Mise en place et optimisation du rôle FSMO sur les contrôleurs de domaine Active Directory

S’applique à : Windows Server 2012 StandardWindows Server 2012 StandardWindows Server 2012 Essentials

Résumé


Cet article décrit le placement des rôles Active Directory Flexible Single-Master (FSMO) dans le domaine et la forêt pour les opérations qui sont effectuées sur un seul contrôleur de domaine.

Plus d'informations


Certaines opérations du domaine et à l’échelle de l’entreprise qui ne sont pas adaptées aux mises à jour multimaîtres doivent être effectuées sur un contrôleur de domaine dans le domaine ou la forêt. Le but d’avoir un propriétaire de maître unique est de définir une cible bien connue pour les opérations critiques et à empêcher l’introduction de conflits ou de latence qui peut être créée par les mises à jour multimaîtres. Avoir un maître d’opération unique signifie que le propriétaire du rôle FSMO pertinent doit être en ligne, disponible sur le réseau par les ordinateurs qui doivent exécuter les opérations FSMO dépendant et détectable.

Lorsque l’Assistant Installation de Active Directory (Dcpromo.exe) crée le premier domaine dans une nouvelle forêt, l’Assistant ajoute les cinq rôles FSMO. Une forêt avec un domaine possède cinq rôles. L’Assistant Installation de Active Directory ajoute trois rôles à l’échelle du domaine sur le premier contrôleur de domaine dans chaque domaine supplémentaire de la forêt. En outre, les rôles de maître d’infrastructure existent pour chaque partition d’application. Cela inclut le domaine par défaut et les partitions d’applications DNS à l’échelle de la forêt qui sont créées sur les contrôleurs de domaine Windows Server 2003-ou version ultérieure. Les maîtres d’opérations et leur portée sont affichés dans le tableau suivant.
Rôle FSMOChamp d’applicationExigences de disponibilité et de la fonction
Contrôleur de schémaEntreprise
  • Utilisé pour introduire les mises à jour de schéma manuelle et de programmation, et cela inclut les mises à jour qui sont ajoutés par d’autres applications qui utilisent les Services de domaine Active Directory (AD DS) par Windows ADPREP /FORESTPREP et par Microsoft Exchange.
  • Doit être en ligne lorsque les mises à jour de schéma sont effectuées.
Maître de nommage de domaineEntreprise
  • Permet d’ajouter et de supprimer des partitions d’application dans la forêt et les domaines.
  • Doit être en ligne lorsque les partitions d’application dans une forêt et les domaines sont ajoutées ou supprimées.
Contrôleur principal de domaineDomaine
  • Reçoit les mises à jour du mot de passe lors de la modification des mots de passe pour l’ordinateur et pour les comptes d’utilisateurs qui se trouvent sur les contrôleurs de domaine de réplica.
  • Consulté par les contrôleurs de domaine de réplica qui demandes d’authentification de service qui ont des mots de passe.
  • Par défaut, le contrôleur de domaine cible pour les mises à jour de la stratégie de groupe.
  • Contrôleur de domaine cible pour les applications héritées qui effectuent des opérations d’écriture et de certains outils d’administration.
  • Doit être en ligne et accessible 24 heures sur 24, sept jours sur sept.
RIDDomaine
  • Alloue des pools d'identificateurs relatifs actifs et en attente aux contrôleurs de domaine de réplica dans le même domaine.
  • Doit être en ligne pour les contrôleurs de domaine nouvellement promu à obtenir un pool RID local qui est requis pour faire de la publicité ou lorsque les contrôleurs de domaine existants ont à leur allocation du pool RID en cours ou en attente de mise à jour.
Maître d’infrastructureDomaine

Partition d’application
  • Met à jour les références entre les domaines et les fantômes à partir du catalogue global. Pour plus d'informations, cliquez sur le numéro ci-dessous pour afficher l'article correspondant dans la Base de connaissances Microsoft :
    248047 fantômes, les enregistrements désactivés et le maître d’infrastructure
  • Un maître d’infrastructure distincte est créé pour chaque partition d’applications y compris les partitions d’application à l’échelle de la forêt et le domaine par défaut créées par Windows Server 2003 et des contrôleurs de domaine ultérieures.

