Mens Active Directory generelt bruker en multimaster replikering ordning for å kopiere katalogen databasen mellom domenekontrollere, er det visse katalog funksjoner som krever de utføres på noen spesifikke domenekontroller. Disse funksjonene er definert av fleksible enkeltmester operasjoner (FSMO) rollene (uttales "fiz-Moe roller") og når som helst disse rollene er unikt vis tildelt spesifikke domenekontrollere i ulike Active Directory-domener. La oss begynne med å beskrive hva disse forskjellige FSMO roller er og hvorfor de er viktige, etter som vi vil skissere noen gode fremgangsmåter for hvordan du bør bruke disse rollene i Active Directory-miljøet.
Oversikt over FSMO Roller
Det er fem forskjellige FSMO roller og de hver spiller en annen funksjon i å gjøre Active Directory arbeid:
- RID Master - Dette er et annet domene-spesifikke FSMO rolle, det er, hver domene i skogen har nøyaktig en domenekontroller holder RID Master rolle. Formålet med denne rollen er å fylle opp bassenget av ubrukte relative IDer (rids) for domenet og forhindre dette bassenget fra å bli oppbrukt. Rids er brukt opp når du oppretter en ny sikkerhetsprinsipp (bruker eller datamaskin konto) fordi SID for den nye sikkerhetsprinsipp er konstruert ved å kombinere domenet SID med en unik RID tatt fra bassenget. Så hvis du går tom for rids, vil du ikke være i stand til å opprette nye bruker eller datamaskinkontoer, og for å hindre at dette skjer RID Master overvåker RID bassenget og genererer nye rids å etterfylle det når det faller under et visst nivå .
- Infrastruktur Master - Dette er et annet domene-spesifikke rolle og dens formål er å sikre at på tvers av domener objektreferanser blir korrekt håndtert. For eksempel, hvis du legger til en bruker fra et domene til en sikkerhetsgruppe fra et annet domene, gjør Infrastruktur Master sikker på at dette er gjort riktig. Som du kan gjette men hvis Active Directory distribusjon har bare et enkelt domene, så Infrastruktur Master rolle spiller ingen jobb i det hele tatt, og selv i en multi-domene miljø det er sjelden brukes unntatt når komplekse brukeradministrasjonsoppgaver utføres, så maskinen holde denne rolle er ikke nødvendig å ha mye hestekrefter i det hele tatt.
- Schema Master - Mens de tre første FSMO rollene som er beskrevet ovenfor er domenespesifikke, den Schema Master rolle og den følgende er skog spesifikke og finnes bare i skogen rotdomenet (det første domenet du oppretter når du oppretter en ny skog). Dette betyr at det er en og bare en Schema Master i en skog, og formålet med denne rollen er å gjenskape skjemaendringer til alle andre domenekontrollere i skogen. Siden skjemaet for Active Directory er sjelden endres vil imidlertid Schema Master rolle sjelden gjøre noe arbeid. Typiske situasjoner hvor denne rollen er brukt ville bli når du distribuerer Exchange Server på nettverket ditt, eller når du oppgraderer domenekontrollere fra Windows 2000 til Windows Server 2003, så disse situasjonene både innebære å gjøre endringer i Active Directory-skjemaet.
- Domain Naming Master - Den andre skogspesifikke FSMO rolle er Domain Naming Master, og denne rollen ligger også i skogen rotdomene. Domain Naming Master rolle behandler alle endringer i navnerommet, for eksempel å legge barnet domene vancouver.mycompany.com til skogen rotdomene mycompany.com krever at denne rollen være tilgjengelig, så du kan ikke legge til et nytt barn domene eller ny domene treet, må du kontrollere at denne rollen er i gang skikkelig.
For å oppsummere så er de Schema Master og Domain Naming Master roller funnet bare
i skogen rotdomene, mens de resterende rollene finner vi i hvert domene for din skog. Nå la oss se på beste praksis for tildeling av disse rollene til forskjellige domenekontrollere i skogen eller domenet
FSMO Roller Best Practices
Riktig plassering av FSMO Roller koker ned til tre enkle regler:.
- Regel To Bilde: I hvert domene, plasserer PDC Emulator og RID Master roller på samme domenekontroller og sørg for maskinvaren for denne maskinen kan håndtere belastningen av disse rollene og eventuelle andre plikter den har å fremføre. Dette domenekontroller trenger ikke å ha Global Catalog på den, og generelt er det best å flytte disse to rollene til en maskin som ikke vert Global Catalog fordi dette vil bidra til å balansere belastningen (Global Catalog er vanligvis tungt brukes).
- Rule Tre Bilde: I hvert domene, må du kontrollere at Infrastruktur Master rolle ikke er holdt av en domenekontroller som også vert Global Catalog, men gjør at Infrastructure Master er en direkte replikering partner av en domenekontroller hosting Global Catalog som befinner seg i samme område som Infrastructure Master. Merk imidlertid at denne regelen ikke har noen unntak, nemlig at Infrastruktur Master rolle kan bli holdt av en domenekontroller hosting Global Catalog i to tilfeller: når det bare er ett domene i skogen eller når hver enkelt domenekontroller i domenet også vert Global Catalog.
