Umieszczanie i optymalizowanie ról FSMO na kontrolerach domeny usługi Active Directory
Niektóre operacje najlepiej wykonać na jednym kontrolerze domeny. W tym artykule opisano umieszczanie ról jednowzorcowości usługi Active Directory (FSMO) w domenie i lesie dla tych operacji.
Oryginalny numer KB: 223346
Więcej informacji
Niektóre operacje domeny i całego przedsiębiorstwa nie są dobrze dostosowane do aktualizacji wielowzorcowych. W takich sytuacjach operacje muszą być wykonywane na jednym kontrolerze domeny w domenie lub w lesie. Posiadanie właściciela pojedynczego wzorca definiuje dobrze znany obiekt docelowy dla operacji krytycznych i zapobiega ewentualnym konfliktom lub opóźnieniu utworzonym przez aktualizacje wielowzorcowe. Oznacza to, że odpowiedni właściciel roli FSMO musi być w trybie online, wykrywalny i dostępny w sieci przez komputery, które muszą wykonywać operacje zależne od FSMO.
Gdy Kreator instalacji usługi Active Directory (Dcpromo.exe) tworzy pierwszą domenę w nowym lesie, kreator dodaje pięć ról FSMO. Las z jedną domeną ma pięć ról. Kreator instalacji usługi Active Directory dodaje trzy role dla całego domeny na pierwszym kontrolerze domeny w każdej dodatkowej domenie w lesie. Ponadto role wzorca infrastruktury istnieją dla każdej partycji aplikacji. Obejmuje ona domenę domyślną i partycje aplikacji DNS obejmujące cały las, które są tworzone na kontrolerach domeny systemu Windows Server 2003 i nowszych. Wzorce operacji i ich zakres są wyświetlane w poniższej tabeli.
| Rola FSMO | Scope | Wymagania dotyczące funkcji i dostępności |
|---|---|---|
| Wzorzec schematu | Przedsiębiorstwa | — Służy do wprowadzania aktualizacji schematu ręcznego i programowego. Obejmuje ona te aktualizacje, które są dodawane przez system Windows ADPREP /FORESTPREP, przez program Microsoft Exchange, oraz przez inne aplikacje korzystające z usług domena usługi Active Directory (AD DS).— Musi być w trybie online, gdy są wykonywane aktualizacje schematu. |
| Wzorzec nazewnictwa domen | Przedsiębiorstwa | — Służy do dodawania i usuwania domen i partycji aplikacji do i z lasu. — Musi być w trybie online, gdy domeny i partycje aplikacji w lesie są dodawane lub usuwane. |
| Podstawowy kontroler domeny | Domain | — odbiera aktualizacje haseł, gdy hasła są zmieniane dla komputera i dla kont użytkowników, które znajdują się na kontrolerach domeny repliki. — Konsultowane przez kontrolery domeny repliki, które obsługują żądania uwierzytelniania, które mają niezgodne hasła. — Domyślny docelowy kontroler domeny dla aktualizacji zasad grupy. — Docelowy kontroler domeny dla starszych aplikacji, które wykonują operacje zapisywalne i dla niektórych narzędzi administracyjnych. - Musi być online i dostępny 24 godziny dziennie, siedem dni w tygodniu. |
| RID | Domain | — Przydziela aktywne i rezerwowe pule identyfikatorów RID do repliki kontrolerów domeny w tej samej domenie. - Musi być w trybie online w następujących sytuacjach:
|
| Wzorzec infrastruktury | Domain Partycja aplikacji |
— Aktualizuje odwołania między domenami i fantomy z wykazu globalnego. Aby uzyskać więcej informacji, zobacz Phantoms, tombstones i master infrastruktury — Dla każdej partycji aplikacji jest tworzony oddzielny wzorzec infrastruktury, w tym domyślne partycje aplikacji dla całego lasu i całej domeny utworzone przez kontrolery domeny systemu Windows Server 2003 i nowszych. Polecenie systemu Windows Server 2008 R2 ADPREP /RODCPREP jest przeznaczone dla roli wzorca infrastruktury dla domyślnej aplikacji DNS w domenie głównej lasu. Ścieżka DN dla tego posiadacza roli to:
|
Dostępność i umieszczanie fsMO
Kreator instalacji usługi Active Directory wykonuje początkowe umieszczanie ról na kontrolerach domeny. To umieszczanie jest często poprawne w przypadku katalogów, które mają tylko kilka kontrolerów domeny. W katalogu, który ma wiele kontrolerów domeny, domyślne umieszczanie może nie być najlepszym dopasowaniem dla sieci.
