你目前正处于脱机状态,正在等待 Internet 重新连接

FSMO 放置和 活动目录(AD) 域控制器上的优化

针对 Windows Server 2003 的支持已于 2015 年 7 月 14 日终止。

Microsoft 已于 2015 年 7 月 14 日终止了对于 Windows Server 2003 的支持。该更改已影响到您的软件更新和安全选项。 了解这一措施对于您的含义以及如何继续保持受保护状态。

本文的发布号曾为 CHS223346
重要说明:本文是由 Microsoft 机器翻译软件进行的翻译并可能由 Microsoft 社区通过社区翻译机构(CTF)技术进行后期编辑,或可能是由人工进行的翻译。Microsoft 同时向您提供机器翻译、人工翻译及社区后期编辑的文章,以便对我们知识库中的所有文章以多种语言提供访问。翻译的文章可能存在词汇、句法和/或语法方面的错误。Microsoft 对由于内容的误译或客户对内容的使用所导致的任何不准确、错误或损失不承担责任。

点击这里察看该文章的英文版: 223346
概要
本文介绍的活动目录灵活单主机 (FSMO) 角色的域中的位置,在单个域控制器上执行的目录林,是最适合的操作。
更多信息
必须在域或树林中的单个域控制器上执行的某些域和企业范围的操作不是很好地适合使用多主机更新。拥有单主机所有者的目的是定义为关键操作的已知目标,并防止冲突或延迟,可以创建的多主机更新的简介。具有单操作主机意味着相关的 FSMO 角色所有者必须在线、 可被发现,并由具有执行 FSMO 相关操作的计算机网络上可用。

当 活动目录(AD) 安装向导 (Dcpromo.exe) 创建一个新目录林中的第一个域时,则该向导将添加五个 FSMO 角色。具有一个域目录林中有五个角色。Active Directory 安装向导在目录林中每个其他域中的第一个域控制器上添加三个域范围的角色。另外,基础结构主机角色存在的每个应用程序分区。其中包括默认的域和目录林范围的 DNS 应用程序分区,Windows Server 2003-和-以后的域控制器上创建的。下表中显示操作主机和它们的范围。
FSMO 角色作用域函数和可用性需求
架构主机企业
  • 用来引入了手动分页符和编程的架构更新,这包括通过 Windows ADPREP /forestprep 成功、 Microsoft Exchange 和其他应用程序使用 活动目录(AD) 域服务 (AD DS) 添加的那些更新。
  • 不执行架构更新,则必须处于联机状态。
域命名主机企业
  • 用于添加和删除域和应用程序分区和林。
  • 添加或删除域和林中的应用程序分区时,必须处于联机状态。
主域控制器
  • 对于计算机,然后在副本域控制器上的用户帐户的密码更改时,将收到密码更新。
  • 通过复制副本的域控制器已咨询具有不匹配的密码,服务的身份验证请求。
  • 默认目标域控制器的组策略更新。
  • 目标域控制器执行写操作的旧版应用程序和某些管理工具。
  • 必须联机并可访问一天 24 小时,每周七天。
删除
  • 将活动和待机复制域控制器在相同域中的 RID 池分配。
  • 必须为新提升的域控制器以获取所需公布或需要更新其当前或备用的 RID 池分配现有的域控制器的本地 RID 池联机。
基础结构主机

应用程序分区
  • 更新跨域引用和从全局编录的幻像。有关详细信息,请单击下面的文章编号,以查看 Microsoft 知识库中相应的文章:
    248047 幻像、 逻辑删除和基础结构主机
  • 为每个应用程序分区,包括创建 Windows Server 2003 和更高版本的域控制器的默认全林和域范围内的应用程序分区创建单独的基础结构主机。

    Windows 服务器 2008 R2 ADPREP /RODCPREP 命令目标是默认的 DNS 应用程序目录林根域中的基础结构主机角色。此角色担任者的 DN 路径是 CN = 基础结构,DC = DomainDnsZones,哥伦比亚特区 =<forest root="" domain="">,DC =<top level="" domain="">和 CN = 基础结构,DC = ForestDnsZones,哥伦比亚特区 =<forest root="" domain="">,DC =<top level="" domain="">.</top> </forest> </top> </forest>

FSMO 可用性和位置

在域控制器上,Active Directory 安装向导执行的角色的初始位置。此位置是经常有几个域控制器的目录的正确。在具有许多域控制器的目录,默认位置可能最适合您的网络。

