在 Active Directory 域控制器上的 FSMO 放置和优化
某些操作最好在单个域控制器上完成。 本文介绍这些操作在域和林中放置 Active Directory 灵活 Single-Master 操作 (FSMO) 角色。
适用于: Windows Server 2012 R2
原始 KB 编号: 223346
更多信息
某些域和企业范围的操作不太适合多主服务器更新。 在这些情况下,必须在域或林中的单个域控制器上执行操作。 拥有单主数据库所有者可定义关键操作的已知目标,并防止多主服务器更新造成可能的冲突或延迟。 这意味着,相关 FSMO 角色所有者必须联机、可发现且可由必须执行 FSMO 相关操作的计算机在网络上可用。
当 Active Directory 安装向导 (Dcpromo.exe) 在新林中创建第一个域时,向导将添加五个 FSMO 角色。 具有一个域的林具有五个角色。 Active Directory 安装向导在林中每个附加域的第一个域控制器上添加三个域范围的角色。 此外,每个应用程序分区都有基础结构主角色。 它包括在 Windows Server 2003 及更高版本的域控制器上创建的默认域和林范围的 DNS 应用程序分区。 下表显示了操作主机及其范围。
FSMO 角色 | 范围 | 功能和可用性要求 |
---|---|---|
架构母版 | 企业版 | - 用于引入手动和编程架构更新。 它包括 Windows ADPREP /FORESTPREP 、Microsoft Exchange 以及使用 Active Directory 域服务 (AD DS) 的其他应用程序添加的更新。- 执行架构更新时必须处于联机状态。 |
域命名母版 | 企业版 | - 用于添加 和 以从林中删除域和应用程序分区。 - 当添加或删除林中的域和应用程序分区时,必须处于联机状态。 |
主域控制器 | Domain | - 当计算机和副本 (replica) 域控制器上的用户帐户的密码发生更改时,接收密码更新。 - 由副本 (replica) 域控制器咨询,这些域控制器为具有不匹配的密码的身份验证请求提供服务。 - 组策略更新的默认目标域控制器。 - 针对执行可写操作的旧应用程序以及某些管理工具的目标域控制器。 - 必须每周 7 天、每天 24 小时在线访问。 |
摆脱 | Domain | - 将主动和备用 RID 池分配给同一域中副本 (replica) 域控制器。 - 在以下情况下必须联机:
|
基础结构主机 | Domain 应用程序分区 |
- 汇报全局编录中的跨域引用和幻像。 有关详细信息,请参阅 幻影、逻辑删除和基础结构主机 - 为每个应用程序分区创建单独的基础结构主机,包括 Windows Server 2003 及更高版本的域控制器创建的默认林范围和域范围应用程序分区。 Windows Server 2008 R2 ADPREP /RODCPREP 命令面向林根域中默认 DNS 应用程序的基础结构主角色。 此角色持有者的 DN 路径为:
|
FSMO 可用性和放置
Active Directory 安装向导在域控制器上执行角色的初始放置。 对于只有几个域控制器的目录,此放置通常是正确的。 在具有许多域控制器的目录中,默认放置可能不是网络的最佳匹配项。
在选择条件中考虑以下因素:
如果将 FSMO 角色托管在较少的计算机上,则更容易跟踪这些角色。
将角色放置在可由计算机访问的域控制器上,这些计算机需要访问给定角色,尤其是在未完全路由的网络上。 例如,若要获取当前或备用 RID 池,或执行直通身份验证,所有 DC 都需要对其各自域中的 RID 和 PDC 角色持有者进行网络访问。
在以下情况下,应将 (不抓住角色) 转移到新的域控制器:
- 必须将角色移动到其他域控制器
- 当前角色持有者处于联机状态且可用
仅当当前角色持有者不可用时,才应捕获 FSMO 角色。 有关详细信息,请参阅 管理操作主角色。
只有在执行与角色相关的操作时,才需要传输或捕获分配给脱机或处于错误状态的域控制器的 FSMO 角色。 如果角色持有者可以在需要角色之前操作,则可能会延迟获取角色。 如果角色可用性至关重要,请根据需要转移或获取角色。 每个域中的 PDC 角色应始终处于联机状态。
为现有角色持有者选择直接站点内复制合作伙伴,以充当备用角色持有者。 如果主所有者脱机或失败,请根据需要将角色转移或捕获到指定的备用 FSMO 域控制器。
FSMO 放置的一般建议
将架构主机置于林根域的 PDC 上。
将域命名主机放在林根 PDC 上。
添加或删除域应是严格控制的操作。 将此角色置于林根 PDC 上。 如果域命名主机不可用,则使用域命名主机的某些操作会失败。 这些操作包括创建或删除域和应用程序分区。 在运行 Microsoft Windows 2000 的域控制器上,域命名主机也必须托管在全局编录服务器上。 在运行 Windows Server 2003 或更高版本的域控制器上,域命名主服务器不必是全局编录服务器。
将 PDC 放在最佳硬件上,该站点包含同一 Active Directory 站点和域中副本 (replica) 域控制器。
在大型或繁忙环境中,PDC 的 CPU 使用率通常最高,因为它处理直通身份验证和密码更新。 如果 CPU 使用率过高成为问题,请确定源。 源包括可能执行过多操作的应用程序或计算机, (可传递) 面向 PDC 的操作。 降低 CPU 的技术包括:
- 添加更多或更快的 CPU
- 添加更多副本
- 添加更多内存以缓存 Active Directory 对象
- 删除全局编录以避免全局编录查找
- 减少传入和传出复制伙伴的数量
- 增加复制计划
- 通过使用 LDAPSRVWEIGHT 和 LDAPPRIORITY 以及 Randomize1CList 功能降低身份验证可见性。
特定域中的所有域控制器以及运行面向 PDC 的应用程序和管理工具的计算机必须具有与域 PDC 的网络连接。
将 RID 主机放在域 PDC 上的同一域中。
RID 主机开销很轻,尤其是在已创建大量用户、计算机和组的成熟域中。 域 PDC 通常受到管理员的最多关注。 将此角色并置在 PDC 上有助于确保可靠可用性。 确保现有域控制器和新升级的域控制器具有网络连接,以便从 RID 主机获取主动和备用 RID 池,尤其是在远程或过渡站点中升级的域控制器。
旧版指南建议将基础结构主机置于非全局编录服务器上。 需要考虑两个规则:
单域林:
在包含单个 Active Directory 域的林中,没有虚拟。 因此,基础结构主机没有工作要做。 基础结构主机可以放置在域中的任何域控制器上,无论该域控制器是否托管全局编录。
多域林:
如果属于多域林的域中的每个域控制器也托管全局编录,则基础结构主机无需执行虚拟或工作。 基础结构主机可以放在该域中的任何域控制器上。 实际上,大多数管理员在林中的每个域控制器上托管全局编录。
如果位于多域林中的给定域中的每个域控制器都不托管全局目录,则必须将基础结构主机放置在不托管全局编录的域控制器上。
References
有关详细信息,请参阅 如何将 Windows Server 群集节点用作域控制器。
有关 Operations Master 角色的文章:
NTDS 复制事件 1586 在以下情况之一中发生:
- 已捕获特定域的 PDC FSMO 角色。
- 特定域的 PDC FSMO 角色已转移到不是以前角色持有者的直接复制伙伴的新域控制器。
反馈
https://aka.ms/ContentUserFeedback。
即将发布:在整个 2024 年,我们将逐步淘汰作为内容反馈机制的“GitHub 问题”,并将其取代为新的反馈系统。 有关详细信息,请参阅:提交和查看相关反馈