Replica e set di configurazione
Per garantire tolleranza di errore e bilanciamento del carico per i servizi directory, in Active Directory Lightweight Directory Services (AD LDS) viene utilizzata la replica, più precisamente un tipo di replica definito replica multimaster. Tramite la replica, gli aggiornamenti dei dati di directory eseguiti su una partizione di directory in un'istanza di AD LDS vengono copiati in altre istanze di AD LDS che contengono copie della stessa partizione di directory. Le istanze di AD LDS che contengono copie della stessa partizione, o delle stesse partizioni, di directory formano un gruppo logico definito set di configurazione.
Replica multimaster
Il concetto di replica multimaster indica semplicemente che è possibile apportare modifiche ai dati di directory in qualsiasi istanza di AD LDS. AD LDS replica automaticamente tali modifiche in altri membri del set di configurazione. La replica multimaster è caratterizzata dalla coerenza di dati libera con convergenza. Quando vengono apportate modifiche ai dati di una determinata partizione di directory in un'istanza di AD LDS, le repliche di tale partizione di directory che sono archiviate in altre istanze di AD LDS diventano incoerenti con le repliche più aggiornate della partizione di directory, ovvero la partizione dove sono state apportate le modifiche. Tuttavia, man mano che le modifiche vengono replicate tramite il set di configurazione, tutte le repliche di partizione diventano di nuovo identiche, ovvero, convergono con i dati più recenti.
Set di configurazione
Le istanze di AD LDS replicano i dati in base alla partecipazione in un set di configurazione. Tutte le istanze di AD LDS che sono aggiunte allo stesso set di configurazione devono replicare una partizione di directory di configurazione comune e una partizione di directory di schema comune. Le istanze di AD LDS in un set di configurazione possono anche replicare qualsiasi numero di partizioni di directory applicative. Non è necessario che le istanze di AD LDS in un set di configurazione replichino tutte le partizioni di directory applicative nel set di configurazione. Una singola istanza di AD LDS può replicare tutte le partizioni di directory applicative, o qualsiasi subset di esse, nel proprio set di configurazione. Un'istanza di AD LDS non può tuttavia replicare una partizione di directory applicativa da un set di configurazione diverso.
Nella figura seguente viene illustrato un esempio di due set di configurazione di AD LDS, ognuno con due istanze di AD LDS. Come illustrato nella figura, un computer singolo può eseguire più istanze di AD LDS, ognuna in un set di configurazione diverso.
Nota | |
È possibile aggiungere un'istanza di AD LDS a un set di configurazione soltanto durante l'installazione dell'istanza. |
Come evitare i conflitti di replica
Se due utenti diversi apportano modifiche agli stessi dati nelle repliche della stessa partizione di directory in due istanze diverse di AD LDS, ognuna delle istanze tenta di replicare le modifiche, creando un conflitto. Per risolvere il conflitto, i partner di replica che ricevono le modifiche in conflitto analizzano gli attributi contenuti nelle modifiche, ciascuno dei quali riporta la versione e il timestamp. Le istanze di AD LDS accetteranno la modifica con la versione superiore e ignoreranno l'altra. Se le versioni sono identiche, le istanze di AD LDS accetteranno la modifica con il timestamp più recente.
Se due o più valori in un attributo multivalore in un oggetto vengono aggiornati contemporaneamente in due istanze di AD LDS diverse, solo uno dei valori aggiornati verrà replicato. In altre parole, gli aggiornamenti simultanei a un attributo multivalore che si verificano in due istanze di AD LDS diverse vengono considerati in conflitto, anche se gli aggiornamenti si applicano a valori diversi all'interno dell'attributo multivalore. L'unica eccezione a tale regola riguarda gli attributi dei valori collegati, ad esempio l'appartenenza ai gruppi, che consentono aggiornamenti simultanei a valori diversi all'interno dell'attributo del valore collegato.
