• 09/08/2020
  • 11 minut číst
    • D
    • x

Tento článek popisuje, kdy a jak převést nebo využít Flexible Single Master Operations (FSMO) role.,

Původní verze produktu: Windows Server 2019, Windows Server Standard 2016, Windows Server Essentials 2016, Windows Server Datacenter 2016
Originální KB číslo: 255504

Další informace

v Rámci služby Active Directory Domain Services (AD DS) lesa, tam jsou konkrétní úkoly, které musí být prováděné pouze jeden řadič domény (DC). DCs, které jsou přiřazeny k provádění těchto jedinečných operací, jsou známé jako držitelé rolí FSMO. V následující tabulce jsou uvedeny role FSMO a jejich umístění v Active Directory.,

pro více informací o držitelích rolí FSMO a doporučeních pro umístění rolí viz umístění a optimalizace FSMO na řadičích domén Active Directory.

Poznámka

aplikační oddíly Active Directory, které obsahují aplikační oddíly DNS, mají odkazy na role FSMO. Pokud oddíl aplikace DNS definuje vlastníka hlavní role infrastruktury, nemůžete k odstranění tohoto aplikačního oddílu použít Ntdsutil, DCPromo nebo jiné nástroje. Pro více informací, viz DCPROMO demotion selže, pokud nelze kontaktovat DNS infrastructure master.,

když DC, který působí jako držitel role, začne běžet (například po selhání nebo vypnutí), nebude okamžitě pokračovat v chování jako držitel role. DC čeká, až obdrží příchozí replikaci pro svůj pojmenovací kontext (například vlastník hlavní role schématu čeká na příchozí replikaci oddílu schématu).

informace, které DCs předávají jako součást replikace Active Directory, zahrnují identity současných držitelů rolí FSMO., Když nově spuštěný DC obdrží příchozí informace o replikaci, ověří, zda je stále držitelem role. Pokud ano, obnoví typické operace. Pokud replikované informace naznačují, že další DC působí jako držitel role, nově zahájený DC se vzdává svého vlastnictví rolí. Toto chování snižuje pravděpodobnost, že doména nebo les budou mít duplicitní držitele rolí FSMO.

Důležité,

AD FS operace nezdaří, pokud vyžadují držitelem role, a pokud se nově začala držitel role je, ve skutečnosti, role a držitel neobdrží příchozí replikace.,
výsledné chování se podobá tomu, co by se stalo, kdyby byl držitel role offline.

Určete, kdy převést nebo zabavit role

za typických podmínek musí být všech pět rolí přiřazeno“ živému “ DCs v lese. Když vytvoříte les Active Directory, Průvodce instalací Active Directory (Dcpromo.exe) přiřadí všech pět rolí FSMO prvnímu DC, které vytvoří v doméně forest root. Když vytvoříte doménu dítěte nebo stromu, Dcpromo.exe přiřazuje tři role v celé doméně prvnímu DC v doméně.,

DCs nadále vlastní role FSMO, dokud nejsou přeřazeny pomocí jedné z následujících metod:

  • administrátor přeřadí roli pomocí administrativního nástroje GUI.
  • správce přeřadí roli pomocí příkazu ntdsutil /roles.
  • administrátor elegantně demotes role-holding DC pomocí Průvodce instalací Active Directory. Tento průvodce přeřadí všechny lokálně držené role stávajícímu DC v lese.
  • správce demotes role-holding DC pomocí příkazu dcpromo /forceremoval.,
  • DC se vypne a restartuje. Když se DC restartuje, obdrží příchozí informace o replikaci, která naznačuje, že dalším DC je držitel role. V tomto případě se nově spuštěný DC vzdává role (jak bylo popsáno výše).

