- 08/08/2018
- Tempo di lettura: 7 minuti
-
-
i -
o -
v
-
si applica a: Windows Server 2016, Windows Server 2012 R2, Windows Server 2012Applies a: Windows Server 2016, Windows Server 2012 R2, Windows Server 2012
Active Directory Domain Services (AD DS) supporta la replica con la replica con Diversi insegnanti di dati di directory, il che significa che qualsiasi controller di dominio può accettare le modifiche alla directory e replicare le modifiche in tutti gli altri controller di dominio. Active Directory Domain Services (AD DS) supporta la replicazione multimastro dei dati della directory, il che significa che qualsiasi controller di dominio può accettare le modifiche e la replica della directory Le modifiche a tutti gli OPH Controller di dominio er. Tuttavia, alcune modifiche, come le modifiche dello schema, non sono pratiche per una modalità multi-master. Tuttavia, alcune modifiche, come le modifiche allo schema, sono l’impacticce da eseguire in un multistrato di moda. Per questo motivo, alcuni controller di dominio, noti come insegnanti operativi, hanno ruoli incaricati di accettare le richieste di determinate modifiche specifiche. Per questo motivo dei master di operazioni, ritenersi responsabili di accettare più anticamente per determinati modifiche specifiche.
NOTA
I titolari di funzionamento del master operano dovrebbero essere in grado di scrivere informazioni nel database di Active Directory. I titolari di ruoli del master devono essere in grado di scrivere alcune informazioni al database di Active Directory. A causa della natura di lettura del database di Active Directory in un controller di dominio di sola lettura (RODC), il RODC non può fungere da proprietari della funzione master Operations.Perché della natura di sola lettura del database di Active Directory su una lettura Solo controller di dominio (RODC), RODCS non è in grado di agire come operazioni I titolari di ruolo master.
In ogni dominio ci sono tre ruoli master di operazioni (noto anche come operazioni di singolo master flessibile o FSMO): tre Ruoli master di operazioni (noti anche come operazioni di master flessibili singole o FSMO) esistono in ogni dominio:
-
The Domain Controller Emulator Operations Master Main (PDC) elabora tutti gli aggiornamenti della password.Il dominio primario Controller (PDC) operazioni emulator master processano tutti gli aggiornamenti della password.
-
The ID Operations Master. Relativo (RID) mantiene il Global Rad Group per il dominio e assegna gruppi RID locali a tutti i controller di dominio per garantire che tutte le entità di sicurezza create nel dominio abbiano un identificatore univoco. L’ID relativo (RID) Operations Master risalirà il Global Rid Piscina per Il dominio e assegna le piscine locali di sconfort locali a tutti i controller di dominio per garantire che tutte le protezioni principali di sicurezza creato nel dominio abbiano un identificativo univoco.
-
L’insegnante di operazioni di infrastruttura di un determinato dominio mantiene il dominio Un elenco delle entità di sicurezza di altri domini che sono membri di gruppi all’interno del loro dominio. Il master delle operazioni dell’infrastruttura per un determinato dominio si limita un elenco della principale sicurezza da altri domini che sono membri di gruppi all’interno del suo dominio.
Oltre ai tre livelli di dominio del master di operazioni, ci sono due ruoli master di operazioni in ciascuna foresta: in Adit ION ai tre ruoli master a livello di dominio, due ruoli master di operazioni esistono in ogni foresta:
- Il master operazioni dello schema va a modifiche allo schema. Le operazioni dello schema master governano le modifiche allo schema.
- Il master di Domain Nomenclature Operations aggiunge e rimuove domini e altre partizioni di directory (ad esempio, le partizioni dell’applicazione del Domain Name System (DNS)) nella foresta e da esso. Il master Domining Dining Operations aggiunge e rimuove Domini e altre partizioni di directory (ad esempio, partizioni dell’applicazione del sistema nome dominio (DNS) da e verso la foresta.
Posizionare i controller di dominio che ospitano queste funzioni master di operazioni in aree in cui l’affidabilità della rete è alta e assicurarsi che l’emulatore PDC e il Master RID sono disponibili in modo coerente. PLACE I controller di dominio che ospitano questi ruoli master di operazioni in aree in cui l’affidabilità della rete è elevata e assicurarsi che l’emulatore PDC e il Master RID siano costantemente disponibili.
