PDC-Emulator – Primärer Domänencontroller-Emulator


PDC-EmulatorDer PDC-Emulator für FSMO-Rollen ist die zweite der drei Rollen auf Domänenebene. Das heißt, es muss einen PDC-Emulator in einer Domäne geben.Abhängig von der Anzahl der Domänen kann es jedoch mehrere in der gesamten AD-Gesamtstruktur geben.


Der Hauptartikel zu Active Directory ist Active Directory-Domänendienste. Lesen Sie auch andere Artikel über die Rollen der Master of Operations – FSMO – Fexible Single Master Operations.

Wenn Sie an Windows Server-Themen interessiert sind, empfehlen wir Ihnen, die Windows Server-Spalte in meinem Blog zu lesen.


PDC-Emulator – Primärer Domänencontroller-Emulator

Um die Funktionalität dieser FSMO-Rolle besser zu verstehen, müssen Sie sich zunächst auf den Verlauf ihres Erscheinungsbilds beziehen.

Ein bisschen Geschichte

Die PDC-Emulatorrolle wird hauptsächlich für die Kompatibilität mit Windows-Versionen unter 2000 benötigt. In einer gemischten Umgebung mit Windows NT, 95, 98-Clients führt der PDC-Emulator die folgenden Aufgaben aus ::

  1. Beteiligt sich an der Änderung von Passwörtern für Benutzer- und Computerkonten;
  2. Repliziert Aktualisierungen auf Sicherungsdomänencontrollern.
  3. Führt die Aufgaben des Domain Master Browsers aus.

Für Windows NT 3.51, 4-Domänen hat der Emulator des primären Domänencontrollers eine sehr wichtige Funktion ausgeführt und wenn dies fehlschlug, ging die gesamte Domain tatsächlich in den schreibgeschützten Modus ::

  • Benutzer können Kennwörter nicht ändern (sie erhalten eine Fehlermeldung «Passwort für dieses Konto kann nicht geändert werden. Bitte kontaktieren Sie Ihren Systemadministrator”);
  • Beim Erstellen eines Kontos wird eine Fehlermeldung angezeigt («Domänencontroller für diese Domäne konnte nicht gefunden werden»);
  • Die Sicherungsdomänencontroller hätten Replikationsfehler (da die Sicherungsdomänencontroller nur die Änderungen vom PDC replizierten. Um Änderungen am BDC vornehmen zu können, muss er zum primären Domänencontroller gemacht werden).

IC78824

Bei der Entwicklung der Technologie wurde der Schwerpunkt auf die Austauschbarkeit und Gleichheit aller Domänencontroller gelegt. Daher war die Windows 2003-Domäne bereits eine völlig andere Struktur, deren Grundlage die Multi-Master-Replikation war. Obwohl die “sekundären” (etwas ähnlich wie BDC) Domänencontroller verblieben, existierten die primären Controller als solche nicht mehr .

Moderne Ernennung

Heutzutage ist die Rolle des PDC-Emulators meiner Meinung nach weniger wichtig als die anderer Master of Operations, aber sie wird immer noch für eine Reihe von Aufgaben benötigt, die die Verwaltung irgendwie vereinfachen und einige Annehmlichkeiten hinzufügen:

1) Die Kennwortreplikation wird im Prioritätsmodus an den PDC-Emulator gesendet… Das heißt, wenn der Benutzer das Kennwort geändert hat (und dies auf jedem Domänencontroller tun kann), wendet sich der Domänencontroller zunächst an den PDC-Emulator, um die Tatsache der Kennwortänderung zu melden. Andere Domänencontroller verweigern wiederum den Benutzer nicht, wenn die Autorisierung mit einem geänderten Kennwort sie durchläuft, sondern wenden sich an den Emulator des primären Domänencontrollers, um mögliche Änderungen anzuzeigen und den Benutzer nach Erhalt mit einem neuen Kennwort zu autorisieren.

Wenn der PDC nicht verfügbar ist, können Sie sich bei der Autorisierung über einen anderen Domänencontroller einfach nicht mit einem neuen Kennwort beim System anmelden, und der Zähler für Anmeldeversuche wird erhöht. Natürlich wird diese Situation für einen sehr kurzen Zeitraum beobachtet werden, bis Änderungen auf andere DCs repliziert werdenaber in Wirklichkeit tritt es in der Praxis überhaupt nicht auf;

Gleiches gilt für Kontosperren – zunächst werden sie auf den PDC-Emulator repliziert .

