Conjuntos de replicação e configuração
Os Serviços LDS do Active Directory (AD LDS) utilizam a replicação para proporcionar tolerância a falhas e balanceamento de carga para os serviços de directório. O AD LDS utiliza um tipo de replicação denominado replicação multimaster. Através da replicação, o AD LDS copia actualizações de dados de directório efectuadas a uma partição de directório numa instância do AD LDS para outras instâncias do AD LDS que possuam cópias da mesma partição de directório. As instâncias do AD LDS que possuam cópias da mesma partição ou partições de directório constituem um agrupamento lógico denominado conjunto de configuração.
Replicação multimaster
A replicação multimaster significa simplesmente que é possível efectuar alterações aos dados de directório em qualquer instância do AD LDS. O AD LDS replica automaticamente estas alterações para outros membros do conjunto de configuração. A replicação multimaster caracteriza-se pela consistência dos dados com convergência. Quando são efectuadas alterações aos dados numa determinada partição de directório numa instância do AD LDS, as réplicas dessa partição de directório armazenadas noutras instâncias do AD LDS tornam-se inconsistentes em relação à réplica da partição de directório mais actualizada (a partição onde foram efectuadas as alterações). No entanto, à medida que as alterações são replicadas no conjunto de configuração, todas as réplicas de partições tornam-se idênticas, ou seja, são convergidas para os dados mais recentes.
Conjuntos de configuração
As instâncias do AD LDS replicam dados com base na participação em conjuntos de configuração. Todas as instâncias do AD LDS associadas ao mesmo conjunto de configuração terão de replicar uma partição de directório de configuração e uma partição de directório de esquema comuns. As instâncias do AD LDS num conjunto de configuração também poderão replicar várias partições do directório de aplicações. As instâncias do AD LDS num conjunto de configuração não necessitam de replicar todas as partições do directório de aplicações do conjunto de configuração. Uma única instância do AD LDS pode replicar qualquer subconjunto ou todas as partições do directório de aplicações do seu conjunto de configuração. No entanto, uma instância do AD LDS não pode replicar uma partição do directório de aplicações de um conjunto de configuração diferente.
A figura seguinte mostra um exemplo de dois conjuntos de configuração do AD LDS, cada um com duas instâncias do AD LDS. Conforme demonstrado na figura, um único computador pode executar várias instâncias do AD LDS, cada uma num conjunto de configuração diferente.
 | Nota |
|
Só é possível associar uma instância do AD LDS a um conjunto de configuração durante a instalação da instância. |
Evitar conflitos de replicação
O que acontece se dois utilizadores diferentes efectuarem alterações aos mesmos dados de réplicas da mesma partição de directório em duas instâncias diferentes do AD LDS? Neste caso, cada instância do AD LDS tentará replicar as alterações, criando um conflito. Para resolver este conflito, os parceiros de replicação que recebem estas alterações em conflito examinam os dados de atributo contidos nas alterações, cada uma com uma versão e um carimbo de data/hora. As instâncias do AD LDS aceitam a alteração com a versão superior e rejeitam a outra alteração. Se as versões forem idênticas, as instâncias do AD LDS aceitam a alteração com o carimbo de hora/data mais recente.
Se forem actualizados simultaneamente dois ou mais valores num atributo de valor múltiplo de um objecto em duas instâncias diferentes do AD LDS, apenas um dos valores actualizados será replicado. Por outras palavras, as actualizações simultâneas efectuadas a um atributo de valor múltiplo que ocorram em duas instâncias diferentes do AD LDS são consideradas em conflito, mesmo que as actualizações se apliquem a valores diferentes do atributo de valor múltiplo. A única excepção a esta regra está relacionada com atributos de valores ligados (como, por exemplo, membros de grupos), os quais permitem actualizações simultâneas de valores diferentes do atributo de valores ligados.
