Collocazione e ottimizzazione di FSMO nei controller di dominio di Active Directory
È consigliabile eseguire alcune operazioni in un singolo controller di dominio. Questo articolo descrive il posizionamento dei ruoli FSMO (Flexible Single-Master Operation) di Active Directory nel dominio e nella foresta per queste operazioni.
Si applica a: Windows Server 2012 R2
Numero KB originale: 223346
Ulteriori informazioni
Alcune operazioni a livello di dominio e a livello aziendale non sono adatte per gli aggiornamenti multimaster. In queste situazioni, le operazioni devono essere eseguite su un singolo controller di dominio nel dominio o nella foresta. La presenza di un proprietario a master singolo definisce una destinazione nota per le operazioni critiche e impedisce possibili conflitti o latenza creati dagli aggiornamenti multimaster. Ciò significa che il proprietario del ruolo FSMO pertinente deve essere online, individuabile e disponibile in rete dai computer che devono eseguire operazioni dipendenti da FSMO.
Quando l'Installazione guidata Active Directory (Dcpromo.exe) crea il primo dominio in una nuova foresta, la procedura guidata aggiunge cinque ruoli FSMO. Una foresta con un dominio ha cinque ruoli. L'Installazione guidata Active Directory aggiunge tre ruoli a livello di dominio nel primo controller di dominio in ogni dominio aggiuntivo nella foresta. Inoltre, esistono ruoli master dell'infrastruttura per ogni partizione dell'applicazione. Include il dominio predefinito e le partizioni dell'applicazione DNS a livello di foresta create nei controller di dominio Windows Server 2003 e versioni successive. I master delle operazioni e il relativo ambito sono illustrati nella tabella seguente.
| Ruolo FSMO | Ambito | Requisiti di funzione e disponibilità |
|---|---|---|
| Schema Master | Enterprise | - Usato per introdurre aggiornamenti manuali e programmatici dello schema. Include gli aggiornamenti aggiunti da Windows ADPREP /FORESTPREP, da Microsoft Exchange e da altre applicazioni che usano Active Directory Domain Services (AD DS).- Deve essere online quando vengono eseguiti gli aggiornamenti dello schema. |
| Master denominazione dominio | Enterprise | - Usato per aggiungere e rimuovere domini e partizioni dell'applicazione da e verso la foresta. - Deve essere online quando i domini e le partizioni dell'applicazione in una foresta vengono aggiunti o rimossi. |
| Controller di dominio primario | Dominio | - Riceve gli aggiornamenti delle password quando vengono modificate le password per il computer e per gli account utente che si trovano nei controller di dominio di replica. - Consultato dai controller di dominio di replica che l'autenticazione del servizio richiede con password non corrispondenti. - Controller di dominio di destinazione predefinito per gli aggiornamenti Criteri di gruppo. - Controller di dominio di destinazione per applicazioni legacy che eseguono operazioni scrivibili e per alcuni strumenti di amministrazione. - Deve essere online e accessibile 24 ore al giorno, sette giorni alla settimana. |
| LIBERARSI | Dominio | - Alloca pool RID attivi e standby ai controller di dominio di replica nello stesso dominio. - Deve essere online nelle situazioni seguenti:
|
| Master infrastruttura | Dominio Partizione dell'applicazione |
- Aggiornamenti riferimenti e fantasma tra domini dal catalogo globale. Per altre informazioni, vedere Phantoms, tombstones e il master dell'infrastruttura - Viene creato un master dell'infrastruttura separato per ogni partizione dell'applicazione, incluse le partizioni dell'applicazione predefinite a livello di foresta e a livello di dominio create dai controller di dominio Windows Server 2003 e versioni successive. Il comando Windows Server 2008 R2 ADPREP /RODCPREP è destinato al ruolo master dell'infrastruttura per l'applicazione DNS predefinita nel dominio radice della foresta. Il percorso DN per questo titolare del ruolo è:
|
Disponibilità e posizionamento FSMO
L'Installazione guidata Active Directory esegue il posizionamento iniziale dei ruoli nei controller di dominio. Questo posizionamento è spesso corretto per le directory che hanno solo pochi controller di dominio. In una directory con molti controller di dominio, il posizionamento predefinito potrebbe non essere la corrispondenza migliore per la rete.
Considerare i fattori seguenti nei criteri di selezione:
È più facile tenere traccia dei ruoli FSMO se vengono ospitati in un numero inferiore di computer.
Inserire ruoli nei controller di dominio a cui è possibile accedere dai computer, che devono accedere a un determinato ruolo, in particolare nelle reti che non sono completamente instradate. Ad esempio, per ottenere un pool RID corrente o standby o eseguire l'autenticazione pass-through, tutti i controller di dominio devono accedere alla rete ai titolari del ruolo RID e PDC nei rispettivi domini.
È consigliabile trasferire (non assegnare) il ruolo al nuovo controller di dominio nelle condizioni seguenti:
- un ruolo deve essere spostato in un controller di dominio diverso
- il titolare del ruolo corrente è online e disponibile
I ruoli FSMO devono essere sequestrati solo se il titolare del ruolo corrente non è disponibile. Per altre informazioni, vedere Gestione dei ruoli master operazioni.
I ruoli FSMO assegnati ai controller di dominio offline o in stato di errore devono essere trasferiti o sequestrati solo se vengono eseguite operazioni dipendenti dal ruolo. Se il titolare del ruolo può essere reso operativo prima che il ruolo sia necessario, è possibile ritardare il ridimensionamento del ruolo. Se la disponibilità del ruolo è critica, trasferire o assegnare il ruolo in base alle esigenze. Il ruolo PDC in ogni dominio deve essere sempre online.
