- Artikel
- 07/29/2021
- 6 minuten zum Lesen
-
- ich
- d
- v
- e
- D
-
+5
Gilt für: Windows-Server 2022, Windows-Server 2019, Windows-Server 2016, Windows-Server 2012 R2, Windows-Server 2012
Active Directory-Domänendienste (Active Directory Domain Services, AD DS) unterstützen die Multimaster-Replikation von Verzeichnisdaten, d. h. jeder Domänencontroller kann Verzeichnisänderungen akzeptieren und die Änderungen auf alle anderen Domänencontroller replizieren. Es ist jedoch unpraktisch, bestimmte Änderungen, wie z. B. Schemaänderungen, auf Multimaster-Weise durchzuführen. Aus diesem Grund haben bestimmte Domänencontroller, sogenannte Operations Master, Rollen, die für die Annahme von Anforderungen für bestimmte Änderungen verantwortlich sind.
Hinweis
Inhaber von Masterrollen für Vorgänge müssen in der Lage sein, einige Informationen in die Active Directory-Datenbank zu schreiben. Aufgrund des schreibgeschützten Charakters der Active Directory-Datenbank auf einem schreibgeschützten Domänencontroller (RODC) können RODCs nicht als Operationsmasterrolleninhaber fungieren.
In jeder Domäne sind drei Operations-Masterrollen (auch als flexible Single Master Operations oder FSMO bezeichnet) vorhanden:
-
Der primäre Domänencontroller (PDC) Emulator Operations Master verarbeitet alle Kennwortaktualisierungen.
-
Der RID-Betriebsmaster (Relative ID) verwaltet den globalen RID-Pool für die Domäne und weist allen Domänencontrollern lokale RIDs-Pools zu, um sicherzustellen, dass alle in der Domäne erstellten Sicherheitsprinzipale über einen eindeutigen Bezeichner verfügen.
-
Der Infrastrukturbetriebsmaster für eine bestimmte Domäne verwaltet eine Liste der Sicherheitsprinzipale aus anderen Domänen, die Mitglieder von Gruppen innerhalb seiner Domäne sind.
Zusätzlich zu den drei Operations-Masterrollen auf Domänenebene sind in jeder Gesamtstruktur zwei Operations-Masterrollen vorhanden:
- Der Schema Operations Master regelt Änderungen am Schema.
- Der Domänenbenennungsoperationsmaster fügt Domänen und andere Verzeichnispartitionen (z. B. DNS-Anwendungspartitionen (Domain Name System)) der Gesamtstruktur hinzu und entfernt sie.
Platzieren Sie die Domänencontroller, die diese Betriebsmasterrollen hosten, in Bereichen, in denen die Netzwerkzuverlässigkeit hoch ist, und stellen Sie sicher, dass der PDC-Emulator und der RID-Master konsistent verfügbar sind.
Vorgänge Masterrolleninhaber werden automatisch zugewiesen, wenn der erste Domänencontroller in einer bestimmten Domäne erstellt wird. Die beiden Rollen auf Gesamtstrukturebene (Schemamaster und Domänenbenennungsmaster) werden dem ersten Domänencontroller zugewiesen, der in einer Gesamtstruktur erstellt wurde. Darüber hinaus werden die drei Rollen auf Domänenebene (RID-Master, Infrastruktur-Master und PDC-Emulator) dem ersten Domänencontroller zugewiesen, der in einer Domäne erstellt wurde.
Hinweis
Automatische Vorgänge Die Zuweisung von Masterrolleninhabern erfolgt nur, wenn eine neue Domäne erstellt und ein aktueller Rolleninhaber herabgestuft wird. Alle anderen Änderungen an Rolleninhabern müssen von einem Administrator initiiert werden.
Diese automatischen Vorgänge Masterrollenzuweisungen können eine sehr hohe CPU-Auslastung auf dem ersten Domänencontroller verursachen, der in der Gesamtstruktur oder der Domäne erstellt wurde. Um dies zu vermeiden, weisen Sie verschiedenen Domänencontrollern in Ihrer Gesamtstruktur oder Domäne Betriebsmasterrollen zu (übertragen). Platzieren Sie die Domänencontroller, die Betriebsmasterrollen hosten, in Bereichen, in denen das Netzwerk zuverlässig ist und auf die alle anderen Domänencontroller in der Gesamtstruktur zugreifen können.
