Placement et optimisation FSMO sur les contrôleurs de domaine Active Directory

Certaines opérations sont préférables sur un seul contrôleur de domaine. Cet article décrit l’emplacement des rôles Active Directory Flexible Single-Master Operation (FSMO) dans le domaine et la forêt pour ces opérations.

S’applique à :   Windows Server 2012 R2
Numéro de la ko d’origine :   223346

Plus d’informations

Certaines opérations de domaine et à l’échelle de l’entreprise ne sont pas adaptées aux mises à jour multi-maîtres. Dans ce cas, les opérations doivent être réalisées sur un seul contrôleur de domaine dans le domaine ou dans la forêt. Le fait d’avoir un propriétaire à maître unique définit une cible connue pour les opérations critiques et empêche les conflits ou latences possibles créés par les mises à jour multi-maîtres. Cela signifie que le propriétaire du rôle FSMO approprié doit être en ligne, découvrable et disponible sur le réseau par les ordinateurs qui doivent effectuer des opérations dépendantes du FSMO.

Lorsque l’Assistant Installation d’Active Directory (Dcpromo.exe) crée le premier domaine dans une nouvelle forêt, l’Assistant ajoute cinq rôles FSMO. Une forêt avec un domaine a cinq rôles. L’Assistant Installation d’Active Directory ajoute trois rôles à l’échelle du domaine sur le premier contrôleur de domaine dans chaque domaine supplémentaire de la forêt. En outre, des rôles principaux d’infrastructure existent pour chaque partition d’application. Il inclut le domaine par défaut et les partitions d’application DNS à l’échelle de la forêt qui sont créées sur Windows Server 2003 et les contrôleurs de domaine ultérieurs. Les maîtres des opérations et leur étendue sont indiqués dans le tableau suivant.

Rôle FSMO Portée Besoins en fonction et en disponibilité
Schema Master Entreprise - Utilisé pour introduire des mises à jour de schéma manuelles et par programmation. Il inclut les mises à jour qui sont ajoutées par WindowsADPREP /FORESTPREP, par Microsoft Exchange et par d’autres applications qui utilisent les services de domaine Active Directory (AD DS).
- Doit être en ligne lorsque des mises à jour de schéma sont effectuées.
Domain Naming Master Entreprise - Permet d’ajouter et de supprimer des domaines et des partitions d’application vers et depuis la forêt.
- Doit être en ligne lorsque des domaines et des partitions d’application dans une forêt sont ajoutés ou supprimés.
Contrôleur de domaine principal Domain - Reçoit les mises à jour de mot de passe lorsque les mots de passe sont modifiés pour l’ordinateur et pour les comptes d’utilisateurs qui sont sur des contrôleurs de domaine réplicas.
- Consulté par les contrôleurs de domaine réplica qui ont des demandes d’authentification de service dont les mots de passe ne sont pas égaux.
- Contrôleur de domaine cible par défaut pour les mises à jour de stratégie de groupe.
- Ciblez le contrôleur de domaine pour les applications héritées qui effectuent des opérations accessibles en ligne et pour certains outils d’administration.
- Doit être en ligne et accessible 24 heures sur 24, 7 jours sur 7.
RID Domain - Alloue des pools RID actifs et de veille aux contrôleurs de domaine réplicas dans le même domaine.
- Doit être en ligne dans les situations suivantes :
  • lorsque les contrôleurs de domaine nouvellement promus doivent obtenir un pool RID local requis pour la publicité
  • lorsque les contrôleurs de domaine existants doivent mettre à jour l’allocation actuelle ou de veille du pool RID.
Infrastructure Master Domain

Partition d’application
- Met à jour les références et les fantômes entre domaines à partir du catalogue global. Pour plus d’informations, voir Phantoms, tombstones et le maître d’infrastructure
- Un maître d’infrastructure distinct est créé pour chaque partition d’application, y compris les partitions d’application à l’échelle de la forêt et à l’échelle du domaine par défaut créées par Windows Server 2003 et les contrôleurs de domaine ultérieurs.

La Windows Server 2008 R2 ADPREP /RODCPREP cible le rôle de maître d’infrastructure pour l’application DNS par défaut dans le domaine racine de la forêt. Le chemin d’accès DN pour ce titulaire de rôle est :
  • CN=Infrastructure,DC=DomainDnsZones,DC=<forest root domain>,DC=<top level domain>
  • CN=Infrastructure,DC=ForestDnsZones,DC=<forest root domain>,DC=<top level domain>

Disponibilité et placement FSMO

L’Assistant Installation d’Active Directory fait le placement initial des rôles sur les contrôleurs de domaine. Ce placement est souvent correct pour les répertoires qui n’ont que quelques contrôleurs de domaine. Dans un répertoire qui dispose de nombreux contrôleurs de domaine, le placement par défaut peut ne pas être la meilleure correspondance pour votre réseau.

Prenons en compte les facteurs suivants dans vos critères de sélection :

  • Il est plus facile de suivre les rôles FSMO si vous les hébergez sur moins d’ordinateurs.

  • Placez les rôles sur les contrôleurs de domaine accessibles par les ordinateurs, qui ont besoin d’accéder à un rôle donné, en particulier sur les réseaux qui ne sont pas entièrement acheminés. Par exemple, pour obtenir un pool RID actuel ou de veille, ou effectuer une authentification directe, tous les DCS ont besoin d’un accès réseau aux titulaires de rôles RID et PDC dans leurs domaines respectifs.

