active Directory (AD LDS, Active Directory Lightweight Directory Services) korzystają z replikacji w celu zapewnienia odporności na uszkodzenia i równoważenia obciążenia dla usług katalogowych. Typ replikacji używanej w usługach LDS w usłudze AD to replikacja z wieloma wzorcami. Podczas replikacji usług LDS w usłudze AD kopiują aktualizacje danych katalogu, które zostały wprowadzone w partycji katalogu określonego wystąpienia tych usług, do innych wystąpień usług LDS w usłudze AD, w których są przechowywane kopie tej samej partycji katalogu. Wystąpienia usług LDS w usłudze AD, w których są przechowywane kopie tej samej partycji katalogu (lub kilku partycji), stanowią grupę logiczną nazywaną zestawem konfiguracyjnym.
Replikacja z wieloma wzorcami
Replikacja z wieloma wzorcami umożliwia zmienianie danych katalogu w dowolnym wystąpieniu usług LDS w usłudze AD. Wprowadzone zmiany są automatycznie replikowane przez usługi LDS w usłudze AD do innych elementów członkowskich zestawu konfiguracyjnego. Replikacja z wieloma wzorcami charakteryzuje się swobodną spójnością danych oraz zbieżnością. Gdy dane w określonej partycji katalogu w jednym z wystąpień usług LDS w usłudze AD ulegną zmianie, repliki tej partycji katalogu przechowywane w innych wystąpieniach tych usług utracą spójność z najbardziej aktualną repliką partycji katalogu (partycją, na której wprowadzono zmiany). Replikacja zmian w zestawie konfiguracyjnym spowoduje jednak, że wszystkie repliki partycji ponownie będą identyczne, co jest nazywane zbieżnością do najnowszych danych.
Zestawy konfiguracyjne
W wystąpieniach usług LDS w usłudze AD dane są replikowane na podstawie przynależności do zestawu konfiguracyjnego. We wszystkich wystąpieniach usług LDS w usłudze AD przyłączonych do tego samego zestawu konfiguracyjnego musi być wykonywana replikacja wspólnej partycji katalogu konfiguracji i wspólnej partycji katalogu schematu. W wystąpieniach usług LDS w usłudze AD należących do zestawu konfiguracyjnego może być też replikowana dowolna liczba partycji katalogu aplikacji. W wystąpieniach usług LDS w usłudze AD należących do zestawu konfiguracyjnego nie muszą być replikowane wszystkie partycje katalogu aplikacji w danym zestawie konfiguracyjnym. W pojedynczym wystąpieniu usług LDS w usłudze AD można wykonywać replikację wszystkich partycji katalogu aplikacji w danym zestawie konfiguracyjnym lub dowolnego podzbioru tych partycji. W wystąpieniu usług LDS w usłudze AD nie może być jednak replikowana partycja katalogu aplikacji z innego zestawu konfiguracyjnego.
Na poniższej ilustracji przedstawiono dwa przykładowe zestawy konfiguracyjne usług LDS w usłudze AD. Każdy z nich zawiera dwa wystąpienia tych usług. Jak pokazano na ilustracji, na jednym komputerze może być uruchomionych wiele wystąpień usług LDS w usłudze AD - każde z nich w innym zestawie konfiguracyjnym.
 | Uwaga |
|
Wystąpienie usług LDS w usłudze AD można przyłączyć do zestawu konfiguracyjnego tylko podczas instalacji tego wystąpienia. |
Zapobieganie konfliktom replikacji
Dwóch różnych użytkowników może zmienić te same dane w replikach tej samej partycji katalogu w dwóch różnych wystąpieniach usług LDS w usłudze AD. W takim przypadku oba wystąpienia usług LDS w usłudze AD podejmą próbę replikacji zmian, co spowoduje konflikt. Aby rozwiązać ten konflikt, partnerzy replikacji, którzy odbierają zmiany będące w konflikcie, sprawdzają atrybuty tych zmian, takie jak wersja i sygnatura czasowa. Wystąpienia usług LDS w usłudze AD akceptują zmianę z wyższym numerem wersji, a drugą zmianę odrzucają. Jeśli wersje są identyczne, wystąpienia usług LDS w usłudze AD akceptują zmianę z nowszą sygnaturą czasową.
Jeśli w atrybucie wielowartościowym zostaną jednocześnie zaktualizowane dwie lub większa liczba wartości w dwóch różnych wystąpieniach usług LDS w usłudze AD, tylko jedna z tych wartości zostanie zreplikowana. Innymi słowy, jednoczesne aktualizacje atrybutu wielowartościowego w dwóch różnych wystąpieniach usług LDS w usłudze AD powodują konflikt nawet wówczas, gdy dotyczą różnych wartości w tym samym atrybucie wielowartościowym. Jedynym wyjątkiem od tej reguły są atrybuty o wartościach połączonych (takie jak członkostwo w grupie), w których można jednocześnie aktualizować różne wartości.
