FSMO-placering och optimering på Active Directory-domänkontrollanter

Vissa åtgärder utförs bäst på en enda domänkontrollant. I den här artikeln beskrivs placeringen av FSMO-roller (Flexible Single Master Operation) i domänen och skogen för dessa åtgärder.

Ursprungligt KB-nummer: 223346

Mer information

Vissa domän- och företagsomfattande åtgärder lämpar sig inte för uppdateringar med flera original. I dessa situationer måste åtgärderna utföras på en enda domänkontrollant i domänen eller i skogen. Att ha en enskild huvudägare definierar ett välkänt mål för kritiska åtgärder och förhindrar eventuella konflikter eller svarstider som skapas av uppdateringar med flera original. Det innebär att den relevanta FSMO-rollägaren måste vara online, identifierad och tillgänglig i nätverket av datorer som måste utföra FSMO-beroende åtgärder.

När installationsguiden för Active Directory (Dcpromo.exe) skapar den första domänen i en ny skog lägger guiden till fem FSMO-roller. En skog med en domän har fem roller. Installationsguiden för Active Directory lägger till tre domänomfattande roller på den första domänkontrollanten i varje ytterligare domän i skogen. Dessutom finns infrastrukturhuvudroller för varje programpartition. Den innehåller standarddomänen och de skogsomfattande DNS-programpartitionerna som skapas på Windows Server 2003 och senare domänkontrollanter. Operations masters och deras omfång visas i följande tabell.

FSMO-roll	Omfattning	Funktions- och tillgänglighetskrav
Schemahuvud	Stora företag	– Används för att introducera manuella och programmatiska schemauppdateringar. Den innehåller de uppdateringar som läggs till av Windows ADPREP /FORESTPREP, av Microsoft Exchange och av andra program som använder Active Directory-domän Services (AD DS). – Måste vara online när schemauppdateringar utförs.
Huvudnamn för domännamngivning	Stora företag	– Används för att lägga till och ta bort domäner och programpartitioner till och från skogen. – Måste vara online när domäner och programpartitioner i en skog läggs till eller tas bort.
Primär domänkontrollant	Domän	– Tar emot lösenordsuppdateringar när lösenord ändras för datorn och för användarkonton som finns på replikdomänkontrollanter. – Konsulteras av replikdomänkontrollanter som begär tjänstautentisering som har felmatchade lösenord. – Standardmåldomänkontrollant för grupprincip uppdateringar. – Måldomänkontrollant för äldre program som utför skrivbara åtgärder och för vissa administratörsverktyg. - Måste vara online och tillgänglig 24 timmar om dygnet, sju dagar i veckan.
RID	Domän	– Allokerar aktiva och vänteläges-RID-pooler till replikdomänkontrollanter i samma domän. – Måste vara online i följande situationer: när nyligen upphöjda domänkontrollanter måste skaffa en lokal RID-pool som krävs för att annonsera när befintliga domänkontrollanter måste uppdatera sin aktuella eller vänteläge rid pool allokering.
Infrastrukturhanterare	Domän Programpartition	– Uppdaterar referenser och fantomer mellan domäner från den globala katalogen. Mer information finns i Phantoms, tombstones och infrastrukturhanteraren – En separat infrastrukturhanterare skapas för varje programpartition, inklusive standardpartitioner för hela skogen och domänomfattande program som skapats av Windows Server 2003 och senare domänkontrollanter. Windows Server 2008 R2-kommandot ADPREP /RODCPREP är avsett för infrastrukturhuvudrollen för standard-DNS-programmet i skogens rotdomän. DN-sökvägen för den här rollinnehavaren är: CN=Infrastructure,DC=DomainDnsZones,DC=<forest root domain,DC>=<top level domain> CN=Infrastructure,DC=ForestDnsZones,DC=<forest root domain,DC>=<top level domain>

FSMO-tillgänglighet och placering

Installationsguiden för Active Directory gör den inledande placeringen av roller på domänkontrollanter. Den här placeringen är ofta korrekt för kataloger som bara har några domänkontrollanter. I en katalog som har många domänkontrollanter är standardplaceringen kanske inte den bästa matchningen för nätverket.

Tänk på följande faktorer i urvalskriterierna:

• Det är enklare att hålla reda på FSMO-roller om du är värd för dem på färre datorer.

• Placera roller på domänkontrollanter som kan nås av datorerna, som behöver åtkomst till en viss roll, särskilt i nätverk som inte är helt dirigerade. För att till exempel hämta en aktuell rid-pool eller en rid-pool i vänteläge eller utföra direktautentisering behöver alla domänkontrollanter nätverksåtkomst till RID- och PDC-rollinnehavarna i sina respektive domäner.

• Du bör överföra (inte ta över) rollen till den nya domänkontrollanten under följande villkor:

  • en roll måste flyttas till en annan domänkontrollant
  • nuvarande rollinnehavaren är online och tillgänglig

  FSMO-roller bör endast beslagtas om den aktuella rollinnehavaren inte är tillgänglig. Mer information finns i Hantera huvudroller för åtgärder.

