Планирование размещения роли хозяина операций

  • Статья

Область применения: Windows Server 2022, Windows Server 2019, Windows Server 2016, Windows Server 2012 R2, Windows Server 2012

домен Active Directory службы (AD DS) поддерживают многомастерные реплика данные каталога, что означает, что любой контроллер домена может принимать изменения каталога и реплика вносить изменения во все остальные контроллеры домена. Однако некоторые изменения, такие как изменения схемы, нецелесообразны для выполнения в многомастерной форме. По этой причине некоторые контроллеры домена, известные как мастера операций, удерживают роли, ответственные за принятие запросов для определенных конкретных изменений.

Примечание.

Владельцы главных ролей операций должны иметь возможность записывать некоторые сведения в базу данных Active Directory. Из-за природы базы данных Active Directory только для чтения на контроллере домена только для чтения (RODC), контроллеры домена не могут выступать в качестве владельцев главного роли операций.

В каждом домене существуют три роли главных ролей операций (также известные как гибкие одно главных операций или FSMO):

  • Главный мастер операций эмулятора контроллера домена (PDC) обрабатывает все обновления паролей.

  • Мастер операций относительного идентификатора (RID) поддерживает глобальный пул RID для домена и выделяет локальные пулы RID для всех контроллеров домена, чтобы гарантировать, что все субъекты безопасности, созданные в домене, имеют уникальный идентификатор.

  • Мастер операций инфраструктуры для заданного домена поддерживает список субъектов безопасности из других доменов, являющихся членами групп в его домене.

В дополнение к трем основным ролям операций уровня домена в каждом лесу существуют две главные роли операций:

  • Мастер операций схемы управляет изменениями схемы.
  • Мастер операций именования доменов добавляет и удаляет домены и другие секции каталогов (например, секции приложений системы доменных имен (DNS) в лес и из него.

Поместите контроллеры домена, на которых размещаются эти главные роли операций, в тех областях, где высокая надежность сети, и убедитесь, что эмулятор PDC и главный контроллер RID постоянно доступны.

Владельцы ролей главного контроллера операций назначаются автоматически при создании первого контроллера домена в заданном домене. Две роли уровня леса (главный и главный мастер именования доменов) назначаются первому контроллеру домена, созданному в лесу. Кроме того, три роли уровня домена (master, infrastructure master, infrastructure master и PDC emulator) назначаются первому контроллеру домена, созданному в домене.

Примечание.

Автоматические назначения владельца ролей главного контроллера операций выполняются только при создании нового домена и при понижении текущего владельца роли. Все остальные изменения владельцев ролей должны быть инициированы администратором.

Эти назначения главных ролей автоматических операций могут привести к очень высокому использованию ЦП на первом контроллере домена, созданном в лесу или домене. Чтобы избежать этого, назначьте роли главных ролей операций передачи различным контроллерам домена в лесу или домене. Поместите контроллеры домена, на которых размещаются главные роли операций, в областях, где сеть надежна и где мастеры операций могут получить доступ ко всем другим контроллерам домена в лесу.

Вы также должны назначить мастеры резервных операций (альтернативные) для всех ролей главных операций. Мастера резервных операций — это контроллеры домена, в которые можно передать роли главных операций в случае сбоя исходных владельцев ролей. Убедитесь, что мастера резервных операций являются прямыми реплика партнерами по работе с фактическими мастерами операций.

Планирование размещения эмулятора PDC

Эмулятор PDC обрабатывает изменения пароля клиента. Только один контроллер домена выступает в качестве эмулятора PDC в каждом домене в лесу.

Даже если все контроллеры домена обновляются до Windows 2000, Windows Server 2003 и Windows Server 2008, а домен работает на собственном функциональном уровне Windows 2000, эмулятор PDC получает привилегированные реплика изменения пароля, выполняемые другими контроллерами домена в домене. Если пароль был недавно изменен, это изменение занимает время, чтобы реплика te к каждому контроллеру домена в домене. Если проверка подлинности входа завершается ошибкой на другом контроллере домена из-за неправильного пароля, контроллер домена перенаправит запрос проверки подлинности в эмулятор PDC, прежде чем принимать или отклонять попытку входа.

Поместите эмулятор PDC в расположение, содержащее большое количество пользователей из этого домена для операций пересылки паролей при необходимости. Кроме того, убедитесь, что расположение хорошо подключено к другим расположениям, чтобы свести к минимуму задержку реплика.

