plánování operací hlavní Role umístění

platí pro: Windows Server 2022, Windows Server 2019, Windows Server 2016, Windows Server 2012 R2, Windows Server 2012

služba Active Directory Domain Services (AD DS) podporuje multimaster replikaci adresářových dat, což znamená, že jakýkoli řadič domény může přijímat změny adresářů a replikovat změny na všechny ostatní řadiče domény. Některé změny, například úpravy schématu, jsou však nepraktické provádět multimasterovým způsobem. Z tohoto důvodu jsou některé řadiče domény, známé jako operations masters, odpovědné za přijímání požadavků na určité konkrétní změny.

v každé doméně existují tři hlavní role operací (známé také jako flexibilní jednotlivé hlavní operace nebo FSMO) :

• hlavní operace emulátoru primárního řadiče domény (PDC) zpracovává všechny aktualizace hesel.

• relativní ID (RID) Operations master udržuje globální rid pool pro doménu a přiděluje místní rid bazény všem řadičům domény, aby zajistil, že všechny principy zabezpečení vytvořené v doméně mají jedinečný identifikátor.

• master operací infrastruktury pro danou doménu udržuje seznam principů zabezpečení z jiných domén, které jsou členy skupin v rámci její domény.

kromě tří hlavních rolí operací na úrovni domény existují v každém lese dvě hlavní role operací:

• master operací schématu řídí změny schématu.
• master operace pojmenování domény přidává a odebírá domény a další adresářové oddíly (například aplikační oddíly Domain Name System (DNS)) do az lesa.

umístěte řadiče domény hostující tyto hlavní role operací do oblastí, kde je vysoká spolehlivost sítě, a ujistěte se, že emulátor PDC a rid master jsou trvale dostupné.

držitelé hlavních rolí operací jsou přiřazeni automaticky, když je vytvořen první řadič domény v dané doméně. Dvě role na úrovni lesa (schema master a domain naming master) jsou přiřazeny prvnímu řadiči domény vytvořenému v lese. Kromě toho jsou tři role na úrovni domény (rid master, infrastructure master a PDC emulator) přiřazeny prvnímu řadiči domény vytvořenému v doméně.

tato přiřazení hlavních rolí automatických operací mohou způsobit velmi vysoké využití CPU na prvním řadiči domény vytvořeném v lese nebo v doméně. Chcete-li tomu zabránit, přiřaďte (přeneste) hlavní role operací různým řadičům domény ve vašem lese nebo doméně. Umístěte řadiče domény, které hostují hlavní role operací, do oblastí, kde je síť spolehlivá a kde mohou být master operací přístupné všem ostatním řadičům domény v lese.

měli byste také určit pohotovostní (alternativní) operační velitele pro všechny hlavní role operací. Standby operations masters jsou řadiče domény, do kterých můžete přenést hlavní role operací v případě selhání původních držitelů rolí. Ujistěte se, že velitelé pohotovostních operací jsou přímými replikačními partnery skutečných velitelů operací.

plánování umístění emulátoru PDC

emulátor PDC zpracovává změny hesla klienta. Pouze jeden řadič domény funguje jako emulátor PDC v každé doméně v lese.

i když jsou všechny řadiče domény upgradovány na Windows 2000, Windows Server 2003 a Windows Server 2008 a doména pracuje na nativní funkční úrovni systému Windows 2000, emulátor PDC obdrží preferenční replikaci změn hesla prováděných jinými řadiči domény v doméně. Pokud bylo heslo nedávno změněno, tato změna vyžaduje čas, aby se replikovala na každý řadič domény v doméně. Pokud ověření přihlášení selže v jiném řadiči domény kvůli špatnému heslu, tento řadič domény předá požadavek na ověření emulátoru PDC, než se rozhodne, zda pokus o přihlášení přijme nebo odmítne.

umístěte emulátor PDC na místo, které obsahuje velké množství uživatelů z této domény pro operace předávání hesel v případě potřeby. Kromě toho se ujistěte, že umístění je dobře připojeno k jiným místům, aby se minimalizovala latence replikace.

pracovní list, který vám pomůže dokumentovat informace o tom, kam plánujete umístit emulátory PDC a počet uživatelů pro každou doménu, která je zastoupena v každém umístění, viz job Aids for Windows Server 2003 Deployment Kit, stáhněte si Job_Aids_Designing_and_Deploying_directory_and_security_services.zip a umístění řadiče otevřené domény (DSSTOPO_4.doc).

