Недопустимость вложенных точек синхронизации

При создании точек синхронизации необходимо строго соблюдать правило невложенности областей синхронизации.

Определение. Точкой синхронизации называется пара областей источник → назначение, задающая границы данных, подлежащих синхронизации между контроллерами домена (КД) или между КД и внешними LDAP-сервисами.

Ограничение. Пути (DN) областей синхронизации не должны пересекаться: - одна точка синхронизации не может включать область, которая полностью или частично входит в другую точку синхронизации; - пути источников и назначения разных точек не должны совпадать или быть вложенными друг в друга.

Примеры недопустимых конфигураций:

# Одинаковые пути назначения
M1 → LDAP ou=A1
M2 → LDAP ou=A1     ← конфликт

# Вложенные пути
M1 → LDAP ou=A1
M2 → LDAP ou=A1,ou=A2   ← конфликт (A2 является частью A1)

# Вложенные области на стороне источника
M1 → ou=A1
    ├── M2 → ou=A2
    └── M3 → ou=A3

В таких случаях одни и те же объекты могут одновременно попадать в несколько областей синхронизации, но в таблице служебных идентификаторов (structure_i_d_id) будет сохранено только одно значение точки синхронизации. Это приводит к потере целостности данных и некорректной работе модуля Syncer.

Рекомендации:

• Необходимо проектировать области синхронизации так, чтобы каждая из них охватывала уникальную ветвь LDAP-дерева;

• Новая точка синхронизации не должна пересекаться с существующими: её путь (DN) не должен включать или быть включён в пути других точек;

• При необходимости синхронизировать несколько областей внутри одной ветви правильным будет использовать независимые точки верхнего уровня или задавать фильтры объектов внутри одной точки.