Freigeben über


Flexible Einzelmasteroperationsrollen in Active Directory-Domäne Services

Domänencontroller, die Masterrollen für Vorgänge enthalten, auch als flexible Einzelmasteroperationen (SINGLE Master Operations, FSMO)-Rollen bezeichnet, um das Verzeichnis ordnungsgemäß funktionieren zu lassen, indem eine eindeutige Gruppe von Domänen- und Gesamtstrukturverwaltungsaufgaben ausgeführt wird. FSMO-Rollen verhindern Konflikte im Verzeichnis, indem sichergestellt wird, dass bestimmte Updates jeweils nur von einem Domänencontroller verarbeitet werden. In diesem Artikel werden die fünf FSMO-Rollen erläutert und Richtlinien für die effektive Platzierung bereitgestellt.

Betriebsmasterrollen

In jeder Domäne sind drei Operationsmasterrollen vorhanden:

  • PDC-Emulator

  • RID-Meister

  • Infrastrukturmaster

Zwei Operationsmasterrollen sind auf Gesamtstrukturebene vorhanden:

  • Schemamaster

  • Domänenbenennungsmaster

PDC-Emulator

Der primäre Domänencontroller (PDC)-Emulator empfängt die bevorzugte Replikation von Kennwortänderungen, die über andere Domänencontroller in der Domäne auftreten. Der PDC-Emulator ist die Quelle für die neuesten Kennwortinformationen, wenn ein Anmeldeversuch aufgrund eines ungültigen Kennworts fehlschlägt. Außerdem werden Kontosperrungen verarbeitet. Dies ist ein bevorzugter Verwaltungspunkt für Dienste (Beispiele sind Gruppenrichtlinien und verteiltes Dateisystem, DFS). Aus diesem Grund hat die MASTER-Rolle des PDC-Emulators die höchste Auswirkung auf die Leistung des Domänencontrollers, der diese Rolle hostt. Der PDC-Emulator in der Stammdomäne der Gesamtstruktur ist die autorisierende Windows-Zeitdienstquelle (W32time) für die Gesamtstruktur.

RID-Meister

Der relative ID -Master (RID) weist RID-Pools allen Domänencontrollern zu, um sicherzustellen, dass neue Sicherheitsprinzipale mit einem eindeutigen Bezeichner erstellt werden können. Der Relative Identifier (RID)-Pool wird verwendet, um Objekten innerhalb einer Domäne eindeutige Sicherheits-IDs (SECURITY Identifiers, SIDs) zuzuweisen. Jedem Domänencontroller in einer Active Directory-Domäne wird ein Pool von RIDs zugewiesen, aus dem er eindeutige SIDs für neue Sicherheitsprinzipale (z. B. Benutzer, Gruppen und Computer) erstellen kann. Wenn ein Domänencontroller mehr SIDs benötigt, fordert er einen RIDs-Block vom RID-Master an.

Infrastrukturmaster

Der Infrastrukturmaster verwaltet Verweise von Objekten in seiner Domäne auf Objekte in anderen Domänen. Außerdem werden Gruppen-zu-Benutzer-Verweise aktualisiert, wenn die Mitglieder von Gruppen umbenannt oder geändert werden. Der Infrastrukturmaster stellt Verweise durch GUID, SID oder DN des Objekts dar, auf das verwiesen wird.

Schemamaster

Der Schemamaster steuert alle Änderungen am Schemabenennungskontext oder LDAP://cn=schema,cn=configuration,dc=<domain>. Das Active Directory-Schema definiert die Struktur und Regeln für die Daten des Verzeichnisses. Das Schema bestimmt, welche Objekttypen im Verzeichnis vorhanden sein können, welche Attribute diese Objekte aufweisen können, und die Beziehungen zwischen verschiedenen Objekttypen. Beispiel: Benutzer, Computer und Gruppen. Es gibt nur einen Schemamaster in einer AD DS-Gesamtstruktur.

