FSMO-plaatsing en optimalisatie op Active Directory-domeincontrollers

  • Artikel

Bepaalde bewerkingen kunnen het beste op één domeincontroller worden uitgevoerd. In dit artikel wordt de plaatsing van FSMO-rollen (Active Directory Flexible Single-Master Operation) in het domein en forest voor deze bewerkingen beschreven.

Van toepassing op: Windows Server 2012 R2
Origineel KB-nummer: 223346

Meer informatie

Bepaalde domein- en bedrijfsbrede bewerkingen zijn niet goed geschikt voor updates met meerdere masters. In deze situaties moeten de bewerkingen worden uitgevoerd op één domeincontroller in het domein of in het forest. Als u een eigenaar van één master hebt, definieert u een bekend doel voor kritieke bewerkingen en voorkomt u mogelijke conflicten of latentie die worden veroorzaakt door updates met meerdere masters. Dit betekent dat de relevante FSMO-roleigenaar online, detecteerbaar en beschikbaar moet zijn op het netwerk door computers die FSMO-afhankelijke bewerkingen moeten uitvoeren.

Wanneer de wizard Active Directory-installatie (Dcpromo.exe) het eerste domein in een nieuw forest maakt, voegt de wizard vijf FSMO-rollen toe. Een forest met één domein heeft vijf rollen. De wizard Active Directory-installatie voegt drie domeinbrede rollen toe op de eerste domeincontroller in elk extra domein in het forest. Daarnaast bestaan er infrastructuurmasterrollen voor elke toepassingspartitie. Het bevat het standaarddomein en de forestbrede DNS-toepassingspartities die zijn gemaakt op Windows Server 2003 en hoger domeincontrollers. De bewerkingsmodellen en het bijbehorende bereik worden weergegeven in de volgende tabel.

FSMO-rol Bereik Functie- en beschikbaarheidsvereisten
Schemamodel Enterprise - Wordt gebruikt om handmatige en programmatische schema-updates te introduceren. Het bevat updates die zijn toegevoegd door WindowsADPREP /FORESTPREP, door Microsoft Exchange en door andere toepassingen die gebruikmaken van Active Directory Domain Services (AD DS).
- Moet online zijn wanneer schema-updates worden uitgevoerd.
Domeinnaamgevingsmodel Enterprise - Wordt gebruikt om domeinen en toepassingspartities toe te voegen en te verwijderen van en naar het forest.
- Moet online zijn wanneer domeinen en toepassingspartities in een forest worden toegevoegd of verwijderd.
Primaire domeincontroller Domein - Ontvangt wachtwoordupdates wanneer wachtwoorden worden gewijzigd voor de computer en voor gebruikersaccounts die zich op replicadomeincontrollers bevinden.
- Geraadpleegd door replica-domeincontrollers die verificatieaanvragen die niet overeenkomende wachtwoorden hebben.
- Standaard doeldomeincontroller voor groepsbeleid updates.
- Doeldomeincontroller voor verouderde toepassingen die schrijfbare bewerkingen uitvoeren en voor sommige beheerhulpprogramma's.
- Moet 24 uur per dag, zeven dagen per week online en toegankelijk zijn.
ONTDOEN Domein - Wijst actieve en stand-by RID-pools toe aan replicadomeincontrollers in hetzelfde domein.
- Moet online zijn in de volgende situaties:
  • wanneer nieuw gepromoveerde domeincontrollers een lokale RID-pool moeten verkrijgen die is vereist om te adverteren
  • wanneer bestaande domeincontrollers hun huidige of stand-by RID-pooltoewijzing moeten bijwerken.
Infrastructuurmodel Domein

Toepassingspartitie		 - Updates verwijzingen naar meerdere domeinen en phantoms uit de globale catalogus. Zie Phantoms, tombstones en de infrastructuurmaster voor meer informatie.
- Er wordt een afzonderlijke infrastructuurmaster gemaakt voor elke toepassingspartitie, met inbegrip van de standaard forestbrede en domeinbrede toepassingspartities die zijn gemaakt door Windows Server 2003 en hoger domeincontrollers.

De opdracht Windows Server 2008 R2 ADPREP /RODCPREP is gericht op de rol infrastructuurmaster voor de standaard-DNS-toepassing in het foresthoofddomein. Het DN-pad voor deze rolhouder is:
  • CN=Infrastructuur,DC=DomainDnsZones,DC=<foresthoofddomein,DC>=<domein op het hoogste niveau>
  • CN=Infrastructuur,DC=ForestDnsZones,DC=<foresthoofddomein,DC>=<domein op het hoogste niveau>

Beschikbaarheid en plaatsing van FSMO

De wizard Active Directory-installatie voert de eerste plaatsing van rollen op domeincontrollers uit. Deze plaatsing is vaak correct voor mappen met slechts enkele domeincontrollers. In een map met veel domeincontrollers is de standaardplaatsing mogelijk niet de beste overeenkomst voor uw netwerk.

Houd rekening met de volgende factoren in uw selectiecriteria:

  • Het is gemakkelijker om FSMO-rollen bij te houden als u ze op minder computers host.

  • Plaats rollen op domeincontrollers die toegankelijk zijn voor de computers, die toegang nodig hebben tot een bepaalde rol, met name op netwerken die niet volledig worden gerouteerd. Als u bijvoorbeeld een huidige of stand-by RID-pool wilt verkrijgen of passthrough-verificatie wilt uitvoeren, hebben alle DC's netwerktoegang nodig tot de RID- en PDC-rolhouders in hun respectieve domeinen.