I titolari di funzionamento del master operano vengono assegnati automaticamente quando il primo controller di dominio di un determinato dominio I supporti del ruolo principale sono assegnati automaticamente quando viene creato il primo controller di dominio in un determinato dominio. I due ruoli di livello forestale (insegnante di insegnante di schema e insegnante di nomenclatura del dominio) sono assegnati al primo controller di dominio creato in una foresta. I due ruoli di livello forestale (master di schema e master del dominio master) sono assegnati al primo controller di dominio creato in una foresta . Inoltre, i tre ruoli di livello di dominio (Master RID, l’emulatore dell’insegnamento dell’infrastruttura e del PDC) sono assegnati al primo controller di dominio creato in un dominio .in Aggiunta, i tre ruoli di livello di dominio (RID master, Master Infrastructure e PDC Emulator) Sono assegnati al primo controller di dominio creato in un dominio.
Nota
Assegnazioni automatiche del titolare del ruolo principale dell’operazione vengono eseguite solo quando viene creato un nuovo dominio e quando Il proprietario della funzione corrente è degradato. Le operazioni .Automation Automation Titolare i titolari sono effettuati solo quando viene creato un nuovo dominio e quando un titolare del ruolo corrente viene demotato. Tutte le altre variazioni dei proprietari dei ruoli devono essere avviate da un amministratore. Tutte le altre modifiche ai proprietari dei ruoli devono essere avviate da un amministratore.
Queste assegnazioni automatiche dei ruoli master possono causare molto Uso elevato della CPU nel primo controller di dominio creato nella foresta o nel dominio. Per evitare questo, assegnare (trasferimento) operazioni ruoli master a diversi controller di dominio della tua foresta o dominio. Per evitare questo, assegnare (trasferimento) ruoli master a vari controller di dominio nella foresta o nel dominio. Posizionare i controller di dominio che ospitano i ruoli master di operazioni in aree in cui la rete è affidabile e in cui tutti gli altri controller di dominio della foresta possono avere accesso agli insegnanti di operazioni. Posizionare i controller di dominio che operano i ruoli master in aree in cui la rete è affidabile e Dove i maestri delle operazioni possono essere accessibili da tutti gli altri controller di dominio nella foresta.
Devi inoltre designare gli insegnanti operativi (alternativi) per tutte le funzioni master di operazioni. Dovresti anche designare maestri di operazioni standby (alternativi) per tutti Operazioni ruoli master. Gli insegnanti delle operazioni di EXPEMPING sono controller di dominio a cui possono essere trasferiti i ruoli master di funzionamento nel caso in cui si verifichi nei titolari di ruoli originali. I maestri delle operazioni di standby sono controller di dominio a cui è possibile trasferire i ruoli master di operazioni nel caso in cui i titolari dei ruoli originali falliscano. Assicurati che gli insegnanti operativi in standby siano associati di replicazione diretta da operazioni di replica diretta da operazioni reali. Sensura che i maestri delle operazioni di standby siano partner di replica diretti dei maestri delle operazioni correnti.
Pianificazione della posizione dell’emulatore da PDClanning The PDC Emulator Placement
L’emulatore PDC elabora le modifiche della password del client.Le modifiche alla password del client del processo Emulator PDC. Solo un controller di dominio funge da emulatore PDC in ciascun dominio della foresta. Un controller di dominio un controller di dominio agisce come emulatore PDC in ciascun dominio nella foresta.
Anche se tutti i controller di dominio vengono aggiornati a Windows 2000, Windows Server 2003 e Windows Server 2008 e il dominio è in esecuzione a livello funzionale nativo di Windows 2000, l’emulatore PDC riceve la replica preferenziale delle modifiche della password effettuate da altri controller di dominio nel dominio. Tutti i controller di dominio sono aggiornati a Windows 2000 , Windows Server 2003 e Windows Server 2008 e il dominio funziona a livello funzionale nativo di Windows 2000, l’emulatore PDC riceve la replicazione preferenziale delle modifiche della password eseguite da altri controller di dominio nel dominio. Se una password è stata modificata di recente, questa modifica richiede per replicare in tutti i controller di dominio del dominio. Se si verifica un errore di autenticazione di accesso in un altro controller di dominio a causa di una password errata, il controller di dominio inoltra la richiesta di autenticazione all’emulatore PDC prima di decidere se accettare o rifiutare il tentativo di accedere.Se l’autenticazione di accesso non riesce in un altro controller di dominio a causa di una password cattiva, quel controller di dominio inoltra la richiesta di autenticazione all’emulatore PDC prima di decidere se accettare o rifiutare il tentativo di accesso.
