- 08/08/2018
- Timp de citire: 7 minute
-
- 6E9480A5D7 „>
- iv ID =
Aplicați la: Windows Server 2016, Windows Server 2012 R2, Windows Server 2012 Aplicați la: Windows Server 2016, Windows Server 2012 R2, Windows Server 2012
Active Directory Domain Services (ad ds) acceptă replicarea cu Câte profesori de date directoare, ceea ce înseamnă că orice controler de domeniu poate accepta modificări și replică modificări ale tuturor celorlalți controlori de domeniu. Active Directory Domain Services (ad ds) acceptă replicarea multimaster a datelor de directoare, ceea ce înseamnă că orice controler de domeniu poate accepta modificările și replicarea directorului Modificările la toate OPH Er controlere de domenii. Cu toate acestea, unele modificări, cum ar fi modificările schemelor, nu sunt practice pentru un mod multi-master. Cu toate acestea, anumite modificări, cum ar fi modificările scheme, sunt impractice pentru a efectua într-un mod multistru. Din acest motiv, anumiți controlori de domenii, cunoscuți ca profesori de funcționare, au roluri responsabile pentru acceptarea cererilor de anumite modificări. Pentru acest motiv ca operațiuni de masterat, dețin responsabil pentru acceptarea de realee pentru anumite modificări specifice.
Div>
> Notă
Suporturile de funcționare Master Master ar trebui să poată scrie informații în baza de date Active Directory. Deținătorii de rol principal trebuie să poată scrie câteva informații în baza de date Active Directory. Datorită naturii de lectură a bazei de date Active Directory într-un controler de domeniu numai pentru citire (RODC), Rodc nu poate acționa ca proprietari ai funcției de operare Master.Deoarece de natură de citire a bazei de date Active Directory pe o citire Numai controlerul de domeniu (RODC), Rodcs nu poate acționa ca titulari de rol principal de operare.
În fiecare domeniu există trei roluri principale de operații (cunoscute și ca operațiuni de un singur maestru flexibil sau FSMO): trei Operații Master roluri (cunoscute și sub denumirea de operații flexibile de bază sau FSMO) există în fiecare domeniu:
-
Operații de măsurare a controlerului de domeniu Master Principal (PDC) procesează toate actualizările parolei. Domeniul principal Controler (PDC) Operații de emulator Procesează toate actualizările de parole.
-
Master Operations ID. Relativ (RID) menține grupul global RID pentru domeniu și atribuie grupurile locale RID la toate controlerele de domeniu pentru a se asigura că toate entitățile de securitate create în domeniu au un identificator unic. ID-ul relativ (RID) Operații Mintenins Pool pentru Global Rid Pool pentru Domeniul și alocă zonele locale de radi la toate controlerele de domeniu pentru a se asigura că toate securitatea principală creată în domeniu au un identificator unic.
-
Profesorul operațiunilor de infrastructură ale unui anumit domeniu menține întreținerea unui anumit domeniu O listă a entităților de securitate din alte domenii care sunt membre ale grupurilor în domeniul lor. Operațiile de infrastructură Master pentru un domeniu dat o listă a principalei securități din alte domenii care sunt membri ai grupurilor în domeniul său.
În plus față de nivelul trei domenii de operare Master, există două roluri principale de operații în fiecare pădure: în Addit Ion la cele trei roluri de operații de nivel înalt, două roluri principale de operațiuni există în fiecare pădure:
- Master Operations Schema merge modificări în schema. Schema Operations Master guvernează modificările aduse schemei.
- Domeniu Nomenclatura Operations Master adaugă și elimină domenii și alte partiții de director (de exemplu, partițiile de aplicație ale sistemului de nume de domeniu (DNS)) în pădure și de la acesta. Operațiile de numire a domeniului se adaugă și elimină Domenii și alte partiții de director (de exemplu, partițiile aplicației de nume de nume de domeniu (DNS)) către și din pădure.
Plasați controlorii de domeniu care găzduiește aceste funcții master operaționale în zonele în care fiabilitatea rețelei este ridicată și asigurați-vă că emulatorul PDC și maestrul RID sunt disponibile într-un mod coerent.La Controlerele de domeniu care găzduiește aceste roluri principale de operații în zonele în care fiabilitatea rețelei este ridicată și asigurați-vă că emulatorul PDC și masterul RID sunt disponibile în mod constant.
