在 Active Directory 網域控制站上安置與最佳化 FSMO

  • 發行項

特定作業最好在單一域控制器上完成。 本文說明如何在這些作業的網域和樹系中放置 Active Directory 彈性 Single-Master 作業 (FSMO) 角色。

適用:Windows Server 2012 R2
原始 KB 編號: 223346

其他相關資訊

某些網域和整個企業的作業不適合多宿主更新。 在這些情況下,必須在網域或樹系中的單一域控制器上執行作業。 擁有單一主機擁有者可定義重要作業的已知目標,並防止多宿主更新所建立的可能衝突或延遲。 這表示相關的 FSMO 角色擁有者必須是在線的、可探索的,而且必須由必須執行 FSMO 相依作業的電腦在網路上提供。

當 Active Directory 安裝精靈 (Dcpromo.exe) 在新樹系中建立第一個網域時,精靈會新增五個 FSMO 角色。 具有一個網域的樹系有五個角色。 Active Directory 安裝精靈會在樹系中每個額外網域的第一個域控制器上新增三個全網域角色。 此外,每個應用程式分割區都有基礎結構主要角色。 它包含在 Windows Server 2003 和更新版本域控制器上建立的預設網域和整個樹系的 DNS 應用程式分割區。 下表顯示作業主圖形及其範圍。

FSMO 角色 範圍 函式和可用性需求
架構主機 大型企業 - 用來引進手動和程式設計架構更新。 其中包含 WindowsADPREP /FORESTPREP、Microsoft Exchange 以及使用 Active Directory 網域服務 (AD DS) 的其他應用程式所新增的更新。
- 執行架構更新時必須上線。
網域命名主機 大型企業 - 用來新增 和 ,以移除樹系中的網域和應用程式分割區。
- 新增或移除樹系中的網域和應用程式分割區時,必須上線。
主域控制器 網域 - 當計算機和複本域控制器上的用戶帳戶的密碼變更時,接收密碼更新。
- 由複本域控制器查閱,指出服務驗證要求的密碼不相符。
- 群組原則 更新的預設目標域控制器。
- 針對執行可寫入作業的舊版應用程式和某些系統管理工具的目標域控制器。
- 必須每天 24 小時、每周 7 天上線且可存取。
擺脫 網域 - 將作用中和待命 RID 集區配置給相同網域中的複本域控制器。
- 在下列情況下必須上線:
  • 當新升級的域控制器必須取得公告所需的本機 RID 集區時
  • 當現有的域控制器必須更新其目前或待命 RID 集區配置時。
基礎結構主機 網域

應用程式分割區		 - 匯報 全域編錄中的跨定義域參考和虛設。 如需詳細資訊, 請參閱虛設、標記和基礎結構主機
- 系統會為每個應用程式分割區建立個別的基礎結構主機,包括 Windows Server 2003 和更新版本域控制器所建立的預設全樹系和全網域應用程式分割區。

Windows Server 2008 R2 ADPREP /RODCPREP 命令會以樹系根域中預設 DNS 應用程式的基礎結構主要角色為目標。 此角色持有者 DN 路徑為:
  • CN=Infrastructure,DC=DomainDnsZones,DC=<forest root domain,DC>=<top level domain>
  • CN=Infrastructure,DC=ForestDnsZones,DC=<forest root domain,DC>=<top level domain>

FSMO 可用性和放置

[Active Directory 安裝精靈] 會在域控制器上執行角色的初始放置。 此位置通常適用於只有少數域控制器的目錄。 在具有許多域控制器的目錄中,預設位置可能不符合您的網路。

請考慮選取準則中的下列因素:

  • 如果您在較少的計算機上裝載 FSMO 角色,則更容易追蹤這些角色。

  • 將角色放在計算機可以存取的域控制器上,這些計算機需要存取指定的角色,特別是在未完全路由傳送的網路上。 例如,若要取得目前或待命 RID 集區,或執行傳遞驗證,所有 DC 都需要其各自網域中 RID 和 PDC 角色持有者的網路存取權。

  • 在下列情況下,您應該將 (不取得角色) 傳輸到新的域控制器:

