Partager via

Placement et optimisation FSMO sur les contrôleurs de domaine Active Directory

  • Article

Certaines opérations sont optimales sur un seul contrôleur de domaine. Cet article décrit le placement des rôles DSMO (Flexible Single-Master Operation) Active Directory dans le domaine et la forêt pour ces opérations.

Numéro de base de connaissances d’origine : 223346

Plus d’informations

Certaines opérations à l’échelle du domaine et de l’entreprise ne sont pas adaptées aux mises à jour multimaître. Dans ces situations, les opérations doivent être effectuées sur un seul contrôleur de domaine dans le domaine ou dans la forêt. Le fait d’avoir un propriétaire maître unique définit une cible connue pour les opérations critiques et empêche les conflits ou la latence possibles créés par les mises à jour multimaître. Cela signifie que le propriétaire du rôle FSMO approprié doit être en ligne, détectable et disponible sur le réseau par les ordinateurs qui doivent effectuer des opérations dépendantes de FSMO.

Lorsque l’Assistant Installation d’Active Directory (Dcpromo.exe) crée le premier domaine dans une nouvelle forêt, l’Assistant ajoute cinq rôles FSMO. Une forêt avec un domaine a cinq rôles. L’Assistant Installation d’Active Directory ajoute trois rôles à l’échelle du domaine sur le premier contrôleur de domaine dans chaque domaine supplémentaire de la forêt. En outre, les rôles de base d’infrastructure existent pour chaque partition d’application. Il inclut le domaine par défaut et les partitions d’application DNS à l’échelle de la forêt créées sur windows Server 2003 et les contrôleurs de domaine ultérieurs. Les maîtres d’opérations et leur étendue sont indiqués dans le tableau suivant.

Rôle FSMO Étendue Exigences en matière de fonction et de disponibilité
Master de schéma Enterprise - Utilisé pour introduire des mises à jour manuelles et programmatiques de schéma. Il inclut ces mises à jour ajoutées par WindowsADPREP /FORESTPREP, par Microsoft Exchange et par d’autres applications qui utilisent services de domaine Active Directory (AD DS).
- Doit être en ligne lorsque des mises à jour de schéma sont effectuées.
Master d’affectation de noms de domaine Enterprise : permet d’ajouter et de supprimer des domaines et des partitions d’application à et à partir de la forêt.
- Doit être en ligne lorsque des domaines et des partitions d’application dans une forêt sont ajoutés ou supprimés.
Contrôleur de domaine principal Domain - Reçoit les mises à jour de mot de passe lorsque les mots de passe sont modifiés pour l’ordinateur et pour les comptes d’utilisateur qui se trouvent sur les contrôleurs de domaine réplica.
- Consulté par les contrôleurs de domaine réplicas qui demandent l’authentification qui ont des mots de passe incompatibles.
- Contrôleur de domaine cible par défaut pour les mises à jour de stratégie de groupe.
- Contrôleur de domaine cible pour les applications héritées qui effectuent des opérations accessibles en écriture et pour certains outils d’administration.
- Doit être en ligne et accessible 24 heures par jour, sept jours par semaine.
RID Domain - Alloue des pools RID actifs et de secours aux contrôleurs de domaine réplica dans le même domaine.
- Doit être en ligne dans les situations suivantes :
  • lorsque les contrôleurs de domaine nouvellement promus doivent obtenir un pool RID local requis pour publier
  • lorsque les contrôleurs de domaine existants doivent mettre à jour leur allocation de pool RID actuel ou de secours.
Maître d'infrastructure Domain

Partition d’application		 - Met à jour les références inter-domaines et les fantômes du catalogue global. Pour plus d’informations, consultez Fantômes, pierres tombales et maître d’infrastructure
- Un maître d’infrastructure distinct est créé pour chaque partition d’application, y compris les partitions d’application à l’échelle de la forêt et au niveau du domaine par défaut créées par les contrôleurs de domaine Windows Server 2003 et ultérieur.

La commande Windows Server 2008 R2 ADPREP /RODCPREP cible le rôle principal d’infrastructure pour l’application DNS par défaut dans le domaine racine de forêt. Le chemin DN de ce titulaire de rôle est le suivant :
  • CN=Infrastructure,DC=DomainDnsZones,DC=<forest root domain,DC>=<top level domain>
  • CN=Infrastructure,DC=ForestDnsZones,DC=<forest root domain,DC>=<top level domain>

Disponibilité et placement FSMO

L’Assistant Installation d’Active Directory effectue le placement initial des rôles sur les contrôleurs de domaine. Ce placement est fréquemment correct pour les répertoires qui n’ont que quelques contrôleurs de domaine. Dans un répertoire qui a de nombreux contrôleurs de domaine, l’emplacement par défaut peut ne pas être la meilleure correspondance pour votre réseau.

Tenez compte des facteurs suivants dans vos critères de sélection :

  • Il est plus facile de suivre les rôles FSMO si vous les hébergez sur moins d’ordinateurs.

  • Placez des rôles sur les contrôleurs de domaine accessibles par les ordinateurs, qui ont besoin d’accéder à un rôle donné, en particulier sur les réseaux qui ne sont pas entièrement routés. Par exemple, pour obtenir un pool RID actuel ou de secours ou effectuer une authentification directe, tous les contrôleurs de domaine ont besoin d’un accès réseau aux titulaires de rôles RID et PDC dans leurs domaines respectifs.

  • Vous devez transférer (pas saisir) le rôle vers le nouveau contrôleur de domaine dans les conditions suivantes :

    • un rôle doit être déplacé vers un autre contrôleur de domaine
    • le titulaire de rôle actuel est en ligne et disponible

    Les rôles FSMO ne doivent être saisis que si le titulaire de rôle actuel n’est pas disponible. Pour plus d’informations, consultez Gestion des rôles de maître d’opérations.

