Ubicación y optimización del FSMO en los controladores de dominio de Active Directory
Algunas operaciones se realizan mejor en un único controlador de dominio. En este artículo se describe la colocación de roles de operación de Single-Master flexible (FSMO) de Active Directory en el dominio y el bosque para estas operaciones.
Se aplica a: Windows Server 2012 R2
Número de KB original: 223346
Más información
Algunas operaciones de dominio y de toda la empresa no son adecuadas para las actualizaciones multimaestro. En estas situaciones, las operaciones deben realizarse en un único controlador de dominio en el dominio o en el bosque. Tener un propietario de un solo maestro define un destino conocido para las operaciones críticas y evita posibles conflictos o latencia creados por las actualizaciones de varios maestros. Significa que el propietario del rol FSMO pertinente debe estar en línea, reconocible y disponible en la red por equipos que deben realizar operaciones dependientes de FSMO.
Cuando el Asistente para instalación de Active Directory (Dcpromo.exe) crea el primer dominio en un bosque nuevo, el asistente agrega cinco roles FSMO. Un bosque con un dominio tiene cinco roles. El Asistente para instalación de Active Directory agrega tres roles de todo el dominio en el primer controlador de dominio de cada dominio adicional del bosque. Además, existen roles maestros de infraestructura para cada partición de aplicación. Incluye el dominio predeterminado y las particiones de aplicación DNS de todo el bosque que se crean en Windows Server 2003 y controladores de dominio posteriores. Los maestros de operaciones y su ámbito se muestran en la tabla siguiente.
| Rol FSMO | Ámbito | Requisitos de función y disponibilidad |
|---|---|---|
| Patrón de esquema | Enterprise | - Se usa para introducir actualizaciones de esquema manuales y mediante programación. Incluye las actualizaciones que agrega WindowsADPREP /FORESTPREP, Microsoft Exchange y otras aplicaciones que usan Servicios de dominio de Active Directory (AD DS).- Debe estar en línea cuando se realizan actualizaciones de esquema. |
| Maestro de nomenclatura de dominios | Enterprise | : se usa para agregar y quitar dominios y particiones de aplicación hacia y desde el bosque. - Debe estar en línea cuando se agregan o quitan dominios y particiones de aplicación en un bosque. |
| Controlador de dominio principal | Dominio | - Recibe actualizaciones de contraseña cuando se cambian las contraseñas para el equipo y para las cuentas de usuario que se encuentran en controladores de dominio de réplica. - Consultada por controladores de dominio de réplica que realizan solicitudes de autenticación de servicio que tienen contraseñas no coincidentes. - Controlador de dominio de destino predeterminado para las actualizaciones de directiva de grupo. - Controlador de dominio de destino para aplicaciones heredadas que realizan operaciones grabables y para algunas herramientas de administración. - Debe estar en línea y accesible las 24 horas del día, los siete días de la semana. |
| LIBRAR | Dominio | : asigna grupos de RID activos y en espera a los controladores de dominio de réplica en el mismo dominio. - Debe estar en línea en las situaciones siguientes:
|
| Maestro de infraestructura | Dominio Partición de aplicación |
- Novedades referencias entre dominios y fantasmas del catálogo global. Para obtener más información, consulte Fantasmas, lápidas y el patrón de infraestructura. - Se crea un patrón de infraestructura independiente para cada partición de aplicación, incluidas las particiones de aplicación predeterminadas para todo el bosque y todo el dominio creadas por Windows Server 2003 y controladores de dominio posteriores. El comando de Windows Server 2008 R2 ADPREP /RODCPREP tiene como destino el rol maestro de infraestructura para la aplicación DNS predeterminada en el dominio raíz del bosque. La ruta de acceso DN para este titular de roles es:
|
Disponibilidad y ubicación de FSMO
El Asistente para instalación de Active Directory realiza la colocación inicial de roles en controladores de dominio. Esta ubicación suele ser correcta para los directorios que tienen solo unos pocos controladores de dominio. En un directorio que tiene muchos controladores de dominio, es posible que la ubicación predeterminada no sea la mejor coincidencia para la red.
Tenga en cuenta los siguientes factores en los criterios de selección:
Es más fácil realizar un seguimiento de los roles de FSMO si los hospeda en menos equipos.
Coloque roles en los controladores de dominio a los que pueden acceder los equipos, que necesitan acceso a un rol determinado, especialmente en redes que no están totalmente enrutadas. Por ejemplo, para obtener un grupo de RID actual o en espera, o realizar la autenticación de paso a través, todos los controladores de dominio necesitan acceso de red a los titulares de roles RID y PDC en sus dominios respectivos.
Debe transferir (no aprovechar) el rol al nuevo controlador de dominio en las condiciones siguientes:
- un rol debe moverse a un controlador de dominio diferente
- el titular del rol actual está en línea y disponible
Los roles de FSMO solo se deben incautar si el titular de roles actual no está disponible. Para obtener más información, consulte Administración de roles maestros de operaciones.
