Umieszczanie i optymalizowanie ról FSMO na kontrolerach domeny usługi Active Directory

  • Artykuł

Niektóre operacje najlepiej wykonywać na jednym kontrolerze domeny. W tym artykule opisano umieszczanie ról usługi Active Directory Flexible Single-Master Operation (FSMO) w domenie i lesie dla tych operacji.

Dotyczy: Windows Server 2012 R2
Oryginalny numer KB: 223346

Więcej informacji

Niektóre operacje w domenie i w całym przedsiębiorstwie nie są dobrze dostosowane do aktualizacji wielowzorcowości. W takich sytuacjach operacje muszą być wykonywane na jednym kontrolerze domeny w domenie lub w lesie. Posiadanie właściciela jednego wzorca definiuje dobrze znany obiekt docelowy dla operacji krytycznych i zapobiega możliwym konfliktom lub opóźnieniom utworzonym przez aktualizacje wielowzorcowe. Oznacza to, że odpowiedni właściciel roli FSMO musi być w trybie online, wykrywalny i dostępny w sieci przez komputery, które muszą wykonywać operacje zależne od FSMO.

Gdy Kreator instalacji usługi Active Directory (Dcpromo.exe) tworzy pierwszą domenę w nowym lesie, kreator dodaje pięć ról FSMO. Las z jedną domeną ma pięć ról. Kreator instalacji usługi Active Directory dodaje trzy role dla całej domeny na pierwszym kontrolerze domeny w każdej dodatkowej domenie w lesie. Ponadto role główne infrastruktury istnieją dla każdej partycji aplikacji. Obejmuje ona domenę domyślną i partycje aplikacji DNS dla całego lasu, które są tworzone na kontrolerach domeny systemu Windows Server 2003 i nowszych. Wzorce operacji i ich zakres są wyświetlane w poniższej tabeli.

Rola FSMO Zakres Wymagania dotyczące funkcji i dostępności
Wzorzec schematu Enterprise — Służy do wprowadzania ręcznych i programowych aktualizacji schematu. Obejmuje ona te aktualizacje, które są dodawane przez system Windows ADPREP /FORESTPREP, przez program Microsoft Exchange i przez inne aplikacje korzystające z Active Directory Domain Services (AD DS).
— Musi być w trybie online, gdy są wykonywane aktualizacje schematu.
Wzorzec nazewnictwa domen Enterprise — Służy do dodawania i usuwania domen i partycji aplikacji do i z lasu.
— Musi być w trybie online, gdy domeny i partycje aplikacji w lesie są dodawane lub usuwane.
Podstawowy kontroler domeny Domain (Domena) — Odbiera aktualizacje haseł po zmianie haseł dla komputera i dla kont użytkowników znajdujących się na kontrolerach domeny repliki.
- Konsultowane przez kontrolery domeny repliki, które żądania uwierzytelniania usługi, które mają niezgodnych haseł.
— Domyślny docelowy kontroler domeny dla aktualizacji zasady grupy.
— Docelowy kontroler domeny dla starszych aplikacji, które wykonują operacje zapisywalne i dla niektórych narzędzi administracyjnych.
- Musi być online i dostępne przez 24 godziny na dobę, siedem dni w tygodniu.
RID Domain (Domena) — Przydziela aktywne i rezerwowe pule identyfikatorów RID do replikowania kontrolerów domeny w tej samej domenie.
- Musi być w trybie online w następujących sytuacjach:
  • gdy nowo promowane kontrolery domeny muszą uzyskać lokalną pulę identyfikatorów RID, która jest wymagana do anonsowania
  • gdy istniejące kontrolery domeny muszą zaktualizować bieżącą lub rezerwą alokacji puli IDENTYFIKATORÓW RID.
Wzorzec infrastruktury Domain (Domena)

Partycja aplikacji		 — Aktualizacje odwołania do wielu domen i fantomy z wykazu globalnego. Aby uzyskać więcej informacji, zobacz Phantoms, tombstones, and the infrastructure master (Fantomy, nagrobki i wzorzec infrastruktury)
— Dla każdej partycji aplikacji jest tworzony oddzielny wzorzec infrastruktury, w tym domyślne partycje aplikacji dla całego lasu i całej domeny utworzone przez kontrolery domeny systemu Windows Server 2003 i nowszych.

