Размещение и оптимизация ролей FSMO на контроллерах домена Active Directory

Определенные операции лучше всего выполнять на одном контроллере домена. В этой статье описывается размещение ролей гибкой операции Single-Master Active Directory (FSMO) в домене и лесу для этих операций.

Исходный номер базы знаний: 223346

Дополнительная информация

Некоторые операции на уровне домена и предприятия не подходят для обновлений с несколькими узлами. В таких ситуациях операции должны выполняться на одном контроллере домена в домене или лесу. Наличие владельца с одним хозяином определяет хорошо известный целевой объект для критически важных операций и предотвращает возможные конфликты или задержки, создаваемые обновлениями с несколькими главными узлами. Это означает, что соответствующий владелец роли FSMO должен быть подключен, обнаруживаем и доступен в сети компьютерами, которые должны выполнять операции, зависящие от FSMO.

Когда мастер установки Active Directory (Dcpromo.exe) создает первый домен в новом лесу, мастер добавляет пять ролей FSMO. Лес с одним доменом имеет пять ролей. Мастер установки Active Directory добавляет три роли на уровне домена на первом контроллере домена в каждом дополнительном домене в лесу. Кроме того, для каждого раздела приложения существуют роли хозяина инфраструктуры. Он включает домен по умолчанию и разделы приложений DNS на уровне леса, созданные на контроллерах домена Windows Server 2003 и более поздних версий. В следующей таблице приведены образцы операций и их область.

Роль FSMO	Scope	Требования к функциям и доступности
Хозяин схемы	Корпоративная	— используется для введения обновлений схемы вручную и программ. Сюда входят обновления, которые добавляются Windows ADPREP /FORESTPREP, Microsoft Exchange и другими приложениями, используюющими доменные службы Active Directory (AD DS). — при обновлении схемы должен находиться в сети.
Мастер именования доменов	Корпоративная	— используется для добавления и удаления доменов и секций приложений в лес и из него. — при добавлении или удалении доменов и разделов приложений в лесу должно быть подключено.
Основной контроллер домена	Домен	— Получает обновления паролей при изменении паролей для компьютера и учетных записей пользователей, которые находятся на контроллерах домена реплики. — обращается к контроллерам домена реплик, которые запрашивают проверку подлинности службы с несовпадающими паролями. — целевой контроллер домена по умолчанию для обновлений групповой политики. — целевой контроллер домена для устаревших приложений, которые выполняют операции, доступные для записи, и для некоторых средств администрирования. - Должен быть подключен к интернету и доступен 24 часа в сутки, семь дней в неделю.
ИЗБАВИТЬ	Домен	— выделяет активные и резервные пулы RID для реплик контроллеров домена в одном домене. — в следующих ситуациях должно быть подключено: когда недавно повышены контроллеры домена должны получить локальный пул RID, необходимый для объявления когда существующие контроллеры домена должны обновить текущее или резервное выделение пула RID.
Хозяин инфраструктуры	Домен Раздел приложения	— обновляет междоменные ссылки и фантомы из глобального каталога. Дополнительные сведения см. в разделе Фантомы, надгробия и хозяин инфраструктуры. — Для каждого раздела приложения создается отдельный мастер инфраструктуры, включая разделы приложений на уровне леса и домена по умолчанию, созданные контроллерами домена Windows Server 2003 и более поздних версий. Команда Windows Server 2008 R2 ADPREP /RODCPREP предназначена для роли хозяина инфраструктуры для приложения DNS по умолчанию в корневом домене леса. Путь DN для этого владельца роли: CN=Infrastructure,DC=DomainDnsZones,DC=<корневой домен> леса,DC=<домен верхнего уровня> CN=Infrastructure,DC=ForestDnsZones,DC=<корневой домен> леса,DC=<домен верхнего уровня>

Доступность и размещение FSMO

Мастер установки Active Directory выполняет начальное размещение ролей на контроллерах домена. Такое размещение часто является правильным для каталогов с несколькими контроллерами домена. В каталоге с большим количеством контроллеров домена размещение по умолчанию может быть не лучшим вариантом для вашей сети.

Учитывайте следующие факторы в критериях выбора:

• Отслеживать роли FSMO проще, если вы размещаете их на меньшем количестве компьютеров.

• Разместите роли на контроллерах домена, к которым могут обращаться компьютеры, которым требуется доступ к определенной роли, особенно в сетях, которые не полностью перенаправлены. Например, чтобы получить текущий или резервный пул RID или выполнить сквозную проверку подлинности, всем контроллерам домена требуется сетевой доступ к владельцам ролей RID и PDC в соответствующих доменах.

• Необходимо передать (не захватывать) роль новому контроллеру домена при следующих условиях:

  • роль должна быть перемещена в другой контроллер домена.
  • текущий владелец роли находится в сети и доступен

  Роли FSMO следует захватывать, только если текущий владелец роли недоступен. Дополнительные сведения см. в разделе Управление ролями хозяина операций.