Topologia replikacji
Narzędzie sprawdzania spójności informacji (KCC, Knowledge Consistency Checker) jest procesem działającym jako część każdego wystąpienia usług LDS w usłudze AD, który automatycznie konstruuje najwydajniejszą topologię dla ruchu danych replikacji na podstawie struktury sieci. Narzędzie KCC co pewien czas ponownie oblicza topologię replikacji, aby dostosować ją do ewentualnych zmian w środowisku sieci.
| Uwaga |
|
Każdy zestaw konfiguracyjny usług LDS w usłudze AD utrzymuje własną topologię replikacji oddzielnie od istniejących topologii replikacji usług domenowych w usłudze Active Directory (AD DS, Active Directory Domain Services). Partycje katalogu nie mogą być replikowane między wystąpieniami usług LDS w usłudze AD i kontrolerami domeny usług domenowych w usłudze AD. |
Zabezpieczanie replikacji
Aby zagwarantować bezpieczeństwo replikacji, partnerzy replikacji są zawsze uwierzytelniani w usługach LDS w usłudze AD przed rozpoczęciem replikacji. Uwierzytelnianie zawsze odbywa się za pośrednictwem bezpiecznego kanału. Odpowiedni poziom zabezpieczeń uwierzytelniania między partnerami replikacji jest ustanawiany w usługach LDS w usłudze AD przy użyciu interfejsu dostawcy obsługi zabezpieczeń (SSPI). Metoda używana do uwierzytelniania podczas replikacji w zestawie konfiguracyjnym jest zależna od wartości atrybutu msDS-ReplAuthenticationMode dla partycji katalogu konfiguracji. Po pomyślnym uwierzytelnieniu partnerów replikacji cały ruch replikacji między partnerami jest szyfrowany.
Poniższa tabela zawiera opis poziomów zabezpieczeń uwierzytelniania podczas replikacji i odpowiednie wartości atrybutu msDS-ReplAuthenticationMode dla poszczególnych poziomów zabezpieczeń. Domyślnym poziomem zabezpieczeń replikacji w nowym, unikatowym wystąpieniu usług LDS w usłudze AD jest 1, chyba że lokalne konto użytkownika stacji roboczej zostało określone jako konto usług LDS w usłudze AD. W przypadku określenia lokalnego konta stacji roboczej jako konta usługi usług LDS w usłudze AD zostanie ustawiony poziom zabezpieczeń replikacji o wartości 0.
| Poziom zabezpieczeń replikacji | Tryb uwierzytelniania | Opis | Obsługiwane środowiska |
|---|---|---|---|
|
Uwierzytelnienie obustronne Kerberos |
2 |
Uwierzytelnianie Kerberos przy użyciu głównych nazw usługi (SPN) jest wymagane. Jeśli uwierzytelnianie Kerberos nie powiedzie się, replikacja wystąpień usług LDS w usłudze AD nie będzie wykonywana. |
Zestaw konfiguracyjny musi w całości należeć do domeny, lasu lub zaufania lasu usług domenowych w usłudze AD. |
|
Uwierzytelnianie negocjowane |
1 |
Najpierw jest podejmowana próba uwierzytelnienia Kerberos (przy użyciu głównych nazw usługi). Jeśli uwierzytelnianie Kerberos nie powiedzie się, podejmowana jest próba uwierzytelnienia NTLM. Jeśli uwierzytelnianie NTLM nie powiedzie się, replikacja wystąpień usług LDS w usłudze AD nie będzie wykonywana. |
Zestaw konfiguracyjny może zawierać serwery członkowskie z systemem Microsoft Windows NT® 4.0. |
|
Przekazywane uwierzytelnianie negocjowane |
0 |
Wszystkie wystąpienia usług LDS w usłudze AD w zestawie konfiguracyjnym będą używać identycznej nazwy konta usług LDS w usłudze AD oraz identycznego hasła. |
Zestaw konfiguracyjny może zawierać komputery przyłączone do jednej lub większej liczby grup roboczych albo do wielu domen lub lasów bez relacji zaufania. |
Aby zachować bezpieczeństwo replikacji w usługach LDS w usłudze AD, zaleca się postępowanie według następujących wskazówek:
-
Należy używać najwyższego poziomu zabezpieczeń replikacji, jaki obsługuje środowisko.
-
W środowisku usług domenowych w usłudze AD zalecane jest uruchamianie usług LDS w usłudze AD na serwerach członkowskich, a nie na kontrolerach domeny (gdy jest to możliwe).
-
Jeśli usługi LDS w usłudze AD są uruchomione na kontrolerze domeny w środowisku usług domenowych w usłudze AD, nie należy używać konta Usługa sieciowa jako konta usług LDS w usłudze AD. Zamiast tego należy użyć konta użytkownika domeny, które nie ma uprawnień administracyjnych.
-
W grupie roboczej oraz w środowisku systemu Windows NT 4.0 nie należy używać konta z uprawnieniami administracyjnymi jako konta usług LDS w usłudze AD.
-
Dla aplikacji wymagających całkowitej izolacji należy używać oddzielnych zestawów konfiguracyjnych.
Aby uzyskać więcej informacji na temat wymagań replikacji usług LDS w usłudze AD dotyczących kont usług, zobacz Wybieranie kont usług.