  • U moet de rol onder de volgende voorwaarden overdragen (niet overnemen) naar de nieuwe domeincontroller:

    • een rol moet worden verplaatst naar een andere domeincontroller
    • de huidige rolhouder is online en beschikbaar

    FSMO-rollen mogen alleen worden ingenomen als de huidige rolhouder niet beschikbaar is. Zie Operations Master-rollen beheren voor meer informatie.

  • FSMO-rollen die zijn toegewezen aan domeincontrollers die offline zijn of een foutstatus hebben, hoeven alleen te worden overgedragen of in beslag genomen als er rolafhankelijke bewerkingen worden uitgevoerd. Als de rolhouder operationeel kan worden gemaakt voordat de rol nodig is, kunt u de in beslag genomen rol uitstellen. Als de beschikbaarheid van rollen essentieel is, kunt u de rol naar behoefte overdragen of overnemen. De PDC-rol in elk domein moet altijd online zijn.

  • Selecteer een directe intrasite-replicatiepartner voor bestaande rolhouders om als stand-byrolhouder te fungeren. Als de primaire eigenaar offline gaat of mislukt, draagt u de rol over of neemt u de rol over naar de aangewezen stand-by FSMO-domeincontroller, indien nodig.

Algemene aanbevelingen voor FSMO-plaatsing

  • Plaats de schemamaster op de PDC van het foresthoofddomein.

  • Plaats de naamgevingsmaster van het domein in de foresthoofdmap-PDC.

    Het toevoegen of verwijderen van domeinen moet een strikt gecontroleerde bewerking zijn. Plaats deze rol in de foresthoofdmap PDC. Bepaalde bewerkingen die gebruikmaken van de domeinnaamgevingsmaster mislukken als de domeinnaamgevingsmaster niet beschikbaar is. Deze bewerkingen omvatten het maken of verwijderen van domeinen en toepassingspartities. Op een domeincontroller met Microsoft Windows 2000 moet de domeinnaamgevingsmaster ook worden gehost op een globale catalogusserver. Op domeincontrollers met Windows Server 2003 of latere versies hoeft de domeinnaamgevingsmaster geen globale catalogusserver te zijn.

  • Plaats de PDC op uw beste hardware in een betrouwbare hubsite die replicadomeincontrollers in dezelfde Active Directory-site en hetzelfde domein bevat.

    In grote of drukke omgevingen heeft de PDC vaak het hoogste CPU-gebruik, omdat deze passthrough-verificatie en wachtwoordupdates verwerkt. Als een hoog CPU-gebruik een probleem wordt, identificeert u de bron. De bron bevat toepassingen of computers die mogelijk te veel bewerkingen uitvoeren (transitief) gericht op de PDC. Technieken om CPU te verminderen zijn onder andere:

    • Meer of snellere CPU's toevoegen
    • Meer replica's toevoegen
    • Meer geheugen toevoegen om Active Directory-objecten in de cache op te slaan
    • De globale catalogus verwijderen om globale cataloguszoekacties te voorkomen
    • Het aantal binnenkomende en uitgaande replicatiepartners verminderen
    • Het replicatieschema verhogen
    • De zichtbaarheid van verificatie verminderen met behulp van LDAPSRVWEIGHT en LDAPPRIORITY en met behulp van de functie Randomize1CList.

    Alle domeincontrollers in een bepaald domein en computers waarop toepassingen en beheerprogramma's worden uitgevoerd die gericht zijn op de PDC, moeten een netwerkverbinding hebben met het domein PDC.

  • Plaats de RID-master in het domein PDC in hetzelfde domein.

    De overhead van de RID-master is licht, met name in volwassen domeinen die al het grootste deel van hun gebruikers, computers en groepen hebben gemaakt. De domein-PDC krijgt doorgaans de meeste aandacht van beheerders. Door deze rol op de PDC te plaatsen, zorgt u voor een betrouwbare beschikbaarheid. Zorg ervoor dat bestaande domeincontrollers en nieuw gepromoveerde domeincontrollers netwerkconnectiviteit hebben om actieve en stand-by RID-pools van de RID-master te verkrijgen, met name de domeincontrollers die worden gepromoveerd op externe sites of faseringssites.

  • Verouderde richtlijnen suggereren het plaatsen van de infrastructuurmaster op een niet-globale catalogusserver. Er zijn twee regels die u moet overwegen:

    • Forest met één domein:

      In een forest dat één Active Directory-domein bevat, zijn er geen phantoms. De infrastructuurmaster heeft dus geen werk te doen. De infrastructuurmaster kan op elke domeincontroller in het domein worden geplaatst, ongeacht of deze domeincontroller als host fungeert voor de globale catalogus of niet.

    • Forest met meerdere domeinen:

      Als elke domeincontroller in een domein dat deel uitmaakt van een forest met meerdere domeinen ook als host fungeert voor de globale catalogus, zijn er geen phantoms of werk voor de infrastructuurmaster. De infrastructuurmaster kan worden geplaatst op elke domeincontroller in dat domein. Praktisch gezien hosten de meeste beheerders de globale catalogus op elke domeincontroller in het forest.

    • Als elke domeincontroller in een bepaald domein dat zich in een forest met meerdere domeinen bevindt, niet als host fungeert voor de globale catalogus, moet de infrastructuurmaster worden geplaatst op een domeincontroller die niet als host fungeert voor de globale catalogus.

Verwijzingen

Zie Windows Server-clusterknooppunten gebruiken als domeincontrollers voor meer informatie.

Artikelen over Operations Master-rollen:

De NTDS-replicatiegebeurtenis 1586 treedt op in een van de volgende situaties:

  • de PDC FSMO-rol voor een bepaald domein is in beslag genomen.
  • de PDC FSMO-rol voor een bepaald domein is overgedragen naar een nieuwe domeincontroller die geen directe replicatiepartner van de vorige rolhouder was.