Placement et optimisation FSMO sur les contrôleurs de domaine Active Directory
Il est préférable d’effectuer certaines opérations sur un seul contrôleur de domaine. Cet article décrit le placement des rôles FSMO (Flexible Single-Master Operation) Active Directory dans le domaine et la forêt pour ces opérations.
Numéro de la base de connaissances d’origine : 223346
Informations supplémentaires
Certaines opérations à l’échelle du domaine et de l’entreprise ne sont pas adaptées aux mises à jour multimaître. Dans ces situations, les opérations doivent être effectuées sur un seul contrôleur de domaine dans le domaine ou dans la forêt. Le fait d’avoir un propriétaire à maître unique définit une cible connue pour les opérations critiques et empêche les conflits ou la latence possibles créés par les mises à jour multimaître. Cela signifie que le propriétaire du rôle FSMO approprié doit être en ligne, détectable et disponible sur le réseau par les ordinateurs qui doivent effectuer des opérations dépendantes de FSMO.
Lorsque l’Assistant Installation d’Active Directory (Dcpromo.exe) crée le premier domaine dans une nouvelle forêt, l’Assistant ajoute cinq rôles FSMO. Une forêt avec un domaine a cinq rôles. L’Assistant Installation d’Active Directory ajoute trois rôles à l’échelle du domaine sur le premier contrôleur de domaine dans chaque domaine supplémentaire de la forêt. En outre, des rôles de maître d’infrastructure existent pour chaque partition d’application. Il inclut le domaine par défaut et les partitions d’application DNS à l’échelle de la forêt qui sont créées sur les contrôleurs de domaine Windows Server 2003 et versions ultérieures. Les maîtres d’opérations et leur étendue sont indiqués dans le tableau suivant.
Rôle FSMO | Portée | Exigences de fonction et de disponibilité |
---|---|---|
Masque de schéma | Entreprise | : permet d’introduire des mises à jour de schéma manuelles et programmatiques. Il inclut les mises à jour ajoutées par Windows ADPREP /FORESTPREP , Par Microsoft Exchange et par d’autres applications qui utilisent Active Directory Domain Services (AD DS).- Doit être en ligne lorsque des mises à jour de schéma sont effectuées. |
Maître d’affectation de noms de domaine | Entreprise | - Permet d’ajouter et de supprimer des domaines et des partitions d’application vers et à partir de la forêt. - Doit être en ligne lorsque des domaines et des partitions d’application dans une forêt sont ajoutés ou supprimés. |
Contrôleur de domaine principal | Domain | - Reçoit des mises à jour de mot de passe lorsque les mots de passe sont modifiés pour l’ordinateur et pour les comptes d’utilisateur qui se trouvent sur des contrôleurs de domaine réplicas. - Consulté par les contrôleurs de domaine réplica qui service les demandes d’authentification qui ont des mots de passe incompatibles. - Contrôleur de domaine cible par défaut pour les mises à jour de stratégie de groupe. - Contrôleur de domaine cible pour les applications héritées qui effectuent des opérations accessibles en écriture et pour certains outils d’administration. - Doit être en ligne et accessible 24 heures sur 24, sept jours sur sept. |
DÉBARRASSER | Domain | - Alloue des pools RID actifs et de secours aux contrôleurs de domaine réplica dans le même domaine. - Doit être en ligne dans les situations suivantes :
|
Infrastructure Master | Domain Partition d’application |
- Met à jour les références inter-domaines et les fantômes à partir du catalogue global. Pour plus d’informations, consultez Fantômes, pierres tombstone et infrastructure master - Un maître d’infrastructure distinct est créé pour chaque partition d’application, y compris les partitions d’application à l’échelle de la forêt et du domaine par défaut créées par les contrôleurs de domaine Windows Server 2003 et versions ultérieures. La commande Windows Server 2008 R2 ADPREP /RODCPREP cible le rôle maître d’infrastructure pour l’application DNS par défaut dans le domaine racine de la forêt. Le chemin DN de ce détenteur de rôle est le suivant :
|
Disponibilité et placement FSMO
L’Assistant Installation d’Active Directory effectue le placement initial des rôles sur les contrôleurs de domaine. Ce placement est souvent correct pour les répertoires qui n’ont que quelques contrôleurs de domaine. Dans un répertoire qui a de nombreux contrôleurs de domaine, le placement par défaut peut ne pas correspondre le mieux à votre réseau.
Tenez compte des facteurs suivants dans vos critères de sélection :
Il est plus facile de suivre les rôles FSMO si vous les hébergez sur moins d’ordinateurs.
Placez des rôles sur des contrôleurs de domaine accessibles par les ordinateurs, qui ont besoin d’accéder à un rôle donné, en particulier sur les réseaux qui ne sont pas entièrement routés. Par exemple, pour obtenir un pool RID actuel ou de secours, ou effectuer une authentification directe, tous les contrôleurs de domaine ont besoin d’un accès réseau aux titulaires de rôles RID et PDC dans leurs domaines respectifs.
Vous devez transférer (ne pas saisir) le rôle vers le nouveau contrôleur de domaine dans les conditions suivantes :
- un rôle doit être déplacé vers un autre contrôleur de domaine
- le titulaire actuel du rôle est en ligne et disponible
Les rôles FSMO ne doivent être saisis que si le détenteur du rôle actuel n’est pas disponible. Pour plus d’informations, consultez Gestion des rôles de maître d’opérations.
