Поделиться через

Размещение и оптимизация ролей FSMO на контроллерах домена Active Directory

  • Статья

Некоторые операции лучше всего выполняются на одном контроллере домена. В этой статье описывается размещение ролей Гибкой одно главной операции Active Directory (FSMO) в домене и лесу для этих операций.

Исходный номер базы знаний: 223346

Дополнительная информация

Некоторые операции на уровне домена и предприятия не подходят для многоглавного обновления. В этих ситуациях операции должны выполняться на одном контроллере домена в домене или лесу. Наличие одного главного владельца определяет хорошо известный целевой объект для критически важных операций и предотвращает возможные конфликты или задержку, созданные несколькими главными обновлениями. Это означает, что соответствующий владелец роли FSMO должен быть доступен в сети, обнаруживаем и доступен в сети компьютерами, которые должны выполнять операции, зависящие от FSMO.

Когда мастер установки Active Directory (Dcpromo.exe) создает первый домен в новом лесу, мастер добавляет пять ролей FSMO. Лес с одним доменом имеет пять ролей. Мастер установки Active Directory добавляет три роли на уровне домена на первый контроллер домена в каждом дополнительном домене в лесу. Кроме того, роли главных ролей инфраструктуры существуют для каждой секции приложения. Он включает домен по умолчанию и секции приложений DNS на уровне леса, созданные на контроллерах домена Windows Server 2003 и более поздних версий. Мастера операций и их область отображаются в следующей таблице.

Роль FSMO Область Требования к функциям и доступности
Главный ключ схемы Функции корпоративного уровня — Используется для внедрения обновлений вручную и программной схемы. Он включает в себя те обновления, которые добавляются WindowsADPREP /FORESTPREP, Microsoft Exchange и другими приложениями, которые используют службы домен Active Directory (AD DS).
— Должен быть в сети при выполнении обновлений схемы.
Главный мастер именования доменов Функции корпоративного уровня — Используется для добавления и удаления доменов и секций приложений в лес и из него.
— должно быть в сети, если домены и секции приложений в лесу добавляются или удаляются.
Основной контроллер домена Домен — получает обновления паролей при изменении паролей для компьютера и учетных записей пользователей, которые находятся на контроллерах домена реплики.
— обратитесь к контроллерам домена реплики, которые запрашивают проверку подлинности службы, имеющие несовпаденные пароли.
— Целевой контроллер домена по умолчанию для обновлений групповой политики.
— Целевой контроллер домена для устаревших приложений, выполняющих операции, доступные для записи, и для некоторых средств администрирования.
- Должен быть онлайн и доступен 24 часа в день, семь дней в неделю.
RID Домен — выделяет активные и резервные пулы RID для реплики контроллеров домена в одном домене.
— Должен быть в сети в следующих ситуациях:
  • когда недавно повышенные контроллеры домена должны получить локальный пул RID, который требуется для объявления
  • если существующие контроллеры домена должны обновить текущее или резервное выделение пула RID.
Хозяин инфраструктуры Домен

Раздел приложения		 — обновляет ссылки между доменами и фантомы из глобального каталога. Дополнительные сведения см. в разделе "Фантомы", "Могилы" и "Мастер инфраструктуры"
— Для каждого раздела приложения создается отдельный мастер инфраструктуры, включая секции приложений на уровне леса и домена по умолчанию, созданные контроллерами домена Windows Server 2003 и более поздних версий.

Команда Windows Server 2008 R2 ADPREP /RODCPREP предназначена для роли главного сервера инфраструктуры для DNS-приложения по умолчанию в корневом домене леса. Путь DN для этого владельца роли:
  • CN=Infrastructure,DC=DomainDnsZones,DC=<forest root domain,DC>=<top level domain>
  • CN=Infrastructure,DC=ForestDnsZones,DC=<forest root domain,DC>=<top level domain>

Доступность и размещение FSMO

Мастер установки Active Directory выполняет начальное размещение ролей на контроллерах домена. Это размещение часто подходит для каталогов с несколькими контроллерами домена. В каталоге с большим количеством контроллеров домена размещение по умолчанию может оказаться не лучшим для вашей сети.

Рассмотрим следующие факторы в критериях выбора:

  • Проще отслеживать роли FSMO, если разместить их на меньшем количестве компьютеров.

  • Поместите роли на контроллеры домена, к которым можно получить доступ компьютерам, которым требуется доступ к данной роли, особенно в сетях, которые не полностью маршрутичены. Например, чтобы получить текущий или резервный пул RID или выполнить сквозную проверку подлинности, все контроллеры домена нуждаются в сетевом доступе к держателям ролей RID и PDC в соответствующих доменах.

  • Вы должны перенести роль (не захватывать) на новый контроллер домена в следующих условиях:

    • Роль должна быть перемещена на другой контроллер домена
    • Текущий держатель ролей доступен в Сети и доступен

    Роли FSMO должны быть захвачены только в том случае, если текущий держатель ролей недоступен. Дополнительные сведения см. в разделе "Управление ролями главных операций".

