移动操作主机角色

时间:2022-06-01 18:02:43
操作主机通过执行特定任务来使目录正常运行,这些任务是其他域控制器无权执行的。由于操作主机对于目录的长期性能至关重要,因此必须使其相对于所有需要其服务的域控制器和桌面客户端可用。在添加更多的域和站点来生成林时,小心放置操作主机非常重要。

若要执行这些功能,必须使托管这些操作主机的域控制器始终可用,且将其放置在网络可靠性较高的区域。

角色传送是将操作主机角色从某域控制器移至另一域控制器的首选方法。在角色传送过程中,对这两个域控制器进行复制,以确保没有丢失信息。在传送完成后,之前的角色持有者将进行重新自我配置,以便在新域控制器承担这些职务时,此角色持有者不再尝试做为操作主机。这样就防止了网络中同时出现两个操作主机的现象,这种现象可能导致目录损坏。

目的

每个域中存在三个操作主机角色:

* 主域控制器 (PDC) 仿真器。PDC 仿真器处理所有来自 Microsoft Windows NT 4.0 备份域控制器的复制请求。它还为客户端处理没有运行可用 Active Directory 客户端软件的所有密码更新,以及任何其他目录写入操作。

* 相对标识符 (RID) 主机。RID 主机将 RID 池分配至所有的域控制器,以确保可使用单一标识符创建新安全主体。

* 基础结构主机。给定域的基础结构主机维护任何链接值属性的安全主体列表。


除了这三个域级的操作主机角色外,在每个林中还存在两个操作主机角色:

* 管理所有架构更改的架构主机。

* 添加和删除域和应用程序分区复制到林(和从林复制到域)的域命名主机。


指导方针

有关初始操作主机角色分配的设计规则和最佳操作,请参阅 Windows Server 2003 部署工具包:计划、测试以及试验部署项目。在指定域中创建第一个域控制器时,会自动放置操作主机角色持有者。将这三个域级角色分配至域中创建的第一个域控制器。将这两个林级角色分配至林中第一个创建的域控制器。

移动操作主机角色(一个或多个)的原因包括:托管操作主机角色的域控制器服务性能不充足、故障或取消,或服从由管理员进行配置更改。

不充足的服务等级

PDC 仿真器是主要影响域控制器性能的操作主机角色。对于没有运行 Active Directory 客户端软件的客户端,PDC 仿真器会处理密码更改、复制以及用户身份验证的请求。为这些客户端提供服务时,此域控制器会继续执行其常规服务,如身份验证可使用 Active Directory 的客户端身份。随着网络的增长,客户端请求的数量可能会增加托管 PDC 仿真器角色的域控制器的工作量,并使其性能下降。要解决此问题,可将所有或部分主机操作角色传输至功能更强大的域控制器。此外,还可选择将此角色传输至另一个域控制器,升级原始域控制器上的硬件,然后再将此角色回传。

主机操作角色持有者故障

万一主机操作角色持有者故障,就必须决定是否需要将操作主机角色重新放置到另一域控制器,或等待域控制器返回到服务状态。根据域控制器托管的角色和预期的故障时间来作决定。

取消此域控制器

在永久性使域控制器处于脱机状态前,将由此域控制器所持有的任一操作主机角色传输至另一个域控制器。

配置更改

将配置更改为域控制器或网络拓扑会需要传输主机操作角色。除了基础结构主机,可将操作主机角色分配至任一域控制器,而不论此域控制器所执行的任何其他任务。不要将基础结构主机角色托管在域控制器上,此控制器还用作全局编录服务器,除非所有此域中所有域控制器都是全局编录服务器,或此林中只有一个域。如果托管基础结构主机角色的域控制器配置为全局编录服务器,那么必须将此基础结构主机角色传输至另一个域控制器。更改为网络拓扑会需要传输操作主机角色,其目的是使这些操作主机角色位于某特定的站点。

