Uwaga
Dostęp do tej strony wymaga autoryzacji. Może spróbować zalogować się lub zmienić katalogi.
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować zmienić katalogi.
Kontrolery domeny, które pełnią role mistrza operacji, znane również jako role elastycznego pojedynczego mistrza operacji (FSMO), utrzymują prawidłowe funkcjonowanie katalogu poprzez wykonywanie unikatowego zestawu zadań związanych z zarządzaniem domeną i lasem. Role FSMO zapobiegają konfliktom w katalogu, zapewniając, że niektóre aktualizacje są przetwarzane tylko przez jeden kontroler domeny naraz. W tym artykule opisano pięć ról FSMO i podano wskazówki dotyczące efektywnego ich rozmieszczania.
Role operacyjne master
W każdej domenie istnieją trzy role główne w operacjach:
PDC Emulator
RID Master
Infrastructure Master
Na poziomie lasu znajdują się dwie role wzorca operacji:
Schema Master
Kontroler nazewnictwa domeny
PDC Emulator
Emulator podstawowego kontrolera domeny (PDC) otrzymuje preferencyjną replikację zmian haseł, które występują za pośrednictwem innych kontrolerów domeny w domenie. Emulator kontrolera PDC jest źródłem najnowszych informacji o haśle za każdym razem, gdy próba logowania zakończy się niepowodzeniem w wyniku nieprawidłowego hasła. Przetwarza również blokady kont. Jest to preferowany punkt administracji dla usług (przykładami są zasady grupy i rozproszony system plików, DFS). Z tego powodu rola wzorca operacji emulatora PDC spośród wszystkich ról wzorców operacji ma największy wpływ na wydajność kontrolera domeny, który tę rolę hostuje. Emulator kontrolera PDC w domenie głównej lasu jest autorytatywnym źródłem czasu systemu Windows (W32time) dla lasu.
RID Master
Główny serwer względnych identyfikatorów (RID) przydziela pule identyfikatorów RID do wszystkich kontrolerów domeny, aby zapewnić możliwość tworzenia nowych podmiotów zabezpieczeń z unikatowym identyfikatorem. Pula identyfikatorów względnych (RID) służy do przypisywania unikatowych identyfikatorów zabezpieczeń (SID) do obiektów w domenie. Każdy kontroler domeny w domenie usługi Active Directory ma przydzieloną pulę identyfikatorów RID, z której może korzystać do tworzenia unikatowych identyfikatorów SID dla nowych podmiotów zabezpieczeń, takich jak użytkownicy, grupy i komputery. Gdy kontroler domeny potrzebuje większej liczby identyfikatorów SID, żąda bloku identyfikatorów RID od głównego serwera RID.
Infrastructure Master
Mistrz infrastruktury zarządza odwołaniami z obiektów w swojej domenie do obiektów w innych domenach. Aktualizuje również odwołania z grup do użytkowników, kiedy członkowie grup są przemianowani lub zmieniani. Wzorzec infrastruktury reprezentuje odwołania do identyfikatora GUID, identyfikatora SID lub DN obiektu, do którego jest odwołanie.
Schema Master
Główny schemat zarządza wszystkimi zmianami w kontekście nazewnictwa schematu lub LDAP://cn=schema,cn=configuration,dc=<domain>. Schemat usługi Active Directory definiuje strukturę i reguły dotyczące danych katalogu. Schemat określa, jakie typy obiektów mogą istnieć w katalogu, atrybuty, które mogą mieć te obiekty, oraz relacje między różnymi typami obiektów. Na przykład użytkownicy, komputery i grupy. W lesie AD DS istnieje tylko jeden master schematu.
Kontroler nazewnictwa domeny
Wzorzec nazewnictwa domeny dodaje i usuwa partycje katalogu domeny oraz partycje katalogu aplikacji do i z lasu. Jest on odpowiedzialny za kontekst nazewnictwa konfiguracji partycji lub LDAP://CN=Partitions, CN=Configuration, DC=<domain>. Ta rola FSMO jest odpowiedzialna za zapewnienie unikatowości nazw domen w lesie i autoryzacji zmian w strukturze przestrzeni nazw lasu. Może również dodawać lub usuwać odwołania krzyżowe do domen w katalogach zewnętrznych.
Wytyczne dotyczące przyporządkowania ról
Role mistrza operacji na poziomie lasu i poziomie domeny można przypisać do dowolnego kontrolera domeny zarówno w lesie, jak i w domenie. Jednak staranne umieszczanie wzorców operacji staje się ważniejsze, ponieważ dodajesz więcej domen i witryn do lasu. Aby wykonać odpowiednie operacje, kontrolery domeny hostujące funkcje zarządcze muszą być stale dostępne. Kierownicy operacji muszą znajdować się w obszarach, w których niezawodność sieci jest wysoka.
Poniższe wytyczne pomagają zminimalizować nakład pracy administracyjnej i zapewnić właściwą wydajność usług Active Directory Domain Services (AD DS). Wytyczne upraszczają proces odzyskiwania, jeśli kontroler domeny hostujący rolę wzorca operacji kończy się niepowodzeniem.
Wskazówki dotyczące lokalizacji głównej roli operacji:
Skonfiguruj inny kontroler domeny jako główny serwer operacji rezerwowych dla ról na poziomie lasu.
Skonfiguruj inny kontroler domeny jako zapasowy główny kontroler operacji dla ról na poziomie domeny.
Umieść role na poziomie domeny na kontrolerze domeny o wysokiej wydajności.
Pozostaw role na poziomie forest na kontrolerze domeny w domenie głównej lasu.
W domenie głównej lasu przenieś trzy role na poziomie domeny do innego kontrolera domeny, który ma wysoki poziom wydajności.
We wszystkich innych domenach pozostaw role na poziomie domeny na pierwszym kontrolerze domeny.
W razie potrzeby dostosuj obciążenie emulatora kontrolera PDC.
Rola emulatora kontrolera PDC wymaga zaawansowanego i niezawodnego kontrolera domeny, aby upewnić się, że kontroler domeny jest dostępny i może obsługiwać obciążenie. Spośród wszystkich ról operacyjnych, rola emulatora PDC generuje największe obciążenie na serwerze, który hostuje tę rolę. Ma najbardziej intensywną codzienną interakcję z innymi systemami w sieci. Emulator kontrolera domeny podstawowej ma największy potencjał wpływu na codzienne operacje katalogu.
Nieprawidłowe rozmieszczenie roli wzorca infrastruktury może spowodować jej niewłaściwe działanie. Jeśli wszystkie kontrolery domeny w domenie również hostują wykaz globalny, to wszystkie kontrolery domeny mają bieżące dane. Gdy Infrastruktura Główna jest uruchamiana na serwerze wykazu globalnego, wstrzymuje aktualizowanie informacji o obiektach, ponieważ nie przechowuje odniesień do obiektów, których sam nie posiada. W związku z tym odwołania do obiektów między domenami w tej domenie nie są aktualizowane, a ostrzeżenie o tym wpływie jest rejestrowane w dzienniku zdarzeń tego kontrolera domeny. Gdy zostanie włączona opcjonalna funkcja Kosza, każdy kontroler domeny jest odpowiedzialny za aktualizację międzydomenowych odwołań do obiektu, gdy odwołany obiekt zostanie przeniesiony, przemianowany lub usunięty. W tym przypadku nie ma żadnych zadań skojarzonych z rolą FSMO infrastruktury.