• 09/08/2020
  • 11 minutter til at læse
    • D
    • x
    • s

Denne artikel beskriver, hvornår og hvordan til at overføre eller gribe Flexible Single Master Operations (FSMO) roller.,

Oprindelige produkt-version: Windows Server 2019, Windows Server Standard 2016, Windows Server Essentials 2016, Windows Server Datacenter 2016
Oprindelige KB-nummer: 255504

få Flere oplysninger

I et Active Directory-domænetjenester (AD DS) skov, der er specifikke opgaver, der skal udføres af kun én domænecontroller (DC). DCs, der er tildelt til at udføre disse unikke operationer er kendt som FSMO rolle indehavere. Følgende tabel viser FSMO-rollerne og deres placering i Active Directory.,

For mere information om FSMO rolle indehavere og anbefalinger for at placere de roller, se FSMO placering og optimering på Active Directory-domænecontrollere.

Bemærk

Active Directory-applikationspartitioner, der indeholder DNS-applikationspartitioner, har FSMO-rollelinks. Hvis en DNS-applikationspartition definerer en ejer for infrastructure master-rollen, kan du ikke bruge Ntdsutil, DCPromo eller andre værktøjer til at fjerne denne applikationspartition. For mere information, se dcpromo degradering mislykkes, hvis ikke i stand til at kontakte DNS infrastruktur master.,

Når en DC, der har fungeret som rolleholder, begynder at køre (for eksempel efter en fejl eller en nedlukning), genoptager den ikke straks at opføre sig som rolleholder. DC venter, indtil den modtager indgående replikering til sin navngivning kontekst (for eksempel, skemaserver ejer venter på at modtage indgående replikering af Skemaet partition).

de oplysninger, som DCs passerer som en del af Active Directory-replikation, inkluderer identiteten af de nuværende FSMO-rolleholdere., Når den nystartede DC modtager de indgående replikationsoplysninger, verificerer den, om det stadig er rolleindehaveren. Hvis det er, genoptager det typiske operationer. Hvis de replikerede oplysninger indikerer, at en anden DC fungerer som rolleindehaveren, opgiver den nystartede DC sit rolleejerskab. Denne adfærd reducerer chancen for, at domænet eller skoven vil have dublerede FSMO rolle indehavere.

vigtigt

AD FS-operationer mislykkes, hvis de kræver en rolleholder, og hvis den nystartede rolleholder faktisk er rolleholderen, og den ikke modtager indgående replikation.,
den resulterende adfærd ligner, hvad der ville ske, hvis rolleindehaveren var offline.

Bestem, hvornår roller skal overføres eller beslaglægges

under typiske forhold skal alle fem roller tildeles “live” DCs i skoven. Når du opretter en Active Directory skov, guiden Active Directory Installation (dcpromo.e .e) tildeler alle fem FSMO-roller til den første DC, som den skaber i forest root-domænet. Når du opretter et barn eller træ domæne, Dcpromo.e .e tildeler de tre domæneomfattende roller til den første DC i domænet.,

DCs fortsætter med at eje FSMO-roller, indtil de tildeles igen ved hjælp af en af følgende metoder:

  • en administrator gentildeler rollen ved hjælp af et GUI-administrativt værktøj.
  • en administrator gentildeler rollen ved at bruge kommandoenntdsutil /roles.
  • en administrator degraderer yndefuldt en rolleholding DC ved hjælp af installationsguiden Active Directory. Denne guide omfordeler alle lokalt holdte roller til en eksisterende DC i skoven.
  • en administrator degraderer en rolleholdende DC ved at bruge kommandoendcpromo /forceremoval.,
  • DC lukker ned og genstarter. Når DC genstarter, modtager den indgående replikationsinformation, der angiver, at en anden DC er rolleholderen. I dette tilfælde afstår den nystartede DC rollen (som beskrevet tidligere).

