Colocação do FSMO e optimização em controladores de domínio do Active Directory

O suporte para Windows Server 2003 terminou a 14 de Julho de 2015

A Microsoft terminou o suporte para Windows Server 2003 a 14 de Julho de 2015. Esta alteração afetou as suas atualizações de software e opções de segurança. Aprenda o que isto significa para si e como pode ficar protegido.

Este artigo foi publicado anteriormente em PT223346
IMPORTANTE: Este artigo foi traduzido por um sistema de tradução automática (também designado por Machine translation ou MT), não tendo sido portanto revisto ou traduzido por humanos. A Microsoft tem artigos traduzidos por aplicações (MT) e artigos traduzidos por tradutores profissionais. O objectivo é simples: oferecer em Português a totalidade dos artigos existentes na base de dados do suporte. Sabemos no entanto que a tradução automática não é sempre perfeita. Esta pode conter erros de vocabulário, sintaxe ou gramática… erros semelhantes aos que um estrangeiro realiza ao falar em Português. A Microsoft não é responsável por incoerências, erros ou estragos realizados na sequência da utilização dos artigos MT por parte dos nossos clientes. A Microsoft realiza actualizações frequentes ao software de tradução automática (MT). Obrigado.

Clique aqui para ver a versão em Inglês deste artigo: 223346
Sumário
Este artigo descreve o posicionamento do Active Directory Single-Master funções FSMO (Flexible) no domínio e floresta para operações que são melhor executada num controlador de domínio único.
Mais Informação
Algumas operações de toda a empresa que não são adequadas para actualizações de vários servidores principais e de domínio devem ser efectuadas num controlador de domínio único no domínio ou na floresta. O objectivo de ter um proprietário de mestre único é para definir um destino para operações críticas bem conhecido e para evitar a introdução de conflitos ou latência que poderia ser criada através de actualizações de vários servidores principais. Tendo um meio principal de única operação que o proprietário da função FSMO relevante têm de estar online identificável e disponível na rede por computadores que têm de efectuar operações de dependente de FSMO.

Quando o Assistente de instalação do Active Directory (Dcpromo.exe) cria o primeiro domínio numa nova floresta, o assistente adiciona cinco funções FSMO. Uma floresta com um domínio tem cinco funções. O Assistente de instalação do Active Directory adiciona três funções de todo o domínio no primeiro controlador de domínio em cada domínio adicional na floresta. Além disso, as funções de mestre de infra-estrutura existirem para cada partição de aplicação. Isto inclui o domínio predefinido e as partições de aplicação de DNS de toda a floresta que são criadas em controladores de domínio Windows Server 2003 e posterior. Mestre de operações de e do seu âmbito são mostrados na seguinte tabela.
Função FSMOÂmbito de aplicaçãoRequisitos de função e disponibilidade
Mestre de esquemaEmpresa
  • Utilizado para introduzir as actualizações de esquema manual e de programação e inclui as actualizações que são adicionadas por Windows ADPREP /FORESTPREP, pelo Microsoft Exchange e por outras aplicações que utilizam serviços de domínio do Active Directory (AD DS).
  • Tem de estar online quando as actualizações de esquema são efectuadas.
Mestre de atribuição de nomes de domínioEmpresa
  • Utilizado para adicionar e remover domínios e partições de aplicações para e da floresta.
  • Tem de estar online quando domínios e partições de aplicações numa floresta são adicionadas ou removidas.
Controlador de domínio primárioDomínio
  • Recebe actualizações de palavra-passe quando as palavras-passe são alteradas para o computador e para as contas de utilizador que são em controladores de domínio de réplica.
  • Consultar réplicas de controladores de domínio que pedidos de autenticação de serviço que tenham palavras-passe de falta de correspondência.
  • Actualiza o controlador de domínio de destino predefinido da política de grupo.
  • Controlador de domínio de destino para aplicações legacy que efectuem operações de escrita e para algumas ferramentas de administração.
  • Tem de ser online e acessíveis 24 horas por dia, sete dias por semana.
RIDDomínio
  • Atribui o activos e inactivo conjuntos RID para réplicas de controladores de domínio no mesmo domínio.
  • Tem de estar online para controladores de domínio recém-promovido obter um conjunto de RID local que é necessário para anunciar ou quando controladores de domínio existente tem de actualizar a respectiva atribuição de conjunto RID actual ou em modo de espera.
Mestre de infra-estruturasDomínio

