planering Operations Master Rollplacering

  • artikel
  • 07/29/2021
  • 6 minuter att läsa
    • i
    • d
    • v
    • e
    • D
    • +5
är den här sidan till hjälp?

tack.

gäller för: Windows Server 2022, Windows Server 2019, Windows Server 2016, Windows Server 2012 R2, Windows Server 2012

Active Directory Domain Services (AD DS) stöder multimasterreplikering av katalogdata, vilket innebär att alla domänkontrollanter kan acceptera katalogändringar och replikera ändringarna till alla andra domänkontrollanter. Vissa ändringar, till exempel schemamodifikationer, är dock opraktiska att utföra på ett multimaster-sätt. Av denna anledning har vissa domänkontrollanter, så kallade operations masters, roller som ansvarar för att acceptera förfrågningar om vissa specifika ändringar.

Obs

innehavare av Operations master-roll måste kunna skriva viss information till Active Directory-databasen. På grund av Active Directory-databasens skrivskyddade karaktär på en skrivskyddad domänkontrollant (RODC) kan RODCs inte fungera som rollinnehavare för operations master.

tre operations master roller (även känd som flexibla single master operations eller FSMO) finns i varje domän:

  • den primära domänkontrollanten (PDC) emulator operations master behandlar alla lösenordsuppdateringar.

  • relative ID (RID) operations master upprätthåller den globala rid-poolen för domänen och allokerar lokala RIDs-pooler till alla domänkontrollanter för att säkerställa att alla säkerhetsprinciper som skapats i domänen har en unik identifierare.

  • infrastructure operations master för en viss domän upprätthåller en lista över säkerhetsprinciper från andra domäner som är medlemmar i grupper inom domänen.

förutom de tre Operations master-rollerna på domännivå finns det två operations master-roller i varje skog:

  • schemat operations master styr ändringar i schemat.
  • Domain naming operations master lägger till och tar bort domäner och andra katalogpartitioner (till exempel DNS-programpartitioner) till och från skogen.

placera domänkontrollanterna som är värd för dessa Operations master-roller i områden där nätverkssäkerheten är hög och se till att PDC-emulatorn och RID master är konsekvent tillgängliga.

Operations master Roll innehavare tilldelas automatiskt när den första domänkontrollanten i en viss domän skapas. De två rollerna på skogsnivå (schema master och domain naming master) tilldelas den första domänkontrollanten som skapats i en skog. Dessutom tilldelas de tre domännivårollerna (RID master, infrastructure master och PDC emulator) den första domänkontrollanten som skapats i en domän.

Obs

automatiska uppdrag för huvudrollinnehavare görs endast när en ny domän skapas och när en aktuell rollinnehavare degraderas. Alla andra ändringar av rollägare måste initieras av en administratör.

dessa automatiska operationer master rolltilldelningar kan orsaka mycket hög CPU-användning på den första domänkontrollanten som skapats i skogen eller domänen. För att undvika detta, tilldela (överför) operations master-Roller till olika domänkontrollanter i din skog eller domän. Placera domänkontrollanterna som är värd för operations master roller i områden där nätverket är tillförlitligt och där operations masters kan nås av alla andra domänkontrollanter i skogen.

du bör också ange standby (alternativa) operations masters för alla operations master Roller. Standby operations masters är domänkontrollanter till vilka du kan överföra operations master-rollerna om de ursprungliga rollinnehavarna misslyckas. Se till att standby operations masters är direkta replikeringspartners för de faktiska operations masters.

planera placeringen av PDC-emulatorn

PDC-emulatorn bearbetar ändringar av klientlösenord. Endast en domänkontrollant fungerar som PDC-emulator i varje domän i skogen.

även om alla domänkontrollanter uppgraderas till Windows 2000, Windows Server 2003 och Windows Server 2008, och domänen fungerar på Windows 2000 native funktionell nivå , PDC emulator får förmånlig replikering av lösenordsändringar som utförs av andra domänkontrollanter i domänen. Om ett lösenord nyligen har ändrats tar ändringen tid att replikera till alla domänkontrollanter i domänen. Om inloggningsautentisering misslyckas hos en annan domänkontrollant på grund av ett dåligt lösenord vidarebefordrar den domänkontrollanten autentiseringsbegäran till PDC-emulatorn innan den beslutar om att acceptera eller avvisa inloggningsförsöket.

placera PDC-emulatorn på en plats som innehåller ett stort antal användare från den domänen för vidarebefordran av lösenord om det behövs. Se dessutom till att platsen är väl ansluten till andra platser för att minimera replikationsfördröjningen.