při nasazení regionálních domén je třeba odkázat na informace o lokalitách, do kterých je třeba umístit emulátory PDC. Další informace o nasazení regionálních domén naleznete v tématu nasazení regionálních domén systému Windows Server 2008.

požadavky na umístění master infrastruktury

master infrastruktury aktualizuje názvy principů zabezpečení z jiných domén, které jsou přidány do skupin ve své vlastní doméně. Pokud je například uživatel z jedné domény členem skupiny ve druhé doméně a jméno uživatele se změní v první doméně, druhá doména není upozorněna, že jméno uživatele musí být aktualizováno v seznamu členů skupiny. Protože řadiče domény v jedné doméně nereplikují principy zabezpečení na řadiče domény v jiné doméně, druhá doména si nikdy neuvědomí změnu v nepřítomnosti master infrastructure.

mistr infrastruktury neustále sleduje členství ve skupině a hledá principy zabezpečení z jiných domén. Pokud ji najde, zkontroluje doménu jistiny zabezpečení a ověří, zda jsou informace aktualizovány. Pokud jsou informace zastaralé, master infrastruktury provede aktualizaci a poté replikuje změnu na ostatní řadiče domény ve své doméně.

pro toto pravidlo platí dvě výjimky. Za prvé, pokud jsou všechny řadiče domény globálními katalogovými servery, řadič domény, který hostí hlavní roli infrastruktury, je nevýznamný, protože globální katalogy replikují aktualizované informace bez ohledu na doménu, ke které patří. Za druhé, pokud má les pouze jednu doménu, řadič domény, který je hostitelem hlavní role infrastruktury, je nevýznamný, protože principy zabezpečení z jiných domén neexistují.

neumisťujte master infrastruktury na řadič domény, který je také globálním katalogovým serverem. Pokud jsou Master infrastruktury a globální katalog na stejném řadiči domény, master infrastruktury nebude fungovat. Master infrastruktury nikdy nenajde data, která jsou zastaralá; proto nikdy nebude replikovat žádné změny na ostatních řadičích domény v doméně.

Operations master placement pro sítě s omezenou konektivitou

uvědomte si, že pokud vaše prostředí má centrální umístění nebo místo rozbočovače, na které můžete umístit držitele hlavních rolí operací, mohou být ovlivněny určité operace řadiče domény, které závisí na dostupnosti těchto držitelů hlavních rolí operací.

Předpokládejme například, že organizace vytváří weby a, B, C A D. odkazy na stránky existují mezi A A B, mezi B A C a mezi C a D. síťové připojení přesně odráží síťové připojení odkazů na weby. V tomto příkladu jsou všechny hlavní role operací umístěny na webu a a není vybrána možnost překlenout všechny odkazy na web.

ačkoli tato konfigurace vede k úspěšné replikaci mezi všemi weby, funkce hlavní role operací mají následující omezení:

• řadiče domén na webech C A D nemají přístup k emulátoru PDC na webu a, aby aktualizovali heslo nebo zkontrolovali heslo, které bylo Nedávno Aktualizováno.
• řadiče domén v webech C A D nemohou přistupovat k rid master V webu a, aby získali počáteční rid pool po instalaci služby Active Directory a obnovili rid bazény, jakmile se vyčerpají.
• řadiče domén v webech C A D nemohou přidat nebo odebrat oddíly adresáře, DNS nebo vlastní aplikace.
• řadiče domény v webech C A D nemohou provádět změny schématu.

pracovní list, který vám pomůže při plánování operací umístění hlavní role, viz job Aids for Windows Server 2003 Deployment Kit, stáhněte si Job_Aids_Designing_and_Deploying_directory_and_security_services.zip a umístění řadiče otevřené domény (DSSTOPO_4.doc).

tyto informace budete muset odkázat při vytváření kořenové domény lesa a regionálních domén. Další informace o nasazení kořenové domény forest naleznete v části nasazení a nasazení kořenové domény Windows Server 2008. Další informace o nasazení regionálních domén naleznete v tématu nasazení regionálních domén systému Windows Server 2008.

další informace o umístění rolí FSMO naleznete v tématu podpora umístění a optimalizace FSMO na řadičích domén Active Directory