Replicación y conjuntos de configuración

Los Servicios de directorio ligero de Active Directory (AD LDS) usan la replicación para proporcionar tolerancia a errores y equilibrio de carga para servicios de directorio. AD LDS usa un tipo de replicación llamada replicación con varios maestros. Mediante la replicación, AD LDS copia las actualizaciones de los datos de los directorios que se realizan en una partición de directorio de una instancia de AD LDS a otras instancias de AD LDS que contienen copias de la misma partición de directorio. Las instancias de AD LDS que contienen copias de la misma partición o particiones de directorio forman un grupo lógico llamado conjunto de configuración.

Replicación con varios maestros

La replicación con varios maestros simplemente quiere decir que puede realizar cambios en los datos del directorio en cualquier instancia de AD LDS. AD LDS replica automáticamente esos cambios en los demás miembros del conjunto de configuración. La replicación con varios maestros se caracteriza por una coherencia no estricta de los datos con convergencia. Al realizar cambios en los datos de una partición de directorio determinada en una instancia de AD LDS, las réplicas de esa partición de directorio almacenadas en otras instancias de AD LDS se vuelven incoherentes con la réplica más actualizada de la partición de directorio (la partición en la que se han realizado los cambios). No obstante, a medida que los cambios se replican en el conjunto de configuración, todas las réplicas de la partición vuelven a ser idénticas, es decir, convergen en los datos más recientes.

Conjuntos de configuración

Las instancias de AD LDS replican los datos basándose en la pertenencia a un conjunto de configuración. Todas las instancias de AD LDS que se hayan unido al mismo conjunto de configuración deben replicar una partición de directorio de configuración y una partición de directorio de esquema comunes. Las instancias de AD LDS de un conjunto de configuración también pueden replicar un número cualquiera de particiones del directorio de aplicaciones. No es obligatorio que las instancias de AD LDS de un conjunto de configuración repliquen todas las particiones del directorio de aplicaciones del conjunto de configuración. Una única instancia de AD LDS puede replicar todas las particiones del directorio de aplicaciones de su conjunto de configuración (o cualquier subconjunto de ellas). No obstante, no puede replicar una partición del directorio de aplicaciones de un conjunto de configuración diferente.

En la siguiente ilustración, se muestra un ejemplo de dos conjuntos de configuración de AD LDS, cada uno con dos instancias de AD LDS. Como puede ver en la ilustración, un único equipo puede ejecutar varias instancias de AD LDS, cada una de ellas en un conjunto de configuración distinto.

Dos conjuntos de configuración de AD LDS con dos instancias
Nota

Sólo es posible unir una instancia de AD LDS a un conjunto de configuración durante la instalación de la instancia.

Impedir conflictos de replicación

¿Qué ocurre si dos usuarios distintos realizan cambios en los mismos datos en réplicas de la misma partición de directorio en dos instancias de AD LDS diferentes? En tal caso, cada instancia de AD LDS intenta replicar los cambios, lo que da lugar a un conflicto. Para resolverlo, los asociados de replicación que reciben los cambios conflictivos analizan los datos de atributos que contienen los cambios, ya que cada uno de ellos presenta una versión y una marca de tiempo. Las instancias de AD LDS aceptan el cambio con la versión superior y descartan el otro. Si las versiones son idénticas, las instancias de AD LDS aceptan el cambio con la marca de tiempo más reciente.

Si dos o más valores de un atributo multivalor de un objeto se actualizan simultáneamente en dos instancias de AD LDS distintas, sólo se replicará uno de los valores actualizados. Dicho de otro modo, las actualizaciones simultáneas de un atributo multivalor que se producen en dos instancias de AD LDS distintas se consideran conflictivas incluso si las actualizaciones se aplican a valores distintos dentro del mismo atributo multivalor. La única excepción a esta regla se encuentra en los atributos de valores vinculados (como las pertenencias a grupos), que permiten actualizaciones simultáneas de valores distintos dentro del atributo de valor vinculado.

