Planejamento de Função de Mestre de Operações de Colocação

  • Artigo
  • 07/29/2021
  • 6 minutos de leitura
    • i
    • d
    • v
    • e
    • D
    • +5
É esta página útil?

obrigado.

aplica-se a: O Windows Server 2022, Windows Server 2019, Windows Server 2016, o Windows Server 2012 R2, Windows Server 2012

Serviços de Domínio Active Directory (AD DS) suporta replicação de vários mestres do diretório de dados, o que significa que qualquer controlador de domínio pode aceitar alterações de diretório e replicar as alterações para todos os outros controladores de domínio. No entanto, certas mudanças, como modificações de esquema, são impraticáveis para executar de forma multimaster. Por esse motivo, certos controladores de domínio, conhecidos como mestres de operações, responsabilizam as funções por aceitar solicitações de determinadas alterações específicas.

Nota

os detentores de funções mestre de operações devem ser capazes de gravar algumas informações no banco de dados do Active Directory. Devido à natureza somente leitura do banco de dados do Active Directory em um controlador de domínio somente leitura (RODC), os RODCs não podem atuar como detentores de funções mestre de operações.

existem três funções mestre de operações (também conhecidas como operações mestre simples flexíveis ou FSMO) em cada domínio:

  • o mestre de operações do emulador primary domain controller (PDC) processa todas as atualizações de senha.

  • o mestre de operações de ID relativo (RID) mantém o pool de RID global para o domínio e aloca pools de RIDs locais para todos os controladores de domínio para garantir que todos os princípios de segurança criados no domínio tenham um identificador exclusivo.

  • o mestre de operações de infraestrutura para um determinado domínio mantém uma lista dos princípios de segurança de outros domínios que são membros de grupos dentro de seu domínio.

além das três funções mestre de operações de nível de domínio, existem duas funções mestre de operações em cada floresta:

  • o mestre de operações do esquema governa as alterações no esquema.
  • o domain naming operations master adiciona e remove domínios e outras partições de diretório (por exemplo, partições de aplicativos Domain Name System (DNS)) de e para a floresta.

coloque os controladores de domínio que hospedam essas funções principais de operações em áreas onde a confiabilidade da rede é alta e certifique-se de que o emulador PDC e o RID master estejam disponíveis de forma consistente.

os titulares de funções mestre de operações são atribuídos automaticamente quando o primeiro controlador de domínio em um determinado domínio é criado. As duas funções no nível da floresta (schema master e domain naming master) são atribuídas ao primeiro controlador de domínio criado em uma floresta. Além disso, as três funções de nível de domínio (RID master, infrastructure master e PDC emulator) são atribuídas ao primeiro controlador de domínio criado em um domínio.

Nota

as atribuições de suporte de função mestre de operações automáticas são feitas apenas quando um novo domínio é criado e quando um titular de função atual é rebaixado. Todas as outras mudanças nos proprietários de funções devem ser iniciadas por um administrador.

essas atribuições de função mestre de operações automáticas podem causar um uso muito alto da CPU no primeiro controlador de domínio criado na floresta ou no domínio. Para evitar isso, atribua funções mestras de operações (transferência) a vários controladores de domínio em sua floresta ou domínio. Coloque os controladores de domínio que hospedam funções mestre de operações em áreas onde a rede é confiável e onde os mestres de operações podem ser acessados por todos os outros controladores de domínio na floresta.

você também deve designar mestres de operações em espera (alternativos) para todas as funções mestre de operações. Os mestres de operações em espera são controladores de domínio para os quais você pode transferir as funções mestre de operações caso os detentores de funções originais falhem. Certifique-se de que os mestres de operações em espera são parceiros de replicação direta dos mestres de operações reais.

Planejando o posicionamento do emulador PDC

o emulador PDC processa as alterações da senha do cliente. Apenas um controlador de domínio atua como o emulador PDC em cada domínio na floresta.

mesmo que todos os controladores de domínio sejam atualizados para o Windows 2000, Windows Server 2003 e Windows Server 2008 , e o domínio esteja operando no nível funcional nativo do Windows 2000, o emulador PDC recebe replicação preferencial de alterações de senha realizadas por outros controladores de domínio no domínio. Se uma senha foi alterada recentemente, essa alteração leva tempo para ser replicada para cada controlador de domínio no domínio. Se a autenticação de logon falhar em outro controlador de domínio devido a uma senha incorreta, esse controlador de domínio encaminha a solicitação de autenticação para o emulador PDC antes de decidir se aceita ou rejeita a tentativa de logon.

coloque o emulador PDC em um local que contenha um grande número de usuários desse domínio para operações de encaminhamento de senha, se necessário. Além disso, certifique-se de que o local esteja bem conectado a outros locais para minimizar a latência de replicação.

