Olvasás angol nyelven

Active Directory tartományi szolgáltatások műveleti főkiszolgálók kezelése

100 XP
  • 13 perc

Active Directory tartományi szolgáltatások (AD DS) egy több főkiszolgálós folyamatot használ az adatok tartományvezérlők közötti másolásához, és automatikusan implementál egy ütközésfeloldási algoritmust, amely az egyidejű, ütköző frissítéseket orvosolja. Ezek a rendelkezések lehetővé teszik az elosztott felügyeleti modell használatát, ahol egyszerre több felhasználó és alkalmazás is alkalmazhat módosításokat az AD DS-objektumokra különböző tartományvezérlőkön. Egy ilyen modell szükséges minden olyan AD DS-környezet támogatásához, amely két vagy több tartományvezérlővel rendelkezik. Ez azonban különösen fontos a nagyobb, elosztott környezetek, például a Contoso esetében. Fontos megjegyezni azonban, hogy bizonyos műveletek csak egy adott szerepkörrel, egy adott tartományvezérlőn végezhetők el.

Mik az AD DS műveleti főkiszolgálói?

Az AD DS műveleti főszerepkörei olyan műveletek végrehajtásáért felelősek, amelyek nem alkalmasak több főkiszolgálós modellre. Az ilyen szerepkörök egyikével rendelkező tartományvezérlő egy műveleti főkiszolgáló. A műveleti főkiszolgálói szerepköröket rugalmas egy főkiszolgálói (FSMO) szerepkörnek is nevezik. Öt műveleti főszerepkör létezik:

  • Sémaminta
  • Tartományelnevezési főkiszolgáló
  • Infrastruktúra főkiszolgálója
  • RID-főkiszolgáló
  • PDC emulátor főkiszolgálója

Alapértelmezés szerint az erdőbe telepített első tartományvezérlő mind az öt szerepkört üzemelteti. Ezeket a szerepköröket azonban további tartományvezérlők üzembe helyezése után is átviheti. A műveletek főszintű módosításainak végrehajtásakor csatlakoznia kell a szerepkörrel rendelkező tartományvezérlőhöz. Az öt műveleti főszerepkör a következő disztribúcióval rendelkezik:

  • Minden erdő egy séma-főkiszolgálóval és egy tartománynév-főkiszolgálóval rendelkezik.
  • Minden AD DS-tartományhoz tartozik egy RID-főkiszolgáló, egy infrastruktúra-főkiszolgáló és egy elsődleges tartományvezérlő (PDC) emulátor.

Mind az ötöt elhelyezheti egyetlen tartományvezérlőn, vagy terjesztheti őket több tartományvezérlő között.

Erdőműveleti főkiszolgálók

Az erdő a következő műveleti főszerepköröket tartalmazza:

  • Tartománynév-főkiszolgáló. Ezzel a tartományvezérlővel kell kapcsolatba lépnie, amikor hozzáad vagy eltávolít egy tartományt, vagy módosítja a tartománynevet.

    Fontos

    Ha a tartományelnevezési főkiszolgáló nem érhető el, nem fog tudni tartományokat hozzáadni az erdőhöz.

  • Sémaminta. Ez az a tartományvezérlő, amelyben az összes sémamódosítást elvégezheti.

    Fontos

    Ha a sémaminta nem érhető el, nem módosíthatja a sémát.

Megjegyzés

A Windows PowerShell Active Directory moduljának Get-ADForest parancsa megjeleníti az erdő tulajdonságait, beleértve az aktuális tartományelnevezési főkiszolgálót és sémamintát.

