Réplication et jeux de configuration

Les services AD LDS (Active Directory Lightweight Directory Services) utilisent la réplication pour offrir aux services d’annuaire la tolérance de pannes et l’équilibrage de la charge. Les services AD LDS (Active Directory Lightweight Directory Services) utilisent un type de réplication appelé réplication multimaître. Par l’intermédiaire de la réplication, les services AD LDS (Active Directory Lightweight Directory Services) copient les mises à jour des données de l’annuaire qui sont effectuées dans une partition d’annuaire et appliquées à une instance AD LDS, vers d’autres instances AD LDS qui contiennent des copies de la même partition d’annuaire. Les instances AD LDS qui contiennent des copies de la même partition ou partitions d’annuaire forment un groupement logique qui s’appelle un jeu de configuration.

Réplication multimaître

La réplication multimaître signifie simplement que vous pouvez apporter des modifications aux données d’annuaire sur n’importe quelle instance AD LDS. Les services AD LDS (Active Directory Lightweight Directory Services) répliquent automatiquement ces modifications sur les autres membres du jeu de configuration. La réplication multimaître se caractérise par une cohérence des données libres avec convergence. Lorsque vous apportez des modifications à des données sur une partition d’annuaire donnée dans une instance AD LDS, les réplicas de cette partition d’annuaire qui sont stockés sur d’autres instances AD LDS ne sont plus cohérents avec le réplica le plus à jour de la partition d’annuaire (la partition sur laquelle les modifications ont été apportées). Toutefois, comme les modifications sont répliquées par l’intermédiaire du jeu de configuration, tous les réplicas de partitions redeviennent identiques ; c’est-à-dire qu’ils convergent vers les données les plus récentes.

Jeux de configuration

Les instances AD LDS répliquent les données en fonction de leur participation à un jeu de configuration. Toutes les instances AD LDS qui participent au même jeu de configuration doivent répliquer une partition d’annuaire de configuration commune et une partition d’annuaire de schéma commune. Les instances AD LDS d’un jeu de configuration peuvent également répliquer n’importe quel nombre de partitions d’annuaire d’applications. Les instances AD LDS d’un jeu de configuration ne doivent pas obligatoirement répliquer toutes les partitions d’annuaire d’applications du jeu de configuration. Une même instance AD LDS peut répliquer toutes les partitions d’annuaire d’applications (ou tout sous-ensemble) de son jeu de configuration. Une instance AD LDS ne peut cependant pas répliquer une partition d’annuaire d’applications à partir d’un jeu de configuration différent.

L’illustration suivante montre un exemple de deux jeux de configuration AD LDS, chacun contenant deux instances AD LDS. Comme le montre l’illustration, un même ordinateur peut exécuter plusieurs instances AD LDS, chacune dans un jeu de configuration différent.

Deux jeux de configuration AD LDS avec deux instances
Remarques

Une instance AD LDS peut être jointe à un jeu de configuration uniquement au cours de l’installation de l’instance.

Prévention des conflits de réplication

Que se passe-t-il si deux utilisateurs différents apportent des modifications aux mêmes données de réplicas d’une même partition d’annuaire sur deux instances AD LDS différentes ? Dans ce cas, chaque instance AD LDS tente de répliquer les modifications, ce qui crée un conflit. Pour résoudre ce conflit, les partenaires de réplication qui reçoivent les modifications simultanées examinent les données d’attribut que ces modifications contiennent, notamment la version et l’horodatage. Les instances AD LDS acceptent la modification de version supérieure et ignorent l’autre modification. Si les versions sont identiques, les instances AD LDS acceptent la modification avec l’horodatage le plus récent.

Si plusieurs valeurs d’un attribut à valeurs multiples d’un objet sont mises à jour simultanément sur deux instances AD LDS différentes, une seule des valeurs mises à jour est répliquée. En d’autres termes, les mises à jour simultanées apportées à un attribut à valeurs multiples qui ont lieu sur deux instances AD LDS différentes sont considérées comme des modifications conflictuelles, même si les mises à jour s’appliquent à des valeurs différentes dans l’attribut à valeurs multiples. La seule exception à cette règle concerne les attributs à valeur liée (tels que les appartenances à un groupe) qui autorisent les mises à jour simultanées vers des valeurs différentes dans l’attribut à valeur liée.