Weź pod uwagę następujące czynniki w kryteriach wyboru:
Łatwiej jest śledzić role FSMO, jeśli hostujesz je na mniejszej liczbie komputerów.
Umieść role na kontrolerach domeny, do których można uzyskiwać dostęp przez komputery, które wymagają dostępu do danej roli, zwłaszcza w sieciach, które nie są w pełni kierowane. Na przykład aby uzyskać bieżącą lub rezerwową pulę identyfikatorów RID lub przeprowadzić uwierzytelnianie przekazywane, wszystkie kontrolery domeny muszą mieć dostęp sieciowy do posiadaczy ról RID i PDC w odpowiednich domenach.
Należy przenieść (nie przejąć) roli do nowego kontrolera domeny w następujących warunkach:
- rola musi zostać przeniesiona do innego kontrolera domeny
- obecny posiadacz roli jest w trybie online i jest dostępny
Role FSMO powinny być zajęte tylko wtedy, gdy bieżący posiadacz roli nie jest dostępny. Aby uzyskać więcej informacji, zobacz Zarządzanie rolami wzorca operacji.
Role FSMO przypisane do kontrolerów domeny, które są w trybie offline lub w stanie błędu muszą zostać przeniesione lub zajęte tylko wtedy, gdy są wykonywane operacje zależne od roli. Jeśli właściciel roli można wykonać operację, zanim będzie potrzebna rola, możesz opóźnić przejęcie roli. Jeśli dostępność roli jest krytyczna, przenieś lub przejmij rolę zgodnie z potrzebami. Rola podstawowego kontrolera domeny w każdej domenie powinna być zawsze w trybie online.
Wybierz bezpośredniego partnera replikacji wewnątrzwitrynowej dla istniejących posiadaczy ról, aby pełnić rolę właściciela roli rezerwowej. Jeśli właściciel podstawowy przejdzie w tryb offline lub zakończy się niepowodzeniem, przenieś lub przejmij rolę do wyznaczonego rezerwowego kontrolera domeny FSMO zgodnie z potrzebami.
Ogólne zalecenia dotyczące umieszczania fsMO
Umieść wzorzec schematu na kontrolerze PDC domeny głównej lasu.
Umieść wzorzec nazewnictwa domeny w głównym kontrolerze PDC lasu.
Dodawanie lub usuwanie domen powinno być ściśle kontrolowaną operacją. Umieść tę rolę w głównym kontrolerze PDC lasu. Niektóre operacje korzystające z wzorca nazewnictwa domeny kończą się niepowodzeniem, jeśli wzorzec nazewnictwa domeny jest niedostępny. Te operacje obejmują tworzenie lub usuwanie domen i partycji aplikacji. Na kontrolerze domeny z systemem Microsoft Windows 2000 wzorzec nazewnictwa domeny musi być również hostowany na serwerze wykazu globalnego. Na kontrolerach domeny z systemem Windows Server 2003 lub nowszym serwer nazw domen nie musi być serwerem wykazu globalnego.
Umieść kontroler PDC na najlepszym sprzęcie w niezawodnej lokacji koncentratora zawierającej kontrolery domeny repliki w tej samej lokacji i domenie usługi Active Directory.
