Pianificazione del posizionamento del ruolo master operazioni

  • Articolo

Si applica a: Windows Server 2022, Windows Server 2019, Windows Server 2016, Windows Server 2012 R2, Windows Server 2012

Active Directory Domain Services (AD DS) supporta la replica multimaster dei dati della directory, il che significa che qualsiasi controller di dominio può accettare modifiche alla directory e replicare le modifiche a tutti gli altri controller di dominio. Tuttavia, alcune modifiche, ad esempio le modifiche dello schema, sono poco pratiche da eseguire in modo multimaster. Per questo motivo alcuni controller di dominio, noti come master operazioni, mantengono i ruoli responsabili dell'accettazione delle richieste per determinate modifiche specifiche.

Nota

I titolari di ruoli master operazioni devono essere in grado di scrivere alcune informazioni nel database di Active Directory. A causa della natura di sola lettura del database di Active Directory in un controller di dominio di sola lettura, i controller di dominio di sola lettura non possono fungere da titolari di ruoli master operazioni.

Tre ruoli master operazioni (noti anche come operazioni master singole flessibili o FSMO) esistono in ogni dominio:

  • Il master operazioni dell'emulatore PDC (Primary Domain Controller) elabora tutti gli aggiornamenti delle password.

  • Il master operazioni ID relativo (RID) gestisce il pool RID globale per il dominio e alloca i pool di RID locali a tutti i controller di dominio per garantire che tutte le entità di sicurezza create nel dominio abbiano un identificatore univoco.

  • Il master operazioni dell'infrastruttura per un determinato dominio gestisce un elenco delle entità di sicurezza di altri domini membri di gruppi all'interno del relativo dominio.

Oltre ai tre ruoli master operazioni a livello di dominio, esistono due ruoli master operazioni in ogni foresta:

  • Lo schema master operazioni regola le modifiche apportate allo schema.
  • Il master operazioni di denominazione del dominio aggiunge e rimuove domini e altre partizioni di directory (ad esempio, partizioni dell'applicazione DNS) da e verso la foresta.

Posizionare i controller di dominio che ospitano questi ruoli master operazioni in aree in cui l'affidabilità di rete è elevata e assicurarsi che l'emulatore PDC e il master RID siano costantemente disponibili.

I titolari di ruolo master operazioni vengono assegnati automaticamente quando viene creato il primo controller di dominio in un determinato dominio. I due ruoli a livello di foresta (master schema e master di denominazione del dominio) vengono assegnati al primo controller di dominio creato in una foresta. Inoltre, i tre ruoli a livello di dominio (master RID, master dell'infrastruttura e emulatore PDC) vengono assegnati al primo controller di dominio creato in un dominio.

Nota

Le assegnazioni dei titolari di ruolo master operazioni automatiche vengono eseguite solo quando viene creato un nuovo dominio e quando un titolare del ruolo corrente viene abbassato di livello. Tutte le altre modifiche ai proprietari dei ruoli devono essere avviate da un amministratore.

Queste assegnazioni di ruolo master operazioni automatiche possono causare un utilizzo elevato della CPU nel primo controller di dominio creato nella foresta o nel dominio. Per evitare questo problema, assegnare ruoli master operazioni (trasferimento) a vari controller di dominio nella foresta o nel dominio. Posizionare i controller di dominio che ospitano ruoli master operazioni in aree in cui la rete è affidabile e dove è possibile accedere ai master operazioni da tutti gli altri controller di dominio nella foresta.

È anche necessario designare master operazioni standby (alternativo) per tutti i ruoli master operazioni. I master operazioni di standby sono controller di dominio a cui è possibile trasferire i ruoli master operazioni nel caso in cui i titolari di ruolo originali non riescano. Assicurarsi che i master operazioni di standby siano partner di replica diretta dei master operazioni effettivi.

Pianificazione del posizionamento dell'emulatore PDC

L'emulatore PDC elabora le modifiche delle password client. Un solo controller di dominio funge da emulatore PDC in ogni dominio della foresta.

Anche se tutti i controller di dominio vengono aggiornati a Windows 2000, Windows Server 2003 e Windows Server 2008 e il dominio opera a livello funzionale nativo di Windows 2000, l'emulatore PDC riceve la replica preferenziale delle modifiche delle password eseguite da altri controller di dominio nel dominio. Se una password è stata modificata di recente, questa modifica richiede tempo per la replica in ogni controller di dominio nel dominio. Se l'autenticazione di accesso non riesce in un altro controller di dominio a causa di una password non valida, tale controller di dominio inoltra la richiesta di autenticazione all'emulatore PDC prima di decidere se accettare o rifiutare il tentativo di accesso.

Inserire l'emulatore PDC in un percorso che contiene un numero elevato di utenti da tale dominio per le operazioni di inoltro delle password, se necessario. Assicurarsi inoltre che la posizione sia ben connessa ad altre posizioni per ridurre al minimo la latenza di replica.

