Репликация и наборы конфигурации

Службы Active Directory облегченного доступа к каталогам (AD LDS) используют репликацию для обеспечения отказоустойчивости и балансировки нагрузки для служб каталогов. AD LDS использует тип репликации, называемый репликацией с несколькими хозяевами. Во время репликации AD LDS копирует обновления данных каталога, сделанные в разделе каталога одного экземпляра AD LDS, в другие экземпляры AD LDS, содержащие копии этого же раздела каталога. Экземпляры AD LDS, которые содержат копии одного и того же раздела или разделов каталога, образуют логическую группу, называемую набором конфигурации.

Репликация с несколькими хозяевами

Под репликацией с несколькими хозяевами подразумевается, что пользователь может изменить данные каталога в любом экземпляре AD LDS. AD LDS автоматически реплицирует эти изменения с другими членами набора конфигурации. Репликация с несколькими хозяевами характеризуется нестрогой совместимостью данных с последующим согласованием. При изменении данных в определенном разделе каталога одного экземпляра AD LDS реплики этого раздела, хранящиеся в других экземплярах AD LDS, становятся не согласованными с самой новой репликой раздела каталога (раздела, в котором произошли изменения). Однако как только изменения реплицируются по набору конфигурации, все реплики разделов снова становятся идентичными, то есть согласуются с обновленными данными.

Наборы конфигурации

Экземпляры AD LDS реплицируют данные на основе вхождения в набор конфигурации. Все экземпляры AD LDS, подключенные к одному набору конфигурации, должны реплицировать раздел каталога общей конфигурации и раздел каталога общей схемы. Экземпляры AD LDS в наборе конфигурации могут также реплицировать любое количество разделов каталога приложений. Экземплярам AD LDS в наборе конфигурации не требуется реплицировать все разделы каталога приложений в наборе конфигурации. Единичный экземпляр AD LDS может реплицировать все или отдельные подмножества разделов каталога приложений в своем наборе конфигурации. В то же время экземпляр AD LDS не может реплицировать раздел каталога приложений из другого набора конфигурации.

На следующем рисунке показан пример двух наборов конфигурации AD LDS, к каждому из которых относятся два экземпляра AD LDS. Как показано на рисунке, на одном компьютере может выполняться несколько экземпляров AD LDS, относящихся к различным наборам конфигурации.

Два набора конфигурации служб Active Directory облегченного доступа к каталогам с двумя экземплярами
Примечание

Экземпляр AD LDS может быть присоединен к набору конфигурации только во время установке этого экземпляра.

Предотвращение конфликтов репликации

Что происходит, если два пользователя изменяют одни и те же данные реплик одного раздела каталога в двух разных экземплярах AD LDS? В этом случае каждый экземпляр AD LDS пытается реплицировать изменения, вызывая тем самым конфликт. Чтобы разрешить этот конфликт, партнеры по репликации, которые получили эти конфликтующие изменения, проверяют данные атрибута, содержащиеся в каждом из изменений: версию и штамп времени. Экземпляры AD LDS принимают изменение с большим номером версии и отклоняют другое изменение. Если версии идентичны, экземпляры AD LDS принимают изменение с более поздним штампом времени.

Если два или более значения многозначного атрибута объекта были одновременно обновлены в двух различных экземплярах AD LDS, то только одно из обновленных значений будет реплицировано. Другими словами, одновременные обновления многозначного атрибута в двух различных экземплярах AD LDS расцениваются как конфликт, даже если были обновлены разные значения многозначного атрибута. Единственными исключениями из этого правила являются атрибуты связанного значения (например, членство в группах), в которых одновременное обновление различных значений допустимо.

Топология репликации

Проверка согласованности знаний (Knowledge Consistency Checker, KCC) - это процесс, выполняющийся в каждом экземпляре AD LDS, который автоматически создает самую эффективную топологию трафика репликации в зависимости от особенностей сети. КСС регулярно пересчитывает топологию репликации с учетом всех изменений, произошедших в сетевой среде.

Примечание

Набор конфигурации AD LDS поддерживает свою собственную топологию репликации, отличающуюся от любой существующей топологии репликации доменных служб Active Directory (AD DS). Разделы каталога не могут быть реплицированы между экземплярами AD LDS и контроллерами домена AD DS.

Улучшение безопасности репликации

Чтобы улучшить безопасность репликации, AD LDS проверяет подлинность партнеров репликации перед репликацией, при этом проверка подлинности репликации всегда происходит по безопасному каналу. AD LDS использует интерфейс SSPI (Security Support Provider Interface), чтобы установить надлежащий уровень безопасности между партнерами репликации. Метод, используемый для проверки подлинности репликации в наборе конфигурации, зависит от значения атрибута msDS-ReplAuthenticationMode раздела каталога конфигурации. После того, как партнеры репликации успешно прошли проверку, весь трафик репликации между двумя партнерами шифруется.

В следующей таблице показаны уровни безопасности проверки подлинности репликации и соответствующее каждому уровню безопасности значение атрибута msDS-ReplAuthenticationMode. Уровень безопасности для нового уникального экземпляра AD LDS по умолчанию равен 1, за исключением тех случаев, когда локальная учетная запись компьютера указывается как учетная запись службы AD LDS. Если локальная учетная запись компьютера указана как учетная запись службы AD LDS, то уровень безопасности репликации устанавливается равным 0.

Уровень безопасности репликации Режим проверки подлинности Описание Поддерживаемые среды

Взаимная проверка подлинности Kerberos

2

Необходима проверка подлинности Kerberos с использованием имен участников безопасности службы (SPN). При возникновении ошибки проверки подлинности Kerberos репликация экземпляров AD LDS выполняться не будет.

Набор конфигурации должен полностью находиться в домене, лесу или доверии лесов AD DS.

Negotiated

1

Сначала предпринимается попытка проверки подлинности Kerberos (используя SPN). Если проверка подлинности Kerberos завершается неудачно, предпринимается попытка проверки подлинности NTLM. Если проверка подлинности NTLM завершается неудачно, репликация экземпляров AD LDS выполняться не будет.

Набор конфигурации может содержать рядовые серверы Microsoft® Windows NT® 4.0.

Negotiated pass-through

0

Все экземпляры AD LDS в наборе конфигурации используют имя учетной записи и пароль, идентичные учетной записи службы AD LDS.

Набор конфигурации может включать в себя компьютеры, входящие в одну или несколько рабочих групп или подключенные к нескольким доменам или лесам без доверительных отношений.

Чтобы поддерживать безопасность репликации AD LDS, следует учитывать следующие советы и рекомендации:

  • Используйте самый высокий уровень безопасности репликации, поддерживаемый средой.

  • В среде AD DS запускайте AD LDS на рядовых серверах, а не на контроллерах домена, если это возможно.

  • Если AD LDS работает на контроллере домена в среде AD DS, не используйте учетную запись сетевой службы в качестве учетной записи службы AD LDS. Вместо этого используйте учетную запись пользователя домена, не имеющую прав администратора.

  • При работе в рабочей группе и Windows NT 4.0 не используйте учетную запись с правами администратора в качестве учетной записи службы AD LDS.

  • Используйте раздельные наборы конфигурации для приложений с жесткими требованиями изоляции.

Дополнительные сведения о требованиях репликации учетных записей служб AD LDS, см. в разделе Выбор учетной записи службы.

Дополнительные ссылки