Posicionamento e otimização de FSMO em controladores de domínio no Active Directory

  • Artigo

Determinadas operações são melhor feitas em um único controlador de domínio. Este artigo descreve a colocação de funções FSMO (Active Directory Flexible Single-Master Operation) no domínio e na floresta para essas operações.

Aplica-se a: Windows Server 2012 R2
Número de KB original: 223346

Mais informações

Determinadas operações de domínio e de toda a empresa não são adequadas para atualizações de várias master. Nessas situações, as operações devem ser feitas em um único controlador de domínio no domínio ou na floresta. Ter um proprietário de master único define um destino bem conhecido para operações críticas e evita possíveis conflitos ou latência criados por atualizações multi-master. Isso significa que o proprietário de função FSMO relevante deve estar online, detectável e disponível na rede por computadores que devem executar operações dependentes de FSMO.

Quando o Assistente de Instalação do Active Directory (Dcpromo.exe) cria o primeiro domínio em uma nova floresta, o assistente adiciona cinco funções FSMO. Uma floresta com um domínio tem cinco funções. O Assistente de Instalação do Active Directory adiciona três funções em todo o domínio no primeiro controlador de domínio em cada domínio adicional na floresta. Além disso, há funções de master de infraestrutura para cada partição de aplicativo. Ele inclui o domínio padrão e as partições de aplicativo DNS em toda a floresta que são criadas no Windows Server 2003 e em controladores de domínio posteriores. Os mestres de operações e seu escopo são mostrados na tabela a seguir.

Função FSMO Escopo Requisitos de função e disponibilidade
Mestre do Esquema Empresa - Usado para introduzir atualizações de esquema manuais e programáticas. Ele inclui as atualizações adicionadas pelo Windows ADPREP /FORESTPREP, pelo Microsoft Exchange e por outros aplicativos que usam Active Directory Domain Services (AD DS).
- Deve estar online quando as atualizações de esquema são executadas.
Mestre de Nomenclatura de Domínio Empresa - Usado para adicionar e remover domínios e partições de aplicativo de e para a floresta.
- Deve estar online quando domínios e partições de aplicativo em uma floresta são adicionados ou removidos.
Controlador de Domínio Primário Domínio – recebe atualizações de senha quando as senhas são alteradas para o computador e para contas de usuário que estão em réplica controladores de domínio.
- Consultado por réplica controladores de domínio que prestam serviço a solicitações de autenticação que têm senhas incompatíveis.
- Controlador de domínio de destino padrão para atualizações de Política de Grupo.
– Controlador de domínio de destino para aplicativos herdados que executam operações graváveis e para algumas ferramentas de administrador.
- Deve estar online e acessível 24 horas por dia, sete dias por semana.
LIVRAR Domínio - Aloca pools RID ativos e em espera para réplica controladores de domínio no mesmo domínio.
- Deve estar online nas seguintes situações:
  • quando os controladores de domínio recém-promovidos devem obter um pool RID local necessário para anunciar
  • quando os controladores de domínio existentes devem atualizar sua alocação de pool RID atual ou em espera.
Mestre de Infraestrutura Domínio

Partição de aplicativo		 - Atualizações referências entre domínios e fantasmas do catálogo global. Para obter mais informações, consulte Fantasmas, lápides e a infraestrutura master
- Uma master de infraestrutura separada é criada para cada partição de aplicativo, incluindo as partições de aplicativo padrão em toda a floresta e em todo o domínio criadas pelo Windows Server 2003 e controladores de domínio posteriores.

O comando Windows Server 2008 R2 ADPREP /RODCPREP visa a função de master de infraestrutura para o aplicativo DNS padrão no domínio raiz da floresta. O caminho DN para esse titular de função é:
  • Domínio CN=Infrastructure,DC=DomainDnsZones,DC=<forest root>, DC=<top level>
  • Domínio CN=Infrastructure,DC=ForestDnsZones,DC=<forest root>, DC=<top level>

Disponibilidade e posicionamento do FSMO

O Assistente de Instalação do Active Directory faz o posicionamento inicial de funções em controladores de domínio. Esse posicionamento é frequentemente correto para diretórios que têm apenas alguns controladores de domínio. Em um diretório que tem muitos controladores de domínio, o posicionamento padrão pode não ser a melhor correspondência para sua rede.

Considere os seguintes fatores em seus critérios de seleção:

  • É mais fácil controlar as funções FSMO se você as hospedar em menos computadores.

  • Coloque funções em controladores de domínio que podem ser acessados pelos computadores, que precisam de acesso a uma determinada função, especialmente em redes que não são totalmente roteadas. Por exemplo, para obter um pool RID atual ou em espera ou executar a autenticação de passagem, todos os DCs precisam de acesso de rede aos detentores de função RID e PDC em seus respectivos domínios.

