Planning Operations Master Rolplaatsing

  • artikel
  • 07/29/2021
  • 6 minuten om te lezen
    • i
    • d
    • v
    • e
    • D
    • +5
Is deze pagina nuttig?

Dank u.

is van toepassing op: Windows Server 2022, Windows Server 2019, Windows Server 2016, Windows Server 2012 R2, Windows Server 2012

Active Directory Domain Services (AD DS) ondersteunt multimaster-replicatie van directorygegevens, wat betekent dat elke domeincontroller mapwijzigingen kan accepteren en de wijzigingen naar alle andere domeincontrollers kan repliceren. Echter, bepaalde wijzigingen, zoals schema wijzigingen, zijn onpraktisch om uit te voeren in een multimaster manier. Daarom zijn bepaalde domeincontrollers, bekend als operations masters, verantwoordelijk voor het accepteren van aanvragen voor bepaalde specifieke wijzigingen.

Note

Operations master-rolhouders MOETEN in staat zijn bepaalde informatie naar de Active Directory-database te schrijven. Vanwege het alleen-lezen karakter van de Active Directory-database op een alleen-lezen domeincontroller (alleen-lezen domeincontroller), kunnen alleen-lezen domeincontrollers niet fungeren als operations master-rolhouders.

drie operations master rollen (ook bekend als flexibele single master operations of FSMO) bestaan in elk domein:

  • de primaire domeincontroller (PDC) emulator operations master verwerkt alle wachtwoordupdates.

  • de relative ID (rid) operations master onderhoudt de Globale RID-pool voor het domein en wijst lokale RIDs-pools toe aan alle domeincontrollers om ervoor te zorgen dat alle beveiligings-principals die in het domein zijn gemaakt een unieke identifier hebben.

  • de infrastructuurbewerkingen-master voor een bepaald domein houdt een lijst bij van de beveiligings-principals van andere domeinen die lid zijn van groepen binnen het domein.

naast de drie operations-masterrollen op domeinniveau bestaan er in elk forest twee operations-masterrollen:

  • de schema operations master regelt wijzigingen in het schema.
  • de domain name operations master voegt domeinen en andere mappartities (bijvoorbeeld DNS-applicatiepartities (Domain Name System)) toe aan en van het forest.

plaats de domeincontrollers die deze operations-masterrollen hosten in gebieden waar de netwerkbetrouwbaarheid hoog is, en zorg ervoor dat de PDC-emulator en de RID-master consistent beschikbaar zijn.

Operations master rolhouders worden automatisch toegewezen wanneer de eerste domeincontroller in een bepaald domein wordt gemaakt. De twee rollen op forest-niveau (schema-master en domain naming master) worden toegewezen aan de eerste domeincontroller die in een forest is gemaakt. Daarnaast worden de drie rollen op domeinniveau (RID-master, infrastructure-master en PDC-emulator) toegewezen aan de eerste domeincontroller die in een domein is gemaakt.

Note

automatische toewijzingen van hoofdrolhouders voor operaties worden alleen gedaan wanneer een nieuw domein wordt gemaakt en wanneer een huidige rolhouder wordt gedegradeerd. Alle andere wijzigingen in roleigenaren moeten worden geïnitieerd door een beheerder.

deze hoofdroltoewijzingen voor automatische bewerkingen kunnen een zeer hoog CPU-gebruik veroorzaken op de eerste domeincontroller die in het forest of het domein is gemaakt. Om dit te voorkomen, wijst u de hoofdrollen voor operaties (transfer) toe aan verschillende domeincontrollers in uw forest of domein. Plaats de domeincontrollers die als host fungeren voor de operations master-functies in gebieden waar het netwerk betrouwbaar is en waar alle andere domeincontrollers in het forest toegang hebben tot de Operations masters.

u moet ook standby (alternate) operations masters aanwijzen voor alle operations master rollen. De uitvoeringen-standby-masters zijn domeincontrollers waarnaar u de uitvoeringen-masterfuncties kunt overdragen in het geval de oorspronkelijke rolhouders falen. Ervoor zorgen dat de stand-by-vluchtuitvoeringsmasters directe replicatiepartners zijn van de werkelijke vluchtuitvoeringsmasters.

het plannen van de plaatsing van de PDC-emulator

de PDC-emulator verwerkt wachtwoordwijzigingen van de client. Slechts één domeincontroller fungeert als de PDC emulator in elk domein in het forest.

zelfs als alle domeincontrollers zijn geüpgraded naar Windows 2000, Windows Server 2003 en Windows Server 2008 en het domein werkt op het Windows 2000-standaardfunctionaliteitsniveau, ontvangt de PDC-emulator preferentiële replicatie van wachtwoordwijzigingen die door andere domeincontrollers in het domein worden uitgevoerd. Als een wachtwoord onlangs is gewijzigd, kost het tijd om deze wijziging te repliceren naar elke domeincontroller in het domein. Als aanmeldingsverificatie mislukt bij een andere domeincontroller vanwege een slecht wachtwoord, stuurt die domeincontroller de verificatieaanvraag door naar de PDC-emulator voordat wordt beslist of de aanmeldingspoging wordt geaccepteerd of geweigerd.

