Posicionamento e otimização de FSMO em controladores de domínio no Active Directory
Determinadas operações são melhor executadas em um único controlador de domínio. Este artigo descreve o posicionamento das funções FSMO (Operação de Mestre Único Flexível) do Active Directory no domínio e na floresta para essas operações.
Número original do KB: 223346
Mais informações
Determinadas operações de domínio e em toda a empresa não são adequadas para atualizações de vários mestres. Nessas situações, as operações devem ser feitas em um único controlador de domínio no domínio ou na floresta. Ter um proprietário de mestre único define um destino conhecido para operações críticas e evita possíveis conflitos ou latência criados por atualizações de vários mestres. Isso significa que o proprietário da função FSMO relevante deve estar online, detectável e disponível na rede por computadores que devem executar operações dependentes de FSMO.
Quando o Assistente de Instalação do Active Directory (Dcpromo.exe) cria o primeiro domínio em uma nova floresta, o assistente adiciona cinco funções FSMO. Uma floresta com um domínio tem cinco funções. O Assistente de Instalação do Active Directory adiciona três funções em todo o domínio no primeiro controlador de domínio em cada domínio adicional na floresta. Além disso, existem funções mestras de infraestrutura para cada partição de aplicativo. Ele inclui o domínio padrão e as partições de aplicativo DNS em toda a floresta criadas no Windows Server 2003 e em controladores de domínio posteriores. Os mestres de operações e seu escopo são mostrados na tabela a seguir.
| Função FSMO | Escopo | Requisitos de função e disponibilidade |
|---|---|---|
| Mestre de esquema | Empresa | - Usado para introduzir atualizações de esquema manuais e programáticas. Ele inclui as atualizações adicionadas pelo Windows ADPREP /FORESTPREP, pelo Microsoft Exchange e por outros aplicativos que usam o AD DS (Active Directory Domain Services).- Deve estar online quando as atualizações de esquema são executadas. |
| Mestre de nomenclatura de domínio | Empresa | - Usado para adicionar e remover domínios e partições de aplicativos de e para a floresta. - Deve estar online quando domínios e partições de aplicativos em uma floresta são adicionados ou removidos. |
| Controlador de domínio primário | Domínio | - Recebe atualizações de senha quando as senhas são alteradas para o computador e para contas de usuário que estão em controladores de domínio de réplica. - Consultado por controladores de domínio de réplica que atendem a solicitações de autenticação com senhas incompatíveis. - Controlador de domínio de destino padrão para atualizações de Política de Grupo. - Controlador de domínio de destino para aplicativos herdados que executam operações graváveis e para algumas ferramentas administrativas. - Deve estar online e acessível 24 horas por dia, sete dias por semana. |
| RID | Domínio | - Aloca pools RID ativos e em espera para controladores de domínio de réplica no mesmo domínio. - Deve estar online nas seguintes situações:
|
| Mestre de Infra-Estrutura | Domínio Partição de aplicativo |
- Atualiza referências entre domínios e fantasmas do catálogo global. Para obter mais informações, consulte Fantasmas, marcas de exclusão e o mestre de infraestrutura - Um mestre de infra-estrutura separado é criado para cada partição de aplicativo, incluindo as partições de aplicativo padrão em toda a floresta e em todo o domínio criadas pelo Windows Server 2003 e controladores de domínio posteriores. O comando do Windows Server 2008 R2 ADPREP /RODCPREP tem como destino a função mestra de infraestrutura para o aplicativo DNS padrão no domínio raiz da floresta. O caminho DN para esse titular de função é:
|
Disponibilidade e posicionamento do FSMO
O Assistente de Instalação do Active Directory faz o posicionamento inicial de funções em controladores de domínio. Esse posicionamento geralmente está correto para diretórios que têm apenas alguns controladores de domínio. Em um diretório que tem muitos controladores de domínio, o posicionamento padrão pode não ser a melhor correspondência para sua rede.
Considere os seguintes fatores em seus critérios de seleção:
É mais fácil acompanhar as funções FSMO se você as hospedar em menos computadores.
Coloque funções em controladores de domínio que podem ser acessados pelos computadores, que precisam de acesso a uma determinada função, especialmente em redes que não são totalmente roteadas. Por exemplo, para obter um pool RID atual ou em espera ou executar a autenticação de passagem, todos os DCs precisam de acesso à rede para os titulares de função RID e PDC em seus respectivos domínios.
Você deve transferir (não apreender) a função para o novo controlador de domínio nas seguintes condições:
- Uma função deve ser movida para um controlador de domínio diferente
- O titular da função atual está online e disponível
As funções FSMO só devem ser apreendidas se o titular da função atual não estiver disponível. Para obter mais informações, consulte Gerenciando funções mestras de operações.
