Размещение и оптимизация ролей FSMO на контроллерах домена Active Directory

  • Статья

Некоторые операции лучше всего выполнять на одном контроллере домена. В этой статье описывается размещение ролей active Directory Flexible Single-Master Operation (FSMO) в домене и лесу для этих операций.

Применяется к: Windows Server 2012 R2
Исходный номер базы знаний: 223346

Дополнительные сведения

Некоторые операции в домене и на уровне предприятия не подходят для обновлений с несколькими основными узлами. В таких ситуациях операции должны выполняться на одном контроллере домена в домене или лесу. Наличие владельца с одним главным сервером определяет хорошо известный целевой объект для критических операций и предотвращает возможные конфликты или задержки, создаваемые обновлениями с несколькими главными узлами. Это означает, что соответствующий владелец роли FSMO должен быть подключен к сети, доступен и доступен в сети компьютерами, которые должны выполнять операции, зависящие от FSMO.

Когда мастер установки Active Directory (Dcpromo.exe) создает первый домен в новом лесу, мастер добавляет пять ролей FSMO. Лес с одним доменом имеет пять ролей. Мастер установки Active Directory добавляет три роли на уровне домена на первом контроллере домена в каждом дополнительном домене в лесу. Кроме того, для каждого раздела приложения существуют главные роли инфраструктуры. Он включает домен по умолчанию и разделы приложения DNS на уровне леса, созданные на контроллерах домена Windows Server 2003 и более поздних версий. Образцы операций и их область показаны в следующей таблице.

Роль FSMO Область Требования к функции и доступности
Образец схемы Предприятие — Используется для создания обновлений схемы вручную и программных компонентов. Он включает обновления, добавленные WindowsADPREP /FORESTPREP, Microsoft Exchange и другими приложениями, которые используют доменные службы Active Directory (AD DS).
— при обновлении схемы должен быть подключен к сети.
Мастер именования доменов Предприятие — Используется для добавления и удаления доменов и разделов приложений в лесу и из леса.
— Должен находиться в сети при добавлении или удалении доменов и разделов приложений в лесу.
Основной контроллер домена Домен — Получает обновления паролей при изменении паролей для компьютера и учетных записей пользователей, которые находятся на контроллерах домена реплики.
— Запрашивается контроллерами домена реплики, которые запрашивают проверку подлинности с несоответствуют паролям.
— Целевой контроллер домена по умолчанию для групповая политика обновлений.
— Целевой контроллер домена для устаревших приложений, которые выполняют записываемые операции, а также для некоторых средств администрирования.
— Должен быть подключен и доступен 24 часа в день, семь дней в неделю.
Избавить Домен — Выделяет активные и резервные пулы RID для репликации контроллеров домена в том же домене.
— Должен находиться в сети в следующих ситуациях:
  • , когда только что повышенные контроллеры домена должны получить локальный пул RID, необходимый для объявления
  • , когда существующие контроллеры домена должны обновлять текущее или резервное выделение пула RID.
Образец инфраструктуры Домен

Раздел приложения		 — Обновления междоменной ссылки и фантомы из глобального каталога. Дополнительные сведения см. в разделе "Фантомы", "Отметки удаления" и "Образец инфраструктуры".
— Для каждой секции приложения создается отдельный главный узел инфраструктуры, включая разделы приложений на уровне леса и домена по умолчанию, созданные контроллерами домена Windows Server 2003 и более поздних версий.

Команда Windows Server 2008 R2 ADPREP /RODCPREP предназначена для главной роли инфраструктуры для DNS-приложения по умолчанию в корневом домене леса. Путь к DN для этого владельца роли:
  • CN=Infrastructure,DC=DomainDnsZones,DC=<forest root domain,DC>=<top level domain>
  • CN=Infrastructure,DC=ForestDnsZones,DC=<forest root domain,DC>=<top level domain>

Доступность и размещение FSMO

Мастер установки Active Directory выполняет начальное размещение ролей на контроллерах домена. Такое размещение часто верно для каталогов, в которых всего несколько контроллеров домена. В каталоге с множеством контроллеров домена размещение по умолчанию может быть не лучшим совпадением для вашей сети.

Учитывайте следующие факторы в критериях выбора:

  • Если вы размещаете их на меньшем количество компьютеров, проще отслеживать роли FSMO.

  • Размещайте роли на контроллерах домена, к которым могут получить доступ компьютеры, которым требуется доступ к данной роли, особенно в сетях, которые не полностью перенаправляются. Например, чтобы получить текущий или резервный пул RID или выполнить сквозную проверку подлинности, всем контроллерам домена требуется сетевой доступ к владельцам ролей RID и PDC в соответствующих доменах.

