- 08/08/2018
- Tempo de lectura: 7 minutos
-
- i
- ou
Aplícase a: Windows Server 2016, servidor de Windows 2012 R2, Windows Server 2012Applies a: Windows Server 2016, Windows Server 2012 R2, Windows Server 2012
Active Directory Domain Services (AD DS) soporta a replicación con varios profesores de datos de directorio, o que significa que calquera controlador de dominio pode aceptar cambios de directorio e cambios replicar en todos os outros controladores de dominio. Active Directory Servizos de dominio (AD DS) soporta Multimaster replicación de datos Directory, o que significa que calquera controlador de dominio pode aceptar directorio cambios e replicar Os cambios a todos os oph ER Controladores de dominio. Non obstante, algúns cambios, como as modificacións do esquema, non son prácticas para un modo multi-mestre. Non obstante, certos cambios, como as modificacións do esquema, son impratizas para realizar de forma conxunta. Por este motivo, determinados controladores de dominio, coñecidos como profesores operativos, teñen roles responsables de aceptar solicitudes de certos cambios específicos. Por este motivo como mestres de operacións, manteña o responsable de aceptar os máis reais para determinados cambios específicos.
Nota
Os titulares de funcións mestres operativos deben ser capaces de escribir información na base de datos de Active Directory. Operations Master Role Os titulares deben ser capaces de escribir algunha información á base de datos de Active Directory. Debido á natureza de lectura da base de datos de Active Directory nun controlador de dominio de só lectura (RODC), o RODC non pode actuar como propietarios da función mestra de operacións. Porque da natureza de só lectura da base de datos de Active Directory a unha lectura Só o controlador de dominio (RODC), Rodcs non pode actuar como titulares de roles de operacións.
En cada dominio hai tres papeis mestre de operacións (tamén coñecidas como operacións de mestre flexible ou FSMO): tres Os papeis mestre de operacións (tamén coñecidos como operacións mestras únicas flexibles ou FSMO) existen en cada dominio:
-
O controlador de dominio Operations Master Main (PDC) Procesa todas as actualizacións de contrasinal. O dominio primario Controlador (PDC) Emulator Operations Master Procesos todas as actualizacións de contrasinal.
-
O mestre de operacións de identificación. Relativo (RID) mantén o Global Rid Group para o dominio e asigna grupos locais a todos os controladores de dominio para asegurarse de que todas as entidades de seguridade creadas no dominio teñan un identificador único. O Global Rid Piscina para O dominio e asigna piscinas locais a todos os controladores de dominio para garantir que toda a seguridade principal creada no dominio teña un identificador único.
-
O profesor de operacións de infraestrutura dun determinado dominio mantén Unha lista das entidades de seguridade doutros dominios que son membros dos grupos dentro do seu dominio. O mestre de operacións de infraestrutura para un dominio dado corresponde unha lista da seguridade principal doutros dominios que son membros de grupos dentro do seu dominio.
Ademais do tres nivel de dominio de operacións Master, hai dúas papeis mestras de operacións en cada bosque: en Addit ION ÁS TRES OPERACIÓNS DE DOMINIENTES DE DOMINIENTES, existen dous roles mestre de operacións en cada bosque:
- O mestre de operacións de esquema vai cambios no esquema. O mestre de operacións de esquema goberna cambios no esquema.
- O mestre de operacións de nomenclatura de dominio engade e elimina os dominios e outras particións de directorio (por exemplo, as particións de solicitude do sistema de nome de dominio (DNS)) no bosque e a partir de IT. O mestre de operacións de nome de dominio engádese e elimina Dominios e outras particións de directorio (por exemplo, particións de solicitude de nomes de dominio (DNS) a e para o bosque.
Coloque os controladores de dominio que acollen estas funcións mestras de operacións en áreas onde a fiabilidade da rede é alta e asegúrese de que o emulador PDC eo mestre de libros están dispoñibles dun xeito coherente. Suba Os controladores de dominio que aloxan estes roles mestra de operacións en áreas onde a fiabilidade da rede é alta e asegúrese de que o emulador PDC eo mestre de libras están dispoñibles constantemente.
Os titulares de funcións mestres operativos están asignados automaticamente cando o primeiro controlador de dominio dun determinado dominio. As titulares de papel maxistral son asignados automaticamente cando se crea o primeiro controlador de dominio nun determinado dominio. Os dous papeis de nivel forestal (profesor de nomenclatura de dominio e domicilio) están asignados ao primeiro controlador de dominio creado nun bosque. Os dous papeis de nivel forestal (esquema mestre e dominio Naming Master) están asignados ao primeiro controlador de dominio creado nun bosque .. Ademais, os tres roles de nivel de dominio (Master Rid, Profesor de Infraestrutura e Emulator PDC) están asignados ao primeiro controlador de dominio creado nun dominio. Ademais, os tres roles de dominio (Rid Master, Infraestructura Master e PDC Emulator) Son asignados ao primeiro controlador de dominio creado nun dominio.