Sie sollten auch Standby-Betriebsmaster (alternative Betriebsmaster) für alle Betriebsmasterrollen festlegen. Die Standby-Betriebsmaster sind Domänencontroller, auf die Sie die Betriebsmasterrollen übertragen können, falls die ursprünglichen Rolleninhaber ausfallen. Stellen Sie sicher, dass die Standby-Betriebsmaster direkte Replikationspartner der tatsächlichen Betriebsmaster sind.
Planen der Platzierung des PDC-Emulators
Der PDC-Emulator verarbeitet Client-Kennwortänderungen. In jeder Domäne in der Gesamtstruktur fungiert nur ein Domänencontroller als PDC-Emulator.
Selbst wenn alle Domänencontroller auf Windows 2000, Windows Server 2003 und Windows Server 2008 aktualisiert wurden und die Domäne auf der systemeigenen Windows 2000-Funktionsebene ausgeführt wird, erhält der PDC-Emulator eine bevorzugte Replikation von Kennwortänderungen, die von anderen Domänencontrollern in der Domäne ausgeführt werden. Wenn ein Kennwort kürzlich geändert wurde, dauert es einige Zeit, bis diese Änderung auf jedem Domänencontroller in der Domäne repliziert wird. Wenn die Anmeldeauthentifizierung auf einem anderen Domänencontroller aufgrund eines falschen Kennworts fehlschlägt, leitet dieser Domänencontroller die Authentifizierungsanforderung an den PDC-Emulator weiter, bevor entschieden wird, ob der Anmeldeversuch angenommen oder abgelehnt werden soll.
Platzieren Sie den PDC-Emulator an einem Speicherort, der eine große Anzahl von Benutzern aus dieser Domäne enthält, um bei Bedarf Kennwortweiterleitungsvorgänge durchzuführen. Stellen Sie außerdem sicher, dass der Standort gut mit anderen Standorten verbunden ist, um die Replikationslatenz zu minimieren.
Ein Arbeitsblatt zum Dokumentieren der Informationen darüber, wo Sie PDC-Emulatoren platzieren möchten, und der Anzahl der Benutzer für jede Domäne, die an jedem Speicherort dargestellt wird, finden Sie unter Job Aids for Windows Server 2003 Deployment Kit, download Job_Aids_Designing_and_Deploying_Directory_and_Security_Services.zip, und öffnen Sie Domain Controller Placement (DSSTOPO_4.Dok).
Sie müssen sich auf die Informationen zu Speicherorten beziehen, an denen Sie PDC-Emulatoren platzieren müssen, wenn Sie regionale Domänen bereitstellen. Weitere Informationen zum Bereitstellen regionaler Domänen finden Sie unter Bereitstellen regionaler Windows Server 2008-Domänen.
Anforderungen an die Platzierung des Infrastrukturmasters
Der Infrastrukturmaster aktualisiert die Namen von Sicherheitsprinzipalen aus anderen Domänen, die Gruppen in seiner eigenen Domäne hinzugefügt werden. Wenn beispielsweise ein Benutzer aus einer Domäne Mitglied einer Gruppe in einer zweiten Domäne ist und der Name des Benutzers in der ersten Domäne geändert wird, wird die zweite Domäne nicht benachrichtigt, dass der Name des Benutzers in der Mitgliederliste der Gruppe aktualisiert werden muss. Da Domänencontroller in einer Domäne keine Sicherheitsprinzipale auf Domänencontroller in einer anderen Domäne replizieren, wird der zweiten Domäne die Änderung in Abwesenheit des Infrastrukturmasters nie bekannt.
Der Infrastrukturmaster überwacht ständig Gruppenmitgliedschaften und sucht nach Sicherheitsprinzipalen aus anderen Domänen. Wenn es eine findet, überprüft es mit der Domäne des Sicherheitsprinzipals, ob die Informationen aktualisiert werden. Wenn die Informationen veraltet sind, führt der Infrastrukturmaster die Aktualisierung durch und repliziert die Änderung dann auf die anderen Domänencontroller in seiner Domäne.
