- 08/08/2018
- Temps de lecture: 7 minutes
-
- i
- v
s’applique à: Windows Server 2016, Windows Server 2012 R2, Windows Server 2012Applies à: Windows Server 2016, Windows Server 2012 R2, Windows Server 2012
Les services de domaine Active Directory (AD DS) prend en charge la réplication avec Plusieurs enseignants de données de répertoires, ce qui signifie que tout contrôleur de domaine peut accepter les modifications de répertoire et répliquer les modifications de tous les autres contrôleurs de domaine. Services de domaine Active Directory (AD DS) prend en charge la réplication multimaster des données de répertoire, ce qui signifie que tout contrôleur de domaine peut accepter les modifications et reprogramme de répliquer Les modifications apportées à tous les OPH Er contrôleurs de domaine. Cependant, certaines modifications, telles que les modifications de schéma, ne sont pas pratiques pour un mode multi-maître. Cependant, certaines modifications, telles que les modifications de schéma, sont une imprécise à effectuer de manière multister. Pour cette raison, certains contrôleurs de domaine, connus sous le nom de professeurs d’exploitation, ont des rôles responsables de l’acceptation des demandes de certaines modifications spécifiques. Pour cette raison en tant que maîtrise des opérations, tenez responsable d’accepter les plus réciproques pour certains changements spécifiques.
REMARQUE
Les supports de fonction Master opérationnels doivent pouvoir écrire des informations dans la base de données Active Directory Base de base des détenteurs de rôle Master DOIRE DOIT être en mesure d’écrire des informations sur la base de données Active Directory. En raison de la nature de lecture de la base de données Active Directory dans un contrôleur de domaine en lecture seule (RODC), le RODC ne peut pas agir en tant que propriétaires de la fonction Master Operations.parce de la nature en lecture seule de la base de données Active Directory sur une lecture Seul le contrôleur de domaine (RODC), RODCS ne peut pas agir en tant que titulaires de rôle d’opérations.
dans chaque domaine, il existe trois opérations principales (également appelées opérations de master flexible ou de FSMO): trois Existe dans chaque domaine:
-
L’émulateur de contrôleur de domaine Opérations principales principale (PDC) traite toutes les mises à jour du mot de passe.Le domaine principal. Contrôleur (PDC) Emulator Operations Master traite toutes les mises à jour de mot de passe.
-
Le maître d’opérations ID. Relative (RID) maintient le groupe Global RFD pour le domaine et attribue des groupes de débuts locaux à tous les contrôleurs de domaine afin de garantir que toutes les entités de sécurité créées dans le domaine ont un identifiant unique. Le maître d’opérations de l’ID relatif (RID) stipule la piscine Global Rup pour Domaine et alloue des pools de débris locaux à tous les contrôleurs de domaine afin de garantir que toutes les principales sécurité créées dans le domaine ont un identifiant unique.
-
L’enseignant des opérations d’infrastructure d’un domaine confère Une liste des entités de sécurité d’autres domaines membres de groupes dans leur domaine .Les opérations d’infrastructure Master pour un domaine donné stipule une liste de la sécurité principale d’autres domaines qui sont membres de groupes dans son domaine.
Outre les trois niveaux de domaine des opérations Master, il existe deux opérations principales dans chaque forêt: dans l’addition Ion aux trois rôles de maîtrise des opérations de niveau de domaine, il existe deux opérations principales dans chaque forêt:
- Le maître des opérations de schéma passe des modifications dans le schéma.Le Master des opérations de schéma régit les modifications apportées au schéma.
- Les opérations de nomenclature de domaine Master ajoute et supprime les domaines et autres partitions de répertoires (par exemple, les partitions d’applications du système de noms de domaine (DNS)) dans la forêt et d’entre eux.Le Domain Naming Operations Master ajoute et supprime Domaines et autres partitions de répertoires (par exemple, cloisons d’application du système de noms de domaine (DNS)) vers et vers la forêt.
