Active Directory etki alanı denetleyicilerinde FSMO yerleşimi ve en iyi duruma getirilmesi

  • Makale

Belirli işlemler en iyi şekilde tek bir etki alanı denetleyicisinde yapılır. Bu makalede, bu işlemler için etki alanı ve ormanda Active Directory Esnek Single-Master İşlemi (FSMO) rollerinin yerleştirilmesi açıklanmaktadır.

Şunlar için geçerlidir: Windows Server 2012 R2
Özgün KB numarası: 223346

Daha fazla bilgi

Bazı etki alanı ve kuruluş genelindeki işlemler, çok ana bilgisayarlı güncelleştirmeler için uygun değildir. Bu gibi durumlarda, işlemlerin etki alanındaki veya ormandaki tek bir etki alanı denetleyicisinde yapılması gerekir. Tek ana yönetici sahibine sahip olmak kritik işlemler için iyi bilinen bir hedef tanımlar ve çoklu ana güncelleştirmeler tarafından oluşturulan olası çakışmaları veya gecikmeyi önler. Bu, ilgili FSMO rol sahibinin çevrimiçi, bulunabilir ve FSMO'ya bağımlı işlemler gerçekleştirmesi gereken bilgisayarlar tarafından ağda kullanılabilir olması gerektiği anlamına gelir.

Active Directory Yükleme Sihirbazı (Dcpromo.exe) yeni ormanda ilk etki alanını oluşturduğunda sihirbaz beş FSMO rolü ekler. Bir etki alanına sahip bir ormanın beş rolü vardır. Active Directory Yükleme Sihirbazı, ormandaki her ek etki alanındaki ilk etki alanı denetleyicisine etki alanı genelinde üç rol ekler. Ayrıca, her uygulama bölümü için altyapı ana rolleri vardır. Windows Server 2003 ve sonraki etki alanı denetleyicilerinde oluşturulan varsayılan etki alanını ve orman genelinde DNS uygulama bölümlerini içerir. İşlem yöneticileri ve kapsamları aşağıdaki tabloda gösterilmiştir.

FSMO Rolü Kapsam İşlev ve kullanılabilirlik gereksinimleri
Şema Yöneticisi Enterprise - El ile ve programlı şema güncelleştirmelerini tanıtmak için kullanılır. WindowsADPREP /FORESTPREP, Microsoft Exchange ve Active Directory Domain Services (AD DS) kullanan diğer uygulamalar tarafından eklenen güncelleştirmeleri içerir.
- Şema güncelleştirmeleri gerçekleştirildiğinde çevrimiçi olmalıdır.
Etki Alanı Adlandırma Yöneticisi Enterprise - Ormana ve ormana etki alanları ve uygulama bölümleri eklemek ve kaldırmak için kullanılır.
- Ormandaki etki alanları ve uygulama bölümleri eklendiğinde veya kaldırıldığında çevrimiçi olmalıdır.
Birincil Etki Alanı Denetleyicisi Etki alanı - Bilgisayar ve çoğaltma etki alanı denetleyicilerindeki kullanıcı hesapları için parolalar değiştirildiğinde parola güncelleştirmelerini alır.
- Eşleşmeyen parolalara sahip kimlik doğrulama isteklerine hizmet veren çoğaltma etki alanı denetleyicileri tarafından danışılır.
- grup ilkesi güncelleştirmeleri için varsayılan hedef etki alanı denetleyicisi.
- Yazılabilir işlemler gerçekleştiren eski uygulamalar ve bazı yönetici araçları için hedef etki alanı denetleyicisi.
- Haftanın yedi günü, günde 24 saat çevrimiçi ve erişilebilir olmalıdır.
KURTULMAK Etki alanı - Etkin ve hazır bekleyen RID havuzlarını aynı etki alanındaki çoğaltma etki alanı denetleyicilerine ayırır.
- Aşağıdaki durumlarda çevrimiçi olmalıdır:
  • yeni yükseltilen etki alanı denetleyicilerinin tanıtılması gereken yerel bir RID havuzu alması gerektiğinde
  • mevcut etki alanı denetleyicilerinin geçerli veya hazır bekleyen RID havuzu ayırmalarını güncelleştirmeleri gerektiğinde.
Altyapı Yöneticisi Etki alanı

Uygulama bölümü		 - Genel katalogdan etki alanları arası başvuruları ve hayaletleri Güncelleştirmeler. Daha fazla bilgi için bkz . Hayaletler, mezar taşları ve altyapı yöneticisi
- Windows Server 2003 ve üzeri etki alanı denetleyicileri tarafından oluşturulan varsayılan orman genelinde ve etki alanı genelinde uygulama bölümleri dahil olmak üzere her uygulama bölümü için ayrı bir altyapı yöneticisi oluşturulur.