Hvis en FSMO-rolleholder oplever en fiasko eller på anden måde tages ud af drift, før dens roller overføres, skal du gribe og overføre alle roller til en passende og sund DC.,

Vi anbefaler, at du overfører FSMO-roller i følgende scenarier:

  • den aktuelle rolleholder er operationel og kan tilgås på netværket af den nye FSMO-ejer.
  • du nedbryder graciøst en DC, der i øjeblikket ejer FSMO-roller, som du vil tildele til en bestemt DC i din Active Directory-skov.
  • DC, der i øjeblikket ejer FSMO-roller, tages offline til planlagt vedligeholdelse, og du skal tildele specifikke FSMO-roller til live DCs. Du skal muligvis overføre roller for at udføre operationer, der påvirker FSMO-ejeren., Dette gælder især for PDC Emulator rolle. Dette er et mindre vigtigt spørgsmål for RID master rolle, domæne navngivning master rolle, og skemaet master roller.

Vi anbefaler, at du gribe FSMO-roller i de følgende scenarier:

  • Den nuværende rolle indehaver oplever et operationelle fejl, der forhindrer en FSMO-afhængige drift fra afslutte korrekt, og du kan ikke overføre den rolle.

  • du bruger kommandoen dcpromo /forceremoval til at tvinge-demote en DC, der ejer en FSMO-rolle.,

    vigtigt

    kommandoen dcpromo /forceremoval efterlader FSMO-roller i en ugyldig tilstand, indtil de tildeles af en administrator.

  • operativsystemet på den computer, der oprindeligt ejede en bestemt rolle, findes ikke længere eller er blevet geninstalleret.

Bemærk

  • Vi anbefaler, at du kun beslaglægger alle roller, når den forrige rolleindehaver ikke vender tilbage til domænet.,
  • hvis FSMO-roller skal beslaglægges i skovgenvindingsscenarier, skal du se trin 5 i Udfør indledende gendannelse under Gendan den første skrivbare domænecontroller i hvert domæneafsnit.
  • efter en rolleoverførsel eller beslaglæggelse handler den nye rolleholder ikke straks. I stedet opfører den nye rolleholder sig som en genstartet rolleholder og venter på dens kopi af navngivningskonteksten for rollen (såsom domænepartitionen) for at afslutte en vellykket indgående replikationscyklus., Dette replikationskrav hjælper med at sikre, at den nye rolleholder er så opdateret som muligt, før den griber ind. Det begrænser også muligheden for fejl. Dette vindue indeholder kun ændringer, som den tidligere rolleholder ikke færdig replikere til de andre DCs, før det gik offline. For en liste over navngivningskonteksten for hver FSMO-rolle, se tabellen i afsnittet Mere information.,

Identificere en ny rolle indehaveren

Den bedste kandidat til den nye rolle, som indehaveren er DC, der opfylder følgende kriterier:

  • Det ligger i samme domæne som den tidligere rolle indehaveren.
  • det har den seneste replikerede skrivbare kopi af rollepartitionen.

Antag for eksempel, at du skal overføre Schema master-rollen. Schema master-rollen er en del af skemapartitionen i skoven (cn=Schema,cn=konfiguration,dc=<forest root domain>)., Den bedste kandidat til en ny rolleholder er en DC, der også bor i forest root-domænet, og på det samme Active Directory-sted som den nuværende rolleholder.

forsigtig

sæt ikke Infrastrukturmasterrollen på den samme DC som den globale katalogserver. Hvis Infrastrukturmasteren kører på en global katalogserver, stopper den med at opdatere objektoplysninger, fordi den ikke indeholder nogen henvisninger til objekter, som den ikke indeholder. Dette skyldes, at en global katalog-server har en delvis kopi af hvert objekt i skoven.,

for At teste, om en DC er også en global catalog-serveren, skal du følge disse trin:

  1. Vælg Start > Programmer > Administrative Værktøjer > Active Directory-områder og-Tjenester.
  2. i navigationsruden skal du dobbeltklikke på Sitesebsteder og derefter finde det relevante siteebsted eller vælge standard-first-site-name, hvis ingen andre sitesebsteder er tilgængelige.
  3. Åbn mappen servere, og vælg derefter DC.
  4. dobbeltklik på NTDs-indstillinger i DC-mappen.
  5. vælg Egenskaber i handlingsmenuen.,
  6. på fanen Generelt skal du se afkrydsningsfeltet Global Catalog for at se, om det er valgt.