Tartományműveleti főkiszolgálók

Egy tartomány a következő műveleti főszerepköröket tartalmazza:

  • RID-főkiszolgáló. Amikor létrehoz egy biztonsági tagot, például egy felhasználót, számítógépet vagy csoportot az AD DS-ben, az objektumot létrehozó tartományvezérlő egy egyedi azonosító számot rendel az objektumhoz, amelyet biztonsági azonosítónak (SID) nevezünk. Annak biztosítása érdekében, hogy két tartományvezérlő ne rendelje ugyanazt a sid-et két különböző objektumhoz, a RID-főkiszolgáló a tartomány minden egyes tartományvezérlőjéhez lefoglalja a biztonsági azonosítók blokkjait, amelyeket SID-k létrehozásakor használhat.

    Fontos

    Ha a RID-főkiszolgáló nem érhető el, előfordulhat, hogy nehézségekbe ütközik biztonsági tagok hozzáadása a tartományhoz. Emellett, mivel a tartományvezérlők a meglévő RID-ket használják, végül elfogynak, és nem tudnak új objektumokat létrehozni.

  • Infrastruktúra-főkiszolgáló. Ez a szerepkör fenntartja a tartományok közötti objektumhivatkozásokat, például ha az egyik tartományban egy csoportnak van tagja egy másik tartományból. Ebben az esetben az infrastruktúra-főkiszolgáló kezeli a hivatkozás integritásának fenntartását. Ha például áttekinti egy objektum Biztonsági lapját, a rendszer hivatkozik a felsorolt SID-kre, és neveket fordít le rájuk. Többtartományos erdőben az infrastruktúra főkiszolgálója frissíti a más tartományokból származó SID-kre mutató hivatkozásokat a megfelelő egyszerű biztonsági nevek használatával.

    Fontos

    Ha az infrastruktúra főkiszolgálója nem érhető el, a nem globális katalógusok tartományvezérlői nem fogják tudni lefordítani az SID-k biztonsági egyszerű neveit.

    Fontos

    Az infrastruktúra-főkiszolgálói szerepkör nem lehet a globális katalógusszerepkört üzemeltető tartományvezérlőn, kivéve, ha az erdő összes tartományvezérlője globális katalógusként van konfigurálva. Ebben az esetben az infrastruktúra főkiszolgálói szerepköre nem szükséges, mert minden tartományvezérlő tud az erdő összes objektumáról.

  • PDC emulátor főkiszolgálója. A pdc emulátor főkiszolgálójaként szolgáló tartományvezérlő szolgál a tartomány időforrásaként. Az erdő minden tartományában a PDC emulátor főkiszolgálója szinkronizálja az idejüket az erdő gyökértartományában lévő PDC emulátor főkiszolgálójával. A PDC emulátor főkiszolgálójának beállítása az erdő gyökértartományában megbízható külső időforrással való szinkronizálásra. Emellett alapértelmezés szerint a csoportházirend-objektumok (CSOPORTHÁZIREND-k) módosításai alapértelmezés szerint a PDC Emulator főkiszolgálójához lesznek írva. A PDC emulátor főkiszolgálója az a tartományvezérlő is, amely sürgős jelszómódosításokat fogad. Ha egy felhasználó jelszava megváltozik, a PDC emulátor főszerepkörrel rendelkező tartományvezérlő azonnal megkapja ezeket az információkat. Ez azt jelenti, hogy ha a felhasználó megpróbál bejelentkezni, a felhasználó aktuális helyén lévő tartományvezérlő kapcsolatba lép a tartományvezérlővel a PDC emulátor főszerepkörével, hogy ellenőrizze a legutóbbi módosításokat. Ez akkor is megtörténik, ha egy másik helyen lévő tartományvezérlő, amely még nem kapta meg az új jelszóadatokat, hitelesítette a felhasználót.

    Fontos

    Ha a PDC emulátor főkiszolgálója nem érhető el, előfordulhat, hogy a felhasználók nem jelentkeznek be, amíg a jelszómódosítások nem replikálódnak az összes tartományvezérlőre.

Megjegyzés

A Windows PowerShell Active Directory moduljának Get-ADDomain parancsa megjeleníti a tartománytulajdonságokat, beleértve az aktuális RID-főkiszolgálót, az infrastruktúra-főkiszolgálót és a PDC-emulátor főkiszolgálót.

