- momentti
- 07/29/2021
- 6 luettavat minuutit
-
- i
- d
- v
- e
- D
-
+5
koskee: Windows Server 2022, Windows Server 2019, Windows Server 2016, Windows Server 2012 R2, Windows Server 2012
Active Directory Domain Services (AD DS) tukee multimaster replikointia hakemistotietoja, mikä tarkoittaa, että mikä tahansa toimialueen ohjain voi hyväksyä hakemiston muutokset ja toistaa muutokset kaikkiin muihin toimialueen ohjaimiin. Tietyt muutokset, kuten skeemamuutokset, ovat kuitenkin epäkäytännöllisiä multimaster-tyyliin. Tästä syystä tietyt toimialueen ohjaimet, joita kutsutaan operaatiomestareiksi, ovat vastuussa tiettyjen muutosten pyyntöjen hyväksymisestä.
Huomautus
operaatioiden pääroolin haltijoiden on kyettävä kirjoittamaan joitakin tietoja Active Directory-tietokantaan. Koska Active Directory-tietokanta on luonteeltaan read-only domain controller (RODC), RODCs ei voi toimia operaatioiden pääroolin haltijoina.
kullakin osa-alueella on kolme operaatioiden pääroolia (tunnetaan myös nimellä flexible single master operations tai FSMO):
-
primary domain controller (PDC) emulaattori operations master käsittelee kaikki salasanapäivitykset.
-
relative ID (rid) operations master ylläpitää toimialueen maailmanlaajuista rid-poolia ja jakaa paikalliset rids-poolit kaikille toimialueen valvojille varmistaakseen, että kaikilla toimialueen luoduilla tietoturvaperiaatteilla on yksilöllinen tunniste.
-
tietyn toimialueen infrastruktuurioperaatioiden päällikkö ylläpitää luetteloa muiden toimialojen tietoturvaperiaatteista, jotka ovat sen toimialueen ryhmien jäseniä.
kolmen domain-tason operations master-roolin lisäksi kussakin metsässä on kaksi operations master-roolia:
- skeeman operaatiomestari hallitsee skeemaan tehtäviä muutoksia.
- toimialueen nimeämistoimintojen päällikkö lisää ja poistaa verkkotunnuksia ja muita Hakemisto-osioita (esimerkiksi Domain Name System (DNS) – sovellusosioita) metsään ja sieltä pois.
aseta näitä operaatioiden päärooleja isännöivät toimialueen ohjaimet alueille, joilla verkon luotettavuus on korkea, ja varmista, että PDC-emulaattori ja RID master ovat jatkuvasti saatavilla.
operaatioiden pääroolin haltijat määrätään automaattisesti, kun tietyn toimialueen ensimmäinen toimialueen ohjain luodaan. Kaksi metsätason roolia (skeema master ja domain naming master) annetaan ensimmäiselle metsään luodulle domain-ohjaimelle. Lisäksi kolme domain-tason roolia (RID master, infrastructure master ja PDC emulator) on osoitettu ensimmäiselle verkkotunnukseen luodulle domain-ohjaimelle.
Huomautus
automaattiset operaatiot master role holder-toimeksiannot tehdään vain, kun luodaan uusi verkkotunnus ja kun nykyinen roolinhaltija alennetaan. Kaikki muut roolien omistajien muutokset on käynnistettävä ylläpitäjällä.
nämä automaattisten operaatioiden pääroolien tehtävät voivat aiheuttaa erittäin suuren suoritinkäytön ensimmäiselle metsään tai verkkotunnukseen luodulle domain-ohjaimelle. Voit välttää tämän antamalla (siirto) operaatioiden päärooleja metsä-tai verkkoalueesi eri toimialueen ohjaimille. Aseta operaatioiden päärooleja isännöivät verkkotunnusohjaimet alueille, joissa verkko on luotettava ja joissa operaatiomestarit ovat kaikkien muiden metsässä olevien verkkotunnusohjaajien käytettävissä.
sinun tulee myös nimetä valmiuslentopäälliköt kaikkiin operaatioiden päärooleihin. Valmiustoimintojen masterit ovat toimialueen ohjaimia, joihin voit siirtää operaatioiden pääroolit siltä varalta, että alkuperäiset roolinhaltijat epäonnistuvat. Varmistettava, että valmiustoiminnan päälliköt ovat varsinaisten operaatioiden päälliköiden suoria replikointikumppaneita.
