Pianificazione del Ruolo di Master Operazioni di Collocamento

Si applica a: Finestre Server 2022, Finestre Server 2019, Finestre Server 2016, Finestre Server 2012 R2, Finestre Server 2012

Active Directory Domain Services (AD DS) supporta la replica multimaster dei dati delle directory, il che significa che qualsiasi controller di dominio può accettare modifiche alle directory e replicare le modifiche a tutti gli altri controller di dominio. Tuttavia, alcune modifiche, come le modifiche allo schema, non sono pratiche da eseguire in modo multimaster. Per questo motivo alcuni controller di dominio, noti come operations master, ricoprono ruoli responsabili dell’accettazione di richieste per determinate modifiche specifiche.

Esistono tre ruoli master operations (noti anche come flexible single master operations o FSMO) in ciascun dominio:

• Il primary Domain controller (PDC) emulator operations master elabora tutti gli aggiornamenti delle password.

• Il relativo ID (RID) operations master mantiene il pool RID globale per il dominio e alloca i pool RID locali a tutti i controller di dominio per garantire che tutti i principi di sicurezza creati nel dominio abbiano un identificatore univoco.

• Il master delle operazioni dell’infrastruttura per un determinato dominio mantiene un elenco dei principi di sicurezza di altri domini che sono membri di gruppi all’interno del suo dominio.

Oltre ai tre ruoli master delle operazioni a livello di dominio, in ogni foresta esistono due ruoli master delle operazioni:

• Lo schema operations master regola le modifiche allo schema.
• Il Domain naming Operations master aggiunge e rimuove domini e altre partizioni di directory (ad esempio, partizioni di applicazioni DNS (Domain Name System)) da e verso la foresta.

Posiziona i controller di dominio che ospitano questi ruoli master delle operazioni in aree in cui l’affidabilità della rete è elevata e assicurati che l’emulatore PDC e il master RID siano costantemente disponibili.

I titolari dei ruoli Operations master vengono assegnati automaticamente quando viene creato il primo controller di dominio in un determinato dominio. I due ruoli a livello di foresta (schema master e domain naming master) vengono assegnati al primo controller di dominio creato in una foresta. Inoltre, i tre ruoli a livello di dominio (RID master, infrastructure master e PDC emulator) vengono assegnati al primo controller di dominio creato in un dominio.

Queste operazioni automatiche assegnazioni di ruoli master possono causare un utilizzo molto elevato della CPU sul primo controller di dominio creato nella foresta o nel dominio. Per evitare ciò, assegnare ruoli master operazioni (trasferimento) a vari controller di dominio nella foresta o nel dominio. Posizionare i controller di dominio che ospitano i ruoli master operations in aree in cui la rete è affidabile e in cui è possibile accedere ai master operations da tutti gli altri controller di dominio nella foresta.

Si dovrebbe anche designare standby (alternate) operations master per tutti i ruoli operations master. I master delle operazioni di standby sono controller di dominio a cui è possibile trasferire i ruoli master delle operazioni in caso di errore dei titolari dei ruoli originali. Assicurarsi che i master operations standby siano partner di replica diretta dei master operations effettivi.

Pianificazione del posizionamento dell’emulatore PDC

L’emulatore PDC elabora le modifiche della password del client. Solo un controller di dominio funge da emulatore PDC in ogni dominio nella foresta.

Anche se tutti i controller di dominio vengono aggiornati a Windows 2000, Windows Server 2003 e Windows Server 2008 e il dominio funziona a livello funzionale nativo di Windows 2000, l’emulatore PDC riceve la replica preferenziale delle modifiche alla password eseguite da altri controller di dominio nel dominio. Se una password è stata modificata di recente, tale modifica richiede tempo per essere replicata in ogni controller di dominio nel dominio. Se l’autenticazione di accesso non riesce in un altro controller di dominio a causa di una password errata, tale controller di dominio inoltra la richiesta di autenticazione all’emulatore PDC prima di decidere se accettare o rifiutare il tentativo di accesso.

Posizionare l’emulatore PDC in una posizione che contiene un numero elevato di utenti da quel dominio per le operazioni di inoltro della password, se necessario. Inoltre, assicurarsi che la posizione sia ben collegata ad altre posizioni per ridurre al minimo la latenza di replica.

Per un foglio di lavoro che consente di documentare le informazioni su dove si prevede di posizionare gli emulatori PDC e il numero di utenti per ciascun dominio rappresentato in ciascuna posizione, vedere Job Aids for Windows Server 2003 Deployment Kit, scaricare Job_Aids_Designing_and_Deploying_Directory_and_Security_Services.zip e posizionamento del controller di dominio aperto (DSSTOPO_4.doc).

