Размещение и оптимизация ролей FSMO на контроллерах домена Active Directory

Определенные операции лучше всего выполнять на одном контроллере домена. В этой статье описывается размещение ролей гибкой операции Single-Master Active Directory (FSMO) в домене и лесу для этих операций.

Применяется к: Windows Server 2012 R2
Исходный номер базы знаний: 223346

Дополнительная информация

Некоторые операции на уровне домена и предприятия не подходят для обновлений с несколькими master. В таких ситуациях операции должны выполняться на одном контроллере домена в домене или лесу. Наличие владельца с одним master определяет хорошо известный целевой объект для критических операций и предотвращает возможные конфликты или задержки, создаваемые обновлениями с несколькими master. Это означает, что соответствующий владелец роли FSMO должен быть подключен, обнаруживаем и доступен в сети компьютерами, которые должны выполнять операции, зависящие от FSMO.

Когда мастер установки Active Directory (Dcpromo.exe) создает первый домен в новом лесу, мастер добавляет пять ролей FSMO. Лес с одним доменом имеет пять ролей. Мастер установки Active Directory добавляет три роли на уровне домена на первом контроллере домена в каждом дополнительном домене в лесу. Кроме того, для каждой секции приложения существуют роли master инфраструктуры. Он включает домен по умолчанию и разделы приложений DNS на уровне леса, созданные на контроллерах домена Windows Server 2003 и более поздних версий. В следующей таблице показаны образцы операций и их область.

Роль FSMO	Scope	Требования к функциям и доступности
Хозяин схемы	Корпоративная	— используется для введения обновлений схемы вручную и программ. Он включает обновления, которые добавляются WindowsADPREP /FORESTPREP, Microsoft Exchange и другими приложениями, которые используют доменные службы Active Directory (AD DS). — при обновлении схемы должен находиться в сети.
Мастер именования доменов	Корпоративная	— используется для добавления и удаления доменов и секций приложений в лес и из него. — при добавлении или удалении доменов и разделов приложений в лесу должно быть подключено.
Основной контроллер домена	Домен	— получает обновления паролей при изменении паролей для компьютера и учетных записей пользователей, которые находятся на контроллерах домена реплика. — обратитесь к контроллерам домена реплика, которые запрашивают проверку подлинности службы с несовпадающими паролями. — целевой контроллер домена по умолчанию для обновлений групповая политика. — целевой контроллер домена для устаревших приложений, которые выполняют операции, доступные для записи, и для некоторых средств администрирования. - Должен быть подключен к интернету и доступен 24 часа в сутки, семь дней в неделю.
ИЗБАВИТЬ	Домен	— выделяет активные и резервные пулы RID реплика контроллерам домена в одном домене. — в следующих ситуациях должно быть подключено: когда недавно повышены контроллеры домена должны получить локальный пул RID, необходимый для объявления когда существующие контроллеры домена должны обновить текущее или резервное выделение пула RID.
Хозяин инфраструктуры	Домен Раздел приложения	— Обновления междоменные ссылки и фантомы из глобального каталога. Дополнительные сведения см. в разделе Фантомы, надгробия и инфраструктура master — Для каждого раздела приложения создается отдельная master инфраструктуры, включая секции приложений на уровне леса и домена по умолчанию, созданные контроллерами домена Windows Server 2003 и более поздних версий. Команда Windows Server 2008 R2 ADPREP /RODCPREP предназначена для инфраструктуры master роли для приложения DNS по умолчанию в корневом домене леса. Путь DN для этого владельца роли: CN=Infrastructure,DC=DomainDnsZones,DC=<корневой домен> леса,DC=<домен верхнего уровня> CN=Infrastructure,DC=ForestDnsZones,DC=<корневой домен> леса,DC=<домен верхнего уровня>

Доступность и размещение FSMO

Мастер установки Active Directory выполняет начальное размещение ролей на контроллерах домена. Такое размещение часто является правильным для каталогов с несколькими контроллерами домена. В каталоге с большим количеством контроллеров домена размещение по умолчанию может быть не лучшим вариантом для вашей сети.

Учитывайте следующие факторы в критериях выбора:

• Отслеживать роли FSMO проще, если вы размещаете их на меньшем количестве компьютеров.

• Разместите роли на контроллерах домена, к которым могут обращаться компьютеры, которым требуется доступ к определенной роли, особенно в сетях, которые не полностью перенаправлены. Например, чтобы получить текущий или резервный пул RID или выполнить сквозную проверку подлинности, всем контроллерам домена требуется сетевой доступ к владельцам ролей RID и PDC в соответствующих доменах.

• Необходимо передать (не захватывать) роль новому контроллеру домена при следующих условиях:

  • роль должна быть перемещена в другой контроллер домена.
  • текущий владелец роли находится в сети и доступен

  Роли FSMO следует захватывать, только если текущий владелец роли недоступен. Дополнительные сведения см. в разделе Управление ролями хозяина операций.