Placez les contrôleurs de domaine qui hébergeent ces opérations de maîtrise des opérations dans des zones où la fiabilité du réseau est élevée et assurez-vous que l’émulateur PDC et le maître RID sont disponibles de manière cohérente. Les contrôleurs de domaine hébergeant ces opérations principales rôles dans des zones où la fiabilité du réseau est élevée et garantissant que l’émulateur PDC et le Master RDC sont toujours disponibles.
Les supports de fonction maître d’exploitation sont automatiquement attribués lorsque le premier contrôleur de domaine d’un domaine de domaine de domaine de domaine de domaine est attribué automatiquement lorsque le premier contrôleur de domaine dans un domaine donné est créé. Les deux rôles de niveau forestier (enseignant de la professeur de schéma et de la nomenclature de domaine) sont affectés au premier contrôleur de domaine créé dans une forêt.Les deux rôles de niveau forestier (Master Schema Master et Domain Naming Master) sont attribués au premier contrôleur de domaine créé dans une forêt . De plus, les trois rôles de niveau de domaine (maître RID, l’enseignant d’infrastructure et l’émulateur PDC) sont affectés au premier contrôleur de domaine créé dans un domaine. En outre, les trois rôles de niveau de domaine (Master Rid Master, Infrastructure Master et PDC Emulator) Sont attribués au premier contrôleur de domaine créé dans un domaine.
Remarque
Les affectations automatiques du titulaire de rôle de fonctionnement ne sont effectuées que lorsqu’il est créé un nouveau domaine et quand Le propriétaire de la fonction actuelle est dégradé. Les attributions de titulaires de rôle maîtresse des opérations d’automatiques ne sont effectuées que lors de la création d’un nouveau domaine et lorsqu’un titulaire de rôle actuel est rétrogradé. Tous les autres changements de rôle des propriétaires doivent être initiés par un administrateur.Tout d’autres modifications apportées aux propriétaires de rôle doivent être initiées par un administrateur.
Ces affectations automatiques de rôles maîtres d’opérations Ils peuvent causer un très Utilisation élevée du processeur au premier contrôleur de domaine créé dans la forêt ou dans le domaine. Pour éviter cela, attribuer (transfert) les opérations principales des opérations à plusieurs contrôleurs de domaine de votre forêt ou de votre domaine. Pour éviter cela, assignez (transfert) les opérations principales sur divers contrôleurs de domaine dans votre forêt ou votre domaine. Placez les contrôleurs de domaine qui hébergent les rôles principaux des opérations dans les zones où le réseau est fiable et où tous les autres contrôleurs de domaine de la forêt peuvent avoir accès aux enseignants des opérations.Plivrez les contrôleurs de domaine qui accueille des opérations d’exploitation dans des zones où le réseau est fiable et Lorsque les opérations maîtres peuvent être accessibles par tous les autres contrôleurs de domaine de la forêt.
Vous devez également désigner des enseignants d’exploitation (alternative) pour toutes les opérations Master Fonctions. Vous devez également désigner des maîtres d’opérations de veille (alternatives) pour tous Opérations Master Rôles. Les enseignants de l’expulsion sont des contrôleurs de domaine auxquels les rôles principaux d’opération peuvent être transférés au cas où il se produirait dans les titulaires de rôle d’origine .Les maîtres d’opérations de veille sont des contrôleurs de domaine auxquels vous pouvez transférer les rôles principaux des opérations en cas d’échec des titulaires de rôle d’origine. Assurez-vous que les enseignants d’exploitation en veille sont des associés de réplication directe des opérations réelles. Sensure que les maîtres des opérations de veille sont des partenaires de réplication directe des Masters d’opérations actuelles.
