Placement et optimisation FSMO sur les contrôleurs de domaine Active Directory

Certaines opérations sont préférables sur un seul contrôleur de domaine. Cet article décrit le placement des rôles DSMO (Flexible Single-Master Operation) Active Directory dans le domaine et la forêt pour ces opérations.

S’applique à : Windows Server 2012 R2
Numéro de base de connaissances d’origine : 223346

Plus d’informations

Certaines opérations à l’échelle du domaine et de l’entreprise ne sont pas bien adaptées aux mises à jour multimaîtres. Dans ces situations, les opérations doivent être effectuées sur un seul contrôleur de domaine dans le domaine ou dans la forêt. Le fait d’avoir un propriétaire monomaître définit une cible connue pour les opérations critiques et empêche les conflits ou latences possibles créés par les mises à jour multimaîtres. Cela signifie que le propriétaire du rôle FSMO approprié doit être en ligne, détectable et disponible sur le réseau par les ordinateurs qui doivent effectuer des opérations dépendantes de FSMO.

Lorsque l’Assistant Installation d’Active Directory (Dcpromo.exe) crée le premier domaine dans une nouvelle forêt, l’Assistant ajoute cinq rôles FSMO. Une forêt avec un domaine a cinq rôles. L’Assistant Installation d’Active Directory ajoute trois rôles à l’échelle du domaine sur le premier contrôleur de domaine dans chaque domaine supplémentaire de la forêt. En outre, des rôles de maître d’infrastructure existent pour chaque partition d’application. Il inclut le domaine par défaut et les partitions d’application DNS à l’échelle de la forêt qui sont créées sur les contrôleurs de domaine Windows Server 2003 et versions ultérieures. Les masques d’opérations et leur étendue sont affichés dans le tableau suivant.

Rôle FSMO	Portée	Exigences en matière de fonction et de disponibilité
Maître de schéma	Entreprise	- Utilisé pour introduire des mises à jour de schéma manuelles et programmatiques. Il inclut les mises à jour ajoutées par WindowsADPREP /FORESTPREP, Par Microsoft Exchange et par d’autres applications qui utilisent services de domaine Active Directory (AD DS). - Doit être en ligne lorsque des mises à jour de schéma sont effectuées.
Maître d’affectation de noms de domaine	Entreprise	- Permet d’ajouter et de supprimer des domaines et des partitions d’application vers et depuis la forêt. - Doit être en ligne lorsque des domaines et des partitions d’application dans une forêt sont ajoutés ou supprimés.
Contrôleur de domaine principal	Domain	- Reçoit les mises à jour de mot de passe lorsque les mots de passe sont modifiés pour l’ordinateur et pour les comptes d’utilisateur qui se trouvent sur des contrôleurs de domaine de réplication. - Consulté par les contrôleurs de domaine de réplica qui service les demandes d’authentification qui ont des mots de passe incompatibles. - Contrôleur de domaine cible par défaut pour les mises à jour stratégie de groupe. - Contrôleur de domaine cible pour les applications héritées qui effectuent des opérations accessibles en écriture et pour certains outils d’administration. - Doit être en ligne et accessible 24 heures sur 24, sept jours sur sept.
Débarrasser	Domain	- Alloue des pools RID actifs et de secours aux contrôleurs de domaine de réplication dans le même domaine. - Doit être en ligne dans les situations suivantes : lorsque les contrôleurs de domaine nouvellement promus doivent obtenir un pool RID local requis pour la publication lorsque les contrôleurs de domaine existants doivent mettre à jour leur allocation de pool RID actuelle ou de secours.
Maître d’infrastructure	Domain Partition d’application	- Mises à jour des références inter-domaines et des fantômes du catalogue global. Pour plus d’informations, voir Phantoms, tombstones, and the infrastructure master - Un maître d’infrastructure distinct est créé pour chaque partition d’application, y compris les partitions d’application par défaut à l’échelle de la forêt et à l’échelle du domaine créées par les contrôleurs de domaine Windows Server 2003 et versions ultérieures. La commande Windows Server 2008 R2 ADPREP /RODCPREP cible le rôle maître d’infrastructure pour l’application DNS par défaut dans le domaine racine de forêt. Le chemin d’accès DN pour ce titulaire de rôle est le suivant : CN=Infrastructure,DC=DomainDnsZones,DC=<forest root domain,DC>=<top level domain> CN=Infrastructure,DC=ForestDnsZones,DC=<forest root domain,DC>=<top level domain>

