Planen der Platzierung der Rolle „Betriebsmaster“

Gilt für: Windows Server 2022, Windows Server 2019, Windows Server 2016, Windows Server 2012 R2, Windows Server 2012

Active Directory Domain Services (AD DS) unterstützt die Multimasterreplikation von Verzeichnisdaten. Dies bedeutet, dass jeder Domänencontroller Verzeichnisänderungen akzeptieren und die Änderungen auf allen anderen Domänencontrollern replizieren kann. Bestimmte Änderungen, z. B. Schemaänderungen, können jedoch nicht auf Multimaster-Weise vorgenommen werden. Aus diesem Grund sind bestimmte Domänencontroller, die als Betriebsmaster bezeichnet werden, für die Annahme von Anforderungen für bestimmte spezifische Änderungen verantwortlich.

Hinweis

Betriebsmaster-Rolleninhaber müssen in der Lage sein, einige Informationen in die Active Directory-Datenbank zu schreiben. Aufgrund der schreibgeschützten Natur der Active Directory-Datenbank auf einem schreibgeschützten Domänencontroller (RODC) können RODCs nicht als Besitzer von Betriebsmasterrolle fungieren.

In jeder Domäne sind drei Betriebsmasterrollen (auch als flexible Einzelmastervorgänge oder FSMO bekannt) vorhanden:

  • Der Betriebsmaster des primären Domänencontrolleremulators (PDC) verarbeitet alle Kennwortupdates.

  • Der relative ID-Betriebsmaster (RID) verwaltet den globalen RID-Pool für die Domäne und ordnet allen Domänencontrollern lokale RIDs-Pools zu, um sicherzustellen, dass alle in der Domäne erstellten Sicherheitsprinzipale über einen eindeutigen Bezeichner verfügen.

  • Der Infrastrukturbetriebsmaster für eine bestimmte Domäne verwaltet eine Liste der Sicherheitsprinzipale aus anderen Domänen, die Mitglieder von Gruppen innerhalb der Domäne sind.

Zusätzlich zu den drei Betriebsmasterrollen auf Domänenebene sind in jeder Gesamtstruktur zwei Betriebsmasterrollen vorhanden:

  • Der Schema operations master steuert Änderungen am Schema.
  • Der Master für Domänennamenvorgänge fügt Domänen und andere Verzeichnispartitionen (z. B. Domain Name System (DNS)-Anwendungspartitionen) der Gesamtstruktur hinzu und entfernt diese.

Platzieren Sie die Domänencontroller, die diese Betriebsmasterrollen hosten, in Bereichen, in denen die Netzwerkzuverlässigkeit hoch ist, und stellen Sie sicher, dass der PDC-Emulator und der RID-Master konsistent verfügbar sind.

Betriebsmaster-Rolleninhaber werden automatisch zugewiesen, wenn der erste Domänencontroller in einer bestimmten Domäne erstellt wird. Die beiden Rollen auf Gesamtstrukturebene (Schemamaster und Domänennamenmaster) werden dem ersten Domänencontroller zugewiesen, der in einer Gesamtstruktur erstellt wurde. Darüber hinaus werden die drei Rollen auf Domänenebene (RID-Master, Infrastrukturmaster und PDC-Emulator) dem ersten Domänencontroller zugewiesen, der in einer Domäne erstellt wurde.

Hinweis

Zuweisungen des Besitzers der automatischen Betriebsmasterrolle werden nur vorgenommen, wenn eine neue Domäne erstellt wird und ein aktueller Rolleninhaber zurückgestuft wird. Alle anderen Änderungen an Rollenbesitzern müssen von einem Administrator initiiert werden.

Diese Automatischen Zuweisungen der Betriebsmasterrolle können zu einer sehr hohen CPU-Auslastung auf dem ersten Domänencontroller führen, der in der Gesamtstruktur oder Domäne erstellt wurde. Um dies zu vermeiden, weisen Sie verschiedenen Domänencontrollern in Ihrer Gesamtstruktur oder Domäne Betriebsmasterrollen zu (übertragen). Platzieren Sie die Domänencontroller, die Betriebsmasterrollen hosten, in Bereichen, in denen das Netzwerk zuverlässig ist und auf die Betriebsmaster von allen anderen Domänencontrollern in der Gesamtstruktur zugegriffen werden kann.

