Planeje a operação das operações de operações de operações de operações mestre de operações

  • 08/08/2018
  • tempo de leitura: 7 minutos
    • I
    • ou

v

aplica-se a: Windows Server 2016, Windows Server 2012 R2, Windows Server 2012Plies para: Windows Server 2016, Windows Server 2012 R2, Windows Server 2012

AD DS) Suporta replicação com vários professores de dados de diretório, o que significa que qualquer controlador de domínio pode aceitar alterações de diretório e replicar alterações em todos os outros controladores de domínio. Os serviços de domínio do Active Directory suportam replicação multimás de dados de diretório, o que significa que qualquer controlador de domínio pode aceitar alterações de diretório e replicar As mudanças em todos os oph Controladores de domínio er. No entanto, algumas alterações, como modificações de esquema, não são práticas para um modo mestre multi-mestre. No entanto, certas mudanças, como modificações de esquema, são impratícias para executar em uma moda múltipla. Por esse motivo, determinados controladores de domínio, conhecidos como professores de operação, têm papéis responsáveis por aceitar solicitações de certas mudanças específicas. Para essa razão como mestres de operações, se responsabiliza por aceitar realestes para certas alterações específicas.

Nota

Os titulares de função de mestre de operação devem ser capazes de gravar informações no banco de dados do Active Directory. Proporcionários mestres de operações devem ser capazes de escrever algumas informações para o banco de dados do Active Directory. Devido à natureza de leitura do banco de dados do Active Directory em um controlador de domínio somente leitura (RODC), o RODC não pode atuar como proprietários da função mestre de operações. Porque a natureza somente leitura do banco de dados do Active Directory em uma leitura Apenas o controlador de domínio (RODC), o RODCS não pode atuar como titulares de função de operações mestres.

Em cada domínio Existem três funções mestres de operações (também conhecidas como operações de mestre flexível ou fsmo único): três As funções mestras de operações (também conhecidas como operações mestres flexíveis ou FSMO) existem em cada domínio:

  • O emulador do controlador de domínio Operações do emulador principal principal (PDC) processa todas as atualizações de senha. O domínio principal Controlador (PDC) Operações do Emulador Mestre processa todas as atualizações de senha.

  • O Mestre de Operações de ID. Relativa (RID) mantém o Grupo Global RID para o domínio e atribui grupos locais livres a todos os controladores de domínio para garantir que todas as entidades de segurança criadas no domínio tenham um identificador exclusivo. O identificação relativa (RID) Operations Master mintins o pool global para O domínio e aloca os pools locais RIDs para todos os controladores de domínio para garantir que toda a segurança criada criada no domínio tenha um identificador exclusivo.

  • O professor de operações de infraestrutura de um determinado domínio mantém Uma lista das entidades de segurança de outros domínios que são membros de grupos dentro de seu domínio. O mestre de operações de infraestrutura para um determinado domínio mentains uma lista da principal segurança de outros domínios que são membros de grupos dentro de seu domínio.

Além do nível de domínio do mestre de operações, há duas funções mestres de operações em cada floresta: em addit Íons para os três funções mestres de operações de nível de domínio, existem dois papéis mestre de operações em cada floresta:

  • O mestre de operações de esquema vai mudanças no esquema.O mestre de operações de esquema rege alterações no esquema.
  • O mestre de operações de nomenclatura de domínio adiciona e remove domínios e outras partições de diretório (por exemplo, partições de aplicativos do sistema de nomes de domínio (DNS)) na floresta e dele. O mestre de operações de nomeação de domínio adiciona e remove Domínios e outras partições de diretório (por exemplo, divisórias de aplicativos do sistema de nome de domínio (DNS)) de e para a floresta.

Coloque os controladores de domínio que hospedam essas funções mestras de operações em áreas onde a confiabilidade da rede é alta e certifique-se de que o emulador do PDC e o Mestre RID estejam disponíveis de forma coerente. Os controladores de domínio hospedando essas funções mestres de operações em áreas onde a confiabilidade da rede é alta e garanta que o emulador PDC e o Mestre RID estejam disponíveis consistentemente.