For mere information, se:

  • AD Skov Recovery – Udnytte en operations master rolle
  • Planlægning af Operationer, Master Placering

Gribe eller overføre FSMO-roller

Du kan bruge Windows PowerShell eller Ntdsutil til at udnytte eller overføre roller. For information og eksempler på, hvordan du bruger Po .ershell til disse opgaver, se Move-ADDirectoryServerOperationMasterrole.,

vigtigt

Hvis du skal gribe RID master-rollen, skal du overveje at bruge Move-ADDirectoryServerOperationMasterrole cmdlet i stedet for Ntdsutil.e .e nytte.

for at undgå risikoen for dobbelt SIDs i domænet, øger Ntdsutil den næste tilgængelige RID i puljen med 10.000, når du griber RID master-rollen. Denne adfærd kan få din skov til helt at forbruge sine tilgængelige intervaller for RID-værdier (også kendt som RID burn). I modsætning hertil, hvis du bruger Po .ershell cmdlet til at gribe RID master-rollen, påvirkes den næste tilgængelige RID ikke.,følg disse trin for at beslaglægge eller overføre FSMO-rollerne ved hjælp af ntdsutil-værktøjet:

  1. Log på en medlemscomputer, der har AD RSAT-værktøjerne installeret, eller en DC, der er placeret i skoven, hvor FSMO-roller overføres.

    Bemærk

    • Vi anbefaler, at du logger på den DC, som du tildeler FSMO-roller til.,
    • Det er logget ind brugeren skal være medlem af gruppen Administratorer for Virksomhed til at overføre Schema master eller domænenavngivningsserver roller, eller et medlem af Domæne Administratorer af det domæne, hvor det er PDC emulator, RID master og Infrastructure master roller bliver overført.

  2. Vælg Start > Kør, skriv ntdsutil i feltet Åbn, og vælg derefter OK.

  3. skriv roller, og tryk derefter på Enter.

    Bemærk

    for at se en liste over tilgængelige kommandoer på en af vejledningen i ntdsutil-værktøjet, skriv ?,, og tryk derefter på Enter.

  4. skriv forbindelser, og tryk derefter på Enter.

  5. Skriv opret forbindelse til server <servername>, og tryk derefter på Enter.

    Bemærk!

    I denne kommando <servername> er navnet på den DC, som du ønsker at tildele FSMO rolle.

  6. på serveren tilslutninger prompt, skriv q, og tryk derefter på Enter.,

  7. du Gøre et af følgende:

    • for At overføre rolle: Type overførsel <rolle>, og tryk derefter på Enter.

      Bemærk

      i denne kommando er<rolle> den rolle, du vil overføre.

    • for At gribe rolle: Type gribe <rolle>, og tryk derefter på Enter.

      Bemærk

      i denne kommando er<rolle> den rolle, du vil gribe.,

    for eksempel, for at gribe RID master-rollen, skriv Grib rid master. Den ene undtagelse er for PDC emulator rolle, hvis syntaks er gribe pdc, ikke gribe PDC emulator.hvis du vil se en liste over roller, som du kan overføre eller gribe, skal du skrive ? på FSMO vedligeholdelse prompt, og tryk derefter på Enter, eller se listen over roller i starten af denne artikel.

  8. Skriv At ved FSMO-vedligeholdelsesprompten, og tryk derefter på Enter for at få adgang til ntdsutil-prompten. Skriv q, og tryk derefter på Enter for at afslutte ntdsutil-værktøjet.,

Hvis det er muligt, og hvis du er i stand til at overføre rollerne i stedet for at gribe dem, skal du rette den forrige rolleholder. Hvis du ikke kan rette den forrige rolleholder, eller hvis du greb rollerne, skal du fjerne den forrige rolleholder fra domænet.

vigtigt

Hvis du planlægger at bruge den reparerede computer som en DC, anbefaler vi, at du genopbygger computeren til en DC fra bunden i stedet for at gendanne DC fra en sikkerhedskopi. Restaureringsprocessen genopbygger DC som rolleholder igen.,

  • for At returnere det reparerede computeren til skoven som en DC

    1. du Gøre et af følgende:

      • Formatér harddisken på den tidligere rolle indehaveren, og derefter geninstallere Windows på computeren.
      • tvinge den tidligere rolleholder til en medlemsserver.