Лист поможет вам документировать сведения о том, где планируется разместить эмуляторы PDC и количество пользователей для каждого домена, представленного в каждом расположении, см. в разделе "Вспомогательные средства для развертывания Windows Server 2003", скачивание Job_Aids_Designing_and_Deploying_Directory_and_Security_Services.zip и открытие размещения контроллера домена (DSSTOPO_4.doc).

Вам нужно обратиться к сведениям о расположениях, в которых необходимо разместить эмуляторы PDC при развертывании региональных доменов. Дополнительные сведения о развертывании региональных доменов см. в разделе "Развертывание региональных доменов Windows Server 2008".

Требования к размещению главного узла инфраструктуры

Мастер инфраструктуры обновляет имена субъектов безопасности из других доменов, которые добавляются в группы в собственном домене. Например, если пользователь из одного домена является членом группы во втором домене и имя пользователя изменяется в первом домене, второй домен уведомляется о том, что имя пользователя должно быть обновлено в списке членства в группе. Так как контроллеры домена в одном домене не реплика te субъекты безопасности контроллерам домена в другом домене, второй домен никогда не узнает об изменении в отсутствии главного узла инфраструктуры.

Мастер инфраструктуры постоянно отслеживает членство в группах, ищет субъектов безопасности из других доменов. Если он находит его, он проверка с доменом субъекта безопасности, чтобы убедиться, что информация обновлена. Если сведения устарели, мастер инфраструктуры выполняет обновление, а затем реплика tes изменения на другие контроллеры домена в своем домене.

К этому правилу применяются два исключения. Во-первых, если все контроллеры домена являются глобальными серверами каталога, контроллер домена, на котором размещается роль главного сервера инфраструктуры, не имеет значения, так как глобальные каталоги реплика содержат обновленные сведения независимо от домена, к которому они относятся. Во-вторых, если лес имеет только один домен, контроллер домена, на котором размещена роль главного сервера инфраструктуры, незначителен, так как субъекты безопасности из других доменов не существуют.

Не помещайте главную инфраструктуру на контроллер домена, который также является глобальным сервером каталога. Если главный и глобальный каталог инфраструктуры находятся на одном контроллере домена, главный элемент инфраструктуры не будет работать. Мастер инфраструктуры никогда не будет находить данные, которые устарели; Таким образом, он никогда не будет реплика вносить изменения в другие контроллеры домена в домене.

Размещение главного узла операций для сетей с ограниченным подключением

Помните, что если в вашей среде есть центральное расположение или центральный сайт, в котором можно разместить владельцев главных ролей операций, могут повлиять определенные операции контроллера домена, зависящие от доступности этих владельцев главных ролей операций.

Например, предположим, что организация создает сайты A, B, C и D. Связи сайта существуют между A и B, между B и C и D. Сетевое подключение точно зеркало сетевое подключение ссылок сайтов. В этом примере все роли главных ролей операций помещаются на сайт A, а параметр "Мост всех ссылок сайта" не выбран.

Хотя эта конфигурация приводит к успешному реплика между всеми сайтами, функции главной роли операций имеют следующие ограничения:

  • Контроллеры домена на сайтах C и D не могут получить доступ к эмулятору PDC на сайте A, чтобы обновить пароль или проверка его для пароля, который был недавно обновлен.
  • Контроллеры домена на сайтах C и D не могут получить доступ к главному узлу RID на сайте A, чтобы получить начальный пул RID после установки Active Directory и обновить пулы RID по мере их истощения.
  • Контроллеры домена на сайтах C и D не могут добавлять или удалять разделы каталогов, DNS или пользовательских приложений.
  • Контроллеры домена на сайтах C и D не могут вносить изменения схемы.

Лист, помогающий вам в планировании размещения главных ролей операций, см. в статье "Вспомогательные средства для развертывания Windows Server 2003", скачивание Job_Aids_Designing_and_Deploying_Directory_and_Security_Services.zip и открытие размещения контроллера домена (DSSTOPO_4.doc).

При создании корневого домена леса и региональных доменов вам потребуется ссылаться на эти сведения. Дополнительные сведения о развертывании корневого домена леса см. в статье "Развертывание корневого домена леса Windows Server 2008". Дополнительные сведения о развертывании региональных доменов см. в разделе "Развертывание региональных доменов Windows Server 2008".

Следующие шаги

Дополнительные сведения о размещении ролей FSMO см. в разделе поддержки по размещению и оптимизации на контроллерах домена Active Directory.