Posicionamento e otimização de FSMO em controladores de domínio no Active Directory

  • Artigo

Determinadas operações são mais bem feitas em um único controlador de domínio. Este artigo descreve o posicionamento das funções de FSMO (Single-Master Flexível) do Active Directory no domínio e na floresta para essas operações.

Aplica-se a: Windows Server 2012 R2
Número KB original: 223346

Mais informações

Determinadas operações de domínio e de toda a empresa não são adequadas para atualizações de vários mestres. Nessas situações, as operações devem ser feitas em um único controlador de domínio no domínio ou na floresta. Ter um único proprietário mestre define um destino conhecido para operações críticas e impede possíveis conflitos ou latência criados por atualizações de vários mestres. Isso significa que o proprietário da função FSMO relevante deve estar online, detectável e disponível na rede por computadores que devem executar operações dependentes de FSMO.

Quando o Assistente de Instalação do Active Directory (Dcpromo.exe) cria o primeiro domínio em uma nova floresta, o assistente adiciona cinco funções FSMO. Uma floresta com um domínio tem cinco funções. O Assistente de Instalação do Active Directory adiciona três funções em todo o domínio no primeiro controlador de domínio em cada domínio adicional na floresta. Além disso, existem funções mestras de infraestrutura para cada partição de aplicativo. Ele inclui o domínio padrão e as partições de aplicativo DNS em toda a floresta que são criadas no Windows Server 2003 e controladores de domínio posteriores. Os mestres de operações e seu escopo são mostrados na tabela a seguir.

Função FSMO Escopo Requisitos de função e disponibilidade
Mestre de Esquema Enterprise – Usado para introduzir atualizações de esquema manual e programática. Ele inclui as atualizações adicionadas pelo WindowsADPREP /FORESTPREP, pelo Microsoft Exchange e por outros aplicativos que usam Active Directory Domain Services (AD DS).
- Deve estar online quando as atualizações de esquema são executadas.
Mestre de Nomenclatura de Domínio Enterprise – Usado para adicionar e remover domínios e partições de aplicativo de e para a floresta.
- Deve estar online quando domínios e partições de aplicativos em uma floresta são adicionados ou removidos.
Controlador de Domínio Primário Domínio - Recebe atualizações de senha quando as senhas são alteradas para o computador e para contas de usuário que estão em controladores de domínio de réplica.
– Consultado por controladores de domínio de réplica que a autenticação de serviço solicita que têm senhas incompatíveis.
– Controlador de domínio de destino padrão para Política de Grupo atualizações.
- Controlador de domínio de destino para aplicativos herdados que executam operações graváveis e para algumas ferramentas de administração.
- Deve estar online e acessível 24 horas por dia, sete dias por semana.
Livrar Domínio - Aloca pools RID ativos e em espera para controladores de domínio de réplica no mesmo domínio.
- Deve estar online nas seguintes situações:
  • quando controladores de domínio recém-promovidos devem obter um pool RID local que é necessário para anunciar
  • quando os controladores de domínio existentes devem atualizar sua alocação atual ou em espera do pool RID.
Mestre de Infraestrutura Domínio

Partição de aplicativo		 - Atualizações referências entre domínios e fantasmas do catálogo global. Para obter mais informações, consulte Fantasmas, marcas de exclusão e o mestre de infraestrutura
- Um mestre de infraestrutura separado é criado para cada partição de aplicativo, incluindo as partições de aplicativo padrão em toda a floresta e em todo o domínio criadas pelo Windows Server 2003 e controladores de domínio posteriores.

O comando do Windows Server 2008 R2 ADPREP /RODCPREP tem como destino a função mestra de infraestrutura para o aplicativo DNS padrão no domínio raiz da floresta. O caminho DN para esse titular da função é:
  • CN=Infrastructure,DC=DomainDnsZones,DC=<forest root domain,DC>=<top level domain>
  • CN=Infrastructure,DC=ForestDnsZones,DC=<forest root domain,DC>=<top level domain>

Disponibilidade e posicionamento do FSMO

O Assistente de Instalação do Active Directory faz o posicionamento inicial de funções em controladores de domínio. Esse posicionamento é frequentemente correto para diretórios que têm apenas alguns controladores de domínio. Em um diretório que tem muitos controladores de domínio, o posicionamento padrão pode não ser a melhor correspondência para sua rede.

Considere os seguintes fatores em seus critérios de seleção:

  • É mais fácil controlar as funções FSMO se você hospedá-las em menos computadores.

  • Coloque funções em controladores de domínio que podem ser acessadas pelos computadores, que precisam de acesso a uma determinada função, especialmente em redes que não são totalmente roteadas. Por exemplo, para obter um pool RID atual ou em espera ou executar a autenticação de passagem, todos os controladores de domínio precisam de acesso à rede para os titulares de função RID e PDC em seus respectivos domínios.

  • Você deve transferir (não capturar) a função para o novo controlador de domínio sob as seguintes condições:

    • uma função deve ser movida para um controlador de domínio diferente
    • o titular da função atual está online e disponível

    As funções FSMO só deverão ser apreendidas se o titular da função atual não estiver disponível. Para obter mais informações, consulte Gerenciando funções mestras de operações.

