規劃設置操作主機角色

  • 發行項

適用於:Windows Server 2022、Windows Server 2019、Windows Server 2016、Windows Server 2012 R2、Windows Server 2012

Active Directory Domain Services (AD DS) 支援多主機目錄資料複寫,這表示任何網域控制站都可以接受目錄變更,並將變更複寫至所有其他網域控制站。 不過,特定變更 (例如結構描述修改) 不切實際,無法以多重主機形式執行。 基於這個理由,特定網域控制站 (稱為操作主機) 會保有負責接受某些特定變更要求的角色。

注意

操作主機角色持有者必須能夠將一些資訊寫入至 Active Directory 資料庫。 因為唯讀網域控制站 (RODC) 上 Active Directory 資料庫的唯讀特性,所以「RODC 無法作為操作主機角色持有者」

每個網域中都會有三個操作主機角色 (也稱為彈性單一主機操作或 FSMO):

  • 主要網域控制站 (PDC) 模擬器操作主機會處理所有密碼更新。

  • 相對識別碼 (RID) 操作主機會維護網域的全域 RID 集區,並將本機 RID 集區配置給所有網域控制站,以確保網域中所建立的所有安全性主體都有唯一識別碼。

  • 所給定網域的基礎結構操作主機會維護來自其他網域的安全性主體清單,而這些網域是其網域內群組的成員。

除了三個網域層級操作主機角色之外,每個樹系中還有兩個操作主機角色:

  • 結構描述操作主機會控管結構描述的變更。
  • 網域命名操作主機會在樹系中新增和移除網域和其他目錄磁碟分割 (例如,網域名稱系統 (DNS) 應用程式磁碟分割)。

將裝載這些操作主機角色的網域控制站放在網路可靠性很高的區域中,並確保 PDC 模擬器和 RID 主機持續可用。

建立給定網域中的第一個網域控制站時,會自動指派操作主機角色持有者。 這兩個樹系層級角色 (結構描述主機和網域命名主機) 會指派給樹系中所建立的第一個網域控制站。 此外,會將三個網域層級角色 (RID 主機、基礎結構主機和 PDC 模擬器) 指派給在網域中所建立的第一個網域控制站。

注意

只有在建立新網域時,以及降級目前角色持有者時,才會進行自動操作主機角色持有者指派。 所有其他角色擁有者變更都必須由系統管理員予以起始。

這些自動操作主機角色指派可能會導致樹系或網域中所建立的第一個網域控制站上具有極高的 CPU 使用量。 若要避免這種情況,請將操作主機角色指派 (傳輸) 給樹系或網域中的各種網域控制站。 將可裝載操作主機角色的網域控制站放在網路可靠的區域,以及樹系中所有其他網域控制站可存取操作主機的位置。

您也應該針對所有操作主機角色指定待命 (替代) 操作主機。 待命操作主機是網域控制站,而您可以在原始角色持有者失敗時,將操作主機角色轉移至該網域控制站。 請確定待命操作主機是實際操作主機的直接複寫夥伴。

規劃 PDC 模擬器放置

PDC 模擬器會處理用戶端密碼變更。 在樹系的每個網域中,只會有一個網域控制站作為 PDC 模擬器。

即使所有網域控制站都升級至 Windows 2000、Windows Server 2003 和 Windows Server 2008,而且網域是在 Windows 2000 原生功能層級運作,PDC 模擬器還是會收到網域中其他網域控制站所執行之密碼變更的優先複寫。 如果最近變更過密碼,則該變更需要時間才會複寫至網域中的每個網域控制站。 如果另一個網域控制站上的登入驗證因密碼錯誤而失敗,則該網域控制站會在決定接受還是拒絕登入嘗試之前,將驗證要求轉接給 PDC 模擬器。

