- articol
- 07/29/2021
- 6 minute de citit
-
- i
- d
- v
- e
- D
-
+5
se aplică la: Windows Server 2022, Windows Server 2019, Windows Server 2016, Windows Server 2012 R2, Windows Server 2012
Active Directory Domain Services (AD DS) acceptă replicarea multimaster a datelor de director, ceea ce înseamnă că orice controler de domeniu poate accepta modificări de director și poate reproduce modificările la toate celelalte controlere de domeniu. Cu toate acestea, anumite modificări, cum ar fi modificările schemei, sunt impracticabile pentru a fi efectuate într-un mod multimaster. Din acest motiv, anumite controlere de domeniu, cunoscute sub numele de operațiuni de masterat, dețin roluri responsabile pentru acceptarea cererilor pentru anumite modificări specifice.
notă
deținătorii de roluri principale de operațiuni trebuie să poată scrie unele informații în baza de date Active Directory. Din cauza naturii numai în citire a bazei de date Active Directory pe un controler de domeniu numai în citire (RODC), RODCs nu poate acționa ca deținători de roluri principale de operațiuni.
în fiecare domeniu există trei roluri principale de operațiuni (cunoscute și sub numele de operațiuni master unice flexibile sau FSMO:
-
emulatorul principal de operațiuni al controlerului de domeniu (pdc) procesează toate actualizările de parole.
-
ID-ul relativ (RID) operations master menține pool-ul global RID pentru domeniu și alocă pool-urile locale RIDs tuturor controlerelor de domeniu pentru a se asigura că toți directorii de securitate creați în domeniu au un identificator unic.
-
comandantul operațiunilor de infrastructură pentru un anumit domeniu menține o listă a directorilor de securitate din alte domenii care sunt membri ai grupurilor din domeniul său.
în plus față de cele trei roluri principale de operațiuni la nivel de domeniu, există două roluri principale de operațiuni în fiecare pădure:
- comandantul operațiunilor schemei guvernează modificările aduse schemei.
- domain naming operations Master adaugă și elimină domenii și alte partiții de directoare (de exemplu, partiții de aplicații Domain Name System (DNS)) către și din pădure.
plasați controlerele de domeniu care găzduiesc aceste roluri principale de operațiuni în zone în care fiabilitatea rețelei este ridicată și asigurați-vă că emulatorul PDC și maestrul RID sunt disponibile în mod constant.
deținătorii de roluri principale de operațiuni sunt atribuite automat atunci când este creat primul controler de domeniu dintr-un domeniu dat. Cele două roluri la nivel de pădure (schema master și domain naming master) sunt atribuite primului controler de domeniu creat într-o pădure. În plus, cele trei roluri la nivel de domeniu (rid master, infrastructure master și PDC emulator) sunt atribuite primului controler de domeniu creat într-un domeniu.
notă
operațiuni automate atribuirile titularului de rol principal sunt efectuate numai atunci când este creat un domeniu nou și când un titular de rol curent este retrogradat. Toate celelalte modificări ale proprietarilor de roluri trebuie inițiate de un administrator.
aceste misiuni automate de roluri principale pot provoca o utilizare foarte mare a procesorului pe primul controler de domeniu creat în pădure sau domeniu. Pentru a evita acest lucru, atribuiți (transferați) rolurile principale ale operațiunilor diferitelor controlere de domeniu din pădurea sau domeniul dvs. Plasați controlerele de domeniu care găzduiesc rolurile master operations în zonele în care rețeaua este fiabilă și unde masterele operations pot fi accesate de toate celelalte controlere de domeniu din pădure.
de asemenea, ar trebui să desemnați mastere de operații în așteptare (alternative) pentru toate rolurile de master de operații. Operațiunile de standby masters sunt controlere de domeniu la care ați putea transfera rolurile de master operațiuni în cazul în care deținătorii de rol originale nu reușesc. Asigurați-vă că operațiunile de standby masters sunt parteneri de replicare directă a operațiilor reale masters.
planificarea plasării emulatorului PDC
emulatorul PDC procesează modificările parolei clientului. Un singur controler de domeniu acționează ca emulator PDC în fiecare domeniu din pădure.
chiar dacă toate controlerele de domeniu sunt actualizate la Windows 2000, Windows Server 2003 și Windows Server 2008, iar domeniul funcționează la nivelul funcțional nativ Windows 2000 , emulatorul PDC primește replicarea preferențială a modificărilor de parolă efectuate de alte controlere de domeniu din domeniu. Dacă o parolă a fost modificată recent, această modificare necesită timp pentru a se reproduce la fiecare controler de domeniu din domeniu. Dacă autentificarea de conectare eșuează la un alt controler de domeniu din cauza unei parole proaste, acel controler de domeniu transmite cererea de autentificare către emulatorul PDC înainte de a decide dacă acceptă sau respinge încercarea de conectare.
plasați emulatorul PDC într-o locație care conține un număr mare de utilizatori din acel domeniu pentru operațiuni de redirecționare a parolelor, dacă este necesar. În plus, asigurați-vă că locația este bine conectată la alte locații pentru a minimiza latența de replicare.
