レプリケーションおよび構成セット
Active Directory ライトウェイト ディレクトリ サービス (AD LDS) では、レプリケーションを使用してディレクトリ サービスのフォールト トレランスと負荷分散を実現します。AD LDS で使用されるレプリケーションの種類は、マルチマスター レプリケーションと呼ばれます。レプリケーションを通じて、AD LDS は 1 つの AD LDS インスタンスのディレクトリ パーティションに対して行われたディレクトリ データの更新を、同じディレクトリ パーティションのコピーを持つ他の AD LDS インスタンスにコピーします。同じディレクトリ パーティションのコピーを持つ AD LDS インスタンスは、構成セットと呼ばれる論理グループを形成します。
マルチマスター レプリケーション
マルチマスター レプリケーションとは、どの AD LDS インスタンスのディレクトリ データでも変更できることを意味します。AD LDS では、こうした変更が構成セットの他のメンバーに自動的にレプリケートされます。マルチマスター レプリケーションの特徴は、収束を利用して緩やかなデータ整合性が確保されている点です。1 つの AD LDS インスタンスで任意のディレクトリ パーティションのデータを変更すると、他の AD LDS インスタンスに格納されているそのディレクトリ パーティションのレプリカは、変更が加えられたディレクトリ パーティションの最新のレプリカと不整合になります。ただし、構成セットを通じて変更がレプリケートされると、すべてのパーティションのレプリカは最新のデータに収束され、再び同じになります。
構成セット
AD LDS インスタンスでは、構成セットへの参加状態に基づいてデータがレプリケートされます。同じ構成セットに参加しているすべての AD LDS インスタンスでは、共通の構成ディレクトリ パーティションおよび共通のスキーマ ディレクトリ パーティションがレプリケートされる必要があります。また、構成セット内の AD LDS インスタンスでは、任意の数のアプリケーション ディレクトリ パーティションをレプリケートできます。構成セット内の AD LDS インスタンスでは、その構成セットにあるすべてのアプリケーション ディレクトリ パーティションがレプリケートされる必要はありません。1 つの AD LDS インスタンスでは、その構成セット内にあるすべてのアプリケーション ディレクトリ パーティション、またはそのサブセットをレプリケートできます。ただし、AD LDS インスタンスでは、別の構成セットからアプリケーション ディレクトリ パーティションをレプリケートすることはできません。
次の図は、それぞれ 2 つの AD LDS インスタンスを持つ 2 つの AD LDS 構成セットの例を示しています。図に示すように、1 台のコンピューターでは、複数の AD LDS インスタンスを、それぞれ異なる構成セットで実行できます。
注 | |
AD LDS インスタンスは、インスタンスのインストール時にのみ構成セットに参加させることができます。 |
レプリケーションの競合の回避
2 人のユーザーが、2 つの異なる AD LDS インスタンスにある、同じディレクトリ パーティションのレプリカの同じデータに変更を加えたらどうなるでしょうか。このような場合、各 AD LDS インスタンスが変更をレプリケートしようとして、競合が発生します。この競合を解決するために、競合する変更を受信したレプリケーション パートナーは、各変更に含まれている属性データ (バージョンとタイム スタンプ) を調べます。AD LDS インスタンスは、バージョンが高い方の変更を受け付け、他方の変更は廃棄します。バージョンが等しい場合、AD LDS インスタンスは、タイム スタンプが新しい方の変更を受け付けます。
オブジェクトの複数値属性の 2 つ以上の値が、2 つの異なる AD LDS インスタンス上で同時に更新された場合、更新された値のうち 1 つだけがレプリケートされます。つまり、2 つの異なる AD LDS インスタンスで複数値属性が同時に更新されると、更新が複数値属性内の異なる値に適用される場合でも、競合と見なされます。この規則の例外は、リンクされた値属性 (グループ メンバーシップなど) です。リンクされた値属性内の異なる値は同時に更新できます。
レプリケーション トポロジ