Emulateur Planification de PDClanning Emulateur PDC
L’émulateur PDC traite les modifications du mot de passe du client.Le mot de passe du client PDC Emulator Process Note. Seul un contrôleur de domaine agit comme l’émulateur PDC dans chaque domaine de la forêt.One un contrôleur de domaine agit comme l’émulateur PDC dans chaque domaine dans la forêt.
même si tous les contrôleurs de domaine sont mis à jour vers Windows 2000, Windows Server 2003 et Windows Server 2008 et le domaine fonctionne au niveau fonctionnel natif de Windows 2000, l’émulateur PDC reçoit la réplication préférentielle des modifications de mot de passe apportées par d’autres contrôleurs de domaine dans le domaine. Tous les contrôleurs de domaine sont mis à niveau vers Windows 2000. , Windows Server 2003 et Windows Server 2008 et le domaine fonctionne au niveau fonctionnel de Windows 2000, l’émulateur PDC reçoit une réplication préférentielle des modifications de mot de passe effectuées par d’autres contrôleurs de domaine dans le domaine. Si un mot de passe a été modifié récemment, ce changement prend pour reproduire dans tous les contrôleurs de domaine du domaine.Si au mot de passe a été récemment modifié, ce changement prend du temps pour reproduire à chaque contrôleur de domaine dans le domaine. Si une erreur d’authentification de connexion se produit dans un autre contrôleur de domaine en raison d’un mot de passe incorrect, le contrôleur de domaine transfère la demande d’authentification à l’émulateur PDC avant de décider d’accepter ou de rejeter une tentative de connexion.Si l’authentification de connexion échoue sur un autre contrôleur de domaine en raison d’un mot de passe mauvais, ce contrôleur de domaine transfère la demande d’authentification à l’émulateur PDC avant de décider d’accepter ou de rejeter la tentative de connexion.
Placez l’émulateur PDC dans un endroit qui contient un grand nombre d’utilisateurs de ce domaine pour les opérations de transfert de mot de passe, si nécessaire .Place l’émulateur PDC dans un lieu contenant un grand nombre d’utilisateurs à partir de ce domaine pour les opérations de transfert de mot de passe si nécessaire. En outre, assurez-vous que l’emplacement est bien connecté à d’autres emplacements pour réduire la réplication la latence.in addition, assurez-vous que l’emplacement est bien connecté à d’autres emplacements afin de minimiser la latence de réplication.
dans le cas d’une feuille de calcul que Vous aide à documenter des informations sur l’endroit où vous envisagez de placer des émulateurs PDC et du nombre d’utilisateurs de chaque domaine représenté à chaque emplacement, voir le support technique du kit de déploiement Windows Server 2003, téléchargez job_aids_designing_and_deploying_directory_and_security_services.zip et ouvre l’emplacement du domaine. Contrôleur (dsstopo_4.doc) .Pour une feuille de calcul Pour vous aider à documenter les informations sur l’emplacement où vous envisagez de placer les émulateurs de PDC et que le nombre d’utilisateurs de chaque domaine représente Voir les aides à la tâche pour le kit de déploiement de Windows Server 2003, téléchargez job_aids_designing_and_deploying_directory_and_security_services.LIP et contrôle de domaine ouvert LR Placement (dstopo_4.doc).
Vous devez vérifier les informations sur les emplacements dont vous avez besoin pour placer des émulateurs de PDC lors de la mise en œuvre de domaines régionaux. Vous devez vous reporter aux informations sur les emplacements dans lesquels vous devez placer PDC. Émulateurs lorsque vous déployez des domaines régionaux. Pour plus d’informations sur la mise en œuvre des domaines régionaux, voir la mise en œuvre des domaines de domaines régionaux de Windows Server, voir Déploiement de domaines régionaux de Windows Server 2008.