視需要,將 PDC 模擬器放在包含來自該網域之大量使用者的位置,以進行密碼轉送作業。 此外,請確定位置已適當地連線至其他位置,以將複寫延遲降到最低。

如需工作表來協助您記載下列相關資訊:規劃放置 PDC 模擬器的位置以及每個位置中所代表之每個網域的使用者數目,請參閱 Windows Server 2003 部署套件的作業輔助工具、下載 Job_Aids_Designing_and_Deploying_Directory_and_Security_Services.zip,以及開啟網域控制站放置 (DSSTOPO_4.doc)。

您需要參照您在部署地區網域時需要放置 PDC 模擬器之位置的相關資訊。 如需部署地區網域的詳細資訊,請參閱部署 Windows Server 2008 地區網域

基礎結構主機放置的需求

基礎結構主機會更新來自其他網域的安全性主體名稱,而這些網域會新增至其自己網域中的群組。 例如,如果其中一個網域中的使用者是第二個網域中群組的成員,而且在第一個網域中變更使用者的名稱,則不會通知第二個網域有關必須更新使用者在群組成員資格清單中的名稱。 因為某個網域中的網域控制站未將安全性主體複寫至另一個網域中的網域控制站,所以第二個網域永遠不會在缺少基礎結構主機的情況下得知變更。

基礎結構主機會持續監視群組成員資格,以尋找來自其他網域的安全性主體。 如果找到,則會檢查安全性主體的網域,確認已更新資訊。 如果資訊過期,則基礎結構主機會執行更新,然後將變更複寫至其網域中的其他網域控制站。

此規則有兩個例外狀況。 首先,如果所有網域控制站都是通用類別目錄伺服器,則可裝載基礎結構主機角色的網域控制站並不重要,因為通用類別目錄會複寫更新過的資訊,而不論其所屬的網域為何。 其次,如果樹系只有一個網域,則可裝載基礎結構主機角色的網域控制站並不重要,因為不會有來自其他網域的安全性主體。

請不要將基礎結構主機轉放到也是通用類別目錄伺服器的網域控制站。 如果基礎結構主機和通用類別目錄位於相同的網域控制站,則基礎結構主機將無法運作。 基礎結構主機將會永遠找不到過期資料;因此,它將永遠不會將任何變更複寫至網域中的其他網域控制站。

具有有限連線之網路的操作主機放置

請注意,如果您的環境確實具有您可在其中放置操作主機角色持有者的中央位置或中樞網站,則可能會影響與這些操作主機角色持有者可用性相依的特定網域控制站操作。

例如,假設組織建立網站 A、B、C 和 D。A 與 B 之間、B 與 C 之間以及 C 與 D 之間都具有網站連結。網路連線完全鏡映網站連結的網路連線。 在此範例中,所有操作主機角色都會放在網站 A 中,而且未選取 [橋接所有網站連結] 的選項。

雖然此設定會導致所有網站之間的複寫成功,但操作主機角色函數具有下列限制:

  • 網站 C 和 D 中的網域控制站無法存取網站 A 中的 PDC 模擬器來更新密碼,或檢查是否有最近更新過的密碼。
  • 網站 C 和 D 中的網域控制站無法存取網站 A 中的 RID 主機,以在 Active Directory 安裝之後取得初始 RID 集區,以及在 RID 集區耗盡時對其重新整理。
  • 網站 C 和 D 中的網域控制站無法新增或移除目錄、DNS 或自訂應用程式磁碟分割。
  • 網站 C 和 D 中的網域控制站無法進行結構描述變更。

如需工作表來協助您規劃操作主機角色放置,請參閱 Windows Server 2003 部署套件的作業協助工具、下載 Job_Aids_Designing_and_Deploying_Directory_and_Security_Services.zip,以及開啟「網域控制站放置」(DSSTOPO_4.doc)。

當您建立樹系根網域和地區網域時,將需要參照此資訊。 如需部署樹系根網域的詳細資訊,請參閱部署 Windows Server 2008 樹系根網域。 如需部署地區網域的詳細資訊,請參閱部署 Windows Server 2008 地區網域

下一步

如需 FSMO 角色放置的其他資訊,請參閱支援主題 Active Directory 網域控制站上的 FSMO 放置和最佳化