Topología de la replicación

El comprobador de coherencia de la información (KCC) es un proceso que se ejecuta como parte de todas las instancias de AD LDS y que crea automáticamente la topología más eficaz para el tráfico de replicación en función de la red. KCC vuelve a calcular periódicamente la topología de la replicación para realizar ajustes según los cambios de red que se hayan producido en el entorno.

Nota

Un conjunto de configuración de AD LDS mantiene su propia topología de replicación, independiente de las topologías de replicación de los Servicios de dominio de Active Directory (AD DS) que puedan existir. Las particiones de directorio no pueden replicarse entre las instancias de AD LDS y los controladores de dominio de AD DS.

Garantizar la seguridad de la replicación

Para garantizar la seguridad de la replicación, AD LDS autentica los asociados de replicación antes de llevar a cabo la replicación y dicha autenticación siempre se produce a través de un canal seguro. AD LDS usa la interfaz del proveedor de compatibilidad para seguridad (SSPI) para establecer el nivel de seguridad de autenticación adecuado entre los asociados de replicación. El método utilizado para la autenticación de replicación dentro de un conjunto de configuración depende del valor del atributo msDS-ReplAuthenticationMode de la partición del directorio de configuración. Una vez que los asociados de replicación se han autenticado correctamente, todo el tráfico de replicación entre los dos asociados se cifra.

En la siguiente tabla se describen los niveles de seguridad de la autenticación de replicación y el atributo msDS-ReplAuthenticationMode correspondiente para cada nivel de seguridad. El nivel de seguridad de replicación predeterminado para una instancia de AD LDS nueva y única es 1, a menos que se especifique una cuenta de usuario de estación de trabajo local como cuenta de servicio de AD LDS. En ese caso, el nivel de seguridad de replicación tiene el valor 0.

Nivel de seguridad de replicación Modo de autenticación Descripción Entornos compatibles

Autenticación mutua con Kerberos

2

Autenticación con Kerberos, que usa nombres principales de servicio (SPN) obligatoriamente. Si se produce un error en la autenticación Kerberos, no se realizará la replicación de las instancias de AD LDS.

El conjunto de configuración debe estar incluido en su totalidad en un dominio, bosque o confianza de bosque de AD DS.

Negociado

1

Se intenta en primer lugar la autenticación Kerberos (con SPN). Si se produce un error con Kerberos, se intenta la autenticación NTLM. Si NTLM tampoco funciona, las instancias de AD LDS no se replicarán.

El conjunto de configuración puede contener servidores miembros Microsoft Windows NT® 4.0.

Paso negociado

0

Todas las instancias de AD LDS del conjunto de configuración usan el mismo nombre de cuenta y la misma contraseña que la cuenta de servicio de AD LDS.

El conjunto de configuración puede incluir equipos que se hayan unido a uno o varios grupos de trabajo, o que se hayan unido a varios dominios o bosques sin relaciones de confianza.

Para ayudar a mantener la seguridad de replicación en AD LDS, se recomienda que siga las prácticas indicadas a continuación:

  • Use el mayor nivel de seguridad de replicación que admita su entorno.

  • En entornos de AD DS, ejecute AD LDS en servidores miembro, en lugar de hacerlo en controladores de dominio, siempre que sea posible.

  • Si ejecuta AD LDS en un controlador de dominio en un entorno de AD DS, no use la cuenta de servicio de red como cuenta de servicio de AD LDS. En su lugar, use una cuenta de usuario de dominio que no disponga de privilegios administrativos.

  • En entornos de grupo de trabajo y Windows NT 4.0, no use una cuenta con privilegios administrativos como cuenta de servicio de AD LDS.

  • Use conjuntos de configuración distintos para las aplicaciones con requisitos estrictos de aislamiento.

Para obtener más información acerca de los requisitos de replicación de AD LDS para cuentas de servicio, consulte Selección de cuentas de servicio.

Referencias adicionales


Tabla de contenido