Table of contents
TOC
Sbalit obsah
Rozbalit obsah

Plánování umístění rolí hlavního serveru operací

Bill Mathers|Poslední aktualizace: 10.03.2017
|
1 Přispěvatel

Platí pro: Windows Server 2016, Windows Server 2012 R2, Windows Server 2012

Služba Active Directory Domain Services (služba AD DS) podporuje replikaci s více hlavními servery adresář dat, což znamená libovolný řadič domény mohou přijímat změny a replikovat změny do všech ostatních řadičů domény. Některé změny, například změny schématu jsou však nepraktické provádět způsobem s více hlavními servery. Z tohoto důvodu některé řadiče domény, známé jako hlavní operační servery podržte role odpovědné za přijetí žádosti o některé konkrétní změny.

Poznámka

Držitelé role hlavního serveru operací musí být schopni zapisovat některé informace do databáze služby Active Directory. Charakter jen pro čtení databáze služby Active Directory v řadiči domény jen pro čtení (RODC) RODC nemůže fungovat jako držitelů role hlavního serveru operací.

Existují tři role hlavního operačního serveru (označované také jako pružné operace typu single master nebo FSMO) v každé doméně:

  • Hlavní operační server primární domény řadiče emulátor zpracovává všechny aktualizace hesel.

  • Hlavní server relativních ID (RID) operace udržuje globálního fondu RID pro doménu a přidělí místní fondy RID do všech řadičů domény zajistit, že všechny objekty zabezpečení vytvořené v doméně má jedinečný identifikátor.

  • Hlavním operačním serveru infrastruktury v dané doméně udržuje seznam zaregistrovaných objektů zabezpečení z jiných domén, které jsou členy skupiny v rámci domény.

Kromě tří úrovně domény role hlavního operačního serveru existují dvě hlavní role v každé doménové struktuře:

  • Hlavním operačním serveru schémat řídí změny schématu.

  • Hlavní názvový server domény přidá a odebere jiné oddíly adresáře (například oddíly aplikací systému DNS (Domain Name)) a domén z doménové struktury a.

Umístění řadičů domény hostitelem těchto rolí hlavního operačního serveru v oblastech, kde je vysoká spolehlivost sítě a zajistit, aby byly neustále k dispozici emulátor primárního řadiče DOMÉNY a hlavní server RID.

Držitelů role hlavního serveru operací jsou automaticky přiřazena při vytvoření prvního řadiče domény v dané doméně. První řadič domény v doménové struktuře vytvořené jsou přiřazeny dvě role úroveň doménové struktury (hlavní server schémat a hlavní server názvů domén). Kromě toho jsou přiřazeny tři role na úrovni domény (hlavní server RID, hlavní server infrastruktury a emulátor primárního řadiče DOMÉNY) první řadič domény v doméně vytvořeny.

Poznámka

Automatické přiřazení role hlavního operačního držiteli jsou provedeny pouze při vytvoření nové domény a při snížení úrovně aktuální držitel role. Všechny ostatní změny vlastníků rolí mají inicializovat správce.

Tyto automatické přiřazení role hlavního operačního může způsobit vysoké využití procesoru na první řadič domény v doménové struktuře nebo v doméně vytvořeny. Předejít, přiřadíte operace (přenos) hlavní role různých řadičů domény v doménové struktuře nebo doméně. Umístění řadičů domény, aby hostitelské role hlavního operačního serveru v oblastech, kde je síť spolehlivých a kde hlavní operační servery mohou získat přístup všechny ostatní řadiče domény v doménové struktuře.

Můžete také určit operace úsporného režimu (alternativní) předlohy pro všechny operace role hlavního operačního serveru. Pohotovostní operační servery jsou řadiče domény, na které by mohla přenést role hlavního operačního serveru v případě, že původní držitel role nezdaří. Zajistěte, aby pohotovostní operační servery partnery přímé replikace předlohy vlastní operace.

Plánování umístění emulátoru primárního řadiče DOMÉNY

Emulátor primárního řadiče DOMÉNY zpracovává změny hesla klienta. Pouze jeden řadič domény slouží jako emulátor primárního řadiče DOMÉNY v každé doméně v doménové struktuře.

I v případě, že všechny řadiče domény, které jsou inovovány na systém Windows 2000, Windows Server 2003 a Windows Server 2008 a funguje domény na nativní úroveň systému Windows 2000 funkční, Emulaci PDC obdrží přednostní replikaci změn hesla provedených jinými řadiči domény v doméně. Bylo nedávno změněno heslo, že změna trvá replikovat na všechny řadiče domény v doméně. Pokud se na jiném řadiči domény v důsledku nesprávného hesla nezdaří ověřování při přihlášení, tento řadič domény před rozhodnutím, zda přijmout nebo odmítnout pokus o přihlášení předá požadavek na ověření serveru pro Emulaci PDC.

Emulátor primárního řadiče DOMÉNY umístěte do umístění, které obsahuje velký počet uživatelů z dané domény pro hesla v případě potřeby předávání operace. Dále se ujistěte, že umístění je připojen i do jiných umístění, chcete-li minimalizovat čekací doba replikace.

