Replikation und Konfigurationssätze
Active Directory Lightweight Directory Services (AD LDS) verwendet Replikation, um Fehlertoleranz und Lastenausgleich für Verzeichnisdienste bereitzustellen. AD LDS verwendet einen Replikationstyp namens Multimasterreplikation. Über die Replikation kopiert AD LDS Verzeichnisdatenaktualisierungen, die in einer Verzeichnispartition in einer AD LDS-Instanz ausgeführt wurden, in andere AD LDS-Instanzen, die Kopien derselben Verzeichnispartition enthalten. AD LDS-Instanzen, die Kopien derselben Verzeichnispartition bzw. -partitionen enthalten, bilden eine logische Gruppierung, die als Konfigurationssatz bezeichnet wird.
Multimasterreplikation
Multimasterreplikation bedeutet, dass Sie Änderungen an Verzeichnisdaten in jeder AD LDS-Instanz vornehmen können. AD LDS repliziert diese Änderungen automatisch auf andere Mitglieder des Konfigurationssatzes. Multimasterreplikation ist durch lose Datenkonsistenz bis zur Zusammenführung gekennzeichnet. Wenn Sie Änderungen an Daten in einer Verzeichnispartition in einer AD LDS-Instanz vornehmen, sind Replikate dieser Verzeichnispartition, die in anderen AD LDS-Instanzen gespeichert sind, nicht mehr mit dem aktuellsten Replikat der Verzeichnispartition (der Partition, in der die Änderungen vorgenommen wurden) konsistent. Da Änderungen jedoch im gesamten Konfigurationssatz repliziert werden, sind alle Partitionsreplikate anschließend erneut identisch, d. h. sie werden zu den aktuellsten Daten zusammengeführt.
Konfigurationssätze
AD LDS-Instanzen replizieren Daten anhand der Zugehörigkeit zu einem Konfigurationssatz. Alle AD LDS-Instanzen, die demselben Konfigurationssatz angehören, müssen eine gemeinsame Konfigurationsverzeichnispartition und eine gemeinsame Schemaverzeichnispartition replizieren. AD LDS-Instanzen in einem Konfigurationssatz können darüber hinaus eine beliebige Anzahl von Anwendungsverzeichnispartitionen replizieren. AD LDS-Instanzen in einem Konfigurationssatz müssen nicht alle Anwendungsverzeichnispartitionen im Konfigurationssatz replizieren. Eine einzelne AD LDS-Instanz kann alle Anwendungsverzeichnispartitionen in ihrem Konfigurationssatz, bzw. jede Teilmenge davon, replizieren. Eine AD LDS-Instanz kann jedoch keine Anwendungsverzeichnispartition aus einem anderen Konfigurationssatz replizieren.
In der folgenden Abbildung wird ein Beispiel für zwei AD LDS-Konfigurationssätze mit je zwei AD LDS-Instanzen veranschaulicht. Wie in der Abbildung dargestellt, können auf einem Computer mehrere AD LDS-Instanzen mit jeweils unterschiedlichen Konfigurationssätzen ausgeführt werden.
 | Hinweis |
|
Eine AD LDS-Instanz kann nur während der Installation der Instanz zu einem Konfigurationssatz hinzugefügt werden. |
Verhindern von Replikationskonflikten
Was geschieht, wenn zwei verschiedene Benutzer Änderungen an denselben Daten in Replikaten von derselben Verzeichnispartition in zwei verschiedenen AD LDS-Instanzen vornehmen? In solchen Fällen versucht jede AD LDS-Instanz, die Änderungen zu replizieren, was zu einem Konflikt führt. Zur Behebung dieses Konflikts analysieren Replikationspartner, die diese widersprechenden Änderungen empfangen, die Attributdaten der Änderungen, die jeweils eine Version und einen Zeitstempel aufweisen. AD LDS-Instanzen akzeptieren die Änderung mit der höheren Versionsnummer und verwerfen die andere Änderung. Sind die Versionen identisch, akzeptieren AD LDS-Instanzen die Änderung mit dem aktuelleren Zeitstempel.
Wenn mindestens zwei Werte in einem Mehrfachwertattribut für ein Objekt gleichzeitig in zwei verschiedenen AD LDS-Instanzen aktualisiert werden, wird nur einer der aktualisierten Werte repliziert. Anders gesagt besteht zwischen gleichzeitigen Aktualisierungen an Mehrfachwertattributen, die in zwei verschiedenen AD LDS-Instanzen auftreten, ein Konflikt, auch wenn sich die Aktualisierungen auf unterschiedliche Werte im Mehrfachwertattribut beziehen. Die einzige Ausnahme von dieser Regel bilden Attribute mit verknüpften Werten (z. B. Gruppenmitgliedschaften), die gleichzeitige Aktualisierungen an unterschiedlichen Werten im Attribut mit verknüpften Werten zulassen.
