Репликация и наборы конфигурации
ADAM (Active Directory Application Mode) использует репликацию, чтобы обеспечить отказоустойчивость и балансировку нагрузки для служб каталогов. ADAM использует тип репликации, называемый репликацией с несколькими хозяевами. Во время репликации ADAM копирует обновления данных каталога, сделанные в разделе каталога одного экземпляра ADAM, в другие экземпляры ADAM, содержащие копии этого же раздела каталога. Экземпляры ADAM, которые содержат копии одного и того же раздела или разделов каталога, образуют логическую группу, называемую набором конфигурации.
Репликация с несколькими хозяевами
Репликация с несколькими хозяевами означает, что пользователь может изменить данные каталога в любом экземпляре ADAM. ADAM автоматически реплицирует эти изменения в другие члены набора конфигурации. Репликация с несколькими хозяевами характеризуется нестрогой совместимостью данных с последующим согласованием. При изменении данных в определенном разделе каталога одного экземпляра ADAM реплики этого раздела, хранимые на других экземплярах ADAM, становятся несогласованными с самой новой репликой раздела каталога (раздела, в котором произошли изменения). Однако как только изменения реплицируются по набору конфигурации, все реплики разделов снова становятся идентичными, то есть согласуются с самыми обновленными данными.
Наборы конфигурации
Экземпляры ADAM реплицируют данные на основе участия в наборе конфигурации. Все экземпляры ADAM, подключенные к одному набору конфигурации, должны реплицировать раздел каталога общей конфигурации и раздел каталога общей схемы. Экземпляры ADAM в наборе конфигурации могут также реплицировать любое количество разделов каталога приложений. Экземплярам ADAM в наборе конфигурации не требуется реплицировать все разделы каталога приложений в наборе конфигурации. Единичный экземпляр ADAM может реплицировать все или отдельные подмножества разделов каталога приложений в своем наборе конфигурации. Однако экземпляр ADAM не может реплицировать раздел каталога приложений из другого набора конфигурации. Дополнительные сведения о типах разделов каталога в ADAM см. в разделе Общие сведения о данных ADAM и хранилищах данных.
На следующем рисунке показан пример двух наборов конфигурации ADAM, к каждому из которых относятся два экземпляра ADAM. Как показано на рисунке, на одном компьютере может выполняться несколько экземпляров ADAM, относящихся к различным наборам конфигурации.
Примечание | |
Экземпляр ADAM может быть присоединен к набору конфигурации только во время установки этого экземпляра. |
Предотвращение конфликтов репликации
Что происходит, если два пользователя изменяют одни и те же данные реплик одного раздела каталога на двух разных экземплярах ADAM? В этом случае каждый экземпляр ADAM пытается реплицировать изменения, вызывая тем самым конфликт. Чтобы разрешить этот конфликт, партнеры по репликации, которые получили эти конфликтующие изменения, проверяют данные атрибута, содержащиеся в каждом из изменений: версию и штамп времени. Экземпляры ADAM принимают изменение с более высокой версией и отклоняют другое изменение. Если версии идентичны, экземпляры ADAM принимают изменение с более поздним штампом времени.
Если два или более значения многозначного атрибута объекта были одновременно обновлены в двух различных экземплярах ADAM, то только одно из обновленных значений будет реплицировано. Другими словами, одновременные обновления многозначного атрибута в двух различных экземплярах ADAM расцениваются как конфликт, даже если были обновлены разные значения многозначного атрибута. Из этого правила есть только одно исключение, относящееся к атрибутам связанного значения (таким, как членство в группах), в которых одновременное обновление различных значений одного такого атрибута допустимо.
Топология репликации
Проверка согласованности знаний (KCC) — это процесс, выполняющийся на каждом экземпляре ADAM, который автоматически создает самую эффективную топологию трафика репликации в зависимости от особенностей сети. КСС регулярно пересчитывает топологию репликации с учетом всех изменений, произошедших в сетевой среде.
Примечание | |
Набор конфигурации ADAM поддерживает свою собственную топологию репликации, отличающуюся от любой топологии репликации Active Directory, которая также может существовать. Разделы каталогов не могут реплицироваться между экземплярами ADAM и контроллерами домена Active Directory. |
Улучшение безопасности репликации
Чтобы улучшить безопасность репликации, ADAM проверяет подлинность партнеров репликации перед репликацией, при этом проверка подлинности репликации всегда происходит по безопасному каналу. ADAM использует интерфейс SSPI (Security Support Provider Interface), чтобы установить надлежащий уровень безопасности между партнерами репликации. Метод, используемый для проверки подлинности репликации в наборе конфигурации, зависит от значения атрибута msDS-ReplAuthenticationMode раздела каталога конфигурации. После того, как партнеры репликации успешно прошли проверку, весь трафик репликации между двумя партнерами шифруется.
В следующей таблице показаны уровни безопасности проверки подлинности репликации и соответствующее каждому уровню безопасности значение атрибута msDS-ReplAuthenticationMode. Уровень безопасности для нового уникального экземпляра ADAM по умолчанию равен 1, за исключением тех случаев, когда локальная учетная запись компьютера указывается как учетная запись службы ADAM. Если локальная учетная запись компьютера указана как учетная запись службы ADAM, то уровень безопасности репликации устанавливается равным 0.
Уровень безопасности репликации | Режим проверки подлинности | Описание | Поддерживаемые среды |
---|---|---|---|
Взаимная проверка подлинности Kerberos |
2 |
Необходима проверка подлинности Kerberos с использованием имен участников безопасности службы (SPN). При возникновении ошибки проверки подлинности Kerberos репликация экземпляров ADAM выполняться не будет. |
Набор конфигурации должен полностью находиться в домене, лесе или доверии лесов Active Directory. |
Negotiated |
1 |
Сначала предпринимается попытка проверки подлинности Kerberos (используя SPN). Если проверка подлинности Kerberos завершается неудачно, предпринимается попытка проверки подлинности NTLM. Если проверка подлинности NTLM завершается неудачно, репликация экземпляров ADAM выполняться не будет. |
Набор конфигурации может содержать рядовые серверы Microsoft® Windows NT® 4.0. |
Negotiated pass-through |
0 |
Все экземпляры ADAM в наборе конфигурации используют имя учетной записи и пароль, идентичные учетной записи службы ADAM. |
Набор конфигурации может включать в себя компьютеры, входящие в одну или несколько рабочих групп или подключенные к нескольким доменам или лесам без доверительных отношений. |
Сведения об изменении уровня безопасности репликации набора конфигурации см. в разделе Изменение уровня безопасности репликации набора конфигурации.
Чтобы поддерживать безопасность репликации ADAM, следует учитывать следующие советы и рекомендации:
- Используйте самый высокий уровень безопасности репликации,
поддерживаемый средой.
- В среде Active Directory запускайте ADAM на рядовых серверах, а
не на контроллерах домена, если это возможно.
- Если ADAM работает на контроллере домена в среде Active
Directory, не используйте учетную запись сетевой службы в качестве
учетной записи службы ADAM. Вместо этого используйте учетную запись
пользователя домена, не имеющую прав администратора.
- В рабочей группе и средах NT 4.0 не используйте учетную
запись с правами администратора в качестве учетной записи службы
ADAM.
- Используйте раздельные наборы конфигурации для приложений с
жесткими требованиями изоляции.
Дополнительные сведения о требованиях репликации ADAM к учетным записям службы см. в разделе Выбор учетной записи службы ADAM. Дополнительные сведения об именах участников безопасности службы (SPN) и безопасности репликации см. в разделе Администрирование имен участников безопасности службы ADAM.