Selezionare un partner di replica all'interno del sito diretto per consentire ai titolari di ruoli esistenti di fungere da titolare del ruolo standby. Se il proprietario primario passa offline o ha esito negativo, trasferire o assegnare il ruolo al controller di dominio FSMO di standby designato in base alle esigenze.
Raccomandazioni generali per il posizionamento FSMO
Posizionare il master dello schema nel controller di dominio primario del dominio radice della foresta.
Posizionare il master dei nomi di dominio nel controller di dominio radice della foresta.
L'aggiunta o la rimozione di domini deve essere un'operazione strettamente controllata. Inserire questo ruolo nel PDC radice della foresta. Alcune operazioni che usano il master di denominazione del dominio hanno esito negativo se il master dei nomi di dominio non è disponibile. Queste operazioni includono la creazione o la rimozione di domini e partizioni dell'applicazione. In un controller di dominio che esegue Microsoft Windows 2000, il master dei nomi di dominio deve essere ospitato anche in un server di catalogo globale. Nei controller di dominio che eseguono Windows Server 2003 o versioni successive, il master dei nomi di dominio non deve essere un server di catalogo globale.
Posizionare il controller di dominio primario nell'hardware migliore in un sito hub affidabile che contiene controller di dominio di replica nello stesso sito e nello stesso dominio di Active Directory.
In ambienti di grandi dimensioni o occupati, il controller di dominio primario ha spesso il massimo utilizzo della CPU, perché gestisce l'autenticazione pass-through e gli aggiornamenti delle password. Se l'utilizzo elevato della CPU diventa un problema, identificare l'origine. L'origine include applicazioni o computer che potrebbero eseguire troppe operazioni (in modo transitivo) destinate al controller di dominio primario. Le tecniche per ridurre la CPU includono:
- Aggiunta di CPU più o più veloci
- Aggiunta di altre repliche
- Aggiunta di più memoria per memorizzare nella cache oggetti Active Directory
- Rimozione del catalogo globale per evitare ricerche nel catalogo globale
- Riduzione del numero di partner di replica in ingresso e in uscita
- Aumento della pianificazione della replica
- Riduzione della visibilità dell'autenticazione tramite LDAPSRVWEIGHT e LDAPPRIORITY e usando la funzionalità Randomize1CList.
Tutti i controller di dominio in un determinato dominio e i computer che eseguono applicazioni e strumenti di amministrazione destinati al controller di dominio primario devono avere connettività di rete al controller di dominio primario del dominio.
Posizionare il master RID nel dominio PDC nello stesso dominio.
Il sovraccarico master RID è leggero, soprattutto nei domini maturi che hanno già creato la maggior parte dei propri utenti, computer e gruppi. Il controller di dominio primario di dominio riceve in genere maggiore attenzione dagli amministratori. La co-individuazione di questo ruolo nel controller di dominio primario consente di garantire una disponibilità affidabile. Assicurarsi che i controller di dominio esistenti e i controller di dominio appena alzati di livello dispongano della connettività di rete per ottenere pool RID attivi e standby dal master RID, in particolare i controller di dominio promossi nei siti remoti o di staging.
Le linee guida legacy suggeriscono di inserire il master dell'infrastruttura in un server di catalogo non globale. Esistono due regole da considerare:
Foresta a dominio singolo:
In una foresta che contiene un singolo dominio di Active Directory non sono presenti fantasma. Pertanto, il master dell'infrastruttura non ha lavoro da fare. Il master dell'infrastruttura può essere inserito in qualsiasi controller di dominio nel dominio, indipendentemente dal fatto che il controller di dominio ospiti o meno il catalogo globale.
Foresta multidominio:
Se ogni controller di dominio in un dominio che fa parte di una foresta multidominio ospita anche il catalogo globale, il master dell'infrastruttura non dispone di fantasma o di lavoro. Il master dell'infrastruttura può essere inserito in qualsiasi controller di dominio in tale dominio. In pratica, la maggior parte degli amministratori ospita il catalogo globale in ogni controller di dominio nella foresta.
Se ogni controller di dominio in un determinato dominio che si trova in una foresta multidominio non ospita il catalogo globale, il master dell'infrastruttura deve essere inserito in un controller di dominio che non ospita il catalogo globale.
Riferimenti
Per altre informazioni, vedere Come usare i nodi del cluster Windows Server come controller di dominio.
Articoli sui ruoli di Operations Master:
- Fantasma, lapidi e master dell'infrastruttura
- Errore durante l'esecuzione del
Adprep /rodcprepcomando in Windows Server 2008
L'evento di replica NTDS 1586 si verifica in una delle situazioni seguenti:
- il ruolo FSMO PDC per un determinato dominio è stato sequestrato.
- Il ruolo FSMO PDC per un determinato dominio è stato trasferito a un nuovo controller di dominio che non era un partner di replica diretto del precedente titolare del ruolo.
Commenti e suggerimenti
Presto disponibile: Nel corso del 2024 verranno gradualmente disattivati i problemi di GitHub come meccanismo di feedback per il contenuto e ciò verrà sostituito con un nuovo sistema di feedback. Per altre informazioni, vedere https://aka.ms/ContentUserFeedback.
Invia e visualizza il feedback per