Zarządzanie wzorcami operacji usług AD DS

Ukończone

Usługi AD DS używają wielowzorcowego procesu kopiowania danych między kontrolerami domeny i automatycznie implementuje algorytm rozwiązywania konfliktów, który koryguje równoczesne, powodujące konflikty aktualizacje. Te przepisy umożliwiają model zarządzania rozproszonego, w którym wielu użytkowników i aplikacji może jednocześnie stosować zmiany do obiektów usług AD DS na różnych kontrolerach domeny. Taki model jest niezbędny do obsługi dowolnego środowiska usług AD DS z co najmniej dwoma kontrolerami domeny. Jest to jednak szczególnie krytyczne dla większych, rozproszonych środowisk, takich jak contoso. Należy jednak pamiętać, że niektóre operacje mogą być wykonywane tylko przez określoną rolę na określonym kontrolerze domeny.

Co to są wzorce operacji usług AD DS?

Role wzorca operacji usług AD DS są odpowiedzialne za wykonywanie operacji, które nie są odpowiednie dla modelu wielowzorcowego. Kontroler domeny, który ma jedną z tych ról, jest wzorcem operacji. Rola wzorca operacji jest również nazywana rolą elastycznej pojedynczej operacji master (FSMO ). Istnieją pięć ról wzorca operacji:

  • Wzorzec schematu
  • Wzorzec nazewnictwa domeny
  • Wzorzec infrastruktury
  • Główny serwer RID z systemem
  • Wzorzec emulatora kontrolera PDC

Domyślnie pierwszy kontroler domeny zainstalowany w lesie hostuje wszystkie pięć ról. Można jednak przenieść te role po wdrożeniu dodatkowych kontrolerów domeny. Podczas wykonywania zmian specyficznych dla wzorca operacji należy nawiązać połączenie z kontrolerem domeny z rolą. Pięć ról wzorca operacji ma następującą dystrybucję:

  • Każdy las ma jeden wzorzec schematu i jeden wzorzec nazewnictwa domeny.
  • Każda domena usług AD DS ma jeden wzorzec względnego identyfikatora (RID), jeden wzorzec infrastruktury i jeden podstawowy emulator kontrolera domeny (PDC).

Wszystkie pięć można umieścić na jednym kontrolerze domeny lub rozpowszechnić je na kilku kontrolerach domeny.

Wzorce operacji lasu

Las ma następujące role wzorca operacji:

  • Wzorzec nazewnictwa domeny. Jest to kontroler domeny, z którym należy skontaktować się po dodaniu lub usunięciu domeny lub wprowadzeniu zmian nazwy domeny.

Ważne

Jeśli wzorzec nazewnictwa domeny jest niedostępny, nie będzie można dodać domen do lasu.

  • Wzorzec schematu. Jest to kontroler domeny, w którym wprowadzasz wszystkie zmiany schematu.

Ważne

Jeśli wzorzec schematu jest niedostępny, nie będzie można wprowadzać zmian w schemacie.

Uwaga

Polecenie Windows PowerShell Get-ADForestz modułu usługi Active Directory dla Windows PowerShell wyświetla właściwości lasu, w tym bieżący wzorzec nazewnictwa domeny i wzorzec schematu.

Wzorce operacji domeny

Domena ma następujące role wzorca operacji:

  • Wzorzec rid. Za każdym razem, gdy tworzysz podmiot zabezpieczeń, taki jak użytkownik, komputer lub grupa w usługach AD DS, kontroler domeny, na którym został utworzony obiekt, przypisuje obiekt unikatowy numer identyfikacyjny znany jako identyfikator zabezpieczeń (SID). Aby upewnić się, że żadne dwa kontrolery domeny nie przypisują tego samego identyfikatora SID do dwóch różnych obiektów, wzorzec rid przydziela bloki identyfikatorów RD do każdego kontrolera domeny w domenie do użycia podczas tworzenia identyfikatorów SID.

Ważne

Jeśli główny serwer RID jest niedostępny, może wystąpić trudności z dodawaniem podmiotów zabezpieczeń do domeny. Ponadto, ponieważ kontrolery domeny korzystają z istniejących identyfikatorów ZAREZERWOWANYch, w końcu ich zabraknie i nie są w stanie utworzyć nowych obiektów.

  • Wzorzec infrastruktury. Ta rola zachowuje odwołania do obiektów międzydomenowych, takie jak wtedy, gdy grupa w jednej domenie ma element członkowski z innej domeny. W takiej sytuacji główny serwer infrastruktury zarządza zachowaniem integralności tego odwołania. Na przykład podczas przeglądania karty Zabezpieczenia obiektu system odwołuje się do wymienionych identyfikatorów SID i tłumaczy je na nazwy. W lesie z wieloma domenami wzorzec infrastruktury aktualizuje odwołania do identyfikatorów SID z innych domen z odpowiednimi nazwami podmiotów zabezpieczeń.

Ważne

Jeśli wzorzec infrastruktury jest niedostępny, kontrolery domeny, które nie są wykazami globalnymi, nie będą mogły wykonywać tłumaczenia głównych nazw zabezpieczeń identyfikatorów SID.

Ważne

Rola wzorca infrastruktury nie powinna znajdować się na kontrolerze domeny, który hostuje rolę wykazu globalnego, chyba że każdy kontroler domeny w lesie jest skonfigurowany do obsługi jako wykazu globalnego. W takim przypadku rola wzorca infrastruktury nie jest konieczna, ponieważ każdy kontroler domeny wie o każdym obiekcie w lesie.