知識整合性チェッカー (KCC) は、各 AD LDS インスタンスの一部として実行されるプロセスで、ネットワークに基づいて、レプリケーション トラフィックの移動にとって最も効率的なトポロジを自動的に構築します。KCC は定期的にレプリケーション トポロジを再計算し、環境内で発生したネットワークの変更に合わせて調整します。
注 | |
AD LDS の構成セットは、Active Directory ドメイン サービス (AD DS) レプリケーション トポロジが存在する場合も、それとは別に独自のレプリケーション トポロジを保持します。AD LDS インスタンスと AD DS ドメイン コントローラー間では、ディレクトリ パーティションはレプリケートできません。 |
レプリケーションのセキュリティの確保
レプリケーションのセキュリティを確保するために、AD LDS ではレプリケーション前にレプリケーション パートナーが認証され、レプリケーション認証は常にセキュリティで保護されたチャネルを経由して行われます。AD LDS は、セキュリティ サポート プロバイダー インターフェイス (SSPI) を使用して、レプリケーション パートナー間に適切な認証セキュリティ レベルを確立します。構成セット内のレプリケーション認証に使用される方法は、構成ディレクトリ パーティションの msDS-ReplAuthenticationMode 属性の値によって異なります。レプリケーション パートナーが正常に認証されると、2 つのパートナー間のすべてのレプリケーション トラフィックは暗号化されます。
次の表は、レプリケーション認証のセキュリティ レベルと、各セキュリティ レベルに対応する msDS-ReplAuthenticationMode 属性の値を示しています。一意の新しい AD LDS インスタンスの既定のレプリケーション セキュリティ レベルは、ローカル ワークステーションのユーザー アカウントが AD LDS サービス アカウントとして指定されている場合を除いて、1 になります。ローカル ワークステーション アカウントが AD LDS サービス アカウントとして指定されている場合、レプリケーション セキュリティ レベルは 0 に設定されます。
レプリケーション セキュリティ レベル | 認証モード | 説明 | サポートされる環境 |
---|---|---|---|
Kerberos を使用した相互認証 |
2 |
サービス プリンシパル名 (SPN) を使用した Kerberos 認証が必要です。Kerberos 認証が失敗した場合、AD LDS インスタンスはレプリケートされません。 |
構成セットが AD DS ドメイン、フォレスト、またはフォレストの信頼に完全に含まれている必要があります。 |
ネゴシエート |
1 |
まず、SPN を使用した Kerberos 認証が試行されます。Kerberos が失敗した場合、NTLM 認証が試行されます。NTLM が失敗した場合、AD LDS インスタンスはレプリケートされません。 |
構成セットには、Microsoft Windows NT® 4.0 メンバー サーバーを含めることができます。 |
ネゴシエートされたパススルー |
0 |
構成セット内のすべての AD LDS インスタンスは、同じアカウント名とパスワードを AD LDS サービス アカウントとして使用します。 |
構成セットには、1 つ以上のワークグループに参加しているコンピューター、または信頼関係を持たない複数のドメインまたはフォレストに参加しているコンピューターを含めることができます。 |
AD LDS レプリケーションのセキュリティを維持するために、次のベスト プラクティスをお勧めします。
-
環境でサポートできる最高レベルのレプリケーション セキュリティを使用します。
-
AD DS 環境では、可能な場合はドメイン コントローラーではなくメンバー サーバーで AD LDS を実行します。
-
AD DS 環境において、AD LDS をドメイン コントローラーで実行する場合は、ネットワーク サービス アカウントを AD LDS サービス アカウントとして使用しないでください。代わりに、管理者特権を持たないドメイン ユーザー アカウントを使用します。
-
ワークグループおよび Windows NT 4.0 環境では、管理者特権を持つアカウントを AD LDS サービス アカウントとして使用しないでください。
-
厳密な分離要件を持つアプリーケーションには、個別の構成セットを使用します。
AD LDS レプリケーションのサービス アカウントの要件については、「サービス アカウントの選択」を参照してください。