för ett kalkylblad som hjälper dig att dokumentera informationen om var du planerar att placera PDC-emulatorer och antalet användare för varje domän som är representerad på varje plats, se Job Aids för Windows Server 2003 Deployment Kit, ladda ner Job_Aids_Designing_and_Deploying_directory_and_security_services.zip, och öppen domänkontrollant placering (DSSTOPO_4.doc).

du måste hänvisa till informationen om platser där du måste placera PDC-emulatorer när du distribuerar regionala domäner. Mer information om hur du distribuerar regionala domäner finns i distribuera Windows Server 2008 regionala domäner.

krav för placering av infrastrukturmästare

infrastrukturmästaren uppdaterar namnen på säkerhetsprinciper från andra domäner som läggs till i grupper i sin egen domän. Till exempel, om en användare från en domän är medlem i en grupp i en andra domän och användarens namn ändras i den första domänen, meddelas inte den andra domänen att användarens namn måste uppdateras i gruppens medlemslista. Eftersom domänkontrollanter i en domän inte replikerar säkerhetsprinciper till domänkontrollanter i en annan domän blir den andra domänen aldrig medveten om förändringen i frånvaro av infrastrukturmästaren.

infrastrukturmästaren övervakar ständigt gruppmedlemskap och letar efter säkerhetsprinciper från andra domäner. Om den hittar en kontrollerar den med säkerhetschefens domän för att verifiera att Informationen uppdateras. Om informationen är inaktuell utför infrastrukturmästaren uppdateringen och replikerar sedan ändringen till de andra domänkontrollanterna i domänen.

två undantag gäller för denna regel. För det första, om alla domänkontrollanter är globala katalogservrar, är domänkontrollanten som är värd för infrastrukturhuvudrollen obetydlig eftersom globala kataloger replikerar den uppdaterade informationen oavsett vilken domän de tillhör. För det andra, om skogen bara har en domän, är domänkontrollanten som är värd för infrastrukturhuvudrollen obetydlig eftersom säkerhetsprinciper från andra domäner inte finns.

placera inte infrastructure master på en domänkontrollant som också är en global katalogserver. Om infrastructure master och global catalog finns på samma domänkontrollant fungerar inte infrastructure master. Infrastrukturmästaren kommer aldrig att hitta data som är inaktuella; därför kommer det aldrig att replikera några ändringar till de andra domänkontrollanterna i domänen.

Operations master-placering för nätverk med begränsad anslutning

tänk på att om din miljö har en central plats eller navplats där du kan placera operations master-rollinnehavare, kan vissa domänkontrollantåtgärder som beror på tillgängligheten för dessa operations master-rollinnehavare påverkas.

Antag till exempel att en organisation skapar webbplatser A, B, C och D. webbplatslänkar finns mellan A och B, mellan B och C och mellan C och D. nätverksanslutning speglar exakt nätverksanslutningen för webbplatslänkarna. I det här exemplet placeras alla operations master-roller på plats A och alternativet att överbrygga alla webbplatslänkar är inte markerat.

även om denna konfiguration resulterar i framgångsrik replikering mellan alla webbplatser, har funktionerna operations master Roll följande begränsningar:

  • domänkontrollanter på platserna C och D kan inte komma åt PDC-emulatorn på plats A för att uppdatera ett lösenord eller för att kontrollera det för ett lösenord som nyligen har uppdaterats.
  • domänkontrollanter på platserna C och D kan inte komma åt RID-master på plats A för att få en initial RID-pool efter Active Directory-installationen och för att uppdatera RID-pooler när de blir utarmade.
  • domänkontrollanter på platserna C och D kan inte lägga till eller ta bort katalog -, DNS-eller anpassade programpartitioner.
  • domänkontrollanter i webbplatser C och D kan inte göra schemaändringar.

för ett kalkylblad som hjälper dig att planera operationer master rollplacering, se Job Aids för Windows Server 2003 Deployment Kit, ladda ner Job_Aids_Designing_and_Deploying_directory_and_security_services.zip, och öppen domänkontrollant placering (DSSTOPO_4.doc).

du måste hänvisa till den här informationen när du skapar skogsrotdomänen och regionala domäner. Mer information om hur du distribuerar forest root-domänen finns i distribuera en distribuera en Windows Server 2008 Forest Root-domän. Mer information om hur du distribuerar regionala domäner finns i distribuera Windows Server 2008 regionala domäner.

ytterligare information om FSMO-rollplacering finns i supportämnet FSMO-placering och optimering på Active Directory – domänkontrollanter

Lämna ett svar

Din e-postadress kommer inte publiceras.