FSMO-Platzierung und -Optimierung auf Active Directory-Domänencontrollern

Bestimmte Vorgänge werden am besten auf einem einzelnen Domänencontroller ausgeführt. In diesem Artikel wird die Platzierung von Active Directory Flexible Single-Master Operation (FSMO)-Rollen in der Domäne und Gesamtstruktur für diese Vorgänge beschrieben.

Ursprüngliche KB-Nummer: 223346

Weitere Informationen

Bestimmte domänen- und unternehmensweite Vorgänge eignen sich nicht gut für Multimasterupdates. In diesen Situationen müssen die Vorgänge auf einem einzelnen Domänencontroller in der Domäne oder in der Gesamtstruktur ausgeführt werden. Ein Einzelner Master-Besitzer definiert ein bekanntes Ziel für kritische Vorgänge und verhindert mögliche Konflikte oder Latenzen, die durch Multimasterupdates erstellt wurden. Dies bedeutet, dass der relevante FSMO-Rollenbesitzer online, auffindbar und auf dem Netzwerk von Computern verfügbar sein muss, die FSMO-abhängige Vorgänge ausführen müssen.

Wenn der Active Directory-Installations-Assistent (Dcpromo.exe) die erste Domäne in einer neuen Gesamtstruktur erstellt, fügt der Assistent fünf FSMO-Rollen hinzu. Eine Gesamtstruktur mit einer Domäne verfügt über fünf Rollen. Der Active Directory-Installations-Assistent fügt drei domänenweite Rollen auf dem ersten Domänencontroller in jeder zusätzlichen Domäne in der Gesamtstruktur hinzu. Darüber hinaus sind Infrastrukturmasterrollen für jede Anwendungspartition vorhanden. Sie enthält die Standarddomäne und die gesamtstrukturweiten DNS-Anwendungspartitionen, die auf Windows Server 2003 und höheren Domänencontrollern erstellt werden. Die Operationsmaster und deren Bereich werden in der folgenden Tabelle angezeigt.

FSMO-Rolle	`Scope`	Funktions- und Verfügbarkeitsanforderungen
Schemamaster	Enterprise	– Wird verwendet, um manuelle und programmgesteuerte Schemaaktualisierungen einzuführen. Sie enthält die Updates, die von WindowsADPREP /FORESTPREP, von Microsoft Exchange und von anderen Anwendungen hinzugefügt werden, die Active Directory-Domäne Services (AD DS) verwenden. – Muss online sein, wenn Schemaupdates ausgeführt werden.
Domänenbenennungsmaster	Enterprise	- Wird verwendet, um Domänen und Anwendungspartitionen zu und aus der Gesamtstruktur hinzuzufügen und daraus zu entfernen. – Muss online sein, wenn Domänen und Anwendungspartitionen in einer Gesamtstruktur hinzugefügt oder entfernt werden.
Primärer Domänencontroller	Domäne	– Empfängt Kennwortaktualisierungen, wenn Kennwörter für den Computer und für Benutzerkonten geändert werden, die sich auf Replikatdomänencontrollern befinden. – Konsultiert von Replikatdomänencontrollern, die Authentifizierungsanforderungen mit nicht übereinstimmenden Kennwörtern haben. – Standardmäßiger Zieldomänencontroller für Gruppenrichtlinienupdates. – Zieldomänencontroller für Ältere Anwendungen, die schreibbare Vorgänge und für einige Administratortools ausführen. - Muss online sein und 24 Stunden am Tag, sieben Tage pro Woche zugänglich sein.
RID	Domäne	– Weist aktive und Standby-RID-Pools repliziert Domänencontrollern in derselben Domäne zu. - Muss in den folgenden Situationen online sein: wenn neu höhergestufte Domänencontroller einen lokalen RID-Pool abrufen müssen, der zum Bewerben erforderlich ist wenn vorhandene Domänencontroller ihre aktuelle oder Standby-RID-Poolzuweisung aktualisieren müssen.
Infrastrukturmaster	Domäne Anwendungspartition	– Aktualisiert domänenübergreifende Verweise und Phantome aus dem globalen Katalog. Weitere Informationen finden Sie unter Phantoms, Tombstones und dem Infrastrukturmaster – Für jede Anwendungspartition wird ein separater Infrastrukturmaster erstellt, einschließlich der standardmäßigen gesamtstrukturweiten und domänenweiten Anwendungspartitionen, die von Windows Server 2003 und höher Domänencontrollern erstellt wurden. Der Windows Server 2008 R2-Befehl ADPREP /RODCPREP zielt auf die Infrastrukturmasterrolle für die Standardmäßige DNS-Anwendung in der Stammdomäne der Gesamtstruktur ab. Der DN-Pfad für diesen Rolleninhaber lautet: CN=Infrastruktur,DC=DomainDnsZones,DC=<Gesamtstrukturstammdomäne,DC>=<Domäne der obersten Ebene> CN=Infrastruktur,DC=ForestDnsZones,DC=<Gesamtstrukturstammdomäne,DC>=<Domäne der obersten Ebene>