Windows Server 2008 R2 ADPREP /RODCPREP komutu, orman kök etki alanındaki varsayılan DNS uygulaması için altyapı yöneticisi rolünü hedefler. Bu rol sahibi için DN yolu:
  • CN=Altyapı,DC=DomainDnsZones,DC=<orman kök etki alanı,DC>=<en üst düzey etki alanı>
  • CN=Altyapı,DC=ForestDnsZones,DC=<orman kök etki alanı,DC>=<en üst düzey etki alanı>

FSMO kullanılabilirliği ve yerleşimi

Active Directory Yükleme Sihirbazı, rollerin etki alanı denetleyicilerine ilk yerleşimini yapar. Bu yerleştirme, yalnızca birkaç etki alanı denetleyicisi olan dizinler için sıklıkla doğrudur. Çok sayıda etki alanı denetleyicisi olan bir dizinde, varsayılan yerleşim ağınız için en iyi eşleşme olmayabilir.

Seçim ölçütlerinizde aşağıdaki faktörleri göz önünde bulundurun:

  • Daha az bilgisayarda barındırıyorsanız FSMO rollerini izlemek daha kolaydır.

  • Rolleri, özellikle tam olarak yönlendirilmemiş ağlarda belirli bir role erişmesi gereken bilgisayarlar tarafından erişilebilen etki alanı denetleyicilerine yerleştirin. Örneğin, geçerli veya hazır bekleyen bir RID havuzu elde etmek veya doğrudan kimlik doğrulaması gerçekleştirmek için tüm DC'lerin ilgili etki alanlarındaki RID ve PDC rol sahiplerine ağ erişimi olması gerekir.

  • Rolü aşağıdaki koşullar altında yeni etki alanı denetleyicisine aktarmalısınız (almamalısınız):

    • rolün farklı bir etki alanı denetleyicisine taşınması gerekir
    • geçerli rol sahibi çevrimiçi ve kullanılabilir

    FSMO rolleri yalnızca geçerli rol sahibi kullanılamıyorsa alınmalıdır. Daha fazla bilgi için bkz. İşlem Yöneticisi Rollerini Yönetme.

  • Çevrimdışı olan veya hata durumundaki etki alanı denetleyicilerine atanan FSMO rollerinin yalnızca role bağımlı işlemler yapılıyorsa aktarılması veya ele geçirilmesi gerekir. Rol sahibi rol gerekmeden önce faaliyete geçebiliyorsa rolün alınmasında gecikme yaşanabilir. Rol kullanılabilirliği kritikse, rolü gerektiği gibi aktarın veya yakalayın. Her etki alanındaki PDC rolü her zaman çevrimiçi olmalıdır.

  • Mevcut rol sahiplerinin hazır bekleyen rol sahibi olarak davranması için doğrudan bir site içi çoğaltma ortağı seçin. Birincil sahip çevrimdışı olursa veya başarısız olursa, rolü gerektiği gibi belirlenen hazır bekleyen FSMO etki alanı denetleyicisine aktarın veya yakalayın.

FSMO yerleştirme için genel öneriler

  • Şema yöneticisini orman kök etki alanının PDC'sine yerleştirin.

  • Etki alanı adlandırma yöneticisini orman kök PDC'sine yerleştirin.

    Etki alanlarının eklenmesi veya kaldırılması sıkı denetimli bir işlem olmalıdır. Bu rolü orman kök PDC'sine yerleştirin. Etki alanı adlandırma yöneticisi kullanılamıyorsa, etki alanı adlandırma yöneticisini kullanan bazı işlemler başarısız olur. Bu işlemler etki alanları ve uygulama bölümleri oluşturmayı veya kaldırmayı içerir. Microsoft Windows 2000 çalıştıran bir etki alanı denetleyicisinde, etki alanı adlandırma yöneticisinin de genel katalog sunucusunda barındırılması gerekir. Windows Server 2003 veya sonraki sürümleri çalıştıran etki alanı denetleyicilerinde, etki alanı adlandırma yöneticisinin genel katalog sunucusu olması gerekmez.