  • Você deve transferir (não aproveitar) a função para o novo controlador de domínio nas seguintes condições:

    • uma função deve ser movida para um controlador de domínio diferente
    • o titular da função atual está online e disponível

    As funções FSMO só devem ser apreendidas se o titular da função atual não estiver disponível. Para obter mais informações, consulte Gerenciando funções mestras de operações.

  • Funções FSMO atribuídas a controladores de domínio offline ou em um estado de erro só precisam ser transferidas ou apreendidas se operações dependentes de função estiverem sendo feitas. Se o titular da função puder ser operacionalizado antes que a função seja necessária, você poderá atrasar a tomada da função. Se a disponibilidade de função for fundamental, transfira ou aproveite a função conforme necessário. A função PDC em cada domínio deve estar sempre online.

  • Selecione um parceiro de replicação intrasite direto para que os titulares de função existentes atuem como um titular de função em espera. Se o proprietário primário ficar offline ou falhar, transfira ou aproveite a função para o controlador de domínio FSMO em espera designado, conforme necessário.

Recomendações gerais para posicionamento do FSMO

  • Coloque o esquema master no PDC do domínio raiz da floresta.

  • Coloque o master de nomenclatura de domínio no PDC raiz da floresta.

    A adição ou remoção de domínios deve ser uma operação fortemente controlada. Coloque essa função no PDC raiz da floresta. Determinadas operações que usam o master de nomenclatura de domínio falharão se o master de nomenclatura de domínio não estiver disponível. Essas operações incluem a criação ou remoção de domínios e partições de aplicativo. Em um controlador de domínio que executa o Microsoft Windows 2000, o master de nomenclatura de domínio também deve ser hospedado em um servidor de catálogo global. Em controladores de domínio que executam o Windows Server 2003 ou versões posteriores, o master de nomenclatura de domínio não precisa ser um servidor de catálogo global.

  • Coloque o PDC em seu melhor hardware em um site de hub confiável que contém réplica controladores de domínio no mesmo site e domínio do Active Directory.

    Em ambientes grandes ou ocupados, o PDC frequentemente tem o maior uso de CPU, pois lida com a autenticação de passagem e atualizações de senha. Se o alto uso da CPU se tornar um problema, identifique a origem. A origem inclui aplicativos ou computadores que podem estar executando muitas operações (transitivamente) visando o PDC. As técnicas para reduzir a CPU incluem:

    • Adicionando CPUs mais ou mais rápidas
    • Adicionando mais réplicas
    • Adicionar mais memória ao cache de objetos do Active Directory
    • Removendo o catálogo global para evitar pesquisas de catálogo global
    • Reduzindo o número de parceiros de replicação de entrada e saída
    • Aumentando o agendamento de replicação
    • Reduzindo a visibilidade da autenticação usando LDAPSRVWEIGHT e LDAPPRIORITY e usando o recurso Randomize1CList.

    Todos os controladores de domínio em um domínio específico, e computadores que executam aplicativos e ferramentas de administrador que visam o PDC, devem ter conectividade de rede com o PDC de domínio.

  • Coloque o master RID no PDC de domínio no mesmo domínio.

    RID master sobrecarga é leve, especialmente em domínios maduros que já criaram a maior parte de seus usuários, computadores e grupos. O PDC de domínio normalmente recebe a maior atenção dos administradores. A localização conjunta dessa função no PDC ajuda a garantir uma disponibilidade confiável. Verifique se os controladores de domínio existentes e os controladores de domínio recém-promovidos têm conectividade de rede para obter pools RID ativos e em espera da master RID, especialmente os controladores de domínio promovidos em sites remotos ou de preparo.

  • As diretrizes herdadas sugerem colocar a infraestrutura master em um servidor de catálogo não global. Há duas regras a serem consideradas:

    • Floresta de domínio único:

      Em uma floresta que contém um único domínio do Active Directory, não há fantasmas. Portanto, a infraestrutura master não tem trabalho a fazer. A master de infraestrutura pode ser colocada em qualquer controlador de domínio no domínio, se esse controlador de domínio hospeda ou não o catálogo global.

    • Floresta multidomain:

      Se cada controlador de domínio em um domínio que faz parte de uma floresta de vários domínios também hospedar o catálogo global, não haverá fantasmas ou trabalho para a infraestrutura que master fazer. A master de infraestrutura pode ser colocada em qualquer controlador de domínio nesse domínio. Praticamente, a maioria dos administradores hospeda o catálogo global em todos os controladores de domínio na floresta.

    • Se cada controlador de domínio em um determinado domínio localizado em uma floresta de vários domínios não hospedar o catálogo global, a infraestrutura master deve ser colocada em um controlador de domínio que não hospeda o catálogo global.

Referências

Para obter mais informações, consulte Como usar nós de cluster do Windows Server como controladores de domínio.

Artigos sobre funções mestre de operações:

O evento NTDS Replication 1586 ocorre em uma das seguintes situações:

  • A função PDC FSMO para um domínio específico foi apreendida.
  • A função PDC FSMO para um domínio específico foi transferida para um novo controlador de domínio que não era um parceiro de replicação direta do titular da função anterior.