Meer informatie

Bepaalde bewerkingen in het gehele domein of de gehele onderneming die niet geschikt zijn voor plaatsing op meerdere masters, worden uitgevoerd op een enkele domeincontroller in het domein of forest. Het voordeel van het gebruik van één master is het voorkomen van mogelijke conflicten als een operations-master offline is, waarbij geen potentiële conflicten worden geïntroduceerd die later moeten worden opgelost. Gebruik van één operations-master betekent echter dat de eigenaar van de FSMO-rol beschikbaar moet zijn als afhankelijke activiteiten in het domein of binnen de onderneming plaatsvinden, of om wijzigingen in Active Directory aan te brengen in verband met deze rol.

De wizard Active Directory installeren (Dcpromo.exe) definieert vijf FSMO-rollen: schemamaster, domeinmaster, RID-master, PDC-emulator en infrastructuur. De rollen schemamaster en domeinnaamgevingsmaster zijn rollen die per forest worden gedefinieerd. De overige drie, RID-master, PDC-emulator en infrastructuurmaster, worden per domein gedefinieerd.

Een forest met één domein heeft vijf rollen. Met elk extra domein in het forest worden drie rollen voor het gehele domein toegevoegd. Het aantal FSMO-rollen in een forest en potentiële eigenaren van FSMO-rollen kunnen worden bepaald met behulp van de formule ((aantal domeinen * 3)+2).

Een forest met drie domeinen (A.com, met het onderliggende domein B.A.com, met op zijn beurt het onderliggende domein C.B.A.com) heeft elf FSMO-rollen:

1 schemamaster - voor het gehele forest A.COM
1 domeinnaamgevingsmaster - voor het gehele forest A.COM

3 PDC-emulators (A.com, B.A.com en C.B.A.com)
3 RID-masters (A.com, B.A.com en C.B.A.com)
3 infrastructuurmasters voor de respectievelijke domeinen. (A.com, B.A.com en C.B.A.com)

Als u de eerste Active Directory-domeincontroller maakt voor een forest , worden de vijf rollen door Dcpromo.exe aan het forest toegewezen. Als u de eerste Active Directory-domeincontroller maakt voor een nieuw domein in een bestaand forest, worden alle drie domeinrollen door het systeem hieraan toegewezen. In een domein in gemengde modus dat Microsoft Windows NT 4.0-domeincontrollers bevat, kunnen alleen domeincontrollers met Microsoft Windows Server 2003 of Microsoft Windows 2000 Server de FSMO-rollen bevatten voor het volledige domein of forest.

Beschikbaarheid en locatie van FSMO

Dcpromo.exe zorgt voor het bepalen van de initiële locatie van rollen op domeincontrollers. Deze locatie is in de meeste gevallen de juiste voor mappen met weinig domeincontrollers. In een map met veel domeincontrollers is de standaardlocatie waarschijnlijk niet de beste locatie in uw netwerk.

Kies per domein de lokale primaire en vervangende FSMO-domeincontroller in het geval een fout optreedt op de primaire FSMO-eigenaar. Verder is het aan te raden om vervangende eigenaren op een andere locatie te selecteren in het geval zich een calamiteit op de locatie voordoet. Overweeg het volgende bij de selectiecriteria:

• Als een domein over één domeincontroller beschikt, bevat deze domeincontroller alle rollen voor het gehele domein.
• Als een domein over meer dan één domeincontroller beschikt, moet u Active Directory: sites en services gebruiken om directe replicatiepartners te selecteren met permanente, goed werkende koppelingen.
• De stand-byserver kan zich op dezelfde locatie bevinden als de primaire FSMO-server voor snellere en meer consistente replicatieconvergentie voor een grote groep computers, of op een externe locatie in het geval dat er zich een calamiteit voordoet op de primaire locatie.
• Als een stand-bydomeincontroller zich op een externe locatie bevindt, moet u ervoor zorgen dat de verbinding is geconfigureerd voor voortdurende replicatie via een permanente koppeling.

Algemene aanbevelingen voor FSMO-plaatsing

• Plaats de RID- en PDC-emulatorrol op dezelfde domeincontroller. Het is tevens gemakkelijker om FSMO-rollen bij te houden als u deze op minder computers clustert.
  
  Als verplaatsen noodzakelijk wordt omdat de primaire FSMO-belasting te groot wordt, moet u de emulatorrollen voor de RID- en de primaire domeincontroller op aparte domeincontrollers in dezelfde domein- en Active Directory-site plaatsen die elkaars replicatiepartner vormen.
• In het algemeen is het aan te raden om de infrastructuurmaster te plaatsen op een niet-globale catalogusserver die een direct verbindingsobject deelt met een bepaalde universele catalogus in het forest, bij voorkeur in dezelfde Active Directory-site. Omdat zich op de globale catalogusserver een gedeeltelijke replica bevindt van elk object in het forest, wordt door de infrastructuurmaster nooit iets bijgewerkt als deze op een globale catalogusserver wordt geplaatst, omdat deze geen verwijzingen bevat naar objecten die zich niet op deze master bevinden. Er zijn twee uitzonderingen op de regel 'de infrastructuurmaster niet op een globale catalogusserver plaatsen':
  • Forest met één domein:
    
    In een forest met één Active Directory-domein bestaan geen fantomen en derhalve heeft de infrastructuurmaster geen taken uit te voeren. De infrastructuurmaster kan op een willekeurige domeincontroller van het domein worden geplaatst, ongeacht of de domeincontroller als host optreedt voor de globale catalogus of niet.
  • Forest met meerdere domeinen waarin elke domeincontroller in een domein de globale catalogus bevat:
    
    Als elke domeincontroller in een domein dat deel uitmaakt van een forest met meerdere domeinen, tevens als host fungeert voor de globale catalogus, zijn er geen fantomen en geen taken uit te voeren voor de infrastructuurmaster. De infrastructuurmaster kan op een willekeurige domeincontroller in het domein worden geplaatst.
• De rollen van de schemamaster en de domeinnaamgevingsmaster moeten op forestniveau op dezelfde domeincontroller worden geplaatst omdat ze slechts zelden worden gebruikt. Bovendien moeten ze nauwgezet worden beheerd. Daarnaast moet de FSMO van de domeinnaamgevingsmaster ook fungeren als globale catalogusserver. Bepaalde bewerkingen die gebruikmaken van de domeinnaamgevingsmaster, zoals het maken van een onderliggend domein van een onderliggend domein, mislukken als dit niet het geval is.
  
  In een forest op het Windows Server 2003-forest-functionaliteitsniveau hoeft u de domeinnaamgevingsmaster niet in de globale catalogus te plaatsen.

Het belangrijkste is dat u controleert of alle FSMO-rollen beschikbaar zijn via een van de beheerconsoles (zoals Dsa.msc of Ntdsutil.exe).