Suporturile de funcții de operare sunt atribuite automat atunci când primul controlor de domeniu al unui anumit domeniu. Operații de rol principal sunt atribuite automat atunci când se creează primul controlor de domeniu dintr-un domeniu dat. Cele două roluri ale nivelului pădurilor (profesor de profesor și profesor de domeniu) sunt atribuite primului controler de domeniu creat într-o pădure. Cele două roluri de nivel de pădure (Schema master și nume de nume de nume de domeniu) sunt atribuite primului controler de domeniu creat într-o pădure . În plus, cele trei roluri de nivel de domeniu (Master RID, profesor de infrastructură și emulator PDC) sunt atribuite primului controler de domeniu creat într-un domeniu. În plus, cele trei roluri la nivel de domeniu (RID Master, Master Infrastructure și Emulator PDC) Sunt alocate primului controler de domeniu creat într-un domeniu.
Notă
Atribuțiile automate ale titularului rolului de operare sunt efectuate numai atunci când este creat un domeniu nou și când Proprietarul funcției curente este degradat. Operațiile automate ale operațiunilor Master Reprezentante Misiuni sunt făcute numai atunci când se creează un nou domeniu și când un titular de rol curent este reținut. Toate celelalte modificări ale proprietarilor de rol trebuie inițiate de un administrator. Toate alte modificări ale proprietarilor de rol trebuie să fie inițiate de un administrator.
Aceste sarcini automate ale rolurilor de operare principale pot provoca o foarte mare Utilizare înaltă CPU la primul controler de domeniu creat în pădure sau în domeniu. Pentru a evita acest lucru, alocați (transferați) roluri master master la mai multe controlere de domeniu ale pădurii sau domeniului dvs. Pentru a evita acest lucru, atribuiți (transfer) roluri principale de operare la diverse controlere de domeniu din pădure sau domeniu. Plasați controlorii de domeniu care găzduiesc rolurile de operare Master în zonele în care rețeaua este fiabilă și în cazul în care toate celelalte controlere de domeniu ale pădurii pot avea acces la profesori de operațiuni. Imberatorul de domenii care găzduiesc rolurile principale în zonele în care rețeaua este fiabilă și În cazul în care comandanții operațiunilor pot fi accesați de toți ceilalți controlori de domeniu din pădure.
Trebuie să desemnezi și profesori de funcționare (alternativă) pentru toate funcțiile de operare Master. Operații master roluri. Expediționarea profesorilor de operațiuni sunt controlorii de domenii la care rolurile de operare Master pot fi transferate în cazul în care apare în titularii de rol original. Mestrii de operații de așteptare sunt controlorii de domenii la care ați putea transfera rolurile principale de operațiuni în cazul în care titularii inițial de rol eșuează. Asigurați-vă că profesorii de funcționare în așteptare sunt asociați de replicare directă de la operațiunile reale. Susține faptul că operațiunile de așteptare sunt parteneri de replicare directă ai conducerii curente de operații
Emulatorul PDC procesează schimbările parolei client.Conformarea parolei PDC Procesul de procesare a parolei client. Numai un controler de domeniu acționează ca emulator PDC din fiecare domeniu al pădurii. Un controler de domeniu acționează ca emulator PDC în fiecare domeniu din pădure.
Chiar dacă toate controlerele de domeniu sunt actualizate la Windows 2000, Windows Server 2003 și Windows Server 2008, iar domeniul rulează la nivelul funcțional nativ al Windows 2000, emulatorul PDC primește replicarea preferențială a modificărilor de parolă realizate de alte controlere de domeniu. Toate controlerele de domeniu sunt modernizate la Windows 2000 , Windows Server 2003 și Windows Server 2008, iar domeniul funcționează la nivelul funcțional nativ Windows 2000, emulatorul PDC primește replicarea preferențială a modificărilor de parolă efectuate de alte controlere de domeniu din domeniu. Dacă o parolă a fost modificată recent, această schimbare necesită replicarea în toate controalele de domeniu ale domeniului. Dacă o eroare de autentificare de autentificare apare într-un alt controler de domeniu datorită unei parole incorecte, controlerul de domeniu transmite cererea de autentificare la emulatorul PDC înainte de a decide dacă să acceptați sau să respingeți încercarea de a vă conecta.Dacă autentificarea de conectare nu reușește la un alt controler de domeniu datorită unei parole proastă, controlerul de domeniu transmite cererea de autentificare către emulatorul PDC înainte de a decide dacă să acceptați sau să respingeți încercarea de conectare.
