某些作業最好在單一域控制器上完成。 本文說明在這些作業的網域和樹系中放置 Active Directory 彈性單一主機作業 (FSMO) 角色。
原始 KB 編號: 223346
其他相關資訊
某些網域和全企業作業不適合多宿主更新。 在這些情況下,必須在網域或樹系中的單一域控制器上完成作業。 讓單一主要擁有者定義重要作業的已知目標,並防止多宿主更新所建立的可能衝突或延遲。 這表示相關 FSMO 角色擁有者必須是在線、可探索的,且可由必須執行 FSMO 相依作業的電腦在網路上使用。
當 Active Directory 安裝精靈 (Dcpromo.exe) 在新樹系中建立第一個網域時,精靈會新增五個 FSMO 角色。 具有一個網域的樹系有五個角色。 Active Directory 安裝精靈會在樹系中每個額外網域的第一個域控制器上新增三個全網域角色。 此外,每個應用程式分割區都有基礎結構主要角色。 其中包含在 Windows Server 2003 和更新版本的域控制器上建立的預設網域和全樹系 DNS 應用程式分割區。 下表顯示作業主機及其範圍。
| FSMO 角色 | 範圍 | 函式和可用性需求 |
|---|---|---|
| 架構主機 | Enterprise | - 用來介紹手動和程式設計架構更新。 它包含 Windows ADPREP /FORESTPREP、Microsoft Exchange 以及使用 Active Directory 網域服務 的其他應用程式所新增的更新(AD DS)。- 必須在執行架構更新時上線。 |
| 網域命名主機 | Enterprise | - 用來在樹系中新增和移除網域和應用程式分割區。 - 新增或移除樹系中的網域和應用程式分割區時,必須處於在線狀態。 |
| 主要域控制器 | 網域 | - 當計算機和複本域控制器上的用戶帳戶的密碼變更時,會收到密碼更新。 - 由複本域控制器查閱,此域控制器會服務驗證要求的密碼不相符。 - 組策略更新的預設目標域控制器。 - 針對執行可寫入作業的舊版應用程式,以及某些管理工具的目標域控制器。 - 必須是在線且每周 7 天每天 24 小時可存取。 |
| RID | 網域 | - 將作用中和待命 RID 集區配置給相同網域中的複本域控制器。 - 在下列情況下必須處於在線狀態:
|
| 基礎結構主機 | 網域 應用程式分割區 |
- 從全域編錄更新跨網域參考和幻影。 如需詳細資訊,請參閱 幻影、墓碑和基礎結構主機 - 針對每個應用程式分割區建立個別的基礎結構主機,包括 Windows Server 2003 和更新版本的域控制器所建立的預設樹系和全域應用程式分割區。 Windows Server 2008 R2 ADPREP /RODCPREP 命令是以樹系根域中預設 DNS 應用程式的基礎結構主要角色為目標。 此角色持有者的 DN 路徑為:
|
FSMO 可用性和放置
[Active Directory 安裝精靈] 會在域控制器上執行角色的初始放置。 對於只有少數域控制器的目錄,此位置通常是正確的。 在具有許多域控制器的目錄中,預設位置可能不適合您的網路。
請考慮您選取準則中的下列因素:
如果您將 FSMO 角色裝載在較少的電腦上,則更容易追蹤 FSMO 角色。
將角色放在計算機可以存取的域控制器上,這些角色需要存取指定的角色,特別是在未完全路由的網路上。 例如,若要取得目前或待命 RID 集區,或執行傳遞驗證,所有 DC 都需要對其各自網域中的 RID 和 PDC 角色持有者進行網路存取。
在下列情況下,您應該將角色轉移至新的域控制器:
- 角色必須移至不同的域控制器
- 目前的角色持有者已上線且可供使用
