• 09/08/2020
  • 11 minuuttia lukea
    • D
    • x
    • s

Tässä artikkelissa kerrotaan, milloin ja miten siirtää tai tarttua Flexible Single Master Operations (FSMO) roolit.,

tuotteen Alkuperäinen versio: Windows Server 2019, Windows Server Standard 2016, Windows Server Essentials 2016, Windows Server Datacenter-2016
Alkuperäinen KB-numero: 255504

lisätietoja

Sisällä Active Directory Domain Services (AD DS) metsä, on erityisiä tehtäviä, jotka on suoritettava vain yksi toimialueen ohjauskone (DC). DCs, jotka on määrätty suorittamaan nämä ainutlaatuiset toiminnot tunnetaan FSMO roolien haltijat. Seuraavassa taulukossa luetellaan FSMO-roolit ja niiden sijoittaminen Active Directoryyn.,

lisätietoja FSMO-roolin haltijat ja suositusten saattamisesta rooleja, katso FSMO sijoitus ja optimoinnin Active Directory-toimialueen ohjauskoneet.

Huom.

Active Directory-Sovelluksen osiot, jotka sisältävät DNS-sovelluksen osiot ovat FSMO-rooli linkkejä. Jos DNS-sovelluksen osio määrittelee omistajan infrastructure master-rooli, et voi käyttää Ntdsutil, DCPromo, tai muita työkaluja poistaa kyseisen sovelluksen osio. Lisätietoja, Katso DCPROMO demotion epäonnistuu, jos ei voi ottaa yhteyttä DNS infrastructure master.,

Kun DC, joka on toiminut rooli pidike alkaa kulua (esimerkiksi sen jälkeen, kun vika tai sammutuksen), se ei välittömästi jatka käyttäytyy kuin roolin haltija. DC odottaa, kunnes se saa itseensä päin replikoinnin sen nimeäminen yhteydessä (esimerkiksi Schema master rooli omistaja odottaa saavansa ulkomailta replikointi Schema partition).

tiedot, jotka DCs-pass osana Active Directory-replikointi sisältää identiteetit nykyinen FSMO-roolin haltijat., Kun vastikään aloittanut DC saa saapuvan toisintotiedon, se varmistaa, onko se edelleen roolinhaltija. Jos on, se jatkaa tyypillisiä toimintoja. Jos replikoida tiedot osoittavat, että toisen DC toimii roolin haltija, äskettäin alkoi DC luopuu sen rooli omistukseen. Tämä käyttäytyminen vähentää mahdollisuutta, että verkkotunnus tai metsä on päällekkäisiä FSMO roolien haltijoita.

Tärkeää

AD FS toimintaa epäonnistua, jos ne vaativat rooli haltija ja jos hiljattain alkoi roolin haltija on, itse asiassa, aseman haltija, ja se ei saa itseensä päin replikoinnin.,
tuloksena oleva käytös muistuttaa sitä, mitä tapahtuisi, jos roolihaltija olisi offline-tilassa.

Määrittää, milloin siirtää tai tarttua roolit

Alle tyypillisiä ehtoja, kaikki viisi roolit on määritetty ”live” DCs metsässä. Kun luot Active Directory Forestin, ohjattu Active Directory-asennus (Dcpromo.exe) antaa kaikki viisi FSMO-roolia ensimmäiselle DC: lle, jonka se luo metsäjuurialueelle. Kun luot lapsi-tai puutunnuksen, Dcpromo.exe antaa kolme domain-wide-roolia verkkotunnuksen ensimmäiselle DC: lle.,

DCs edelleen oma FSMO-roolit, kunnes ne ovat uudelleen käyttämällä jotakin seuraavista menetelmistä:

  • pääkäyttäjä kohdistaa rooli käyttämällä GUI hallinnollinen työkalu.
  • pääkäyttäjä kohdistaa rooli käyttämällä ntdsutil /roles komento.
  • järjestelmänvalvoja poistaa käytöstä roolin ylläpitävän DC: n käyttämällä ohjattua Active Directory-installaatiota. Tämä velho siirtää kaikki paikallisesti pidetyt roolit nykyiselle DC: lle metsässä.
  • ylläpitäjä demotes rooli-holding DC käyttämällä dcpromo /forceremoval komento.,
  • tasavirta sammuu ja käynnistyy uudelleen. Kun tasavirta käynnistyy uudelleen, se saa saapuvia replikaatiotietoja, jotka osoittavat, että toinen DC on roolinhaltija. Tässä tapauksessa vasta aloittanut DC luopuu roolista (kuten aiemmin on kuvattu).