Posizionare l’emulatore PDC in una posizione che contiene un gran numero di utenti di quel dominio per le operazioni di inoltro della password, se necessario. Posizionare l’emulatore PDC in una posizione che contiene il numero elevato di utenti da quel dominio per le operazioni di inoltro della password, se necessario. Inoltre, assicurarsi che la posizione sia ben collegata ad altre posizioni per ridurre la latenza di replica. Indizionata, assicurarsi che la posizione sia ben collegata ad altre posizioni per ridurre al minimo la latenza della replica.
nel caso di un foglio di calcolo Aiuta a documentare le informazioni su dove si prevede di posizionare gli emulatori PDC e il numero di utenti per ciascun dominio rappresentato in ciascuna posizione, consultare il supporto del lavoro per il kit di distribuzione di Windows Server 2003, download job_aids_designing_and_deploy_Directory_and_security_services.zip e apri la posizione del dominio Controller (DSSTOPO_4.doc). Per un foglio di lavoro per assistervi nella documentazione delle informazioni su dove si prevede di posizionare gli emulatori PDC e il numero di utenti per ciascun dominio che rappresenta vedi aiuti di lavoro per il kit di distribuzione di Windows Server 2003, download job_aids_designing_and_deploy_drectices.zip_ecurity_services.zip e controllo del dominio aperto Posizionamento LR (DSSTOPO_4.doc).
Dovresti controllare le informazioni sulle posizioni necessarie per posizionare gli emulatori PDC quando implementano domini regionali. È necessario fare riferimento alle informazioni sulle posizioni in cui è necessario effettuare PDC Emulatori quando si distribuisce domini regionali. Per ulteriori informazioni sull’attuazione dei domini regionali, vedere l’implementazione dei domini Domini regionali di Windows Server Domini, vedere Distribuzione dei domini regionali di Windows Server 2008.
Requisiti per il posizionamento del posizionamento master infrastrutturale per il posizionamento master infrastructure
L’insegnante di infrastrutture aggiorna i nomi delle entità di sicurezza di altri domini che vengono aggiunti ai gruppi del proprio dominio. Il master dell’infrastruttura aggiorna i nomi della sicurezza principale da altri domini aggiunti a gruppi nel proprio dominio. Ad esempio, se un utente di un dominio è un membro di un gruppo in un secondo dominio e il nome dell’utente viene modificato nel primo dominio, il secondo dominio non riceverà una notifica che il nome dell’utente deve essere aggiornato nei membri Elenco dei gruppi. Elenco Poiché i controller di dominio di un dominio non replicano le entità di sicurezza negli altri controller di dominio del dominio, il secondo dominio non è mai a conoscenza della modifica dell’assenza del master dell’infrastruttura. Poiché i controller di dominio in un dominio non replicano la sicurezza ai controller di dominio In un altro dominio, il secondo dominio non diventa mai a conoscenza del cambiamento in assenza del master dell’infrastruttura.
L’insegnante di infrastruttura monitora costantemente l’iscrizione al gruppo, alla ricerca di entità di sicurezza di altri domini. Il Maestro dell’infrastruttura monitora costantemente il Gruppo Iscrizione, in cerca di sicurezza principale da altri domini. Se ne trovi uno, controlla il dominio dell’entità di sicurezza per verificare che le informazioni vengano aggiornate. Se ne trova uno, controlla con il dominio della Security Main per verificare che le informazioni siano aggiornate. Se le informazioni non vengono aggiornate, l’insegnante di infrastruttura esegue l’aggiornamento, quindi replica la modifica degli altri controller di dominio del tuo dominio. Se le informazioni non sono aggiornate, il master infrastruttura esegue l’aggiornamento e quindi replica la modifica all’altra Controller di dominio nel suo dominio.
Due eccezioni si applicano a questa regola.Two Eccezioni si applicano a questa regola. Innanzitutto, se tutti i controller di dominio sono server di catalogo globali, il controller di dominio che ospita il ruolo del master dell’infrastruttura è insignificante, dal momento che i cataloghi globali replicano le informazioni aggiornate indipendentemente dal dominio a cui appartengono. Primo, se tutti i controller di dominio sono i server di catalogo globali, il Il controller di dominio che ospita il ruolo del master dell’infrastruttura è insignificante perché i cataloghi globali replicano le informazioni aggiornate indipendentemente dal dominio a cui appartengono.In secondo luogo, se la foresta ha un dominio, il controller di dominio che ospita il ruolo del master dell’infrastruttura è insignificante perché le entità di sicurezza di altri domini non esistono.secondo, se la foresta ha un solo dominio, il controller di dominio che ospita il ruolo del master dell’infrastruttura È insignificante perché la sicurezza principale da altri domini non esiste.
Non posizionare il master infrastruttura in un controller di dominio anche a global.do non posizionare anche il master del catalogo dell’infrastruttura su un controller di dominio che è anche Un server di catalogo globale. Se l’insegnante di infrastruttura e il catalogo globale sono nello stesso controller di dominio, l’insegnante dell’infrastruttura non funzionerà. Se il master di infrastruttura e il catalogo globale sono sullo stesso controller di dominio, il master dell’infrastruttura non funziona. L’insegnante di infrastrutture non cercherà mai dati che non è aggiornato; Pertanto, non replicherà mai alcuna modifica degli altri controller di dominio del dominio. Il master dell’infrastruttura non troverà mai dati che non è aggiornato; Pertanto, non replicherà mai alcuna modifica agli altri controller di dominio nel dominio.
