Poprzednie

Następne

Zarządzanie wzorcami operacji usług AD DS

Ukończone

Usługi AD DS używają wielowzorcowego procesu do kopiowania danych między kontrolerami domeny i automatycznie implementuje algorytm rozwiązywania konfliktów, który koryguje równoczesne, powodujące konflikty aktualizacje. Te przepisy umożliwiają korzystanie z rozproszonego modelu zarządzania, w którym wielu użytkowników i aplikacji może jednocześnie stosować zmiany do obiektów usług AD DS na różnych kontrolerach domeny. Taki model jest niezbędny do obsługi dowolnego środowiska usług AD DS z co najmniej dwoma kontrolerami domeny. Jednak jest to szczególnie krytyczne dla większych, rozproszonych środowisk, takich jak contoso. Należy jednak pamiętać, że niektóre operacje mogą być wykonywane tylko przez określoną rolę na określonym kontrolerze domeny.

Co to są wzorce operacji usług AD DS?

Role wzorca operacji usług AD DS są odpowiedzialne za wykonywanie operacji, które nie są odpowiednie dla modelu wielowzorcowego. Kontroler domeny, który ma jedną z tych ról, jest wzorcem operacji. Rola wzorca operacji jest również nazywana rolą fsMO (Flexible Single Master Operation). Istnieją pięć ról wzorca operacji:

• Wzorzec schematu
• Wzorzec nazewnictwa domen
• Wzorzec infrastruktury
• Wzorzec identyfikatorów RID
• Wzorzec emulatora kontrolera PDC

Domyślnie pierwszy kontroler domeny zainstalowany w lesie hostuje wszystkie pięć ról. Te role można jednak przenieść po wdrożeniu dodatkowych kontrolerów domeny. Podczas wykonywania zmian specyficznych dla wzorca operacji należy połączyć się z kontrolerem domeny z rolą. Pięć ról wzorca operacji ma następującą dystrybucję:

• Każdy las ma jeden wzorzec schematu i jeden wzorzec nazewnictwa domen.
• Każda domena usług AD DS ma jeden wzorzec względnego identyfikatora (RID), jeden wzorzec infrastruktury i jeden emulator podstawowego kontrolera domeny (PDC).

Wszystkie pięć można umieścić na jednym kontrolerze domeny lub rozłożyć je na kilku kontrolerach domeny.

Wzorce operacji lasu

Las ma następujące role wzorca operacji:

• Wzorzec nazewnictwa domen. Jest to kontroler domeny, który należy skontaktować się podczas dodawania lub usuwania domeny lub wprowadzania zmian nazwy domeny.

Ważne

Jeśli wzorzec nazewnictwa domeny jest niedostępny, nie będzie można dodać domen do lasu.

• Wzorzec schematu. Jest to kontroler domeny, w którym wprowadzasz wszystkie zmiany schematu.

Ważne

Jeśli wzorzec schematu jest niedostępny, nie będzie można wprowadzać zmian w schemacie.

Uwaga

Polecenie Get-ADForestprogramu Windows PowerShell z modułu usługi Active Directory dla programu Windows PowerShell wyświetla właściwości lasu, w tym bieżący wzorzec nazewnictwa domeny i wzorzec schematu.

Wzorce operacji domeny

Domena ma następujące role wzorca operacji:

• Wzorzec rid. Za każdym razem, gdy tworzysz podmiot zabezpieczeń, taki jak użytkownik, komputer lub grupa w usługach AD DS, kontroler domeny, na którym został utworzony obiekt, przypisuje obiekt unikatowy numer identyfikacyjny znany jako identyfikator zabezpieczeń (SID). Aby upewnić się, że żadne dwa kontrolery domeny nie przypisują tego samego identyfikatora SID do dwóch różnych obiektów, główny serwer RID przydziela bloki identyfikatorów RID do każdego kontrolera domeny w domenie do użycia podczas tworzenia identyfikatorów SID.

Ważne

Jeśli główny serwer RID jest niedostępny, mogą wystąpić problemy z dodawaniem podmiotów zabezpieczeń do domeny. Ponadto, ponieważ kontrolery domeny używają istniejących identyfikatorów ZAREZERWOWANYch, w końcu ich zabraknie i nie mogą utworzyć nowych obiektów.

• Wzorzec infrastruktury. Ta rola obsługuje odwołania do obiektów międzydomenowych, na przykład gdy grupa w jednej domenie ma element członkowski z innej domeny. W takiej sytuacji wzorzec infrastruktury zarządza zachowaniem integralności tego odwołania. Na przykład podczas przeglądania karty Zabezpieczenia obiektu system odwołuje się do wymienionych identyfikatorów SID i tłumaczy je na nazwy. W lesie z wieloma domenami wzorzec infrastruktury aktualizuje odwołania do identyfikatorów SID z innych domen z odpowiednimi nazwami głównymi zabezpieczeń.

Ważne

Jeśli wzorzec infrastruktury jest niedostępny, kontrolery domeny, które nie są wykazami globalnymi, nie będą mogły wykonywać tłumaczenia głównych nazw zabezpieczeń identyfikatorów SID.

Ważne

Rola wzorca infrastruktury nie powinna znajdować się na kontrolerze domeny, który hostuje rolę wykazu globalnego, chyba że każdy kontroler domeny w lesie jest skonfigurowany do obsługi jako wykazu globalnego. W takim przypadku rola wzorca infrastruktury nie jest konieczna, ponieważ każdy kontroler domeny wie o każdym obiekcie w lesie.