• FSMO-roller som tilldelats till domänkontrollanter som är offline eller i ett feltillstånd behöver bara överföras eller beslagtas om rollberoende åtgärder utförs. Om rollinnehavaren kan tas i drift innan rollen behövs kan du fördröja griper rollen. Om rolltillgängligheten är kritisk överför eller griper du rollen efter behov. PDC-rollen i varje domän bör alltid vara online.

• Välj en direkt replikeringspartner inom en plats för befintliga rollinnehavare för att fungera som reservrollinnehavare. Om den primära ägaren går offline eller misslyckas överför eller griper du rollen till den avsedda vänteläges-FSMO-domänkontrollanten efter behov.

Allmänna rekommendationer för FSMO-placering

• Placera schemahanteraren på PDC för skogsrotdomänen.

• Placera domännamngivningshanteraren på skogens rot-PDC.

  Tillägg eller borttagning av domäner bör vara en strikt kontrollerad åtgärd. Placera den här rollen i skogens rot-PDC. Vissa åtgärder som använder huvudservern för domännamngivning misslyckas om domännamngivningshanteraren inte är tillgänglig. Dessa åtgärder omfattar att skapa eller ta bort domäner och programpartitioner. På en domänkontrollant som kör Microsoft Windows 2000 måste domännamngivningshanteraren också finnas på en global katalogserver. På domänkontrollanter som kör Windows Server 2003 eller senare versioner behöver domännamngivningshanteraren inte vara en global katalogserver.

• Placera PDC på din bästa maskinvara på en tillförlitlig hubbplats som innehåller replikdomänkontrollanter på samma Active Directory-plats och domän.

  I stora eller upptagna miljöer har PDC ofta den högsta CPU-användningen, eftersom den hanterar direktautentisering och lösenordsuppdateringar. Om hög CPU-användning blir ett problem identifierar du källan. Källan innehåller program eller datorer som kan utföra för många åtgärder (transitivt) för PDC. Metoder för att minska processoranvändningen är:

  • Lägga till fler eller snabbare processorer
  • Lägga till fler repliker
  • Lägga till mer minne för att cachelagma Active Directory-objekt
  • Ta bort den globala katalogen för att undvika globala katalogsökningar
  • Minska antalet inkommande och utgående replikeringspartner
  • Öka replikeringsschemat
  • Minska synligheten för autentisering med hjälp av LDAPSRVWEIGHT och LDAPPRIORITY och med funktionen Randomize1CList.

  Alla domänkontrollanter i en viss domän och datorer som kör program och administratörsverktyg som riktar sig mot PDC måste ha nätverksanslutning till domänen PDC.

• Placera RID-huvudservern på domänens PDC i samma domän.

  RID-huvudomkostnaderna är lätta, särskilt i mogna domäner som redan har skapat huvuddelen av sina användare, datorer och grupper. Domän-PDC får vanligtvis mest uppmärksamhet från administratörer. Genom att samplacera den här rollen på PDC kan du säkerställa tillförlitlig tillgänglighet. Kontrollera att befintliga domänkontrollanter och nyligen upphöjda domänkontrollanter har nätverksanslutning för att hämta aktiva rid-pooler och rid-väntelägespooler från RID-huvudservern, särskilt de domänkontrollanter som befordras på fjärr- eller mellanlagringsplatser.

• Äldre vägledning föreslår att infrastrukturhanteraren placeras på en icke-global katalogserver. Det finns två regler att tänka på:

  • Enskild domänskog:

    I en skog som innehåller en enda Active Directory-domän finns det inga fantomer. Infrastrukturhanteraren har alltså inget att göra. Infrastrukturhanteraren kan placeras på alla domänkontrollanter i domänen, oavsett om domänkontrollanten är värd för den globala katalogen eller inte.

  • Flerdomänskog:

    Om varje domänkontrollant i en domän som ingår i en skog med flera domäner också är värd för den globala katalogen, finns det inga fantomer eller arbete för infrastrukturhanteraren att göra. Infrastrukturhanteraren kan placeras på alla domänkontrollanter i domänen. Praktiskt taget är de flesta administratörer värd för den globala katalogen på alla domänkontrollanter i skogen.

  • Om varje domänkontrollant i en viss domän som finns i en skog med flera domäner inte är värd för den globala katalogen måste infrastrukturhanteraren placeras på en domänkontrollant som inte är värd för den globala katalogen.

Referenser

Mer information finns i Använda Windows Server-klusternoder som domänkontrollanter.

Artiklar om Operations Master-roller:

• Fantomer, gravstenar och infrastrukturhanteraren
• Fel när du kör Adprep /rodcprep kommandot i Windows Server 2008

NTDS Replication-händelsen 1586 inträffar i någon av följande situationer:

• PDC FSMO-rollen för en viss domän har tagits i beslag.
• PDC FSMO-rollen för en viss domän har överförts till en ny domänkontrollant som inte var en direkt replikeringspartner till den tidigare rollinnehavaren.