Zarządzanie wzorcami operacji usług AD DS
Usługi AD DS używają wielowzorcowego procesu kopiowania danych między kontrolerami domeny i automatycznie implementuje algorytm rozwiązywania konfliktów, który koryguje równoczesne, powodujące konflikty aktualizacje. Te przepisy umożliwiają model zarządzania rozproszonego, w którym wielu użytkowników i aplikacji może jednocześnie stosować zmiany do obiektów usług AD DS na różnych kontrolerach domeny. Taki model jest niezbędny do obsługi dowolnego środowiska usług AD DS z co najmniej dwoma kontrolerami domeny. Jest to jednak szczególnie krytyczne dla większych, rozproszonych środowisk, takich jak contoso. Należy jednak pamiętać, że niektóre operacje mogą być wykonywane tylko przez określoną rolę na określonym kontrolerze domeny.
Co to są wzorce operacji usług AD DS?
Role wzorca operacji usług AD DS są odpowiedzialne za wykonywanie operacji, które nie są odpowiednie dla modelu wielowzorcowego. Kontroler domeny, który ma jedną z tych ról, jest wzorcem operacji. Rola wzorca operacji jest również nazywana rolą elastycznej pojedynczej operacji master (FSMO ). Istnieją pięć ról wzorca operacji:
- Wzorzec schematu
- Wzorzec nazewnictwa domeny
- Wzorzec infrastruktury
- Główny serwer RID z systemem
- Wzorzec emulatora kontrolera PDC
Domyślnie pierwszy kontroler domeny zainstalowany w lesie hostuje wszystkie pięć ról. Można jednak przenieść te role po wdrożeniu dodatkowych kontrolerów domeny. Podczas wykonywania zmian specyficznych dla wzorca operacji należy nawiązać połączenie z kontrolerem domeny z rolą. Pięć ról wzorca operacji ma następującą dystrybucję:
- Każdy las ma jeden wzorzec schematu i jeden wzorzec nazewnictwa domeny.
- Każda domena usług AD DS ma jeden wzorzec względnego identyfikatora (RID), jeden wzorzec infrastruktury i jeden podstawowy emulator kontrolera domeny (PDC).
Wszystkie pięć można umieścić na jednym kontrolerze domeny lub rozpowszechnić je na kilku kontrolerach domeny.
Wzorce operacji lasu
Las ma następujące role wzorca operacji:
- Wzorzec nazewnictwa domeny. Jest to kontroler domeny, z którym należy skontaktować się po dodaniu lub usunięciu domeny lub wprowadzeniu zmian nazwy domeny.
Ważne
Jeśli wzorzec nazewnictwa domeny jest niedostępny, nie będzie można dodać domen do lasu.
- Wzorzec schematu. Jest to kontroler domeny, w którym wprowadzasz wszystkie zmiany schematu.
Ważne
Jeśli wzorzec schematu jest niedostępny, nie będzie można wprowadzać zmian w schemacie.
Uwaga
Polecenie Windows PowerShell Get-ADForest
z modułu usługi Active Directory dla Windows PowerShell wyświetla właściwości lasu, w tym bieżący wzorzec nazewnictwa domeny i wzorzec schematu.
Wzorce operacji domeny
Domena ma następujące role wzorca operacji:
- Wzorzec rid. Za każdym razem, gdy tworzysz podmiot zabezpieczeń, taki jak użytkownik, komputer lub grupa w usługach AD DS, kontroler domeny, na którym został utworzony obiekt, przypisuje obiekt unikatowy numer identyfikacyjny znany jako identyfikator zabezpieczeń (SID). Aby upewnić się, że żadne dwa kontrolery domeny nie przypisują tego samego identyfikatora SID do dwóch różnych obiektów, wzorzec rid przydziela bloki identyfikatorów RD do każdego kontrolera domeny w domenie do użycia podczas tworzenia identyfikatorów SID.
Ważne
Jeśli główny serwer RID jest niedostępny, może wystąpić trudności z dodawaniem podmiotów zabezpieczeń do domeny. Ponadto, ponieważ kontrolery domeny korzystają z istniejących identyfikatorów ZAREZERWOWANYch, w końcu ich zabraknie i nie są w stanie utworzyć nowych obiektów.
- Wzorzec infrastruktury. Ta rola zachowuje odwołania do obiektów międzydomenowych, takie jak wtedy, gdy grupa w jednej domenie ma element członkowski z innej domeny. W takiej sytuacji główny serwer infrastruktury zarządza zachowaniem integralności tego odwołania. Na przykład podczas przeglądania karty Zabezpieczenia obiektu system odwołuje się do wymienionych identyfikatorów SID i tłumaczy je na nazwy. W lesie z wieloma domenami wzorzec infrastruktury aktualizuje odwołania do identyfikatorów SID z innych domen z odpowiednimi nazwami podmiotów zabezpieczeń.
Ważne
Jeśli wzorzec infrastruktury jest niedostępny, kontrolery domeny, które nie są wykazami globalnymi, nie będą mogły wykonywać tłumaczenia głównych nazw zabezpieczeń identyfikatorów SID.
Ważne
Rola wzorca infrastruktury nie powinna znajdować się na kontrolerze domeny, który hostuje rolę wykazu globalnego, chyba że każdy kontroler domeny w lesie jest skonfigurowany do obsługi jako wykazu globalnego. W takim przypadku rola wzorca infrastruktury nie jest konieczna, ponieważ każdy kontroler domeny wie o każdym obiekcie w lesie.
