Çoğaltma ve yapılandırma kümeleri
Active Directory Basit Dizin Hizmetleri (AD LDS) dizin hizmetleri için hataya dayanıklılık ve yük dengeleme sağlamak üzere çoğaltma kullanır. AD LDS çok ana kopyalı çoğaltma adı verilen bir çoğaltma türünü kullanır. AD LDS çoğaltma yoluyla, bir AD LDS örneğindeki dizin bölümünde yapılan dizin veri güncelleştirmelerini aynı dizin bölümünün kopyalarını tutan diğer AD LDS örneklerine kopyalar. Aynı dizin bölümünün veya bölümlerinin kopyalarını tutan AD LDS örnekleri, yapılandırma kümesi adı verilen bir mantıksal grup oluşturur.
Çok ana kopyalı çoğaltma
Çok ana kopyalı çoğaltma, herhangi bir AD LDS örneğindeki dizin verilerinde değişiklik yapabileceğiniz anlamına gelir. AD LDS bu değişiklikleri yapılandırma kümesinin diğer üyelerine otomatik olarak çoğaltır. Çok ana kopyalı çoğaltmanın temel özelliği sıkı olmayan yakınsamalı veri tutarlılığıdır. Bir AD LDS örneğindeki belirli bir dizin bölümünde bulunan verilerde değişiklik yaptığınızda, bu dizin bölümünün, diğer AD LDS örneklerinde depolanan çoğaltmaları, dizin bölümünün (değişikliklerin yapıldığı bölüm) en güncel çoğaltmasıyla tutarsız hale gelir. Ancak değişiklikler yapılandırma kümesinde çoğaltıldıkça, tüm bölüm çoğaltmaları bir kez daha aynı duruma gelir; yani yakınsama sonunda tüm bölüm çoğaltmaları en son bilgileri içerir.
Yapılandırma kümeleri
AD LDS örnekleri verileri çoğaltırken yapılandırma kümesine katılımı temel alır. Aynı yapılandırma kümesine katılan tüm AD LDS örnekleri, ortak bir yapılandırma dizini bölümü ve ortak bir şema dizini bölümünü çoğaltmalıdır. Bir yapılandırma kümesindeki AD LDS örnekleri herhangi bir sayıdaki uygulama dizini bölümüne çoğaltılabilir. Bir yapılandırma kümesindeki AD LDS örneklerinin, yapılandırma kümesindeki tüm uygulama dizini bölümlerini çoğaltması gerekli değildir. Tek bir AD LDS örneği kendi yapılandırma kümesindeki tüm uygulama dizini bölümlerini veya bunların bir alt kümesini çoğaltabilir. Ancak bir AD LDS örneği, farklı bir yapılandırma kümesindeki bir uygulama dizini bölümünü çoğaltamaz.
Aşağıdaki şekilde, örnek olarak her biri iki AD LDS örneğine sahip, iki AD LDS yapılandırma kümesi gösterilmektedir. Şekilde gösterildiği gibi, tek bir bilgisayar, her biri ayrı bir yapılandırma kümesinde bulunan birden fazla AD LDS örneği çalıştırabilir.
 | Not |
|
Bir AD LDS örneği yalnızca örneğin yüklenmesi sırasında bir yapılandırma kümesine eklenebilir. |
Çoğaltma çakışmalarını engelleme
İki farklı kullanıcı, aynı dizin bölümünün iki farklı AD LDS örneğinde bulunan çoğaltmalarında, aynı veriler üzerinde değişiklik yaparlarsa ne olur? Bu durumda, her AD LDS örneği çakışma oluşturarak değişiklikleri çoğaltmaya çalışır. Bu çakışmayı çözümlemek için, bu çakışan değişiklikleri alan çoğaltma ortakları değişikliklerin içindeki öznitelik verilerini inceler, bu veriler sürüm ve zaman damgası bilgilerini içerir. AD LDS örnekleri, daha yüksek sürüm ile yapılan değişikliği kabul eder ve diğer değişikliği atar. Sürümler aynıysa, AD LDS örnekleri daha yeni zaman damgasını taşıyan değişikliği kabul eder.
Nesnedeki birden çok değer içeren bir öznitelikte iki veya daha fazla değer, iki farklı AD LDS örneğinde aynı anda güncelleştirilirse, güncelleştirilmiş değerlerden yalnızca biri çoğaltılır. Bir başka deyişle, iki farklı AD LDS örneğinde birden çok değer içeren bir özniteliğe yönelik eşzamanlı güncelleştirmeler, birden çok değer içeren öznitelikte farklı değerlere yönelik olsa da, çakışma olarak kabul edilir. Bu kuralın tek istisnası, grup üyelikleri gibi bağlı değerler içeren özniteliklerdir; bunlar bağlı değerler içeren öznitelik içinde farklı değerlere yönelik değişikliklere izin verir.