Von dieser Regel gelten zwei Ausnahmen. Erstens, wenn alle Domänencontroller globale Katalogserver sind, ist der Domänencontroller, der die Infrastrukturmasterrolle hostet, unbedeutend, da globale Kataloge die aktualisierten Informationen unabhängig von der Domäne replizieren, zu der sie gehören. Zweitens: Wenn die Gesamtstruktur nur über eine Domäne verfügt, ist der Domänencontroller, der die Infrastrukturmasterrolle hostet, unbedeutend, da keine Sicherheitsprinzipale aus anderen Domänen vorhanden sind.
Platzieren Sie den Infrastrukturmaster nicht auf einem Domänencontroller, der auch ein globaler Katalogserver ist. Wenn sich der Infrastrukturmaster und der globale Katalog auf demselben Domänencontroller befinden, funktioniert der Infrastrukturmaster nicht. Der Infrastrukturmaster findet niemals veraltete Daten und repliziert daher niemals Änderungen auf die anderen Domänencontroller in der Domäne.
Platzierung des Operationsmasters für Netzwerke mit eingeschränkter Konnektivität
Beachten Sie, dass bestimmte Domänencontrollervorgänge, die von der Verfügbarkeit dieser Operationsmasterrolleninhaber abhängen, betroffen sein können, wenn Ihre Umgebung über einen zentralen Standort oder Hub-Standort verfügt, an dem Sie Operationsmasterrolleninhaber platzieren können.
Angenommen, eine Organisation erstellt die Standorte A, B, C und D. Standortverknüpfungen bestehen zwischen A und B, zwischen B und C und zwischen C und D. Die Netzwerkkonnektivität spiegelt genau die Netzwerkkonnektivität der Standortverknüpfungen wider. In diesem Beispiel werden alle Operationsmasterrollen in Standort A platziert, und die Option zum Überbrücken aller Standortverknüpfungen ist nicht ausgewählt.
Obwohl diese Konfiguration zu einer erfolgreichen Replikation zwischen allen Standorten führt, weisen die Operationsmasterrollenfunktionen die folgenden Einschränkungen auf:
- Domänencontroller an den Standorten C und D können nicht auf den PDC-Emulator an Standort A zugreifen, um ein Kennwort zu aktualisieren oder es auf ein kürzlich aktualisiertes Kennwort zu überprüfen.
- Domänencontroller an den Standorten C und D können nicht auf den RID-Master an Standort A zugreifen, um nach der Active Directory-Installation einen anfänglichen RID-Pool abzurufen und RID-Pools zu aktualisieren, wenn sie erschöpft sind.
- Domänencontroller an den Standorten C und D können keine Verzeichnis-, DNS- oder benutzerdefinierten Anwendungspartitionen hinzufügen oder entfernen.
- Domänencontroller an den Standorten C und D können keine Schemaänderungen vornehmen.
Ein Arbeitsblatt zur Unterstützung bei der Planung der Masterrollenplatzierung finden Sie unter Job Aids for Windows Server 2003 Deployment Kit, download Job_Aids_Designing_and_Deploying_Directory_and_Security_Services.zip, und öffnen Sie Domain Controller Placement (DSSTOPO_4.Dok).
Sie müssen auf diese Informationen verweisen, wenn Sie die Stammdomäne und die regionalen Domänen der Gesamtstruktur erstellen. Weitere Informationen zum Bereitstellen der Gesamtstrukturstammdomäne finden Sie unter Bereitstellen einer Windows Server 2008-Gesamtstrukturstammdomäne bereitstellen. Weitere Informationen zum Bereitstellen regionaler Domänen finden Sie unter Bereitstellen regionaler Windows Server 2008-Domänen.
Weitere Informationen zur FSMO-Rollenplatzierung finden Sie im Supportthema FSMO-Platzierung und -Optimierung auf Active Directory-Domänencontrollern