Replikace a konfigurační sady
Služba AD LDS (Active Directory Lightweight Directory Services) využívá replikace k zajištění odolnosti proti chybám a vyrovnávání zatížení adresářových služeb. Služba AD LDS používá typ replikace nazývaný replikace více hlavních serverů. Prostřednictvím replikace zkopíruje služba AD LDS datové aktualizace adresáře, které byly provedeny v oddílu adresáře v jedné instanci služby AD LDS, do jiných instancí služby AD LDS, které obsahují kopie stejného oddílu adresáře. Instance služby AD LDS, které obsahují kopie stejného oddílu nebo oddílů adresáře, tvoří logickou skupinu zvanou konfigurační sada.
Replikace více hlavních serverů
Replikace více hlavních serverů znamená to, že lze provádět změny dat adresáře v kterékoli instanci služby AD LDS. Služba AD LDS automaticky replikuje tyto změny do ostatních členů konfigurační sady. Replikace více hlavních serverů je charakterizována volnou konzistencí dat s funkcí konvergence. Při změně dat v daném oddílu adresáře v jedné instanci služby AD LDS se repliky tohoto oddílu adresáře, které jsou uloženy v jiných instancích služby AD LDS, stanou nekonzistentními s nejaktuálnější replikou oddílu adresáře (oddílu, ve kterém byly provedeny změny). Jakmile se však změny postupně replikují prostřednictvím konfigurační sady, stanou se všechny repliky oddílu opět identickými, tj. dojde k jejich konvergenci s nejaktuálnějšími daty.
Konfigurační sady
Instance služby AD LDS replikují data na základě účasti v konfigurační sadě. Všechny instance služby AD LDS, které jsou přidány do téže konfigurační sady, musí replikovat společný oddíl adresáře konfigurace a společný oddíl adresáře schématu. Instance služby AD LDS v konfigurační sadě mohou rovněž replikovat libovolný počet oddílů adresáře aplikace. U instancí služby AD LDS v konfigurační sadě není vyžadována replikace všech oddílů adresáře aplikace v konfigurační sadě. Jedna instance služby AD LDS může replikovat všechny oddíly adresáře (nebo libovolnou podmnožinu oddílů) aplikace ve své konfigurační sadě. Instance služby AD LDS však nemůže replikovat oddíl adresáře aplikace z jiné konfigurační sady.
Následující obrázek znázorňuje příklad dvou konfiguračních sad služby AD LDS, přičemž každá z nich obsahuje dvě instance služby AD LDS. Jak vidíte na obrázku, v jednom počítači může být spuštěno více instancí služby AD LDS, každá z nich v jiné konfigurační sadě.
Poznámka | |
Instance služby AD LDS může být přidána do konfigurační sady pouze během své instalace. |
Ochrana před konflikty při replikaci
Jak postupovat v situaci, kdy dva různí uživatelé změní stejná data v replikách stejného oddílu adresáře ve dvou různých instancích služby AD LDS? V takovém případě se každá z instancí služby AD LDS pokusí změny replikovat, čímž vznikne konflikt. Za účelem vyřešení tohoto konfliktu prověřují partnerské servery, do kterých jsou tyto konfliktní změny odesílány, údaje atributů obsažených ve změnách, z nichž každá se sebou nese údaje o verzi a časové razítko. Instance služby AD LDS přijmou změnu s vyšší verzí a druhá změna bude zahozena. Pokud jsou verze identické, instance služby AD LDS přijmou změnu s nejaktuálnějším časovým razítkem.
Pokud jsou ve vícehodnotovém atributu objektu aktualizovány dvě nebo více hodnot současně ve dvou různých instancích služby AD LDS, bude replikována pouze jedna z aktualizovaných hodnot. Jinými slovy, souběžné aktualizace vícehodnotového atributu, ke kterým dochází v různých instancích služby AD LDS, jsou považovány za konflikt, a to i v případech, kdy se aktualizace týkají různých hodnot v jednom vícehodnotovém atributu. Jedinou výjimku tohoto pravidla tvoří atributy s propojenou hodnotou (jako například členství ve skupinách), které umožňují souběžné aktualizace různých hodnot v rámci atributu s propojenou hodnotou.