  • Роль следует передавать новому контроллеру домена при следующих условиях:

    • Роль должна быть перемещена на другой контроллер домена
    • Текущий владелец роли находится в сети и доступен

    Роли FSMO следует использовать только в том случае, если текущий владелец роли недоступен. Дополнительные сведения см. в разделе "Управление ролями главных ролей операций".

  • Роли FSMO, назначенные контроллерам домена, которые находятся в автономном режиме или находятся в состоянии ошибки, должны быть переданы или отключены, только если выполняются операции, зависящие от ролей. Если владелец роли может быть выполнен до того, как роль потребуется, вы можете задержать ее. Если доступность роли является критической, передайте или при необходимости переведите роль. Роль PDC в каждом домене всегда должна находиться в сети.

  • Выберите партнера прямой репликации внутри сайта, чтобы существующие владельцы ролей выступают в качестве резервных владельцев ролей. Если основной владелец переходит в автономный режим или завершается сбоем, при необходимости передайте или переназначьте роль назначенному резервному контроллеру домена FSMO.

Общие рекомендации по размещению FSMO

  • Поместите образец схемы в PDC корневого домена леса.

  • Поместите образец именования домена в корневой PDC леса.

    Добавление или удаление доменов должно быть строго контролируемой операцией. Поместите эту роль в корневой PDC леса. Некоторые операции, использующие главный узел именования домена, завершались сбоем, если мастер именования доменов недоступен. Эти операции включают создание или удаление доменов и разделов приложений. На контроллере домена под управлением Microsoft Windows 2000 главный узел именования домена также должен быть размещен на сервере глобального каталога. На контроллерах домена под управлением Windows Server 2003 или более поздних версий мастер именования доменов не обязательно должен быть сервером глобального каталога.

  • Поместите PDC на лучшее оборудование на надежный центральный сайт, содержащий контроллеры домена реплики, на одном сайте и в одном домене Active Directory.

    В больших или загруженных средах PDC часто имеет наибольшее использование ЦП, так как он обрабатывает сквозную проверку подлинности и обновления паролей. Если высокая загрузка ЦП становится проблемой, определите источник. Источник включает приложения или компьютеры, которые могут выполнять слишком много операций (транзитивно), предназначенных для PDC. Методы снижения загрузки ЦП включают в себя:

    • Добавление большего или более быстрого ЦП
    • Добавление дополнительных реплик
    • Добавление дополнительного объема памяти в кэш объектов Active Directory
    • Удаление глобального каталога во избежание поиска глобального каталога
    • Уменьшение числа партнеров входящих и исходящих репликацией
    • Увеличение расписания репликации
    • Уменьшение видимости проверки подлинности с помощью LDAPSRVWEIGHT и LDAPPRIORITY, а также с помощью функции Randomize1CList.

    Все контроллеры домена в определенном домене и компьютеры, на которых выполняются приложения и средства администрирования, предназначенные для PDC, должны иметь сетевое подключение к домену PDC.

  • Поместите образец RID в PDC домена в том же домене.

    Накладные расходы мастера RID очень светлые, особенно в опытных доменах, которые уже создали большую часть пользователей, компьютеров и групп. PDC домена обычно получает наибольшее внимание от администраторов. Совместное размещение этой роли в PDC помогает обеспечить надежную доступность. Убедитесь, что существующие контроллеры домена и недавно повышенные контроллеры домена имеют сетевое подключение для получения активных и резервных пулов RID от главного узла RID, особенно контроллеров домена, повышенных на удаленных или промежуточных сайтах.

  • Устаревшее руководство предполагает размещение главного сервера инфраструктуры на сервере не глобального каталога. Необходимо учитывать два правила:

    • Лес с одним доменом:

      В лесу, содержащего один домен Active Directory, нет фантомов. Таким образом, главный сервер инфраструктуры не имеет действий. Главный узел инфраструктуры может быть размещен на любом контроллере домена в домене независимо от того, размещен ли этот контроллер глобального каталога.

    • Многодоменный лес:

      Если на каждом контроллере домена в домене, входящего в состав леса с несколькими доменами, также размещается глобальный каталог, то для главного сервера инфраструктуры не будет никаких фантомов. Главный узел инфраструктуры можно разместить на любом контроллере домена в этом домене. На практике большинство администраторов размещают глобальный каталог на каждом контроллере домена в лесу.

    • Если на каждом контроллере домена в указанном домене, расположенном в лесу с несколькими доменами, не размещен глобальный каталог, главный контроллер инфраструктуры должен быть размещен на контроллере домена, где не размещен глобальный каталог.

Ссылки

Дополнительные сведения см. в статье "Использование узлов кластера Windows Server в качестве контроллеров домена".

Статьи о ролях Operations Master:

Событие репликации NTDS 1586 возникает в одной из следующих ситуаций:

  • Роль FSMO PDC для определенного домена была несообрадомна.
  • Роль FSMO PDC для определенного домена была передана новому контроллеру домена, который не был партнером прямой репликации предыдущего владельца роли.