  • PDC'yi en iyi donanımınıza, aynı Active Directory sitesinde ve etki alanında çoğaltma etki alanı denetleyicileri içeren güvenilir bir hub sitesine yerleştirin.

    Büyük veya meşgul ortamlarda, doğrudan kimlik doğrulaması ve parola güncelleştirmelerini işlediğinden PDC sık sık en yüksek CPU kullanımına sahiptir. Yüksek CPU kullanımı bir sorun haline gelirse kaynağı tanımlayın. Kaynak, PDC'yi hedefleyen (geçişli olarak) çok fazla işlem gerçekleştirebilen uygulamaları veya bilgisayarları içerir. CPU'ları azaltma teknikleri şunlardır:

    • Daha fazla veya daha hızlı CPU ekleme
    • Daha fazla çoğaltma ekleme
    • Active Directory nesnelerini önbelleğe almak için daha fazla bellek ekleme
    • Genel katalog aramalarını önlemek için genel kataloğu kaldırma
    • Gelen ve giden çoğaltma iş ortaklarının sayısını azaltma
    • Çoğaltma zamanlamasını artırma
    • LDAPSRVWEIGHT ve LDAPPRIORITY kullanarak ve Randomize1CList özelliğini kullanarak kimlik doğrulaması görünürlüğünü azaltma.

    Belirli bir etki alanındaki tüm etki alanı denetleyicilerinin ve PDC'yi hedefleyen uygulamaları ve yönetici araçlarını çalıştıran bilgisayarların etki alanı PDC'sine ağ bağlantısı olmalıdır.

  • RID yöneticisini etki alanı PDC'sine aynı etki alanına yerleştirin.

    RID ana yükü, özellikle kullanıcılarının, bilgisayarlarının ve gruplarının büyük bir kısmını oluşturmuş olan olgun etki alanlarında hafiftir. Etki alanı PDC genellikle yöneticiler tarafından en çok ilgiyi alır. Bu rolü PDC'de birlikte bulmak, güvenilir kullanılabilirlik sağlamaya yardımcı olur. Mevcut etki alanı denetleyicilerinin ve yeni yükseltilen etki alanı denetleyicilerinin, özellikle uzak veya hazırlama sitelerinde yükseltilen etki alanı denetleyicileri olmak üzere RID yöneticisinden etkin ve beklemedeki RID havuzlarını almak için ağ bağlantısına sahip olduğundan emin olun.

  • Eski kılavuz, altyapı yöneticisinin genel olmayan bir katalog sunucusuna yerleştirilmesini önerir. Dikkate alınması gereken iki kural vardır:

    • Tek etki alanı ormanı:

      Tek bir Active Directory etki alanı içeren bir ormanda hayalet yoktur. Bu nedenle altyapı yöneticisinin yapacak bir işi yoktur. Altyapı yöneticisi, etki alanı denetleyicisinin genel kataloğu barındırıp barındırmadığı fark etmeksizin, etki alanındaki herhangi bir etki alanı denetleyicisine yerleştirilebilir.

    • Çok etki alanı ormanı:

      Çok etki alanı ormanının parçası olan bir etki alanındaki her etki alanı denetleyicisi genel kataloğu da barındırıyorsa, altyapı yöneticisinin yapması için hayaletler veya çalışma yoktur. Altyapı yöneticisi, bu etki alanındaki herhangi bir etki alanı denetleyicisine yerleştirilebilir. Pratik olarak, çoğu yönetici genel kataloğu ormandaki her etki alanı denetleyicisinde barındırıyor.

    • Çok etki alanı ormanında bulunan belirli bir etki alanındaki her etki alanı denetleyicisi genel kataloğu barındırmıyorsa, altyapı yöneticisinin genel kataloğu barındırmayan bir etki alanı denetleyicisine yerleştirilmesi gerekir.

Başvurular

Daha fazla bilgi için bkz. Windows Server küme düğümlerini etki alanı denetleyicileri olarak kullanma.

İşlem Yöneticisi rolleri hakkındaki makaleler:

NTDS Çoğaltma olayı 1586 aşağıdaki durumlardan birinde gerçekleşir:

  • belirli bir etki alanı için PDC FSMO rolü ele geçirildi.
  • belirli bir etki alanının PDC FSMO rolü, önceki rol sahibinin doğrudan çoğaltma ortağı olmayan yeni bir etki alanı denetleyicisine aktarıldı.