Umieszczenie FSMO i optymalizacja kontrolerów domeny Active Directory

Streszczenie

Kontrolery domeny Active Directory obsługują aktualizacje z użyciem wielu wzorców w celu replikacji obiektów (takich jak konta użytkownika i komputera). W modelu wielu wzorców obiekty i ich właściwości mogą powstawać na dowolnym kontrolerze domeny i stają się „autorytatywne” po replikacji.

W tym artykule opisano rozmieszczenie ról FSMO (Active Directory Flexible Single-Master) w domenie i w lesie.

Więcej informacji

Niektóre operacje na domenie dotyczące całego przedsiębiorstwa, które nie są dobrze dostosowane do rozmieszczania na wielu wzorcach, znajdują się na pojedynczym kontrolerze domeny lub lasu. Zaletą operacji na pojedynczym wzorcu jest zapobieganie wprowadzaniu konfliktów, gdy wzorzec operacji jest w trybie offline, zamiast wprowadzania potencjalnych konfliktów, a następnie ich rozwiązywania. Wzorzec pojedynczej operacji oznacza jednak, że właściciel roli FSMO musi być dostępny, gdy następują zależne aktywności w domenie lub przedsiębiorstwie albo gdy wprowadzane są zmiany katalogowe skojarzone z tą rolą.

Kreator instalacji usługi Active Directory (Dcpromo.exe) definiuje pięć ról FSMO: wzorzec schematu, wzorzec domeny, wzorzec RID, emulator PDC i wzorzec infrastruktury. Wzorzec schematu oraz wzorzec nazw domen są rolami na las. Pozostałe trzy, wzorzec RID, emulator PDC oraz wzorzec infrastruktury są rolami na domenę.

Las z jedną domeną ma pięć ról. Każda dodatkowa domena w lesie dodaje trzy role w zakresie domeny. Liczbę ról FSMO w lesie i potencjalnych właścicieli ról FSMO można określić za pomocą wzoru ((Liczba domen *3)+2).

Las z trzema domenami (A.com z domeną podrzędną B.A.com i jej domeną podrzędną C.B.A.com) ma jedenaście ról FSMO:

1 wzorzec schematu — w zakresie lasu A.COM
1 wzorzec nazw domen — o zasięgu lasu A.COM
3 emulatory PDC (A.com, B.A.com i C.B.A.com)
3 wzorce RID (A.com, B.A.com i C.B.A.com)
3 wzorce infrastruktury odpowiednio dla każdej domeny. (A.com, B.A.com i C.B.A.com)

Podczas tworzenia pierwszego kontrolera domeny Active Directory lasu program Dcpromo.exe przypisuje mu wszystkie pięć ról. Podczas tworzenia pierwszego kontrolera domeny Active Directory nowej domeny w istniejącym lesie system przypisuje mu wszystkie trzy role domeny. W domenie trybu mieszanego, zawierającej kontrolery domeny Microsoft Windows NT 4.0, jedynie kontrolery domeny działające w systemie Microsoft Windows Server 2003 lub Microsoft Windows 2000 Server mogą przechowywać role o zasięgu domeny lub lasu.

Dostępność i rozmieszczenie FSMO

Program Dcpromo.exe dokonuje pierwotnego rozmieszczenia ról na kontrolerach domen. To rozmieszczenie jest często poprawne w przypadku katalogów z niewielką liczbą kontrolerów domeny. W katalogu z dużą liczbą kontrolerów domeny rozmieszczenie domyślne prawdopodobnie nie jest optymalne dla danej sieci.