  • Роли FSMO, назначенные контроллерам домена, которые находятся в автономном режиме или в состоянии ошибки, необходимо передавать или захватывать, если выполняются зависимые от ролей операции. Если владелец роли может быть выполнен в эксплуатацию до того, как эта роль потребуется, можно отложить захват роли. Если доступность ролей является критической, передача или захват роли по мере необходимости. Роль PDC в каждом домене всегда должна находиться в сети.

  • Выберите прямого партнера по репликации внутри сайта для существующих владельцев ролей, которые будут выступать в качестве резервного владельца роли. Если основной владелец переходит в автономный режим или завершается сбоем, перенесите или захватить роль в назначенный резервный контроллер домена FSMO по мере необходимости.

Общие рекомендации по размещению FSMO

  • Поместите главную схему на PDC корневого домена леса.

  • Поместите главный мастер именования домена в корневой PDC леса.

    Добавление или удаление доменов должно быть строго контролируемой операцией. Поместите эту роль в корневой PDC леса. Некоторые операции, использующие главный мастер именования домена, завершаются сбоем, если мастер именования домена недоступен. Эти операции включают создание или удаление доменов и секций приложений. На контроллере домена, работающем под управлением Microsoft Windows 2000, мастер именования домена также должен размещаться на глобальном сервере каталога. На контроллерах домена под управлением Windows Server 2003 или более поздних версий главный мастер именования домена не должен быть глобальным сервером каталога.

  • Поместите PDC на лучшее оборудование на надежный центральный сайт, содержащий контроллеры домена реплики на одном сайте и домене Active Directory.

    В крупных или занятых средах PDC часто имеет наибольшее использование ЦП, так как он обрабатывает сквозную проверку подлинности и обновления паролей. Если высокая загрузка ЦП становится проблемой, определите источник. Источник включает приложения или компьютеры, которые могут выполнять слишком много операций (транзитивно) для PDC. Ниже представлены методы сокращения ЦП:

    • Добавление большего или более быстрого ЦП
    • Добавление дополнительных реплик
    • Добавление дополнительной памяти для кэширования объектов Active Directory
    • Удаление глобального каталога, чтобы избежать подстановок глобального каталога
    • Сокращение числа партнеров по входящей и исходящей репликации
    • Увеличение расписания репликации
    • Уменьшение видимости проверки подлинности с помощью LDAPSRVWEIGHT и LDAPPRIORITY и с помощью функции Randomize1CList.

    Все контроллеры домена в определенном домене, а также компьютеры, на которых выполняются приложения и средства администрирования, предназначенные для PDC, должны иметь сетевое подключение к контроллеру домена.

  • Поместите главный контроллер RID в домен PDC в том же домене.

    Основная нагрузка RID является легкой, особенно в зрелых доменах, которые уже создали большую часть своих пользователей, компьютеров и групп. PDC домена обычно получает наибольшее внимание от администраторов. Совместное размещение этой роли в PDC помогает обеспечить надежную доступность. Убедитесь, что существующие контроллеры домена и новые контроллеры домена имеют сетевое подключение для получения активных и резервных пулов RID от главного контроллера ДОМЕНА, особенно контроллеров домена, повышенных на удаленных или промежуточных сайтах.

  • Устаревшие рекомендации предполагают размещение главного сервера инфраструктуры на сервере, отличном от глобального каталога. Существует два правила, которые следует учитывать:

    • Один доменный лес:

      В лесу, содержавшемся в одном домене Active Directory, нет фантомов. Таким образом, мастер инфраструктуры не имеет работы. Мастер инфраструктуры может быть помещен на любой контроллер домена в домене, независимо от того, размещает ли этот контроллер домена глобальный каталог или нет.

    • Многодоменный лес:

      Если каждый контроллер домена в домене, который является частью леса с несколькими доменами, также размещает глобальный каталог, нет фантомов или работы для хозяина инфраструктуры. Мастер инфраструктуры может быть помещен на любой контроллер домена в этом домене. Практически большинство администраторов размещают глобальный каталог на каждом контроллере домена в лесу.

    • Если каждый контроллер домена в заданном домене, расположенный в лесу с несколькими доменами, не размещает глобальный каталог, мастер инфраструктуры должен быть помещен на контроллер домена, который не размещает глобальный каталог.

Ссылки

Дополнительные сведения см. в разделе "Использование узлов кластера Windows Server в качестве контроллеров домена".

Статьи о ролях Operations Master:

Событие репликации NTDS 1586 происходит в одной из следующих ситуаций:

  • Роль FSMO PDC для определенного домена была захвачена.
  • Роль FSMO PDC для определенного домена была передана новому контроллеру домена, который не был прямым партнером репликации предыдущего владельца роли.