Polecenie systemu Windows Server 2008 R2 ADPREP /RODCPREP jest przeznaczone dla roli wzorca infrastruktury dla domyślnej aplikacji DNS w domenie głównej lasu. Ścieżka nazwy DN dla tego posiadacza roli to:
  • CN=Infrastructure,DC=DomainDnsZones,DC=<forest root domain,DC>=<top level domain>
  • CN=Infrastructure,DC=ForestDnsZones,DC=<forest root domain,DC>=<top level domain>

Dostępność i rozmieszczenie usługi FSMO

Kreator instalacji usługi Active Directory wykonuje początkowe umieszczanie ról na kontrolerach domeny. To umieszczanie jest często poprawne w przypadku katalogów, które mają tylko kilka kontrolerów domeny. W katalogu, który ma wiele kontrolerów domeny, domyślne rozmieszczenie może nie być najlepszym dopasowaniem dla sieci.

Weź pod uwagę następujące czynniki w kryteriach wyboru:

  • Łatwiej jest śledzić role FSMO, jeśli hostujesz je na mniejszej liczbie komputerów.

  • Umieść role na kontrolerach domeny, do których mogą uzyskiwać dostęp komputery, które wymagają dostępu do danej roli, szczególnie w sieciach, które nie są w pełni kierowane. Aby na przykład uzyskać bieżącą lub rezerwową pulę identyfikatorów RID lub przeprowadzić uwierzytelnianie przekazywane, wszystkie kontrolery domeny muszą mieć dostęp sieciowy do posiadaczy ról rid i kontrolera PDC w odpowiednich domenach.

  • Należy przenieść (nie przejąć) roli do nowego kontrolera domeny w następujących warunkach:

    • rola musi zostać przeniesiona do innego kontrolera domeny
    • bieżący posiadacz roli jest w trybie online i jest dostępny

    Role FSMO powinny zostać zajęte tylko wtedy, gdy bieżący posiadacz roli nie jest dostępny. Aby uzyskać więcej informacji, zobacz Zarządzanie rolami głównymi operacji.

  • Role FSMO przypisane do kontrolerów domeny, które są w trybie offline lub w stanie błędu, muszą zostać przeniesione lub zajęte tylko w przypadku wykonywania operacji zależnych od ról. Jeśli właściciel roli może zostać uruchomiony, zanim będzie potrzebna rola, możesz opóźnić przejęcie roli. Jeśli dostępność roli jest krytyczna, przenieś lub przejmij rolę zgodnie z potrzebami. Rola kontrolera PDC w każdej domenie powinna być zawsze w trybie online.

  • Wybierz bezpośredniego partnera replikacji wewnątrz lokacji, aby istniejący posiadacze ról pełnili rolę rezerwowego. Jeśli właściciel podstawowy przejdzie w tryb offline lub ulegnie awarii, przekaż lub przejmij rolę do wyznaczonego kontrolera domeny FSMO w trybie wstrzymania zgodnie z wymaganiami.

Ogólne zalecenia dotyczące umieszczania usługi FSMO

  • Umieść wzorzec schematu na kontrolerze PDC domeny głównej lasu.

  • Umieść wzorzec nazewnictwa domeny w głównym kontrolerze PDC lasu.

    Dodawanie lub usuwanie domen powinno być ściśle kontrolowaną operacją. Umieść tę rolę w głównym kontrolerze PDC lasu. Niektóre operacje korzystające z wzorca nazewnictwa domeny nie powiodły się, jeśli wzorzec nazewnictwa domeny nie jest dostępny. Te operacje obejmują tworzenie lub usuwanie domen i partycji aplikacji. Na kontrolerze domeny z systemem Microsoft Windows 2000 wzorzec nazewnictwa domeny musi być również hostowany na serwerze wykazu globalnego. Na kontrolerach domeny z systemem Windows Server 2003 lub nowszym wzorzec nazewnictwa domeny nie musi być serwerem wykazu globalnego.