As funções FSMO atribuídas a controladores de domínio que estão offline ou em estado de erro só precisam ser transferidas ou apreendidas se as operações dependentes de função estiverem sendo feitas. Se o titular da função puder ser tornado operacional antes que a função seja necessária, você poderá atrasar a captura da função. Se a disponibilidade da função for crítica, transfira ou assuma a função conforme necessário. A função PDC em cada domínio deve estar sempre online.
Selecione um parceiro de replicação intra-site direta para que os proprietários de função existentes atuem como um proprietário de função em espera. Se o proprietário primário ficar offline ou falhar, transfira ou assuma a função para o controlador de domínio FSMO em espera designado, conforme necessário.
Recomendações gerais para posicionamento de FSMO
Coloque o mestre de esquema no PDC do domínio raiz da floresta.
Coloque o mestre de nomenclatura de domínio no PDC raiz da floresta.
A adição ou remoção de domínios deve ser uma operação rigidamente controlada. Coloque essa função no PDC raiz da floresta. Determinadas operações que usam o mestre de nomenclatura de domínio falharão se o mestre de nomenclatura de domínio não estiver disponível. Essas operações incluem a criação ou remoção de domínios e partições de aplicativos. Em um controlador de domínio que executa o Microsoft Windows 2000, o mestre de nomenclatura de domínio também deve ser hospedado em um servidor de catálogo global. Em controladores de domínio que executam o Windows Server 2003 ou versões posteriores, o mestre de nomenclatura de domínio não precisa ser um servidor de catálogo global.
Coloque o PDC em seu melhor hardware em um site de hub confiável que contenha controladores de domínio de réplica no mesmo site e domínio do Active Directory.
Em ambientes grandes ou ocupados, o PDC freqüentemente tem o maior uso da CPU, pois lida com autenticação de passagem e atualizações de senha. Se o alto uso da CPU se tornar um problema, identifique a origem. A origem inclui aplicativos ou computadores que podem estar executando muitas operações (transitivamente) direcionadas ao PDC. As técnicas para reduzir a CPU incluem:
- Adicionando mais CPUs ou CPUs mais rápidas
- Adicionando mais réplicas
- Adicionando mais memória para armazenar em cache objetos do Active Directory
- Removendo o catálogo global para evitar pesquisas de catálogo global
- Reduzindo o número de parceiros de replicação de entrada e saída
- Aumentando o agendamento de replicação
- Reduzindo a visibilidade da autenticação usando LDAPSRVWEIGHT e LDAPPRIORITY e usando o recurso Randomize1CList.
Todos os controladores de domínio em um domínio específico e computadores que executam aplicativos e ferramentas de administração direcionados ao PDC devem ter conectividade de rede com o PDC de domínio.
Coloque o mestre RID no PDC de domínio no mesmo domínio.
A sobrecarga do mestre RID é leve, especialmente em domínios maduros que já criaram a maior parte de seus usuários, computadores e grupos. O PDC de domínio normalmente recebe mais atenção dos administradores. A colocalização dessa função no PDC ajuda a garantir a disponibilidade confiável. Verifique se os controladores de domínio existentes e os controladores de domínio recém-promovidos têm conectividade de rede para obter pools RID ativos e em espera do mestre RID, especialmente os controladores de domínio promovidos em sites remotos ou de preparo.
As diretrizes herdadas sugerem colocar o mestre de infraestrutura em um servidor de catálogo não global. Existem duas regras a serem consideradas:
Floresta de domínio único:
Em uma floresta que contém um único domínio do Active Directory, não há fantasmas. Portanto, o mestre da infraestrutura não tem trabalho a fazer. O mestre de infraestrutura pode ser colocado em qualquer controlador de domínio no domínio, independentemente de esse controlador de domínio hospedar o catálogo global ou não.
Floresta de vários domínios:
Se cada controlador de domínio em um domínio que faz parte de uma floresta de vários domínios também hospedar o catálogo global, não haverá fantasmas ou trabalho para o mestre de infraestrutura fazer. O mestre de infraestrutura pode ser colocado em qualquer controlador de domínio nesse domínio. Praticamente, a maioria dos administradores hospeda o catálogo global em cada controlador de domínio na floresta.
Se cada controlador de domínio em um determinado domínio localizado em uma floresta de vários domínios não hospedar o catálogo global, o mestre de infraestrutura deverá ser colocado em um controlador de domínio que não hospede o catálogo global.
Referências
Para obter mais informações, consulte Como usar nós de cluster do Windows Server como controladores de domínio.
Artigos sobre funções de Mestre de Operações:
- Fantasmas, lápides e o mestre de infraestrutura
- Erro ao executar o
Adprep /rodcprepcomando no Windows Server 2008
O evento de replicação NTDS 1586 ocorre em uma das seguintes situações:
- a função FSMO do PDC para um domínio específico foi apreendida.
- a função FSMO do PDC para um domínio específico foi transferida para um novo controlador de domínio que não era um parceiro de replicação direta do proprietário da função anterior.