- Artikkel
- 07/29/2021
- 6 minutter å lese
-
- i
- d
- v
- e
- D
-
+5
Gjelder for: Windows Server 2022, Windows Server 2019, Windows Server 2016, Windows Server 2012 R2, Windows Server 2012
Active Directory Domain Services (AD DS) støtter multimaster-replikering av katalogdata, noe som betyr at alle domenekontrollere kan godta katalogendringer og kopiere endringene til alle andre domenekontrollere. Imidlertid er visse endringer, for eksempel skjemamodifikasjoner, upraktiske å utføre på en multimaster-måte. Av denne grunn har enkelte domenekontrollere, kjent som driftsmestere, roller som er ansvarlige for å godta forespørsler om bestemte spesifikke endringer.
Merknad
Hovedrolleinnehavere For Operasjoner må kunne skrive litt informasjon til Active Directory-databasen. På grunn Av den skrivebeskyttede Naturen Til Active Directory-databasen på EN SKRIVEBESKYTTET domenekontroller (RODC), Kan Ikke RODCs fungere som innehavere av hovedroller for operasjoner.
Det Finnes Tre hovedroller for operasjoner (også kjent som fleksible enkeltmasteroperasjoner eller fsmo) i hvert domene:
-
DEN primære domenekontrolleren (PDC) emulator operations master behandler alle passordoppdateringer.
-
den relative ID-operasjonsmesteren (rid) opprettholder det globale rid-utvalget for domenet og tildeler lokale RIDs-utvalg til alle domenekontrollere for å sikre at alle sikkerhetsprinsipper som er opprettet i domenet, har en unik identifikator.
-
infrastructure operations master for et gitt domene opprettholder en liste over sikkerhetsprinsipper fra andre domener som er medlemmer av grupper innenfor sitt domene.
i tillegg til de tre hovedrollene på domenenivå finnes det to hovedroller i hver skog:
- skjemaoperasjonsmesteren styrer endringer i skjemaet.
- master for domenenavnoperasjoner legger til og fjerner domener og andre katalogpartisjoner (FOR Eksempel programpartisjoner For Domenenavnsystem (DNS)) til og fra skogen.
Plasser domenekontrollere som er vert for disse hovedrollene for operasjoner i områder der nettverkspåliteligheten er høy, og sørg for AT PDC-emulatoren og RID-masteren er konsekvent tilgjengelige.
Hovedrolleinnehavere for Operasjoner tilordnes automatisk når den første domenekontrolleren i et gitt domene opprettes. De to rollene på skognivå (skjemamester og domenenavnmester) tilordnes den første domenekontrolleren som er opprettet i en skog. I tillegg tilordnes de tre rollene PÅ domenenivå (RID master, infrastructure master og PDC emulator) til den første domenekontrolleren som er opprettet i et domene.
Merknad
automatiske operasjoner hovedrolleinnehavertildelinger utføres bare når et nytt domene opprettes og når en gjeldende rolleinnehaver degraderes. Alle andre endringer i rolleeiere må initieres av en administrator.
disse hovedrolletilordningene for automatiske operasjoner kan forårsake svært høy CPU-bruk på den første domenekontrolleren som er opprettet i skogen eller domenet. Hvis du vil unngå dette, tilordner du (overfør) hovedroller for operasjoner til ulike domenekontrollere i skogen eller domenet. Plasser domenekontrollere som er vert for operations master-roller i områder der nettverket er pålitelig og der operations masters kan nås av alle andre domenekontrollere i skogen.
du bør også angi ventemodus (alternativ) operasjonsmastere for alle hovedroller for operasjoner. Standby operations masters er domenekontrollere som du kan overføre hovedrollene for operasjoner i tilfelle de opprinnelige rolleinnehavere mislykkes. Kontroller at standby operations masters er direkte replikeringspartnere av de faktiske operations masters.
Planlegging AV PDC-emulatorplasseringen
PDC-emulatoren behandler endringer i klientpassordet. Bare en domenekontroller fungerer SOM PDC-emulator i hvert domene i skogen.
SELV om alle domenekontrollere oppgraderes Til Windows 2000, Windows Server 2003 Og Windows Server 2008, og domenet opererer på opprinnelig funksjonsnivå For Windows 2000 , MOTTAR PDC-emulatoren fortrinnsreplikasjon av passordendringer utført av andre domenekontrollere i domenet. Hvis et passord nylig ble endret, tar denne endringen tid å replikere til hver domenekontroller i domenet. Hvis påloggingsgodkjenning mislykkes på en annen domenekontroller på grunn av et ugyldig passord, videresender domenekontrolleren godkjenningsforespørselen TIL PDC-emulatoren før du bestemmer deg for om du vil godta eller avvise påloggingsforsøket.
