通过

在 Active Directory 域控制器上的 FSMO 放置和优化

  • 项目

某些操作最好在单个域控制器上完成。 本文介绍在这些操作的域和林中放置 Active Directory 灵活单主操作(FSMO)角色。

原始 KB 数: 223346

详细信息

某些域和企业范围的操作不适合多主数据库更新。 在这些情况下,必须在域或林中的单个域控制器上执行操作。 让单主所有者定义关键操作的已知目标,并防止多主数据库更新创建的可能冲突或延迟。 这意味着,相关 FSMO 角色所有者必须联机、可发现且可由必须执行 FSMO 相关操作的计算机在网络上可用。

当 Active Directory 安装向导(Dcpromo.exe)在新林中创建第一个域时,向导会添加五个 FSMO 角色。 具有一个域的林具有五个角色。 Active Directory 安装向导在林中每个附加域的第一个域控制器上添加三个域范围角色。 此外,每个应用程序分区都存在基础结构主角色。 它包括在 Windows Server 2003 和更高版本的域控制器上创建的默认域和林范围的 DNS 应用程序分区。 操作主控形状及其范围如下表所示。

FSMO 角色 范围 函数和可用性要求
架构母版 企业 - 用于引入手动和编程架构更新。 它包括由 WindowsADPREP /FORESTPREP、Microsoft Exchange 以及使用 Active Directory 域服务(AD DS)的其他应用程序添加的更新。
- 执行架构更新时必须处于联机状态。
域命名母版 企业 - 用于在林中添加和删除域和应用程序分区。
- 当添加或删除林中的域和应用程序分区时,必须处于联机状态。
主域控制器 Domain - 当计算机和副本域控制器上的用户帐户更改密码时,接收密码更新。
- 由服务身份验证请求且密码不匹配的副本域控制器咨询。
- 组策略更新的默认目标域控制器。
- 针对执行可写操作和某些管理工具的旧应用程序的域控制器。
- 必须在线访问,每天 24 小时,每周七天。
RID Domain - 将活动 RID 池和备用 RID 池分配给同一域中的副本域控制器。
- 在以下情况下必须处于联机状态:
  • 当新升级的域控制器必须获取播发所需的本地 RID 池时
  • 当现有域控制器必须更新其当前或备用 RID 池分配时。
结构主机 Domain

应用程序分区		 - 从全局目录更新跨域引用和幻影。 有关详细信息,请参阅 虚拟、墓碑和基础结构主机
- 为每个应用程序分区创建单独的基础结构主机,包括 Windows Server 2003 和更高版本的域控制器创建的默认林范围和域范围应用程序分区。

Windows Server 2008 R2 ADPREP /RODCPREP 命令面向林根域中默认 DNS 应用程序的基础结构主角色。 此角色持有者的 DN 路径为:
  • CN=Infrastructure,DC=DomainDnsZones,DC=<林根域>,DC=<顶级域>
  • CN=Infrastructure,DC=ForestDnsZones,DC=<林根域>,DC=<顶级域>

FSMO 可用性和放置

Active Directory 安装向导在域控制器上执行角色的初始放置。 对于只有几个域控制器的目录,此位置通常是正确的。 在具有许多域控制器的目录中,默认放置可能不是网络的最佳匹配项。

请考虑选择条件中的以下因素:

  • 如果在更少的计算机上托管 FSMO 角色,则更容易跟踪 FSMO 角色。

  • 将角色放置在计算机可以访问的域控制器上,这些域控制器需要访问给定角色,尤其是在未完全路由的网络上。 例如,若要获取当前或备用 RID 池或执行直通身份验证,所有 DC 都需要在其各自的域中访问 RID 和 PDC 角色持有者的网络访问权限。

  • 在以下情况下,应将角色转移到新域控制器:<

    • 角色必须移动到其他域控制器
    • 当前角色持有者处于联机状态且可用

    仅当当前角色持有者不可用时,才应没收 FSMO 角色。 有关详细信息,请参阅 管理 Operations Master 角色

  • 分配给处于脱机状态或处于错误状态的域控制器的 FSMO 角色只有在执行依赖于角色的操作时才能转移或扣押。 如果在需要角色之前可以操作角色持有者,则可能会延迟获取角色。 如果角色可用性至关重要,请根据需要转移或抓住该角色。 每个域中的 PDC 角色应始终处于联机状态。

  • 为现有角色持有者选择一个直接的站点内复制合作伙伴,以充当备用角色持有者。 如果主所有者脱机或失败,请根据需要将角色转移到指定的备用 FSMO 域控制器。

FSMO 放置的一般建议

  • 将架构主机置于林根域的 PDC 上。

  • 将域命名主机置于林根 PDC 上。

    添加或删除域应该是严格控制的操作。 将此角色置于林根 PDC 上。 如果域命名主机不可用,则使用域命名主机的某些操作将失败。 这些操作包括创建或删除域和应用程序分区。 在运行Microsoft Windows 2000 的域控制器上,域命名主机也必须托管在全局编录服务器上。 在运行 Windows Server 2003 或更高版本的域控制器上,域命名主机不必是全局编录服务器。

  • 将 PDC 放置在可靠中心站点上,该站点包含同一 Active Directory 站点和域中的副本域控制器。

    在大型或繁忙环境中,PDC 通常具有最高的 CPU 使用率,因为它处理直通身份验证和密码更新。 如果 CPU 使用率过高成为问题,请确定源。 源包括可能针对 PDC 执行过多操作(可传递)的应用程序或计算机。 减少 CPU 的技术包括:

    • 添加更多或更快的 CPU
    • 添加更多副本
    • 添加更多内存以缓存 Active Directory 对象
    • 删除全局目录以避免全局目录查找
    • 减少传入和传出复制合作伙伴的数量
    • 增加复制计划
    • 使用 LDAPSRVWEIGHT 和 LDAPPRIORITY 以及使用 Randomize1CList 功能减少身份验证可见性。

    特定域中的所有域控制器以及运行面向 PDC 的应用程序和管理工具的计算机都必须与域 PDC 建立网络连接。

  • 将 RID 主控形状放置在同一域中的域 PDC 上。

    RID 主开销很轻,尤其是在已创建大部分用户、计算机和组的成熟域中。 域 PDC 通常从管理员那里得到最多的关注。 将此角色并置在 PDC 上有助于确保可靠的可用性。 确保现有域控制器和新升级的域控制器具有网络连接,以便从 RID 主机获取主动和备用 RID 池,尤其是远程或过渡站点中升级的域控制器。

  • 旧版指南建议将基础结构主服务器置于非全局编录服务器上。 需要考虑两个规则:

    • 单域林:

      在包含单个 Active Directory 域的林中,没有幻影。 因此,基础结构主机没有工作要做。 基础结构主机可以放置在域中的任何域控制器上,无论该域控制器是否托管全局目录。

    • 多域林:

      如果属于多域林的域中的每个域控制器也托管全局目录,则基础结构主机没有虚拟或工作。 基础结构主机可以置于该域中的任何域控制器上。 实际上,大多数管理员在林中的每个域控制器上托管全局目录。

    • 如果位于多域林中的给定域中的每个域控制器都不托管全局目录,则基础结构主机必须放置在不托管全局目录的域控制器上。

参考

有关详细信息,请参阅 如何将 Windows Server 群集节点用作域控制器

有关 Operations Master 角色的文章:

NTDS 复制事件 1586 发生在以下情况之一:

  • 已查获特定域的 PDC FSMO 角色。
  • 特定域的 PDC FSMO 角色已转移到不是以前角色持有者的直接复制伙伴的新域控制器。