规划操作主机角色放置
Active Directory 域服务 (AD DS) 支持目录数据的多主机复制,这意味着任何域控制器都可以接受目录更改并将更改复制到所有其他域控制器。 但某些更改(如架构修改)并不适合在多主机模式下实施。 因此,某些域控制器(称为操作主机)便被赋予了负责接受某些特定更改的角色。
注意
操作主机角色所有者必须能够向 Active Directory 数据库写入某些信息。 由于 Active Directory 数据库在只读域控制器上的只读性质 (RODC),RODC 无法充当操作主机角色。
每个域中存在三个操作主机角色(也称为灵活单主机操作或 FSMO):
主域控制器 (PDC) 模拟器操作主机负责处理所有密码更新。
相对 ID (RID) 操作主机负载维护域的全局 RID 池,并将本地 RID 池分配给所有域控制器,以确保在域中创建的所有安全主体都具有唯一标识符。
一个给定域的基础结构操作主机负载维护属于其域中组成员的其他域的安全主体的列表。
除了这三个域级操作主机角色外,每个林中还有两个操作主机角色:
- 架构操作主机负载管理对架构的更改。
- 域命名操作主机将域和其他目录分区(例如,域名系统 (DNS) 应用程序分区)添加到林中和从林中删除。
将托管这些操作主机角色的域控制器放置在网络可靠性较高的区域中,并确保 PDC 模拟器和 RID 主机始终可用。
当创建了某个给定域中的第一个域控制器时,会自动分配操作主机角色的持有者。 将为林中创建的第一个域控制器分配两个林级角色(架构主机和域命名主机)。 此外,将为域中创建的第一个域控制器三个域级角色(RID 主机、基础结构主机和 PDC 模拟器)。
注意
仅当创建了新域以及当前角色持有者降级时,才分配自动操作主机角色持有者。 对角色所有者的所有其他更改都必须由管理员发起。
这些自动操作主机角色分配可能会导致在林或域中创建的第一个域控制器上的 CPU 使用率非常高。 为避免这种情况,可将操作主机角色分配(转移)给林或域中的各种域控制器。 将托管操作主机角色的域控制器放置在网络可靠且操作主机可由林中所有其他域控制器访问的区域。
还应为所有操作主机角色指定备用(替代)操作主机。 备用操作主机是在原始角色持有者出错时可将操作主机角色转移给的域控制器。 确保备用操作主机是实际操作主机的直接复制伙伴。
规划 PDC 模拟器放置
PDC 模拟器用于处理客户端密码更改。 林中每个域中只有一个域控制器充当 PDC 模拟器。
即使所有域控制器都升级到 Windows 2000、Windows Server 2003 和 Windows Server 2008,并且域在 Windows 2000 本机功能级别运行,PDC 模拟器仍会优先复制优先级更高的域中其他域控制器的密码更改。 如果最近更改了密码,该更改需要一些时间才能复制到域中的每个域控制器。 如果登录身份验证因密码错误而在另一个域控制器上失败,该域控制器会将身份验证请求转发到 PDC 模拟器,然后再决定是接受还是拒绝登录尝试。
如果需要,可将 PDC 模拟器放置在包含该域中大量用户的位置,以便执行密码转发操作。 此外,请确保该位置与其他位置连接良好,以最大程度减少复制延迟。
如果需要借助工作表来记录 PDC 模拟器的计划放置位置和每个域在每个位置的用户数,请参阅 Windows Server 2003 部署工具包的作业帮助,下载Job_Aids_Designing_and_Deploying_Directory_and_Security_Services.zip,并打开“域控制器放置”(DSSTOPO_4.doc)。
部署区域域时,需要参考需要放置 PDC 模拟器的位置的相关信息。 有关部署区域域的详细信息,请参阅部署 Windows Server 2008 区域域。
基础结构主机放置要求
基础结构主机负责更新被添加到其自己域中的组中的来自其他域的安全主体的名称。 例如,如果一个域中的某个用户是另一个域中某个组的成员,而该用户的名称在第一个域中发生更改,则不会通知第二个域必须在组的成员身份列表中更新该用户的名称。 由于一个域中的域控制器不会将安全主体复制到另一个域中的域控制器,因此在没有基础结构主机的情况下,第二个域永远不会意识到发生了更改。
基础结构主机会持续监视组成员身份,以查找来自其他域的安全主体。 如果找到一个,它会检查安全主体的域,以验证信息是否已更新。 如果信息已过期,基础结构主机会执行更新,然后将更改复制到其域中的其他域控制器。
此规则有两个例外。 首先,如果所有域控制器都是全局目录服务器,则承载基础结构主机角色的域控制器作用不大,因为全局目录会复制更新的信息,而不管它们属于哪个域。 其次,如果林只有一个域,则承载基础结构主机角色的域控制器作用也不大,因为不存在来自其他域的安全主体。
不要将基础结构主机置于同时是全局目录服务器的域控制器上。 如果基础结构主机和全局目录位于同一域控制器上,则基础结构主机将不起作用。 基础结构主机永远不会找到过期的数据,所以它永远不会将任何更改复制到域中的其他域控制器。
连接有限的网络中操作主机的放置
请注意,如果环境中有一个中心位置或中心站点可用于在其中放置操作主机角色持有者,则依赖于这些操作主机角色持有者可用性的某些域控制器操作可能会受到影响。
例如,假设一个组织创建了站点 A、B、C 和 D。A 和 B 之间、B 和 C 之间以及 C 和 D 之间建立了站点链接。则网络连接精确反映了站点链接的网络连接。 在此示例中,所有操作主机角色都放置在站点 A 中,并且未选择“桥接所有站点链接”选项。
尽管此配置促成了所有站点之间的成功复制,但操作主机角色函数具有以下限制:
- 站点 C 和 D 中的域控制器无法访问站点 A 中的 PDC 模拟器以更新密码或检查其是否有最近更新的密码。
- 站点 C 和 D 中的域控制器无法访问站点 A 中的 RID 主机以在 Active Directory 安装后获取初始 RID 池,也无法在 RID 池耗尽时刷新 RID 池。
- 站点 C 和 D 中的域控制器无法添加或删除目录、DNS 或自定义应用程序分区。
- 站点 C 和 D 中的域控制器无法进行架构更改。
如需借助工作表了规划操作主机角色的放置,请参阅 Windows Server 2003 部署工具包的作业帮助,下载Job_Aids_Designing_and_Deploying_Directory_and_Security_Services.zip,并打开“域控制器放置”(DSSTOPO_4.doc)。
创建林根域和区域域时,需要参考此信息。 有关部署林根域的详细信息,请参阅部署 Windows Server 2008 林根域。 有关部署区域域的详细信息,请参阅部署 Windows Server 2008 区域域。
后续步骤
有关 FSMO 角色放置的其他信息,请参阅支持主题 Active Directory 域控制器上的 FSMO 放置和优化