Planejar la ubicació de el paper de mestre de operacionesPlanning Operations Master Role Placement

Posted on by admin
  • 2018.08.08
  • Temps de lectura: 7 minuts
    • i
    • o
    • v

s’aplica a: Windows Server 2016 , Windows Server 2012 R2, Windows Server 2012Applies To: Windows Server 2016, Windows Server 2012 R2, Windows Server 2012

Active Directory Domain Services (AD DS) admet la replicació amb diversos mestres de dades de directori, el que significa que qualsevol controlador de domini pot acceptar canvis de directori i replicar els canvis en tots els altres controladors de dominio.Active Directory Domain Services (AD DS) supports multimaster replication of directory data , which means any domain controller can accept directory changes and replicate the changes to all oth er domain controllers. No obstant això, alguns canvis, com les modificacions d’esquema, no resulten pràctics per a una manera multimaestro.However, certain changes, such as schema Modifications, are impractical to perform in a multimaster fashion. Per aquest motiu, certs controladors de domini, coneguts com a mestres d’operacions, tenen rols responsables d’acceptar sol·licituds per a determinats canvis específicos.For this reason certain domain controllers, known as operations màsters, hold rols responsible for accepting requests for certain specific changes.

Nota

Els titulars de la funció de mestre d’operacions han de poder escriure informació a la base de dades Active Directory.Operations màster role holders must be able to write some information to the Active Directory database. A causa de la naturalesa de només lectura de la base de dades Active Directory en un controlador de domini de només lectura (RODC), els RODC no poden actuar com a titulars de la funció de mestre de operaciones.Because of the nomès lectura nature of the Active Directory database on a nomès lectura domain controller (RODC), RODCs can not act as operations màster role holders.

a cada domini hi ha tres rols de mestre d’operacions (també coneguts com a operacions de mestre únic flexible o FSMO): Three operations màster rols (also known as flexible single màster operations or FSMO) exist in each domain:

  • el mestre d’operacions de l’emulador de el controlador de domini principal (PDC) processa totes les actualitzacions de contraseñas.The primary domain controller (PDC) emulator operations màster processes all password updates.

  • El mestre d’operacions d’ID. relatiu (RID) manté el grup de RID global per al domini i assigna els grups de RID locals a tots els controladors de domini per assegurar-se que totes les entitats de seguretat creades en el domini tenen un identificador único.The relative ID (RID) operations màster maintains the global RID pool for the domain and allocates local Àrids pools to all domain controllers to ensure that all security Principals created in the domain have a unique identifier.

  • El mestre d’operacions d’infraestructura d’un domini determinat manté una llista de les entitats de seguretat d’altres dominis que són membres de grups dins del seu dominio.The infrastructure operations màster for a given domain maintains a list of the security Principals from other domains that are members of groups within its domain.

a més de les tres funcions de mestre d’operacions de nivell de domini, hi ha dos rols de mestre d’operacions a cada bosc: In Addit ió to the three domain-level operations màster rols, two operations màster rols exist in each forest:

  • El mestre d’operacions d’esquema regeix els canvis en el esquema.The schema operations màster Governs changes to the schema.
  • El mestre d’operacions de nomenclatura de dominis afegeix i treu dominis i altres particions de directori (per exemple, particions d’aplicació de sistema de noms de domini (DNS)) al bosc i des él.The domain naming operations màster adds and Removes domains and other directory partitions (for example, nom de camp System (DNS) application partitions) to and from the forest.

Col · loqui els controladors de domini que allotgen aquestes funcions de mestre d’operacions en àrees en què la fiabilitat de la xarxa sigui alta i assegureu-vos que l’emulador de PDC i el mestre de RID estan disponibles de forma coherente.Place the domain controllers hosting these operations màster rols in àrees where network reliability is high, and ensure that the PDC emulator and the RID màster are consistently available.

