Replikering och konfigurationsuppsättningar

AD LDS (Active Directory Lightweight Directory Services) använder replikering för bättre feltolerans och belastningsutjämning för katalogtjänster. AD LDS använder en typ av replikering som kallas replikering med flera huvudrepliker (multimaster-replikering). Via replikering kopierar AD LDS uppdateringar av katalogdata som gjorts i en katalogpartition i en AD LDS-instans till andra AD LDS-instanser som innehåller kopior av samma katalogpartition. AD LDS-instanser som innehåller kopior av samma katalogpartition(er) utgör en logisk gruppering som kallas konfigurationsuppsättning.

Replikering med flera huvudrepliker

Replikering med flera huvudrepliker innebär helt enkelt att du kan göra ändringar i katalogdata på vilken AD LDS-instans som helst. AD LDS replikerar dessa ändringar automatiskt till andra medlemmar i konfigurationsuppsättningen. Replikering med flera huvudrepliker karakteriseras av lös datakonsekvens med konvergens. När du gör ändringar i data på en angiven katalogpartition i en AD LDS-instans blir repliker av den katalogpartitionen som lagrats på andra AD LDS-instanser föråldrade och överensstämmer inte med den mest aktuella repliken av katalogpartitionen (den partition där ändringarna gjordes). Eftersom ändringar replikeras i hela konfigurationsuppsättningen, blir alla partitionsrepliker än en gång identiska. De antar alltså de data som är mest aktuella.

Konfigurationsuppsättningar

AD LDS-instanser replikerar data som baseras på medverkan i en konfigurationsuppsättning. Alla AD LDS-instanser som sammanfogats i samma konfigurationsuppsättning måste replikera samma konfigurationskatalogpartition och samma schemakatalogpartition. AD LDS-instanser i en konfigurationsuppsättning kan också replikera hur många programkatalogpartitioner som helst. AD LDS-instanser i en konfigurationsuppsättning måste inte replikera alla programkatalogpartitioner i konfigurationsuppsättningen. En enda AD LDS-instans kan replikera alla, eller en delmängd av, programkatalogpartitionerna i sin konfigurationsuppsättning. En AD LDS-instans kan däremot inte replikera en programkatalogpartition från en annan konfigurationsuppsättning.

Följande illustration visar ett exempel på två konfigurationsuppsättningar i AD LDS, var och en med två AD LDS-instanser. Som framgår av illustrationen kan en enda dator köra flera AD LDS-instanser i olika konfigurationsuppsättningar.

Två AD LDS-konfigurationsuppsättningar med två instanser
OBS

En AD LDS-instans kan endast kopplas till en konfigurationsuppsättning när instansen installeras.

Förebygga replikeringskonflikter

Vad händer om två användare gör ändringar i samma data på repliker av samma katalogpartition på två olika AD LDS-instanser? Skulle något sådant inträffa försöker varje AD LDS-instans att replikera ändringarna, vilket resulterar i en konflikt. För att konflikten ska kunna lösas kommer de replikeringspartner som mottagit de motstridiga ändringarna att undersöka ändringarnas attributdata, vilka innehåller en version- och tidsstämpel. AD LDS-instanser accepterar de ändringar som har den senaste versionen och bortser från övriga ändringar. Om versionerna är identiska accepterar AD LDS-instanserna de ändringar som har den senaste tidsstämpeln.

Om två eller flera värden i ett flervärdesattribut på ett objekt uppdateras samtidigt på två olika AD LDS-instanser, kommer endast en av uppdateringarna att replikeras. Uppdateringar av flervärdesattribut som sker samtidigt på två olika AD LDS-instanser betraktas med andra ord som motstridande även om uppdateringarna gäller olika värden inom ett och samma flervärdesattribut. Det enda undantaget från denna regel gäller länkat värdeattribut (exempelvis gruppmedlemskap), som tillåter samtidiga uppdateringar av olika värden inom ett och samma länkade värdeattribut.