Nota
As atribucións automáticas do titular da operación Master Papel só se realizan cando se crea un novo dominio e cando O propietario da función actual é degradada. As operacións operacións domésticas de operacións domésticas están feitas só cando se crea un novo dominio e cando un titular de rol actual está deposto. Todos os demais cambios nos propietarios de rol deben ser iniciados por un administrador. Todos os outros cambios nos propietarios de rol deben ser iniciados por un administrador.
Estas asignacións automáticas de roles mestra de operacións que poden causar moi Uso de alta CPU no primeiro controlador de dominio creado no bosque ou no dominio. Para evitar isto, asignar (transferir) papeis mestre de operacións a varios controladores de dominio do seu bosque ou dominio. Para evitar isto, asignar (transferir) roles mestre de operacións a varios controladores de dominio no seu bosque ou dominio. Coloque os controladores de dominio que acollen os papeis mestre de operacións en áreas onde a rede é fiable e onde todos os demais controladores de dominio do bosque poden ter acceso a profesores de operacións. Substitúe os controladores de dominio que operan os roles mestres en áreas onde a rede é fiable e Onde os mestres de operacións poden ser accesshed por todos os demais controladores de dominio no bosque.
Tamén debe designar profesores de funcionamento (alternativa) para todas as funcións mestras de operacións. Tamén debería designar os mestres de operacións de espera (alternativo) para todos Puntos mestres de operacións. Os profesores de operacións de Expemping son controladores de dominio aos que se poden transferir os roles mestres da operación no caso de que se produza nos titulares de rol orixinais. Os mestres de operacións de espera son controladores de dominio aos que pode transferir os papeis mestre de operacións no caso de que fallen os postos de traballo. Asegúrese de que os profesores de espera de espera son asociados directos de operacións reais. Sensura que os mestres de operacións de espera son socios de replicación directa dos mestres de operacións actuais.
Emulador Localización de PDClanning A colocación do emulador PDC
O PDC Emulator procesa os cambios de contrasinal do cliente. O PDC emulador de emuladores cambios de contrasinal do cliente. Só un controlador de dominio actúa como o emulador PDC en cada dominio do bosque. O controlador de dominio actúa como o emulador PDC en cada dominio do bosque.
Aínda que todos os controladores de dominio se actualicen a Windows 2000, Windows Server 2003 e Windows Server 2008 e o dominio está a executarse no nivel de funcionalidade nativa de Windows 2000, o emulador PDC recibe a replicación preferente dos cambios de contrasinal feitos por outros controladores de dominio do dominio. Todos os controladores de dominio están actualizados a Windows 2000 , Windows Server 2003 e Windows Server 2008 e o dominio operan no nivel de funcionalidade nativa de Windows 2000, o emulador PDC recibe a replicación preferente dos cambios de contrasinal realizados por outros controladores de dominio do dominio. Se se modificou recentemente un contrasinal, este cambio leva a reproducirse en todos os controladores de dominio do dominio. Se cambiou recentemente o contrasinal, ese cambio leva tempo para replicar a cada controlador de dominio do dominio. Se un erro de autenticación de inicio de sesión ocorre noutro controlador de dominio debido a un contrasinal incorrecto, o controlador de dominio envía a solicitude de autenticación ao emulador PDC antes de decidir se debe aceptar ou rexeitar o intento de iniciar sesión.Se a autenticación de inicio de sesión falla noutro controlador de dominio debido a un contrasinal malo, ese controlador de dominio adiante a solicitude de autenticación ao emulador de PDC antes de decidir se debe aceptar ou rexeitar o intento de inicio de sesión.
Coloca o emulador de PDC nunha localización que contén unha gran cantidade de usuarios dese dominio para operacións de reenvío de contrasinal, se é necesario, o emulador PDC nun lugar que contén a gran cantidade de usuarios dese dominio para operacións de reenvío de contrasinal se é necesario. Ademais, asegúrese de que a localización estea ben conectada a outros lugares para reducir a latencia da replicación. Ademais, asegúrese de que a localización estea ben conectada a outras localizacións para minimizar a latencia de replicación.