    La commande /RODCPREP ADPREP de Windows Server 2008 R2 cible le rôle de maître d’infrastructure DNS par défaut dans le domaine racine de la forêt. Le chemin d’accès du nom unique pour ce rôle est CN = Infrastructure, DC = DomainDnsZones, DC = < domaine racine >, DC = < domaine de niveau supérieur > et CN = Infrastructure, DC = ForestDnsZones, DC = < domaine racine >, DC = < domaine de niveau supérieur >.

Emplacement et la disponibilité FSMO

L’Assistant Installation de Active Directory effectue le placement initial des rôles sur les contrôleurs de domaine. Ce placement est souvent correct pour les annuaires avec peu de contrôleurs de domaine. Dans un répertoire qui compose de nombreux contrôleurs de domaine, le placement par défaut ne peut pas être la meilleure correspondance pour votre réseau.

Tenez compte des éléments suivants dans vos critères de sélection :
  • Il est plus facile d’effectuer le suivi des rôles FSMO Si vous les hébergez sur moins d’ordinateurs.
  • Place des rôles sur les contrôleurs de domaine sont accessibles par les ordinateurs qui ont besoin d’accéder à un rôle donné, particulièrement sur des réseaux qui ne sont pas entièrement routé. Par exemple, pour obtenir un pool RID en cours ou en attente ou pour effectuer l'authentification pass-through, tous les contrôleurs de domaine ont besoin d'un accès réseau aux détenteurs de rôle PDC et de maître RID dans leurs domaines respectifs.
  • Si un rôle doit être déplacé vers un autre contrôleur de domaine et que le détenteur de rôle actuel est en ligne et disponible, vous devez transférer (ne prenez pas) le rôle sur le nouveau contrôleur de domaine. Rôles FSMO doivent uniquement être remis si le détenteur de rôle actuel n’est pas disponible. Pour plus d’informations, consultez le site Web Microsoft suivant :
  • Les rôles FSMO qui sont assignés à des contrôleurs de domaine sont hors connexion ou dans un état d’erreur doivent uniquement être transférés ou saisis si dépendant du rôle opérations sont en cours d’exécution. Si le détenteur de rôle peut être opérationnels avant que le rôle est nécessaire, vous pouvez retarder la prise du rôle. Si la disponibilité du rôle est critique, transférer ou prendre le rôle requis. Le rôle de contrôleur principal de domaine dans chaque domaine doit être en ligne à tout moment.
  • Sélectionnez un partenaire de réplication intrasite direct pour les détenteurs de rôle existant pour qu’il agisse comme un détenteur de rôle en attente. Si le propriétaire principal est hors connexion ou échoue, transférer ou prendre le rôle au contrôleur de domaine FSMO veille désigné comme requis.

Recommandations générales relatives au placement FSMO

  • Placez le contrôleur de schéma sur le contrôleur principal du domaine racine de forêt.
  • Placez le maître d’attribution de noms de domaine sur le contrôleur principal de domaine racine de la forêt.

    L’ajout ou la suppression de domaines doit être une opération étroitement contrôlée. Placez ce rôle sur la contrôleur principal de domaine racine de la forêt. Certaines opérations qui utilisent le maître de nommage de domaine, comme la création ou la suppression de domaines et les partitions d’applications, d’échouer si le maître de nommage de domaine n’est pas disponible. Sur un contrôleur de domaine qui exécute Microsoft Windows 2000, le maître de nommage de domaine doit également être hébergé sur un serveur de catalogue global. Sur les contrôleurs de domaine qui exécutent Windows Server 2003 ou une version ultérieure, le maître d’attribution de noms de domaine n’a pas à être un serveur de catalogue global.
  • Placez le contrôleur de domaine principal sur votre meilleur matériel dans un site hub fiable qui contient des contrôleurs de domaine de réplica dans le même site Active Directory et le domaine.

