Collocazione e ottimizzazione di FSMO nei controller di dominio di Active Directory
Alcune operazioni vengono eseguite in modo ottimale in un singolo controller di dominio. Questo articolo descrive il posizionamento dei ruoli FSMO (Flexible Single Master Operation) di Active Directory nel dominio e nella foresta per queste operazioni.
Numero KB originale: 223346
Ulteriori informazioni
Alcune operazioni a livello aziendale e di dominio non sono adatte agli aggiornamenti multimaster. In queste situazioni, le operazioni devono essere eseguite su un singolo controller di dominio nel dominio o nella foresta. La presenza di un proprietario a master singolo definisce una destinazione nota per le operazioni critiche e impedisce possibili conflitti o latenza creati da aggiornamenti multimaster. Ciò significa che il proprietario del ruolo FSMO pertinente deve essere online, individuabile e disponibile nella rete dai computer che devono eseguire operazioni dipendenti da FSMO.
Quando l'Installazione guidata Active Directory (Dcpromo.exe) crea il primo dominio in una nuova foresta, la procedura guidata aggiunge cinque ruoli FSMO. Una foresta con un dominio ha cinque ruoli. L'Installazione guidata di Active Directory aggiunge tre ruoli a livello di dominio nel primo controller di dominio in ogni dominio aggiuntivo nella foresta. Esistono anche ruoli master dell'infrastruttura per ogni partizione dell'applicazione. Include il dominio predefinito e le partizioni dell'applicazione DNS a livello di foresta create nei controller di dominio Windows Server 2003 e versioni successive. I master operazioni e il relativo ambito sono illustrati nella tabella seguente.
| Ruolo FSMO | Ambito | Requisiti di funzione e disponibilità |
|---|---|---|
| Schema Master | Enterprise | - Usato per introdurre aggiornamenti dello schema manuali e programmatici. Include gli aggiornamenti aggiunti da Windows ADPREP /FORESTPREP, da Microsoft Exchange e da altre applicazioni che usano Dominio di Active Directory Services (AD DS).- Deve essere online quando vengono eseguiti gli aggiornamenti dello schema. |
| Domain Naming Master | Enterprise | - Usato per aggiungere e rimuovere domini e partizioni dell'applicazione da e verso la foresta. - Deve essere online quando i domini e le partizioni dell'applicazione in una foresta vengono aggiunti o rimossi. |
| Controller di dominio primario | Dominio | - Riceve gli aggiornamenti delle password quando le password vengono modificate per il computer e per gli account utente presenti nei controller di dominio di replica. - Consultati dai controller di dominio di replica che richiede l'autenticazione del servizio con password non corrispondenti. - Controller di dominio di destinazione predefinito per gli aggiornamenti di Criteri di gruppo. - Controller di dominio di destinazione per applicazioni legacy che eseguono operazioni scrivibili e per alcuni strumenti di amministrazione. - Deve essere online e accessibile 24 ore al giorno, sette giorni alla settimana. |
| RID | Dominio | - Alloca pool RID attivi e di standby ai controller di dominio di replica nello stesso dominio. - Deve essere online nelle situazioni seguenti:
|
| Master infrastrutture | Dominio Partizione dell'applicazione |
- Aggiorna i riferimenti tra domini e i fantasma dal catalogo globale. Per altre informazioni, vedere Phantoms, tombstones e the infrastructure master - Viene creato un master infrastruttura separato per ogni partizione dell'applicazione, incluse le partizioni di applicazioni predefinite a livello di foresta e a livello di dominio create dai controller di dominio windows Server 2003 e versioni successive. Il comando Windows Server 2008 R2 ADPREP /RODCPREP è destinato al ruolo master dell'infrastruttura per l'applicazione DNS predefinita nel dominio radice della foresta. Il percorso DN per questo titolare del ruolo è:
|
Disponibilità e posizionamento FSMO
L'Installazione guidata di Active Directory esegue il posizionamento iniziale dei ruoli nei controller di dominio. Questo posizionamento è spesso corretto per le directory con pochi controller di dominio. In una directory con molti controller di dominio, il posizionamento predefinito potrebbe non essere la corrispondenza migliore per la rete.
Considerare i fattori seguenti nei criteri di selezione:
È più semplice tenere traccia dei ruoli FSMO se li si ospita in meno computer.
Posizionare i ruoli nei controller di dominio a cui è possibile accedere dai computer, che devono accedere a un determinato ruolo, in particolare nelle reti non completamente instradate. Ad esempio, per ottenere un pool RID corrente o standby o eseguire l'autenticazione pass-through, tutti i controller di dominio devono accedere alla rete ai titolari di ruolo RID e PDC nei rispettivi domini.
È consigliabile trasferire (non assegnare) il ruolo al nuovo controller di dominio nelle condizioni seguenti:
- un ruolo deve essere spostato in un controller di dominio diverso
- il titolare del ruolo corrente è online e disponibile
I ruoli FSMO devono essere sequestrati solo se il titolare del ruolo corrente non è disponibile. Per altre informazioni, vedere Gestione dei ruoli master operazioni.