FSMO-Verfügbarkeit und -Platzierung

Der Active Directory-Installations-Assistent führt die anfängliche Platzierung von Rollen auf Domänencontrollern durch. Diese Platzierung ist für Verzeichnisse mit nur wenigen Domänencontrollern häufig richtig. In einem Verzeichnis mit vielen Domänencontrollern ist die Standardplatzierung möglicherweise nicht die beste Übereinstimmung für Ihr Netzwerk.

Berücksichtigen Sie die folgenden Faktoren in Ihren Auswahlkriterien:

• Es ist einfacher, FSMO-Rollen nachzuverfolgen, wenn Sie sie auf weniger Computern hosten.

• Platzieren Sie Rollen auf Domänencontrollern, auf die von den Computern zugegriffen werden kann, die Zugriff auf eine bestimmte Rolle benötigen, insbesondere in Netzwerken, die nicht vollständig weitergeleitet werden. Um beispielsweise einen aktuellen ODER Standby-RID-Pool zu erhalten oder pass-through-Authentifizierung durchzuführen, benötigen alle DCs Netzwerkzugriff auf die ROLLENinhaber RID und PDC in ihren jeweiligen Domänen.

• Sie sollten die Rolle unter den folgenden Bedingungen an den neuen Domänencontroller übertragen (nicht übernehmen):

  • eine Rolle muss auf einen anderen Domänencontroller verschoben werden.
  • der aktuelle Rolleninhaber online und verfügbar ist

  FSMO-Rollen sollten nur genutzt werden, wenn der aktuelle Rolleninhaber nicht verfügbar ist. Weitere Informationen finden Sie unter Verwalten von Betriebsmasterrollen.

• FSMO-Rollen, die Domänencontrollern zugewiesen sind, die offline oder in einem Fehlerzustand sind, müssen nur übertragen oder genutzt werden, wenn rollenabhängige Vorgänge ausgeführt werden. Wenn der Rolleninhaber betriebsbereit sein kann, bevor die Rolle benötigt wird, können Sie die Bereitstellung der Rolle verzögern. Wenn die Rollenverfügbarkeit kritisch ist, übertragen oder übernehmen Sie die Rolle nach Bedarf. Die PDC-Rolle in jeder Domäne sollte immer online sein.

• Wählen Sie einen direkten Intrasite-Replikationspartner für vorhandene Rolleninhaber aus, die als Standby-Rolleninhaber fungieren sollen. Wenn der primäre Besitzer offline geht oder fehlschlägt, übertragen oder ergreifen Sie die Rolle nach Bedarf an den vorgesehenen Standby FSMO-Domänencontroller.

Allgemeine Empfehlungen für die FSMO-Platzierung

• Platzieren Sie den Schemamaster auf der PDC der Stammdomäne der Gesamtstruktur.

• Platzieren Sie den Domänenbenennungsmaster im Stamm-PDC der Gesamtstruktur.

  Das Hinzufügen oder Entfernen von Domänen sollte ein streng kontrollierter Vorgang sein. Platzieren Sie diese Rolle in der Gesamtstrukturstamm-PDC. Bestimmte Vorgänge, die den Domänenbenennungsmaster verwenden, schlagen fehl, wenn der Domänenbenennungsmaster nicht verfügbar ist. Zu diesen Vorgängen gehören das Erstellen oder Entfernen von Domänen und Anwendungspartitionen. Auf einem Domänencontroller, der Microsoft Windows 2000 ausführt, muss der Domänenbenennungsmaster auch auf einem globalen Katalogserver gehostet werden. Auf Domänencontrollern, die Windows Server 2003 oder höher ausführen, muss der Domänenbenennungsmaster kein globaler Katalogserver sein.

• Platzieren Sie die PDC auf Ihrer besten Hardware an einem zuverlässigen Hubstandort, der Replikatdomänencontroller in demselben Active Directory-Standort und derselben Domäne enthält.

