Perencanaan Penempatan Peran Master Operasi
Berlaku untuk: Windows Server 2022, Windows Server 2019, Windows Server 2016, Windows Server 2012 R2, Windows Server 2012
Active Directory Domain Services (AD DS) mendukung replikasi multimaster data direktori, yang berarti pengontrol domain apa pun dapat menerima perubahan direktori dan mereplikasi perubahan ke semua pengontrol domain lainnya. Namun, perubahan tertentu, seperti modifikasi skema, tidak praktis untuk dilakukan dengan cara multimaster. Untuk alasan ini pengendali domain tertentu, yang dikenal sebagai master operasi, memegang peran yang bertanggung jawab untuk menerima permintaan untuk perubahan tertentu.
Catatan
Pemegang peran master operasi harus dapat menulis beberapa informasi ke database Direktori Aktif. Karena sifat baca-saja dari database Direktori Aktif pada pengendali domain baca-saja (RODC), RODC tidak dapat bertindak sebagai pemegang peran master operasi.
Tiga peran master operasi (juga dikenal sebagai operasi master tunggal fleksibel atau FSMO) ada di setiap domain:
Master operasi emulator pengendali domain utama (PDC) memproses semua pembaruan kata sandi.
Master operasi ID relatif (RID) mempertahankan kumpulan RID global untuk domain dan mengalokasikan kumpulan RID lokal ke semua pengendali domain untuk memastikan bahwa semua prinsip keamanan yang dibuat di domain memiliki pengidentifikasi unik.
Master operasi infrastruktur untuk domain tertentu mempertahankan daftar prinsip keamanan dari domain lain yang merupakan anggota grup dalam domainnya.
Selain tiga peran master operasi tingkat domain, dua peran master operasi ada di setiap forest:
- Master operasi skema mengatur perubahan pada skema.
- Master operasi penamaan domain menambahkan dan menghapus domain dan partisi direktori lainnya (misalnya, partisi aplikasi Sistem Nama Domain (DNS) ke dan dari forest.
Tempatkan pengendali domain yang menghosting peran master operasi ini di area di mana keandalan jaringan tinggi, dan pastikan emulator PDC dan master RID tersedia secara konsisten.
Pemegang peran master operasi ditetapkan secara otomatis ketika pengontrol domain pertama di domain tertentu dibuat. Dua peran tingkat hutan (master skema dan master penamaan domain) ditetapkan ke pengendali domain pertama yang dibuat di forest. Selain itu, tiga peran tingkat domain (master RID, master infrastruktur, dan emulator PDC) ditetapkan ke pengendali domain pertama yang dibuat di domain.
Catatan
Penetapan pemegang peran master operasi otomatis dibuat hanya ketika domain baru dibuat dan ketika pemegang peran saat ini diturunkan. Semua perubahan lain pada pemilik peran harus dimulai oleh administrator.
Penetapan peran master operasi otomatis ini dapat menyebabkan penggunaan CPU yang sangat tinggi pada pengendali domain pertama yang dibuat di forest atau domain. Untuk menghindari hal ini, tetapkan (transfer) peran master operasi ke berbagai pengendali domain di forest atau domain Anda. Tempatkan pengendali domain yang menghosting peran master operasi di area di mana jaringan dapat diandalkan dan di mana master operasi dapat diakses oleh semua pengontrol domain lain di forest.
Anda juga harus menunjuk master operasi siaga (alternatif) untuk semua peran master operasi. Master operasi siaga adalah pengendali domain tempat Anda dapat mentransfer peran master operasi jika pemegang peran asli gagal. Pastikan bahwa master operasi siaga adalah mitra replikasi langsung dari master operasi aktual.
Merencanakan penempatan emulator PDC
Emulator PDC memproses perubahan kata sandi klien. Hanya satu pengendali domain yang bertindak sebagai emulator PDC di setiap domain di forest.
Bahkan jika semua pengendali domain ditingkatkan ke Windows 2000, Windows Server 2003, dan Windows Server 2008 , dan domain beroperasi di tingkat fungsional asli Windows 2000, emulator PDC menerima replikasi preferensial perubahan kata sandi yang dilakukan oleh pengendali domain lain di domain. Jika kata sandi baru-baru ini diubah, perubahan tersebut membutuhkan waktu untuk mereplikasi ke setiap pengontrol domain di domain. Jika autentikasi masuk gagal di pengontrol domain lain karena kata sandi yang buruk, pengontrol domain tersebut meneruskan permintaan autentikasi ke emulator PDC sebelum memutuskan apakah akan menerima atau menolak upaya masuk.
Tempatkan emulator PDC di lokasi yang berisi sejumlah besar pengguna dari domain tersebut untuk operasi penerusan kata sandi jika diperlukan. Selain itu, pastikan lokasi terhubung dengan baik ke lokasi lain untuk meminimalkan latensi replikasi.
Agar lembar kerja membantu Anda mendokumentasikan informasi tentang tempat Anda berencana menempatkan emulator PDC dan jumlah pengguna untuk setiap domain yang diwakili di setiap lokasi, lihat Bantuan Pekerjaan untuk Kit Penyebaran Windows Server 2003, unduh Job_Aids_Designing_and_Deploying_Directory_and_Security_Services.zip, dan buka Penempatan Pengendali Domain (DSSTOPO_4.doc).
