复制和配置集
Active Directory 轻型目录服务 (AD LDS) 使用复制为目录服务提供容错和负载平衡。AD LDS 使用一种称为多主机复制的复制类型。通过复制,AD LDS 将对一个 AD LDS 实例中的某个目录分区所作的目录数据更新复制到包含相同目录分区的多个副本的其他 AD LDS 实例。包含一个或几个相同目录分区的多个副本的 AD LDS 实例形成一个称为配置集的逻辑分组。
多主机复制
多主机复制只意味着您可以对任何 AD LDS 实例中的目录数据进行更改。AD LDS 会自动将这些更改复制到配置集的其他成员。多主机复制的特征在于使用收敛松散数据的一致性。对一个 AD LDS 实例中某个指定目录分区的数据进行更改时,存储在其他 AD LDS 实例中的目录分区的副本会变得与该目录分区(已进行更改的分区)的大多数最新副本不一致。但是,当更改通过配置集获得复制后,所有分区副本再次变得相同;即,它们收敛到最新的数据。
配置集
AD LDS 实例根据是否加入配置集来复制数据。加入到同一配置集的所有 AD LDS 实例必须复制一个公共配置目录分区和一个公共架构目录分区。配置集中的 AD LDS 实例还可以复制任意数目的应用程序目录分区。系统并不要求配置集中的 AD LDS 实例复制配置集中的所有应用程序目录分区。单一 AD LDS 实例可以复制其配置集中的应用程序目录分区的全部或任何子集。但是,AD LDS 实例无法从其他配置集复制应用程序目录分区。
下面的插图显示一个示例,该示例中有两个 AD LDS 配置集,每个配置集有两个 AD LDS 实例。如插图所示,单个计算机可以运行处于不同配置集中的多个 AD LDS 实例。
 | 注意 |
|
AD LDS 实例仅可以在实例的安装过程中加入到配置集中。 |
避免复制冲突
如果两个不同的用户对两个不同 AD LDS 实例中的同一目录分区副本的同一数据进行更改,会发生什么情况?在这种情况下,每个 AD LDS 实例都将试图复制更改,结果产生冲突。为解决此冲突,接收这些冲突更改的复制伙伴会检查更改中包含的属性数据,每项更改都有一个版本和时间戳。AD LDS 实例将接受版本较高的更改,并放弃其他更改。如果版本相同,则 AD LDS 实例会接受时间戳最近的更改。
如果在两个不同 AD LDS 实例中同时更新某个对象的多值属性中的两个或两个以上值时,仅会复制其中一个更新的值。换言之,在两个不同的 AD LDS 实例中发生的对多值属性的同时更新会被认为存在冲突,即使这些更新应用于多值属性内不同的值。此规则的唯一例外是对于链接的值属性(如组成员身份),该属性允许对链接的值属性内的不同值同时进行更新。
复制拓扑
知识一致性检查器 (KCC) 是一个作为每个 AD LDS 实例的一部分运行的进程,它会根据网络自动为要跟踪的复制通信建立最有效的拓扑。KCC 定期重新计算复制拓扑以便针对环境中所发生的任何网络更改而作出调整。
| 注意 |
|
AD LDS 配置集维护其自己的复制拓扑,与可能还存在的任何 Active Directory 域服务 (AD DS) 复制拓扑分开。无法在 AD LDS 实例和 AD DS 域控制器之间复制目录分区。 |
确保复制安全
为了确保复制安全,AD LDS 在复制前对复制伙伴进行身份验证,且复制身份验证始终在一个安全的通道上进行。AD LDS 使用安全支持提供程序接口 (SSPI) 在复制伙伴之间建立适当的身份验证安全级别。在配置集内用于复制身份验证的方法取决于配置目录分区上 msDS-ReplAuthenticationMode 属性的值。在成功对复制伙伴进行身份验证之后,系统会对两个伙伴之间的所有复制通信进行加密。
下表说明复制身份验证的安全级别及每个安全级别相应的 msDS-ReplAuthenticationMode 属性值。新的、唯一的 AD LDS 实例默认的复制安全级别为 1,除非本地工作站用户帐户被指定为 AD LDS 服务帐户。如果本地工作站帐户被指定为 AD LDS 服务帐户,则系统会将复制安全级别设置为 0。
| 复制安全级别 | 身份验证模式 | 描述 | 支持的环境 |
|---|---|---|---|
|
与 Kerberos 的相互身份验证 |
2 |
需要使用服务主体名称 (SPN) 进行 Kerberos 身份验证。如果 Kerberos 身份验证失败,则不会复制 AD LDS 实例。 |
配置集必须完全包含在 AD DS 域、林或林信任中。 |
|
协商 |
1 |
系统会首先尝试 Kerberos 身份验证(使用 SPN)。如果 Kerberos 失败,系统会尝试 NTLM 身份验证。如果 NTLM 身份验证失败,则不会复制 AD LDS 实例。 |
配置集可以包含 Microsoft Windows NT(R) 4.0 成员服务器。 |
|
协商过滤 |
0 |
配置集中所有 AD LDS 实例都使用与 AD LDS 服务帐户相同的帐户名和密码。 |
配置集可以包含加入到一个或多个工作组中的计算机,或加入到没有信任关系的多个域或林中的计算机。 |
若要帮助维护 AD LDS 复制安全,建议使用下列最佳实践:
-
使用环境可以支持的最高的复制安全级别。
-
在 AD DS 环境中,如果可能,在成员服务器上运行 AD LDS,而不是在域控制器上运行 AD LDS。
-
如果在 AD DS 环境中的域控制器上运行 AD LDS,请不要将“网络服务”帐户用作 AD LDS 服务帐户。而是使用某个不具有管理权限的域用户帐户。
-
在工作组和 Windows NT 4.0 环境中,不要将具有管理权限的帐户用作 AD LDS 服务帐户。
-
使用具有严格隔离要求的单独的应用程序配置集。
有关服务帐户的 AD LDS 复制要求的详细信息,请参阅服务帐户选择。