FSMO-Platzierung und -Optimierung auf Active Directory-Domänencontrollern

  • Artikel

Bestimmte Vorgänge werden am besten auf einem einzelnen Domänencontroller ausgeführt. In diesem Artikel wird die Platzierung von FSMO-Rollen (Active Directory Flexible Single-Master Operation) in der Domäne und Gesamtstruktur für diese Vorgänge beschrieben.

Gilt für: Windows Server 2012 R2
Ursprüngliche KB-Nummer: 223346

Weitere Informationen

Bestimmte domänen- und unternehmensweite Vorgänge eignen sich nicht gut für Updates mit mehreren master. In diesen Situationen müssen die Vorgänge auf einem einzelnen Domänencontroller in der Domäne oder in der Gesamtstruktur ausgeführt werden. Mit einem Besitzer mit einem master wird ein bekanntes Ziel für kritische Vorgänge definiert und mögliche Konflikte oder Wartezeiten verhindert, die durch Updates mit mehreren master entstehen. Dies bedeutet, dass der relevante FSMO-Rollenbesitzer online, auffindbar und von Computern im Netzwerk verfügbar sein muss, die FSMO-abhängige Vorgänge ausführen müssen.

Wenn der Active Directory-Installations-Assistent (Dcpromo.exe) die erste Domäne in einer neuen Gesamtstruktur erstellt, fügt der Assistent fünf FSMO-Rollen hinzu. Eine Gesamtstruktur mit einer Domäne verfügt über fünf Rollen. Der Active Directory-Installations-Assistent fügt drei domänenweite Rollen auf dem ersten Domänencontroller in jeder zusätzlichen Domäne in der Gesamtstruktur hinzu. Darüber hinaus sind für jede Anwendungspartition Infrastruktur- master Rollen vorhanden. Sie enthält die Standarddomäne und die gesamtstrukturweiten DNS-Anwendungspartitionen, die auf Domänencontrollern unter Windows Server 2003 und höher erstellt werden. Die Betriebsmaster und ihr Bereich sind in der folgenden Tabelle aufgeführt.

FSMO-Rolle Bereich Funktions- und Verfügbarkeitsanforderungen
Schemamaster Großunternehmen – Wird verwendet, um manuelle und programmgesteuerte Schemaupdates einzuführen. Sie enthält die Updates, die von Windows ADPREP /FORESTPREP, Microsoft Exchange und anderen Anwendungen hinzugefügt werden, die Active Directory Domain Services (AD DS) verwenden.
– Muss online sein, wenn Schemaupdates ausgeführt werden.
Domänenbenennungsmaster Großunternehmen – Wird zum Hinzufügen und Entfernen von Domänen und Anwendungspartitionen in und aus der Gesamtstruktur verwendet.
– Muss online sein, wenn Domänen und Anwendungspartitionen in einer Gesamtstruktur hinzugefügt oder entfernt werden.
Primärer Domänencontroller Domäne – Empfängt Kennwortaktualisierungen, wenn Kennwörter für den Computer und für Benutzerkonten auf Replikatdomänencontrollern geändert werden.
– Konsultiert von Replikatdomänencontrollern, die Authentifizierungsanforderungen mit nicht übereinstimmenden Kennwörtern verarbeiten.
– Standardzieldomänencontroller für Gruppenrichtlinie Updates.
– Zieldomänencontroller für Legacyanwendungen, die schreibbare Vorgänge ausführen, und für einige Verwaltungstools.
- Muss online und 24 Stunden am Tag, sieben Tage die Woche zugänglich sein.
LOS Domäne – Ordnet aktive und Standby-RID-Pools Replikatdomänencontrollern in derselben Domäne zu.
- Muss in den folgenden Situationen online sein:
  • , wenn neu heraufgestufte Domänencontroller einen lokalen RID-Pool abrufen müssen, der für die Ankündigung erforderlich ist
  • , wenn vorhandene Domänencontroller ihre aktuelle oder Standby-RID-Poolzuordnung aktualisieren müssen.
Infrastructure Master Domäne

Anwendungspartition		 – Updates domänenübergreifende Verweise und Phantome aus dem globalen Katalog. Weitere Informationen finden Sie unter Phantome, Tombstones und die Infrastruktur master
– Für jede Anwendungspartition wird eine separate Infrastruktur master erstellt, einschließlich der standardmäßigen gesamtstrukturweiten und domänenweiten Anwendungspartitionen, die von Domänencontrollern unter Windows Server 2003 und höher erstellt werden.