Os titulares de funcionamento mestre são atribuídos automaticamente quando o primeiro controlador de domínio de um determinado titulares de função de operações do domínio são atribuídos automaticamente quando o primeiro controlador de domínio em um determinado domínio é criado. As duas funções de nível florestal (professor de esquema e professor de nomenclatura de domínio) são atribuídos ao primeiro controlador de domínio criado em uma floresta.As duas funções de nível florestal (mestre de mestrado e domínio do esquema) são atribuídos ao primeiro controlador de domínio criado em uma floresta . Além disso, os três funções de nível de domínio (MASTER RID, professor de infraestrutura e emulador de PDC) são atribuídos ao primeiro controlador de domínio criado em um domínio. Além disso, as três funções de nível de domínio (Mestre RID, Mestre de Infraestrutura e Emulador PDC) São atribuídos ao primeiro controlador de domínio criado em um domínio.

Atribuições automáticas da operação O suporte do mestre só é feito quando é criado um novo domínio e quando O proprietário da função atual é degradado. As operações automáticas Os trabalhos de suporte de função de operações são feitos apenas quando um novo domínio é criado e quando um suporte atual é rebaixado. Todas as outras alterações nos proprietários de funções devem ser iniciadas por um administrador. Todas as outras alterações nos proprietários de funções devem ser iniciadas por um administrador.

Estas atribuições automáticas de funções mestres de operações que podem causar muito Alto uso da CPU no primeiro controlador de domínio criado na floresta ou no domínio. Para evitar isso, atribuir funções mestres de operações (transferência) para vários controladores de domínio de sua floresta ou domínio. Para evitar isso, atribuir (transferência) operações mestres de operações para vários controladores de domínio em sua floresta ou domínio. Coloque os controladores de domínio que hospedam as funções mestres de operações em áreas onde a rede é confiável e onde todos os outros controladores de domínio da floresta podem ter acesso a professores de operações.Place os controladores de domínio que hospedam funções mestres de operações em áreas onde a rede é confiável e Onde os mestres de operações podem ser acessados por todos os outros controladores de domínio na floresta.

Você também deve designar professores de operação (alternativa) para todas as funções mestras de operações. Você também deve designar mestres de operações de espera (alternativa) para todos os Papéis mestres de operações. Os professores de operações de expulsão são controladores de domínio para os quais as funções mestres de operação podem ser transferidas caso ocorra nos titulares de função originais. Os mestres de operações de espera são controladores de domínio para os quais você pode transferir as funções mestre de operações caso os titulares originais falhem. Certifique-se de que os professores de funcionamento em espera são associados de replicação direta de operações reais. Sensure que os mestres de operações de espera são parceiros de replicação direta dos principais mestres de operações.

Planejamento do emulador de PDCLANNING A colocação do emulador do PDC

O emulador PDC processa alterações de senha do cliente. A senha do cliente do emulador de PDC altera. Apenas um controlador de domínio atua como o emulador do PDC em cada domínio da floresta. O controlador de domínio atua como o emulador de PDC em cada domínio na floresta.

Mesmo que todos os controladores de domínio forem atualizados no Windows 2000, O Windows Server 2003 e o Windows Server 2008, e o domínio está sendo executado no nível funcional nativo do Windows 2000, o emulador PDC recebe a replicação preferencial das alterações de senha feitas por outros controladores de domínio no domínio. Todos os controladores de domínio são atualizados para o Windows 2000 , O Windows Server 2003 e o Windows Server 2008, e o domínio está operando no Nível Funcional Nativo do Windows 2000, o emulador do PDC recebe replicação preferencial de alterações de senha executadas por outros controladores de domínio no domínio. Se uma senha tiver sido alterada recentemente, essa alteração leva para replicar em todos os controladores de domínio do domínio. Se a senha foi alterada recentemente, essa alteração leva tempo para replicar em todos os controladores de domínio no domínio. Se ocorrer um erro de autenticação de login em outro controlador de domínio devido a uma senha incorreta, o controlador de domínio encaminha a solicitação de autenticação para o emulador de PDC antes de decidir se deve aceitar ou rejeitar tentativa de login.Se a autenticação de logon falhar em outro controlador de domínio devido a uma senha ruim, esse controlador de domínio encaminha a solicitação de autenticação para o emulador do PDC antes de decidir se deseja aceitar ou rejeitar a tentativa de logon.

Coloque o emulador PDC em um local Isso contém um grande número de usuários desse domínio para operações de encaminhamento de senha, se necessário. Place o emulador PDC em um local que contenha para um grande número de usuários desse domínio para operações de encaminhamento de senha, se necessário. Além disso, certifique-se de que a localização está bem conectada a outros locais para reduzir a replicação de latência. Além disso, verifique se o local está bem conectado a outros locais para minimizar a latência de replicação.