È necessario fare riferimento alle informazioni sulle posizioni in cui è necessario posizionare emulatori PDC quando si distribuiscono domini regionali. Per ulteriori informazioni sulla distribuzione di domini regionali, vedere Distribuzione di domini regionali di Windows Server 2008.

Requisiti per il posizionamento del master dell’infrastruttura

Il master dell’infrastruttura aggiorna i nomi dei principi di sicurezza di altri domini che vengono aggiunti ai gruppi nel proprio dominio. Ad esempio, se un utente di un dominio è membro di un gruppo in un secondo dominio e il nome dell’utente viene modificato nel primo dominio, al secondo dominio non viene notificato che il nome dell’utente deve essere aggiornato nell’elenco di appartenenza del gruppo. Poiché i controller di dominio in un dominio non replicano i principi di sicurezza ai controller di dominio in un altro dominio, il secondo dominio non viene mai a conoscenza della modifica in assenza del master dell’infrastruttura.

Il master dell’infrastruttura monitora costantemente le appartenenze al gruppo, alla ricerca di principi di sicurezza da altri domini. Se ne trova uno, controlla con il dominio del principale di sicurezza per verificare che le informazioni siano aggiornate. Se le informazioni non sono aggiornate, il master dell’infrastruttura esegue l’aggiornamento e quindi replica la modifica agli altri controller di dominio nel suo dominio.

A questa regola si applicano due eccezioni. Innanzitutto, se tutti i controller di dominio sono server di catalogo globale, il controller di dominio che ospita il ruolo master dell’infrastruttura è insignificante perché i cataloghi globali replicano le informazioni aggiornate indipendentemente dal dominio a cui appartengono. In secondo luogo, se la foresta ha un solo dominio, il controller di dominio che ospita il ruolo master dell’infrastruttura è insignificante perché i principi di sicurezza di altri domini non esistono.

Non posizionare il master dell’infrastruttura su un controller di dominio che è anche un server di catalogo globale. Se il master dell’infrastruttura e il catalogo globale si trovano sullo stesso controller di dominio, il master dell’infrastruttura non funzionerà. Il master dell’infrastruttura non troverà mai dati non aggiornati; pertanto, non replicherà mai alcuna modifica agli altri controller di dominio nel dominio.

Posizionamento master Operations per reti con connettività limitata

Tenere presente che se l’ambiente dispone di una posizione centrale o di un sito hub in cui è possibile posizionare i titolari di ruolo master operations, potrebbero essere interessate alcune operazioni del controller di dominio che dipendono dalla disponibilità di tali titolari di ruolo master operations.

Ad esempio, supponiamo che un’organizzazione crei siti A, B, C e D. I collegamenti ai siti esistono tra A e B, tra B e C e tra C e D. La connettività di rete rispecchia esattamente la connettività di rete dei collegamenti ai siti. In questo esempio, tutti i ruoli operations master vengono inseriti nel sito A e l’opzione per collegare tutti i collegamenti al sito non è selezionata.

Sebbene questa configurazione determini una replica corretta tra tutti i siti, le funzioni del ruolo operations master presentano le seguenti limitazioni:

• I controller di dominio nei siti C e D non possono accedere all’emulatore PDC nel sito A per aggiornare una password o per verificare la presenza di una password aggiornata di recente.
• I controller di dominio nei siti C e D non possono accedere al master RID nel sito A per ottenere un pool di RID iniziale dopo l’installazione di Active Directory e aggiornare i pool RID man mano che si esauriscono.
• I controller di dominio nei siti C e D non possono aggiungere o rimuovere partizioni di directory, DNS o applicazioni personalizzate.
• I controller di dominio nei siti C e D non possono apportare modifiche allo schema.

Per un foglio di lavoro che consente di pianificare il posizionamento del ruolo principale delle operazioni, vedere Job Aids for Windows Server 2003 Deployment Kit, scaricare Job_Aids_Designing_and_Deploying_Directory_and_Security_Services.zip e posizionamento del controller di dominio aperto (DSSTOPO_4.doc).

È necessario fare riferimento a queste informazioni quando si creano il dominio radice della foresta e i domini regionali. Per ulteriori informazioni sulla distribuzione del dominio radice della foresta, vedere Distribuzione di un Dominio radice della foresta di Windows Server 2008. Per ulteriori informazioni sulla distribuzione di domini regionali, vedere Distribuzione di domini regionali di Windows Server 2008.

Ulteriori informazioni sul posizionamento dei ruoli FSMO sono disponibili nell’argomento di supporto Posizionamento e ottimizzazione FSMO sui controller di dominio Active Directory