- jogcímcsoport
- 07/29/2021
- 6 perc olvasni
-
- i
- d
- v
- e
- D
-
+5
vonatkozik: Windows Server 2022, Windows Server 2019, Windows Server 2016, Windows Server 2012 R2, Windows Server 2012
az Active Directory tartományi szolgáltatások (AD DS) támogatja a címtáradatok multimaster replikációját, ami azt jelenti, hogy bármely tartományvezérlő képes elfogadni a címtárváltozásokat, és az összes többi tartományvezérlővel replikálni a módosításokat. Bizonyos változtatások, például a sémamódosítások azonban nem kivitelezhetők multimaster módon. Emiatt bizonyos tartományvezérlők, más néven műveleti mesterek, szerepköröket tartanak felelősnek bizonyos konkrét változtatásokra vonatkozó kérelmek elfogadásáért.
Megjegyzés
a műveleti fő szerepkör-tulajdonosoknak képesnek kell lenniük bizonyos információk írására az Active Directory adatbázisba. Az Active Directory adatbázis csak olvasható jellege miatt csak olvasható tartományvezérlőn (RODC) a RODC-k nem működhetnek műveleti fő szerepkör-tulajdonosként.
három műveleti fő szerepkör (más néven rugalmas egy fő művelet vagy FSMO) létezik minden tartományban:
-
az elsődleges tartományvezérlő (PDC) emulátor operations master feldolgozza az összes jelszófrissítést.
-
a relatív azonosító (rid) műveleti főkiszolgáló fenntartja a tartomány globális RID-készletét, és a helyi rid-készleteket minden tartományvezérlőhöz hozzárendeli annak biztosítása érdekében, hogy a tartományban létrehozott összes biztonsági elem egyedi azonosítóval rendelkezzen.
-
egy adott tartomány infrastruktúra-műveleti főkiszolgálója listát vezet a tartományán belüli csoportok más Tartományainak biztonsági alapelveiről.
a három tartományszintű műveleti fő szerepkör mellett két műveleti fő szerepkör létezik minden erdőben:
- a séma műveleti főkiszolgálója szabályozza a séma módosításait.
- a tartományelnevezési műveleti mester hozzáad és eltávolít tartományokat és más címtárpartíciókat (például Domain Name System (DNS) alkalmazáspartíciókat) az erdőbe és onnan.
helyezze az ezeket a műveleti főkiszolgálói szerepköröket tároló tartományvezérlőket olyan területekre, ahol a hálózat megbízhatósága magas, és gondoskodjon arról, hogy a PDC emulátor és a RID főkiszolgálója következetesen elérhető legyen.
a műveleti főkiszolgálói szerepkörtulajdonosok automatikusan hozzárendelésre kerülnek egy adott tartomány első tartományvezérlőjének létrehozásakor. A két erdőszintű szerepkör (séma-mester és tartománynév-mester) az erdőben létrehozott első tartományvezérlőhöz van hozzárendelve. Ezenkívül a három tartományszintű szerepkör (RID master, infrastructure master és PDC emulátor) a tartományban létrehozott első tartományvezérlőhöz van hozzárendelve.
Megjegyzés
az automatikus műveleti főkiszolgálói hozzárendelések csak új tartomány létrehozásakor és egy aktuális szerepbirtokos lefokozásakor kerülnek végrehajtásra. A szerepkör-tulajdonosok minden egyéb módosítását rendszergazdának kell kezdeményeznie.
ezek az automatikus műveleti fő szerepkör-hozzárendelések nagyon magas CPU-felhasználást okozhatnak az erdőben vagy a tartományban létrehozott első tartományvezérlőn. Ennek elkerülése érdekében rendeljen (átvitel) műveleti fő szerepköröket az erdő vagy tartomány különböző tartományvezérlőihez. Helyezze a műveleti főkiszolgálókat olyan területekre, ahol a hálózat megbízható, és ahol a műveleti főkiszolgálókat az erdő összes többi tartományvezérlője elérheti.
az összes műveleti fő szerepkörhöz készenléti (alternatív) műveleti mestereket is meg kell jelölnie. A készenléti műveletek mesterei olyan tartományvezérlők, amelyekre átviheti a műveleti fő szerepköröket abban az esetben, ha az eredeti szerepkör-tulajdonosok meghibásodnak. Győződjön meg arról, hogy a készenléti műveleti mesterek a tényleges műveleti mesterek közvetlen replikációs Partnerei.
a PDC emulátor elhelyezésének megtervezése
a PDC emulátor feldolgozza az ügyfél jelszavának megváltoztatását. Az erdő minden tartományában csak egy tartományvezérlő működik PDC emulátorként.
még ha az összes tartományvezérlőt frissítették is Windows 2000, Windows Server 2003 és Windows Server 2008 rendszerre, és a tartomány A Windows 2000 natív működési szintjén működik , a PDC emulátor megkapja a tartomány más tartományvezérlői által végrehajtott jelszóváltozások preferenciális replikációját. Ha nemrégiben módosítottak egy jelszót, a változtatás replikálása időbe telik a tartomány minden tartományvezérlőjén. Ha a bejelentkezési hitelesítés hibás jelszó miatt sikertelen egy másik tartományvezérlőn, akkor az a tartományvezérlő továbbítja a hitelesítési kérelmet a PDC emulátornak, mielőtt eldönti, hogy elfogadja-e vagy elutasítja-e a bejelentkezési kísérletet.