Conditions requises pour le placement de l’infrastructure Master Placement du placement principal de l’infrastructure
L’enseignant d’infrastructure met à jour les noms des entités de sécurité d’autres domaines ajoutés aux groupes de votre propre domaine .Le maître d’infrastructure met à jour les noms de la sécurité principale des autres domaines qui sont ajoutés aux groupes dans son propre domaine. Par exemple, si un utilisateur d’un domaine est membre d’un groupe dans un deuxième domaine et que le nom de l’utilisateur est modifié dans le premier domaine, le deuxième domaine ne recevra pas de notification que le nom de l’utilisateur doit être mis à jour dans les membres. Liste du groupe. Liste Étant donné que les contrôleurs de domaine d’un domaine ne répliquent pas les entités de sécurité dans les autres contrôleurs de domaine de domaine, le deuxième domaine n’est jamais au courant de la modification de l’absence du maître d’infrastructure. Parce que les contrôleurs de domaine dans un domaine ne reproduisent pas la sécurité aux contrôleurs de domaine. Dans un autre domaine, le deuxième domaine ne prend jamais conscience de la modification de l’absence du maître d’infrastructure.
L’enseignant d’infrastructure surveille en permanence l’adhésion au groupe, à la recherche d’entités de sécurité d’autres domaines. L’infrastructure maître constamment surveille le groupe Adhésions, à la recherche de la sécurité principale d’autres domaines. Si vous en trouvez un, cochez le domaine de l’entité de sécurité pour vérifier que les informations sont mises à jour.Si en trouve un, il vérifie avec le domaine de la principale de sécurité pour vérifier que les informations sont mises à jour. Si les informations ne sont pas mises à jour, l’enseignant d’infrastructure effectue la mise à jour, puis reproduit la modification des autres contrôleurs de domaine de votre domaine.Si Les informations sont obsolètes, le maître d’infrastructure effectue la mise à jour, puis reproduit la modification de l’autre. Les contrôleurs de domaine dans son domaine.
Deux exceptions s’appliquent à cette règle.TWO Des exceptions s’appliquent à cette règle. Premièrement, si tous les contrôleurs de domaine sont des serveurs de catalogue globaux, le contrôleur de domaine hébergeant le rôle principal d’infrastructure est insignifiant, car les catalogues globaux reproduisent les informations mises à jour, quel que soit le domaine auquel ils appartiennent. Tous les contrôleurs de domaine sont des serveurs de catalogue globaux, le Contrôleur de domaine qui héberge que le rôle principal d’infrastructure est insignifiant, car les catalogues globaux reproduisent les informations mises à jour, quel que soit le domaine auquel ils appartiennent.Deuxièmement, si la forêt n’a qu’un domaine, le contrôleur de domaine hébergeant le rôle principal de l’infrastructure est insignifiant, car les entités de sécurité d’autres domaines n’existent pas. Seconde, si la forêt n’a qu’un seul domaine, le contrôleur de domaine héberge le rôle principal de l’infrastructure Est insignifiant parce que la sécurité principale d’autres domaines n’existe pas.
ne placez pas le maître d’infrastructure dans un contrôleur de domaine qui est également global.Ne ne placez pas le maître de serveur de catalogue d’infrastructure sur un contrôleur de domaine qui est également Un serveur de catalogue global. Si l’enseignant de l’infrastructure et le catalogue global sont dans le même contrôleur de domaine, l’enseignant d’infrastructure ne fonctionnera pas.Si le maître d’infrastructure et le catalogue global sur le même contrôleur de domaine, le maître d’infrastructure ne fonctionnera pas. L’enseignant d’infrastructure ne cherchera jamais de données non mises à jour; Par conséquent, il ne répliquera jamais de changement dans les autres contrôleurs de domaine du domaine .Le maître d’infrastructure ne trouvera jamais de données obsolètes; Par conséquent, il ne répliquera jamais de modifications apportées aux autres contrôleurs de domaine du domaine.
Emplacement de l’enseignant des opérations pour réseaux avec placement maître de connectivité limitée pour les réseaux avec une connectivité limitée
a en compte que si votre environnement dispose d’un emplacement central ou d’un site de concentrateur dans lequel vous pouvez placer les supports de la fonction Master d’opération, certaines opérations de contrôleur de domaine qui dépendent de la disponibilité des détenteurs de la fonction Master Operations. Sonnez au courant que si votre environnement fait Avoir un emplacement central ou un site de moyeu dans lequel vous pouvez placer des titulaires de rôle d’opérations, certaines opérations de contrôleur de domaine qui se défendent sur la disponibilité de ces opérations de rôle de rôle de rôle pourraient être affectées.