pentru o foaie de lucru pentru a vă ajuta în documentarea informațiilor despre unde intenționați să plasați emulatoare PDC și numărul de utilizatori pentru fiecare domeniu care este reprezentat în fiecare locație, consultați job Aids for Windows Server 2003 Deployment Kit, descărcați Job_Aids_Designing_and_Deploying_directory_and_security_services.zip și plasarea controlerului de domeniu deschis (DSSTOPO_4.doc).
trebuie să consultați informațiile despre locațiile în care trebuie să plasați emulatoare PDC atunci când implementați domenii regionale. Pentru mai multe informații despre implementarea domeniilor regionale, consultați Implementarea domeniilor regionale Windows Server 2008.
cerințe pentru plasarea master infrastructure
master infrastructure actualizează numele principalilor de securitate din alte domenii care sunt adăugate grupurilor din propriul domeniu. De exemplu, dacă un utilizator dintr-un domeniu este membru al unui grup într-un al doilea domeniu și numele utilizatorului este schimbat în primul domeniu, al doilea domeniu nu este notificat că numele utilizatorului trebuie actualizat în lista de membri a grupului. Deoarece controlerele de domeniu dintr-un domeniu nu reproduc principiile de securitate controlorilor de domeniu dintr-un alt domeniu, al doilea domeniu nu devine niciodată conștient de schimbarea în absența master-ului de infrastructură.
master infrastructura monitorizează în mod constant de membru de grup, în căutarea pentru directori de securitate din alte domenii. Dacă găsește unul, verifică cu domeniul principalului de securitate pentru a verifica dacă informațiile sunt actualizate. Dacă informațiile sunt depășite, comandantul infrastructurii efectuează actualizarea și apoi replică modificarea la celelalte controlere de domeniu din domeniul său.
două excepții se aplică acestei reguli. În primul rând, dacă toate controlerele de domeniu sunt servere globale de catalog, controlerul de domeniu care găzduiește rolul principal al infrastructurii este nesemnificativ, deoarece cataloagele globale reproduc informațiile actualizate indiferent de domeniul căruia îi aparțin. În al doilea rând, dacă pădurea are un singur domeniu, controlerul de domeniu care găzduiește rolul de master al infrastructurii este nesemnificativ, deoarece nu există principii de securitate din alte domenii.
nu plasați master-ul de infrastructură pe un controler de domeniu care este, de asemenea, un server de catalog global. Dacă comandantul infrastructurii și catalogul global se află pe același controler de domeniu, comandantul infrastructurii nu va funcționa. Comandantul infrastructurii nu va găsi niciodată date depășite; prin urmare, nu va replica niciodată modificări ale celorlalte controlere de domeniu din domeniu.
plasare master Operațiuni pentru rețele cu conectivitate limitată
rețineți că, dacă mediul dvs. are o locație centrală sau un site hub în care puteți plasa deținători de roluri master operațiuni, anumite operațiuni ale controlerului de domeniu care depind de disponibilitatea acelor deținători de roluri master operațiuni ar putea fi afectate.
de exemplu, să presupunem că o organizație creează site-uri A, B, C și D. Există legături de Site între A și b, între B și C și între C și D. conectivitatea la rețea reflectă exact conectivitatea la rețea a legăturilor de site-uri. În acest exemplu, toate rolurile principale ale operațiunilor sunt plasate în site-ul a și opțiunea de a lega toate linkurile site-ului nu este selectată.
deși această configurație are ca rezultat replicarea cu succes între toate site-urile, funcțiile rol principal operațiuni au următoarele limitări:
- controlerele de domeniu din Site-urile C și D nu pot accesa emulatorul PDC din site-ul a pentru a actualiza o parolă sau pentru a o verifica pentru o parolă care a fost actualizată recent.
- controlere de domeniu în site-urile C și D nu pot accesa master RID în site-ul A pentru a obține un bazin inițial RID după instalarea Active Directory și pentru a reîmprospăta bazine RID ca acestea devin epuizate.
- controlerele de domeniu din Site-urile C și D nu pot adăuga sau elimina partiții de director, DNS sau aplicații personalizate.
- controlerele de domeniu din Site-urile C și D nu pot face modificări de schemă.
pentru o foaie de lucru care să vă ajute în planificarea plasării rolului principal al operațiunilor, consultați Job Aids for Windows Server 2003 Deployment Kit, descărcați Job_Aids_Designing_and_Deploying_directory_and_security_services.zip și plasarea controlerului de domeniu deschis (DSSTOPO_4.doc).
va trebui să consultați aceste informații atunci când creați domeniul rădăcină forestieră și domeniile regionale. Pentru mai multe informații despre implementarea domeniului rădăcină pădure, consultați Implementarea unui implementarea unui domeniu rădăcină pădure Windows Server 2008. Pentru mai multe informații despre implementarea domeniilor regionale, consultați Implementarea domeniilor regionale Windows Server 2008.
informații suplimentare despre plasarea rolului FSMO pot fi găsite în subiectul de asistență plasarea și optimizarea FSMO pe controlerele de domeniu Active Directory