Bundesamt für Sicherheit in der Informationstechnik

G 2.70 Fehlerhafte oder unzureichende Planung der Partitionierung und Replizierung im Novell eDirectory

Die Partitionierung und die Replizierung des eDirectory-Verzeichnisdienstes ist ein wesentlicher Aspekt bei der Planung des Einsatzes.

Bei der Partitionierung handelt es sich um eine Aufteilung der Verzeichnisdaten des eDirectory in einzelne Teilbereiche (Partitionen). Diese Aufteilung kann nicht beliebig erfolgen, sondern muss gewissen Regeln entsprechen, die sich aus der Logik der hierarchischen Baumstruktur ergeben. Zweck der Partitionierung ist zum einen eine Lastverteilung des Verzeichnissystems auf mehrere Teile, zum anderen kann damit eine physikalische Trennung der Aufbewahrungsorte von Verzeichnisdaten - z. B. den Standorten einer Organisation entsprechend - erreicht werden. Weiterhin können Partitionen auch Verwaltungseinheiten des Verzeichnissystems darstellen.

Beispiel für einen partitionierten eDirectory Verzeichnisdienst

Die Replizierung von Partitionen des eDirectory dient in erster Linie der Erhöhung der Verfügbarkeit und der Lastverteilung des Verzeichnissystems. Weiter wird durch die Redundanz in der Datenhaltung die Ausfallsicherheit verbessert.

Die Planung ist auch deshalb von entscheidender Bedeutung, da nachträgliche Änderungen an den Partitions- und Replikationseinstellungen zwar möglich sind, jedoch unter Umständen Inkonsistenzen nach sich ziehen können.

Bei Änderungen am eDirectory dauert es naturgemäß eine gewisse Zeit, bis sich die neuen Einstellungen überall hin ausgebreitet haben. Somit kann sich ein Zeitfenster ergeben, innerhalb dessen das eDirectory inkonsistent ist. Solche Inkonsistenzen können vor allem in der Definition der Authentisierungsdaten oder auch der Zugriffsrechte auf eDirectory-Objekte ein Problem darstellen.

Eine Partitionierung des eDirectory-Verzeichnisses hat direkte Konsequenzen für die Vererbung von Zugriffsrechten (Access Control Lists, ACL ). Um die Vererbungsregeln bei einem bestehenden eDirectory-Baum zu erhalten, wird bei einer Partitionierung dem Wurzelobjekt der neuen Partition die übergeordnete ACL als inherited ACL vom System zur Kenntnis gebracht.

Die Festlegung der Partitionierung des eDirectory-Verzeichnisdienstes hat direkte Auswirkung auf die Replizierungsaktivitäten des Gesamtsystems. Um effizient über den Gesamtbaum nach Objekten suchen zu können (Tree walking), legt das eDirectory automatisch so genannte Subordinate Reference Replicas an, welche im Wesentlichen Sprungadressen enthalten. Ist die Planung unzulänglich (z. B. bei zu flacher Baumstruktur), so werden hier sehr umfassende Replizierungsringe erzeugt. Wird ein Replizierungsring sehr groß, so besteht eine gewisse Wahrscheinlichkeit, dass zumindest ein eDirectory-Server des Ringes momentan nicht erreichbar ist. In einem solchen Fall werden Fehler- und Statusmeldungen auf jedem weiteren eDirectory-Server des Replizierungsrings erzeugt. Dies kann zu erhöhtem Administrationsaufwand führen, der sich über große Teile des Verzeichnisbaums erstrecken kann.

Außerdem kann eine fehlerhafte oder unzureichende Planung der Partitionierung und der Replizierung des Verzeichnisdienstes auch zu Datenverlusten sowie Inkonsistenzen in der Datenhaltung, einer mangelhaften Verfügbarkeit des Verzeichnisdienstes und einer insgesamt schlechten Systemperformance bis hin zu Systemausfällen führen.

Stand: Stand 2005

Hinweis zur Verwendung von Cookies

Um unsere Webseite für Sie optimal zu gestalten und fortlaufend verbessern zu können, verwenden wir Cookies. Durch die weitere Nutzung der Webseite stimmen Sie der Verwendung von Cookies zu. Weitere Informationen hierzu erhalten Sie in unserer Datenschutzerklärung.

OK