For å oppsummere disse tre reglene da, og gjør dem lett å huske:
- Forest rotdomene - Schema Master og Domain Naming Master på samme maskin, som også bør være vert Global Catalog.
- Hver domene - PDC Emulator og RID Master på samme maskin, som skal ha tykke maskinvare for å håndtere belastningen.
- Hver domene - Plasser aldri Infrastruktur Master på en maskin som er vert for Global Catalog, med mindre din skog har bare ett domene eller mindre hver domenekontroller i skogen vert Global Catalog.
Previous:Terminal Services Group Policy
- Rule Tre Bilde: I hvert domene, må du kontrollere at Infrastruktur Master rolle ikke er holdt av en domenekontroller som også vert Global Catalog, men gjør at Infrastructure Master er en direkte replikering partner av en domenekontroller hosting Global Catalog som befinner seg i samme område som Infrastructure Master. Merk imidlertid at denne regelen ikke har noen unntak, nemlig at Infrastruktur Master rolle kan bli holdt av en domenekontroller hosting Global Catalog i to tilfeller: når det bare er ett domene i skogen eller når hver enkelt domenekontroller i domenet også vert Global Catalog.
Rule One Bilde: I din skog rotdomene, holde Schema Master og Domain Naming Master på samme domenekontroller for å forenkle administrasjonen av disse rollene, og sørge for at dette domenekontroller inneholder en kopi av Global Catalog. Dette er ikke en hard-og-rask regel som du kan flytte disse rollene til forskjellige domenekontrollere hvis du foretrekker det, men det er ingen reell gevinst i å gjøre det, og det bare kompliserer FSMO rolle ledelsen til å gjøre det. Dersom det av sikkerhetspolitikk, men et selskap beslutter at Schema Master rolle må være helt adskilt fra alle andre roller, og deretter gå videre og flytte Domain Naming Master til en annen domenekontroller som er vert for Global Catalog. Vær klar over at hvis du har hevet din skog funksjonelt nivå til Windows Server 2003, kan din Domain Naming Master rolle være på en domenekontroller som ikke har den globale katalogen, men i dette tilfellet være sikker minst for å sikre at dette domenet kontrolleren er en direkte replikering partner med Schema Master maskinen. - Infrastruktur Master - Dette er et annet domene-spesifikke rolle og dens formål er å sikre at på tvers av domener objektreferanser blir korrekt håndtert. For eksempel, hvis du legger til en bruker fra et domene til en sikkerhetsgruppe fra et annet domene, gjør Infrastruktur Master sikker på at dette er gjort riktig. Som du kan gjette men hvis Active Directory distribusjon har bare et enkelt domene, så Infrastruktur Master rolle spiller ingen jobb i det hele tatt, og selv i en multi-domene miljø det er sjelden brukes unntatt når komplekse brukeradministrasjonsoppgaver utføres, så maskinen holde denne rolle er ikke nødvendig å ha mye hestekrefter i det hele tatt.
PDC Emulator
- Denne rollen er den mest brukte av alle FSMO roller, og har et bredt utvalg av funksjoner. Domenekontrolleren som innehar rollen PDC Emulator er avgjørende i et blandet miljø der Windows NT 4.0 BDCs er fortsatt til stede. Dette er fordi rollen PDC Emulator emulerer funksjonene til en Windows NT 4.0 PDC. Men selv om du har migrert alle dine Windows NT 4.0 domenekontrollere til Windows 2000 eller Windows Server 2003, domenekontrolleren som har rollen PDC Emulator fortsatt har mye å gjøre. For eksempel er PDC Emulator roten tidsserver for å synkronisere klokkene på alle Windows-maskiner i skogen. Det er kritisk viktig at datamaskinklokker synkroniseres på tvers av skogen fordi hvis de er ute etter for mye så Kerberos-godkjenning kan mislykkes, og brukere vil ikke være i stand til å logge seg på nettverket. En annen funksjon av PDC Emulator er at det er domenekontroller som alle endringer i Group Policy er i utgangspunktet laget. For eksempel, hvis du oppretter et nytt gruppepolicyobjekt (GPO), så dette er først opprettet i katalogen database og innenfor SYSVOL aksjen på PDC Emulator, og derfra GPO er replikert til alle andre domenekontrollere i domenet. Endelig er alle passord endringer og konto lockout saker håndteres av PDC Emulator for å sikre at passordendringer er kopiert ordentlig og konto lockout policy er effektiv. Så selv om PDC Emulator emulerer en NT PDC (som er grunnen til denne rollen kalles PDC Emulator), det gjør også en hel masse andre ting. Faktisk er rollen PDC Emulator den mest tungt utnyttet FSMO rolle så du bør sørge for at domenekontrolleren som innehar denne rollen har tilstrekkelig tykke maskinvare for å håndtere belastningen. Tilsvarende, hvis rollen PDC Emulator svikter så det kan potensielt føre til at de fleste problemer, så maskinvaren det kjører på skal være feiltolerant og pålitelig. Endelig har hvert domene egen PDC Emulator rolle, så hvis du har N domener i skogen vil du ha N domenekontrollere med rollen PDC Emulator også.