Topologie de réplication

Le Vérificateur de cohérence de connaissances (KCC), un processus qui s’exécute dans chaque instance AD LDS, construit automatiquement la topologie la plus efficace pour que le trafic lié à la réplication suive, en fonction du réseau. Le processus KCC recalcule régulièrement la topologie de réplication pour tenir compte des éventuelles modifications apportées dans l’environnement.

Remarques

Un jeu de configuration AD LDS maintient sa propre topologie de réplication séparée de toute topologie de réplication AD DS (Active Directory Domain Services) qui pourrait exister par ailleurs. Les partitions d’annuaire ne peuvent pas être répliquées entre des instances AD LDS et des contrôleurs de domaine AD DS.

Garantie de la sécurité de réplication

Pour assurer la sécurité de la réplication, AD LDS authentifie les partenaires de réplication avant la réplication et cette authentification se produit toujours dans un canal sécurisé. Les services AD LDS (Active Directory Lightweight Directory Services) utilisent SSPI (Security Support Provider Interface) pour établir le niveau de sécurité d’authentification adéquat entre les partenaires de réplication. La méthode utilisée pour l’authentification de réplication dans un jeu de configuration dépend de la valeur de l’attribut msDS-ReplAuthenticationMode dans la partition de l’annuaire de configuration. Une fois les partenaires de réplication authentifiés, le trafic lié à la réplication, qui a lieu entre les deux partenaires, est chiffré.

Le tableau suivant détaille les niveaux de sécurité pour l’authentification de la réplication et les valeurs d’attributs msDS-ReplAuthenticationMode correspondants pour chaque niveau de sécurité. Le niveau de sécurité par défaut pour la réplication d’une nouvelle instance AD LDS unique est 1, excepté si un compte d’utilisateur de poste de travail local est spécifié en tant que compte de service AD LDS. Si un compte d’utilisateur de poste de travail local est spécifié en tant que compte de service AD LDS, le niveau de sécurité pour la réplication est 0.

Niveau de sécurité de réplication Mode d’authentification Description Environnements pris en charge

Authentification mutuelle avec Kerberos

2

Authentification Kerberos, utilisation de noms principaux de services (SPN), obligatoire. Si l’authentification Kerberos échoue, les instances AD LDS ne sont pas répliquées.

La configuration doit être contenue en totalité dans un domaine AD DS, une forêt ou une approbation de forêt.

Négocié

1

L’authentification Kerberos (à l’aide du nom principal de service) est tentée en premier. Si l’authentification Kerberos échoue, l’authentification NTLM est tentée. Si l’authentification NTLM échoue, les instances AD LDS ne sont pas répliquées.

Le jeu de configuration peut contenir des serveurs membres Microsoft Windows NT® 4.0.

Authentification directe négociée

0

Toutes les instances AD LDS dans le jeu de configuration utilisent un mot de passe et un nom de compte identique à celui du compte de service AD LDS.

Le jeu de configuration peut inclure des ordinateurs qui appartiennent à un ou plusieurs groupes de travail ou à plusieurs domaines ou forêts sans relation d’approbation.

Pour assurer la sécurité de la réplication AD LDS, il est conseillé de suivre les pratiques recommandées suivantes :

  • Utilisez le plus haut niveau de sécurité de réplication que votre environnement puisse prendre en charge.

  • Si possible, dans les environnements AD DS, exécutez AD LDS sur des serveurs membres, et non sur des contrôleurs de domaine.

  • Si vous exécutez AD LDS sur un contrôleur de domaine dans un environnement AD DS, n’utilisez pas le compte Service réseau comme compte de service AD LDS. Utilisez, à la place, un compte d’utilisateur de domaine qui ne possède pas de privilèges d’administration.

  • Dans les environnements de groupes de travail et Windows NT 4.0, n’utilisez pas un compte possédant des privilèges d’administration comme compte de service AD LDS.

  • Utilisez des jeux de configuration distincts pour les applications nécessitant une isolation.

Pour plus d’informations sur les critères de réplication AD LDS liés aux comptes de service, voir Sélection des comptes de service.

Références supplémentaires


Table des matières