Wzorzec emulatora kontrolera PDC. Kontroler domeny, który jest wzorcem emulatora kontrolera PDC, służy jako źródło czasu dla domeny. Wzorzec emulatora kontrolera PDC w każdej domenie w lesie synchronizuje czas z wzorcem emulatora kontrolera PDC w domenie głównej lasu. Wzorzec emulatora kontrolera PDC należy ustawić w domenie głównej lasu, aby zsynchronizować z niezawodnym źródłem czasu zewnętrznego. Ponadto domyślnie zmiany w obiektach zasady grupy (GPO) są domyślnie zapisywane w bazie danych PDC Emulator master.
Wzorzec emulatora kontrolera PDC jest również kontrolerem domeny, który otrzymuje pilne zmiany hasła. Jeśli hasło użytkownika ulegnie zmianie, kontroler domeny z rolą master emulatora kontrolera PDC natychmiast odbiera te informacje. Oznacza to, że jeśli użytkownik spróbuje się zalogować, kontroler domeny w bieżącej lokalizacji użytkownika skontaktuje się z kontrolerem domeny z rolą master emulatora kontrolera PDC, aby sprawdzić ostatnie zmiany. Taka sytuacja będzie występować nawet wtedy, gdy kontroler domeny w innej lokalizacji, która nie otrzymała jeszcze nowych informacji o haśle uwierzytelniła użytkownika.
Ważne
Jeśli wzorzec emulatora kontrolera PDC jest niedostępny, użytkownicy mogą mieć problemy z logowaniem, dopóki zmiany hasła nie zostały zreplikowane do wszystkich kontrolerów domeny.
Uwaga
Polecenie Windows PowerShell Get-ADDomain
z modułu usługi Active Directory dla Windows PowerShell wyświetla właściwości domeny, w tym bieżący wzorzec rid, wzorzec infrastruktury i wzorzec emulatora kontrolera PDC.
Zarządzanie wzorcami operacji usług AD DS
W środowisku usług AD DS, w którym są dystrybuowane role wzorca operacji między kontrolerami domeny, może być konieczne przeniesienie roli z jednego kontrolera domeny do innego. W przypadku przenoszenia w zaplanowany sposób między dwoma kontrolerami domeny online przeniesienie jest nazywane przenoszeniem roli. W nagłych wypadkach, jeśli obecny posiadacz roli jest niedostępny, ruch jest znany jako ujmowanie roli. Podczas transferu roli najnowsze dane z kontrolera domeny w tej roli są replikowane do serwera docelowego.
Ważne
Należy przejąć rolę tylko w ostateczności, gdy nie ma szans na odzyskanie bieżącej roli posiadacza.
Przenoszenie ról wzorca operacji
Role wzorca operacji można przenosić przy użyciu przystawek usług AD DS wymienionych w poniższej tabeli.
Rola | Przystawka |
---|---|
Wzorzec schematu | Schemat usługi Active Directory |
Wzorzec nazewnictwa domeny | Domeny i relacje zaufania usługi Active Directory |
Wzorzec infrastruktury | Użytkownicy usługi Active Directory i komputery |
Główny serwer RID z systemem | Użytkownicy usługi Active Directory i komputery |
Wzorzec emulatora kontrolera PDC | Użytkownicy usługi Active Directory i komputery |
Przejmowanie ról wzorca operacji
Nie można używać przystawek usług AD DS do przejmowania ról wzorca operacji. Zamiast tego należy użyć narzędzia wiersza polecenia ntdsutil.exe lub Windows PowerShell, aby przejąć role.
Uwaga
Możesz również użyć tych narzędzi do transferu ról.
Składnia przesyłania roli i przejmowania roli jest podobna w Windows PowerShell, jak pokazuje następujący wiersz składni:
Move-ADDirectoryServerOperationsMasterRole -Identity "<servername>" -OperationsMasterRole "<rolenamelist>" -Force
Dla powyższej składni godne uwagi definicje są następujące:
- nazwa serwera. Nazwa docelowego kontrolera domeny, do którego przenosisz co najmniej jedną rolę.
- rolenamelist. Rozdzielona przecinkami lista nazw ról usług AD DS do przejścia na serwer docelowy.
- -Force. Opcjonalny parametr dołączany do przejęcia roli zamiast jej przesyłania.
Pokaz
W poniższym filmie wideo pokazano, jak:
- Identyfikowanie umieszczania ról wzorca operacji.
- Przenoszenie ról wzorca operacji między kontrolerami domeny.
Głównymi krokami procesu są:
- Tworzenie środowiska usług AD DS. Utwórz pojedynczy las usług AD DS domeny zawierający dwa kontrolery domeny.
- Sprawdź umieszczanie ról wzorca operacji. Określ, które z dwóch kontrolerów domeny hostuje role wzorca operacji.
- Przenoszenie ról wzorca operacji między kontrolerami domeny przy użyciu narzędzi graficznego interfejsu użytkownika. Użyj narzędzi graficznego interfejsu użytkownika, aby przenieść role wzorca operacji z kontrolera domeny zidentyfikowanego w poprzednim kroku do drugiego.
- Przenoszenie ról wzorca operacji między kontrolerami domeny przy użyciu narzędzi wiersza polecenia. Użyj narzędzi wiersza polecenia, aby przenieść role wzorca operacji z powrotem do pierwszego kontrolera domeny.
Szybka recenzja
Potrzebujesz pomocy? Zobacz nasz przewodnik po rozwiązywaniu problemów lub prześlij szczegółową opinię, zgłaszając problem.