Plasați emulatorul PDC într-o locație Aceasta conține un număr mare de utilizatori ai acelui domeniu pentru operațiunile de expediere a parolei, dacă este necesar, Emulatorul PDC într-o locație care conține un număr mare de utilizatori din acel domeniu pentru operațiunile de expediere a parolei, dacă este necesar. De asemenea, asigurați-vă că locația este bine conectată la alte locații pentru a reduce latența replicării. În plus, asigurați-vă că locația este bine conectată la alte locații pentru a minimiza latența replicării
în cazul unei foi de calcul Vă ajută să documentați informații despre locul în care intenționați să plasați emulatori PDC și numărul de utilizatori pentru fiecare domeniu care este reprezentat în fiecare locație, consultați suportul de lucru pentru setul de implementare Windows Server 2003, descărcați job_aids_designing_and_deploying_directory_and_security_services.zip și deschideți locația domeniului Controler (DSSTOPO_4.doc). Pentru a vă ajuta să vă comunicați informațiile despre locul în care intenționați să plasați emulatori PDC și numărul de utilizatori pentru fiecare domeniu care este reprezentat de SIDA de locuri de muncă pentru setul de implementare Windows Server 2003, descărcați job_aids_designing_and_security_services.zip , și controlul domeniului deschis Plasarea LR (DSSTOPO_4.doc).
Ar trebui să verificați informațiile despre locațiile pe care trebuie să le plasați emulatori PDC atunci când implementați domenii regionale. Aveți nevoie să vă referiți la informațiile despre locațiile în care trebuie să plasați PDC Emulatori atunci când desfășurați domenii regionale. Pentru mai multe informații despre implementarea domeniilor regionale, consultați Implementarea domeniilor regionale de domenii regionale Windows Server, consultați Implementarea domeniilor regionale Windows Server 2008.
Cerințe pentru plasarea de plasare masterat de infrastructură pentru plasarea masterului de infrastructură
Profesorul de infrastructură actualizează numele entităților de securitate ale altor domenii care sunt adăugate grupurilor propriului dvs. domeniu de infrastructură actualizează numele principalelor de securitate din alte domenii care sunt adăugate grupurilor din propriul domeniu. De exemplu, dacă un utilizator al unui domeniu este membru al unui grup într-un al doilea domeniu, iar numele utilizatorului este schimbat în primul domeniu, al doilea domeniu nu va primi o notificare că numele utilizatorului trebuie actualizat în membri Lista grupului. Lista Deoarece controlorii de domeniu al unui domeniu nu replică entitățile de securitate din celălalt controlori de domenii, al doilea domeniu nu este niciodată conștient de schimbarea absenței maestrului de infrastructură. Deoarece controlorii de domeniu într-un domeniu nu replică securitatea controlorilor de domenii Într-un alt domeniu, al doilea domeniu nu devine conștient de schimbarea absenței maestrului de infrastructură.
Profesorul de infrastructură monitorizează în mod constant calitatea de membru al grupului, căutând entități de securitate din alte domenii. Maestrul de infrastructură Monitorizează în mod constant grupul Calificări, căutând principalele de securitate din alte domenii. Dacă găsiți una, verificați domeniul entității de securitate pentru a verifica dacă informațiile sunt actualizate. Dacă găsește una, verifică domeniile Security Main pentru a verifica dacă informațiile sunt actualizate. Dacă informațiile nu sunt actualizate, profesorul de infrastructură efectuează actualizarea și apoi replică modificarea celorlalte controlere de domeniu. Dacă informațiile sunt depășite, Master Infrastructure efectuează actualizarea și apoi replică schimbarea la cealaltă Controlere de domeniu în domeniul său.
Două excepții se aplică acestei reguli. Excepții se aplică acestei reguli. În primul rând, dacă toate controalele de domeniu sunt servere de catalog globale, controlerul de domeniu care găzduiește rolul masterului de infrastructură este nesemnificativ, deoarece cataloagele globale reproduc informațiile actualizate indiferent de domeniul la care aparțin. În primul rând, dacă toate controlerele de domeniu sunt servere de catalog globale, Controler de domeniu care găzduiește rolul principal al infrastructurii este nesemnificativ deoarece cataloagele globale reproduc informațiile actualizate, indiferent de domeniul la care aparțin.În al doilea rând, în cazul în care pădurea are doar un domeniu, controlerul de domeniu care găzduiește rolul principal al infrastructurii este nesemnificativ deoarece entitățile de securitate din alte domenii nu există. În cazul în care pădurea are doar un singur domeniu, controlerul de domeniu care găzduiește rolul principal al infrastructurii Este nesemnificativ, deoarece principala de securitate din alte domenii nu există.
Nu puneți master infrastructura într-un controler de domeniu care este, de asemenea, un global.Do nu plasați catalogul de infrastructură Server Master pe un controler de domeniu care este, de asemenea Un server de catalog global. În cazul în care profesorul de infrastructură și catalogul global se află în același controler de domeniu, profesorul de infrastructură nu va funcționa. Dacă catalogul master și global de infrastructură se află pe același controlor de domeniu, maestrul de infrastructură nu va funcționa. Profesorul de infrastructură nu va căuta niciodată date care nu sunt actualizate; Prin urmare, nu se va replica niciodată nicio modificare a celorlalți controlori de domeniu al domeniului. Maestrul de infrastructură nu va găsi niciodată date care nu depășesc; Prin urmare, nu va replica niciodată nicio modificare a celorlalți controlori de domeniu din domeniu.