    • 角色必須移至不同的域控制器
    • 目前的角色持有者已上線且可供使用

    只有在目前的角色持有者無法使用時,FSMO 角色才應該受到注意。 如需詳細資訊,請 參閱管理 Operations 主要角色

  • 指派給離線或處於錯誤狀態之域控制器的 FSMO 角色,只有在執行角色相依作業時才需要轉移或提升。 如果角色持有者可以在需要角色之前運作,您可能會延遲擔任該角色。 如果角色可用性很重要,請視需要轉移或抓取角色。 每個網域中的 PDC 角色應一律在在線。

  • 為現有角色持有者選取直接的異地複寫夥伴,以作為待命角色持有者。 如果主要擁有者離線或失敗,請視需要將角色傳輸或抓取至指定的待命 FSMO 域控制器。

FSMO 放置的一般建議

  • 將架構主機放在樹系根域的 PDC 上。

  • 將網域命名主機放在樹系根 PDC 上。

    新增或移除網域應該是嚴密控制的作業。 將此角色放在樹系根 PDC 上。 如果網域命名主機無法使用,則使用網域命名主機的某些作業會失敗。 這些作業包括建立或移除網域和應用程式分割區。 在執行 Microsoft Windows 2000 的域控制器上,網域命名主機也必須裝載於全域編錄伺服器上。 在執行 Windows Server 2003 或更新版本的域控制器上,網域命名主機不需要是全域編錄伺服器。

  • 將 PDC 放在您最佳硬體的可靠中樞網站中,其中包含相同 Active Directory 月臺和網域中的複本域控制器。

    在大型或忙碌環境中,PDC 經常會有最高的 CPU 使用量,因為它會處理傳遞驗證和密碼更新。 如果高 CPU 使用量成為問題,請識別來源。 來源包括可能執行太多作業 (可轉移) 以 PDC 為目標的應用程式或計算機。 減少 CPU 的技術包括:

    • 新增更多或更快的CPU
    • 新增更多複本
    • 新增更多記憶體以快取 Active Directory 物件
    • 拿掉全域編錄以避免全域編錄查閱
    • 減少傳入和傳出復寫夥伴的數目
    • 增加複寫排程
    • 使用 LDAPSRVWEIGHT 和 LDAPPRIORITY,以及使用 Randomize1CList 功能來降低驗證可見性。

    特定網域中的所有域控制器,以及執行以 PDC 為目標之應用程式和系統管理工具的計算機,都必須具有網域 PDC 的網路連線能力。

  • 將 RID 主機放在相同網域中的網域 PDC 上。

    RID 主要額外負荷很輕,特別是在已建立大量使用者、計算機和群組的成熟網域中。 網域 PDC 通常最受系統管理員注意。 在 PDC 上共置此角色有助於確保可靠的可用性。 請確定現有的域控制器和新升級的域控制器具有網路連線能力,可從 RID 主機取得作用中和待命 RID 集區,特別是遠端或預備站台中升級的域控制器。

  • 舊版指引建議將基礎結構主機放在非全域目錄伺服器上。 有兩個規則需要考慮:

    • 單一網域樹系:

      在包含單一 Active Directory 網域的樹系中,沒有任何虛設專案。 因此,基礎結構主機沒有工作可執行。 無論該域控制器是否裝載全域編錄,基礎結構主機都可能會放在網域中的任何域控制器上。

    • 多域樹系:

      如果屬於多網域樹系一部分之網域中的每個域控制器也裝載全域編錄,則基礎結構主機不會有任何虛設或工作。 基礎結構主機可能會放在該網域中的任何域控制器上。 實際上,大部分的系統管理員都會在樹系中的每個域控制器上裝載全域編錄。

    • 如果位於多網域樹系中指定網域中的每個域控制器都未裝載全域編錄,則基礎結構主機必須放在未裝載全域編錄的域控制器上。

參考資料

如需詳細資訊,請 參閱如何使用 Windows Server 叢集節點作為域控制器

Operations Master 角色的相關文章:

NTDS 複寫事件 1586 會在下列其中一種情況下發生:

  • 特定網域的 PDC FSMO 角色已派上用場。
  • 特定網域的 PDC FSMO 角色已轉移至不是前一個角色持有者的直接復寫夥伴的新域控制器。