Disponibilité et placement FSMO

L’Assistant Installation d’Active Directory effectue le placement initial des rôles sur les contrôleurs de domaine. Ce positionnement est souvent correct pour les répertoires qui n’ont que quelques contrôleurs de domaine. Dans un répertoire qui comporte de nombreux contrôleurs de domaine, le placement par défaut peut ne pas être la meilleure correspondance pour votre réseau.

Tenez compte des facteurs suivants dans vos critères de sélection :

• Il est plus facile de suivre les rôles FSMO si vous les hébergez sur moins d’ordinateurs.

• Placez des rôles sur des contrôleurs de domaine accessibles par les ordinateurs, qui ont besoin d’accéder à un rôle donné, en particulier sur les réseaux qui ne sont pas entièrement routées. Par exemple, pour obtenir un pool RID actuel ou de secours, ou effectuer une authentification directe, toutes les contrôleurs de domaine ont besoin d’un accès réseau aux titulaires de rôle RID et PDC dans leurs domaines respectifs.

• Vous devez transférer (ne pas saisir) le rôle vers le nouveau contrôleur de domaine dans les conditions suivantes :

  • un rôle doit être déplacé vers un autre contrôleur de domaine
  • le titulaire actuel du rôle est en ligne et disponible

  Les rôles FSMO ne doivent être saisis que si le titulaire de rôle actuel n’est pas disponible. Pour plus d’informations, consultez Gestion des rôles maîtres d’opérations.

• Les rôles FSMO attribués aux contrôleurs de domaine hors connexion ou dans un état d’erreur doivent uniquement être transférés ou saisis si des opérations dépendantes du rôle sont effectuées. Si le titulaire du rôle peut être rendu opérationnel avant que le rôle soit nécessaire, vous pouvez retarder la saisie du rôle. Si la disponibilité du rôle est critique, transférez ou saisissez le rôle en fonction des besoins. Le rôle PDC dans chaque domaine doit toujours être en ligne.

• Sélectionnez un partenaire de réplication intrasite direct pour que les titulaires de rôles existants jouent le rôle de titulaire de rôle de secours. Si le propriétaire principal est mis hors connexion ou échoue, transférez ou saisissez le rôle au contrôleur de domaine FSMO de secours désigné en fonction des besoins.

Recommandations générales pour le placement FSMO

• Placez le maître de schéma sur le contrôleur de domaine principal du domaine racine de forêt.

• Placez le maître d’affectation de noms de domaine sur le contrôleur de domaine racine de forêt.

  L’ajout ou la suppression de domaines doit être une opération étroitement contrôlée. Placez ce rôle sur le PDC racine de forêt. Certaines opérations qui utilisent le maître d’affectation de noms de domaine échouent si le maître d’affectation de noms de domaine n’est pas disponible. Ces opérations incluent la création ou la suppression de domaines et de partitions d’application. Sur un contrôleur de domaine qui exécute Microsoft Windows 2000, le maître d’affectation de noms de domaine doit également être hébergé sur un serveur de catalogue global. Sur les contrôleurs de domaine qui exécutent Windows Server 2003 ou versions ultérieures, le maître d’affectation de noms de domaine ne doit pas nécessairement être un serveur de catalogue global.

• Placez le contrôleur de domaine principal sur votre meilleur matériel dans un site hub fiable qui contient des contrôleurs de domaine de réplica dans le même site et le même domaine Active Directory.