Localizarea profesorului de operații pentru rețele cu o conectivitate limitată de plasare master pentru rețele cu conectivitate limitată
au în considerare că, dacă mediul dvs. are o locație centrală sau un loc de concentrator în care puteți plasa suporturile funcției de comandă a operației, anumite operațiuni de controler de domeniu care depind de disponibilitatea titularilor funcției Master Operations.Be conștient de faptul că dacă mediul dvs. Aveți o locație centrală sau un loc central în care puteți plasa deținătorii de rol principal de operațiuni, anumite operațiuni de controler de domeniu care se apără cu privire la disponibilitatea acelor titularii de rol principal de operațiuni ar putea fi afectate.
De exemplu, presupuneți că o organizație creează site-uri A, B, C și D. Există legături de site între A și B, între B și C și între C și D. Casticitatea rețelelor reflectă exact conectivitatea de rețea a legăturilor către site-uri. De exemplu, presupuneți că o organizație creează site-uri A, B, C și D. Există legături între A și B, între B și C și între rețeaua C și D. Conectivitatea reflectă exact conectivitatea rețelei a legăturilor site-urilor. În acest exemplu, toate rolurile Master Operations sunt plasate pe site-ul a, iar opțiunea de a conecta toate legăturile către site-uri nu este selectată. În acest exemplu, toate rolurile de operare Master sunt plasate în site A și opțiunea de a reduce toate legăturile site-urilor nu este selectată .
Deși această configurație produce o replicare corectă între toate siturile, funcțiile funcției master de operare au următoarele limitări: Deși această configurație are ca rezultat o replicare reușită între toate siturile, funcțiile de rol principal Următoarele mențiuni:
- Controlerele de domeniu ale site-urilor C și D nu pot accesa emulatorul PDC al site-ului A pentru a actualiza o parolă sau pentru a verifica dacă parola a fost actualizată recent.domain Controlere în Site-urile C și D nu pot accesa emulatorul PDC în site-ul A pentru a actualiza o parolă sau pentru a le verifica pentru parolă care a fost recent actualizată.
- Controlerele de domeniu ale site-urilor C și D nu pot accesa masterul RID pe site-ul A pentru a obține un grup inițial RID după instalarea Active Directory și pentru a actualiza grupurile RID în timp ce vă epuizați.domain Controlere în site-uri C și D nu pot accesa maestrul RID la fața locului A pentru a obține o piscină inițială RID după instalarea activă a directorului și pentru a reîmprospăta bazinele pe măsură ce acestea se deplină.
- Controlerele de domeniu C și D nu pot adăuga sau elimina partițiile de director, DNS sau aplicații personalizate. Controlereledornere în site-urile C și D nu pot adăuga sau elimina partițiile de director, DNS sau personalizate.
- Controlerele de domeniu ale site-urilor C și D nu pot efectua modificări ale controlorilor schemei.domain în site-urile C și D nu pot face schimbări de scheme.
Pentru a vedea o foaie de calcul care vă va ajuta să planificați locația rolelor Master Operations, consultați Kitul de implementare Windows Server 2003, descărcați job_aids_designing_and_deploying_directory_and_security_services.zip și deschideți locația controlerului de domeniu (DSSTOPO_4 .Doc). Pentru o foaie de lucru pentru a vă ajuta în planificarea operațiunilor de plasare a rolului principal, a se vedea SIDA de locuri de muncă pentru Windows Server 2003 Kit de implementare, Descărcați job_aids_designing_and_deploying_directory_and_security_services.zip și deschidere a controlerului de domeniu (DSSTOPO_4.doc).
a trebui să consultați aceste informații atunci când creați domeniul rădăcină al domeniilor forestiere și regionale.Va trebui să vă referiți la aceste informații atunci când creați domeniile rădăcinilor forestiere și domeniile regionale. Pentru mai multe informații despre implementarea domeniului rădăcinilor forestiere, consultați Implementarea unui domeniu de rădăcină Forest Windows Server 2008. Pentru mai multe informații despre implementarea domeniului rădăcină forestieră, consultați Implementarea la Implementarea la domeniul Forest Root Forest. Pentru mai multe informații despre implementarea domeniilor regionale, consultați Implementarea domeniilor regionale regionale Windows Server, consultați Implementarea domeniilor regionale Windows Server 2008.
Puteți găsi mai multe informații despre locația rolurilor FSMO din subiect de suport de localizare și de optimizare FSMO în directorul Active Directory Controlere. Informații suplimentare despre plasarea rolului FSMO pot fi găsite în subiectul de suport FSMO Plasament și optimizare pe controlerele de domeniu Active Directory