Placement et optimisation sur les contrôleurs de domaine Active Directory

Traductions disponibles Traductions disponibles
Numéro d'article: 223346 - Voir les produits auxquels s'applique cet article
Ancien nº de publication de cet article : F223346
Agrandir tout | Réduire tout

Sommaire

Résumé

Cet article décrit le placement des rôles Active Directory maître unique FSMO (Flexible) dans le domaine et la forêt pour les opérations qui sont mieux exécutées sur un seul contrôleur de domaine.

Plus d'informations

Certaines opérations du domaine et à l'échelle de l'entreprise qui ne sont pas adaptées aux mises à jour multimaîtres doivent être effectuées sur un contrôleur de domaine dans le domaine ou la forêt. Ayant un propriétaire de maître unique vise à définir une cible bien connue pour les opérations critiques et à empêcher l'introduction de conflits ou de latence peut être créée par les mises à jour multimaîtres. Avoir un maître d'opération unique signifie que le propriétaire du rôle FSMO pertinent doit être en ligne, détectable et disponible sur le réseau par les ordinateurs qui ont pour effectuer des opérations FSMO dépendant.

Lorsque l'Assistant Installation de Active Directory (Dcpromo.exe) crée le premier domaine dans une nouvelle forêt, l'Assistant ajoute cinq rôles FSMO. Une forêt avec un domaine possède cinq rôles. L'Assistant Installation de Active Directory ajoute trois rôles à l'échelle du domaine sur le premier contrôleur de domaine dans chaque domaine supplémentaire de la forêt. En outre, les rôles de maître d'infrastructure existent pour chaque partition d'application. Cela inclut le domaine par défaut et les partitions d'applications DNS à l'échelle de la forêt qui sont créées sur les contrôleurs de domaine Windows Server 2003-ou version ultérieure. Les maîtres d'opérations et leur portée sont affichés dans le tableau suivant.
Réduire ce tableauAgrandir ce tableau
Rôle FSMOChamp d'applicationExigences de disponibilité et de la fonction
Contrôleur de schémaEntreprise
  • Utilisé pour introduire les mises à jour de schéma manuelle et de programmation, et ceci inclut les mises à jour qui sont ajoutés par d'autres applications qui utilisent les Services de domaine Active Directory (AD DS) par Windows ADPREP /FORESTPREP et par Microsoft Exchange.
  • Doit être en ligne lorsque les mises à jour de schéma sont effectuées.
Maître de nommage de domaineEntreprise
  • Permet d'ajouter et de supprimer des partitions d'applications vers et à partir de la forêt et les domaines.
  • Doit être en ligne lorsque les partitions d'application dans une forêt et les domaines sont ajoutées ou supprimées.
Contrôleur principal de domaineDomaine
  • Reçoit les mises à jour de mot de passe lors de la modification des mots de passe pour l'ordinateur et les comptes d'utilisateurs qui se trouvent sur les contrôleurs de domaine de réplica.
  • Consulté par les contrôleurs de domaine de réplica qui demandes d'authentification de service qui ont des mots de passe.
  • Par défaut, le contrôleur de domaine cible pour les mises à jour de la stratégie de groupe.
  • Contrôleur de domaine cible pour les applications héritées qui effectuent des opérations d'écriture et de certains outils d'administration.
  • Doit être en ligne et accessibles 24 heures sur 24, sept jours par semaine.
RIDDomaine
  • Alloue en attente et actives des pools d'identificateurs relatifs aux contrôleurs de domaine de réplica dans le même domaine.
  • Doit être en ligne pour les contrôleurs de domaine nouvellement promu à obtenir un pool RID local qui est requis pour faire de la publicité ou lorsque les contrôleurs de domaine existants ont mettre à jour leur allocation du pool RID en cours ou en attente.
Maître d'infrastructureDomaine

Partition d'application
  • Met à jour les références entre les domaines et les fantômes à partir du catalogue global. Pour plus d'informations, cliquez sur le numéro ci-dessous pour afficher l'article correspondant dans la Base de connaissances Microsoft :
    248047 Fantômes, les enregistrements désactivés et le maître d'infrastructure
  • Un maître d'infrastructure distincte est créé pour chaque partition d'applications, y compris les partitions d'application à l'échelle de la forêt et le domaine par défaut créées par Windows Server 2003 et des contrôleurs de domaine ultérieures.

    La commande /RODCPREP ADPREP de Windows Server 2008 R2 cible le rôle de maître d'infrastructure DNS par défaut dans le domaine racine de la forêt. Le chemin d'accès du nom unique pour ce rôle est CN = Infrastructure, DC = DomainDnsZones, DC =<forest root="" domain="">, DC =<top level="" domain=""> et CN = Infrastructure, DC = ForestDnsZones, DC =<forest root="" domain="">, DC =<top level="" domain="">.</top> </forest> </top> </forest>

Emplacement et la disponibilité FSMO

L'Assistant Installation de Active Directory effectue le placement initial des rôles sur les contrôleurs de domaine. Ce placement est souvent correct pour les annuaires quelques contrôleurs de domaine. Dans un répertoire qui compose de nombreux contrôleurs de domaine, le placement par défaut peut-être pas la meilleure correspondance pour votre réseau.