Der Windows Server 2008 R2-Befehl ADPREP /RODCPREP zielt auf die Infrastruktur master Rolle für die DNS-Standardanwendung in der Stammdomäne der Gesamtstruktur ab. Der DN-Pfad für diesen Rolleninhaber lautet:
  • CN=Infrastructure,DC=DomainDnsZones,DC=<forest root domain,DC>=<top level domain>
  • CN=Infrastructure,DC=ForestDnsZones,DC=<forest root domain,DC>=<top level domain>

FSMO-Verfügbarkeit und -Platzierung

Der Active Directory-Installations-Assistent übernimmt die anfängliche Platzierung von Rollen auf Domänencontrollern. Diese Platzierung ist häufig für Verzeichnisse korrekt, die nur über wenige Domänencontroller verfügen. In einem Verzeichnis mit vielen Domänencontrollern ist die Standardplatzierung möglicherweise nicht die beste Übereinstimmung für Ihr Netzwerk.

Berücksichtigen Sie die folgenden Faktoren in Ihren Auswahlkriterien:

  • Es ist einfacher, FSMO-Rollen nachzuverfolgen, wenn Sie sie auf weniger Computern hosten.

  • Platzieren Sie Rollen auf Domänencontrollern, auf die die Computer zugreifen können, die Zugriff auf eine bestimmte Rolle benötigen, insbesondere in Netzwerken, die nicht vollständig weitergeleitet werden. Um beispielsweise einen aktuellen oder Standby-RID-Pool zu erhalten oder eine Passthrough-Authentifizierung durchzuführen, benötigen alle DCs Netzwerkzugriff auf die RID- und PDC-Rolleninhaber in ihren jeweiligen Domänen.

  • Sie sollten die Rolle unter den folgenden Bedingungen auf den neuen Domänencontroller übertragen (nicht übernehmen):

    • Eine Rolle muss auf einen anderen Domänencontroller verschoben werden.
    • der aktuelle Rolleninhaber ist online und verfügbar

    FSMO-Rollen sollten nur übernommen werden, wenn der aktuelle Rolleninhaber nicht verfügbar ist. Weitere Informationen finden Sie unter Verwalten von Betriebsmasterrollen.

  • FSMO-Rollen, die Domänencontrollern zugewiesen sind, die offline sind oder sich in einem Fehlerzustand befinden, müssen nur übertragen oder beschlagnahmt werden, wenn rollenabhängige Vorgänge ausgeführt werden. Wenn der Rolleninhaber betriebsbereit gemacht werden kann, bevor die Rolle benötigt wird, können Sie die Beschlagnahme der Rolle verzögern. Wenn die Rollenverfügbarkeit kritisch ist, übertragen oder übernehmen Sie die Rolle nach Bedarf. Die PDC-Rolle in jeder Domäne sollte immer online sein.

  • Wählen Sie einen direkten standortinternen Replikationspartner für vorhandene Rolleninhaber aus, um als Standby-Rolleninhaber zu fungieren. Wenn der primäre Besitzer offline geschaltet wird oder fehlschlägt, übertragen oder übernehmen Sie die Rolle bei Bedarf auf den angegebenen STANDBY-FSMO-Domänencontroller.

Allgemeine Empfehlungen für die FSMO-Platzierung

  • Platzieren Sie das Schema master im PDC der Stammdomäne der Gesamtstruktur.

  • Platzieren Sie die Domänenbenennung master im Stamm-PDC der Gesamtstruktur.

    Das Hinzufügen oder Entfernen von Domänen sollte ein streng kontrollierter Vorgang sein. Platzieren Sie diese Rolle im Stamm-PDC der Gesamtstruktur. Bei bestimmten Vorgängen, die die Domänenbenennung verwenden, master fehlschlagen, wenn die Domänenbenennung master nicht verfügbar ist. Diese Vorgänge umfassen das Erstellen oder Entfernen von Domänen und Anwendungspartitionen. Auf einem Domänencontroller, auf dem Microsoft Windows 2000 ausgeführt wird, muss die Domänenbenennung master auch auf einem globalen Katalogserver gehostet werden. Auf Domänencontrollern, auf denen Windows Server 2003 oder höhere Versionen ausgeführt werden, muss die Domänenbenennung master kein globaler Katalogserver sein.