No caso dunha folla de cálculo que Axúdalle a documentar información sobre onde pretende poñer emuladores PDC e o número de usuarios para cada dominio que está representado en cada lugar, consulte o soporte de traballo para o kit de implantación de Windows Server 2003, descarga JOB_AILS_DESIGNING_AND_DEYSING_DIRECTORY_AND_SECURDE_SERVICES.zip e abre a localización do dominio Controlador (DSSTOPO_4.DOC). Por unha folla de traballo para axudarche a documentar a información sobre onde planea colocar emuladores PDC e o número de usuarios para cada dominio que representa ver a axuda de emprego para o kit de implantación de Windows Server 2003, descargar JOB_DIRECTORY_AND_SECURDE_SERVICES.ZIP e control de dominio aberto LR Colocación (DSSTOPO_4.DOC).
Debería comprobar a información sobre as localizacións que precisa para poñer emuladores PDC cando se implementan dominios rexionais. Debe referirse á información sobre as localizacións nas que ten que poñer PDC Emuladores cando implementas dominios rexionais. Para obter máis información sobre a implementación dos dominios rexionais, consulte a implementación dos dominios rexionais de Dominios Rexionais de Windows, consulte a implantación de dominios rexionais de Windows Server 2008.
Requisitos para a colocación da colocación principal de infraestrutura para a colocación mestra de infraestrutura
O profesor de infraestrutura actualiza os nomes das entidades de seguridade doutros dominios que se engaden aos grupos do seu propio dominio. O mestre de infraestrutura actualiza os nomes de seguridade principal doutros dominios que se engaden a grupos no seu propio dominio. Por exemplo, se un usuario dun dominio é membro dun grupo nun segundo dominio e o nome do usuario cambia no primeiro dominio, o segundo dominio non recibirá unha notificación de que o nome do usuario debe ser actualizado nos membros Lista do grupo. Por exemplo, se un usuario dun dominio é membro dun grupo nun segundo dominio e o nome do usuario cambia no primeiro dominio, o segundo dominio non se notifica que o nome do usuario debe ser actualizado no Lista de membros do grupo Dado que os controladores de dominio dun dominio non replican as entidades de seguridade nos demais controladores de dominio, o segundo dominio nunca é consciente do cambio na ausencia do mestre de infraestrutura. Porque os controladores de dominio nun só dominio non replican a seguridade aos controladores de dominio Noutro dominio, o segundo dominio nunca se conciencia do cambio na ausencia do mestre de infraestrutura.
O profesor de infraestrutura constantemente monitoriza a adhesión ao grupo, á procura de entidades de seguridade doutros dominios. O mestre de infraestrutura constantemente monitora o grupo Membros, buscando a seguridade principal doutros dominios. Se atopas un, comproba o dominio da entidade de seguridade para verificar que se actualiza a información. Se atopa un, comproba o dominio da Security Main para verificar que a información se actualice. Se a información non se actualiza, o profesor de infraestrutura realiza a actualización e, a continuación, révase o cambio nos demais controladores de dominio do seu dominio. Se a información está desactualizada, o mestre de infraestrutura realiza a actualización e logo reproduce o cambio a outro Controladores de dominio no seu dominio.
Dúas excepcións aplícanse a esta regra. As excepcións aplícanse a esta regra. En primeiro lugar, se todos os controladores de dominio son servidores de catálogo global, o controlador de dominio que aloxa o papel principal de infraestrutura é insignificante, xa que os catálogos globais replican a información actualizada independentemente do dominio ao que pertencen. Primeiro, se todos os controladores de dominio son servidores de catálogo global, o Controlador de dominio que alberga o papel principal da infraestrutura é insignificante porque os catálogos globais replican a información actualizada independentemente do dominio ao que pertencen.En segundo lugar, se o bosque só ten un dominio, o controlador de dominio que aloxa o papel mestre de infraestruturas é insignificante porque as entidades de seguridade doutros dominios non existen .Second, se o bosque ten só un dominio, o controlador de dominio que alberga o papel principal da infraestrutura É insignificante porque a seguridade principal doutros dominios non existe.
Non coloque o mestre de infraestrutura nun controlador de dominio que tamén é global. Non coloque o mestre do servidor de catálogo de infraestruturas nun controlador de dominio que tamén é Un servidor de catálogo global. Se o profesor de infraestrutura eo catálogo global están no mesmo controlador de dominio, o profesor de infraestrutura non funcionará. Se o mestre de infraestrutura eo catálogo global están no mesmo controlador de dominio, o mestre de infraestrutura non funcionará. O profesor de infraestrutura nunca buscará datos que non se actualicen; Polo tanto, nunca vai replicar ningún cambio nos demais controladores de dominio do dominio. O mestre de infraestrutura nunca atopará datos que está desactualizado; Polo tanto, nunca vai replicar ningún cambio nos demais controladores de dominio do dominio.