Pokud držitel role FSMO dojde k selhání nebo je jinak vyřazena z provozu před jeho role jsou převedeny, musíte zmocnit a převést všechny role vhodné a zdravé DC.,

doporučujeme převést role FSMO v následujících scénářích:

  • aktuální držitel role je funkční a může být přístupný v síti novým vlastníkem FSMO.
  • elegantně demotujete DC, který v současné době vlastní role FSMO, které chcete přiřadit konkrétnímu DC ve vašem lese Active Directory.
  • DC, který v současné době vlastní role FSMO, je offline pro plánovanou údržbu a musíte přiřadit konkrétní role FSMO k živým DCs. Možná budete muset převést role, abyste mohli provádět operace, které ovlivňují vlastníka FSMO., To platí zejména pro roli emulátoru PDC. Toto je méně důležitá otázka pro hlavní roli RID, hlavní roli pojmenování domény a hlavní role schématu.

doporučujeme převzetí rolí FSMO v následujících scénářích:

  • současný držitel role zažívá operační chyba, která brání FSMO-závislá činnost od dokončení úspěšně, a nelze přenést roli.

  • pomocí příkazudcpromo /forceremoval vynutíte-demote DC, který vlastní roli FSMO.,

    důležité

    příkazdcpromo /forceremoval ponechává role FSMO v neplatném stavu,dokud nejsou přeřazeny správcem.

  • operační systém v počítači, který původně vlastnil určitou roli, již neexistuje nebo byl přeinstalován.

Poznámka:

  • doporučujeme pouze obsadit všechny role, když předchozí držitel role není návratu k doméně.,
  • pokud musí být role FSMO zachyceny ve scénářích obnovy lesa, viz krok 5 v provedení počáteční obnovy v části Obnovit první zapisovatelný řadič domény v každé sekci domény.
  • po převodu nebo zabavení role nový držitel role nejedná okamžitě. Místo toho, nový držitel role se chová jako restartován držitel role a čeká na jeho kopii názvový kontext pro úlohu (jako je například domain partition) k dokončení úspěšné příchozí replikace cyklu., Tento požadavek replikace pomáhá zajistit, aby nový držitel role byl co nejaktuálnější, než podnikne kroky. Omezuje také okno příležitosti pro chyby. Toto okno obsahuje pouze změny, které předchozí držitel role nedokončil replikaci na ostatní DCs před tím, než byl offline. Seznam kontextu pojmenování pro každou roli FSMO naleznete v tabulce v části Další informace.,

Identifikovat nové role držitele

nejlepší kandidát pro nový držitel role je DC, který splňuje následující kritéria:

  • sídlí ve stejné doméně jako v předchozím držitelem role.
  • má nejnovější replikovanou zapisovatelnou kopii oddílu rolí.

například předpokládejme, že musíte přenést hlavní roli schématu. Hlavní role schématu je součástí rozdělení schématu lesa (cn=Schema, CN=Configuration, dc = <lesní kořenová doména>)., Nejlepším kandidátem na nového držitele role je DC, který také sídlí v doméně forest root, a ve stejném místě Active Directory jako aktuální držitel role.

upozornění

nedávejte hlavní roli infrastruktury na stejný DC jako globální katalogový server. Pokud hlavní server Infrastruktury běží na serveru globálního katalogu, přestane aktualizovat informace o objektech, protože neobsahuje žádné odkazy na objekty, které neudržuje. Je to proto, že globální katalogový server má částečnou repliku každého objektu v lese.,

test, zda je DC je také server globálního katalogu, postupujte takto:

  1. Vyberte > Programy > Nástroje pro Správu > sítě a Služby Active Directory.
  2. v navigačním podokně poklepejte na weby a poté vyhledejte příslušný web nebo vyberte Výchozí název prvního webu, pokud nejsou k dispozici žádné jiné weby.
  3. otevřete složku servery a poté vyberte DC.
  4. ve složce DC poklepejte na Nastavení NTDS.
  5. v nabídce Akce vyberte Vlastnosti.,
  6. na kartě Obecné zobrazte zaškrtávací políčko globální katalog a zjistěte, zda je vybráno.