Çoğaltma topolojisi
Her AD LDS örneğinin bir parçası olarak çalışan bir işlem olan Bilgi Tutarlılığı Denetleyicisi (KCC), çoğaltma trafiği için izlenecek en etkin çoğaltma topolojisini ağı temel alarak otomatik olarak oluşturur. KCC, çoğaltma topolojisini ortamda gerçekleşen ağ değişikliklerine göre ayarlamak üzere belirli aralıklara yeniden hesaplar.
| Not |
|
AD LDS yapılandırma kümesi, aynı zamanda var olabilecek Active Directory Etki Alanı Hizmetleri (AD DS)çoğaltmasından ayrı olarak kendi çoğaltma topolojisini düzenler. Dizin bölümleri AD LDS örnekleri ve AD DS etki alanı denetleyicileri arasında çoğaltılamaz. |
Çoğaltma güvenliğini sağlama
Çoğaltma güvenliği sağlamak için, AD LDS çoğaltmadan önce çoğaltma ortaklarının kimliklerini doğrular ve çoğaltma kimlik doğrulaması her zaman güvenli bir kanal üzerinden yapılır. AD LDS, çoğaltma ortakları arasında doğru kimlik doğrulama güvenlik düzeyinin kullanılmasını sağlamak üzere Güvenlik Desteği Sağlayıcısı Arabirimi'ni (SSPI) kullanır. Yapılandırma kümesinin içinde çoğaltma kimlik doğrulaması için kullanılan yöntem, yapılandırma dizini bölümündeki msDS-ReplAuthenticationMode özniteliğinin değerine bağlıdır. Çoğaltma yöneticilerinin kimlikleri başarıyla doğrulandıktan sonra, iki ortak arasındaki tüm çoğaltma trafiği şifrelenir.
Aşağıdaki tabloda, çoğaltma kimlik doğrulaması için güvenlik düzeylerini ve her düzeye karşılık gelen msDS-ReplAuthenticationMode özniteliği değerleri açıklanmaktadır. Yeni, benzersiz bir AD LDS örneği için varsayılan çoğaltma güvenlik düzeyi, AD LDS hizmet hesabı olarak yerel bir iş istasyonu kullanıcı hesabı belirtilmemişse, 1'dir. AD LDS hizmet hesabı olarak yerel bir iş istasyonu hesabı belirtilmişse, çoğaltma güvenlik düzeyi 0'dır.
| Çoğaltma güvenlik düzeyi | Kimlik doğrulama modu | Description | Desteklenen ortamlar |
|---|---|---|---|
|
Kerberos ile karşılıklı kimlik doğrulama |
2 |
Hizmet asıl adlarını (SPN) kullanan Kerberos kimlik doğrulaması gerekli. Kerberos kimlik doğrulaması başarısız olursa, AD LDS örnekleri çoğaltılmaz. |
Yapılandırma kümesi tümüyle bir AD DS etki alanında, ormanında veya orman güveninde saklanmalıdır. |
|
Anlaşmalı |
1 |
Öncelikle Kerberos kimlik doğrulaması (SPN kullanarak) denenir. Kerberos başarısız olursa, NTLM kimlik doğrulaması denenir. NTLM başarısız olursa, AD LDS örnekleri çoğaltılmaz. |
Yapılandırma kümesi Microsoft Windows NT® 4.0 üye sunucularını içerebilir. |
|
Anlaşmalı geçiş |
0 |
Yapılandırma kümesindeki tüm AD LDS örnekleri, AD LDS hizmet hesabıyla aynı hesap adını ve parolayı kullanır. |
Yapılandırma kümesi, bir veya daha fazla çalışma grubuna ya da güven ilişkileri olmadan birden çok etki alanına veya ormana katılmış bilgisayarları içerebilir. |
AD LDS çoğaltma güvenliğinin sağlanmasına yardımcı olmak için, aşağıdaki en iyi uygulamalar önerilir:
-
Ortamınızın destekleyebildiği en yüksek çoğaltma güvenliği düzeyini kullanın.
-
AD DS ortamlarında, mümkün olduğu zaman AD LDS'i etki alanı denetleyicileri yerine üye sunucularda çalıştırın.
-
AD LDS'i bir AD DS ortamındaki etki alanı denetleyicisinde çalıştırırsanız, AD LDS hizmet hesabı olarak Network Service hesabını kullanmayın. Bunun yerine, yönetici ayrıcalıkları içermeyen bir etki alanı kullanıcı hesabı kullanın.
-
Çalışma grubu ve Windows NT 4.0 ortamlarında, AD LDS hizmet hesabı olarak yönetici ayrıcalıklarına sahip bir hesap kullanmayın.
-
Kesin yalıtım gereksinimleri olan uygulamalar için ayrı yapılandırma kümeleri kullanın.
Hizmet hesapları için AD LDS çoğaltma gereksinimleri hakkında daha fazla bilgi için, bkz. Hizmet Hesabı Seçimi.