Az AD DS műveleti főkiszolgálóinak kezelése

Olyan AD DS-környezetben, ahol a műveleti főszerepköröket tartományvezérlők között osztja el, előfordulhat, hogy át kell helyeznie egy szerepkört az egyik tartományvezérlőről a másikra. Ha két online tartományvezérlő között tervezett módon végez áthelyezést, az áthelyezést a szerepkör átvitelének nevezzük. Vészhelyzet esetén, ha az aktuális szerepkör-tulajdonos nem érhető el, az áthelyezés a szerepkör lefoglalásának minősül. Szerepkör átvitelekor a szerepkör tartományvezérlőjének legfrissebb adatai replikálódnak a célkiszolgálóra.

Fontos

A szerepkört csak akkor érdemes végső megoldásként lefoglalni, ha nincs esély a jelenlegi szerepkör birtokosának helyreállítására.

Átviteli műveletek főszerepkörei

A műveleti főszerepköröket az alábbi táblázat által listázott AD DS beépülő modulok használatával lehet átadni.

Szerepkör Beépülő modul
Sémaminta Active Directory-séma
Tartományelnevezési főkiszolgáló Active Directory-tartomány és megbízhatósági kapcsolatok
Infrastruktúra főkiszolgálója Active Directory - felhasználók és számítógépek
RID-főkiszolgáló Active Directory - felhasználók és számítógépek
PDC emulátor főkiszolgálója Active Directory - felhasználók és számítógépek

Az AD DS beépülő modulokkal nem foglalhatja le a műveleti főszerepköröket. Ehelyett a szerepkörök lefoglalásához vagy a ntdsutil.exe parancssori eszközt vagy a Windows PowerShellt kell használnia.

Megjegyzés

Ezeket az eszközöket a szerepkörök átvitelére is használhatja.

A szerepkörök átvitelének és a szerepkörök lefoglalásának szintaxisa hasonló a Windows PowerShellben, ahogy az alábbi szintaxissor is mutatja:

PowerShell 
Move-ADDirectoryServerOperationsMasterRole -Identity "<servername>" -OperationsMasterRole "<rolenamelist>" -Force

Az előző szintaxisban a figyelemre méltó definíciók a következők:

  • kiszolgálónév: Annak a cél tartományvezérlőnek a neve, amelybe egy vagy több szerepkört továbbít.
  • rolenamelist: Az AD DS szerepkörnevek vesszővel tagolt listája a célkiszolgálóra való áthelyezéshez.
  • -Kényszerítés: Egy választható paraméter, amelybe belefoglal egy szerepkört az átvitel helyett.

Bemutató

Az alábbi videó bemutatja, hogyan:

  • A műveleti főszerepkörök elhelyezésének azonosítása.
  • Műveleti főkiszolgálói szerepkörök átvitele a tartományvezérlők között.

A folyamat fő lépései a következők:

  1. AD DS-környezet létrehozása. Hozzon létre egyetlen tartományi AD DS-erdőt, amely két tartományvezérlőt tartalmaz.
  2. Ellenőrizze a műveleti főszerepkörök elhelyezését. Azonosítsa, hogy a két tartományvezérlő közül melyik üzemelteti a műveleti főszerepköröket.
  3. A GUI-eszközökkel főkiszolgálói szerepkörök átvitele a tartományvezérlők között. A grafikus felhasználói felület eszközeivel átviheti a műveleti főkiszolgálói szerepköröket az előző lépésben azonosított tartományvezérlőről a másikra.
  4. A műveleti főszerepkörök átvitele a tartományvezérlők között parancssori eszközökkel. A parancssori eszközökkel a műveleti főkiszolgálói szerepköröket visszaadhatja az első tartományvezérlőre.

Következő egység: Tudásteszt

Előző Következő