Els titulars de la funció de mestre d’operacions s’assignen automàticament quan es crea el primer controlador de domini d’un domini determinado.Operations màster role holders are assigned automatically when the first domain controller in a given domain is created . Els dos rols de nivell de bosc (mestre d’esquema i mestre de nomenclatura de dominis) s’assignen a el primer controlador de domini creat en un bosque.The two forest-level rols (esquema màster and domain naming màster) are assigned to the first domain controller created in a forest. A més, els tres rols de nivell de domini (mestre RID, mestre d’infraestructura i emulador de PDC) s’assignen a el primer controlador de domini creat en un dominio.In addition, the three domain-level rols (RID màster, infrastructure màster, and PDC emulator) are assigned to the first domain controller created in a domain.

Nota

Les assignacions automàtiques de titular de el paper de mestre d’operacions només es realitzen quan es crea un nou domini i quan es degrada el titular de la funció actual.Automatic operations màster role holder assignments are made only when a new domain is created and when a current role holder is demoted. Tots els altres canvis en els propietaris de rols han de ser iniciats per un administrador.All other changes to role owners have to be initiated by an administrator.

Aquestes assignacions automàtiques de rols de mestre d’operacions poden provocar un ús de CPU molt elevat en el primer controlador de domini creat al bosc o al dominio.These automatic operations màster role assignments can causi very high CPU usage on the first domain controller created in the forest or the domain. Per evitar això, assigni (transferir) rols de mestre d’operacions a diversos controladors de domini del seu bosc o dominio.To avoid this, assign (transfer) operations màster rols to various domain controllers in your forest or domain. Poseu els controladors de domini que allotgen els rols de mestre d’operacions en àrees en les que la xarxa sigui fiable i on tots els altres controladors de domini de bosc puguin tenir accés als mestres de operaciones.Place the domain controllers that host operations màster rols in àrees where the network is reliable and where the operations màsters can be accessed by all other domain controllers in the forest.

També ha de designar mestres d’operacions en espera (alternatius) per a totes les funcions de mestre d’operacions .You should also designate standby (alternate) operations màsters for all operations màster rols. Els mestres d’operacions en espera són controladors de domini als quals es poden transferir els rols de mestre d’operacions en cas que es produeixi un error en els titulars de rols originales.The standby operations màsters are domain controllers to which you could transfer the operations màster rols in case the original role holders fail. Assegureu-vos que els mestres d’operacions en espera són associats de replicació directes dels mestres d’operacions reales.Ensure that the standby operations màsters are direct replication partners of the actual operations màsters.

Planificació de la ubicació de l’emulador de PDCPlanning the PDC emulator placement

L’emulador de PDC processa els canvis de contrasenya de cliente.The PDC emulator processes client password changes. Només un controlador de domini actua com l’emulador de PDC en cada domini de l’bosque.Only one domain controller acts as the PDC emulator in each domain in the forest.

Fins i tot si tots els controladors de domini s’actualitzen a Windows 2000, Windows Server 2003 i Windows Server 2008, i el domini està funcionant al nivell funcional natiu de Windows 2000, l’emulador de PDC rep la replicació preferencial dels canvis de contrasenya realitzats per altres controladors de domini en el dominio.Even if all the domain controllers are upgraded to Windows 2000, Windows Server 2003, and Windows Server 2008, and the domain is operating at the Windows 2000 native functional level, the PDC emulator receives Preferential replication of password changes performed by other domain controllers in the domain. Si s’ha canviat la contrasenya recentment, aquest canvi triga a replicar-se en tots els controladors de domini de l’dominio.If a password was recently changed, that change takes time to replicate to every domain controller in the domain. Si es produeix un error d’autenticació d’inici de sessió en un altre controlador de domini causa d’una contrasenya incorrecta, el controlador de domini reenvia la sol·licitud d’autenticació a l’emulador de PDC abans de decidir si acceptar o rebutjar l’intent d’inici de sessió.If logon authentication fails at another domain controller due to a bad password, that domain controller forwards the authentication request to the PDC emulator before deciding whether to accept or reject the logon attempt.

Col·loqui el emulador de PDC en una ubicació que contingui un gran nombre d’usuaris d’aquest domini per a operacions de reenviament de contrasenyes, si és necesario.Place the PDC emulator in a location that contains a large number of users from that domain for password forwarding operations if needed. A més, assegureu-vos que la ubicació està ben connectada a altres ubicacions per reduir la latència de replicación.In addition, ensure that the location is well connected to other locations to minimize replication latency.