Pro více informací, viz:

  • AD Forest Recovery – Chopit role hlavního serveru operací
  • Plánování Operace Role hlavního Umístění

převzetí nebo převod rolí FSMO

můžete použít prostředí Windows PowerShell nebo nástroj Ntdsutil převzetí nebo převod rolí. Informace a příklady, jak používat PowerShell pro tyto úkoly, viz Move-ADDirectoryServerOperationMasterrole.,

důležité

Pokud se musíte chopit hlavní role RID, zvažte použití příkazu Move-Addirectoryserverationmasterrole cmdlet namísto ntdsutil.exe utility.

aby se zabránilo riziku duplicitních Sid v doméně, Ntdsutil zvýší další dostupné RID v bazénu o 10 000, když se chopíte hlavní role RID. Toto chování může způsobit, že váš les zcela spotřebuje své dostupné rozsahy hodnot RID (také známé jako RID burn). Naproti tomu, pokud použijete cmdlet PowerShell k uchopení hlavní role RID, další dostupná RID není ovlivněna.,

K převzetí nebo převod rolí FSMO pomocí nástroje Ntdsutil, postupujte takto:

  1. přihlaste se k členskému počítači, který má AD RSAT tools nainstalován, nebo DC, které se nachází v lese, kde FSMO role jsou předávány.

    Poznámka

    • doporučujeme se přihlásit k DC, kterému přiřazujete role FSMO.,
    • přihlášený uživatel by měl být členem skupiny Enterprise Administrators k převodu hlavního serveru Schémat nebo hlavního serveru pro pojmenování Domén role, nebo členem skupiny Domain Administrators v doméně, kde emulaci PDC, hlavního serveru RID a Infrastruktury role hlavního operačního serveru jsou předávány.

  2. vyberte Start > spustit, do otevřeného pole zadejte ntdsutil a poté vyberte OK.

  3. zadejte role a stiskněte klávesu Enter.

    Poznámka

    Chcete-li zobrazit seznam dostupných příkazů na kterékoli z výzev v nástroji ntdsutil, zadejte?, a poté stiskněte klávesu Enter.

  4. zadejte připojení a stiskněte klávesu Enter.

  5. Typ připojení k serveru <název_serveru>, a stiskněte klávesu Enter.

    Poznámka:

    V tomto příkazu <název_serveru> je název domény, který chcete přiřadit role FSMO.

  6. na řádku připojení serveru zadejte q A stiskněte klávesu Enter.,

  7. proveďte jednu z následujících akcí:

    • převést úlohu: Typ přenosu <role>, a stiskněte klávesu Enter.

      Poznámka:

      V tomto příkazu <role> je role, kterou chcete přenést.

    • , Aby se chopily role: Typ chopit <role>, a stiskněte klávesu Enter.

      Poznámka:

      V tomto příkazu <role> je role, kterou chcete, aby se chopily.,

    například, aby se chopil hlavní role RID, zadejte chytit rid master. Jedinou výjimkou je role emulátoru PDC, jehož syntaxe je chytit PDC, ne chytit emulátor pdc.

    Chcete-li zobrazit seznam rolí, které můžete přenést nebo zabavit, zadejte? na řádku údržby fsmo a poté stiskněte klávesu Enter nebo se podívejte na seznam rolí na začátku tohoto článku.

  8. na řádku údržby FSMO zadejte q a stisknutím klávesy Enter získáte přístup k výzvě ntdsutil. Zadejte q a stisknutím klávesy Enter ukončete obslužný program Ntdsutil.,

pokud je to možné, a pokud jste schopni přenést role namísto jejich zabavení, opravte předchozího držitele role. Pokud nemůžete opravit předchozího držitele role, nebo pokud jste se zmocnili rolí, odstraňte předchozího držitele role z domény.