Les rôles FSMO attribués à des contrôleurs de domaine qui sont hors connexion ou dans un état d’erreur ne doivent être transférés ou saisis que si des opérations dépendantes du rôle sont effectuées. Si le titulaire du rôle peut être rendu opérationnel avant que le rôle ne soit nécessaire, vous pouvez retarder la saisie du rôle. Si la disponibilité des rôles est critique, transférez ou saisissez le rôle en fonction des besoins. Le rôle PDC dans chaque domaine doit toujours être en ligne.
Sélectionnez un partenaire de réplication intrasite direct pour que les titulaires de rôles existants agissent en tant que titulaires de rôle de secours. Si le propriétaire principal est hors connexion ou échoue, transférez ou saisissez le rôle au contrôleur de domaine FSMO de secours désigné si nécessaire.
Recommandations générales pour le placement FSMO
Placez le masque de schéma sur le contrôleur de domaine principal du domaine racine de forêt.
Placez le maître de noms de domaine sur le contrôleur de domaine principal racine de forêt.
L’ajout ou la suppression de domaines doit être une opération étroitement contrôlée. Placez ce rôle sur le contrôleur de domaine principal racine de forêt. Certaines opérations qui utilisent le maître d’affectation de noms de domaine échouent si le maître d’affectation de noms de domaine n’est pas disponible. Ces opérations incluent la création ou la suppression de domaines et de partitions d’application. Sur un contrôleur de domaine qui exécute Microsoft Windows 2000, le maître d’affectation de noms de domaine doit également être hébergé sur un serveur de catalogue global. Sur les contrôleurs de domaine qui exécutent Windows Server 2003 ou versions ultérieures, le maître d’affectation de noms de domaine n’a pas besoin d’être un serveur de catalogue global.
Placez le contrôleur de domaine principal sur votre meilleur matériel dans un site hub fiable qui contient des contrôleurs de domaine réplica dans le même site et domaine Active Directory.
Dans les environnements volumineux ou occupés, le contrôleur de domaine principal a souvent l’utilisation la plus élevée du processeur, car il gère l’authentification directe et les mises à jour de mot de passe. Si une utilisation élevée du processeur devient un problème, identifiez la source. La source inclut des applications ou des ordinateurs qui peuvent effectuer trop d’opérations (transitivement) ciblant le contrôleur de domaine principal. Les techniques de réduction du processeur sont les suivantes :
- Ajout de processeurs plus ou plus rapides
- Ajout de réplicas supplémentaires
- Ajout de mémoire supplémentaire pour mettre en cache des objets Active Directory
- Suppression du catalogue global pour éviter les recherches de catalogue global
- Réduction du nombre de partenaires de réplication entrants et sortants
- Augmentation de la planification de la réplication
- Réduction de la visibilité de l’authentification à l’aide de LDAPSRVWEIGHT et LDAPPRIORITY, et à l’aide de la fonctionnalité Random1CList.
Tous les contrôleurs de domaine d’un domaine particulier et les ordinateurs qui exécutent des applications et des outils d’administration qui ciblent le contrôleur de domaine principal doivent disposer d’une connectivité réseau au contrôleur de domaine principal.
Placez le maître RID sur le contrôleur de domaine principal du domaine dans le même domaine.
La surcharge du maître RID est légère, en particulier dans les domaines matures qui ont déjà créé la majeure partie de leurs utilisateurs, ordinateurs et groupes. Le contrôleur de domaine principal de domaine reçoit généralement l’attention la plus grande de la part des administrateurs. La colocalisation de ce rôle sur le contrôleur de domaine principal permet de garantir une disponibilité fiable. Assurez-vous que les contrôleurs de domaine existants et les contrôleurs de domaine nouvellement promus disposent d’une connectivité réseau pour obtenir des pools RID actifs et de secours à partir du maître RID, en particulier les contrôleurs de domaine promus dans les sites distants ou intermédiaires.
Les conseils hérités suggèrent de placer le maître d’infrastructure sur un serveur de catalogue non global. Il existe deux règles à prendre en compte :
Forêt de domaine unique :
Dans une forêt qui contient un seul domaine Active Directory, il n’y a pas de fantômes. Par conséquent, le maître d’infrastructure n’a pas de travail à faire. Le maître d’infrastructure peut être placé sur n’importe quel contrôleur de domaine dans le domaine, que ce contrôleur de domaine héberge le catalogue global ou non.
Forêt multidomaine :
Si chaque contrôleur de domaine d’un domaine qui fait partie d’une forêt multi-domaines héberge également le catalogue global, le maître d’infrastructure n’a aucun fantôme ou travail à effectuer. Le maître d’infrastructure peut être placé sur n’importe quel contrôleur de domaine dans ce domaine. En pratique, la plupart des administrateurs hébergent le catalogue global sur chaque contrôleur de domaine de la forêt.
Si chaque contrôleur de domaine d’un domaine donné situé dans une forêt multi-domaines n’héberge pas le catalogue global, le maître d’infrastructure doit être placé sur un contrôleur de domaine qui n’héberge pas le catalogue global.
References
Pour plus d’informations, consultez Guide pratique pour utiliser des nœuds de cluster Windows Server en tant que contrôleurs de domaine.
Articles sur les rôles Operations Master :
- Fantômes, pierres tombales et maître d’infrastructure
-
Erreur lors de l’exécution de la
Adprep /rodcprep
commande dans Windows Server 2008
L’événement de réplication NTDS 1586 se produit dans l’une des situations suivantes :
- le rôle FSMO du contrôleur de domaine principal pour un domaine particulier a été saisi.
- Le rôle FSMO PDC pour un domaine particulier a été transféré vers un nouveau contrôleur de domaine qui n’était pas un partenaire de réplication directe du détenteur du rôle précédent.