Partição de aplicações
  • As referências de domínios de actualizações e fantasmas a partir do catálogo global. Para mais informações, clique no número de artigo seguinte para visualizar o artigo na Microsoft Knowledge Base:
    248047 Fantasmas, tombstones e o mestre de infra-estruturas
  • É criada uma mestre de infra-estruturas separada para cada partição de aplicações, incluindo as partições de aplicação toda a floresta e todo o domínio predefinido criadas pelo Windows Server 2003 e posteriores controladores de domínio.

    O comando do Windows Server 2008 R2 ADPREP /RODCPREP destina-se a função de mestre de infra-estrutura para a aplicação de DNS predefinida no domínio raiz da floresta. O caminho do ND este detentor da função é CN = infra-estrutura, DC = DomainDnsZones, DC =<forest root="" domain="">, DC =<top level="" domain=""> e CN = infra-estrutura, DC = ForestDnsZones, DC =<forest root="" domain="">, DC =<top level="" domain="">.</top> </forest> </top> </forest>

Disponibilidade FSMO e posicionamento

O Assistente de instalação do Active Directory efectua a colocação inicial de funções em controladores de domínio. Esta colocação é, frequentemente correcta para os directórios que tenham apenas alguns controladores de domínio. Num directório com muitos controladores de domínio, a colocação predefinida não pode ser a melhor correspondência para a rede.

Considere o seguinte nos critérios de selecção:
  • É mais fácil manter um registo das funções FSMO se hospedá-los em menos de computadores.
  • Local de funções em controladores de domínio que estejam podem ser acedidas pelos computadores que necessitam de aceder a uma determinada função, especialmente em redes que não são completamente encaminhada. Por exemplo, para obter um conjunto de RID actual ou suspender ou efectuar a autenticação pass-through, todos os DC necessitam acesso à rede para os detentores da função RID e PDC nos respectivos domínios.
  • Se uma função tem de ser movidos para um controlador de domínio diferente e o detentor da função actual está online e disponível, deverá transferir (não tente obtê) a função para o novo controlador de domínio. Só devem ser capturadas funções FSMO se o detentor da função actual não estiver disponível. Para mais informações, consulte o seguinte Web site da Microsoft:
  • As funções FSMO atribuídas a controladores de domínio que estão offline ou num Estado de erro só devem ser transferidos ou apreendidos se operações de função dependentes estão a ser efectuadas. Se o detentor da função pode ser criado operacional antes da função é necessária, pode atrasar a obtenção da função. Se a disponibilidade da função é crítica, transferir ou capturar a função conforme necessário. A função PDC em cada domínio deve-se online em qualquer momento.
  • Seleccione um parceiro de replicação directos dentro do local para os detentores da função existente agir como um detentor da função de suspensão. Se o proprietário primário fica offline ou falha, capturar ou transferir a função designado espera FSMO controlador de domínio conforme necessário.

Recomendações gerais para a colocação do FSMO

  • Coloque o mestre de esquema no PDC do domínio raiz da floresta.
  • O mestre de atribuição de nomes de domínio no PDC da raiz da floresta local.

    A adição ou remoção de domínios, deve ser uma operação controlada apertado. Esta função no PDC da raiz da floresta local. Determinadas operações que utilizam o mestre de atribuição de nomes de domínio, tais como criar ou remover domínios e partições de aplicações, falharem se o mestre de atribuição de nomes de domínio não está disponível. Num controlador de domínio que executa o Microsoft Windows 2000, o mestre de atribuição de nomes de domínio também deve estar hospedado num servidor de catálogo global. Nos controladores de domínio a executar o Windows Server 2003 ou versões posteriores, o mestre de atribuição de nomes de domínio não tem de ser um servidor de catálogo global.
  • Coloque o PDC hardware melhor num site concentrador fiável que contém as réplicas de controladores de domínio no mesmo local do Active Directory e domínio.