  • Platzieren Sie den PDC auf Ihrer besten Hardware an einem zuverlässigen Hubstandort, der Replikatdomänencontroller am selben Active Directory-Standort und derselben Domäne enthält.

    In großen oder ausgelasteten Umgebungen weist der PDC häufig die höchste CPU-Auslastung auf, da er passthrough-Authentifizierung und Kennwortaktualisierungen verarbeitet. Wenn eine hohe CPU-Auslastung zu einem Problem wird, identifizieren Sie die Quelle. Die Quelle umfasst Anwendungen oder Computer, die möglicherweise zu viele Vorgänge (transitiv) für den PDC ausführen. Zu den Techniken zur Reduzierung der CPU gehören:

    • Hinzufügen von mehr oder schnelleren CPUs
    • Hinzufügen weiterer Replikate
    • Hinzufügen von mehr Arbeitsspeicher zum Zwischenspeichern von Active Directory-Objekten
    • Entfernen des globalen Katalogs, um globale Katalogsuchvorgänge zu vermeiden
    • Reduzieren der Anzahl von ein- und ausgehenden Replikationspartnern
    • Erhöhen des Replikationszeitplans
    • Reduzieren der Authentifizierungstransparenz mithilfe von LDAPSRVWEIGHT und LDAPPRIORITY sowie mithilfe des Features Randomize1CList.

    Alle Domänencontroller in einer bestimmten Domäne und Computer, auf denen Anwendungen und Verwaltungstools ausgeführt werden, die auf den PDC ausgerichtet sind, müssen über Netzwerkkonnektivität mit dem Domänen-PDC verfügen.

  • Platzieren Sie die RID-master auf dem Domänen-PDC in derselben Domäne.

    RID master Aufwand ist leicht, insbesondere in ausgereiften Domänen, die bereits den Großteil ihrer Benutzer, Computer und Gruppen erstellt haben. Die Domänen-PDC erhält in der Regel die meiste Aufmerksamkeit von Administratoren. Die gemeinsame Lokalisierung dieser Rolle im PDC trägt dazu bei, eine zuverlässige Verfügbarkeit sicherzustellen. Stellen Sie sicher, dass vorhandene Domänencontroller und neu heraufgestufte Domänencontroller über Netzwerkkonnektivität verfügen, um aktive und Standby-RID-Pools aus dem RID-master zu erhalten, insbesondere die Domänencontroller, die an Remote- oder Stagingstandorten höher gestuft werden.

  • Der Legacyleitfaden schlägt vor, die Infrastruktur master auf einem nicht globalen Katalogserver zu platzieren. Es gibt zwei Regeln, die zu berücksichtigen sind:

    • Einzelne Domänengesamtstruktur:

      In einer Gesamtstruktur, die eine einzelne Active Directory-Domäne enthält, gibt es keine Phantome. Die Infrastruktur master hat also keine Arbeit zu tun. Die Infrastruktur master kann auf jedem Domänencontroller in der Domäne platziert werden, unabhängig davon, ob dieser Domänencontroller den globalen Katalog hostet oder nicht.

    • Gesamtstruktur mit mehreren Domänen:

      Wenn jeder Domänencontroller in einer Domäne, die Teil einer Gesamtstruktur mit mehreren Domänen ist, auch den globalen Katalog hostet, gibt es keine Phantome oder Arbeit für die Infrastruktur master. Die Infrastruktur master kann auf jedem Domänencontroller in dieser Domäne platziert werden. Praktisch hosten die meisten Administratoren den globalen Katalog auf jedem Domänencontroller in der Gesamtstruktur.

    • Wenn jeder Domänencontroller in einer bestimmten Domäne, die sich in einer Gesamtstruktur mit mehreren Domänen befindet, den globalen Katalog nicht hosten kann, muss die Infrastruktur master auf einem Domänencontroller platziert werden, auf dem der globale Katalog nicht gehostet wird.

References

Weitere Informationen finden Sie unter Verwenden von Windows Server-Clusterknoten als Domänencontroller.

Artikel zu Operations Master-Rollen:

Das NTDS-Replikationsereignis 1586 tritt in einer der folgenden Situationen auf:

  • Die PDC FSMO-Rolle für eine bestimmte Domäne wurde beschlagnahmt.
  • Die PDC-FSMO-Rolle für eine bestimmte Domäne wurde auf einen neuen Domänencontroller übertragen, der kein direkter Replikationspartner des vorherigen Rolleninhabers war.