Tenez compte des éléments suivants dans vos critères de sélection :
  • Il est plus facile d'effectuer le suivi des rôles FSMO Si vous les héberger sur moins d'ordinateurs.
  • Place les rôles sur les contrôleurs de domaine sont accessibles par les ordinateurs qui ont besoin d'accéder à un rôle donné, particulièrement sur des réseaux qui ne sont pas entièrement routé. Par exemple, pour obtenir un pool RID en cours ou en attente ou pour effectuer l'authentification pass-through, tous les contrôleurs de domaine doivent réseau accès aux détenteurs de rôle PDC et de maître RID dans leurs domaines respectifs.
  • Si un rôle doit être déplacé vers un autre contrôleur de domaine et le détenteur de rôle actuel est en ligne et disponible, vous devez transférer (ne prenez pas) le rôle sur le nouveau contrôleur de domaine. Rôles FSMO doivent uniquement être remis si le détenteur de rôle actuel n'est pas disponible. Pour plus d'informations, consultez le site Web Microsoft suivant :
    http://technet.Microsoft.com/en-us/library/cc816945 (ws.10).aspx
  • Les rôles FSMO qui sont assignés à des contrôleurs de domaine sont hors connexion ou dans un état d'erreur seules doivent être transférés ou saisis si dépendant du rôle opérations sont en cours d'exécution. Si le détenteur de rôle peut être opérationnels avant que le rôle est nécessaire, vous pouvez retarder la prise du rôle. Si la disponibilité du rôle est critique, transférer ou prendre le rôle requis. Le rôle de contrôleur principal de domaine dans chaque domaine doit être en ligne à tout moment.
  • Sélectionnez un partenaire de réplication intrasite direct pour les détenteurs de rôle existant pour qu'il agisse comme un détenteur de rôle en attente. Si le propriétaire principal est hors connexion ou échoue, transférer ou prendre le rôle au contrôleur de domaine FSMO veille désigné comme requis.

Recommandations générales relatives au placement FSMO

  • Placez le contrôleur de schéma sur le contrôleur principal du domaine racine de forêt.
  • Placez le maître d'attribution de noms de domaine sur le contrôleur principal de domaine racine de la forêt.

    L'ajout ou la suppression de domaines doit être une opération étroitement contrôlée. Placez ce rôle sur la contrôleur principal de domaine racine de la forêt. Certaines opérations qui utilisent le maître de nommage de domaine, comme la création ou la suppression de domaines et les partitions d'applications, d'échouer si le maître d'attribution de noms de domaine n'est pas disponible. Sur un contrôleur de domaine qui exécute Microsoft Windows 2000, le maître d'attribution de noms de domaine doit également être hébergé sur un serveur de catalogue global. Sur les contrôleurs de domaine qui exécutent Windows Server 2003 ou une version ultérieure, le maître d'attribution de noms de domaine n'a pas à être un serveur de catalogue global.
  • Placez le contrôleur de domaine principal sur votre meilleur matériel dans un site pivot fiable qui contient des contrôleurs de domaine de réplica dans le même site Active Directory et le domaine.

    Dans les environnements de grande taille ou occupés, le contrôleur principal de domaine a fréquemment la plus élevée de l'UC, car elle gère le relais d'authentification et mot de passe mises à jour. Si l'utilisation élevée du processeur devient un problème, identifier la source, et ceci inclut les applications ou les ordinateurs qui peuvent effectuer trop d'opérations (de manière transitive) ciblant le contrôleur principal de domaine. Techniques pour reduire les UC sont les suivants :
    • Ajout de processeurs plus rapides ou plus
    • Ajout de réplicas supplémentaires
    • L'ajout de mémoire pour le cache des objets Active Directory
    • Suppression du catalogue global afin d'éviter des recherches dans le catalogue global
    • Réduction du nombre de partenaires de réplication entrants et sortants
    • L'augmentation de la planification de réplication
    • Réduction de visibilité de l'authentification à l'aide de LDAPSRVWEIGHT et LDAPPRIORITY et à l'aide de la fonction Randomize1CList qui est décrite dans 231305.
    Tous les contrôleurs de domaine dans un domaine particulier et les ordinateurs qui exécutent des applications et des outils d'administration qui ciblent l'émulateur PDC, doivent avoir une connectivité réseau vers le contrôleur principal du domaine.
  • Placez le maître RID dans le domaine du contrôleur principal de domaine dans le même domaine.