  • Wzorzec emulatora kontrolera PDC. Kontroler domeny, który jest wzorcem emulatora kontrolera PDC, służy jako źródło czasu dla domeny. Wzorzec emulatora kontrolera PDC w każdej domenie w lesie synchronizuje czas z wzorcem emulatora kontrolera PDC w domenie głównej lasu. Wzorzec emulatora kontrolera PDC należy ustawić w domenie głównej lasu, aby zsynchronizować z niezawodnym źródłem czasu zewnętrznego. Ponadto domyślnie zmiany w obiektach zasady grupy (GPO) są domyślnie zapisywane w bazie danych PDC Emulator master.

    Wzorzec emulatora kontrolera PDC jest również kontrolerem domeny, który otrzymuje pilne zmiany hasła. Jeśli hasło użytkownika ulegnie zmianie, kontroler domeny z rolą master emulatora kontrolera PDC natychmiast odbiera te informacje. Oznacza to, że jeśli użytkownik spróbuje się zalogować, kontroler domeny w bieżącej lokalizacji użytkownika skontaktuje się z kontrolerem domeny z rolą master emulatora kontrolera PDC, aby sprawdzić ostatnie zmiany. Taka sytuacja będzie występować nawet wtedy, gdy kontroler domeny w innej lokalizacji, która nie otrzymała jeszcze nowych informacji o haśle uwierzytelniła użytkownika.

Ważne

Jeśli wzorzec emulatora kontrolera PDC jest niedostępny, użytkownicy mogą mieć problemy z logowaniem, dopóki zmiany hasła nie zostały zreplikowane do wszystkich kontrolerów domeny.

Uwaga

Polecenie Windows PowerShell Get-ADDomainz modułu usługi Active Directory dla Windows PowerShell wyświetla właściwości domeny, w tym bieżący wzorzec rid, wzorzec infrastruktury i wzorzec emulatora kontrolera PDC.

Zarządzanie wzorcami operacji usług AD DS

W środowisku usług AD DS, w którym są dystrybuowane role wzorca operacji między kontrolerami domeny, może być konieczne przeniesienie roli z jednego kontrolera domeny do innego. W przypadku przenoszenia w zaplanowany sposób między dwoma kontrolerami domeny online przeniesienie jest nazywane przenoszeniem roli. W nagłych wypadkach, jeśli obecny posiadacz roli jest niedostępny, ruch jest znany jako ujmowanie roli. Podczas transferu roli najnowsze dane z kontrolera domeny w tej roli są replikowane do serwera docelowego.

Ważne

Należy przejąć rolę tylko w ostateczności, gdy nie ma szans na odzyskanie bieżącej roli posiadacza.

Przenoszenie ról wzorca operacji

Role wzorca operacji można przenosić przy użyciu przystawek usług AD DS wymienionych w poniższej tabeli.

Rola Przystawka
Wzorzec schematu Schemat usługi Active Directory
Wzorzec nazewnictwa domeny Domeny i relacje zaufania usługi Active Directory
Wzorzec infrastruktury Użytkownicy usługi Active Directory i komputery
Główny serwer RID z systemem Użytkownicy usługi Active Directory i komputery
Wzorzec emulatora kontrolera PDC Użytkownicy usługi Active Directory i komputery

Przejmowanie ról wzorca operacji

Nie można używać przystawek usług AD DS do przejmowania ról wzorca operacji. Zamiast tego należy użyć narzędzia wiersza polecenia ntdsutil.exe lub Windows PowerShell, aby przejąć role.

Uwaga

Możesz również użyć tych narzędzi do transferu ról.

Składnia przesyłania roli i przejmowania roli jest podobna w Windows PowerShell, jak pokazuje następujący wiersz składni:

Move-ADDirectoryServerOperationsMasterRole -Identity "<servername>" -OperationsMasterRole "<rolenamelist>" -Force

Dla powyższej składni godne uwagi definicje są następujące:

  • nazwa serwera. Nazwa docelowego kontrolera domeny, do którego przenosisz co najmniej jedną rolę.
  • rolenamelist. Rozdzielona przecinkami lista nazw ról usług AD DS do przejścia na serwer docelowy.
  • -Force. Opcjonalny parametr dołączany do przejęcia roli zamiast jej przesyłania.

Pokaz

W poniższym filmie wideo pokazano, jak:

  • Identyfikowanie umieszczania ról wzorca operacji.
  • Przenoszenie ról wzorca operacji między kontrolerami domeny.

Głównymi krokami procesu są:

  1. Tworzenie środowiska usług AD DS. Utwórz pojedynczy las usług AD DS domeny zawierający dwa kontrolery domeny.
  2. Sprawdź umieszczanie ról wzorca operacji. Określ, które z dwóch kontrolerów domeny hostuje role wzorca operacji.
  3. Przenoszenie ról wzorca operacji między kontrolerami domeny przy użyciu narzędzi graficznego interfejsu użytkownika. Użyj narzędzi graficznego interfejsu użytkownika, aby przenieść role wzorca operacji z kontrolera domeny zidentyfikowanego w poprzednim kroku do drugiego.
  4. Przenoszenie ról wzorca operacji między kontrolerami domeny przy użyciu narzędzi wiersza polecenia. Użyj narzędzi wiersza polecenia, aby przenieść role wzorca operacji z powrotem do pierwszego kontrolera domeny.


Szybka recenzja

1.

Jakie narzędzie umożliwia transfer roli wzorca operacji infrastruktury?