Replikationstopologie
Die Konsistenzprüfung (Knowledge Consistency Checker, KCC), ein Prozess, der als Teil jeder AD LDS-Instanz ausgeführt wird, erstellt automatisch auf der Basis des Netzwerks die effizienteste Topologie für den Replikationsdatenverkehr. Die Konsistenzprüfung berechnet die Replikationstopologie in regelmäßigen Abständen neu, um etwaige Netzwerkänderungen in der Umgebung zu berücksichtigen.
| Hinweis |
|
Ein AD LDS-Konfigurationssatz verwaltet die eigene Replikationstopologie getrennt von möglicherweise vorhandenen Active Directory-Domänendienste-Replikationstopologien (AD DS). Verzeichnispartitionen können nicht zwischen AD LDS-Instanzen und AD-DS-Domänencontrollern repliziert werden. |
Sicherstellen der Replikationssicherheit
Zum Sicherstellen der Replikationssicherheit authentifiziert AD LDS Replikationspartner vor der Replikation. Diese Replikationsauthentifizierung wird immer über einen sicheren Kanal ausgeführt. AD LDS verwendet die Security Support Provider-Schnittstelle (SSPI), um die entsprechende Authentifizierungssicherheitsstufe zwischen Replikationspartnern einzurichten. Welche Methode für die Replikationsauthentifizierung in einem Konfigurationssatz verwendet wird, hängt vom Wert des msDS-ReplAuthenticationMode-Attributs in der Konfigurationsverzeichnispartition ab. Wenn die Replikationspartner erfolgreich authentifiziert wurden, wird der gesamte Replikationsdatenverkehr zwischen den beiden Partnern verschlüsselt.
In der folgenden Tabelle sind die Sicherheitsstufen für die Replikationsauthentifizierung und der entsprechende Wert des msDS-ReplAuthenticationMode-Attributs für jede Sicherheitsstufe beschrieben. Die Standard-Replikationssicherheitsstufe für eine neue, eindeutige AD LDS-Instanz ist 1, es sei denn, ein lokales Benutzerkonto auf einer Arbeitsstation ist als AD LDS-Dienstkonto angegeben. Wenn ein lokales Konto auf einer Arbeitsstation als AD LDS-Dienstkonto angegeben ist, wird die Replikationssicherheitsstufe auf 0 festgelegt.
| Replikationssicherheitsstufe | Authentifizierungsmodus | Beschreibung | Unterstützte Umgebungen |
|---|---|---|---|
|
Gegenseitige Authentifizierung mithilfe von Kerberos |
2 |
Kerberos-Authentifizierung mithilfe von Dienstprinzipalnamen (SPNs) erforderlich. Wenn die Kerberos-Authentifizierung fehlschlägt, werden die AD LDS-Instanzen nicht repliziert. |
Der Konfigurationssatz muss vollständig in einer AD-DS-Domäne, -Gesamtstruktur oder -Gesamtstruktur-Vertrauensstellung enthalten sein. |
|
Aushandlung |
1 |
Zunächst wird versucht, Kerberos-Authentifizierung (mithilfe von SPNs) durchzuführen. Wenn Kerberos fehlschlägt, wird versucht, NTLM-Authentifizierung durchzuführen. Wenn NTLM fehlschlägt, werden die AD LDS-Instanzen nicht repliziert. |
Der Konfigurationssatz kann Mitgliedsserver unter Microsoft® Windows NT® 4.0 enthalten. |
|
Aushandlungsdurchsatz |
0 |
Alle AD LDS-Instanzen im Konfigurationssatz verwenden identische Kontonamen und Kennwörter als AD LDS-Dienstkonto. |
Der Konfigurationssatz kann Computer enthalten, die mindestens einer Arbeitsgruppe angehören oder die mehreren Domänen oder Gesamtstrukturen ohne Vertrauensstellung angehören. |
Zur Unterstützung beim Gewährleisten der AD LDS-Replikationssicherheit gelten die folgenden Empfehlungen:
-
Verwenden Sie die höchste Stufe der Replikationssicherheit, die von der Umgebung unterstützt wird.
-
Führen Sie AD LDS in AD-DS-Umgebungen nach Möglichkeit nicht auf Domänencontrollern, sondern auf Mitgliedsservern aus.
-
Wenn Sie AD LDS in einer AD-DS-Umgebung auf einem Domänencontroller ausführen, sollten Sie nicht das Netzwerkdienstkonto als AD LDS-Dienstkonto verwenden. Verwenden Sie stattdessen ein Domänenbenutzerkonto ohne Administratorrechte.
-
Verwenden Sie in Arbeitsgruppenumgebungen und Umgebungen unter Windows NT 4.0 kein Konto mit Administratorrechten als AD LDS-Dienstkonto.
-
Verwenden Sie separate Konfigurationssätze für Anwendungen mit strengen Isolationsanforderungen.
Weitere Informationen zu AD LDS-Replikationsanforderungen für Dienstkonten finden Sie unter Dienstkontoauswahl.