  Dans les environnements volumineux ou occupés, le contrôleur de domaine principal a souvent l’utilisation du processeur la plus élevée, car il gère les mises à jour d’authentification directe et de mot de passe. Si une utilisation élevée du processeur devient un problème, identifiez la source. La source inclut des applications ou des ordinateurs qui peuvent effectuer trop d’opérations (transitivement) ciblant le contrôleur de domaine principal. Les techniques permettant de réduire le processeur sont les suivantes :

  • Ajout de processeurs plus ou plus rapides
  • Ajout de réplicas supplémentaires
  • Ajout de mémoire supplémentaire pour mettre en cache des objets Active Directory
  • Suppression du catalogue global pour éviter les recherches de catalogue global
  • Réduction du nombre de partenaires de réplication entrants et sortants
  • Augmentation de la planification de réplication
  • Réduction de la visibilité de l’authentification à l’aide de LDAPSRVWEIGHT et LDAPPRIORITY, et à l’aide de la fonctionnalité Randomize1CList.

  Tous les contrôleurs de domaine d’un domaine particulier, ainsi que les ordinateurs qui exécutent des applications et des outils d’administration qui ciblent le contrôleur de domaine principal, doivent disposer d’une connectivité réseau au contrôleur de domaine principal du domaine.

• Placez le maître RID sur le contrôleur de domaine principal du domaine dans le même domaine.

  La surcharge du maître RID est légère, en particulier dans les domaines matures qui ont déjà créé la majeure partie de leurs utilisateurs, ordinateurs et groupes. Le contrôleur de domaine principal du domaine reçoit généralement le plus d’attention de la part des administrateurs. La colocalisation de ce rôle sur le PDC permet de garantir une disponibilité fiable. Assurez-vous que les contrôleurs de domaine existants et les contrôleurs de domaine nouvellement promus disposent d’une connectivité réseau pour obtenir des pools RID actifs et de secours auprès du maître RID, en particulier les contrôleurs de domaine promus dans les sites distants ou intermédiaires.

• Les conseils hérités suggèrent de placer le maître d’infrastructure sur un serveur de catalogue non global. Il existe deux règles à prendre en compte :

  • Forêt à domaine unique :

    Dans une forêt qui contient un seul domaine Active Directory, il n’y a aucun fantôme. Par conséquent, le maître d’infrastructure n’a pas de travail à faire. Le maître d’infrastructure peut être placé sur n’importe quel contrôleur de domaine dans le domaine, que ce contrôleur de domaine héberge le catalogue global ou non.

  • Forêt multimain :

    Si chaque contrôleur de domaine d’un domaine faisant partie d’une forêt à plusieurs domaines héberge également le catalogue global, il n’y a aucun fantôme ou travail à effectuer pour le maître d’infrastructure. Le maître d’infrastructure peut être placé sur n’importe quel contrôleur de domaine dans ce domaine. Pratiquement, la plupart des administrateurs hébergent le catalogue global sur chaque contrôleur de domaine de la forêt.

  • Si chaque contrôleur de domaine d’un domaine donné situé dans une forêt à plusieurs domaines n’héberge pas le catalogue global, le maître d’infrastructure doit être placé sur un contrôleur de domaine qui n’héberge pas le catalogue global.

References

Pour plus d’informations, consultez Comment utiliser des nœuds de cluster Windows Server en tant que contrôleurs de domaine.

Articles sur les rôles Operations Master :

• Fantômes, pierres tombales, et le maître de l’infrastructure
• Erreur lors de l’exécution de la Adprep /rodcprep commande dans Windows Server 2008

L’événement de réplication NTDS 1586 se produit dans l’une des situations suivantes :

• le rôle PDC FSMO pour un domaine particulier a été saisi.
• Le rôle FSMO PDC pour un domaine particulier a été transféré à un nouveau contrôleur de domaine qui n’était pas un partenaire de réplication directe du titulaire de rôle précédent.