- artykuł
- 07/29/2021
- 6 protokół do czytania
-
- i
- d
- v
- e
- D
-
+5
dotyczy: Windows Server 2022, Windows Server 2019, Windows Server 2016, Windows Server 2012 R2, Windows Server 2012
Usługa Active Directory Domain Services (AD DS) obsługuje replikację wielostanowiskową danych katalogów, co oznacza, że każdy kontroler domeny może akceptować zmiany katalogów i replikować je na wszystkich innych kontrolerach domeny. Jednak niektóre zmiany, takie jak modyfikacje schematu, są niepraktyczne do wykonywania w sposób wielomasterowy. Z tego powodu niektóre kontrolery domen, znane jako operations masters, pełnią role odpowiedzialne za przyjmowanie żądań określonych zmian.
Uwaga
posiadacze głównych ról operacji muszą być w stanie zapisać pewne informacje do bazy danych Active Directory. Ze względu na charakter bazy danych Active Directory tylko do odczytu na kontrolerze domeny tylko do odczytu (RODC), RODC nie może działać jako posiadacze ról nadrzędnych operacji.
w każdej domenie istnieją trzy główne role operacji (znane również jako elastyczne operacje pojedynczego mistrza lub FSMO) :
-
główny kontroler domeny (PDC) emulator operations master przetwarza wszystkie aktualizacje haseł.
-
wzorca operacji relative ID (RID) utrzymuje globalną pulę RID dla domeny i przydziela lokalne pule rights do wszystkich kontrolerów domeny, aby zapewnić, że wszystkie zasady bezpieczeństwa utworzone w domenie mają unikalny identyfikator.
-
master operacji infrastruktury dla danej domeny utrzymuje listę zleceniodawców zabezpieczeń z innych domen, które są członkami grup w jej domenie.
oprócz trzech głównych ról operacyjnych na poziomie domeny, w każdym lesie istnieją dwie główne role operacyjne:
- mistrz operacji na schemacie reguluje zmiany w schemacie.
- mistrz operacji nazewnictwa domen dodaje i usuwa domeny i inne partycje katalogów (na przykład partycje aplikacji systemu nazw domen (DNS)) do iz lasu.
umieść kontrolery domeny obsługujące te główne role operacji w obszarach, w których niezawodność sieci jest wysoka, i upewnij się, że emulator PDC i master rid są stale dostępne.
posiadacze ról głównych operacji są przypisywane automatycznie po utworzeniu pierwszego kontrolera domeny w danej domenie. Dwie role na poziomie lasu (master schematu i master nazwy domeny) są przypisane do pierwszego kontrolera domeny utworzonego w lesie. Ponadto trzy role na poziomie domeny (rid master, infrastructure master i PDC emulator) są przypisane do pierwszego kontrolera domeny utworzonego w domenie.
Uwaga
automatyczne operacje przypisanie posiadacza roli głównej jest wykonywane tylko wtedy, gdy tworzona jest nowa domena i gdy obecny posiadacz roli jest zdegradowany. Wszystkie inne zmiany właścicieli ról muszą być inicjowane przez administratora.
te automatyczne przydzielanie ról głównych operacji może powodować bardzo duże zużycie procesora na pierwszym kontrolerze domeny utworzonym w lesie lub w domenie. Aby tego uniknąć, przypisuj (przenieś) role nadrzędne operacji do różnych kontrolerów domeny w lesie lub domenie. Umieść kontrolery domeny, które obsługują role master operations w obszarach, w których sieć jest niezawodna i gdzie wzorce operations mogą być dostępne dla wszystkich innych kontrolerów domeny w lesie.
dla wszystkich ról nadrzędnych operacji należy również wyznaczyć wzorce operacji w trybie gotowości (alternatywne). Wzorce operacji w trybie czuwania to kontrolery domen, do których można przenieść role wzorców operacji w przypadku niepowodzenia pierwotnych posiadaczy ról. Upewnij się, że wzorce operacji w trybie gotowości są bezpośrednimi partnerami replikacji rzeczywistych wzorców operacji.
planowanie umieszczenia emulatora PDC
emulator PDC przetwarza zmiany haseł klienta. Tylko jeden kontroler domeny działa jako emulator PDC w każdej domenie w lesie.
nawet jeśli wszystkie kontrolery domeny są uaktualnione do Windows 2000, Windows Server 2003 i Windows Server 2008, a domena działa na natywnym poziomie funkcjonalnym Windows 2000 , emulator PDC otrzymuje preferencyjną replikację zmian haseł dokonanych przez inne kontrolery domeny w domenie. Jeśli hasło zostało niedawno zmienione, zmiana ta wymaga czasu, aby zreplikować je do każdego kontrolera domeny w domenie. Jeśli uwierzytelnianie logowania nie powiedzie się u innego kontrolera domeny z powodu złego hasła, ten kontroler domeny przesyła żądanie uwierzytelnienia do emulatora PDC przed podjęciem decyzji o zaakceptowaniu lub odrzuceniu próby logowania.
umieść emulator PDC w miejscu, które zawiera dużą liczbę użytkowników z tej domeny do operacji przekazywania haseł, jeśli zajdzie taka potrzeba. Ponadto upewnij się, że lokalizacja jest dobrze połączona z innymi lokalizacjami, aby zminimalizować opóźnienia replikacji.
