- artikel
- 07/29/2021
- 6 minutter at læse
-
- i
- d
- v
- e
- D
-
+5
gælder for: Vinduer Server 2022, vinduer Server 2019, vinduer Server 2016, vinduer Server 2012 R2, vinduer Server 2012
Active Directory Domain Services (AD DS) understøtter multimaster-replikering af katalogdata, hvilket betyder, at enhver domænecontroller kan acceptere katalogændringer og gentage ændringerne til alle andre domænecontrollere. Imidlertid er visse ændringer, såsom skemaændringer, upraktiske at udføre på en multimaster-måde. Af denne grund har visse domænecontrollere, kendt som operations masters, roller ansvarlige for at acceptere anmodninger om bestemte specifikke ændringer.
Bemærk
Operations master rolleindehavere skal kunne skrive nogle oplysninger til Active Directory-databasen. På grund af Active Directory-databasens skrivebeskyttede karakter på en skrivebeskyttet domænecontroller (RODC) kan RODC ‘ er ikke fungere som operations master rolleindehavere.
tre operations master roller (også kendt som fleksible single master operations eller FSMO) findes i hvert domæne:
-
den primære domænecontroller (PDC) emulator operations master behandler alle adgangskodeopdateringer.
-
den relative ID (RID) operations master vedligeholder den globale RID-pulje for domænet og tildeler lokale RIDs-puljer til alle domænecontrollere for at sikre, at alle sikkerhedsledere, der er oprettet i domænet, har en unik identifikator.
-
Master of infrastructure operations for et givet domæne opretholder en liste over sikkerhedsledere fra andre domæner, der er medlemmer af grupper inden for dets domæne.
ud over de tre Operations Master-roller på domæneniveau findes der to operations master-roller i hver skov:
- Schema operations master styrer ændringer i skemaet.
- master i domænenavngivningsoperationer tilføjer og fjerner domæner og andre mappepartitioner (f.eks. Domain Name System (DNS) application partitions) til og fra skoven.
Placer domænecontrollere hosting disse operationer master roller i områder, hvor netværk pålidelighed er høj, og sikre, at PDC emulator og RID master er konsekvent tilgængelige.
Operations master rolleindehavere tildeles automatisk, når den første domænecontroller i et givet domæne oprettes. De to roller på skovniveau (schema master og domain naming master) tildeles den første domænecontroller, der er oprettet i en skov. Derudover tildeles de tre roller på domæneniveau (RID master, infrastructure master og PDC emulator) til den første domænecontroller, der er oprettet i et domæne.
Bemærk
automatiske operationer hovedrolleholdertildelinger foretages kun, når der oprettes et nyt domæne, og når en nuværende rolleholder degraderes. Alle andre ændringer af rolleejere skal initieres af en administrator.
disse automatiske operationer master rolletildelinger kan forårsage meget høj CPU-brug på den første domænecontroller oprettet i skoven eller domænet. For at undgå dette skal du tildele (overføre) operations master roller til forskellige domænecontrollere i din skov eller domæne. Placer de domænecontrollere, der er vært for operations master roller i områder, hvor netværket er pålideligt, og hvor operations masters kan tilgås af alle andre domænecontrollere i skoven.
du bør også udpege standby (alternative) operations masters for alle operations master roller. Standby operations masters er domænecontrollere, som du kan overføre operations master roller til, hvis de oprindelige rolleindehavere fejler. Sørg for, at standby operations masters er direkte replikationspartnere for de faktiske operations masters.
planlægning af PDC-emulatorplacering
PDC-emulatoren behandler ændringer i klientadgangskoden. Kun en domænecontroller fungerer som PDC-emulator i hvert domæne i skoven.
selvom alle domænecontrollere opgraderes til vinduer 2000, vinduer Server 2003 og vinduer Server 2008, og domænet fungerer på vinduer 2000 indbygget funktionsniveau , modtager PDC-emulatoren præferentiel replikering af adgangskodeændringer udført af andre domænecontrollere i domænet. Hvis en adgangskode for nylig blev ændret, tager denne ændring tid at replikere til hver domænecontroller i domænet. Hvis logongodkendelse mislykkes hos en anden domænecontroller på grund af en dårlig adgangskode, videresender domænecontrolleren godkendelsesanmodningen til PDC-emulatoren, inden den beslutter, om logonforsøget skal accepteres eller afvises.
