Planen der Platzierung der Rolle „Betriebsmaster“

  • Artikel

Gilt für: Windows Server 2022, Windows Server 2019, Windows Server 2016, Windows Server 2012 R2, Windows Server 2012

Active Directory Domain Services (AD DS) unterstützt die Multimasterreplikation von Verzeichnisdaten. Dies bedeutet, dass jeder Domänencontroller Verzeichnisänderungen akzeptieren und die Änderungen auf alle anderen Domänencontroller replizieren kann. Bestimmte Änderungen, z. B. Schemaänderungen, können jedoch nicht auf Multimaster-Weise vorgenommen werden. Aus diesem Grund verfügen bestimmte Domänencontroller, die als Betriebsmaster bezeichnet werden, über Rollen, die für die Annahme von Anforderungen für bestimmte spezifische Änderungen zuständig sind.

Hinweis

Inhaber der Betriebsmasterrolle müssen in der Lage sein, einige Informationen in die Active Directory-Datenbank zu schreiben. Da sich die Active Directory-Datenbank auf einem schreibgeschützten Domänencontroller (RODC) befindet und schreibgeschützt ist, können RODCs nicht als Inhaber der Betriebsmasterrolle fungieren.

In jeder Domäne gibt es drei Betriebsmasterrollen (auch als Flexible Single Master Operations bzw. FSMO bezeichnet):

  • Der Emulationsbetriebsmaster des primären Domänencontrollers (PDC) verarbeitet alle Kennwortaktualisierungen.

  • Der Betriebsmaster der relativen ID (RID) verwaltet den globalen RID-Pool für die Domäne und weist allen Domänencontrollern lokale RIDs-Pools zu, um sicherzustellen, dass alle in der Domäne erstellten Sicherheitsprinzipale über eindeutige Bezeichner verfügen.

  • Der Infrastrukturbetriebsmaster für eine bestimmte Domäne verwaltet eine Liste der Sicherheitsprinzipale aus anderen Domänen, die Mitglieder von Gruppen innerhalb seiner Domäne sind.

Zusätzlich zu den drei Betriebsmasterrollen auf Domänenebene gibt es in jeder Gesamtstruktur zwei Betriebsmasterrollen:

  • Der Schemabetriebsmaster steuert Änderungen am Schema.
  • Der Domänennamen-Betriebsmaster fügt Domänen und andere Verzeichnispartitionen (z. B. DNS-Anwendungspartitionen) der Gesamtstruktur hinzu und entfernt sie aus dieser.

Platzieren Sie die Domänencontroller, die diese Betriebsmasterrollen hosten, in Bereichen mit hoher Netzwerkzuverlässigkeit, und stellen Sie sicher, dass der PDC-Emulator und der RID-Master durchgehend verfügbar sind.

Inhaber der Betriebsmasterrolle werden automatisch zugewiesen, wenn der erste Domänencontroller in einer bestimmten Domäne erstellt wird. Die beiden Rollen auf Gesamtstrukturebene (Schemamaster und Domänennamensmaster) werden dem ersten Domänencontroller zugewiesen, der in einer Gesamtstruktur erstellt wird. Darüber hinaus werden die drei Rollen auf Domänenebene (RID-Master, Infrastrukturmaster und PDC-Emulator) dem ersten Domänencontroller zugewiesen, der in einer Domäne erstellt wird.

Hinweis

Automatische Zuweisungen von Inhabern der Betriebsmasterrolle werden nur vorgenommen, wenn eine neue Domäne erstellt wird und wenn ein aktueller Rolleninhaber herabgestuft wird. Alle anderen Änderungen an Rollenbesitzern müssen von einem Administrator initiiert werden.

Diese automatischen Zuweisungen der Betriebsmasterrolle können eine sehr hohe CPU-Auslastung auf dem ersten Domänencontroller verursachen, der in der Gesamtstruktur oder der Domäne erstellt wird. Um dies zu vermeiden, weisen Sie verschiedenen Domänencontrollern in Ihrer Gesamtstruktur oder Domäne Betriebsmasterrollen zu. Platzieren Sie die Domänencontroller, die Betriebsmasterrollen hosten, in Bereichen mit zuverlässigem Netzwerk, in denen alle anderen Domänencontroller in der Gesamtstruktur auf die Betriebsmaster zugreifen können.

