Размещение и оптимизация FSMO на контроллерах домена Active Directory

Код статьи: 223346 - Список продуктов, к которым относится данная статья.
Развернуть все | Свернуть все

На этой странице

Аннотация

Контроллеры доменов Active Directory поддерживают обновления с несколькими хозяевами для репликации объектов (например учетных записей пользователей и компьютеров) в Active Directory. При наличии нескольких хозяев объекты и их свойства могут находиться на любом контроллере домена и становиться "заслуживающими доверия" с помощью репликации.

В этой статье рассмотрено размещение ролей FSMO (Flexible Single-Master Operation) Active Directory в домене и лесу.
Перейти к началу страницы | Отправить отзыв

Дополнительная информация

Некоторые операции уровня домена или предприятия, для которых не подходит размещение с несколькими хозяевами, располагаются на одном контроллере домена в домене или лесу. Использование операций с единственным хозяином предотвращает возникновение конфликтных ситуаций в случаях, когда хозяин операции отключен. С другой стороны, владелец роли FSMO должен быть доступен, когда на уровне предприятия или домена выполняются зависящие от него действия. В противном случае необходимо вносить связанные с этой ролью изменения в каталог.

В мастере установки Active Directory (Dcpromo.exe) определены пять ролей FSMO: хозяин схемы, хозяин именования доменов, хозяин RID, эмулятор PDC и хозяин инфраструктуры. Роли хозяина схемы и хозяина именования доменов определяются для всего леса, а остальные три (хозяин RID, эмулятор PDC и хозяин инфраструктуры) — для каждого домена.

Лес, в котором существует один домен, имеет пять ролей. Каждый дополнительный домен добавляет три роли уровня домена. Количество ролей FSMO в лесу и число потенциальных владельцев этих ролей можно рассчитать по формуле "(количество доменов * 3) + 2".

Лес с тремя доменами (A.com с дочерним доменом B.A.com и внучатым доменом C.B.A.com) имеет 11 ролей FSMO:

1 хозяин схемы — на уровне леса, A.COM;
1 хозяин именования доменов — на уровне леса, A.COM;
3 эмулятора PDC (A.com, B.A.com и C.B.A.com);
3 хозяина RID (A.com, B.A.com и C.B.A.com);
3 хозяина инфраструктуры для каждого домена (A.com, B.A.com и C.B.A.com).

Когда в лесу создается первый контроллер домена Active Directory, Dcpromo.exe назначает ему все пять ролей. Когда создается первый контроллер домена Active Directory для нового домена в существующем лесу, ему назначаются три роли. В домене, работающем в смешанном режиме, в который входят контроллеры домена под управлением Windows NT 4.0, только контроллеры домена под управлением Windows Server 2003 или Windows 2000 могут владеть ролями FSMO уровня леса или домена.

Наличие и размещение ролей FSMO

Dcpromo.exe выполняет первоначальное размещение ролей на контроллерах домена. Это размещение обычно подходит для каталогов, которые содержат небольшое количество контроллеров домена. Для каталогов, содержащих большое число контроллеров домена, размещение по умолчанию, как правило, не является оптимальным.

Для каждого домена необходимо определить основной и резервный контроллеры домена, обладающие ролями FSMO (на случай сбоя основного владельца ролей FSMO). Кроме того, можно выбрать внешних резервных владельцев на случай возникновения серьезных проблем на уровне сайта. При этом необходимо руководствоваться указанными ниже критериями.
  • Если в домене только один контроллер домена, то ему будут принадлежать все роли уровня домена.
  • В доменах с несколькими контроллерами домена с помощью оснастки "Active Directory — диспетчер сайтов и служб" выберите прямых партнеров репликации, имеющих постоянное и надежное соединение с данным контроллером.
  • Для ускорения согласования репликации в большой группе компьютеров резервный сервер может располагаться на одном сайте с основным FSMO-сервером. С другой стороны, на случай возникновения серьезных проблем в основном месте расположения его можно поместить на удаленном сайте.
  • Если резервный контроллер домена находится на удаленном сайте, для непрерывной репликации необходимо наличие надежного соединения.

Общие рекомендации по размещению ролей FSMO

  • Размещайте роли хозяина RID и эмулятора PDC на одном контроллере домена. Кроме того, роли FSMO легче отслеживать, если они собраны на минимальном количестве компьютеров.

    Для снижения нагрузки на основной FSMO-сервер роли хозяина RID и эмулятора основного контроллера домена можно расположить на разных контроллерах одного домена и сайта Active Directory, которые являются прямыми партнерами репликации.
  • Как правило, хозяин инфраструктуры рекомендуется размещать на сервере неглобального каталога, который имеет объект прямого подключения к одному из глобальных каталогов в лесу (желательно на том же сайте Active Directory). Так как сервер глобального каталога хранит частичные реплики всех объектов в лесу, хозяин инфраструктуры, размещенный на сервере глобального каталога, не будет выполнять обновления, потому что он не содержит ссылок на объекты, которые не хранит. Для этого правила есть два исключения.
    • Лес с одним доменом

      Если лес содержит только один домен Active Directory, то в нем отсутствуют фантомы. Это значит, что хозяин инфраструктуры бездействует. В этом случае его можно разместить на любом контроллере домена, независимо от того, является ли этот контроллер домена сервером глобального каталога.
    • Лес с несколькими доменами, в котором каждый контроллер домена хранит глобальный каталог

      Если на каждом контроллере домена, входящего в лес с несколькими доменами, хранится глобальный каталог, фантомы отсутствуют и хозяин инфраструктуры бездействует. В этом случае его также можно разместить на любом контроллере данного домена.
  • На уровне леса роли хозяина схемы и хозяина именования доменов необходимо расположить на одном контроллере домена (они редко используются и должны жестко контролироваться). Кроме того, контроллер, которому присвоена роль хозяина именования доменов, должен одновременно являться сервером глобального каталога. В противном случае некоторые операции, использующие хозяин именования доменов (например создание внучатых доменов), могут завершаться неудачно.

    В режиме работы леса Windows Server 2003 не требуется помещать хозяин именования доменов в глобальный каталог.
С помощью одной из консолей управления (например Dsa.msc или Ntdsutil.exe) убедитесь в том, что доступны все роли FSMO.
Перейти к началу страницы | Отправить отзыв

Ссылки

Дополнительные сведения см. в следующей статье базы знаний Майкрософт:
281662
(http://support.microsoft.com/kb/281662/ )
Использование узлов кластера Windows 2000 или Windows Server 2003 в качестве контроллеров домена (Эта ссылка может указывать на содержимое полностью или частично на английском языке)
Перейти к началу страницы | Отправить отзыв

Свойства

Код статьи: 223346 - Последнее изменение :: 20 марта 2007 г. - Редакция: 6.4
Информация в данной статье относится к следующим продуктам.
  • Microsoft Windows Server 2003, Standard Edition (32-bit x86)
  • Microsoft Windows Server 2003, Enterprise Edition (32-bit x86)
  • Microsoft Windows Server 2003, Datacenter Edition (32-bit x86)
  • операционная система Microsoft Windows 2000 Server
  • Microsoft Windows 2000 Advanced Server
  • Microsoft Windows 2000 Datacenter Server
Ключевые слова: 
kbenv kbinfo KB223346
Перейти к началу страницы | Отправить отзыв

Отправить отзыв

 
Перейти к началу страницыПерейти к началу страницы