• Роли FSMO, назначенные контроллерам домена, которые находятся в автономном режиме или находятся в состоянии ошибки, необходимо передавать или захватывать только в том случае, если выполняются операции, зависящие от ролей. Если владелец роли может быть введен в эксплуатацию до того, как роль потребуется, вы можете отложить захват роли. Если доступность ролей является критически важной, перенесите или захватите роль по мере необходимости. Роль PDC в каждом домене всегда должна быть подключена.

• Выберите прямого внутрисайтового партнера по репликации, чтобы существующие владельцы ролей действовали в качестве резервных владельцев ролей. Если основной владелец переходит в автономный режим или завершается сбоем, при необходимости перенесите роль в назначенный резервный контроллер домена FSMO.

Общие рекомендации по размещению FSMO

• Поместите хозяин схемы в PDC корневого домена леса.

• Поместите хозяин именования доменов в корневой PDC леса.

  Добавление или удаление доменов должно быть строго контролируемой операцией. Поместите эту роль в корневом PDC леса. Если мастер именования доменов недоступен, некоторые операции, использующие мастер именования доменов, завершаются ошибкой. Эти операции включают создание или удаление доменов и секций приложений. На контроллере домена, работающем под управлением Microsoft Windows 2000, хозяин именования доменов также должен размещаться на сервере глобального каталога. На контроллерах домена под управлением Windows Server 2003 или более поздних версий главный сервер именования доменов не обязательно должен быть сервером глобального каталога.

• Разместите PDC на лучшем оборудовании на надежном сайте концентратора, который содержит контроллеры домена реплики на том же сайте и домене Active Directory.

  В больших или загруженных средах PDC часто имеет самую высокую загрузку ЦП, так как он обрабатывает сквозную проверку подлинности и обновления паролей. Если проблема с высокой загрузкой ЦП становится проблемой, определите источник. Источник включает приложения или компьютеры, которые могут выполнять слишком много операций (транзитивно) для PDC. Ниже представлены методы сокращения ЦП.

  • Добавление большего или более быстрого ЦП
  • Добавление дополнительных реплик
  • Добавление дополнительного объема памяти для кэша объектов Active Directory
  • Удаление глобального каталога, чтобы избежать подстановок глобального каталога
  • Сокращение числа партнеров входящей и исходящей репликации
  • Увеличение расписания репликации
  • Уменьшение видимости проверки подлинности с помощью LDAPSRVWEIGHT и LDAPPRIORITY, а также с помощью функции Randomize1CList.

  Все контроллеры домена в определенном домене и компьютеры, на которых выполняются приложения и средства администрирования, предназначенные для PDC, должны иметь сетевое подключение к PDC домена.

• Поместите хозяин RID в PDC домена домена в том же домене.

  Накладные расходы на главную часть RID являются легкими, особенно в зрелых доменах, которые уже создали большую часть пользователей, компьютеров и групп. PDC домена обычно получает наибольшее внимание со стороны администраторов. Совместное размещение этой роли в PDC помогает обеспечить надежную доступность. Убедитесь, что существующие контроллеры домена и недавно повышенные контроллеры домена имеют сетевое подключение, чтобы получить активные и резервные пулы RID от главного контроллера RID, особенно контроллеры домена, продвигаемые на удаленных или промежуточных сайтах.

• Устаревшие рекомендации по размещению хозяина инфраструктуры на сервере не глобального каталога. Существует два правила, которые следует учитывать:

  • Лес с одним доменом:

    В лесу, который содержит один домен Active Directory, нет фантомов. Таким образом, хозяин инфраструктуры не должен выполнять никаких действий. Хозяин инфраструктуры может быть размещен на любом контроллере домена в домене, независимо от того, размещает ли этот контроллер домена глобальный каталог.

  • Многодоменовый лес:

    Если на каждом контроллере домена в домене, который является частью многодоменного леса, также размещается глобальный каталог, фантомы или работа для хозяина инфраструктуры не выполняются. Хозяин инфраструктуры может быть помещен на любой контроллер домена в этом домене. Практически большинство администраторов размещают глобальный каталог на каждом контроллере домена в лесу.

  • Если на каждом контроллере домена в заданном домене, расположенном в лесу с несколькими доменами, не размещается глобальный каталог, хозяин инфраструктуры должен быть размещен на контроллере домена, на котором не размещается глобальный каталог.

Ссылки

Дополнительные сведения см. в статье Использование узлов кластера Windows Server в качестве контроллеров домена.

Статьи о ролях хозяина операций:

• Фантомы, надгробия и хозяин инфраструктуры
• Ошибка при выполнении Adprep /rodcprep команды в Windows Server 2008

Событие репликации NTDS 1586 происходит в одной из следующих ситуаций:

• была захвачена роль PDC FSMO для определенного домена.
• Роль PDC FSMO для определенного домена была передана новому контроллеру домена, который не был прямым партнером репликации предыдущего владельца роли.