请考虑下列选择条件:
  • 可以很方便地跟踪的 FSMO 角色如果您承载它们较少的计算机上。
  • 需要访问给定的角色,尤其是在未完全路由的网络上的计算机可以访问位置角色的域控制器上。例如,若要获取当前或备用 RID 池,或执行传递身份验证,所有的域控制器需要网络对 RID 和 PDC 角色的持有者在其各自域中访问。
  • 如果角色已被移动到另一个域控制器,并且当前角色担任者处于联机状态并且可用,应转移 (不占用) 为新的域控制器的角色。如果当前角色担任者不可用,则只应取回 FSMO 角色。有关详细信息,请转到下面的 Microsoft 网站:
  • 被指派到域控制器处于脱机状态或处于错误状态的 FSMO 角色只需进行转移或占用,如果正在执行角色相关的操作。如果角色承担者无法做运营需要角色之前,您可能会延迟占用角色。如果角色可用性非常重要,转移或占用所需的角色。每个域中的 PDC 角色始终应该联机。
  • 选择现有的角色承担者,使其作为备用角色持有者的直接站点内复制伙伴。如果主要负责人脱机或出现故障,转移或占用给指定的备用 FSMO 域控制器所需的角色。

对于 FSMO 放置的一般性建议

  • 将架构主机放置在目录林根域的 PDC 上。
  • 域命名主机在目录林根的 PDC 上的位置。

    添加或删除域应严格控制的操作。将此角色放置在目录林根的 PDC 上。如果域命名主机不可用,使用域命名主机,如创建或删除域和应用程序分区,某些操作会失败。在运行 Microsoft Windows 2000 的域控制器,域命名主机还必须驻留在一台全局编录服务器。在域控制器上运行 Windows Server 2003 或更高版本中,不需要为全局编录服务器的域命名主机。
  • 将 PDC 置于最佳硬件可靠集线器站点包含复制副本的同一 活动目录(AD) 站点和域中的域控制器中。

    在大型或繁忙的环境,PDC 经常都有最高的 CPU 使用率因为它处理传递身份验证和密码更新。如果高 CPU 使用率问题趋于严重,标识源,,这包括应用程序或可能正在执行太多的操作 (间接) 目标 PDC 的计算机。降低 CPU 的技术包括:
    • 添加更多或更快的 Cpu
    • 添加新的复制副本
    • 向缓存 活动目录(AD) 对象中添加更多内存
    • 删除全局编录来避免全局编录查找
    • 减少的传入和传出的复制伙伴
    • 增加的复制日程安排
    • 通过使用 LDAPSRVWEIGHT 和 LDAPPRIORITY,以及使用中所述的 Randomize1CList 功能减少身份验证的可见性 231305.
    在一个特定的域中,并运行应用程序和管理工具,PDC) 为目标的计算机中的所有域控制器到域 PDC 中必须都具有网络连接。
  • RID 主机的域位于同一域中的 PDC 上的位置。

    RID 的主机开销较淡,尤其是成熟已经创建了大量的用户、 计算机和组的域。通常,域 PDC 从管理员接收倍加关注。因此,在 PDC 上共存此角色可以帮助确保可靠的可用性。请确保现有的域控制器和新提升的域控制器,尤其是提升远程或暂存站点,在有活动的和备用的 RID 池获得 RID 主机的网络连接能力。
  • 旧指南建议将结构主机放在一个非全局编录服务器上。有两个规则,需要考虑:
    • 单域目录林:

      在包含单个 活动目录(AD) 域的林中,没有幻像。因此,结构主机已经没有工作可做。可以将结构主机放在域中,无论该域控制器是否承载全局目录,或没有任何域控制器上。
    • 多域林:

      属于多域林中的域中的每个域控制器还存放全局编录,如果没有 phantom 或基础结构主机执行。在此域中的任何域控制器上,可能会使基础结构主机。在实际术语中,大多数管理员承载林中每个域控制器上的全局编录。
    • 在多域林位于给定域中的每个域控制器将不维护全局编录,如果基础主机必须放不维护全局编录的域控制器上。
参考
有关详细信息,请参阅 如何使用 Windows 服务器群集节点作为域控制器.

有关操作主机角色,Microsoft technet 文章


248047 幻像、 逻辑删除和基础结构主机
949257 在运行 Windows Server 2008 中的"Adprep /rodcprep"命令时收到错误消息:"Adprep 无法联系为分区的 DC 的复制副本 = DomainDnsZones,DC = Contoso 特区 = com"

复制 NTDS 事件 1586年是占用某个特定域的 PDC FSMO 角色或将其转移到新的域控制器不是直接复制伙伴的以前角色所有者时引起的。

警告:本文已自动翻译

属性

文章 ID:223346 - 上次审阅时间:10/18/2013 01:42:00 - 修订版本: 2.0

Windows Server 2012 Standard, Windows Server 2012 Essentials, Windows Server 2008 R2 Standard, Windows Server 2008 Standard, Microsoft Windows Server 2003 R2 Standard Edition (64-Bit x86), Microsoft Windows Server 2003 R2 Standard Edition (32-bit x86), Microsoft Windows Server 2003, Standard x64 Edition, Microsoft Windows Server 2003 Standard Edition, Microsoft Windows 2000 Server, Windows Server 2012 R2 Datacenter, Windows Server 2012 R2 Essentials, Windows Server 2012 R2 Foundation, Windows Server 2012 R2 Preview, Windows Server 2012 R2 Standard

  • kbenv kbinfo kbmt KB223346 KbMtzh
反馈