FSMO 角色只有在目前的角色持有者無法使用時,才應該被查獲。 如需詳細資訊,請參閱 管理 Operations Master 角色。
指派給離線或處於錯誤狀態的域控制器的 FSMO 角色,只有在完成角色相依作業時,才需要傳輸或取用。 如果角色持有者可以在需要角色之前運作,您可以延遲擷取角色。 如果角色可用性很重要,請視需要轉移或抓住角色。 每個網域中的 PDC 角色應該一律在在線。
為現有角色持有者選取直接的站內複寫夥伴,以作為待命角色持有者。 如果主要擁有者離線或失敗,請視需要將角色移轉到指定的待命 FSMO 域控制器。
FSMO 放置的一般建議
將架構主機放在樹系根域的 PDC 上。
將網域命名主機放在樹系根 PDC 上。
新增或移除網域應該是嚴格控制的作業。 將此角色放在樹系根 PDC 上。 如果網域命名主機無法使用,則使用網域命名主機的特定作業會失敗。 這些作業包括建立或移除網域和應用程式分割區。 在執行 Microsoft Windows 2000 的域控制器上,網域命名主機也必須裝載於全域編錄伺服器上。 在執行 Windows Server 2003 或更新版本的域控制器上,網域命名主機不一定是全域編錄伺服器。
將 PDC 放在可靠的中樞站臺中,將 PDC 放在相同 Active Directory 月臺和網域中包含複本域控制器的可靠中樞月臺。
在大型或忙碌的環境中,PDC 經常具有最高的 CPU 使用量,因為它會處理傳遞驗證和密碼更新。 如果高 CPU 使用量變成問題,請識別來源。 來源包含可能執行太多作業的應用程式或計算機(可轉移性地)以 PDC 為目標。 減少 CPU 的技術包括:
- 新增更多或更快的CPU
- 新增更多複本
- 新增更多記憶體以快取 Active Directory 物件
- 拿掉全域編錄以避免全域編錄查閱
- 減少傳入和傳出復寫夥伴的數目
- 增加複寫排程
- 使用 LDAPSRVWEIGHT 和 LDAPPRIORITY,以及使用 Randomize1CList 功能來減少驗證可見度。
特定網域中的所有域控制器,以及執行以 PDC 為目標之應用程式和管理工具的計算機,都必須具有網域 PDC 的網路連線能力。
將 RID 主機放在相同網域的網域 PDC 上。
RID 主要額外負荷很輕,特別是在已建立大量使用者、計算機和群組的成熟網域中。 網域 PDC 通常會從系統管理員那裡得到最多的注意。 在 PDC 上共置此角色有助於確保可靠的可用性。 請確定現有的域控制器和新升級的域控制器具有網路連線能力,以從 RID 主機取得作用中和待命 RID 集區,特別是遠端或預備站台中升級的域控制器。
舊版指引建議將基礎結構主機放在非全域編錄伺服器上。 有兩個規則需要考慮:
單一網域樹系:
在包含單一 Active Directory 網域的樹系中,沒有幻影。 因此,基礎結構主機沒有工作要做。 不論該域控制器是否裝載全域編錄,基礎結構主機都可以放在網域中的任何域控制器上。
多域樹系:
如果屬於多網域樹系一部分的網域中的每個域控制器也裝載全域編錄,則基礎結構主機不會有任何幻象或運作。 基礎結構主機可以放在該網域中的任何域控制器上。 實際上,大部分的系統管理員都會在樹系中的每個域控制器上裝載全域編錄。
如果位於多網域樹系中指定網域中的每個域控制器都未裝載全域編錄,則基礎結構主機必須放在未裝載全域編錄的域控制器上。
參考資料
如需詳細資訊,請參閱 如何使用 Windows Server 叢集節點作為域控制器。
Operations Master 角色的相關文章:
NTDS 複寫事件 1586 發生於下列其中一種情況:
- 已查獲特定網域的 PDC FSMO 角色。
- 特定網域的 PDC FSMO 角色已轉移到不是先前角色持有者之直接復寫夥伴的新域控制器。