Per ottenere un foglio di lavoro che consenta di facilitare la documentazione delle informazioni sulla posizione in cui si prevede di inserire emulatori PDC e il numero di utenti per ogni dominio rappresentato in ogni posizione, vedere Job Aids for Windows Server 2003 Deployment Kit, scaricare Job_Aids_Designing_and_Deploying_Directory_and_Security_Services.zip, e aprire Domain Controller Placement (DSSTOPO_4.doc).

È necessario fare riferimento alle informazioni sulle posizioni in cui è necessario inserire emulatori PDC quando si distribuiscono domini regionali. Per ulteriori informazioni sulla distribuzione di domini regionali, vedere la distribuzione di Windows Server 2008 domini regionali.

Requisiti per il posizionamento master dell'infrastruttura

Il master infrastruttura aggiorna i nomi delle entità di sicurezza di altri domini aggiunti ai gruppi nel proprio dominio. Ad esempio, se un utente di un dominio è membro di un gruppo in un secondo dominio e il nome dell'utente viene modificato nel primo dominio, il secondo dominio non riceve una notifica che il nome dell'utente deve essere aggiornato nell'elenco di appartenenze del gruppo. Poiché i controller di dominio in un dominio non replicano le entità di sicurezza nei controller di dominio in un altro dominio, il secondo dominio non viene mai a conoscenza della modifica in assenza del master infrastruttura.

Il master infrastruttura monitora costantemente le appartenenze ai gruppi, cercando le entità di sicurezza di altri domini. Se ne trova uno, controlla con il dominio dell'entità di sicurezza per verificare che le informazioni vengano aggiornate. Se le informazioni non sono aggiornate, il master dell'infrastruttura esegue l'aggiornamento e quindi replica la modifica agli altri controller di dominio nel relativo dominio.

A questa regola si applicano due eccezioni. Innanzitutto, se tutti i controller di dominio sono server di catalogo globali, il controller di dominio che ospita il ruolo master dell'infrastruttura non è significativo perché i cataloghi globali replicano le informazioni aggiornate indipendentemente dal dominio a cui appartengono. In secondo luogo, se la foresta ha un solo dominio, il controller di dominio che ospita il ruolo master dell'infrastruttura non è significativo perché le entità di sicurezza di altri domini non esistono.

Non posizionare il master infrastruttura in un controller di dominio che è anche un server di catalogo globale. Se il master dell'infrastruttura e il catalogo globale si trovano nello stesso controller di dominio, il master dell'infrastruttura non funzionerà. Il master dell'infrastruttura non troverà mai i dati non aggiornati; pertanto, non verrà mai replicata alcuna modifica agli altri controller di dominio nel dominio.

Posizionamento master operazioni per le reti con connettività limitata

Tenere presente che se l'ambiente dispone di una posizione centrale o di un sito hub in cui è possibile posizionare i titolari di ruolo master operazioni, alcune operazioni del controller di dominio che dipendono dalla disponibilità di tali titolari di ruolo master operazioni potrebbero essere interessate.

Si supponga, ad esempio, che un'organizzazione crei siti A, B, C e D. I collegamenti del sito esistono tra A e B, tra B e C e C. La connettività di rete rispecchia esattamente la connettività di rete dei collegamenti dei siti. In questo esempio tutti i ruoli master operazioni vengono inseriti nel sito A e l'opzione Crea bridge tra tutti i collegamenti di sito non è selezionata.

Anche se questa configurazione comporta la corretta replica tra tutti i siti, le funzioni del ruolo master operazioni presentano le limitazioni seguenti:

  • I controller di dominio nei siti C e D non possono accedere all'emulatore PDC nel sito A per aggiornare una password o per verificarne la presenza di una password aggiornata di recente.
  • I controller di dominio nei siti C e D non possono accedere al master RID nel sito A per ottenere un pool RID iniziale dopo l'installazione di Active Directory e aggiornare i pool RID non appena vengono esauriti.
  • I controller di dominio nei siti C e D non possono aggiungere o rimuovere directory, DNS o partizioni di applicazioni personalizzate.
  • I controller di dominio nei siti C e D non possono apportare modifiche allo schema.

Per ottenere un foglio di lavoro che consenta di facilitare la pianificazione del posizionamento dei ruoli master delle operazioni, scaricare il file Job_Aids_Designing_and_Deploying_Directory_and_Security_Services.zip dalla pagina dei documenti di supporto per Windows Server 2003 Deployment Kit e aprire il documento "Domain Controller Placement" (DSSTOPO_4.doc).

È necessario fare riferimento a queste informazioni quando si crea il dominio radice della foresta e i domini internazionali. Per ulteriori informazioni sulla distribuzione di dominio radice della foresta, vedere Distribuzione di un dominio radice della foresta Windows Server 2008. Per ulteriori informazioni sulla distribuzione di domini regionali, vedere la distribuzione di Windows Server 2008 domini regionali.

Passaggi successivi

Altre informazioni sul posizionamento dei ruoli FSMO sono disponibili nell'argomento del supporto Posizionamento e ottimizzazione FSMO nei controller di dominio Active Directory