    Dans les environnements de grande taille ou occupés, le contrôleur principal de domaine (PDC) a fréquemment une utilisation la plus élevée de l'UC, car il gère l'authentification et les mises à jour de mot de passe. Si l’utilisation élevée du processeur devient un problème, identifier la source, et cela inclut les applications ou les ordinateurs qui peuvent effectuer trop d’opérations (de manière transitive) ciblant le contrôleur principal de domaine. Techniques pour réduire l’unité centrale sont les suivants :
    • Ajout de processeurs plus rapides ou plus
    • Ajout de réplicas supplémentaires
    • L’ajout de mémoire pour le cache des objets Active Directory
    • Suppression du catalogue global pour éviter les recherches de catalogue global
    • Réduction du nombre de partenaires de réplication entrants et sortants
    • Augmentation de la planification de réplication
    • Réduction de visibilité de l’authentification à l’aide de LDAPSRVWEIGHT et LDAPPRIORITY et à l’aide de la fonction Randomize1CList qui est décrit dans 231305.
    Tous les contrôleurs de domaine dans un domaine particulier et les ordinateurs qui exécutent des applications et des outils d’administration qui ciblent l’émulateur PDC, doivent avoir une connectivité réseau sur le contrôleur principal du domaine.
  • Placez le maître RID dans le domaine du contrôleur principal de domaine dans le même domaine.

    La charge du maître RID est légère, en particulier dans les domaines matures où sont déjà créés la majeure partie des utilisateurs, des ordinateurs et des groupes. Le contrôleur principal de domaine reçoit généralement le plus d’attention aux administrateurs. Par conséquent, cohabiter ce rôle sur le contrôleur principal de domaine permet de garantir la disponibilité fiable. Assurez-vous que contrôleurs de domaine existants et les contrôleurs de domaine nouvellement promu, en particulier ceux promus dans des sites distants ou de zone de transit, possèdent une connectivité réseau pour obtenir des pools RID actifs et en attente à partir du maître RID.
  • Conseils hérités suggère de placer le maître d’infrastructure sur un serveur de catalogue non global. Il existe deux règles à prendre en compte :
    • Forêt à domaine unique :

      Dans une forêt qui contient un seul domaine Active Directory, il n’existe aucun fantôme. Par conséquent, le maître d’infrastructure n’a aucun travail à faire. Le maître d’infrastructure peut être placé sur n’importe quel contrôleur de domaine dans le domaine, si ce contrôleur de domaine héberge le catalogue global ou non.
    • Forêt à plusieurs domaines :

      Si chaque contrôleur de domaine dans un domaine qui fait partie d’une forêt multidomaine héberge également le catalogue global, il n’y a aucun fantôme et travail pour le maître d’infrastructure. Le maître d’infrastructure peut-être être mis sur n’importe quel contrôleur de domaine dans ce domaine. Dans la pratique, la plupart des administrateurs héberger le catalogue global sur chaque contrôleur de domaine dans la forêt.
    • Si chaque contrôleur de domaine dans un domaine donné qui se trouve dans une forêt multidomaine n’héberge pas le catalogue global, le maître d’infrastructure doit être placé sur un contrôleur de domaine n’hébergeant pas de catalogue global.

Références


Pour plus d’informations, voir comment utiliser des nœuds de cluster de Windows Server en tant que contrôleurs de domaine.

Articles à propos des rôles de maître d’opérations sur le site TechNet de Microsoft:


248047 fantômes, les enregistrements désactivés et le maître d’infrastructure
949257 message d’erreur lorsque vous exécutez la commande « Adprep /rodcprep » dans Windows Server 2008 : « Adprep n’a pas pu contacter un réplica pour la partition DC = DomainDnsZones, DC = Contoso, DC = com »

L’événement de réplication NTDS 1586 survient lorsque le rôle FSMO PDC pour un domaine particulier a été pris ou transféré vers un nouveau contrôleur de domaine qui n’est pas un partenaire de réplication direct du détenteur du rôle précédent.