Para uma folha de cálculo para ajudar a documentar as informações sobre onde você planeja colocar emuladores de PDC e o número de usuários para cada domínio que é representado em cada local, consulte meios auxiliares para o Windows Server 2003 Deployment Kit, download Job_Aids_Designing_and_Deploying_directory_and_security_services.zip e colocação de controlador de domínio aberto (DSSTOPO_4.documento).

você precisa consultar as informações sobre locais nos quais você precisa colocar emuladores PDC ao implantar domínios regionais. Para obter mais informações sobre a implantação de domínios regionais, consulte Implantação de domínios regionais do Windows Server 2008.

requisitos para a colocação do mestre de infraestrutura

o mestre de infraestrutura atualiza os nomes dos diretores de segurança de outros domínios que são adicionados a grupos em seu próprio domínio. Por exemplo, se um usuário de um domínio é membro de um grupo em um segundo domínio e o nome do Usuário é alterado no primeiro domínio, o segundo domínio não é notificado de que o nome do Usuário deve ser atualizado na lista de membros do grupo. Como os controladores de domínio em um domínio não replicam princípios de segurança para controladores de domínio em outro domínio, o segundo domínio nunca toma conhecimento da mudança na ausência do mestre de infraestrutura.

o mestre de infraestrutura monitora constantemente as associações de grupo, procurando diretores de segurança de outros domínios. Se encontrar um, ele verifica com o domínio do principal de segurança para verificar se as informações são atualizadas. Se as informações estiverem desatualizadas, o mestre de infraestrutura executará a atualização e, em seguida, replicará a alteração para os outros controladores de domínio em seu domínio.

duas exceções se aplicam a esta regra. Primeiro, se todos os controladores de domínio são servidores de catálogo global, o controlador de domínio que hospeda a função de mestre de infraestrutura é insignificante porque catálogos globais replicar as informações atualizadas, independentemente do domínio a que pertencem. Em segundo lugar, se a floresta tiver apenas um domínio, o controlador de domínio que hospeda a função mestre de infraestrutura é insignificante porque os princípios de segurança de outros domínios não existem.

não coloque o mestre de infraestrutura em um controlador de domínio que também é um servidor de catálogo global. Se o mestre de infraestrutura e o catálogo global estiverem no mesmo controlador de domínio, o mestre de infraestrutura não funcionará. O mestre de infraestrutura nunca encontrará dados desatualizados; portanto, ele nunca replicará nenhuma alteração nos outros controladores de domínio no domínio.

Operations Master placement for networks with limited connectivity

esteja ciente de que, se o seu ambiente tiver uma localização central ou um site hub no qual você possa colocar os titulares de funções principais de operações, certas operações de controlador de domínio que dependem da disponibilidade desses titulares de funções principais de operações podem ser afetadas.

por exemplo, suponha que uma organização crie sites A, B, C E D. Existem links de sites entre A e B, entre B E C e entre C e D. A conectividade de rede espelha exatamente a conectividade de rede dos links de sites. Neste exemplo, todas as funções mestre de operações são colocadas no site a e a opção de conectar todos os links do site não está selecionada.

Embora esta configuração resulta em replicação bem-sucedida entre todos os sites, a função de mestre de operações funções têm as seguintes limitações:

  • controladores de Domínio em sites C e D não podem acessar o emulador de PDC em Um site para atualizar uma senha ou para verificá-la para uma senha que tenha sido atualizado recentemente.
  • os controladores de domínio nos sites C E D não podem acessar o mestre RID no site a para obter um pool RID inicial após a instalação do Active Directory e atualizar os pools RID à medida que se esgotam.Os controladores de domínio nos sites C E D não podem adicionar ou remover partições de diretório, DNS ou aplicativos personalizados.
  • controladores de domínio nos sites C E D não podem fazer alterações de esquema.

para uma planilha para ajudá-lo no planejamento de operações colocação de função mestre, consulte job Aids for Windows Server 2003 Deployment Kit, download Job_Aids_Designing_and_Deploying_directory_and_security_services.zip e colocação de controlador de domínio aberto (DSSTOPO_4.documento).

você precisará consultar essas informações ao criar o domínio raiz da floresta e os domínios regionais. Para obter mais informações sobre como implantar o domínio raiz da floresta, consulte Implantando um domínio raiz da floresta do Windows Server 2008. Para obter mais informações sobre a implantação de domínios regionais, consulte Implantação de domínios regionais do Windows Server 2008.

informações adicionais sobre o posicionamento da função FSMO podem ser encontradas no tópico de suporte colocação e otimização FSMO em controladores de domínio do Active Directory

Deixe uma resposta

O seu endereço de email não será publicado.