No caso de uma planilha que Ajuda a documentar informações sobre onde você planeja colocar emuladores de PDC e o número de usuários para cada domínio que é representado em cada local, consulte o suporte do trabalho para o kit de implantação do Windows Server 2003, baixar Job_End_Designing_and_andlying_directory_and_security_services.zip e abra a localização do domínio Controlador (dsstopo_4.doc). Para uma planilha para ajudá-lo a documentar as informações sobre onde você planeja colocar emuladores de PDC e o número de usuários para cada domínio que é representar consulte o kit de implantação do Windows Server 2003, baixar job_and_designing_and_and_security_services.zip e controle de domínio aberto LR posicionamento (dsstopo_4.doc).

Você deve verificar as informações sobre os locais necessários para colocar emuladores de PDC quando implementar domínios regionais. Você precisa se referir às informações sobre locais em que você precisa colocar PDC Emuladores quando você implanta domínios regionais. Para obter mais informações sobre a implementação de domínios regionais, consulte a implementação dos domínios regionais do Windows Server Regional, consulte a implantação de domínios regionais do Windows Server 2008.

Requisitos para a colocação da colocação mestre de infraestrutura para a colocação mestre de infraestrutura

O professor de infraestrutura atualiza os nomes das entidades de segurança de outros domínios que são adicionados aos grupos de seu próprio domínio. O mestre de infraestrutura atualiza os nomes de segurança principal de outros domínios que são adicionados aos grupos em seu próprio domínio. Por exemplo, se um usuário de um domínio for um membro de um grupo em um segundo domínio e o nome do usuário é alterado no primeiro domínio, o segundo domínio não receberá uma notificação de que o nome do usuário deve ser atualizado nos membros Lista do grupo. Lista Como os controladores de domínio de um domínio não replicam as entidades de segurança nos outros controladores de domínio de domínio, o segundo domínio nunca está ciente da mudança na ausência do mestre de infraestrutura. Como os controladores de domínio em um domínio não replicam os controladores de segurança para o domínio Em outro domínio, o segundo domínio nunca se sabe da mudança na ausência do mestre de infraestrutura.

O professor de infraestrutura monitora constantemente a associação do grupo, procurando por entidades de segurança de outros domínios. O mestre de infraestrutura monitora constantemente Associações, procurando por segurança principal de outros domínios. Se você encontrar um, verifique o domínio da entidade de segurança para verificar se as informações são atualizadas. Se ele encontrar um, ele verifica com o domínio da principal segurança para verificar se as informações são atualizadas. Se as informações não forem atualizadas, o professor de infraestrutura executará a atualização e, em seguida, replica a alteração nos outros controladores de domínio do seu domínio. Se a informação estiver desatualizada, o mestre de infraestrutura executará a atualização e, em seguida, replicará a mudança para o outro Controladores de domínio em seu domínio.

Duas exceções aplicam-se a esta regra.Two Exceções aplicadas a esta regra. Primeiro, se todos os controladores de domínio são servidores de catálogo global, o controlador de domínio hospedar a função mestre de infraestrutura é insignificante, uma vez que os catálogos globais replicarem as informações atualizadas independentemente do domínio ao qual eles pertencem. Primeiro, se todos os controladores de domínio são servidores de catálogo global, Controlador de domínio que hospeda a função mestre de infraestrutura é insignificante porque os catálogos globais replicam as informações atualizadas, independentemente do domínio ao qual eles pertencem.Em segundo lugar, se a floresta tiver apenas um domínio, o controlador de domínio hospedar a função mestre de infraestrutura é insignificante porque as entidades de segurança de outros domínios não existem.Segundo, se a floresta tiver apenas um domínio, o controlador de domínio que hospeda a função mestre de infraestrutura É insignificante porque a segurança principal de outros domínios não existe.

Não coloque o mestre de infraestrutura em um controlador de domínio que também é um global.Você não coloca o mestre do servidor de catálogo de infraestrutura em um controlador de domínio que também é Um servidor de catálogo global. Se o professor de infraestrutura e o catálogo global estiverem no mesmo controlador de domínio, o professor de infraestrutura não funcionará. Se o Mestre de Infraestrutura e o Catálogo Global estiverem no mesmo controlador de domínio, o mestre de infraestrutura não funcionará. O professor de infraestrutura nunca buscará dados que não são atualizados; Portanto, nunca replicará qualquer alteração nos outros controladores de domínio do domínio. O mestre de infraestrutura nunca encontrará dados desatualizados; Portanto, ele nunca replicará quaisquer alterações nos outros controladores de domínio no domínio.