Replikeringstopologi

KCC (Knowledge Consistency Checker), en process som körs som en del av varje AD LDS-instans, skapar automatiskt den effektivaste topologin för den replikeringstrafik som väntas, baserat på nätverket. KCC gör regelbundet nya beräkningar av replikeringstopologin för att justera den i enlighet med eventuella nätverksförändringar i miljön.

OBS

En konfigurationsuppsättning i AD LDS bibehåller sin egen replikeringstopologi, åtskild från eventuella replikeringstopologier för AD DS (Active Directory Domain Services). Katalogpartitioner kan inte replikeras mellan AD LDS-instanser och AD DS-domänkontroller

Säkerställa replikeringssäkerhet

För att säkerställa replikeringssäkerheten autentiserar AD LDS replikeringspartner före replikering, och replikeringsautentisering sker alltid över en säker kanal. AD LDS använder SSPI (Security Support Provider Interface) för att uppnå lämplig säkerhetsnivå för autentiseringen mellan replikeringspartner. Vilken metod som används för replikeringsautentisering inom en konfigurationsuppsättning beror på vilket värde som attributet msDS-ReplAuthenticationMode har på konfigurationskatalogpartitionen. När replikeringspartner har autentiserats, krypteras all replikeringstrafik mellan dessa båda partner.

I följande tabell beskrivs säkerhetsnivåerna för replikeringsautentisering och motsvarande msDS-ReplAuthenticationMode-attributvärde för varje säkerhetsnivå. Standardnivån på replikeringssäkerheten för en ny unik AD LDS-instans är 1, såvida inte ett användarkonto för en lokal arbetsstation har angetts som AD LDS-tjänstkontot. Om ett lokalt arbetsstationskonto har angetts som AD LDS-tjänstkonto, sätts säkerhetsnivån för replikering till 0.

Replikeringssäkerhetsnivå Autentiseringsläge Beskrivning Miljöer som stöds

Ömsesidig autentisering med Kerberos

2

Kerberos-autentisering med SPN (Service Principal Name) krävs. Om Kerberos-autentiseringen misslyckas replikeras inte AD LDS-instanserna.

Konfigurationsuppsättningarna måste ingå i sin helhet i en AD DS-domän, -skog eller -skogsförtroende.

Förhandlad

1

Kerberos-autentisering (med SPN) prövas först. Om Kerberos misslyckas prövas NTLM-autentisering. Om NTLM misslyckas replikeras inte AD LDS-instanserna.

Konfigurationsuppsättningen kan innehålla Microsoft Windows NT® 4.0-medlemsservrar.

Förhandlad genomströmning

0

Alla AD LDS-instanser i konfigurationsuppsättningen använder samma kontonamn och lösenord som AD LDS-tjänstkontot.

Konfigurationsuppsättningen kan innehålla datorer som är kopplade till en eller flera arbetsgrupper eller flera domäner eller skogar utan förtroenderelationer.

För att AD LDS-replikeringssäkerheten ska bibehållas, bör du tänka på följande:

  • Välj den högsta replikeringssäkerhetsnivån som din miljö kan hantera.

  • I AD DS-miljöer bör du, så långt det är möjligt, köra AD LDS på medlemsservrar snarare än på domänkontrollanter.

  • Om du kör AD LDS på en domänkontrollant i en AD DS-miljö, ska du inte använda Network Service-kontot som AD LDS-tjänstkonto. Använd i stället ett domänanvändarkonto som saknar administratörsrättigheter.

  • I arbetsgruppmiljöer och Windows NT 4.0-miljöer ska du inte använda ett konto med administratörsrättigheter som ett AD LDS-tjänstkonto.

  • Använd separata konfigurationsuppsättningar för program med strikta isoleringskrav.

Mer information om AD LDS-replikeringskrav på tjänstkonton finns i Välja tjänstkonto.

Ytterligare referenser


Innehåll