plaats de PDC-emulator op een locatie die een groot aantal gebruikers uit dat domein bevat voor wachtwoorddoorsturing indien nodig. Zorg er bovendien voor dat de locatie goed is verbonden met andere locaties om de replicatielatentie te minimaliseren.

voor een werkblad om u te helpen bij het documenteren van de informatie over waar u van plan bent PDC-emulators te plaatsen en het aantal gebruikers voor elk domein dat op elke locatie wordt weergegeven, zie Job Aids for Windows Server 2003 Deployment Kit, download Job_Aids_Designing_and_Deploying_directory_and_security_services.zip, en Open domeincontroller plaatsing (DSSTOPO_4.dokter).

u moet verwijzen naar de informatie over locaties waar u PDC-emulators moet plaatsen wanneer u regionale domeinen implementeert. Zie regionale domeinen van Windows Server 2008 implementeren voor meer informatie over het implementeren van regionale domeinen.

Requirements for infrastructure master placement

de infrastructuurmaster werkt de namen bij van beveiligings-principals van andere domeinen die worden toegevoegd aan groepen in het eigen domein. Als een gebruiker van het ene domein bijvoorbeeld lid is van een groep in een tweede domein en de naam van de gebruiker wordt gewijzigd in het eerste domein, wordt het tweede domein niet meegedeeld dat de naam van de gebruiker moet worden bijgewerkt in de lidmaatschapslijst van de groep. Omdat domeincontrollers in het ene domein geen beveiligings-principals repliceren naar domeincontrollers in een ander domein, wordt het tweede domein nooit op de hoogte van de wijziging wanneer de infrastructuurmaster ontbreekt.

de infrastructuurmaster controleert voortdurend groepslidmaatschappen, op zoek naar beveiligings-principals van andere domeinen. Als het er een vindt, controleert het met het domein van de beveiligings-principal om te controleren of de informatie is bijgewerkt. Als de informatie verouderd is, voert de infrastructuurbeheerder de update uit en repliceert hij de wijziging naar de andere domeincontrollers in zijn domein.

op deze regel zijn twee uitzonderingen van toepassing. Ten eerste is, als alle domeincontrollers globale-catalogusservers zijn, de domeincontroller die als host fungeert voor de rol van infrastructuurmaster onbelangrijk, omdat globale catalogi de bijgewerkte informatie repliceren, ongeacht het domein waartoe ze behoren. Ten tweede is, als het forest slechts één domein heeft, de domeincontroller die als host fungeert voor de rol van infrastructuurmaster onbelangrijk omdat er geen beveiligings-principals van andere domeinen bestaan.

plaats de infrastructuurmaster niet op een domeincontroller die ook een globale-catalogusserver is. Als de infrastructuurmaster en de globale catalogus zich op dezelfde domeincontroller bevinden, werkt de infrastructuurmaster niet. De infrastructuur master zal nooit Data vinden die verouderd is; daarom zal het nooit wijzigingen aan de andere domeincontrollers in het domein repliceren.

Operations master placement voor netwerken met beperkte connectiviteit

Houd er rekening mee dat als uw omgeving een centrale locatie of hub-site heeft waar u operations master-rolhouders kunt plaatsen, bepaalde domeincontrollerbewerkingen die afhankelijk zijn van de beschikbaarheid van die operations master-rolhouders kunnen worden beïnvloed.

bijvoorbeeld, stel dat een organisatie sites A, B, C, en D. Site links bestaan tussen A en B, Tussen B en C, en tussen C en D. netwerkconnectiviteit weerspiegelt precies de netwerkconnectiviteit van de sites links. In dit voorbeeld worden alle operations master-rollen in site A geplaatst en is de optie om alle sitekoppelingen te overbruggen niet geselecteerd.

hoewel deze configuratie resulteert in een succesvolle replicatie tussen alle sites, hebben de functies van operations master de volgende beperkingen:

  • domeincontrollers in sites C en D hebben geen toegang tot de PDC emulator in site A om een wachtwoord bij te werken of te controleren op een wachtwoord dat onlangs is bijgewerkt.
  • domeincontrollers in sites C en D hebben geen toegang tot de RID-master in site A om een initiële RID-pool te verkrijgen na de Active Directory-installatie en om RID-pools te vernieuwen wanneer deze uitgeput raken.
  • domeincontrollers in sites C en D kunnen geen Directory -, DNS-of aangepaste toepassingspartities toevoegen of verwijderen.
  • domeincontrollers in sites C en D kunnen geen schemawijzigingen maken.

voor een werkblad om u te helpen bij het plannen van operations master rolplaatsing, zie Job Aids for Windows Server 2003 Deployment Kit, download Job_Aids_Designing_and_Deploying_directory_and_security_services.zip, en Open domeincontroller plaatsing (DSSTOPO_4.dokter).

u moet naar deze informatie verwijzen wanneer u het forest-hoofddomein en regionale domeinen maakt. Zie een Forest-hoofddomein van Windows Server 2008 implementeren voor meer informatie over het implementeren van het foresthoofddomein. Zie regionale domeinen van Windows Server 2008 implementeren voor meer informatie over het implementeren van regionale domeinen.

aanvullende informatie over FSMO-rolplaatsing is te vinden in het ondersteuningsonderwerp FSMO-plaatsing en-optimalisatie op Active Directory-domeincontrollers

Geef een antwoord

Het e-mailadres wordt niet gepubliceerd.