Dla każdej domeny wybiera się lokalny kontroler podstawowy i oczekujący kontroler domeny FSMO w przypadku wystąpienia awarii podstawowego właściciela FSMO. Dodatkowo można chcieć wybrać oczekujących właścicieli spoza lokacji w przypadku awarii zależnej od lokacji. Należy rozważyć następujące kryteria wyboru:
 • Jeśli domena ma tylko jeden kontroler domeny, ten kontroler ma wszystkie role domenowe.
 • Jeśli domena ma więcej niż jeden kontroler domeny, należy użyć narzędzia Lokacje Active Directory i Menedżer usług do wybrania bezpośrednich partnerów replikacji ze stałymi, „dobrze połączonymi” łączami.
 • Serwer oczekujący może być w tej samej lokacji, co podstawowy serwer FSMO z uwagi na spójność szybszej zbieżności replikacji w dużej grupie komputerów lub w lokacji zdalnej w przypadku awarii zależnej od witryny w lokalizacji podstawowej.
 • Gdy oczekujący kontroler domeny jest w lokacji zdalnej, należy się upewnić, że połączenie jest skonfigurowane do ciągłej replikacji przez trwałe łącze.

Ogólne zalecenia dotyczące rozmieszczania FSMO

 • Role RID i PDC należy umieszczać na tym samym kontrolerze domeny. Łatwiej jest także śledzić role FSMO, jeśli łączy się je w klaster na kilku komputerach.

  Jeśli obciążenie na podstawowym FSMO uzasadnia posunięcie, należy umieścić rolę kontrolera RID oraz rolę emulatora podstawowego kontrolera domeny na oddzielnych kontrolerach domen w tej samej domenie i lokacji Active Directory, które są dla siebie bezpośrednimi partnerami replikacji.
 • Zgodnie z ogólną zasadą wzorzec infrastruktury powinien być umieszczony na serwerze katalogów nieglobalnych, który ma obiekt bezpośredniego połączenia z niektórymi katalogami globalnymi w lesie, zwłaszcza w tej samej lokacji Active Directory. Ponieważ serwer katalogów globalnych przechowuje częściowe repliki każdego obiektu w lesie, wzorzec infrastruktury, jeśli jest umieszczony na serwerze katalogów globalnych, nigdy nie aktualizuje niczego, gdyż nie zawiera żadnych odwołań do obiektów, których nie przechowuje. Istnieją dwa wyjątki od reguły, aby „nie umieszczać wzorca infrastruktury na serwerze katalogów globalnych”:
  • Las z pojedynczą domeną:

   W lesie, który zawiera pojedynczą domenę Active Directory, nie ma fantomów, więc wzorzec infrastruktury nie ma żadnej pracy do wykonania. Wzorzec infrastruktury może być umieszczony na kontrolerze domeny w domenie, niezależnie do tego, czy kontroler ten zawiera katalog globalny czy nie.
  • Las wielodomenowy, gdzie każdy kontroler domeny w domenie przechowuje katalog globalny:

   Jeśli każdy kontroler domeny w domenie, która jest częścią lasu wielodomenowego, zawiera także katalog globalny, nie ma fantomów ani pracy do wykonania przez wzorzec infrastruktury. Wzorzec infrastruktury może być umieszczony na dowolnym kontrolerze w tej domenie.
 • Na poziomie lasu role wzorca schematu i wzorca nazw domen powinny być umieszczone na tym samym kontrolerze domeny, ponieważ są sporadycznie używane i powinny być ściśle kontrolowane. Dodatkowo także FSMO wzorca nazw domen powinien być serwerem katalogów globalnych. Jeśli tak nie jest, niektóre operacje, które wykorzystują wzorzec nazw domen, takie jak tworzenie domen podwójnie podrzędnych, nie udają się.

  W lesie na poziomie funkcjonalnym lasu systemu Windows Server 2003 umieszczenie wzorca nazw domen na serwerze katalogów globalnych nie jest konieczne.
Należy koniecznie potwierdzić, że wszystkie role FSMO są dostępne, przy użyciu jednej z konsol zarządzania (takich jak Dsa.msc lub Ntdsutil.exe).

Materiały referencyjne

Aby uzyskać więcej informacji, kliknij następujący numer artykułu w celu wyświetlenia tego artykułu z bazy wiedzy Microsoft Knowledge Base:

281662 Węzły klastra Windows 2000 i Windows Server 2003 jako kontrolery domen

Właściwości

Identyfikator artykułu: 223346 — ostatni przegląd: 17.07.2008 — zmiana: 1

Opinia