• Роли FSMO, назначенные контроллерам домена, которые находятся в автономном режиме или находятся в состоянии ошибки, необходимо передавать или захватывать только в том случае, если выполняются операции, зависящие от ролей. Если владелец роли может быть введен в эксплуатацию до того, как роль потребуется, вы можете отложить захват роли. Если доступность ролей является критически важной, перенесите или захватите роль по мере необходимости. Роль PDC в каждом домене всегда должна быть подключена.

• Выберите прямого внутрисайтового партнера по репликации, чтобы существующие владельцы ролей действовали в качестве резервных владельцев ролей. Если основной владелец переходит в автономный режим или завершается сбоем, при необходимости перенесите роль в назначенный резервный контроллер домена FSMO.

Общие рекомендации по размещению FSMO

• Поместите master схемы в PDC корневого домена леса.

• Поместите master именования домена в корневом PDC леса.

  Добавление или удаление доменов должно быть строго контролируемой операцией. Поместите эту роль в корневом PDC леса. Некоторые операции, использующие master именования доменов, завершаются ошибкой, если master именования домена недоступны. Эти операции включают создание или удаление доменов и секций приложений. На контроллере домена под управлением Microsoft Windows 2000 master именования доменов также должны размещаться на сервере глобального каталога. На контроллерах домена под управлением Windows Server 2003 или более поздних версий имя домена master не обязательно должно быть сервером глобального каталога.

• Разместите PDC на лучшем оборудовании на надежном сайте концентратора, который содержит контроллеры домена реплика на том же сайте и домене Active Directory.

  В больших или загруженных средах PDC часто имеет самую высокую загрузку ЦП, так как он обрабатывает сквозную проверку подлинности и обновления паролей. Если проблема с высокой загрузкой ЦП становится проблемой, определите источник. Источник включает приложения или компьютеры, которые могут выполнять слишком много операций (транзитивно) для PDC. Ниже представлены методы сокращения ЦП.

  • Добавление большего или более быстрого ЦП
  • Добавление дополнительных реплик
  • Добавление дополнительного объема памяти для кэша объектов Active Directory
  • Удаление глобального каталога, чтобы избежать подстановок глобального каталога
  • Сокращение числа партнеров входящей и исходящей репликации
  • Увеличение расписания репликации
  • Уменьшение видимости проверки подлинности с помощью LDAPSRVWEIGHT и LDAPPRIORITY, а также с помощью функции Randomize1CList.

  Все контроллеры домена в определенном домене и компьютеры, на которых выполняются приложения и средства администрирования, предназначенные для PDC, должны иметь сетевое подключение к PDC домена.

• Разместите master RID в PDC домена в том же домене.

  Rid master накладные расходы легкие, особенно в зрелых доменах, которые уже создали большую часть своих пользователей, компьютеров и групп. PDC домена обычно получает наибольшее внимание со стороны администраторов. Совместное размещение этой роли в PDC помогает обеспечить надежную доступность. Убедитесь, что существующие контроллеры домена и недавно улучшенные контроллеры домена имеют сетевое подключение, чтобы получить активные и резервные пулы RID из master RID, особенно контроллеры домена, продвигаемые на удаленных или промежуточных сайтах.

• Устаревшее руководство предполагает размещение master инфраструктуры на сервере не глобального каталога. Существует два правила, которые следует учитывать:

  • Лес с одним доменом:

    В лесу, который содержит один домен Active Directory, нет фантомов. Таким образом, инфраструктура master не имеет работы. Инфраструктура master может быть размещена на любом контроллере домена в домене, независимо от того, размещается ли этот контроллер домена в глобальном каталоге.

  • Многодоменовый лес:

    Если каждый контроллер домена в домене, который является частью леса с несколькими доменами, также размещает глобальный каталог, для инфраструктуры master не будет никаких фантомов или работы. Инфраструктуру master можно разместить на любом контроллере домена в этом домене. Практически большинство администраторов размещают глобальный каталог на каждом контроллере домена в лесу.

  • Если на каждом контроллере домена в заданном домене, расположенном в лесу с несколькими доменами, глобальный каталог не размещается, master инфраструктуры необходимо разместить на контроллере домена, в котором не размещается глобальный каталог.

Ссылки

Дополнительные сведения см. в статье Использование узлов кластера Windows Server в качестве контроллеров домена.

Статьи о ролях хозяина операций:

• Фантомы, надгробия и инфраструктура master
• Ошибка при выполнении Adprep /rodcprep команды в Windows Server 2008

Событие репликации NTDS 1586 происходит в одной из следующих ситуаций:

• была захвачена роль PDC FSMO для определенного домена.
• Роль PDC FSMO для определенного домена была передана новому контроллеру домена, который не был прямым партнером репликации предыдущего владельца роли.