• Wzorzec emulatora podstawowego kontrolera DOMENY. Kontroler domeny, który jest głównym emulatorem podstawowego kontrolera domeny, służy jako źródło czasu dla domeny. Wzorzec emulatora kontrolera PDC w każdej domenie w lesie synchronizuje czas z wzorcem emulatora kontrolera PDC w domenie głównej lasu. Należy ustawić wzorzec emulatora podstawowego kontrolera domeny w domenie głównej lasu, aby zsynchronizować z niezawodnym źródłem czasu zewnętrznego. Ponadto domyślnie zmiany obiektów zasad grupy (GPO) są domyślnie zapisywane na serwerze głównym emulatora podstawowego kontrolera PDC. Wzorzec emulatora podstawowego kontrolera domeny jest również kontrolerem domeny, który otrzymuje pilne zmiany hasła. Jeśli hasło użytkownika ulegnie zmianie, kontroler domeny z rolą wzorca emulatora podstawowego kontrolera domeny otrzymuje te informacje natychmiast. Oznacza to, że jeśli użytkownik spróbuje się zalogować, kontroler domeny w bieżącej lokalizacji użytkownika skontaktuje się z kontrolerem domeny z rolą wzorca emulatora kontrolera PDC w celu sprawdzenia ostatnich zmian. Taka sytuacja będzie występować nawet wtedy, gdy kontroler domeny w innej lokalizacji, która nie otrzymała jeszcze nowych informacji o haśle, uwierzytelniła użytkownika.

Ważne

Jeśli wzorzec emulatora podstawowego kontrolera domeny jest niedostępny, użytkownicy mogą mieć problemy z logowaniem, dopóki zmiany hasła nie zostały zreplikowane na wszystkich kontrolerach domeny.

Uwaga

Polecenie Get-ADDomainprogramu Windows PowerShell z modułu usługi Active Directory dla programu Windows PowerShell wyświetla właściwości domeny, w tym bieżący wzorzec RID, wzorzec infrastruktury i wzorzec emulatora podstawowego kontrolera PDC.

Zarządzanie wzorcami operacji usług AD DS

W środowisku usług AD DS, w którym są dystrybuowane role wzorca operacji między kontrolerami domeny, może być konieczne przeniesienie roli z jednego kontrolera domeny do innego. Podczas przenoszenia w zaplanowany sposób między dwoma kontrolerami domeny w trybie online przenoszenie jest nazywane transferem roli. W sytuacjach nadzwyczajnych, jeśli obecny posiadacz roli jest niedostępny, ruch jest znany jako przejęcie roli. Podczas transferu roli najnowsze dane z kontrolera domeny w tej roli są replikowane na serwer docelowy.

Ważne

Należy przejąć rolę tylko w ostateczności, gdy nie ma szans na odzyskanie bieżącego posiadacza roli.

Przenoszenie ról wzorca operacji

Role wzorca operacji można przenosić przy użyciu przystawek usług AD DS wymienionych w poniższej tabeli.

Rola

Przystawka

Wzorzec schematu

Schemat usługi Active Directory

Wzorzec nazewnictwa domen

domena usługi Active Directory i zaufania

Wzorzec infrastruktury

Użytkownicy i komputery usługi Active Directory

Wzorzec identyfikatorów RID

Użytkownicy i komputery usługi Active Directory

Wzorzec emulatora kontrolera PDC

Użytkownicy i komputery usługi Active Directory

Przejmowanie ról wzorca operacji

Nie można użyć przystawek usług AD DS do przejęcia ról wzorca operacji. Zamiast tego należy użyć narzędzia wiersza polecenia ntdsutil.exe lub środowiska Windows PowerShell, aby przejąć role.

Uwaga

Możesz również użyć tych narzędzi do przenoszenia ról.

Składnia przenoszenia roli i przejęcia roli jest podobna w programie Windows PowerShell, jak pokazano w poniższym wierszu składni:

Move-ADDirectoryServerOperationsMasterRole -Identity "<servername>" -OperationsMasterRole "<rolenamelist>" -Force

W przypadku powyższej składni godne uwagi definicje są następujące:

• nazwa serwera. Nazwa docelowego kontrolera domeny, do którego jest przenoszona co najmniej jedna rola.
• rolenamelist. Rozdzielona przecinkami lista nazw ról usług AD DS do przejścia na serwer docelowy.
• -Force. Opcjonalny parametr, który należy uwzględnić, aby przejąć rolę zamiast go przenieść.

Pokaz

W poniższym filmie wideo pokazano, jak:

• Identyfikowanie umieszczania ról wzorca operacji.
• Przenoszenie ról wzorca operacji między kontrolerami domeny.

Główne kroki procesu to:

1. Tworzenie środowiska usług AD DS. Utwórz jeden las usług AD DS domeny zawierający dwa kontrolery domeny.
2. Sprawdź umieszczanie ról wzorca operacji. Określ, które z dwóch kontrolerów domeny hostuje role wzorca operacji.
3. Transferowanie ról wzorca operacji między kontrolerami domeny przy użyciu narzędzi graficznego interfejsu użytkownika. Użyj narzędzi graficznego interfejsu użytkownika, aby przenieść role wzorców operacji z kontrolera domeny zidentyfikowanego w poprzednim kroku do drugiego.
4. Transferowanie ról wzorca operacji między kontrolerami domeny przy użyciu narzędzi wiersza polecenia. Użyj narzędzi wiersza polecenia, aby przenieść role wzorców operacji z powrotem do pierwszego kontrolera domeny.

---

Sprawdź swoją wiedzę

1.

Jakie narzędzie umożliwia transfer roli wzorca operacji infrastruktury?

Użytkownicy i komputery usługi Active Directory

domena usługi Active Directory i zaufania

Schemat usługi Active Directory

Przed sprawdzeniem pracy musisz odpowiedzieć na wszystkie pytania.

Kontynuuj