En el cas d’una full de càlcul que l’ajudi a documentar la informació sobre on planeja col·locar els emuladors de PDC i el nombre d’usuaris per a cada domini que es representa en cada ubicació, vegeu l’ajuda de la feina per al kit d’implementació de Windows Server 2003, descarregar Job_Aids_Designing_and_Deploying_Directory_and_Security_Services.zip i obrir la ubicació de l’controlador de domini (DSSTOPO_4.doc) .For a worksheet to assist you in Documenting the information about where you pla to place PDC emulators and the number of users for each domain that is represented in each location, see Job Aids for Windows Server 2003 Deployment Kit, download Job_Aids_Designing_and_Deploying_Directory_and_Security_Services.zip, and open Domain Control guer Placement (DSSTOPO_4.doc).

Ha de consultar la informació sobre les ubicacions en les que necessita col·locar emuladors de PDC a l’implementar dominis regionales.You need to refer to the information about locations in which you need to place PDC emulators when you deploy regional domains. Per obtenir més informació sobre la implementació de dominis regionals, consulteu implementació de dominis regionals de Windows Server 2008.For more information about deploying regional domains, see Deploying Windows Server 2008 Regional Domains.

Requisits per a la col·locació de l’ mestre de infraestructuraRequirements for infrastructure màster placement

El mestre d’infraestructura actualitza els noms de les entitats de seguretat d’altres dominis que s’agreguen als grups del seu propi dominio.The infrastructure màster updates the names of security Principals from other domains that are added to groups in its own domain. Per exemple, si un usuari d’un domini és membre d’un grup en un segon domini i es canvia el nom de l’usuari en el primer domini, el segon domini no rebrà una notificació de que el nom de l’usuari s’ha d’actualitzar a la llista de membres de l’grupo.For example, if a user from one domain is a member of a group in a second domain and the user ‘s name is changed in the first domain, the second domain is not notified that the user’ s name must be updated in the group ‘s membership list. Atès que els controladors de domini d’un domini no repliquen les entitats de seguretat en els controladors de domini d’un altre domini, el segon domini mai és conscient el canvi en absència de mestre de infraestructura.Because domain controllers in one domain do not replicate security Principals to domain controllers in another domain, the second domain never becomes aware of the change in the absence of the infrastructure màster.

El mestre d’infraestructura supervisa constantment la pertinença a grups, buscant entitats de seguretat d’altres dominis. The infrastructure màster Constantly monitors group memberships, looking for security Principals from other domains. Si troba un, comprova el domini de l’entitat de seguretat per comprovar que la informació està actualizada.If it finds one, it checks with the security principal ‘s domain to verify that the information is updated. Si la informació no està actualitzada, el mestre d’infraestructura realitza l’actualització i, a continuació, replica el canvi en els altres controladors de domini del seu dominio.If the information is out of date, the infrastructure màster performs the update and then replicates the change to the other domain controllers in its domain.

s’apliquen dues excepcions a aquesta regla.Two exceptions apply to this rule. En primer lloc, si tots els controladors de domini són servidors de catàleg global, el controlador de domini que allotja el paper de mestre d’infraestructura és insignificant, ja que els catàlegs globals repliquen la informació actualitzada independentment de l’domini a què pertenecen.First, if all domain controllers are global catalog servers, the domain controller that hosts the infrastructure màster role is insignificant because global Catalogs replicate the updated information regardless of the domain to which they belong.En segon lloc, si el bosc només té un domini, el controlador de domini que allotja el paper de mestre d’infraestructura és insignificant perquè les entitats de seguretat d’altres dominis no existen.Second, if the forest has only one domain, the domain controller that hosts the infrastructure màster role is insignificant because security Principals from other domains do not exist.

No poseu el mestre d’infraestructura en un controlador de domini que també sigui un servidor de catàleg global.Do not place the infrastructure màster on a domain controller that is also a global catalog server. Si el mestre d’infraestructura i el catàleg global són al mateix controlador de domini, el mestre d’infraestructura no funcionará.If the infrastructure màster and global catalog are on the same domain controller, the infrastructure màster will not function. El mestre d’infraestructura mai buscarà dades que no estiguin actualitzats; per tant, mai replicarà cap canvi en els altres controladors de domini de l’dominio.The infrastructure màster will never find data that is out of date; therefore, it will never replicate any changes to the other domain controllers in the domain.