  • Les rôles FSMO attribués aux contrôleurs de domaine qui sont hors connexion ou dans un état d’erreur doivent uniquement être transférés ou saisis si des opérations dépendantes du rôle sont effectuées. Si le titulaire du rôle peut être opérationnel avant que le rôle ne soit nécessaire, vous pouvez retarder la saisie du rôle. Si la disponibilité des rôles est critique, transférez ou saisissez le rôle en fonction des besoins. Le rôle de contrôleur de domaine principal dans chaque domaine doit toujours être en ligne.

  • Sélectionnez un partenaire de réplication intrasite direct pour que les titulaires de rôles existants agissent comme titulaires de rôle de secours. Si le propriétaire principal passe hors connexion ou échoue, transférez ou saisissez le rôle vers le contrôleur de domaine FSMO de secours désigné en fonction des besoins.

Recommandations générales pour le placement FSMO

  • Placez le maître de schéma sur le contrôleur de domaine racine de la forêt.

  • Placez le maître d’affectation de noms de domaine sur le contrôleur de domaine racine de la forêt.

    L’ajout ou la suppression de domaines doit être une opération étroitement contrôlée. Placez ce rôle sur le contrôleur de domaine principal de la forêt. Certaines opérations qui utilisent le maître d’affectation de noms de domaine échouent si le maître de nommage de domaine n’est pas disponible. Ces opérations incluent la création ou la suppression de domaines et de partitions d’application. Sur un contrôleur de domaine qui exécute Microsoft Windows 2000, le maître d’affectation de noms de domaine doit également être hébergé sur un serveur de catalogue global. Sur les contrôleurs de domaine qui exécutent Windows Server 2003 ou versions ultérieures, le maître de nommage de domaine n’a pas besoin d’être un serveur de catalogue global.

  • Placez le contrôleur de domaine principal sur votre meilleur matériel dans un site hub fiable qui contient des contrôleurs de domaine réplicas dans le même site et le même domaine Active Directory.

    Dans les environnements volumineux ou occupés, le contrôleur de domaine principal dispose souvent de l’utilisation la plus élevée du processeur, car il gère l’authentification directe et les mises à jour de mot de passe. Si une utilisation élevée du processeur devient un problème, identifiez la source. La source inclut des applications ou des ordinateurs qui peuvent effectuer trop d’opérations (transitivement) ciblant le contrôleur de domaine principal. Les techniques de réduction du processeur sont les suivantes :

    • Ajout de processeurs plus ou plus rapides
    • Ajout de réplicas supplémentaires
    • Ajout d’une mémoire supplémentaire pour mettre en cache des objets Active Directory
    • Suppression du catalogue global pour éviter les recherches globales de catalogue
    • Réduction du nombre de partenaires de réplication entrants et sortants
    • Augmentation de la planification de réplication
    • Réduction de la visibilité de l’authentification à l’aide de LDAPSRVWEIGHT et LDAPPRIORITY, et à l’aide de la fonctionnalité Random1CList.

    Tous les contrôleurs de domaine d’un domaine particulier, ainsi que les ordinateurs qui exécutent des applications et des outils d’administration qui ciblent le contrôleur de domaine, doivent disposer d’une connectivité réseau au contrôleur de domaine.

  • Placez le maître RID sur le contrôleur de domaine dans le même domaine.

    La surcharge maître RID est légère, en particulier dans les domaines matures qui ont déjà créé la majeure partie de leurs utilisateurs, ordinateurs et groupes. Le contrôleur de domaine reçoit généralement la plus grande attention des administrateurs. La colocalisation de ce rôle sur le contrôleur de domaine principal permet de garantir une disponibilité fiable. Assurez-vous que les contrôleurs de domaine existants et les contrôleurs de domaine nouvellement promus disposent d’une connectivité réseau pour obtenir des pools RID actifs et de secours à partir du maître RID, en particulier les contrôleurs de domaine promus dans des sites distants ou intermédiaires.

  • Les instructions héritées suggèrent de placer le maître d’infrastructure sur un serveur de catalogue non global. Il existe deux règles à prendre en compte :

    • Forêt de domaine unique :

      Dans une forêt qui contient un seul domaine Active Directory, il n’y a pas de fantômes. Par conséquent, le maître de l’infrastructure n’a pas de travail à faire. Le contrôleur d’infrastructure peut être placé sur n’importe quel contrôleur de domaine du domaine, que ce contrôleur de domaine héberge le catalogue global ou non.

    • Forêt multidomaine :

      Si chaque contrôleur de domaine d’un domaine qui fait partie d’une forêt multi-domaines héberge également le catalogue global, il n’y a pas de fantômes ou de travail pour que le maître d’infrastructure fasse. Le maître d’infrastructure peut être placé sur n’importe quel contrôleur de domaine de ce domaine. Pratiquement, la plupart des administrateurs hébergent le catalogue global sur chaque contrôleur de domaine de la forêt.

    • Si chaque contrôleur de domaine d’un domaine donné situé dans une forêt multi-domaines n’héberge pas le catalogue global, le maître d’infrastructure doit être placé sur un contrôleur de domaine qui n’héberge pas le catalogue global.

References

Pour plus d’informations, consultez Comment utiliser des nœuds de cluster Windows Server en tant que contrôleurs de domaine.

Articles sur les rôles Operations Master :

L’événement de réplication NTDS 1586 se produit dans l’une des situations suivantes :

  • le rôle FSMO du contrôleur de domaine principal pour un domaine particulier a été saisi.
  • le rôle FSMO du contrôleur de domaine principal pour un domaine particulier a été transféré vers un nouveau contrôleur de domaine qui n’était pas un partenaire de réplication direct du titulaire de rôle précédent.