Důležité,

Pokud máte v plánu používat opravený počítač jako DC, doporučujeme obnovit počítač do DC od nuly namísto obnovení DC ze zálohy. Proces obnovy znovu obnoví DC jako držák rolí.,

  • vrátit opravený počítač do lesa jako DC,

    1. proveďte jednu z následujících akcí:

      • Formát pevného disku bývalým držitelem role, a pak přeinstalovat systém Windows na počítači.
      • násilně degraduje bývalého držitele role na členský server.

    2. na jiném DC v lese použijte Ntdsutil k odstranění metadat pro bývalého držitele rolí. Další informace naleznete v části vyčistit metadata serveru pomocí Ntdsutil.,

    3. po vyčištění metadat můžete počítač přeformulovat na DC a přenést do něj roli zpět.

  • Chcete-li odstranit počítač z lesa po zabavení jeho rolí

    1. odeberte počítač z domény.
    2. na jiném DC v lese použijte Ntdsutil k odstranění metadat pro bývalého držitele rolí. Další informace naleznete v části vyčistit metadata serveru pomocí Ntdsutil.,

Úvahy při opětovném začleňování replikace ostrovy

Pokud je součástí domény nebo doménové struktury nelze komunikovat se zbytkem domény nebo lesa na delší dobu, izolované úseky domény nebo doménové struktury jsou známé jako replikace ostrovy. DCs na jednom ostrově se nemůže replikovat s DCs na jiných ostrovech. Během několika cyklů replikace, replikační ostrovy vypadnou ze synchronizace. Pokud má každý ostrov své vlastní držitele rolí FSMO, můžete mít problémy při obnově komunikace mezi ostrovy.,

Důležité,

Ve většině případů, můžete využít počáteční replikace požadavků (jak je popsáno v tomto článku) vyřadit duplicitní držitele role. Restartovaný držitel role by se měl role vzdát, pokud zjistí duplicitní držák rolí.
můžete se setkat s okolnostmi, které toto chování nevyřeší. V takových případech mohou být informace v této části Užitečné.,

následující tabulka identifikuje FMSO rolí, které mohou způsobit problémy, pokud doménové struktury nebo domény, má více rolí-držáky pro tuto roli:

Role Potenciální konflikty mezi více role-držáky?,
Schema master Yes
Domain naming master Yes
RID master Yes
PDC emulator No
Infrastructure master No

This issue does not affect the PDC Emulator master or the Infrastructure master. These role holders do not persist operational data., Navíc Master infrastruktury neprovádí změny často. Pokud tedy více ostrovů má tyto držitele rolí, můžete ostrovy znovu začlenit, aniž byste způsobili dlouhodobé problémy.

master schématu, master pojmenování domény a rid master mohou vytvářet objekty a přetrvávat změny v Active Directory. Každý ostrov, který má jednoho z těchto držitelů rolí, by mohl mít v době obnovení replikace duplicitní a konfliktní objekty schématu, domény nebo bazény RID. Před opětovným začleněním ostrovů určete, které držitele rolí si ponechat., Odstraňte všechny duplicitní schema masters, domény pojmenování masters, a zbavit masters podle opravy, odstranění, a vyčištění postupy, které jsou uvedeny v tomto článku.,ion Přenos a Zabavení Proces

  • JAK: Použití nástroje Ntdsutil najít a vyčistit duplicitní identifikátory zabezpečení v systému Windows Server
  • řešení Potíží s DNS ID Události: 4013: DNS server nemohl načíst AD integrované zóny DNS
  • DCPROMO degradování selže, pokud nelze kontaktovat DNS infrastruktury master
  • FSMO Role
  • Proveďte počáteční zotavení
  • AD Forest Recovery – Chopit role hlavního serveru operací
  • vyčistit metadata server pomocí nástroje Ntdsutil
  • Plánování Operace Role hlavního Umístění
  • Přesun. -ADDirectoryServerOperationMasterrole

    • Napsat komentář

    Vaše e-mailová adresa nebude zveřejněna. Vyžadované informace jsou označeny *