Replikační topologie
Nástroj Kontrola konzistence znalostí (KCC), což je proces, který běží jako součást každé instance služby AD LDS, automaticky sestaví na základě sítě nejefektivnější topologii pro komunikaci vzniklou v souvislosti s replikací. Kontrola konzistence znalostí (KCC) pravidelně přepočítává replikační topologii s cílem přizpůsobit se změnám sítě, ke kterým v tomto prostředí dochází.
Poznámka | |
Konfigurační sada služby AD LDS si uchovává svou vlastní replikační topologii, oddělenou od všech replikačních topologií služby AD DS (Active Directory Domain Services), které mohou existovat. Oddíly adresáře nemohou být replikovány mezi instancemi služby AD LDS a řadiči domény služby AD DS. |
Zajištění zabezpečení replikace
K zajištění zabezpečení replikace ověřuje služba AD LDS před replikací partnerské servery a ověření replikace se vždy provádí prostřednictvím zabezpečeného kanálu. Služba AD LDS používá rozhraní SSPI (Security Support Provider Interface) k vytvoření odpovídající úrovně zabezpečení ověření mezi partnery replikace. Metoda použitá k ověření replikace v rámci konfigurační sady je dána hodnotou atributu msDS-ReplAuthenticationMode v oddílu adresáře konfigurace. Po vzájemném ověření partnerů replikace je veškerá komunikace vyplývající z replikace mezi těmito dvěma partnery šifrována.
V následující tabulce jsou popsány úrovně zabezpečení pro ověření replikace a odpovídající hodnota atributu msDS-ReplAuthenticationMode pro každou úroveň zabezpečení. Výchozí úroveň zabezpečení replikace pro novou, jedinečnou instanci služby AD LDS je 1, pokud není jako účet služby AD LDS určen uživatelský účet místní pracovní stanice. Pokud je jako účet služby AD LDS určen účet místní pracovní stanice, je úroveň zabezpečení replikace nastavena na hodnotu 0.
Úroveň zabezpečení replikace | Režim ověření | Popis | Podporovaná prostředí |
---|---|---|---|
Vzájemné ověřování protokolem Kerberos |
2 |
Ověřování protokolem Kerberos, pomocí hlavních názvů služeb (SPN), je vyžadováno. Pokud se ověření protokolem Kerberos nezdaří, nebudou instance služby AD LDS replikovány. |
Konfigurační sada musí být plně obsažena v doméně služby AD DS, v doménové struktuře nebo ve vztahu důvěryhodnosti doménové struktury. |
Vyjednávané |
1 |
Nejprve dojde k pokusu o ověření protokolem Kerberos (pomocí hlavních názvů služeb – SPN). Pokud se ověření protokolem Kerberos nezdaří, dojde k pokusu o ověření protokolem NTLM. Pokud se ověření protokolem NTLM nezdaří, nebudou instance služby AD LDS replikovány. |
Konfigurační sada může obsahovat členské servery Microsoft® Windows NT® 4.0. |
Vyjednávané předávání |
0 |
Všechny instance služby AD LDS v konfigurační sadě používají jako účet služby AD LDS identický název účtu a heslo. |
Konfigurační sada může obsahovat počítače, které jsou připojeny k jedné nebo více pracovních skupin, nebo které jsou připojeny k více doménám nebo doménovým strukturám bez vztahů důvěryhodnosti. |
Chcete-li zachovat zabezpečení replikace služby AD LDS, doporučuje se dodržovat následující postupy:
-
Používejte nejvyšší úroveň zabezpečení replikace, kterou je vaše prostředí schopno podporovat.
-
Pokud je to možné, spouštějte v prostředích služby AD DS službu AD LDS na členských serverech, nikoli v řadičích domény.
-
Pokud v prostředí služby AD DS spouštíte službu AD LDS v řadiči domény, nepoužívejte jako účet služby AD LDS účet síťové služby. Místo toho používejte účet uživatele domény, který nemá oprávnění pro správu.
-
V prostředích pracovní skupiny a systému Windows NT 4.0 nepoužívejte jako účet služby AD LDS účet s oprávněními pro správu.
-
Pro aplikace s přísnými požadavky na izolaci používejte samostatné konfigurační sady.
Další informace o požadavcích replikace služby AD LDS na účty služby naleznete v tématu Výběr účtu služby.