可通过传输或占用(最后的方法)来重新分配操作主机角色。

若要将某角色传输至一个新域控制器,则要确保目的域控制器是以前角色持有者的直接复制伙伴,并且它们之间的复制为最新和运行正常。这将减少用于完成角色传输所需要的时间。如果复制确实已经过期,那么传输就需要一些时间,但最终会完成。

重要信息: 如果必须占用操作主机角色,那么一定不要在未执行本指南中的有关步骤的情况下将以前的角色持有者重新附加至网络。错误地将前一角色持有者重新附加至该网络可能会导致无效数据和此目录中的数据损坏。

角色放置指导方针

由于错误地放置操作主机角色持有者,可能会阻止客户端更改其密码或添加域和新对象,如用户和组。也可对架构进行更改。除此之外,在用户界面中所显示的组成员身份中可能不会正确显示名称更改。

由于环境更改,必须避免与错误放置操作主机角色持有者相关的问题。最后,可能需要将这些角色重新分配至其他域控制器。

虽然可将林级和域级的操作主机角色分别分配至该林或域中的任一域控制器,但错误的放置基础结构主机角色可能导致其无法正常运行。其他不适合的配置可能会增加管理费用。

基础结构主机放置需求

不要将基础结构主机放置在同时做为全局编录服务器的域控制器上。

基础结构主机可更新任一域命名链接属性的安全主体名称。例如,如果某域中的用户是第二个组中的成员身份,并且第一个域中的用户名称已更改,那么并未通知第二个域必须在组成员身份列表中对此用户名进行更新。由于某域中的域控制器并没有将安全主体复制到另一个域的域控制器上,因此第二个域根本不会知道此更改。基础结构主机始终监视组成员身份,从其他域中查找安全主体。如果找到,就会与安全主体域一起确认此信息已更新。如果信息已过期,那么基础结构主机会执行更新操作,然后将更改复制到该域的其他域控制器上。

此规则有两个例外。第一,如果所有的域控制器都为全局编录服务器,那么托管基础结构主机角色的域控制器就无关紧要,这是因为全局编录复制已更新的信息,而与其所归属的域有关。第二,如果林仅有一个域,那么就不需要托管基础结构主机角色的域控制器,这是因为其他域中没有安全主体。

角色放置建议

虽然可将操作主机角色分配至任一域控制器,按照以下指导方针操作可使管理费用降至最低,并确保 Active Directory 的性能。如果托管操作主机角色的域控制器故障,那么按照以下指导方针操作还能简化恢复过程。角色放置指导指导方针包括:

* 将这两个林级角色放置在此林根域中的域控制器上。

* 将这三个域级角色放置在同一个域控制器上。

* 不要将域级角色放置到全局编录服务器上。

* 将域级角色放置在具有更高性能的域控制器上。

* 如必要,调整操作主机角色持有者的工作量。

* 选择额外域控制器,将其做为林级角色的备用操作主机,并选择额外域控制器,将其做为域级角色的备用。


林根域中的林级角色放置

将结构主机和域命名主机角色分配至林中创建的第一个域控制器。若要便于管理、备份以及还原过程,就将这些角色放置在原始林根域控制器上。将这些角色移至其他域控制器并没有增强其性能。分开这些角色将会产生额外的管理费用,这时,必须确定备用操作主机以及实施备份和还原策略的时间。

不同于 PDC 仿真器角色,林级角色很少在域控制器上放置大量负荷。将这些角色放在一起可提供便利和可预测的管理。

全局编录服务器上的林级角色放置

除托管架构主机和域命名主机角色外,林中第一个创建的域控制器还托管此全局编录。

同一域控制器上的域级角色放置

将这三个域级角色分配至某新域中第一个创建的域控制器。除了林根域外,将这些角色放置在该位置上。除非操作主机上的工作量与分开这些角色的额外管理负荷相持平,否则将这些角色放在一起。

由于所有在 Active Directory 前的客户端都将更新提交至 PDC 仿真器,因此,托管此角色的域控制器会使用较多数量的 RID。将 PDC 仿真器和 RID 主机角色放置在同一个域控制器上,以便这两个角色能够更有效交互。