PDC-emulaattorin sijoittelun suunnittelu
PDC-emulaattori käsittelee asiakkaan salasanojen muutoksia. Vain yksi verkkotunnuksen ohjain toimii PDC-emulaattorina jokaisessa metsäalueen verkkotunnuksessa.
vaikka kaikki toimialueen ohjaimet on päivitetty Windows 2000: een, Windows Server 2003: een ja Windows Server 2008: aan ja toimialue toimii Windows 2000: n alkuperäisellä toiminnallisella tasolla, PDC-emulaattori vastaanottaa etuoikeutetun toisinnon toimialueen muiden toimialueen ohjaimien tekemistä salasanamuutoksista. Jos salasana on äskettäin muutettu, muutos vie aikaa monistaa jokaiselle toimialueen ohjaimelle. Jos kirjautumistodennus epäonnistuu toisella toimialueen ohjaimella huonon salasanan vuoksi, kyseinen toimialueen ohjain välittää todennuspyynnön PDC-emulaattorille ennen kuin päättää, hyväksytäänkö vai hylätäänkö kirjautumisyritys.
Aseta PDC-emulaattori paikkaan, joka sisältää suuren määrän kyseisen verkkotunnuksen käyttäjiä salasanojen välitystoimintoja varten tarvittaessa. Lisäksi varmista, että sijainti on hyvin kytketty muihin paikkoihin minimoimaan replikaation latenssi.
jos haluat laskentataulukon, joka auttaa sinua dokumentoimaan tiedot siitä, mihin aiot sijoittaa PDC-emulaattorit ja käyttäjien määrän kullekin toimialueelle, joka on edustettuna kussakin sijaintipaikassa, Katso Windows Server 2003 Deployment Kit, job_aids_designing_and_deploying_directory_ And_security_services.zip, ja open Domain Controller sijoittelu (DSSTOPO_4.dokumentti).
sinun on viitattava tietoihin paikoista, joihin sinun on sijoitettava PDC-emulaattoreita, kun otat käyttöön alueellisia verkkotunnuksia. Lisätietoja alueellisten verkkotunnusten käyttöönotosta on ohjeaiheessa Windows Server 2008 alueellisten verkkotunnusten käyttöönotto.
infrastruktuurimestarin sijoittamista koskevat vaatimukset
infrastructure master päivittää muiden tieteenalojen turvallisuusvastaavien Nimet, jotka lisätään sen oman toimialueen ryhmiin. Jos esimerkiksi yhden verkkotunnuksen käyttäjä on toisen verkkotunnuksen ryhmän jäsen ja käyttäjän nimi vaihdetaan ensimmäisessä verkkotunnuksessa, toiselle verkkotunnukselle ei ilmoiteta, että käyttäjän nimi on päivitettävä ryhmän jäsenluetteloon. Koska yhden toimialueen verkkotunnusohjaimet eivät kopioi tietoturvaperiaatteita toisen toimialueen toimialueen ohjaimiin, toinen toimialue ei koskaan tule tietoiseksi muutoksesta infrastruktuurin päällikön puuttuessa.
infrastruktuurimestari seuraa jatkuvasti ryhmän jäsenyyksiä ja etsii turvallisuusvastaavia muilta aloilta. Jos se löytää yhden, se tarkistaa tietoturvapäällikön verkkotunnuksen tarkistaakseen, että tiedot on päivitetty. Jos tiedot ovat vanhentuneita, infrastruktuurin päällikkö suorittaa päivityksen ja toistaa muutoksen muihin toimialueen ohjaimiin toimialueellaan.
