Replicatie en configuratiesets

In AD LDS (Active Directory Lightweight Directory Services) wordt replicatie gebruikt ten behoeve van fouttolerantie en werklastverdeling voor directoryservices. AD LDS maakt gebruik van multimaster-replicatie. Via replicatie worden wijzigingen in de directorygegevens die in een mappartitie in een AD LDS-exemplaar zijn aangebracht, gekopieerd naar andere AD LDS-exemplaren die kopieën bevatten van dezelfde mappartitie. AD LDS-exemplaren die kopieën bevatten van dezelfde mappartitie(s), vormen een logische groep die een configuratieset wordt genoemd.

Multimaster-replicatie

Multimaster-replicatie betekent dat u directorygegevens in elk AD LDS-exemplaar kunt wijzigen. Deze wijzigingen worden automatisch gerepliceerd naar andere leden van de configuratieset. Multimaster-replicatie wordt gekenmerkt door losse gegevensconsistentie met convergentie. Wanneer u gegevens wijzigt in een bepaalde mappartitie van een AD LDS-exemplaar, zijn replica's van die mappartitie die in andere AD LDS-exemplaren zijn opgeslagen, niet langer consistent met de meest recente replica van de mappartitie (de partitie waarin de wijzigingen zijn aangebracht). Omdat wijzigingen echter worden gerepliceerd in de configuratieset, worden alle partitiereplica's weer identiek. Dat wil zeggen, ze convergeren naar de meest recente gegevens.

Configuratiesets

Gegevens van AD LDS-exemplaren worden gerepliceerd op basis van hun aanwezigheid in een configuratieset. Alle AD LDS-exemplaren die zijn samengevoegd in dezelfde configuratieset, moeten een gemeenschappelijke configuratiemappartitie en een gemeenschappelijke schemamappartitie repliceren. AD LDS-exemplaren in een configuratieset kunnen ook een willekeurig aantal toepassingsmappartities repliceren. AD LDS-exemplaren in een configuratieset hoeven niet alle toepassingsmappartities in de configuratieset te repliceren. In één AD LDS-exemplaar kunnen alle toepassingsmappartities of een subset van de toepassingsmappartities in de configuratieset worden gerepliceerd. Een AD LDS-exemplaar kan echter geen toepassingsmappartitie van een andere configuratieset repliceren.

In de volgende afbeelding ziet u een voorbeeld van twee AD LDS-configuratiesets, die elk twee AD LDS-exemplaren bevatten. Zoals de afbeelding aangeeft, kunnen op een enkele computer meerdere AD LDS-exemplaren worden uitgevoerd, elk in een andere configuratieset.

Twee AD LDS-configuratiesets met twee instanties
Opmerking

Een AD LDS-exemplaar kan alleen met een configuratieset worden samengevoegd tijdens de installatie van het exemplaar.

Replicatieconflicten voorkomen

Wat gebeurt er als twee verschillende gebruikers wijzigingen in dezelfde gegevens aanbrengen in replica's van dezelfde mappartitie in twee verschillende AD LDS-exemplaren? In een dergelijk geval probeert elk AD LDS-exemplaar de wijzigingen te repliceren, waardoor een conflict ontstaat. Replicatiepartners die deze conflicterende wijzigingen ontvangen, lossen dit conflict op door de kenmerkgegevens te onderzoeken die zijn opgeslagen in de wijzigingen en die elk een versienummer en een tijdstempel bevatten. AD LDS-exemplaren accepteren de wijziging met het hoogste versienummer en negeren de andere wijziging. Als de versies identiek zijn, accepteren AD LDS-exemplaren de wijziging met de meest recente tijdstempel.

Als in een objectkenmerk met meerdere waarden twee of meer waarden tegelijkertijd worden bijgewerkt in twee verschillende AD LDS-exemplaren, wordt slechts een van de bijgewerkte waarden gerepliceerd. Met andere woorden, wanneer in een kenmerk met meerdere waarden gelijktijdig wijzigingen worden aangebracht in twee verschillende AD LDS-exemplaren, ontstaat er een conflict, zelfs als er verschillende waarden van het kenmerk worden bijgewerkt. De enige uitzondering op deze regel geldt voor kenmerken met gekoppelde waarden (zoals groepslidmaatschappen), waarin wel verschillende waarden gelijktijdig mogen worden bijgewerkt.