I ruoli FSMO assegnati ai controller di dominio offline o in uno stato di errore devono essere trasferiti o sequestrati solo se vengono eseguite operazioni dipendenti dal ruolo. Se il titolare del ruolo può essere reso operativo prima che sia necessario il ruolo, è possibile ritardare l'assegnazione del ruolo. Se la disponibilità del ruolo è critica, trasferisce o sequestra il ruolo in base alle esigenze. Il ruolo PDC in ogni dominio deve essere sempre online.
Selezionare un partner di replica intrasito diretto per i titolari di ruolo esistenti per fungere da titolare del ruolo di standby. Se il proprietario primario passa offline o non riesce, trasferire o recuperare il ruolo nel controller di dominio FSMO di standby designato in base alle esigenze.
Raccomandazioni generali per il posizionamento FSMO
Posizionare il master schema nel PDC del dominio radice della foresta.
Posizionare il master di denominazione del dominio nel PDC radice della foresta.
L'aggiunta o la rimozione di domini deve essere un'operazione strettamente controllata. Posizionare questo ruolo nel PDC radice della foresta. Alcune operazioni che usano il master di denominazione del dominio hanno esito negativo se il master di denominazione del dominio non è disponibile. Queste operazioni includono la creazione o la rimozione di domini e partizioni dell'applicazione. In un controller di dominio che esegue Microsoft Windows 2000, anche il master di denominazione del dominio deve essere ospitato in un server di catalogo globale. Nei controller di dominio che eseguono Windows Server 2003 o versioni successive, il master dei nomi di dominio non deve essere un server di catalogo globale.
Posizionare il PDC nell'hardware migliore in un sito hub affidabile che contiene controller di dominio di replica nello stesso sito e dominio di Active Directory.
In ambienti di grandi dimensioni o occupati, il PDC ha spesso il massimo utilizzo della CPU, perché gestisce gli aggiornamenti di autenticazione e password pass-through. Se un utilizzo elevato della CPU diventa un problema, identificare l'origine. L'origine include applicazioni o computer che potrebbero eseguire troppe operazioni (transitive) destinate al PDC. Le tecniche per ridurre la CPU includono:
- Aggiunta di CPU più o più veloci
- Aggiunta di altre repliche
- Aggiunta di più memoria per memorizzare nella cache gli oggetti di Active Directory
- Rimozione del catalogo globale per evitare ricerche nel catalogo globale
- Riduzione del numero di partner di replica in ingresso e in uscita
- Aumento della pianificazione della replica
- Riduzione della visibilità dell'autenticazione tramite LDAPSRVWEIGHT e LDAPPRIORITY e tramite la funzionalità Randomize1CList.
Tutti i controller di dominio in un dominio specifico e i computer che eseguono applicazioni e strumenti di amministrazione destinati al PDC devono avere la connettività di rete al dominio PDC.
Posizionare il master RID nel dominio PDC nello stesso dominio.
Il sovraccarico master RID è leggero, soprattutto nei domini maturi che hanno già creato la maggior parte degli utenti, dei computer e dei gruppi. Il PDC del dominio riceve in genere la maggior attenzione da parte degli amministratori. La condivisione di questo ruolo nel PDC consente di garantire una disponibilità affidabile. Assicurarsi che i controller di dominio esistenti e i controller di dominio appena alzati di livello dispongano della connettività di rete per ottenere pool RID attivi e di standby dal master RID, in particolare i controller di dominio promossi nei siti remoti o di staging.
Le indicazioni legacy suggeriscono di posizionare il master dell'infrastruttura in un server di catalogo non globale. Esistono due regole da considerare:
Foresta a dominio singolo:
In una foresta che contiene un singolo dominio di Active Directory, non sono presenti fantasma. Quindi, il master dell'infrastruttura non ha alcun lavoro da eseguire. Il master dell'infrastruttura può essere inserito in qualsiasi controller di dominio nel dominio, indipendentemente dal fatto che il controller di dominio ospiti o meno il catalogo globale.
Foresta multidominio:
Se ogni controller di dominio in un dominio che fa parte di una foresta multidominio ospita anche il catalogo globale, non ci sono fantasma né operazioni da eseguire per il master dell'infrastruttura. Il master dell'infrastruttura può essere inserito in qualsiasi controller di dominio in tale dominio. Praticamente, la maggior parte degli amministratori ospita il catalogo globale in ogni controller di dominio nella foresta.
Se ogni controller di dominio in un determinato dominio che si trova in una foresta multidominio non ospita il catalogo globale, il master dell'infrastruttura deve essere inserito in un controller di dominio che non ospita il catalogo globale.
Riferimenti
Per altre informazioni, vedere Come usare i nodi del cluster Windows Server come controller di dominio.
Articoli sui ruoli di Operations Master:
- Fantasma, lapide e il master dell'infrastruttura
- Errore durante l'esecuzione del
Adprep /rodcprepcomando in Windows Server 2008
L'evento NTDS Replication 1586 si verifica in una delle situazioni seguenti:
- il ruolo FSMO PDC per un determinato dominio è stato sequestrato.
- Il ruolo FSMO PDC per un determinato dominio è stato trasferito a un nuovo controller di dominio che non era un partner di replica diretto del titolare del ruolo precedente.