Sie sollten auch Standbybetriebsmaster (alternative Betriebsmaster) für alle Betriebsmasterrollen festlegen. Bei den Standbybetriebsmastern handelt es sich um Domänencontroller, auf die Sie die Betriebsmasterrollen übertragen können, falls die ursprünglichen Rolleninhaber ausfallen. Stellen Sie sicher, dass die Standbybetriebsmaster direkte Replikationspartner der tatsächlichen Betriebsmaster sind.

Planen der Platzierung des PDC-Emulators

Der PDC-Emulator verarbeitet Änderungen des Clientkennworts. In jeder Domäne in der Gesamtstruktur fungiert nur ein Domänencontroller als PDC-Emulator.

Selbst wenn für alle Domänencontroller ein Upgrade auf Windows 2000, Windows Server 2003 und Windows Server 2008 durchgeführt wird und die Domäne auf der nativen Funktionsebene von Windows 2000 ausgeführt wird, empfängt der PDC-Emulator die bevorzugte Replikation von Kennwortänderungen, die von anderen Domänencontrollern in der Domäne ausgeführt werden. Wenn ein Kennwort kürzlich geändert wurde, dauert es eine Weile, bis diese Änderung auf alle Domänencontroller in der Domäne repliziert wird. Wenn die Anmeldeauthentifizierung bei einem anderen Domänencontroller aufgrund eines ungültigen Kennworts fehlschlägt, leitet dieser Domänencontroller die Authentifizierungsanforderung an den PDC-Emulator weiter, bevor er entscheidet, ob der Anmeldeversuch akzeptiert oder abgelehnt werden soll.

Platzieren Sie den PDC-Emulator an einem Standort, an dem sich eine große Anzahl von Benutzern aus dieser Domäne befindet, um bei Bedarf Kennwortweiterleitungen vorzunehmen. Stellen Sie außerdem sicher, dass der Standort gut mit anderen Standorten verbunden ist, um die Replikationswartezeit zu minimieren.

Ein Arbeitsblatt zur Dokumentation der Informationen über die geplante Platzierung der PDC-Emulatoren und der Anzahl der Benutzer für jede Domäne, die an jedem Standort dargestellt ist, finden Sie unter den Auftragshilfen für das Windows Server 2003 Deployment Kit. Laden Sie dort die Datei „Job_Aids_Designing_and_Deploying_Directory_and_Security_Services.zip“ herunter, und öffnen Sie die Datei für die Domänencontrollerplatzierung (DSSTOPO_4.doc).

Beachten Sie die Informationen zu den Standorten, an denen Sie PDC-Emulatoren platzieren müssen, wenn Sie regionale Domänen bereitstellen. Weitere Informationen zum Bereitstellen regionaler Domänen finden Sie unter Bereitstellen regionaler Windows Server 2008-Domänen.

Anforderungen für die Platzierung des Infrastrukturmasters

Der Infrastrukturmaster aktualisiert die Namen von Sicherheitsprinzipalen aus anderen Domänen, die Gruppen in der eigenen Domäne hinzugefügt werden. Wenn beispielsweise ein Benutzer aus einer Domäne Mitglied einer Gruppe in einer zweiten Domäne ist und der Name des Benutzers in der ersten Domäne geändert wird, wird die zweite Domäne nicht darüber informiert, dass der Name des Benutzers in der Mitgliederliste der Gruppe aktualisiert werden muss. Da Domänencontroller in einer Domäne keine Sicherheitsprinzipale auf Domänencontroller in einer anderen Domäne replizieren, wird ohne Infrastrukturmaster die zweite Domäne niemals von der Änderung in Kenntnis gesetzt.

Der Infrastrukturmaster überwacht ständig die Gruppenmitgliedschaften und sucht nach Sicherheitsprinzipalen aus anderen Domänen. Wenn ein solcher gefunden wird, überprüft er anhand der Domäne des Sicherheitsprinzipals, ob die Informationen aktualisiert wurden. Sind die Informationen veraltet, führt der Infrastrukturmaster die Aktualisierung durch und repliziert die Änderung dann auf die anderen Domänencontroller in seiner Domäne.