aby uzyskać arkusz roboczy, który pomoże Ci w udokumentowaniu informacji o tym, gdzie zamierzasz umieścić emulatory PDC i liczbie użytkowników dla każdej domeny reprezentowanej w każdej lokalizacji, zobacz Pomoc Dla Windows Server 2003 Deployment Kit, Pobierz Job_Aids_Designing_and_Deploying_directory_and_security_services.zip, oraz umieszczenie kontrolera domeny otwartej (DSSTOPO_4.doc).
musisz odwołać się do informacji o lokalizacjach, w których musisz umieścić emulatory PDC podczas wdrażania domen regionalnych. Aby uzyskać więcej informacji na temat wdrażania domen regionalnych, zobacz Wdrażanie domen regionalnych systemu Windows Server 2008.
wymagania dotyczące umiejscowienia głównego infrastruktury
główny moduł infrastruktury aktualizuje nazwy zleceniodawców zabezpieczeń z innych domen, które są dodawane do grup w jego własnej domenie. Na przykład, jeśli użytkownik z jednej domeny jest członkiem grupy w drugiej domenie, a nazwa użytkownika zostanie zmieniona w pierwszej domenie, druga domena nie zostanie powiadomiona o konieczności aktualizacji nazwy użytkownika na liście członków grupy. Ponieważ kontrolery domeny w jednej domenie nie replikują zasad bezpieczeństwa do kontrolerów domeny w innej domenie, druga domena nigdy nie dowiaduje się o zmianie w przypadku braku wzorca infrastruktury.
mistrz infrastruktury stale monitoruje członkostwo w grupie, szukając zleceniodawców bezpieczeństwa z innych domen. Jeśli go znajdzie, sprawdzi w domenie principal ’ a bezpieczeństwa, czy informacje są aktualizowane. Jeśli informacje są nieaktualne, mistrz infrastruktury przeprowadza aktualizację, a następnie replikuje zmianę na innych kontrolerach domeny w swojej domenie.
do tej reguły stosuje się dwa wyjątki. Po pierwsze, jeśli wszystkie kontrolery domeny są globalnymi serwerami katalogów, kontroler domeny, który obsługuje główną rolę infrastruktury, jest nieistotny, ponieważ katalogi globalne replikują zaktualizowane informacje niezależnie od domeny, do której należą. Po drugie, jeśli Las ma tylko jedną domenę, kontroler domeny, który pełni rolę gospodarza infrastruktury, jest nieistotny, ponieważ dyrektorzy bezpieczeństwa z innych domen nie istnieją.
nie umieszczaj wzorca infrastruktury na kontrolerze domeny, który jest również globalnym serwerem katalogów. Jeśli główny katalog infrastruktury i katalog globalny znajdują się na tym samym kontrolerze domeny, główny katalog infrastruktury nie będzie działał. Mistrz infrastruktury nigdy nie znajdzie danych, które są nieaktualne, dlatego nigdy nie powieli żadnych zmian na innych kontrolerach domeny w domenie.
operations Master placement dla sieci o ograniczonej łączności
należy pamiętać, że jeśli w środowisku znajduje się centralna lokalizacja lub centrum, w którym można umieścić posiadaczy ról głównych operations, może to mieć wpływ na niektóre operacje kontrolera domeny, które zależą od dostępności tych posiadaczy ról głównych operations.
Załóżmy na przykład, że Organizacja tworzy witryny A, B, C i D. linki do witryn istnieją między A i B, między B I C oraz między C i D. łączność sieciowa dokładnie odzwierciedla łączność sieciową łączy witryn. W tym przykładzie wszystkie role główne operacji są umieszczone w witrynie A i nie jest zaznaczona opcja mostkowania wszystkich łączy witryny.
chociaż ta konfiguracja powoduje pomyślną replikację między wszystkimi lokalizacjami, funkcje roli głównej operacji mają następujące ograniczenia:
- kontrolerzy domeny w witrynach C i D nie mogą uzyskać dostępu do emulatora PDC w witrynie a, aby zaktualizować hasło lub sprawdzić, czy hasło zostało niedawno zaktualizowane.
- kontrolery domen w witrynach C i D nie mogą uzyskać dostępu do wzorca RID w witrynie A, aby uzyskać początkową pulę RID po instalacji usługi Active Directory i odświeżyć pule RID, gdy zostaną wyczerpane.
- kontrolery domen w witrynach C i D nie mogą dodawać ani usuwać katalogów, DNS ani niestandardowych partycji aplikacji.
- kontrolery domen w witrynach C i D nie mogą wprowadzać zmian w schemacie.
aby uzyskać arkusz roboczy, który pomoże Ci w planowaniu umieszczenia roli głównej, zobacz pomoce do pracy dla Windows Server 2003 Deployment Kit, Pobierz Job_Aids_Designing_and_Deploying_directory_and_security_services.zip, oraz umieszczenie kontrolera domeny otwartej (DSSTOPO_4.doc).
będziesz musiał odwołać się do tych informacji podczas tworzenia domeny forest root i domen regionalnych. Aby uzyskać więcej informacji na temat wdrażania domeny forest root, zobacz Wdrażanie domeny Forest Root systemu Windows Server 2008. Aby uzyskać więcej informacji na temat wdrażania domen regionalnych, zobacz Wdrażanie domen regionalnych systemu Windows Server 2008.
dodatkowe informacje na temat umieszczania ról FSMO można znaleźć w temacie wsparcie FSMO umieszczanie i optymalizacja kontrolerów domeny Active Directory