    Charge le maître RID est clair, en particulier dans les domaines connus qui ont déjà créé la majeure partie de leurs utilisateurs, les ordinateurs et les groupes. Le contrôleur principal de domaine reçoit généralement le plus d'attention d'administrateurs. Par conséquent, cohabiter ce rôle sur le contrôleur principal de domaine permet de garantir la disponibilité fiable. Assurez-vous que les contrôleurs de domaine existants et les contrôleurs de domaine nouvellement promu, en particulier ceux promus dans les sites distants ou intermédiaires, possèdent une connectivité réseau pour obtenir des pools RID actifs et en attente à partir du maître RID.
  • Conseils hérités suggère de placer le maître d'infrastructure sur un serveur de catalogue non global. Il existe deux règles à prendre en compte :
    • Forêt à domaine unique :

      Dans une forêt qui contient un seul domaine Active Directory, il n'existe aucun fantôme. Par conséquent, le maître d'infrastructure n'a aucun travail à faire. Le maître d'infrastructure peut être placé sur n'importe quel contrôleur de domaine dans le domaine, si ce contrôleur de domaine héberge le catalogue global ou non.
    • Forêt à plusieurs domaines :

      Si chaque contrôleur de domaine dans un domaine qui fait partie d'une forêt multidomaine héberge également le catalogue global, il n'y a aucun fantôme et travail pour le maître d'infrastructure. Le maître d'infrastructure peut-être être mis sur n'importe quel contrôleur de domaine dans ce domaine. Dans la pratique, la plupart des administrateurs héberger le catalogue global sur chaque contrôleur de domaine dans la forêt.
    • Si chaque contrôleur de domaine dans un domaine donné se trouve dans une forêt multidomaine n'héberge pas le catalogue global, le maître d'infrastructure doit être placé sur un contrôleur de domaine n'hébergeant pas de catalogue global.

Références

Pour plus d'informations, reportez-vous à la section. Comment faire pour utiliser des n?uds de cluster Windows Server comme contrôleurs de domaine.

Articles à propos des rôles de maître d'opérations sur le site TechNet de Microsoft:


248047 Fantômes, les enregistrements désactivés et le maître d'infrastructure
949257 Message d'erreur lorsque vous exécutez la commande « Adprep /rodcprep » dans Windows Server 2008: « Adprep n'a pas pu contacter un réplica pour la partition DC = DomainDnsZones, DC = Contoso, DC = com "

L'événement de réplication NTDS 1586 survient lorsque le rôle FSMO PDC pour un domaine particulier a été pris ou transféré vers un nouveau contrôleur de domaine qui n'est pas un partenaire de réplication direct du détenteur du rôle précédent.

Propriétés

Numéro d'article: 223346 - Dernière mise à jour: jeudi 17 octobre 2013 - Version: 2.0
Les informations contenues dans cet article s'appliquent au(x) produit(s) suivant(s):
  • Windows Server 2012 Standard
  • Windows Server 2012 Essentials
  • Windows Server 2008 R2 Standard
  • Windows Server 2008 Standard
  • Microsoft Windows Server 2003 R2 Standard x64 Edition
  • Microsoft Windows Server 2003 R2 Standard Edition (32-bit x86)
  • Microsoft Windows Server 2003, Standard x64 Edition
  • Microsoft Windows Server 2003, Standard Edition (32-bit x86)
  • Microsoft Windows 2000 Server
  • Windows Server 2012 R2 Datacenter
  • Windows Server 2012 R2 Essentials
  • Windows Server 2012 R2 Foundation
  • Windows Server 2012 R2 Preview
  • Windows Server 2012 R2 Standard
Mots-clés : 
kbenv kbinfo kbmt KB223346 KbMtfr
Traduction automatique
IMPORTANT : Cet article est issu d'une traduction automatique réalisée par un logiciel Microsoft et non par un traducteur professionnel. Cette traduction automatique a pu aussi être révisée par la communauté Microsoft grâce à la technologie Community Translation Framework (CTF). Pour en savoir plus sur cette technologie, veuillez consulter la page http://support.microsoft.com/gp/machine-translation-corrections/fr. Microsoft vous propose en effet des articles traduits par des professionnels, des articles issus de traductions automatiques et des articles issus de traductions automatiques révisées par la communauté Microsoft, de manière à ce que vous ayez accès à tous les articles de notre Base de connaissances dans votre langue. Il est important de noter que les articles issus de la traduction automatique, y compris ceux révisés par la communauté Microsoft, peuvent contenir des erreurs de vocabulaire, de syntaxe ou de grammaire. Microsoft ne pourra être tenu responsable des imprécisions, erreurs, ainsi que de tout dommage résultant d?une traduction incorrecte du contenu ou de son utilisation par les clients.
La version anglaise de cet article est la suivante: 223346
L'INFORMATION CONTENUE DANS CE DOCUMENT EST FOURNIE PAR MICROSOFT SANS GARANTIE D'AUCUNE SORTE, EXPLICITE OU IMPLICITE. L'UTILISATEUR ASSUME LE RISQUE DE L'UTILISATION DU CONTENU DE CE DOCUMENT. CE DOCUMENT NE PEUT ETRE REVENDU OU CEDE EN ECHANGE D'UN QUELCONQUE PROFIT.

Envoyer des commentaires

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com