  • Umieść kontroler PDC na najlepszym sprzęcie w niezawodnej lokacji centrum zawierającej repliki kontrolerów domeny w tej samej lokacji i domenie usługi Active Directory.

    W dużych lub zajętych środowiskach kontroler PDC często ma najwyższe użycie procesora CPU, ponieważ obsługuje uwierzytelnianie przekazywane i aktualizacje haseł. Jeśli wysokie użycie procesora CPU staje się problemem, zidentyfikuj źródło. Źródło obejmuje aplikacje lub komputery, które mogą wykonywać zbyt wiele operacji (przechodnio) przeznaczonych dla kontrolera PDC. Techniki redukcji procesora CPU obejmują:

    • Dodawanie większej lub szybszej liczby procesorów CPU
    • Dodawanie większej liczby replik
    • Dodawanie większej ilości pamięci do obiektów usługi Active Directory w pamięci podręcznej
    • Usuwanie wykazu globalnego w celu uniknięcia wyszukiwania wykazu globalnego
    • Zmniejszenie liczby przychodzących i wychodzących partnerów replikacji
    • Zwiększanie harmonogramu replikacji
    • Zmniejszenie widoczności uwierzytelniania przy użyciu funkcji LDAPSRVWEIGHT i LDAPPRIORITY oraz za pomocą funkcji Randomize1CList.

    Wszystkie kontrolery domeny w określonej domenie i komputery, na których są uruchamiane aplikacje i narzędzia administracyjne przeznaczone dla kontrolera PDC, muszą mieć łączność sieciową z kontrolerem PDC domeny.

  • Umieść wzorzec RID w kontrolerze PDC domeny w tej samej domenie.

    Narzut główny rid jest lekki, szczególnie w dojrzałych domenach, które już utworzyły większość użytkowników, komputerów i grup. Kontroler PDC domeny zwykle otrzymuje największą uwagę od administratorów. Wspólne lokalizowanie tej roli w kontrolerze PDC pomaga zapewnić niezawodną dostępność. Upewnij się, że istniejące kontrolery domeny i nowo promowane kontrolery domeny mają łączność sieciową w celu uzyskania aktywnych i rezerwowych pul RID z wzorca RID, zwłaszcza kontrolerów domeny promowanych w lokacjach zdalnych lub przejściowych.

  • Starsze wskazówki sugerują umieszczenie wzorca infrastruktury na serwerze wykazu nieglowerowego. Istnieją dwie reguły do rozważenia:

    • Las pojedynczej domeny:

      W lesie zawierającym jedną domenę usługi Active Directory nie ma fantomów. Dlatego wzorzec infrastruktury nie ma nic do zrobienia. Wzorzec infrastruktury może być umieszczony na dowolnym kontrolerze domeny w domenie, niezależnie od tego, czy ten kontroler domeny hostuje wykaz globalny, czy nie.

    • Las wielodomenowy:

      Jeśli każdy kontroler domeny w domenie będącej częścią lasu z wieloma domenami jest również hostem wykazu globalnego, nie ma fantomów ani nie pracuje dla wzorca infrastruktury. Wzorzec infrastruktury może zostać umieszczony na dowolnym kontrolerze domeny w tej domenie. Praktycznie większość administratorów hostuje wykaz globalny na każdym kontrolerze domeny w lesie.

    • Jeśli każdy kontroler domeny w danej domenie znajdującej się w lesie z wieloma domenami nie hostuje wykazu globalnego, wzorzec infrastruktury musi zostać umieszczony na kontrolerze domeny, który nie hostuje wykazu globalnego.

Informacje

Aby uzyskać więcej informacji, zobacz Jak używać węzłów klastra systemu Windows Server jako kontrolerów domeny.

Artykuły dotyczące ról wzorca operacji:

Zdarzenie replikacji NTDS 1586 występuje w jednej z następujących sytuacji:

  • rola FSMO kontrolera domeny kontrolera domeny dla określonej domeny została zajęta.
  • Rola FSMO kontrolera domeny kontrolera domeny dla określonej domeny została przeniesiona do nowego kontrolera domeny, który nie był partnerem replikacji bezpośredniej poprzedniego posiadacza roli.