  • Vous devez transférer (et non saisir) le rôle au nouveau contrôleur de domaine dans les conditions suivantes :

    • un rôle doit être déplacé vers un autre contrôleur de domaine
    • le titulaire du rôle actuel est en ligne et disponible

    Les rôles FSMO ne doivent être saisis que si le détenteur de rôle actuel n’est pas disponible. Pour plus d’informations, voir Managing Operations Master Roles.

  • Les rôles FSMO attribués à des contrôleurs de domaine hors connexion ou dans un état d’erreur doivent uniquement être transférés ou saisis si des opérations dépendantes des rôles sont en cours. Si le titulaire du rôle peut être rendu opérationnel avant que le rôle soit nécessaire, vous pouvez retarder la saisie du rôle. Si la disponibilité des rôles est essentielle, transférez ou saisissez le rôle selon les besoins. Le rôle PDC dans chaque domaine doit toujours être en ligne.

  • Sélectionnez un partenaire de réplication intrasite direct pour que les titulaires de rôles existants agissent en tant que titulaires de rôles de veille. Si le propriétaire principal passe hors connexion ou échoue, transférez ou saisissez le rôle au contrôleur de domaine FSMO de veille désigné selon les besoins.

Recommandations générales pour le placement FSMO

  • Placez le maître de schéma sur le PDC du domaine racine de la forêt.

  • Placez le maître d’attribution de noms de domaine sur le PDC racine de la forêt.

    L’ajout ou la suppression de domaines doit être une opération étroitement contrôlée. Placez ce rôle sur le PDC racine de la forêt. Certaines opérations qui utilisent le maître d’appellation de domaine échouent si le maître d’attribution de noms de domaine n’est pas disponible. Ces opérations incluent la création ou la suppression de domaines et de partitions d’applications. Sur un contrôleur de domaine qui exécute Microsoft Windows 2000, le maître d’appellation de domaine doit également être hébergé sur un serveur de catalogue global. Sur les contrôleurs de domaine qui exécutent Windows Server 2003 ou versions ultérieures, le maître d’appellation de domaine n’a pas besoin d’être un serveur de catalogue global.

  • Placez le PDC sur votre meilleur matériel dans un site hub fiable qui contient des contrôleurs de domaine réplica dans le même site et domaine Active Directory.

    Dans les environnements de grande taille ou occupés, le PDC a souvent l’utilisation du processeur la plus élevée, car il gère l’authentification directe et les mises à jour de mot de passe. Si une utilisation élevée du processeur devient un problème, identifiez la source. La source inclut les applications ou les ordinateurs qui peuvent effectuer trop d’opérations (transitivement) ciblant le PDC. Les techniques de réduction du processeur sont les suivantes :

    • Ajout de processeurs plus ou plus rapides
    • Ajout de réplicas
    • Ajout de mémoire pour mettre en cache des objets Active Directory
    • Suppression du catalogue global pour éviter les recherche de catalogue global
    • Réduction du nombre de partenaires de réplication entrants et sortants
    • Augmentation de la planification de réplication
    • Réduction de la visibilité de l’authentification à l’aide de LDAPSRVWEIGHT et LDAPPRIORITY, et à l’aide de la fonctionnalité Randomize1CList.

    Tous les contrôleurs de domaine d’un domaine particulier et les ordinateurs qui exécutent des applications et des outils d’administration qui ciblent le PDC doivent avoir une connectivité réseau au domaine PDC.

  • Placez le master RID sur le domaine PDC dans le même domaine.

    La surcharge principale RID est légère, en particulier dans les domaines matures qui ont déjà créé la plupart de leurs utilisateurs, ordinateurs et groupes. Le domaine PDC reçoit généralement le plus d’attention de la part des administrateurs. La colocation de ce rôle sur le PDC permet d’assurer une disponibilité fiable. Assurez-vous que les contrôleurs de domaine existants et les contrôleurs de domaine nouvellement promus ont une connectivité réseau pour obtenir des pools RID actifs et de veille auprès du contrôleur RID, en particulier les contrôleurs de domaine promus dans les sites distants ou de transit.

  • Les conseils hérités suggèrent de placer le maître d’infrastructure sur un serveur de catalogue non global. Deux règles sont à prendre en compte :

    • Forêt à domaine unique :

      Dans une forêt qui contient un seul domaine Active Directory, il n’y a pas de fantômes. Ainsi, le maître d’infrastructure n’a aucun travail à faire. Le contrôleur d’infrastructure peut être placé sur n’importe quel contrôleur de domaine dans le domaine, que ce contrôleur de domaine héberge ou non le catalogue global.

    • Forêt multidomaine :

      Si chaque contrôleur de domaine d’un domaine qui fait partie d’une forêt à plusieurs domaines héberge également le catalogue global, il n’y a aucun fantôme ou aucun travail à faire pour le contrôleur d’infrastructure. Le contrôleur d’infrastructure peut être placé sur n’importe quel contrôleur de domaine de ce domaine. Pratiquement, la plupart des administrateurs hébergent le catalogue global sur chaque contrôleur de domaine de la forêt.

    • Si chaque contrôleur de domaine d’un domaine donné situé dans une forêt multi-domaines n’héberge pas le catalogue global, le contrôleur d’infrastructure doit être placé sur un contrôleur de domaine qui n’héberge pas le catalogue global.

References

Pour plus d’informations, voir Comment utiliser les Windows cluster serveur en tant que contrôleurs de domaine.

Articles sur les rôles Operations Master :

L’événement de réplication NTDS 1586 se produit dans l’une des situations suivantes :

  • Le rôle FSMO PDC pour un domaine particulier a été saisi.
  • Le rôle FSMO PDC pour un domaine particulier a été transféré vers un nouveau contrôleur de domaine qui n’était pas un partenaire de réplication directe du détenteur de rôle précédent.