    2. på en anden DC i skoven skal du bruge Ntdsutil til at fjerne metadataene for den tidligere rolleholder. For mere information, se for at rydde op server metadata ved hjælp af Ntdsutil.,

    3. når du har ryddet op i metadataene, kan du ompromote computeren til en DC og overføre en rolle tilbage til den.

  • for at fjerne computeren fra skoven efter at have beslaglagt dens roller

    1. Fjern computeren fra domænet.
    2. på en anden DC i skoven skal du bruge Ntdsutil til at fjerne metadataene for den tidligere rolleholder. For mere information, se for at rydde op server metadata ved hjælp af Ntdsutil.,

Overvejelser, når reintegrere replikation øer

Når du er del af et domæne eller skov, kan ikke kommunikere med resten af domæne eller skov for en udvidet tid, de isolerede dele af domæne eller skov er kendt som replikation øer. DCs på en ø kan ikke replikere med DCs på andre øer. Over flere replikationscyklusser falder replikationsøerne ude af synkronisering. Hvis hver ø har sine egne FSMO-rolleholdere, kan du have problemer, når du gendanner kommunikationen mellem øerne.,

vigtigt

i de fleste tilfælde kan du drage fordel af det oprindelige replikationskrav (som beskrevet i denne artikel) til at udslette duplikatrolleholdere. En genstartet rolleindehaver bør opgive rollen, hvis den opdager en duplikat rolleindehaver.
du kan støde på omstændigheder, som denne adfærd ikke løser. I sådanne tilfælde kan oplysningerne i dette afsnit være nyttige.,

Den følgende tabel identificerer FMSO roller, der kan forårsage problemer, hvis en skov eller et domæne, har flere rolle-indehavere til denne rolle:

Rolle Potentielle konflikter mellem forskellige rolle-indehavere?,
Schema master Yes
Domain naming master Yes
RID master Yes
PDC emulator No
Infrastructure master No

This issue does not affect the PDC Emulator master or the Infrastructure master. These role holders do not persist operational data., Derudover foretager Infrastrukturmesteren ikke ændringer ofte. Derfor, hvis flere øer har disse rolleholdere, du kan reintegrere øerne uden at forårsage langsigtede problemer.

Schema master, domæne navngivning master, og RID master kan oprette objekter og fortsætter ændringer i Active Directory. Hver ø, der har en af disse rolle indehavere kunne have dublerede og modstridende skema objekter, domæner, eller befri puljer af den tid, du gendanne replikation. Før du reintegrere øer, afgøre, hvilken rolle indehavere til at holde., Fjern eventuelle dublerede Skema masters, domæne navngivning masters, og RID masters ved at følge reparation, fjernelse og oprydning procedurer, der er nævnt i denne artikel.,ion-Overførsel og Beslaglæggelse Proces

  • SÅDAN Bruger du Ntdsutil at finde og rydde op i to eksemplarer sikkerheds-id ‘ er i Windows Server
  • Fejlfinding DNS Event ID-4013: DNS-serveren ikke var i stand til at indlæse AD integreret DNS-zoner
  • DCPROMO degradering mislykkes, hvis ikke i stand til at kontakte DNS infrastruktur master
  • FSMO-Roller
  • Udføre indledende recovery
  • AD Skov Recovery – Udnytte en operations master rolle
  • til At rydde op-server metadata ved hjælp Ntdsutil
  • Planlægning af Operationer, Master Placering
  • Flyt-ADDirectoryServerOperationMasterrole

    • Skriv et svar

    Din e-mailadresse vil ikke blive publiceret. Krævede felter er markeret med *