Sie sollten auch Standbybetriebsmaster (alternative Betriebsmaster) für alle Betriebsmasterrollen festlegen. Die Standbybetriebsmaster sind Domänencontroller, auf die Sie die Betriebsmasterrollen übertragen können, falls die ursprünglichen Rolleninhaber ausfallen. Stellen Sie sicher, dass die Standbybetriebsmaster direkte Replikationspartner der tatsächlichen Betriebsmaster sind.

Planen der Platzierung des PDC-Emulators

Der PDC-Emulator verarbeitet Clientkennwortänderungen. Nur ein Domänencontroller fungiert in jeder Domäne in der Gesamtstruktur als PDC-Emulator.

Selbst wenn alle Domänencontroller auf Windows 2000, Windows Server 2003 und Windows Server 2008 aktualisiert werden und die Domäne auf der nativen Funktionsebene von Windows 2000 ausgeführt wird, empfängt der PDC-Emulator eine privilegierte Replikation von Kennwortänderungen, die von anderen Domänencontrollern in der Domäne ausgeführt werden. Wenn ein Kennwort vor Kurzem geändert wurde, dauert die Replikation auf jedem Domänencontroller in der Domäne einige Zeit. Wenn die Anmeldeauthentifizierung auf einem anderen Domänencontroller aufgrund eines fehlerhaften Kennworts fehlschlägt, wird die Authentifizierungsanforderung an den PDC-Emulator weitergeleitet, bevor entschieden wird, ob der Anmeldeversuch akzeptiert oder abgelehnt werden soll.

Platzieren Sie den PDC-Emulator an einem Speicherort, der bei Bedarf eine große Anzahl von Benutzern aus dieser Domäne für Kennwortweiterleitungsvorgänge enthält. Stellen Sie außerdem sicher, dass der Standort gut mit anderen Standorten verbunden ist, um die Replikationslatenz zu minimieren.

Ein Arbeitsblatt, das Sie bei der Dokumentation der Informationen darüber unterstützt, wo Sie PDC-Emulatoren platzieren möchten, und die Anzahl der Benutzer für jede Domäne, die an jedem Standort dargestellt wird, finden Sie unter Job Aids for Windows Server 2003 Deployment Kit (Auftragshilfen für Windows Server 2003 Deployment Kit),laden Sie Job_Aids_Designing_and_Deploying_Directory_and_Security_Services.zip herunter, und öffnen Sie Domänencontrollerplatzierung (DSSTOPO_4.doc).

Sie müssen sich auf die Informationen zu Standorten beziehen, an denen Sie PDC-Emulatoren platzieren müssen, wenn Sie regionale Domänen bereitstellen. Weitere Informationen zum Bereitstellen von regionalen Domänen finden Sie unter Deploying Windows Server 2008 Regional Domains.

Anforderungen für die Platzierung des Infrastrukturmasters

Der Infrastrukturmaster aktualisiert die Namen von Sicherheitsprinzipals aus anderen Domänen, die Gruppen in seiner eigenen Domäne hinzugefügt werden. Wenn beispielsweise ein Benutzer aus einer Domäne Mitglied einer Gruppe in einer zweiten Domäne ist und der Name des Benutzers in der ersten Domäne geändert wird, wird die zweite Domäne nicht benachrichtigt, dass der Name des Benutzers in der Mitgliedschaftsliste der Gruppe aktualisiert werden muss. Da Domänencontroller in einer Domäne keine Sicherheitsprinzipale auf Domänencontroller in einer anderen Domäne replizieren, wird der zweiten Domäne die Änderung nicht bekannt, wenn der Infrastrukturmaster fehlt.

Der Infrastrukturmaster überwacht ständig Gruppenmitgliedschaften und sucht nach Sicherheitsprinzipals aus anderen Domänen. Wenn eine gefunden wird, überprüft sie mit der Domäne des Sicherheitsprinzipals, ob die Informationen aktualisiert werden. Wenn die Informationen veraltet sind, führt der Infrastrukturmaster das Update aus und repliziert die Änderung dann auf die anderen Domänencontroller in seiner Domäne.