Replicatietopologie

De KCC (Knowledge Consistency Checker), een proces dat wordt uitgevoerd als onderdeel van elk AD LDS-exemplaar, bouwt automatisch de meest efficiënte replicatietopologie voor het verkeer, op basis van het netwerk. De KCC voert regelmatig een herberekening van de replicatietopologie uit, waardoor rekening wordt gehouden met eventuele wijzigingen in de omgeving.

Opmerking

Een AD LDS-configuratieset onderhoudt een eigen replicatietopologie, naast een eventueel aanwezige AD DS-replicatietopologie (Active Directory Domain Services). Er kunnen geen mappartities worden gerepliceerd tussen AD LDS-exemplaren en domeincontrollers van AD DS.

Replicatiebeveiliging

In verband met replicatiebeveiliging verifieert AD LDS de replicatiepartners vóór de replicatie en vindt replicatieverificatie altijd plaats via een beveiligd kanaal. In AD LDS wordt gebruik gemaakt van SSPI (Security Support Provider Interface) om het juiste beveiligingsniveau voor verificatie tussen replicatiepartners te bepalen. De methode die wordt gebruikt voor replicatieverificatie binnen een configuratieset, is afhankelijk van de waarde van het kenmerk msDS-ReplAuthenticationMode in de configuratiemappartitie. Nadat de replicatiepartners met succes zijn geverifieerd, wordt al het replicatieverkeer tussen de twee partners versleuteld.

De volgende tabel bevat een beschrijving van de beveiligingsniveaus voor replicatieverificatie en de bijbehorende waarde van het kenmerk msDS-ReplAuthenticationMode. Het standaardbeveiligingsniveau voor replicatie voor een nieuw, uniek AD LDS-exemplaar is 1, tenzij een gebruikersaccount van een lokaal werkstation is opgegeven als het AD LDS-serviceaccount. Als een gebruikersaccount van een lokaal werkstation is opgegeven als het AD LDS-serviceaccount, wordt het beveiligingsniveau voor replicatie ingesteld op 0.

Beveiligingsniveau voor replicatie Verificatiemodus Beschrijving Ondersteunde omgevingen

Wederzijdse verificatie met Kerberos

2

Kerberos-verificatie, met SPN's (Service Principal Names), is vereist. Als Kerberos-verificatie mislukt, worden de AD LDS-exemplaren niet gerepliceerd.

De configuratieset moet volledig zijn opgenomen in een AD DS-domein, -forest, of -forestvertrouwensrelatie.

Onderhandeld

1

Eerst wordt Kerberos-verificatie (met SPN's) geprobeerd. Als Kerberos mislukt, wordt NTLM-verificatie geprobeerd. Als NTLM mislukt, worden de AD LDS-exemplaren niet gerepliceerd.

De configuratieset kan Microsoft® Windows NT® 4.0-lidservers bevatten.

Onderhandelde doorvoer

0

Alle AD LDS-exemplaren in de configuratieset moeten dezelfde accountnamen en -wachtwoorden gebruiken als het AD LDS-serviceaccount.

De configuratieset kan computers bevatten die samengevoegd zijn met een of meer werkgroepen of met meerdere domeinen of forests zonder vertrouwensrelaties.

De volgende procedures worden aanbevolen ten behoeve van replicatiebeveiliging in AD LDS:

  • Gebruik het hoogste beveiligingsniveau voor replicatie dat uw omgeving ondersteunt.

  • Voer AD LDS in AD DS-omgevingen uit op lidservers in plaats van domeincontrollers, wanneer dat mogelijk is.

  • Gebruik het netwerkserviceaccount niet als AD LDS-serviceaccount wanneer u AD LDS uitvoert op een domeincontroller in een AD DS-omgeving. Gebruik in plaats daarvan een domeingebruikersaccount dat geen beheerdersmachtigingen heeft.

  • Gebruik in een omgeving met werkgroepen of Windows NT 4.0 geen account met beheerdersmachtigingen als AD LDS-serviceaccount.

  • Gebruik afzonderlijke configuratiesets voor toepassingen die strikt geïsoleerd moeten zijn.

Zie Serviceaccounts selecteren voor meer informatie over AD LDS-replicatievereisten voor serviceaccounts.

Aanvullende naslaginformatie


Inhoudsopgave