  In großen oder ausgelasteten Umgebungen hat der PDC häufig die höchste CPU-Auslastung, da er Pass-Through-Authentifizierungs- und Kennwortaktualisierungen verarbeitet. Wenn eine hohe CPU-Auslastung zu einem Problem wird, identifizieren Sie die Quelle. Die Quelle enthält Anwendungen oder Computer, die möglicherweise zu viele Vorgänge (transitiv) für die PDC ausführen. Zu den Techniken zur Reduzierung der CPU gehören:

  • Hinzufügen von mehr oder schnelleren CPUs
  • Hinzufügen weiterer Replikate
  • Hinzufügen von mehr Arbeitsspeicher zum Zwischenspeichern von Active Directory-Objekten
  • Entfernen des globalen Katalogs, um globale Katalogsuchvorgänge zu vermeiden
  • Verringern der Anzahl eingehender und ausgehender Replikationspartner
  • Erhöhen des Replikationszeitplans
  • Reduzierung der Authentifizierungssichtbarkeit mithilfe von LDAPSRVWEIGHT und LDAPPRIORITY und mithilfe des Randomize1CList-Features.

  Alle Domänencontroller in einer bestimmten Domäne und Computer, auf denen Anwendungen und Administratortools ausgeführt werden, die für die PDC bestimmt sind, müssen über eine Netzwerkkonnektivität mit der PdC-Domäne verfügen.

• Platzieren Sie den RID-Master auf der Domänen-PDC in derselben Domäne.

  RID Master Overhead ist leicht, insbesondere in ausgereiften Domänen, die bereits den Großteil ihrer Benutzer, Computer und Gruppen erstellt haben. Die Domänen-PDC erhält in der Regel die größte Aufmerksamkeit von Administratoren. Durch die gemeinsame Suche dieser Rolle auf dem PDC wird eine zuverlässige Verfügbarkeit sichergestellt. Stellen Sie sicher, dass vorhandene Domänencontroller und neu heraufgestufte Domänencontroller über Netzwerkkonnektivität verfügen, um aktive UND Standby-RID-Pools vom RID-Master abzurufen, insbesondere die Domänencontroller, die an Remote- oder Stagingstandorten heraufgestuft werden.

• Legacyleitfaden schlägt vor, den Infrastrukturmaster auf einem nicht globalen Katalogserver zu platzieren. Es gibt zwei Zu berücksichtigende Regeln:

  • Gesamtstruktur einzelner Domänen:

    In einer Gesamtstruktur, die eine einzelne Active Directory-Domäne enthält, gibt es keine Phantome. Der Infrastrukturmaster hat also keine Arbeit. Der Infrastrukturmaster kann auf einem beliebigen Domänencontroller in der Domäne platziert werden, unabhängig davon, ob dieser Domänencontroller den globalen Katalog hostt oder nicht.

  • Gesamtstruktur mit mehreren Domänen:

    Wenn jeder Domänencontroller in einer Domäne, die Teil einer Multidomänengesamtstruktur ist, auch den globalen Katalog hostet, gibt es keine Phantome oder Arbeiten für den Infrastrukturmaster. Der Infrastrukturmaster kann auf jedem Domänencontroller in dieser Domäne platziert werden. Praktisch hosten die meisten Administratoren den globalen Katalog auf jedem Domänencontroller in der Gesamtstruktur.

  • Wenn jeder Domänencontroller in einer bestimmten Domäne, die sich in einer Gesamtstruktur mit mehreren Domänen befindet, nicht den globalen Katalog hosten, muss der Infrastrukturmaster auf einem Domänencontroller platziert werden, der den globalen Katalog nicht hostt.

References

Weitere Informationen finden Sie unter Verwenden von Windows Server-Clusterknoten als Domänencontroller.

Artikel zu Operations Master-Rollen:

• Phantome, Grabsteine und der Infrastrukturmeister
• Fehler beim Ausführen des Adprep /rodcprep Befehls in Windows Server 2008

Das NTDS-Replikationsereignis 1586 tritt in einer der folgenden Situationen auf:

• die ROLLE PDC FSMO für eine bestimmte Domäne wurde genutzt.
• die PDC FSMO-Rolle für eine bestimmte Domäne wurde auf einen neuen Domänencontroller übertragen, der kein direkter Replikationspartner des vorherigen Rolleninhabers war.