2) Um Konflikte zu vermeiden, Änderungen an Gruppenrichtlinien, Alle GPO-Änderungen in der Realität finden auf dem PDC-Emulator statt und es spielt keine Rolle, wo genau Sie mit der Ausrüstung arbeiten;

3) Einige zusätzliche Sicherheitsobjekte sind standardmäßig in Windows Server 2003 enthalten. Wenn Sie Ihre Infrastruktur von Windows Server 2000 selbst aktualisieren Sie müssen den Aktualisierungsprozess direkt vom PDC-Emulator aus startenDamit diese Gruppen und Konten zuerst darauf angezeigt werden und erst dann auf andere Controller repliziert werden. Die Objekte selbst werden im Container CN = WellKnown Security Principals, CN = Configuration, DC = gespeichert.

4) Der SDProp-Mechanismus (Security Descriptor Propagator) wird auf dem PDC-Emulator ausgeführt… Dieser Mechanismus “räumt” die Zugriffssteuerungslisten (ACLs) von Active Directory-Objekten auf. Kritische Domänensicherheitsobjekte (für diese Objekte ist der Attributwert auf 1 festgelegt adminCount) Modell-ACLs werden in einem speziellen Container namens AdminSDHolder gespeichert .

Übrigens finden Sie hier eine vollständige Liste der wichtigsten Sicherheitsobjekte für die neu erstellte Domäne:

pdc emulator 02Natürlich wurde das Bissquit-Konto von mir manuell erstellt, es wird für Sie anders sein;

5) Während der Installation des ersten Domänencontrollers wird der Dienst NetLogon erstellt einen DNS-SRV-Eintrag _ldap._tcp.pdc._msdcs.DnsDomainName… Mit diesem Eintrag können Clients den PDC-Emulator erkennen. Nur der Eigentümer dieser Rolle kann diesen Eintrag ändern.

6) Auf dem primären Domänencontroller-Emulator Änderungen am DFS-Namespace werden durchgeführt (Verteiltes Dateisystem). Wenn der PDC-Emulator nicht gefunden wird, funktioniert DFS nicht richtig ;;

7) Prozess Die Heraufstufung auf Domänen- oder Gesamtstrukturfunktionsebene wird auf dem PDC-Emulator durchgeführt .

8) Vielleicht ist eine der wichtigsten Funktionen Zeit über die Domain verteilen … Weitere Informationen zum Konfigurieren der Domänenzeit finden Sie in meinem Artikel Konfigurieren von Active Directory-Domänendiensten.

Best Practices

Viele der Best Practices für die Verwaltung des primären Domänenemulators entsprechen anderen Operationsmaster-Rollen:

  1. Platzieren Sie den PDC-Emulator und den RID-Master auf demselben Domänencontroller ;;
  2. Stellen Sie sicher, dass der PDC-Emulator so konfiguriert ist, dass die Zeit von einer korrekten externen Zeitquelle synchronisiert wird ;;
  3. Wenn Sie virtualisierte Domänencontroller verwenden, stellen Sie sicher, dass das Gastbetriebssystem der virtuellen Maschinen nicht die Zeit vom Virtualisierungshost synchronisiert, sondern von den Domänencontrollern, die wiederum vom PDC des Emulators stammen.
  4. Versuchen Sie nicht, das Schicksal zu versuchen oder Änderungen an der SDProp-Engine vorzunehmen.

Verwaltung

Es gibt keine spezielle Ausrüstung zur Steuerung des Betriebs des PDC-Emulators.

Sie können den Eigentümer einer Rolle mithilfe des Snap-Ins ändern Aktive Verzeichnisse Benutzer und Computer… Dafür:

  1. Öffnen Sie den Snap auf DC01 und klicken Sie mit der rechten Maustaste auf Aktive Verzeichnisse Benutzer und Computer und wähle Ändern Sie den Active Directory-Domänencontroller;;
  2. Wählen Sie als Nächstes den Domänencontroller aus, auf den die Rolle übertragen werden soll (für mich ist es DC02, standardmäßig ist immer der Server ausgewählt, dem die Rolle gehört). Wir bestätigen die Warnung;
  3. Klicken Sie erneut mit der rechten Maustaste auf Aktive Verzeichnisse Benutzer und Computer, aber wir wählen schon Operations Master …;;
  4. Drücke den Knopf Veränderung ….

pdc emulator 01

Danach müssen Sie Ihre Auswahl bestätigen und eine Benachrichtigung über die erfolgreiche Übertragung der Rolle erhalten.

Damit ist die Überprüfung der fsmo-Rolle des PDC-Emulators abgeschlossen.

Kommentare bereitgestellt von HyperComments

Leave a Reply

Your email address will not be published. Required fields are marked *