  • As funções FSMO atribuídas aos controladores de domínio que estão offline ou em um estado de erro só terão que ser transferidas ou apreendidas se operações dependentes de função estiverem sendo feitas. Se o titular da função puder ser operacional antes que a função seja necessária, você poderá atrasar o dimensionamento da função. Se a disponibilidade da função for crítica, transfira ou aproveite a função conforme necessário. A função PDC em cada domínio sempre deve estar online.

  • Selecione um parceiro de replicação intrasite direto para que os titulares de função existentes atuem como um titular da função em espera. Se o proprietário primário ficar offline ou falhar, transfira ou aproveite a função para o controlador de domínio FSMO em espera designado, conforme necessário.

Recomendações gerais para posicionamento do FSMO

  • Coloque o mestre de esquema no PDC do domínio raiz da floresta.

  • Coloque o mestre de nomenclatura de domínio no PDC raiz da floresta.

    A adição ou remoção de domínios deve ser uma operação fortemente controlada. Coloque essa função no PDC raiz da floresta. Determinadas operações que usam o mestre de nomenclatura de domínio falharão se o mestre de nomenclatura de domínio não estiver disponível. Essas operações incluem a criação ou remoção de domínios e partições de aplicativo. Em um controlador de domínio que executa o Microsoft Windows 2000, o mestre de nomenclatura de domínio também deve ser hospedado em um servidor de catálogo global. Em controladores de domínio que executam o Windows Server 2003 ou versões posteriores, o mestre de nomenclatura de domínio não precisa ser um servidor de catálogo global.

  • Coloque o PDC em seu melhor hardware em um site de hub confiável que contenha controladores de domínio de réplica no mesmo site e domínio do Active Directory.

    Em ambientes grandes ou ocupados, o PDC frequentemente tem o maior uso de CPU, pois lida com atualizações de senha e autenticação de passagem. Se o alto uso da CPU se tornar um problema, identifique a origem. A origem inclui aplicativos ou computadores que podem estar executando muitas operações (transitivamente) direcionadas ao PDC. As técnicas para reduzir a CPU incluem:

    • Adicionando CPUs mais ou mais rápidas
    • Adicionando mais réplicas
    • Adicionando mais memória para armazenar objetos do Active Directory em cache
    • Removendo o catálogo global para evitar pesquisas de catálogo global
    • Reduzindo o número de parceiros de replicação de entrada e saída
    • Aumentando o agendamento de replicação
    • Reduzir a visibilidade de autenticação usando LDAPSRVWEIGHT e LDAPPRIORITY e usando o recurso Randomize1CList.

    Todos os controladores de domínio em um domínio específico e computadores que executam aplicativos e ferramentas de administração destinados ao PDC devem ter conectividade de rede com o PDC de domínio.

  • Coloque o mestre RID no PDC de domínio no mesmo domínio.

    A sobrecarga mestra rid é leve, especialmente em domínios maduros que já criaram a maior parte de seus usuários, computadores e grupos. O PDC de domínio normalmente recebe mais atenção dos administradores. A colocalização dessa função no PDC ajuda a garantir a disponibilidade confiável. Verifique se os controladores de domínio existentes e os controladores de domínio recém-promovidos têm conectividade de rede para obter pools RID ativos e em espera do mestre RID, especialmente os controladores de domínio promovidos em sites remotos ou de preparo.

  • As diretrizes herdados sugerem colocar o mestre de infraestrutura em um servidor de catálogo não global. Há duas regras a serem consideradas:

    • Floresta de domínio único:

      Em uma floresta que contém um único domínio do Active Directory, não há fantasmas. Portanto, o mestre de infraestrutura não tem trabalho a fazer. O mestre de infraestrutura pode ser colocado em qualquer controlador de domínio no domínio, independentemente de esse controlador de domínio hospedar o catálogo global ou não.

    • Floresta Multiomain:

      Se todos os controladores de domínio em um domínio que faz parte de uma floresta de vários domínios também hospedarem o catálogo global, não haverá fantasmas ou trabalho para o mestre de infraestrutura fazer. O mestre de infraestrutura pode ser colocado em qualquer controlador de domínio nesse domínio. Praticamente, a maioria dos administradores hospeda o catálogo global em todos os controladores de domínio na floresta.

    • Se todos os controladores de domínio em um determinado domínio localizado em uma floresta de vários domínios não hospedarem o catálogo global, o mestre de infraestrutura deverá ser colocado em um controlador de domínio que não hospede o catálogo global.

Referências

Para obter mais informações, consulte Como usar nós de cluster do Windows Server como controladores de domínio.

Artigos sobre funções do Operations Master:

O evento de Replicação NTDS 1586 ocorre em uma das seguintes situações:

  • a função FSMO do PDC para um domínio específico foi apreendida.
  • a função FSMO do PDC para um determinado domínio foi transferida para um novo controlador de domínio que não era um parceiro de replicação direta do titular da função anterior.