Placer PDC-emulatoren et sted, der indeholder et stort antal brugere fra dette domæne til videresendelse af adgangskode, hvis det er nødvendigt. Derudover skal du sikre dig, at placeringen er godt forbundet til andre placeringer for at minimere replikationsforsinkelse.
for et regneark til at hjælpe dig med at dokumentere oplysninger om, hvor du planlægger at placere PDC emulatorer og antallet af brugere for hvert domæne, der er repræsenteret i hver placering, Se Jobhjælpemidler til vinduer Server 2003 implementering Kit, Hent Job_Aids_Designing_and_Deploying_directory_and_security_services.placering af domænecontroller (DSSTOPO_4).doc).
du skal henvise til oplysningerne om placeringer, hvor du skal placere PDC-emulatorer, når du implementerer regionale domæner. Du kan finde flere oplysninger om installation af regionale domæner i installation af regionale domæner 2008.
krav til infrastruktur master placering
infrastruktur master opdaterer navnene på sikkerhed principper fra andre domæner, der føjes til grupper i sit eget domæne. For eksempel, hvis en bruger fra et domæne er medlem af en gruppe i et andet domæne, og brugerens navn ændres i det første domæne, får det andet domæne ikke besked om, at brugerens navn skal opdateres på gruppens medlemsliste. Da domænecontrollere i et domæne ikke replikerer sikkerhedsprincipper til domænecontrollere i et andet domæne, bliver det andet domæne aldrig opmærksom på ændringen i fraværet af infrastrukturmesteren.
infrastrukturmesteren overvåger konstant gruppemedlemskaber og leder efter sikkerhedsledere fra andre domæner. Hvis den finder en, kontrollerer den med sikkerhedslederens domæne for at kontrollere, at oplysningerne er opdateret. Hvis oplysningerne er forældede, udfører infrastrukturmesteren opdateringen og replikerer derefter ændringen til de andre domænecontrollere i sit domæne.
to undtagelser gælder for denne regel. For det første, hvis alle domænecontrollere er globale katalogservere, er domænecontrolleren, der er vært for infrastrukturmesterrollen, ubetydelig, fordi globale kataloger replikerer de opdaterede oplysninger uanset hvilket domæne de tilhører. For det andet, hvis skoven kun har et domæne, er domænecontrolleren, der er vært for infrastrukturmesterrollen, ubetydelig, fordi sikkerhedsledere fra andre domæner ikke findes.
Placer ikke infrastrukturmesteren på en domænecontroller, der også er en global katalogserver. Hvis infrastructure master og global catalog er på samme domænecontroller, fungerer infrastructure master ikke. Infrastruktur master vil aldrig finde data, der er forældet; derfor vil det aldrig replikere nogen ændringer til de andre domænecontrollere i domænet.
Operations master placement for netværk med begrænset forbindelse
Vær opmærksom på, at hvis dit miljø har en central placering eller et hubsted, hvor du kan placere operations master rolleindehavere, kan visse domænecontrolleroperationer, der afhænger af tilgængeligheden af disse operations master rolleindehavere, blive påvirket.
Antag f.eks., at en organisation opretter sites A, B, C og D. site links findes mellem A og B, mellem B og C, og mellem C og D. netværksforbindelse afspejler nøjagtigt netværksforbindelsen for sites links. I dette eksempel placeres alle operations master-roller i site A, og muligheden for at bygge bro over alle Site-links er ikke valgt.
selvom denne konfiguration resulterer i vellykket replikation mellem alle lokaliteterne, har operations master-rollefunktionerne følgende begrænsninger:
- domænecontrollere i sites C og D kan ikke få adgang til PDC-emulatoren i site A for at opdatere en adgangskode eller for at kontrollere den for en adgangskode, der for nylig er blevet opdateret.
- domænecontrollere i sites C og D kan ikke få adgang til RID master i site A for at få en indledende RID-pool efter Active Directory-installationen og for at opdatere RID-puljer, når de bliver udtømt.
- domænecontrollere i sites C og D kan ikke tilføje eller fjerne mappe -, DNS-eller brugerdefinerede applikationspartitioner.
- domænecontrollere i sites C og D kan ikke foretage skemaændringer.
for et regneark til at hjælpe dig med at planlægge operationer master rolle placering, Se Job hjælpemidler til vinduer Server 2003 implementering Kit, Hent Job_Aids_Designing_and_Deploying_directory_and_security_services.placering af domænecontroller (DSSTOPO_4).doc).
du skal henvise til disse oplysninger, når du opretter forest root-domænet og regionale domæner. Du kan finde flere oplysninger om implementering af forest root-domænet i implementering af et Forest Root-domæne 2008. Du kan finde flere oplysninger om installation af regionale domæner i installation af regionale domæner 2008.
yderligere oplysninger om FSMO-rolleplacering kan findes i supportemnet FSMO-placering og optimering på Active Directory-domænecontrollere