Anda perlu merujuk ke informasi tentang lokasi di mana Anda perlu menempatkan emulator PDC saat Anda menyebarkan domain regional. Untuk informasi selengkapnya tentang menyebarkan domain regional, lihat Menyebarkan Domain Regional Windows Server 2008.
Persyaratan untuk penempatan master infrastruktur
Master infrastruktur memperbarui nama prinsip keamanan dari domain lain yang ditambahkan ke grup di domainnya sendiri. Misalnya, jika pengguna dari satu domain adalah anggota grup di domain kedua dan nama pengguna diubah di domain pertama, domain kedua tidak diberi tahu bahwa nama pengguna harus diperbarui dalam daftar keanggotaan grup. Karena pengendali domain dalam satu domain tidak mereplikasi prinsip keamanan ke pengendali domain di domain lain, domain kedua tidak pernah menyadari perubahan tidak adanya master infrastruktur.
Master infrastruktur terus memantau keanggotaan grup, mencari prinsip keamanan dari domain lain. Jika menemukannya, ia memeriksa dengan domain perwakilan keamanan untuk memverifikasi bahwa informasi diperbarui. Jika informasi sudah kedaluarsa, master infrastruktur melakukan pembaruan lalu mereplikasi perubahan ke pengontrol domain lain di domainnya.
Dua pengecualian berlaku untuk aturan ini. Pertama, jika semua pengendali domain adalah server katalog global, pengendali domain yang menghosting peran master infrastruktur tidak signifikan karena katalog global mereplikasi informasi yang diperbarui terlepas dari domain tempat mereka berada. Kedua, jika forest hanya memiliki satu domain, pengendali domain yang menghosting peran master infrastruktur tidak signifikan karena prinsip keamanan dari domain lain tidak ada.
Jangan menempatkan master infrastruktur pada pengendali domain yang juga merupakan server katalog global. Jika master infrastruktur dan katalog global berada di pengendali domain yang sama, master infrastruktur tidak akan berfungsi. Master infrastruktur tidak akan pernah menemukan data yang sudah kedaluarsa; oleh karena itu, itu tidak akan pernah mereplikasi perubahan apa pun pada pengendali domain lain di domain.
Penempatan master operasi untuk jaringan dengan konektivitas terbatas
Ketahuilah bahwa jika lingkungan Anda memang memiliki lokasi pusat atau situs hub tempat Anda dapat menempatkan pemegang peran master operasi, operasi pengendali domain tertentu yang bergantung pada ketersediaan pemegang peran master operasi tersebut mungkin terpengaruh.
Misalnya, organisasi membuat situs A, B, C, dan D. Tautan situs ada antara A dan B, antara B dan C, dan antara C dan D. Konektivitas jaringan persis mencerminkan konektivitas jaringan tautan situs. Dalam contoh ini, semua peran master operasi ditempatkan di situs A dan opsi untuk Menjemput semua tautan situs tidak dipilih.
Meskipun konfigurasi ini menghasilkan replikasi yang berhasil antara semua situs, fungsi peran master operasi memiliki batasan berikut:
- Pengontrol domain di situs C dan D tidak dapat mengakses emulator PDC di situs A untuk memperbarui kata sandi atau memeriksa kata sandi yang baru saja diperbarui.
- Pengendali domain di situs C dan D tidak dapat mengakses master RID di situs A untuk mendapatkan kumpulan RID awal setelah penginstalan Direktori Aktif dan untuk menyegarkan kumpulan RID saat menjadi habis.
- Pengendali domain di situs C dan D tidak dapat menambahkan atau menghapus direktori, DNS, atau partisi aplikasi kustom.
- Pengendali domain di situs C dan D tidak dapat membuat perubahan skema.
Untuk lembar kerja untuk membantu Anda merencanakan penempatan peran master operasi, lihat Bantuan Pekerjaan untuk Kit Penyebaran Windows Server 2003, unduh Job_Aids_Designing_and_Deploying_Directory_and_Security_Services.zip, dan buka Penempatan Pengendali Domain (DSSTOPO_4.doc).
Anda harus merujuk ke informasi ini saat membuat domain akar hutan dan domain regional. Untuk informasi selengkapnya tentang menyebarkan domain akar hutan, lihat Menyebarkan Domain Akar Hutan Windows Server 2008. Untuk informasi selengkapnya tentang menyebarkan domain regional, lihat Menyebarkan Domain Regional Windows Server 2008.
Langkah berikutnya
Informasi tambahan tentang penempatan peran FSMO dapat ditemukan dalam topik dukungan penempatan dan pengoptimalan FSMO pada pengendali domain Direktori Aktif
Saran dan Komentar
Segera hadir: Sepanjang tahun 2024 kami akan menghentikan penggunaan GitHub Issues sebagai mekanisme umpan balik untuk konten dan menggantinya dengan sistem umpan balik baru. Untuk mengetahui informasi selengkapnya, lihat: https://aka.ms/ContentUserFeedback.
Kirim dan lihat umpan balik untuk