Par exemple, supposons qu’une organisation Crée des sites A, B, C et D. Il existe des liens de site entre A et B, entre B et C et entre C et D. La castivité du réseau reflète exactement la connectivité réseau des liens vers des sites.Pour, supposons qu’une organisation crée des sites A, B, C et D. des liens de site existe entre A et B, entre B et C, et entre C et D. Network La connectivité reflète exactement la connectivité réseau des liens de sites. Dans cet exemple, toutes les opérations principales rôles sont placées sur le site A et l’option de lier tous les liens vers des sites ne sont pas sélectionnées. Dans cet exemple, toutes les opérations Les rôles principaux sont placés sur site A et l’option pour combler tous les liens de site n’est pas sélectionné. .
Bien que cette configuration produit une réplication correcte entre tous les sites, les fonctions de la fonction de fonctionnement maître ont les limitations suivantes: bien que cette configuration entraîne une réplication réussie entre tous les sites, les fonctions de rôle des opérations ont Les limitions suivantes:
- Les contrôleurs de domaine des sites C et D ne peuvent pas accéder à l’émulateur PDC du site A pour mettre à jour un mot de passe ou pour vérifier si le mot de passe a été mis à jour récemment.Domain. Les sites C et D ne peuvent pas accéder à l’émulateur PDC sur le site A pour mettre à jour un mot de passe ou pour le vérifier pour le mot de passe récemment mis à jour.
- Les contrôleurs de domaine des sites C et D ne peuvent pas accéder au maître RID sur le site A pour obtenir un groupe RID initial après l’installation Active Directory et pour mettre à jour les groupes RID en tant que contrôleurs d’échappement.Domain dans les sites. C et D ne peuvent pas accéder au Master RID sur le site A pour obtenir une piscine initiale de débutant après l’installation Active Directory et pour rafraîchir les bassins débutants à mesure qu’ils deviennent déplaisés.
- Les contrôleurs de domaine des sites C et D ne peuvent pas ajouter ou supprimer des partitions de répertoires, des DNS ou des applications personnalisées.Domain sur les sites C et D ne peuvent pas ajouter ou supprimer des partitions d’application, DNS ou personnalisés.
- Les contrôleurs de domaine des sites C et D ne peuvent pas modifier les contrôleurs Schema.Domain dans les sites C et D ne peuvent pas faire de changements de schéma.
Pour voir une feuille de calcul qui vous aidera à planifier l’emplacement des rôles principaux des opérations, voir le kit de déploiement de Windows Server 2003, télécharger job_ids_designing_and_deploying_directory_and_security_services.zip et ouvre l’emplacement du contrôleur de domaine (DSSTOPO_4 .Doc) Vous devrez consulter ces informations lors de la création du domaine racine des domaines forestiers et régionaux.Vous devrez faire référence à ces informations lorsque vous créez le domaine de la racine forestière et les domaines régionaux. Pour plus d’informations sur la mise en œuvre du domaine de la racine forestière, voir Mettre en place un domaine root Forest Windows Server 2008.Pour Plus d’informations sur le déploiement du domaine Root forestier, voir Déploiement du déploiement sur le domaine de la racine forestière de Windows Server 2008. Pour plus d’informations sur la mise en œuvre des domaines régionaux, voir la mise en œuvre des domaines régionaux des domaines régionaux de Windows Server, voir Déploiement de domaines régionaux de Windows Server 2008.
Vous pouvez trouver plus d’informations sur l’emplacement des rôles de la FSMO dans le sujet. Optimisation de l’emplacement et optimisation de la FSMO dans les contrôleurs de domaine de domaine Active Directory. Informations publitionnelles sur FSMO Le placement des rôles de FSMO se trouve dans la rubrique support FSMO Placement et optimisation sur les contrôleurs de domaine Active Directory