如果必须将这些角色分开,那么仍可使用所有三个角色的单一备用操作主机。然而,必须确保此备用是所有三个角色持有者的复制伙伴。

如果分开了这些角色,那么备份和还原过程也变得较复杂。在还原托管操作主机角色的域控制器时需要特别小心。通过在单一计算机上托管这些角色,可将还原角色持有者的步骤降至最少。

全局编录服务器上缺少域级角色

不要将基础结构主机托管在同时用作全局编录服务器的域控制器上。由于最好是保持三个域级角色在一起,这样可避免将其中任何一个放置到全局编录服务器上。

较高性能域控制器上的域级角色放置

将 PDC 仿真器角色托管在强大和可靠的域控制器上,以确保其可使用,并且可处理工作量。在所有操作主机角色中,PDC 仿真器产生了托管此角色的服务器上的大部分管理费用。它拥有主要的与网络中其他系统进行的日常交互。PDC 仿真器最有可能影响目录的日常操作。

操作主机角色持有者的工作量调整

当试图为网络上的客户端请求提供服务、管理其自身资源以及处理专门的任务(如执行多种操作主机角色)时,域控制器都可能会超负荷。在托管 PDC 仿真器角色的域控制器上尤其会发生这种情况。另外,PDC 上运行 Windows NT 4.0 的域控制器和 Active Directory 之前的客户端比 Active Directory 客户端和 Windows 2000 Server 域控制器更多。如果网络环境拥有 Active Directory 前的客户端和域控制器,可能需要减少 PDC 仿真器的工作量。

如果某域控制器开始指示其超载,且其性能受到影响,那么可对环境进行重新配置,以便其他域控制器(较少使用的域控制器)执行一些任务。通过调整 DNS 环境下域控制器的负担,可对此域控制器进行配置,以使其较网络中其他域控制器接收较少的客户端请求。也可在 DNS 环境下调整此域控制器优先级,以使其仅在其他 DNS 服务器无法使用时处理客户端请求。由于要处理的 DNS 客户端请求较少,因此此域控制器可使用更多的资源来执行此域中的操作主机服务。

任务:为操作主机角色指派域控制器
当创建一个新域时,Active Directory 安装向导会自动将所有域级操作主机角色指派至此域中创建的第一个域控制器。当创建一个新林时,向导也会将这两个林级的操作主机角色指派至第一个域控制器。在此域创建和运行后,可将各种操作主机角色传输至不同的域控制器,以优化其性能和简化管理。

在需要时执行林级和域级操作主机角色传输操作,放置操作主机角色指导方针对其进行管理。在传输操作主机角色前,使用带有 /showreps 选项的 Repadmin.exe,以确保当前角色持有者之间的复制以及承担此角色的域控制器已更新。

此外,必须确定试图假定为操作主机角色的域控制器是否为全局编录服务器。然而每个域的基础结构主机不得托管此全局编录。

除非 IT 管理授权此更改,否则,不要更改试图假定为操作主机角色域控制器上的全局编录配置。更改全球编录配置可能导致一些更改,这些更改需要几天时间才能完成,并且在更改期间,此域控制器可能无法使用。相反,可将操作主机角色传输至已正确配置的不同域控制器。

在所链接的主题中对以下步骤进行了详细解释。

步骤 1:确认成功复制到域控制器

可在以下网址找到该步骤 http://www.microsoft.com/technet/itsolutions/techguide/msm/winsrvmg/adpog/adpog5.mspx。

步骤 2:确定域控制器是否为全局编录服务器

可在以下网址找到该步骤 http://www.microsoft.com/technet/itsolutions/techguide/msm/winsrvmg/adpog/adpog5.mspx。

步骤 3:传输林级操作主机角色

可在以下网址找到该步骤 http://www.microsoft.com/technet/itsolutions/techguide/msm/winsrvmg/adpog/adpog5.mspx。

步骤 4:传输域级操作主机角色

可在以下网址找到该步骤 http://www.microsoft.com/technet/itsolutions/techguide/msm/winsrvmg/adpog/adpog5.mspx。
标签:

相关文章