Ubicació de l’mestre d’operacions per a xarxes amb connectivitat limitadaOperations màster placement for networks with limited connectivity

Tingueu en compte que si el seu entorn té una ubicació central o un lloc concentrador en el qual pot col·locar els titulars de la funció de mestre d’operacions, és possible que es vegin afectats certes operacions de controlador de domini que depenen de la disponibilitat dels titulars de la funció de mestre de operaciones.Be aware that if your environment does have a central location or hub site in which you can place operations màster role holders, certain domain controller operations that depèn on the availability of those operations màster role holders might be Affected.

Per exemple, suposem que una organització crea els llocs A, B, C i D. hi ha vincles de lloc entre A i B, entre B i C, i entre C i D. la cone ctivitat de xarxa reflecteix exactament la connexió de xarxes dels vincles a sitios.For example, suppose that an organització Creates sites A, B, C, and D. Site links exist between A and B, between B and C, and between C and D. Network connectivity exactly mirrors the network connectivity of the sites links. En aquest exemple, tots els rols de mestre d’operacions es col·loquen en el lloc A i l’opció per enllaçar tots els vincles a llocs no està seleccionada.In this example, all operations màster rols are placed in site A and the option to Bridge all pàgines enllaços is not selected.

Tot i que aquesta configuració produeix una replicació correcta entre tots els llocs, les funcions de la funció de mestre d’operacions tenen les següents limitacions: although this configuration results in successful replication between all of the sites, the operations màster role functions have the following limitations:

  • els controladors de domini dels llocs C i d no poden tenir accés a l’emulador de PDC de el lloc a per actualitzar una contrasenya o per comprovar si la contrasenya s’ha actualitzat recientemente.Domain controllers in sites C and D can not access the PDC emulator in site a to update a password or to check it for a password that has been recently updated.
  • Els controladors de domini dels llocs C i D no poden tenir accés a l’mestre de RID en el lloc a per obtenir un grup de RID inicial després de la instal·lació d’Active Directory i per actualitzar els grups de RID a mesura que es agotan.Domain controllers in sites C and D can not access the RID màster in site a to obtain an initial RID pool after the Active Directory installation and to refresh RID pools es they become depleted.
  • Els controladors de domini dels llocs C i D no poden afegir o treure particions de directori, DNS o aplicacions personalizadas.Domain controllers in sites C and D can not add or remove directory, DNS, or custom application partitions .
  • Els controladors de domini dels llocs C i D no poden realitzar canvis en el esquema.Domain controllers in sites C and D can not make schema changes.

Per veure un full de càlcul que l’ajudi a planejar la ubicació dels rols de mestre d’operacions, consulteu el Kit d’implementació de Windows Server 2003, descarregar Job_Aids_Designing_and_Deploying_Directory_and_Security_Services.zip i obrir la ubicació de el controlador de domini (DSSTOPO_4.doc) .For a worksheet to assist you in planning operations màster role placement, see Job Aids for Windows Server 2003 Deployment Kit, download Job_Aids_Designing_and_Deploying_Directory_and_Security_Services.zip, and open Domain Controller placement (DSSTOPO_4.doc).

Haurà de consultar aquesta informació a l’crear el domini arran de bosc i els dominis regionals.You will need to refer to this information when you create the forest root domain and regional domains . Per obtenir més informació sobre la implementació de l’ domini arrel de bosc, vegi implementar un domini arrel de bosc de Windows Server 2008.For more information about deploying the forest root domain , see Deploying a Deploying a Windows Server 2008 Forest Root Domain . Per obtenir més informació sobre la implementació de dominis regionals , consulteu implementació de dominis regionals de Windows Server 2008.For more information about deploying regional domains , see Deploying Windows Server 2008 Regional Domains .

Podeu trobar més informació sobre la ubicació dels rols de FSMO en el tema de suport d’ubicació i optimització de FSMO en Active Directory controladors de domini .Additional information about FSMO role placement can be found in the support topic FSMO placement and optimization on Active Directory domain controllers

Deixa un comentari

L'adreça electrònica no es publicarà. Els camps necessaris estan marcats amb *