Примечание
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
Контроллеры домена, которые содержат роли главных ролей операций, также известные как гибкие роли основных операций (FSMO), чтобы обеспечить правильное функционирование каталога, выполняя уникальный набор задач управления доменами и лесами. Роли FSMO предотвращают конфликты в каталоге, гарантируя, что определенные обновления обрабатываются только одним контроллером домена одновременно. В этой статье описываются пять ролей FSMO и рекомендации по их эффективному размещению.
Роли хозяина операций
Три главных роли операций существуют в каждом домене:
PDC Emulator
RID Master
Infrastructure Master
На уровне леса присутствуют две главные роли операций:
Schema Master
Главный мастер именования доменов
PDC Emulator
Эмулятор основного контроллера домена (PDC) получает привилегированную репликацию изменений паролей, которые происходят через другие контроллеры домена в домене. Эмулятор PDC — это источник последних сведений о пароле, когда попытка входа завершается ошибкой в результате неправильного пароля. Она также обрабатывает блокировки учетных записей. Это предпочтительная точка администрирования для служб (например, групповая политика и распределенная файловая система, DFS). По этой причине из всех ролей главного контроллера операций PDC главный роль эмулятора PDC оказывает наибольшее влияние на производительность контроллера домена, на котором размещается эта роль. Эмулятор PDC в корневом домене леса является авторитетным источником времени () службы времениW32time Windows для леса.
RID Master
Мастер относительных идентификаторов (RID) выделяет пулы RID всем контроллерам домена, чтобы создать новые субъекты безопасности с уникальным идентификатором. Пул относительных идентификаторов (RID) используется для назначения уникальных идентификаторов безопасности (SID) объектам в домене. Каждый контроллер домена в домене Active Directory выделяется пулом идентификаторов RID, из которых он может создавать уникальные идентификаторы SID для новых субъектов безопасности (таких как пользователи, группы и компьютеры). Если контроллер домена нуждается в дополнительных идентификаторах безопасности, он запрашивает блок идентификаторов RID из главного контроллера RID.
Infrastructure Master
Мастер инфраструктуры управляет ссылками из объектов в его домене на объекты в других доменах. Он также обновляет ссылки на группы на пользователя, когда члены групп переименованы или изменены. Мастер инфраструктуры представляет ссылки на идентификатор GUID, SID или DN объекта, на который ссылается ссылка.
Schema Master
Главный элемент схемы управляет всеми изменениями контекста именования схем или LDAP://cn=schema,cn=configuration,dc=<domain>. Схема Active Directory определяет структуру и правила для данных каталога. Схема определяет, какие типы объектов могут существовать в каталоге, атрибуты, которые могут иметь эти объекты, и связи между различными типами объектов. Например, например пользователи, компьютеры и группы. В лесу AD DS существует только один главный образец схемы.
Главный мастер именования доменов
Мастер именования домена добавляет и удаляет секции каталогов домена и секции каталогов приложений в лес и из него. Он отвечает за контекст именования секций или LDAP://CN=Partitions, CN=Configuration, DC=<domain>. Эта роль FSMO отвечает за уникальность доменных имен в лесу и за авторизацию изменений в структуре пространства имен леса. Также он может добавлять или удалять перекрестные ссылки на домены во внешних каталогах.
Рекомендации по размещению ролей
Роли главных ролей на уровне леса и уровня домена можно назначить любому контроллеру домена в лесу и домене. Однако тщательное размещение мастеров операций становится более важным, так как вы добавляете в лес больше доменов и сайтов. Для выполнения соответствующих операций контроллеры домена, на которых размещаются главные роли операций, должны быть последовательно доступны. Мастеры операций должны находиться в областях, где надежность сети высока.
Следующие рекомендации помогут свести к минимуму административные расходы и обеспечить правильную производительность служб домен Active Directory (AD DS). Рекомендации упрощают процесс восстановления, если контроллер домена, на котором размещена роль главного контроллера операций, завершается сбоем.
Рекомендации по размещению главных ролей для операций:
Настройте другой контроллер домена в качестве мастера резервных операций для ролей на уровне леса.
Настройте другой контроллер домена в качестве мастера резервных операций для ролей уровня домена.
Поместите роли уровня домена на контроллер домена с высокой производительностью.
Оставьте роли уровня леса на контроллере домена в корневом домене леса.
В корневом домене леса перенесите три роли уровня домена другому контроллеру домена с высоким уровнем производительности.
Во всех остальных доменах оставьте роли уровня домена на первом контроллере домена.
При необходимости настройте рабочую нагрузку эмулятора PDC.
Роль эмулятора PDC требует мощного и надежного контроллера домена, чтобы обеспечить доступность контроллера домена и возможность обработки рабочей нагрузки. Из всех главных ролей операций роль эмулятора PDC создает большую нагрузку на сервере, на котором размещается роль. Он имеет наиболее интенсивное ежедневное взаимодействие с другими системами в сети. Эмулятор PDC имеет наибольший потенциал для влияния на ежедневные операции каталога.
Неправильное размещение роли главного сервера инфраструктуры может привести к неправильному выполнению главного узла инфраструктуры. Если все контроллеры домена в домене также размещают глобальный каталог, все контроллеры домена имеют текущие данные. Когда мастер инфраструктуры выполняется на сервере глобального каталога, он перестает обновлять сведения об объектах, так как он не содержит ссылок на объекты, которые он не содержит. В результате перекрестные ссылки на объекты в этом домене не обновляются, и предупреждение об этом эффекте регистрируется в журнале событий контроллера домена. Если дополнительный компонент корзины включен, каждый контроллер домена несет ответственность за обновление ссылок на объект между доменами при перемещении, переименовании или удалении объекта, на который ссылается ссылка. В этом случае нет задач, связанных с ролью FSMO инфраструктуры.