Conjuntos de replicações e configurações
Os Serviços AD LDS usam o recurso de replicação para garantir tolerância a falhas e o balanceamento de carga para os serviços de diretório. O AD LDS usa o tipo de replicação multimestre. Durante a replicação, o AD LDS copia atualizações de dados de diretório feitas em uma partição em uma instância do AD LDS em outras instâncias do AD LDS que contêm cópias da mesma partição de diretório. As instâncias do AD LDS que contêm cópias das mesmas partições de diretório formam um agrupamento lógico denominado conjunto de configurações.
Replicação multimestre
A replicação multimestre é a possibilidade de fazer alterações nos dados de diretório de qualquer instância do AD LDS. O AD LDS replica essas alterações automaticamente em outros integrantes do conjunto de configurações. A replicação de vários mestres caracteriza-se por uma consistência de dados ampliada com convergência. Quando você altera dados em determinada partição de diretório de uma instância do AD LDS, as réplicas dessa partição de diretório armazenadas em outras instâncias do AD LDS ficam inconsistentes com a réplica mais atualizada da partição de diretório em que as alterações foram efetuadas. Contudo, à medida que as alterações são replicadas por meio do conjunto de configurações, todas as réplicas da partição ficam novamente idênticas; ou seja, convergem para os dados mais recentes.
Conjuntos de configurações
As instâncias do AD LDS replicam dados de acordo com a participação em um conjunto de configurações. Todas as instâncias do AD LDS que integrarem o mesmo conjunto de configurações devem replicar uma partição de diretório de configuração e uma partição de diretório de esquema comuns. As instâncias do AD LDS em um conjunto de configurações também podem replicar qualquer número de partições de diretório do aplicativo. As instâncias do AD LDS em um conjunto de configurações não são necessárias para replicar todas as partições de diretório de aplicativo no conjunto de configurações. Uma única instância do AD LDS pode replicar todas as partições de diretório do aplicativo, ou seus subconjuntos, no respectivo conjunto de configurações. Entretanto, essa instância não pode replicar uma partição de diretório do aplicativo de outro conjunto de configurações.
A ilustração a seguir mostra um exemplo de dois conjuntos de configurações do AD LDS, cada um com duas instâncias. Como mostra a ilustração, um computador pode executar diversas instâncias do AD LDS, cada uma em um conjunto de configurações distinto.
 | Observação |
|
Somente durante a sua instalação, uma instância do AD LDS pode ser integrada a um conjunto de configurações. |
Evitando conflitos de replicação
E se dois usuários alterarem os mesmos dados em réplicas da mesma partição de diretório de duas instâncias do AD LDS diferentes? Nesse caso, cada instância tenta replicar as alterações, o que gera um conflito. Para solucionar o conflito, os parceiros de replicação que receberem as alterações conflitantes examinam os dados de atributo contidos nas alterações, cada qual com uma versão e um carimbo de data/hora. As instâncias do AD LDS aceitam a alteração que tiver a versão superior, e descartam a outra. Se as versões são idênticas, as instâncias do AD LDS aceitam a alteração com o carimbo de data/hora mais recente.
Se dois ou mais valores em um atributo de um objeto forem atualizados simultaneamente em duas instâncias distintas do AD LDS, somente a que tiver os valores atualizados será replicada. Em outras palavras, atualizações simultâneas em um atributo de vários valores ocorridas em duas instâncias distintas do AD LDS são consideradas conflitantes, mesmo que essas atualizações se apliquem a valores diferentes do atributo. A única exceção a essa regra refere-se aos atributos de valores vinculados (como nas participações de grupos), que permitem atualizações simultâneas em diferentes valores de um atributo de valor vinculado.
Topologia de replicação
O processo KCC (Knowledge Consistency Checker), executado como parte de cada instância do AD LDS, constroi automaticamente a topologia mais eficiente para o tráfego de replicação de cada rede. O KCC recalcula regularmente a topologia de replicação para adequá-la às alterações que possam ocorrer no ambiente da rede.
| Observação |
|
Um conjunto de configurações do AD LDS mantém sua própria topologia de replicação, separada de qualquer topologia de replicação dos Serviços de Domínio Active Directory (AD DS) que possa existir. As partições de diretório não podem ser replicadas entre instâncias do AD LDS e controladores de domínio do AD DS. |
Garantindo a segurança da replicação
Para garantir a segurança da replicação, o AD LDS autentica os parceiros através de um canal seguro antes da replicação; além disso, replicação sempre ocorre em um canal de segurança. O AD LDS usa a interface SSPI para estabelecer o nível de segurança de autenticação apropriado entre os parceiros de replicação. O método usado para a autenticação de replicação em um conjunto de configurações depende do valor do atributo msDS-ReplAuthenticationMode na partição de diretório de configuração. Depois da autenticação dos parceiros, todo o tráfego de replicação é criptografado.
A tabela abaixo descreve os níveis de segurança para a autenticação de replicação e o valor correspondente do atributo msDS-ReplAuthenticationMode para cada nível. O nível padrão para uma instância do AD LDS nova e exclusiva é 1, a não ser que uma conta de usuário da estação de trabalho local seja especificada como a conta de serviço do AD LDS. Se isso acontecer, o nível de segurança de replicação será definido como 0.
| Nível de segurança de replicação | Modo de autenticação | Descrição | Ambientes com suporte |
|---|---|---|---|
|
Autenticação mútua com o Kerberos |
2 |
Autenticação Kerberos usando SPNs (nomes principais de serviços) necessária. Se a autenticação Kerberos falhar, as instâncias do AD LDS não serão replicadas. |
O conjunto de configurações deve estar totalmente contido em um domínio, floresta ou confiança de floresta do AD DS. |
|
Negociado |
1 |
Autenticação Kerberos (usando SPNs) é a primeira tentativa. Se falhar, tenta-se a autenticação NTLM. Se NTLM falhar, as instâncias do AD LDS não serão replicadas. |
O conjunto de configurações pode conter servidores participantes do Microsoft Windows NT® 4.0. |
|
Passagem negociada |
0 |
Todas as instâncias do AD LDS contidas no conjunto de configurações usam um nome de conta e uma senha idênticos às da conta de serviço do AD LDS. |
O conjunto de configurações pode incluir computadores que integram um ou mais grupos de trabalho ou que pertencem a diversos domínios ou florestas sem relações de confiança. |
Para manter a segurança de replicação do AD LDS, estas são as práticas recomendadas:
-
Use o nível mais alto de segurança de replicação que o seu ambiente aceitar.
-
Nos ambientes do AD DS, execute o AD LDS em servidores membros, e não em controladores de domínio, sempre que possível.
-
Se você executar o AD LDS em um controlador de domínio de um ambiente do AD DS, não use a conta Serviço de Rede como a conta de serviço do ADA LDS. Use a conta de usuário de domínio que não tem privilégios administrativos.
-
Em ambientes de grupo de trabalho e do Windows NT 4.0, não use uma conta com privilégios administrativos como uma conta de serviço do AD LDS.
-
Use conjuntos de configurações separados para os aplicativos com requisitos avançados de isolamento.
Para obter mais informações sobre os requisitos de replicação do AD LDS para contas de serviço, consulte Seleção de contas de serviço.