Topologia de replicação
O Verificador de Consistência de Conhecimento (KCC), um processo executado como parte de cada instância do AD LDS, cria automaticamente a topologia mais eficiente para o tráfego de replicação seguir, com base na rede. O KCC recalcula regularmente a topologia de replicação de modo a ajustar-se a qualquer alteração de rede que ocorra no ambiente.
| Nota |
|
Um conjunto de configuração do AD LDS mantém a respectiva topologia de replicação separada de qualquer topologia de replicação dos Serviços de Domínio do Active Directory (AD DS) que também possa existir. As partições de directório não podem ser replicadas entre instâncias do AD LDS e controladores de domínio do AD DS. |
Assegurar a segurança de replicação
Para assegurar a segurança de replicação, o AD LDS autentica os parceiros de replicação antes de ser efectuada a replicação. A autenticação de replicação ocorre sempre através de um canal protegido. O AD LDS utiliza a Interface do Fornecedor de Suporte de Segurança (SSPI) para estabelecer o nível de segurança de autenticação adequado entre os parceiros de replicação. O método utilizado para a autenticação de replicação num conjunto de configuração depende do valor do atributo msDS-ReplAuthenticationMode na partição do directório de configuração. Depois de os parceiros de replicação terem sido autenticados com êxito, todo o tráfego de replicação entre os dois parceiros será encriptado.
A tabela seguinte descreve os níveis de segurança da autenticação de replicação e o valor do atributo msDS-ReplAuthenticationMode correspondente para cada nível de segurança. O nível de segurança de replicação predefinido para uma instância nova e exclusiva do AD LDS é 1, excepto se for especificada uma conta de utilizador de estação de trabalho local como conta de serviço do AD LDS. Se for especificada uma conta de estação de trabalho local como conta de serviço do AD LDS, o nível de segurança de replicação será definido como 0.
| Nível de segurança de replicação | Modo de autenticação | Descrição | Ambientes suportados |
|---|---|---|---|
|
Autenticação mútua com Kerberos |
2 |
É exigida autenticação Kerberos, utilizando nomes principais de serviço (SPNs). Se a autenticação Kerberos falhar, as instâncias do AD LDS não serão replicadas. |
É necessário que o conjunto de configuração esteja totalmente contido num domínio, floresta ou fidedignidade de floresta do AD DS. |
|
Negociado |
1 |
É tentada em primeiro lugar a autenticação Kerberos (utilizando SPNs). Se a autenticação Kerberos falhar, será tentada a autenticação NTLM. Se a autenticação NTLM falhar, as instâncias do AD LDS não serão replicadas. |
O conjunto de configuração poderá conter servidores membro do Microsoft® Windows NT® 4.0. |
|
Passagem negociada |
0 |
Todas as instâncias do AD LDS no conjunto de configuração utilizam um nome de conta e uma palavra-passe idênticos como conta de serviço do AD LDS. |
O conjunto de configuração pode incluir computadores associados a um ou vários grupos de trabalho ou a múltiplos domínios ou florestas sem relações de fidedignidade. |
Para ajudar a manter a segurança de replicação do AD LDS, são recomendados os seguintes procedimentos:
-
Utilize o nível de segurança de replicação mais elevado que o ambiente suporte.
-
Em ambientes do AD DS, execute o AD LDS em servidores membro e não em controladores de domínio, sempre que possível.
-
Se executar o AD LDS num controlador de domínio num ambiente do AD DS, não utilize a conta Serviço de Rede como conta de serviço do AD LDS. Em vez disso, utilize uma conta de utilizador de domínio que não tenha privilégios administrativos.
-
Em ambientes de grupo de trabalho e Windows NT 4.0, não utilize uma conta com privilégios administrativos como conta de serviço do AD LDS.
-
Utilize conjuntos de configuração separados para aplicações com requisitos de isolamento restritos.
Para mais informações sobre os requisitos de replicação do AD LDS para contas de serviços, consulte Selecção da Conta de Serviço.