Localización do profesor de operacións para redes con colocación mestra de conectividade limitada para redes con conectividade limitada
ten en conta que, se o seu contorno ten unha localización central ou un sitio de concentrador no que pode poñer os titulares da función Master Operation, determinadas operacións de control de dominio que dependen da dispoñibilidade dos titulares da función mestra de operacións. Consciente que se o seu ambiente fai Ten unha localización central ou un sitio de HUB no que pode poñer os posuídos mestra de operacións, certas operacións de control de dominio que defenden a dispoñibilidade destas operacións. Os titulares de roles mestres poden verse afectados.
Por exemplo, supoñen que unha organización Crea sitios A, B, C e D. Hai enlaces de sitios entre A e B, entre B e C e entre C e D. A rede de fundición reflicte exactamente a conectividade da rede de ligazóns a sitios. Por exemplo, supoña que unha organización crea sitios A, B, C e D. Ligazóns do sitio existen entre A e B, entre B e C e entre C e D. Rede A conectividade explica exactamente a conectividade da rede das ligazóns dos sitios. Neste exemplo, todos os papeis mestre de operacións sitúanse no sitio A e a opción de vincular todas as ligazóns a sitios non está seleccionado. Neste exemplo, todas as funcións mestras de operacións colócanse no sitio A e a opción de ponte de todas as ligazóns do sitio non está seleccionada .
Aínda que esta configuración produce unha replicación correcta entre todos os sitios, as funcións da función Master Operation teñen as seguintes limitacións: Aínda que esta configuración resulta nunha replicación exitosa entre todos os sitios, as funcións de rol de operacións teñen As seguintes limitacións:
- Os controladores de dominio dos sitios C e D non poden acceder ao emulador de PDC do sitio web para actualizar un contrasinal ou comprobar se o contrasinal foi actualizado recentemente.Domain Controller en Os sitios C e D non poden acceder ao emulador PDC no sitio web para actualizar un contrasinal ou comprobar-lo por contrasinal que foi actualizado recentemente.
- Os controladores de dominio dos sitios C e D non poden acceder ao mestre de libras no sitio web dun para obter un grupo de axuste inicial despois da instalación de Active Directory e actualizar os grupos de libras a medida que escape. Controladores C e D non poden acceder ao Mestre de Rid No sitio a para obter unha piscina de RID inicial despois da instalación de Active Directory e refrescar a Rid Piscinas a medida que se endurecen.
- Os controladores de dominio de sitios C e D non poden engadir ou eliminar as particións do directorio, os DNS ou as aplicacións personalizadas. Os controladores. Os controladores de sitios C e D non poden engadir ou eliminar directorio, DNS ou particións de solicitude personalizadas.
- Os controladores de dominio dos sitios C e D non poden facer cambios nos controladores de esquema. Os controladores en sitios C e D non poden facer cambios de esquema.
Para ver unha folla de cálculo que axudará a planificar a localización dos papeis mestre de operacións, consulte o kit de despregue de operacións de operacións, descargue o kit de implantación de Windows Server 2003, descarga JOB_DIREDS_DESIGNING_AND_DEYLEYING_DIRECTORY_AND_SECURITY_SERVICES.zip e abre a localización do controlador de dominio (DSSTOPO_4 .doc) .Para unha folla de cálculo para axudar no papel Planificación Mestre de operacións de colocación, consulte Job sida para Windows Server Deployment Kit 2003 Descargar Job_Aids_Designing_and_Deploying_Directory_and_Security_Services.zip, e Open controlador de dominio Placement (DSSTOPO_4.DOC).
Terá que consultar esta información ao crear o dominio raíz do bosque e os dominios rexionais.Deberá referirse a esta información cando crea o dominio da raíz do bosque e os dominios rexionais. Para obter máis información sobre a implementación do dominio raíz do bosque, consulte Implementar un dominio raíz do servidor Windows Server 2008.Por Máis información sobre a implantación do dominio da raíz do bosque, consulte a implantación do dominio raíz forestal de Windows Server 2008. Para obter máis información sobre a implementación de dominios rexionais, consulte a implementación dos dominios rexionais rexionais de Windows Server, consulte Dominio Dominio Rexional de Windows Server 2008.
Pode atopar máis información sobre a localización dos roles FSMO do tema de soporte de localización e optimización de FSMO nos controladores de dominio de Active Directory. Información adicional sobre a colocación do rol de FSMO pódese atopar no tema Tema FSMO Colocación e optimización en controladores de dominio de Active Directory