W dużych lub zajętych środowiskach kontrolera PDC często ma najwyższe użycie procesora CPU, ponieważ obsługuje uwierzytelnianie przekazywane i aktualizacje haseł. Jeśli wysokie użycie procesora CPU stanie się problemem, zidentyfikuj źródło. Źródło zawiera aplikacje lub komputery, które mogą wykonywać zbyt wiele operacji (przechodnio) przeznaczonych dla kontrolera PDC. Techniki redukcji procesora CPU obejmują:
- Dodawanie większej lub szybszej liczby procesorów CPU
- Dodawanie kolejnych replik
- Dodawanie większej ilości pamięci do buforowania obiektów usługi Active Directory
- Usuwanie wykazu globalnego w celu uniknięcia odnośników wykazu globalnego
- Zmniejszenie liczby przychodzących i wychodzących partnerów replikacji
- Zwiększanie harmonogramu replikacji
- Zmniejszenie widoczności uwierzytelniania przy użyciu protokołu LDAPSRVWEIGHT i LDAPPRIORITY oraz przy użyciu funkcji Randomize1CList.
Wszystkie kontrolery domeny w określonej domenie oraz komputery, na których są uruchamiane aplikacje i narzędzia administracyjne przeznaczone dla kontrolera PDC, muszą mieć łączność sieciową z kontrolerem PDC domeny.
Umieść wzorzec RID w domenie PDC w tej samej domenie.
Obciążenie wzorca RID jest lekkie, zwłaszcza w dojrzałych domenach, które już utworzyły większość użytkowników, komputerów i grup. Kontroler PDC domeny zwykle otrzymuje największą uwagę od administratorów. Współlokowanie tej roli na kontrolerze PDC pomaga zapewnić niezawodną dostępność. Upewnij się, że istniejące kontrolery domeny i nowo promowane kontrolery domeny mają łączność sieciową w celu uzyskania aktywnych i rezerwowych pul identyfikatorów RID z głównego serwera RID, zwłaszcza kontrolerów domeny promowanych w lokacjach zdalnych lub przejściowych.
Starsze wskazówki sugerują umieszczenie wzorca infrastruktury na serwerze wykazu innego niż globalny. Istnieją dwie reguły do rozważenia:
Las pojedynczej domeny:
W lesie zawierającym jedną domenę usługi Active Directory nie ma fantomów. Dlatego wzorzec infrastruktury nie ma do wykonania żadnej pracy. Wzorzec infrastruktury może zostać umieszczony na dowolnym kontrolerze domeny w domenie, niezależnie od tego, czy ten kontroler domeny hostuje wykaz globalny, czy nie.
Las wielodomenowy:
Jeśli każdy kontroler domeny w domenie, która jest częścią lasu z wieloma domenami, hostuje również wykazu globalnego, nie ma fantomów ani nie pracuje dla wzorca infrastruktury do wykonania. Wzorzec infrastruktury może zostać umieszczony na dowolnym kontrolerze domeny w tej domenie. Praktycznie większość administratorów hostuje wykaz globalny na każdym kontrolerze domeny w lesie.
Jeśli każdy kontroler domeny w danej domenie, która znajduje się w lesie z wieloma domenami, nie obsługuje wykazu globalnego, wzorzec infrastruktury musi zostać umieszczony na kontrolerze domeny, który nie obsługuje wykazu globalnego.
Informacje
Aby uzyskać więcej informacji, zobacz Jak używać węzłów klastra systemu Windows Server jako kontrolerów domeny.
Artykuły dotyczące ról wzorca operacji:
- Phantoms, grobowce i mistrz infrastruktury
- Błąd podczas uruchamiania
Adprep /rodcpreppolecenia w systemie Windows Server 2008
Zdarzenie replikacji NTDS 1586 występuje w jednej z następujących sytuacji:
- Rola FSMO kontrolera PDC dla określonej domeny została zajęta.
- Rola FSMO kontrolera PDC dla określonej domeny została przeniesiona do nowego kontrolera domeny, który nie był partnerem replikacji bezpośredniej poprzedniego właściciela roli.