    Em ambientes de grandes dimensões ou ocupados, o PDC tem frequentemente a utilização da CPU mais elevada porque este processa actualizações passagem autenticação e a palavra-passe. Se a utilização elevada da CPU se tornar um problema, identifique a origem e inclui aplicações ou computadores que podem estar a efectuar operações demasiados (transitória) filtragem o PDC. Técnicas para reduzir a CPU incluem o seguinte:
    • Adicionar CPUs mais ou mais rápidos
    • Adicionar outras réplicas
    • Adicionar mais memória de objectos do Active Directory de cache
    • Remover o catálogo global para evitar pesquisas de catálogo global
    • Reduzir o número de parceiros de replicação de entrada e saída
    • Aumentar a agenda de replicação
    • Reduzir a visibilidade de autenticação utilizando LDAPSRVWEIGHT e LDAPPRIORITY e utilizando a funcionalidade de Randomize1CList descrita na 231305.
    Todos os controladores de domínio num determinado domínio e computadores que executem aplicações e ferramentas de administração que o PDC, tem de ter conectividade de rede para o PDC do domínio.
  • Coloque o mestre de RID no domínio PDC no mesmo domínio.

    Mestre de RID custos gerais é de luz, especialmente em domínios adultos que já criou a maior parte dos seus utilizadores, computadores e grupos. O PDC do domínio, normalmente, recebe a maior atenção dos administradores. Por conseguinte, o co-financiamento localizar esta função no PDC ajuda garantir disponibilidade fiável. Certifique-se de que os controladores de domínio existentes e controladores de domínio recém-promovido, especialmente aqueles promovido em sites remotos ou teste, tem conectividade de rede para obter conjuntos RID do activos e inactivo a partir do mestre de RID.
  • Orientação legacy sugere colocando o mestre de infra-estruturas num servidor de catálogo não global. Existem duas regras para ter em consideração:
    • Floresta de domínio único:

      Numa floresta que contém um único domínio do Active Directory, existem não existem fantasmas. Por conseguinte, o mestre de infra-estruturas não tem trabalho a fazer. O mestre de infra-estruturas pode ser colocado em qualquer controlador de domínio no domínio, independentemente de se esse controlador de domínio aloja o catálogo global ou não.
    • Floresta de vários domínios:

      Se cada controlador de domínio num domínio que faz parte de uma floresta com vários domínios também contiverem o catálogo global, não existem fantasmas ou trabalho para o servidor principal de infra-estrutura. O mestre de infra-estruturas pode ser colocado em qualquer controlador de domínio nesse domínio. Em termos práticos, a maior parte dos administradores hospedarem o catálogo global em cada controlador de domínio na floresta.
    • Se cada controlador de domínio num determinado domínio localizado numa floresta com vários domínios não hospedarem o catálogo global, o mestre de infra-estruturas deve ser colocado num controlador de domínio que não hospeda o catálogo global.
Referências
Para mais informações, consulte Como utilizar nós de cluster do Windows Server como controladores de domínio.

Artigos sobre funções de mestre de operações na Microsoft TechNet:


248047 Fantasmas, tombstones e o mestre de infra-estruturas
949257 Mensagem de erro quando executa o comando "/rodcprep o Adprep" no Windows Server 2008: "o Adprep não conseguiu contactar uma réplica de partição DC = DomainDnsZones, DC = Contoso, DC = com"

O evento de replicação de NTDS 1586 é causado quando a função FSMO de PDC para um determinado domínio foi apreendida ou transferida para um novo controlador de domínio que não era um parceiro de replicação directa do antecessor.

Aviso: Este artigo foi traduzido automaticamente

Propriedades

ID do Artigo: 223346 - Última Revisão: 10/18/2013 01:38:00 - Revisão: 2.0

Windows Server 2012 Standard, Windows Server 2012 Essentials, Windows Server 2008 R2 Standard, Windows Server 2008 Standard, Microsoft Windows Server 2003 R2 Standard Edition (64-Bit x86), Microsoft Windows Server 2003 R2 Standard Edition (32-bit x86), Microsoft Windows Server 2003, Standard x64 Edition, Microsoft Windows Server 2003 Standard Edition, Microsoft Windows 2000 Server, Windows Server 2012 R2 Datacenter, Windows Server 2012 R2 Essentials, Windows Server 2012 R2 Foundation, Windows Server 2012 R2 Preview, Windows Server 2012 R2 Standard

  • kbenv kbinfo kbmt KB223346 KbMtpt
Comentários