Plasser PDC-emulatoren på et sted som inneholder et stort antall brukere fra dette domenet for videresending av passord ved behov. I tillegg må du sørge for at plasseringen er godt koblet til andre steder for å minimere replikering ventetid.
hvis du vil ha et regneark som hjelper deg med å dokumentere informasjon om hvor DU planlegger Å plassere PDC-emulatorer og antall brukere for hvert domene som er representert på hvert sted, kan Du se Jobbhjelpemidler For Windows Server 2003 Deployment Kit, last Ned Job_Aids_Designing_and_Deploying_directory_and_security_services.zip, og åpne Domenekontroller Plassering (DSSTOPO_4.dokument).
du må referere til informasjonen om steder der DU må plassere PDC-emulatorer når du distribuerer regionale domener. Hvis Du vil Ha mer informasjon om distribusjon av regionale domener, kan Du se Distribuere Windows Server 2008 Regionale Domener.
Krav til plassering av hovedinfrastruktur
hovedinfrastruktur oppdaterer navnene på sikkerhetsprinsipper fra andre domener som legges til i grupper i sitt eget domene. Hvis for eksempel en bruker fra ett domene er medlem av en gruppe i et annet domene og brukerens navn endres i det første domenet, varsles ikke det andre domenet om at brukerens navn må oppdateres i gruppens medlemsliste. Fordi domenekontrollere i ett domene ikke replikerer sikkerhetsprinsipper til domenekontrollere i et annet domene, blir det andre domenet aldri oppmerksom på endringen i fravær av infrastrukturmesteren.
infrastrukturmesteren overvåker kontinuerlig gruppemedlemskap, og ser etter sikkerhetsprinsipper fra andre domener. Hvis den finner en, sjekker den med sikkerhetsprinsippets domene for å bekrefte at informasjonen er oppdatert. Hvis informasjonen er utdatert, utfører infrastrukturmesteren oppdateringen og replikerer deretter endringen til de andre domenekontrollere i domenet.
To unntak gjelder for denne regelen. Hvis alle domenekontrollere er globale katalogservere, er domenekontrolleren som er vert for hovedrollen for infrastruktur, ubetydelig fordi globale kataloger replikerer den oppdaterte informasjonen uavhengig av domenet de tilhører. For det andre, hvis skogen bare har ett domene, er domenekontrolleren som er vert for hovedrollen for infrastruktur, ubetydelig fordi sikkerhetsprinsipper fra andre domener ikke finnes.
ikke plasser infrastrukturmesteren på en domenekontroller som også er en global katalogserver. Hvis infrastructure master og global catalog er på samme domenekontroller, vil infrastructure master ikke fungere. Infrastructure master vil aldri finne data som er utdatert; derfor vil det aldri replikere endringer i de andre domenekontrollere i domenet.
hovedplassering For operasjoner for nettverk med begrenset tilkobling
Vær oppmerksom på at hvis miljøet ditt har en sentral plassering eller hub-område der du kan plassere hovedrolleinnehavere for operasjoner, kan visse domenekontrolleroperasjoner som avhenger av tilgjengeligheten til disse hovedrolleinnehavere for operasjoner, påvirkes.
anta for eksempel at en organisasjon oppretter områder A, B, C og D. Det finnes Områdekoblinger Mellom A Og B, Mellom B og C og Mellom C og D. Nettverkstilkobling nøyaktig speiler nettverkstilkoblingen til områdekoblingene. I dette eksemplet plasseres alle hovedroller for operasjoner I område A, og alternativet For Å Bygge Bro over alle områdekoblinger er ikke valgt.
selv om denne konfigurasjonen resulterer i vellykket replikering mellom alle områdene, har funksjonene operasjoner hovedrolle følgende begrensninger:
- Domenekontrollere I områder C og D får ikke TILGANG TIL PDC-emulatoren I område A for å oppdatere et passord eller sjekke det for et passord som nylig er oppdatert.
- Domenekontrollere I områder C og D får ikke tilgang TIL RID-mesteren I område A for å få et FØRSTE RID-utvalg etter Active Directory-installasjonen og for å oppdatere RID-utvalg etter hvert som de blir oppbrukt.
- Domenekontrollere I områder C og D kan ikke legge til eller fjerne katalog -, DNS-eller egendefinerte programpartisjoner.
- Domenekontrollere I områder C og D kan ikke gjøre endringer i skjemaet.
hvis du vil ha et regneark som hjelper deg med å planlegge hovedrolleplassering for operasjoner, kan Du se Jobbhjelpemidler For Windows Server 2003 Deployment Kit, last Ned Job_Aids_Designing_and_Deploying_directory_and_security_services.zip, og åpne Domenekontroller Plassering (DSSTOPO_4.dokument).
du må referere til denne informasjonen når du oppretter skogrotdomenet og regionale domener. Hvis du vil ha mer informasjon om distribusjon av skogrotdomenet, kan Du se Distribuere En Distribusjon Av Et Windows Server 2008 Skogrotdomene. Hvis Du vil Ha mer informasjon om distribusjon av regionale domener, kan Du se Distribuere Windows Server 2008 Regionale Domener.
Ytterligere informasjon om FSMO-rolleplassering finner du i støtteemnet FSMO-plassering og optimalisering på Active Directory-domenekontrollere