helyezze a PDC emulátort olyan helyre, amely nagyszámú felhasználót tartalmaz az adott tartományból a jelszó-továbbítási műveletekhez, ha szükséges. Ezenkívül ellenőrizze, hogy a hely jól kapcsolódik-e más helyekhez a replikációs késés minimalizálása érdekében.
a munkalap segítséget nyújt a PDC emulátorok elhelyezésének helyével és az egyes helyeken megjelenített tartományok felhasználóinak számával kapcsolatos információk dokumentálásában, lásd a Windows Server 2003 Telepítőkészletének Feladatsegítségei, job_aids_designing_and_deploying_directory_and_security_services letöltése.zip, és nyissa meg a tartományvezérlő elhelyezését (DSSTOPO_4.doc).
a regionális tartományok telepítésekor hivatkoznia kell azokra a helyekre vonatkozó információkra, ahol PDC emulátorokat kell elhelyezni. A regionális tartományok telepítéséről további információt a Windows Server 2008 regionális tartományok telepítése című témakörben talál.
az infrastruktúra-mester elhelyezésre vonatkozó követelmények
az infrastruktúra-mester frissíti a saját tartományában lévő csoportokhoz hozzáadott más tartományok biztonsági elemeinek nevét. Ha például az egyik tartományból származó felhasználó egy második tartományban lévő csoport tagja, és a felhasználó neve megváltozik az első tartományban, a második tartomány nem kap értesítést arról, hogy a felhasználó nevét frissíteni kell a csoport tagsági listájában. Mivel az egyik tartományban lévő tartományvezérlők nem replikálják a biztonsági elveket egy másik tartományban lévő tartományvezérlőkkel, a második tartomány soha nem szerez tudomást a változásról az infrastruktúra-fő hiányában.
az infrastructure master folyamatosan figyeli a csoporttagságokat, más tartományok biztonsági megbízóit keresve. Ha talál egyet, ellenőrzi a biztonsági felhasználó tartományát, hogy ellenőrizze, hogy az információ frissült-e. Ha az információk elavultak, az infrastruktúra-főkiszolgáló végrehajtja a frissítést, majd megismétli a módosítást a tartományában lévő többi tartományvezérlőre.
két kivétel vonatkozik erre a szabályra. Először is, ha az összes tartományvezérlő globális katalóguskiszolgáló, akkor az infrastruktúra fő szerepkört kiszolgáló tartományvezérlő jelentéktelen, mivel a globális katalógusok a frissített információkat replikálják, függetlenül attól, hogy melyik tartományhoz tartoznak. Másodszor, ha az erdőnek csak egy tartománya van, akkor az infrastruktúra fő szerepkörét kiszolgáló tartományvezérlő jelentéktelen, mert más tartományok biztonsági elemei nem léteznek.
ne helyezze az infrastruktúra-főkiszolgálót olyan tartományvezérlőre, amely egyben globális katalógus-kiszolgáló is. Ha az infrastruktúra-főkatalógus és a globális katalógus ugyanazon a tartományvezérlőn van, az infrastruktúra-főkatalógus nem fog működni. Az infrastruktúra-főkiszolgáló soha nem talál elavult adatokat, ezért soha nem replikál semmilyen módosítást a tartomány többi tartományvezérlőjén.
Operations master placement korlátozott kapcsolattal rendelkező hálózatokhoz
ne feledje, hogy ha a környezetben van olyan központi hely vagy központhely, ahol az operations master szerepkörtulajdonosokat elhelyezheti, akkor ez hatással lehet bizonyos tartományvezérlő műveletekre, amelyek az operations master szerepkörtulajdonosok elérhetőségétől függenek.
tegyük fel például, hogy egy szervezet létrehozza az A, B, C és D webhelyeket. Ebben a példában az összes műveleti fő szerepkör az a webhelyre kerül, és nincs bejelölve az összes webhelyhivatkozás áthidalásának lehetősége.
bár ez a konfiguráció sikeres replikációt eredményez az összes hely között, az operations master szerepkörfüggvények a következő korlátozásokkal rendelkeznek:
- a C és D webhelyek tartományvezérlői nem férhetnek hozzá az a webhely PDC emulátorához egy jelszó frissítéséhez vagy a nemrégiben frissített jelszó ellenőrzéséhez.
- a C és D webhely tartományvezérlői nem férhetnek hozzá az a webhely RID-főkiszolgálójához, hogy az Active Directory telepítése után kezdeti RID-készletet szerezzenek, és a rid-készleteket kimerülésük után frissítsék.
- a C és D Webhelyeken található tartományvezérlők nem tudnak könyvtár -, DNS-vagy egyéni alkalmazáspartíciókat hozzáadni vagy eltávolítani.
- a tartományvezérlők a C és D helyeken nem végezhetnek sémamódosítást.
a műveleti fő szerepkör-elhelyezés tervezésében segítséget nyújtó munkalapot a Windows Server 2003 Telepítőkészletének Feladatsegítségei, a Job_Aids_Designing_and_Deploying_directory_and_security_services letöltése című témakörben találja.zip, és nyissa meg a tartományvezérlő elhelyezését (DSSTOPO_4.doc).
erre az információra hivatkoznia kell, amikor létrehozza az erdő gyökértartományát és a regionális tartományokat. Az erdő gyökértartományának telepítéséről további információt a Windows Server 2008 erdő gyökértartományának telepítése című témakörben talál. A regionális tartományok telepítéséről további információt a Windows Server 2008 regionális tartományok telepítése című témakörben talál.
további információk az FSMO szerepkörök elhelyezéséről az FSMO elhelyezés és optimalizálás az Active Directory tartományvezérlőkön témakörben találhatók