Es gibt zwei Ausnahmen von dieser Regel: 1. Wenn es sich bei allen Domänencontrollern um globale Katalogserver handelt, ist der Domänencontroller, der die Infrastrukturmasterrolle hostet, nicht von Bedeutung, da globale Kataloge die aktualisierten Informationen unabhängig von der Domäne replizieren, zu der sie gehören. 2. Wenn die Gesamtstruktur nur über eine Domäne verfügt, ist der Domänencontroller, der die Infrastrukturmasterrolle hostet, nicht von Bedeutung, da es keine Sicherheitsprinzipale aus anderen Domänen gibt.

Platzieren Sie den Infrastrukturmaster nicht auf einem Domänencontroller, der auch ein globaler Katalogserver ist. Wenn sich der Infrastrukturmaster und der globale Katalog auf demselben Domänencontroller befinden, funktionieren der Infrastrukturmaster nicht. Der Infrastrukturmaster findet niemals veraltete Daten, und somit werden keine Änderungen auf die anderen Domänencontroller in der Domäne repliziert.

Betriebsmasterplatzierung für Netzwerke mit eingeschränkter Konnektivität

Wenn Ihre Umgebung über einen zentralen Standort oder Hubstandort verfügt, an dem Sie Inhaber der Betriebsmasterrolle platzieren können, ist zu beachten, dass bestimmte Domänencontrollervorgänge, die von der Verfügbarkeit dieser Inhaber der Betriebsmasterrolle abhängen, beeinträchtigt werden können.

Angenommen, eine Organisation erstellt die Standorte A, B, C und D. Standortverknüpfungen bestehen zwischen A und B, zwischen B und C sowie zwischen C und D. Die Netzwerkkonnektivität spiegelt genau die Netzwerkkonnektivität der Standortverknüpfungen wieder. In diesem Beispiel werden alle Betriebsmasterrollen an Standort A platziert, und die Option Brücke zwischen allen Standortverknüpfungen herstellen ist nicht ausgewählt.

Obwohl diese Konfiguration eine erfolgreiche Replikation zwischen allen Standorten bewirkt, gelten für die Funktionen der Betriebsmasterrolle die folgenden Einschränkungen:

  • Domänencontroller an den Standorten C und D können nicht auf den PDC-Emulator an Standort A zugreifen, um ein Kennwort zu aktualisieren oder zu überprüfen, ob ein Kennwort kürzlich aktualisiert wurde.
  • Domänencontroller an den Standorten C und D können nicht auf den RID-Master an Standort A zugreifen, um nach der Active Directory-Installation einen anfänglichen RID-Pool abzurufen und um RID-Pools zu aktualisieren, wenn sie ausgeschöpft sind.
  • Domänencontroller an den Standorten C und D können keine Verzeichnis-, DNS- oder benutzerdefinierte Anwendungspartitionen hinzufügen oder entfernen.
  • Domänencontroller an den Standorten C und D können keine Schemaänderungen vornehmen.

Ein Arbeitsblatt, das Sie bei der Planung der Platzierung der Betriebsmasterrolle unterstützt, finden Sie unter den Auftragshilfen für das Windows Server 2003 Deployment Kit. Laden Sie dort die Datei „Job_Aids_Designing_and_Deploying_Directory_and_Security_Services.zip“ herunter, und öffnen Sie die Datei für die Domänencontrollerplatzierung (DSSTOPO_4.doc).

Sie benötigen diese Informationen beim Erstellen der Gesamtstruktur-Stammdomäne und der regionalen Domänen. Weitere Informationen zum Bereitstellen der Gesamtstruktur-Stammdomäne finden Sie unter Bereitstellen einer Windows Server 2008-Gesamtstruktur-Stammdomäne. Weitere Informationen zum Bereitstellen regionaler Domänen finden Sie unter Bereitstellen regionaler Windows Server 2008-Domänen.

Nächste Schritte

Zusätzliche Informationen zur FSMO-Rollenplatzierung finden Sie im Supportthema FSMO-Platzierung und -Optimierung auf Active Directory-Domänencontrollern.