Ubicazione degli insegnanti di operazioni per reti con connettività limitata Posizionamento master per reti con connettività limitata
In conto che se il tuo ambiente ha una posizione centrale o un sito concentratore in cui è possibile posizionare i titolari della funzione master di funzionamento, determinate operazioni del controller di dominio che dipendono dalla disponibilità dei titolari della funzione Master Operations.be consapevole che se il tuo ambiente lo fa Avere una posizione centrale o un sito hub in cui è possibile posizionare i titolari di ruoli master di operazioni, alcune operazioni del controller di dominio che difendono dalla disponibilità di tali supporti del ruolo principale di operazioni potrebbero essere influenzati.
Ad esempio, supponiamo che un’organizzazione Crea siti A, B, C e D. Ci sono collegamenti del sito tra A e B, tra B e C, e tra C e D. La castieida della rete riflette esattamente la connettività di rete dei collegamenti ai siti. Per esempio, supponiamo che un’organizzazione crea i siti A, B, C, e D. I link del sito esistono tra A e B, tra B e C e tra C e D. Rete La connettività rispecchia esattamente la connettività di rete dei collegamenti dei siti. In questo esempio, tutti i ruoli master di operazioni sono posizionati sul sito A e l’opzione per collegare tutti i collegamenti ai siti non è selezionato. In questo esempio, tutti i ruoli master Operations sono posizionati nel sito A e l’opzione per bridge tutto il sito non è selezionato .
Sebbene questa configurazione produca una corretta replica tra tutti i siti, le funzioni della funzione master di funzionamento hanno le seguenti limitazioni: Sebbene questa configurazione si traducisse in replica di successo tra tutti i siti, le funzioni del ruolo principale delle operazioni Le seguenti limitizioni:
- I controller di dominio dei siti C e D non possono accedere all’emulatore PDC del sito A per aggiornare una password o per verificare se la password è stata aggiornata di recente.domain Controller in Siti C e D non possono accedere all’emulatore PDC nel sito A per aggiornare una password o per controllarlo per la password che è stata recentemente aggiornata.
- I controller di dominio dei siti C e D non possono accedere al Master RID sul sito A per ottenere un gruppo di sconforto iniziale dopo l’installazione di Active Directory e aggiornare i gruppi RID mentre si esaurisce.
- Siti I controller di dominio C e D non possono aggiungere o rimuovere partizioni di directory, DNS o applicazioni personalizzate. I controller di dominio nei siti C e D non possono aggiungere o rimuovere le partizioni Directory, DNS o personalizzate.
- I controller di dominio dei siti C e D non possono apportare modifiche nei controller Schema.Domain nei siti C e D non possono fare modifiche allo schema.
Per visualizzare un foglio di calcolo che ti aiuterà a pianificare la posizione dei ruoli master di operazioni, consultare il kit di distribuzione di Windows Server 2003, scaricare Job_aids_Designing_and_deploying_directory_and_security_services.zip e aprire la posizione del controller di dominio (DSSTOPO_4 .Doc). Per un foglio di lavoro per assisterti nel posizionamento delle operazioni di pianificazione Posizionamento dei ruoli, vedere Ausili di lavoro per il kit di distribuzione di Windows Server 2003, download job_aids_designing_and_deploying_directory_and_security_services.zip e posizionamento del controller di dominio aperto (dssopo_4.doc).
Dovrai consultare queste informazioni quando crei il dominio root dei domini forestali e regionali.Dovrai fare riferimento a queste informazioni quando crei il dominio della root forestale e i domini regionali. Per ulteriori informazioni sull’attuazione del dominio della root della foresta, vedere Implementare un dominio della root della foresta di Windows Server 2008.Per ulteriori informazioni sulla distribuzione del dominio della root forestale, vedere Distribuzione di distribuzione sul dominio della root Forest Windows Server 2008. Per ulteriori informazioni sull’attuazione dei domini regionali, vedere l’implementazione dei domini regionali di domini regionali di Windows Server, consultare Distribuzione di domini regionali di Windows Server 2008.
È possibile trovare ulteriori informazioni sulla posizione dei ruoli FSMO nell’argomento del supporto di posizione e dell’ottimizzazione FSMO nei controller di dominio di Active Directory. Le informazioni aggiuntive sul posizionamento del ruolo FSMO possono essere trovate nell’argomento del supporto Posizionamento e dell’ottimizzazione del tema del supporto sui controller di dominio di Active Directory