Topologia di replica
Controllo di coerenza informazioni (KCC), un processo che viene eseguito come parte di ogni istanza di AD LDS, costruisce automaticamente la topologia più efficace per il traffico di replica futuro, in base alla rete. KCC ricalcola regolarmente la topologia di replica per aggiornarla in base alle eventuali modifiche apportate alla rete nell'ambiente.
Nota | |
Un set di configurazione di AD LDS mantiene la relativa topologia di replica, separata da ogni altra eventuale topologia di replica di Servizi di dominio Active Directory. Non è possibile replicare le partizioni di directory tra istanze di AD LDS e controller di dominio di Servizi di dominio Active Directory. |
Garantire la sicurezza della replica
Per garantire la sicurezza della replica, AD LDS autentica i partner di replica prima della replica e l'autenticazione della replica viene sempre eseguita su un canale sicuro. AD LDS utilizza Security Support Provider Interface (SSPI) per stabilire il livello di sicurezza dell'autenticazione appropriato tra partner di replica. Il metodo utilizzato per l'autenticazione della replica in un set di configurazione dipende dai valori dell'attributo msDS-ReplAuthenticationMode nella partizione di directory di configurazione. Dopo l'autenticazione dei partner di replica, tutto il traffico di replica tra i due partner viene crittografato.
Nella tabella seguente vengono illustrati i livelli di sicurezza per l'autenticazione della replica e il valore dell'attributo msDS-ReplAuthenticationMode corrispondente a ogni livello di sicurezza. Il livello di sicurezza della replica predefinito per una nuova istanza di AD LDS univoca è 1, a meno che un account utente di workstation locale non sia specificato come account del servizio AD LDS. In tal caso, il livello di sicurezza della replica è impostato su 0.
Livello di sicurezza della replica | Modalità di autenticazione | Descrizione | Ambienti supportati |
---|---|---|---|
Autenticazione manuale con Kerberos |
2 |
È necessaria l'autenticazione Kerberos, tramite i nomi principali di servizio (SPN). Se l'autenticazione Kerberos ha esito negativo, le istanze di AD LDS non vengono replicate. |
È necessario che il set di configurazione sia contenuto interamente in un dominio, una foresta o un trust tra foreste di Servizi di dominio Active Directory. |
Negoziata |
1 |
Viene tentata in primo luogo l'autenticazione Kerberos (con i nomi SPN). Se l'autenticazione Kerberos ha esito negativo, viene tentata l'autenticazione NTLM. Se l'autenticazione NTLM ha esito negativo, le istanze di AD LDS non vengono replicate. |
Il set di configurazione può contenere server membri di Microsoft ® Windows NT® 4.0. |
Negoziata pass-through |
0 |
Tutte le istanze di AD LDS nel set di configurazione utilizzano lo stesso nome account e password dell'account del servizio AD LDS. |
Il set di configurazione può includere computer aggiunti a uno o più gruppi di lavoro o a più domini o foreste senza relazioni di trust. |
Per aiutare a garantire la sicurezza della replica di AD LDS, è consigliabile attenersi alle procedure ottimali seguenti:
-
Utilizzare il livello massimo di sicurezza della replica supportato dall'ambiente in uso.
-
Negli ambienti di Servizi di dominio Active Directory, quando possibile, eseguire AD LDS sui server membri e non sui controller di dominio.
-
Se si esegue AD LDS in un controller di dominio in un ambiente di Servizi di dominio Active Directory, non utilizzare l'account Servizio di rete come account del servizio AD LDS. Utilizzare invece un account di utente di domino che non dispone di privilegi amministrativi.
-
Negli ambienti per gruppi di lavoro e Windows NT 4.0, non utilizzare un account con privilegi amministrativi come account del servizio AD LDS.
-
Utilizzare set di configurazione separati per le applicazioni con requisiti elevati di isolamento.
Per ulteriori informazioni sui requisiti della replica di AD LDS per gli account del servizio, vedere Selezione account di servizio.