Los roles de FSMO asignados a controladores de dominio que están sin conexión o en un estado de error solo tienen que transferirse o tomarse si se realizan operaciones dependientes del rol. Si el titular del rol se puede poner en funcionamiento antes de que se necesite el rol, puede retrasar la incautación del rol. Si la disponibilidad del rol es crítica, transfiera o acate el rol según sea necesario. El rol PDC de cada dominio siempre debe estar en línea.
Seleccione un asociado de replicación intrasitio directo para que los titulares de roles existentes actúen como titulares de roles en espera. Si el propietario principal se desconecta o produce un error, transfiera o incaute el rol al controlador de dominio FSMO en espera designado según sea necesario.
Recomendaciones generales para la colocación de FSMO
Coloque el patrón de esquema en el PDC del dominio raíz del bosque.
Coloque el maestro de nomenclatura de dominio en el PDC raíz del bosque.
La adición o eliminación de dominios debe ser una operación estrechamente controlada. Coloque este rol en el PDC raíz del bosque. Algunas operaciones que usan el patrón de nomenclatura de dominio producen un error si el maestro de nomenclatura de dominio no está disponible. Estas operaciones incluyen la creación o eliminación de dominios y particiones de aplicación. En un controlador de dominio que ejecuta Microsoft Windows 2000, el maestro de nomenclatura de dominios también debe hospedarse en un servidor de catálogo global. En los controladores de dominio que ejecutan Windows Server 2003 o versiones posteriores, el maestro de nomenclatura de dominios no tiene que ser un servidor de catálogo global.
Coloque el PDC en el mejor hardware de un sitio de centro de confianza que contenga controladores de dominio de réplica en el mismo sitio y dominio de Active Directory.
En entornos grandes o ocupados, el PDC suele ser el que más usa la CPU, ya que controla la autenticación de paso a través y las actualizaciones de contraseñas. Si el uso elevado de CPU se convierte en un problema, identifique el origen. El origen incluye aplicaciones o equipos que pueden realizar demasiadas operaciones (transitivamente) destinadas al PDC. Las técnicas para reducir la CPU incluyen:
- Adición de CPU más o más rápidas
- Adición de más réplicas
- Adición de más memoria para almacenar en caché objetos de Active Directory
- Eliminación del catálogo global para evitar búsquedas de catálogo global
- Reducción del número de asociados de replicación entrantes y salientes
- Aumento de la programación de replicación
- Reducción de la visibilidad de la autenticación mediante LDAPSRVWEIGHT y LDAPPRIORITY, y mediante la característica Randomize1CList.
Todos los controladores de dominio de un dominio determinado y los equipos que ejecutan aplicaciones y herramientas de administración que tienen como destino el PDC deben tener conectividad de red con el PDC de dominio.
Coloque el patrón RID en el PDC del dominio en el mismo dominio.
La sobrecarga maestra de RID es ligera, especialmente en dominios maduros que ya han creado la mayor parte de sus usuarios, equipos y grupos. El PDC de dominio suele recibir la mayor atención de los administradores. La localización conjunta de este rol en el PDC ayuda a garantizar una disponibilidad confiable. Asegúrese de que los controladores de dominio existentes y los controladores de dominio recién promocionados tengan conectividad de red para obtener grupos de RID activos y en espera del maestro rid, especialmente los controladores de dominio promocionados en sitios remotos o de ensayo.
Las instrucciones heredadas sugieren colocar el maestro de infraestructura en un servidor de catálogo no global. Hay dos reglas a tener en cuenta:
Bosque de dominio único:
En un bosque que contiene un único dominio de Active Directory, no hay fantasmas. Por lo tanto, el maestro de infraestructura no tiene trabajo que hacer. El maestro de infraestructura se puede colocar en cualquier controlador de dominio del dominio, independientemente de si ese controlador de dominio hospeda el catálogo global o no.
Bosque multidominio:
Si todos los controladores de dominio de un dominio que forman parte de un bosque de varios dominios también hospedan el catálogo global, no hay fantasmas ni trabajo para que lo haga el maestro de infraestructura. El maestro de infraestructura se puede colocar en cualquier controlador de dominio de ese dominio. Prácticamente, la mayoría de los administradores hospedan el catálogo global en cada controlador de dominio del bosque.
Si todos los controladores de dominio de un dominio determinado que se encuentran en un bosque de varios dominios no hospedan el catálogo global, el maestro de infraestructura debe colocarse en un controlador de dominio que no hospede el catálogo global.
Referencias
Para obtener más información, consulte Uso de nodos de clúster de Windows Server como controladores de dominio.
Artículos sobre roles maestros de operaciones:
- Fantasmas, lápidas y el maestro de infraestructura
- Error al ejecutar el
Adprep /rodcprepcomando en Windows Server 2008
El evento 1586 de replicación de NTDS se produce en una de las situaciones siguientes:
- se ha incautado el rol FSMO de PDC para un dominio determinado.
- El rol FSMO de PDC para un dominio determinado se ha transferido a un nuevo controlador de dominio que no era un asociado de replicación directa del titular del rol anterior.
Comentarios
Próximamente: a lo largo de 2024, eliminaremos gradualmente los problemas de GitHub como mecanismo de comentarios para el contenido y lo reemplazaremos por un nuevo sistema de comentarios. Para obtener más información, consulte: https://aka.ms/ContentUserFeedback.
Enviar y ver comentarios de