Listu při dokumentování informací o místo, kam chcete umístit emulátory primárního řadiče DOMÉNY a počet uživatelů pro každou doménu, která je zastoupena v každé lokaci, v tématu aplikace projektu podpory pro systém Windows Server 2003 Deployment Kit (http://go.microsoft.com/fwlink/?LinkID=102558), Job Aids Designing and Deploying Directory and Security Services.zip stáhnout a Otevřít umístění řadiče domény (DSSTOPO_4.doc).

Potřebujete informace o umístěních, ve kterých je nutné umístit emulátory primárního řadiče DOMÉNY, když nasadíte místní domény. Další informace o nasazení místních domén naleznete v tématu nasazení domén systému Windows Server 2008 regionální.

Požadavky na umístění hlavního serveru infrastruktury

Hlavní server infrastruktury aktualizuje názvy zaregistrované objekty zabezpečení z jiných domén, které jsou přidány do skupiny ve vlastní doméně. Například pokud je členem skupiny v doméně druhý uživatel z jedné domény a uživatelské jméno se změní v první doméně, v druhé doméně není oznámeno, že uživatelské jméno musí být aktualizovány v seznamu členů skupiny. Vzhledem k tomu, že řadiče domény v jedné doméně nejsou replikovány do řadiče domény v jiné doméně zaregistrované objekty zabezpečení, druhé doméně nikdy zjistí změnu v nepřítomnosti hlavního serveru infrastruktury.

Hlavní server infrastruktury neustále sleduje skupiny členství, hledají zaregistrované objekty zabezpečení z jiných domén. Pokud jej nalezne, kontroluje se zaregistrovaný objekt zabezpečení domény, chcete-li ověřit, že informace jsou aktualizovány. Pokud jsou zastaralé informace, hlavní server infrastruktury provede aktualizaci a potom tato změna replikována do ostatních řadičů domény ve své doméně.

Dvě výjimky se vztahují na toto pravidlo. Za prvé Pokud všechny řadiče domény jsou servery globálního katalogu, řadič domény, který je hostitelem role hlavního serveru infrastruktury je zanedbatelný protože globální katalogy replikují aktualizované informace bez ohledu na doménu, do které patří. Za druhé Pokud doménové struktuře pouze jedna doména, řadič domény, který je hostitelem role hlavního serveru infrastruktury je zanedbatelný protože neexistují objekty zabezpečení z jiných domén.

Neumísťujte hlavního serveru infrastruktury na řadič domény, který je také serverem globálního katalogu. Jsou-li hlavní server infrastruktury i globální katalog umístěn ve stejném řadiči domény, nebude hlavní server infrastruktury pracovat. Hlavní server infrastruktury nikdy nenalezne zastaralá data; proto jej bude nikdy žádnou replikaci změn na ostatní řadiče domény v doméně.

Hlavního operačního serveru sítě umístění s omezené připojení

Uvědomte si, pokud vaše prostředí centrální umístění nebo umístit držitelů rolí hlavního operačního serveru rozbočovače, některé operace řadiče domény, které závisí na dostupnosti těchto operací hlavní roli, kterou může být ovlivněna držitelů.

Předpokládejme, že organizace vytvoří weby A, B, C, a odkazy na weby D. existují mezi A a B mezi B a C a mezi C a D. síťová připojení přesně zrcadlí připojení k síti, propojení sítí. V tomto příkladu všechny operace role hlavního operačního serveru jsou umístěny v serveru a možnost přemostění všech spojení sítí není zaškrtnuto.

Ačkoli tato konfigurace je výsledkem úspěšné replikace mezi všechny servery, funkce role hlavního serveru operací mají následující omezení:

  • Řadiče domény v lokalitách C a D nelze získat přístup k emulátoru primárního řadiče DOMÉNY v síti A Chcete-li aktualizovat heslo nebo vyhledat heslo, které byly nedávno aktualizovány.

  • Řadiče domény v lokalitách C a D nelze získat přístup k hlavní server RID v síti A získání počátečního fondu RID po instalaci služby Active Directory a obnovit fondy RID, jako jsou doj.

  • Řadiče domény v lokalitách C a D nelze přidat ani odebrat adresář, DNS nebo oddíly vlastní aplikace.

  • Řadiče domény v lokalitách C a D nelze provádět změny schématu.

Pro list, které vám pomohou při plánování umístění role hlavního serveru operací, viz pracovní pomůcky pro systému Windows Server 2003 Deployment KitJob Aids Designing and Deploying Directory and Security Services.zip stáhnout a Otevřít umístění řadiče domény (DSSTOPO_4.doc).

Je třeba předložit tyto informace při vytváření kořenové domény doménové struktury a místních domén. Další informace o nasazení kořenové domény doménové struktury naleznete v tématu zavádění nasazení kořenové domény systému Windows Server 2008 doménové struktury. Další informace o nasazení místních domén naleznete v tématu nasazení domén systému Windows Server 2008 regionální.

© 2017 Microsoft