tähän sääntöön sovelletaan kahta poikkeusta. Ensinnäkin, jos kaikki toimialueen ohjaimet ovat maailmanlaajuisia luettelopalvelimia, toimialueen ohjain, joka isännöi infrastructure master-roolia, on merkityksetön, koska maailmanlaajuiset luettelot jäljittelevät päivitettyjä tietoja riippumatta siitä, mihin toimialueeseen ne kuuluvat. Toiseksi, jos metsässä on vain yksi verkkotunnus, infrastruktuurin pääroolin isäntänä toimiva verkkotunnuksen ohjain on merkityksetön, koska muiden verkkotunnusten turvallisuusperiaatteita ei ole olemassa.
älä aseta infrastruktuurimestaria toimialueen ohjaimeen, joka on myös maailmanlaajuinen luettelopalvelin. Jos infrastructure master ja global catalog ovat samalla toimialueen ohjaimella, infrastructure master ei toimi. Infrastruktuurin päällikkö ei koskaan löydä tietoja, jotka ovat vanhentuneita; siksi se ei koskaan kopioi muutoksia muihin toimialueen ohjaimiin.
Operations master placement verkoille, joiden liitettävyys on rajoitettu
ota huomioon, että jos ympäristössäsi on keskeinen sijainti tai solmukohta, johon voit sijoittaa operations master-roolinhaltijoita, tietyt toimialueen kontrollerin toiminnot, jotka riippuvat näiden Operations master-roolinhaltijoiden saatavuudesta, voivat vaikuttaa.
Oletetaan esimerkiksi, että organisaatio luo sivustot A, B, C ja D. sivustolinkit ovat olemassa A: n ja B: n välillä, B: n ja C: n välillä sekä C: n ja D: n välillä. Tässä esimerkissä kaikki operaatioiden pääroolit sijoitetaan sivustoon A ja mahdollisuutta yhdistää kaikki sivuston linkit ei ole valittu.
vaikka tämä kokoonpano johtaa onnistuneeseen replikaatioon kaikkien kohteiden välillä, operaatioiden pääroolifunktioilla on seuraavat rajoitukset:
- sivustojen C ja D toimialueen ohjaimet eivät voi käyttää sivuston A PDC-emulaattoria salasanan päivittämiseen tai salasanan tarkistamiseen, joka on äskettäin päivitetty.
- sivustojen C ja D toimialueen ohjaimet eivät voi käyttää sivuston A rid-Masteria saadakseen alkuperäisen rid-altaan Active Directory-asennuksen jälkeen ja päivittääkseen rid-altaat niiden tyhjentyessä.
- sivustojen C ja D toimialueen ohjaimet eivät voi lisätä tai poistaa hakemistoa, DNS: ää tai mukautettuja sovellusosioita.
- sivustojen C ja D toimialueen ohjaimet eivät voi tehdä skeemamuutoksia.
jos haluat laskentataulukon, joka auttaa sinua suunnittelemaan operaatioita, pääroolien sijoittamista, Katso Windows Server 2003 Deployment Kit Job Aids, download Job_aids_designing_and_deploying_directory_ And_security_services.zip, ja open Domain Controller sijoittelu (DSSTOPO_4.dokumentti).
sinun on viitattava näihin tietoihin, kun luot forest root-verkkotunnuksen ja alueelliset verkkotunnukset. Lisätietoja forest root-verkkotunnuksen käyttöönotosta on ohjeaiheessa Windows Server 2008 Forest Root-verkkotunnuksen käyttöönotto. Lisätietoja alueellisten verkkotunnusten käyttöönotosta on ohjeaiheessa Windows Server 2008 alueellisten verkkotunnusten käyttöönotto.
lisätietoja FSMO-roolien sijoittelusta löytyy Tukialasta FSMO sijoittelu ja optimointi Active Directory-toimialueen ohjaimissa