Domänenbenennungsmaster

Der Domänenbenennungsmaster fügt Und entfernt Domänenverzeichnispartitionen und Anwendungsverzeichnispartitionen zu und aus der Gesamtstruktur. Sie ist für den Namenskontext der Partitionskonfiguration verantwortlich oder LDAP://CN=Partitions, CN=Configuration, DC=<domain>. Diese FSMO-Rolle ist für die Sicherstellung der Eindeutigkeit von Domänennamen innerhalb einer Gesamtstruktur und für die Autorisierung von Änderungen an der Gesamtstrukturnamespacestruktur verantwortlich. Er kann auch Querverweise auf Domänen in externen Verzeichnissen hinzufügen oder entfernen.

Richtlinien für die Rollenplatzierung

Sie können allen Domänencontrollern in der Gesamtstruktur und Domäne Die Hauptrollen für Vorgänge auf Gesamtstrukturebene und Domänen zuweisen. Die sorgfältige Platzierung Ihrer Betriebsmaster wird jedoch wichtiger, wenn Sie ihrer Gesamtstruktur weitere Domänen und Websites hinzufügen. Um ihre jeweiligen Vorgänge auszuführen, müssen die Domänencontroller, die Masterrollen hosten, konsistent verfügbar sein. Betriebsmaster müssen sich in Bereichen befinden, in denen die Netzwerksicherheit hoch ist.

Die folgenden Richtlinien tragen dazu bei, den Verwaltungsaufwand zu minimieren und die ordnungsgemäße Leistung von Active Directory-Domäne Services (AD DS) sicherzustellen. Die Richtlinien vereinfachen den Wiederherstellungsvorgang, wenn ein Domänencontroller, der eine Betriebsmasterrolle hostt, fehlschlägt.

Richtlinien für die Platzierung von Hauptrollen für Vorgänge:

  • Konfigurieren Sie einen anderen Domänencontroller als Standby-Betriebsmaster für die Rollen auf Gesamtstrukturebene.

  • Konfigurieren Sie einen anderen Domänencontroller als Standbybetriebsmaster für die Rollen auf Domänenebene.

  • Platzieren Sie Rollen auf Domänenebene auf einem leistungsfähigen Domänencontroller.

  • Belassen Sie Rollen auf Gesamtstrukturebene für einen Domänencontroller in der Stammdomäne der Gesamtstruktur.

  • Übertragen Sie in Der Stammdomäne der Gesamtstruktur die drei Rollen auf Domänenebene auf einen anderen Domänencontroller, der eine hohe Leistung aufweist.

  • Behalten Sie in allen anderen Domänen die Rollen auf Domänenebene auf dem ersten Domänencontroller bei.

  • Passen Sie die Arbeitsauslastung des PDC-Emulators bei Bedarf an.

Die PDC-Emulatorrolle erfordert einen leistungsfähigen und zuverlässigen Domänencontroller, um sicherzustellen, dass der Domänencontroller verfügbar ist und die Workload verarbeiten kann. Von allen Operationsmasterrollen erstellt die PDC-Emulatorrolle den größten Aufwand auf dem Server, auf dem die Rolle gehostet wird. Es hat die intensivste tägliche Interaktion mit anderen Systemen im Netzwerk. Der PDC-Emulator hat das größte Potenzial, tägliche Vorgänge des Verzeichnisses zu beeinflussen.

Falsche Platzierung der Infrastrukturmasterrolle kann dazu führen, dass der Infrastrukturmaster falsch ausgeführt wird. Wenn alle Domänencontroller in einer Domäne auch den globalen Katalog hosten, verfügen alle Domänencontroller über die aktuellen Daten. Wenn der Infrastrukturmaster auf einem globalen Katalogserver ausgeführt wird, wird die Aktualisierung von Objektinformationen beendet, da er keine Verweise auf Objekte enthält, die er nicht enthält. Daher werden domänenübergreifende Objektverweise in dieser Domäne nicht aktualisiert, und eine Warnung zu diesem Effekt wird im Ereignisprotokoll des Domänencontrollers protokolliert. Wenn das optionale Feature "Papierkorb" aktiviert ist, ist jeder Domänencontroller dafür verantwortlich, seine domänenübergreifenden Objektverweise zu aktualisieren, wenn das referenzierte Objekt verschoben, umbenannt oder gelöscht wird. In diesem Fall sind der Infrastruktur-FSMO-Rolle keine Aufgaben zugeordnet.

Nächste Schritte