Local do professor de operações para redes com colocação mestre de conectividade limitada para redes com conectividade limitada

ter em conta que se o seu ambiente tiver um local central ou um local de concentrador no qual você puder colocar os detentores da função mestre de operação, determinadas operações do controlador de domínio que dependem da disponibilidade dos titulares da função Master Operations.be ciente de que se o seu ambiente Ter um local de localização ou centro de hub em que você pode colocar proprietários de função de operações mestres, certas operações de controlador de domínio que defendem a disponibilidade desses detentores de função de mestre de operações podem ser afetadas.

Por exemplo, suponha que uma organização Cria sites A, B, C e D. Existem links de site entre A e B, entre B e C, e entre C e D. A redeidade de rede reflete exatamente a conectividade de rede de links para sites.Por exemplo, suponha que uma organização cria sites A, B, C e D. Links de site entre A e B, entre B e C e entre a rede C e D. A conectividade exatamente espelha a conectividade de rede dos links de sites. Neste exemplo, todos os papéis mestres de operações são colocados no site A e a opção de vincular todos os links a sites não é selecionada. No exemplo, todas as funções mestras de operações são feitas no site A e a opção para preencher todos os links de site não são selecionados .

Embora essa configuração produza uma replicação correta entre todos os sites, as funções da função de operação mestre têm as seguintes limitações: Embora essa configuração resulte na replicação bem-sucedida entre todos os sites, a função de função de operações mestres Os seguintes limites:

  • Os controladores de domínio dos sites C e D não podem acessar o emulador de PDC do Site A para atualizar uma senha ou para verificar se a senha foi atualizada recentemente. Os sites C e D não podem acessar o emulador PDC no site A para atualizar uma senha ou para verificar a senha que foi atualizada recentemente.
  • Os controladores de domínio dos sites C e D não podem acessar o mestre RID no site A para obter um grupo inicial RID após a instalação do Active Directory e para atualizar os grupos de RID como você exaurece controladores em sites C e D não podem acessar o Mestre RID no site A para obter um pool inicial de RID após a instalação do Active Directory e para atualizar as pools como elas ficarem devidas.
  • controladores de domínio de sites C e D não podem adicionar ou remover partições de diretório, DNS ou aplicativos personalizados. Os controladores do Domain nos sites C e D não podem adicionar ou remover partições de aplicativos de diretório, DNS ou personalizados.
  • Os controladores de domínio dos sites C e D não podem fazer alterações nos controladores do esquema.Domain em sites C e D não podem fazer alterações de esquema.
  • para ver uma planilha que irá ajudá-lo a planejar a localização das funções mestras de operações, consulte o kit de implantação do Windows Server 2003, baixar job_eards_designing_and_and_security_servicy.zip e abra o local do controlador de domínio (DSSTOPO_4 .Doc). Para uma planilha para ajudá-lo no planejamento de operações mestre de colocação de função, consulte Auxiliares de emprego para o kit de implantação do Windows Server 2003, baixar Job_DeDesigning_and_and_security_servy_and_security_servicy.zip e abrir o posicionamento do controlador de domínio (DSSTOPO_4.doc).

    Você terá que consultar essas informações ao criar o domínio raiz dos domínios florestais e regionais.Você precisará se referir a essas informações quando criar o domínio raiz da floresta e os domínios regionais. Para obter mais informações sobre a implementação do domínio raiz da floresta, consulte Implemente um domínio raiz da floresta do Windows Server 2008.Para mais informações sobre a implantação do domínio raiz da floresta, consulte Implantando para implantar o domínio da raiz da floresta do Windows Server 2008. Para obter mais informações sobre a implementação de domínios regionais, consulte a implementação dos domínios regionais regionais regionais do Windows Server, consulte Implantando os domínios regionais do Windows Server 2008.

    Você pode encontrar mais informações sobre a localização das funções do FSMO no tópico de suporte de localização e otimização do FSMO em controladores de domínio do Active Directory. Informações adicionais sobre a colocação de funções do FSMO podem ser encontradas no tópico de suporte FSMO Colocation e otimização em controladores de domínio do Active Directory

Deixe uma resposta

O seu endereço de email não será publicado. Campos obrigatórios marcados com *