Für diese Regel gelten zwei Ausnahmen. Erstens: Wenn es sich bei allen Domänencontrollern um globale Katalogserver handelt, ist der Domänencontroller, der die Infrastrukturmasterrolle hostet, bedeutungslos, da globale Kataloge die aktualisierten Informationen unabhängig von der Domäne replizieren, zu der sie gehören. Wenn die Gesamtstruktur nur über eine Domäne verfügt, ist der Domänencontroller, der die Infrastrukturmasterrolle hostet, unerheblich, da sicherheitsprinzipale Prinzipale aus anderen Domänen nicht vorhanden sind.

Platzieren Sie den Infrastrukturmaster nicht auf einem Domänencontroller, der auch ein globaler Katalogserver ist. Wenn sich der Infrastrukturmaster und der globale Katalog auf demselben Domänencontroller befinden, funktioniert der Infrastrukturmaster nicht. Der Infrastrukturmaster findet niemals daten, die veraltet sind. Daher werden keine Änderungen an den anderen Domänencontrollern in der Domäne repliziert.

Betriebsmasterplatzierung für Netzwerke mit eingeschränkter Konnektivität

Beachten Sie, dass bestimmte Domänencontrollervorgänge, die von der Verfügbarkeit dieser Betriebsmasterrolle abhängig sind, beeinträchtigt werden können, wenn Ihre Umgebung über einen zentralen Standort oder Hubstandort verfügt, an dem Sie Betriebsmasterrolle-Besitzer platzieren können.

Angenommen, eine Organisation erstellt Standorte A, B, C und D. Standortverknüpfungen bestehen zwischen A und B, zwischen B und C sowie zwischen C und D. Die Netzwerkkonnektivität spiegelt genau die Netzwerkkonnektivität der Standortverbindungen wieder. In diesem Beispiel werden alle Betriebsmasterrollen an Standort A platziert, und die Option Bridge all site links (Alle Standortverknüpfungen über bridge) ist nicht ausgewählt.

Obwohl diese Konfiguration zu einer erfolgreichen Replikation zwischen allen Standorten führt, gelten für die Funktionen der Betriebsmasterrolle die folgenden Einschränkungen:

  • Domänencontroller an den Standorten C und D können nicht auf den PDC-Emulator an Standort A zugreifen, um ein Kennwort zu aktualisieren oder auf ein kennwort zu überprüfen, das vor Kurzem aktualisiert wurde.
  • Domänencontroller an den Standorten C und D können nicht auf den RID-Master an Standort A zugreifen, um nach der Active Directory-Installation einen anfänglichen RID-Pool zu erhalten und RID-Pools zu aktualisieren, wenn sie erschöpft sind.
  • Domänencontroller an den Standorten C und D können keine Verzeichnis-, DNS- oder benutzerdefinierten Anwendungspartitionen hinzufügen oder entfernen.
  • Domänencontroller an den Standorten C und D können keine Schemaänderungen vornehmen.

Ein Arbeitsblatt, das Sie bei der Planung der Platzierung von Betriebsmasterrolle unterstützt, finden Sie unter Job Aids for Windows Server 2003 Deployment Kit (Auftragshilfsmaßnahmen für das Windows Server 2003 Deployment Kit),laden Sie Job_Aids_Designing_and_Deploying_Directory_and_Security_Services.zip herunter, und öffnen Sie die Domänencontrollerplatzierung (DSSTOPO_4.doc).

Sie müssen auf diese Informationen verweisen, wenn Sie die Stammdomäne der Gesamtstruktur und regionale Domänen erstellen. Weitere Informationen zum Bereitstellen der Gesamtstruktur-Stammdomäne finden Sie unter Deploying a Deploying a Windows Server 2008 Forest Root Domain. Weitere Informationen zum Bereitstellen von regionalen Domänen finden Sie unter Deploying Windows Server 2008 Regional Domains.

Nächste Schritte

Weitere Informationen zur FSMO-Rollenplatzierung finden Sie im Supportthema FSMO placement and optimization on Active Directory domain controllers (FSMO-Platzierung und -Optimierung auf Active Directory-Domänencontrollern).