Jos FSMO-roolin haltija kokee epäonnistumisen tai on muuten otettu pois käytöstä ennen kuin sen tehtävät on siirretty, sinun täytyy tarttua ja siirtää kaikki roolit sopiva ja terve DC.,

suosittelemme, että voit siirtää FSMO-roolit seuraavissa tilanteissa:

  • nykyinen rooli haltija on toimiva ja sitä voidaan käyttää verkon uusia FSMO omistaja.
  • Olet sulavasti incompatibility DC, joka omistaa tällä hetkellä FSMO-roolit, jotka haluat määrittää tietyn DC in Active Directory-metsä.
  • DC -, joka omistaa tällä hetkellä FSMO-roolit on otettu offline määräaikaishuolto, ja sinun täytyy asettaa erityisiä FSMO-roolit elää DCs. Voit joutua siirtämään rooleja FSMO: n omistajaan vaikuttavien toimintojen suorittamiseen., Tämä pätee erityisesti PDC emulaattori rooli. Tämä on vähemmän tärkeä kysymys RID master rooli, verkkotunnuksen nimeäminen master rooli, ja skeema master roolit.

suosittelemme, että voit tarttua FSMO-roolit seuraavissa tilanteissa:

  • nykyinen rooli haltija kokee toiminnallinen virhe, joka estää FSMO-riippuvainen operaation loppuun onnistuneesti, ja et voi siirtää roolia.

  • Voit käyttää dcpromo /forceremoval komento voima-alentaa DC, joka omistaa FSMO-rooli.,

    Tärkeää

    dcpromo /forceremoval komento lehdet FSMO-roolit virheellinen valtion, kunnes ne ovat siirron järjestelmänvalvoja.

  • käyttöjärjestelmä tietokoneessa, joka alun perin omisti erityinen rooli ei ole enää olemassa tai on ollut asentanut.

Huom.

  • suosittelemme, että käytät vain takavarikoida kaikki roolit, kun edellisen roolin haltija ei palauta verkkotunnuksen.,
  • Jos FSMO-roolit on oltava takavarikoitu metsän hyödyntämistä skenaarioita, katso vaihe 5 Suorittaa alkuperäisen saannon nojalla Palauttaa ensin kirjoitettava domain controller kunkin toimialueen osa.
  • roolisiirron tai takavarikon jälkeen uusi roolinhaltija ei toimi välittömästi. Sen sijaan uuden roolin haltija käyttäytyy kuin uudelleen roolin haltija ja odottaa sen kopion nimeäminen-kontekstissa rooli (kuten verkkotunnuksen osio) suorittaa onnistuneen itseensä päin replikoinnin aikana., Tämä replikointivaatimus auttaa varmistamaan, että uusi roolinhaltija on mahdollisimman ajan tasalla ennen kuin se ryhtyy toimiin. Se rajoittaa myös virheiden mahdollisuutta. Tämä ikkuna sisältää vain muutoksia, jotka edellisen roolin haltija ei ole valmis toistamaan muiden DCs ennen kuin se meni offline. Luettelo kunkin FSMO-roolin nimeämiskontekstista on taulukossa lisätieto-osiossa.,

Tunnistaa uuden roolin haltija

paras ehdokas uuden roolin haltija on DC, joka täyttää seuraavat kriteerit:

  • Se asuu samassa verkkotunnuksessa kuin edellinen rooli haltijalle.
  • sillä on tuorein replikoitu kirjoitettava kopio roolijaostosta.

Oletetaan esimerkiksi, että skeeman päärooli pitää siirtää. Schema master-rooli on osa schema partition of the forest (cn=Schema,cn=Configuration,dc=<forest root domain>)., Paras ehdokas uudeksi roolinhaltijaksi on DC, joka asuu myös forest root-verkkotunnuksessa ja samalla Active Directory-sivustolla kuin nykyinen roolinhaltija.

varovaisuus

älä laita infrastruktuurin pääroolia samaan DC: hen kuin global catalog server. Jos Infrastructure master toimii global catalog-palvelin, se pysähtyy päivittää objektin tietoja, koska se ei sisällä mitään viittauksia esineitä, joita se ei pidä. Tämä johtuu siitä, että global catalog server pitää osittaista jäljennöstä jokaisesta esineestä metsässä.,

testata, onko DC on myös global catalog-palvelin, toimi seuraavasti:

  1. Valitse Aloita > Ohjelmat > valvontatyökalut > Active Directoryn saitit ja Palvelut.
  2. navigointiruudussa kaksoisnapsauta sivustoja ja etsi sitten sopiva sivusto tai valitse Oletus-ensimmäisen sivuston nimi, jos muita sivustoja ei ole saatavilla.
  3. avaa palvelinten kansio ja valitse sitten DC.
  4. DC: n kansiossa kaksoisnapsauta NTDS-asetuksia.
  5. valitse Toiminto-valikosta Ominaisuudet.,
  6. Katso yleisestä välilehdestä Global Catalogin valintaruutu nähdäksesi, onko se valittu.

lisätietoja:

  • AD-Metsän Recovery – Takavarikoimalla operations master-rooli
  • Suunnittelu Operations Master-Rooli Sijoitus

Takavarikoida tai siirtää FSMO-roolit

Voit käyttää Windows PowerShell tai Ntdsutil tarttumaan tai siirtää rooleja. Lisätietoja ja esimerkkejä siitä, miten Powershellia käytetään näissä tehtävissä, Katso Move-Addictoryseroperationmasterrole.,

Tärkeää

Jos sinun täytyy tarttua RID master-rooli, voit käyttää Move-ADDirectoryServerOperationMasterrole cmdlet sijaan Ntdsutil.exe utility.

vältetään päällekkäisiä Sid verkkotunnuksen, Ntdsutil välein seuraavan käytettävissä EROON allas 10 000 hengellä, kun voit tarttua RID master-rooli. Tämä käyttäytyminen voi aiheuttaa metsä täysin kuluttaa sen käytettävissä olevat alueet rid arvot (tunnetaan myös nimellä rid burn). Sen sijaan, jos käytät PowerShell cmdlet tarttua RID master rooli, seuraava saatavilla RID ei vaikuta.,

tarttua tai siirtää FSMO-roolit käyttämällä Ntdsutil-apuohjelman seuraavasti:

  1. Kirjaudu sisään jäsen-tietokone, joka on AD-RSAT työkaluja asennettuna, tai DC, joka sijaitsee metsässä, jossa FSMO-roolit siirretään.

    Huom.

    • suosittelemme, että kirjaudut DC, johon olet liittämässä FSMO-roolit.,
    • on allekirjoittanut käyttäjän tulee olla jäsenenä Yrityksen Järjestelmänvalvojat-ryhmä siirtää Schema master tai Domain naming master roolit, tai jäsen Toimialueen Järjestelmänvalvojat-ryhmän verkkotunnuksen, jossa PDC-emulaattori, RID master ja Infrastructure master roolit siirretään.

  2. Valitse Aloita > Suorita, kirjoita ntdsutil Avaa-ruutuun ja valitse sitten OK.

  3. Tyyppiroolit, ja paina Enter.

    huomaa

    nähdäksesi luettelon käytettävissä olevista komennoista missä tahansa Ntdsutil-apuohjelman ohjeessa, Kirjoita ?, ja paina Enteriä.

  4. Tyyppiyhteydet, ja paina Enter.

  5. Kirjoita connect to server <servername>, ja paina sitten Enter-näppäintä.

    Huom.

    tässä komennossa <servername> on nimi DC, jonka haluat siirtää FSMO-rooli.

  6. palvelinyhteyskehotteessa, Kirjoita q ja paina Enter.,

  7. Tee yksi seuraavista:

    • siirtää rooli: Tyyppi siirto <rooli>, ja paina sitten Enter-näppäintä.

      Huom.

      tässä komennossa <rooli> on rooli, jonka haluat siirtää.

    • tarttumaan rooli: Tyyppi tarttua <rooli>, ja paina sitten Enter-näppäintä.

      Huom.

      tässä komennossa <rooli> on rooli, jonka haluat kaapata.,

    esimerkiksi tarttuakseen rid-mestarirooliin, type seize rid master. Yksi poikkeus on PDC emulaattori rooli, jonka syntaksi on takavarikoida pdc, ei takavarikoida pdc emulaattori.

    nähdäksesi listan rooleista, joita voit siirtää tai takavarikoida, Kirjoita ? FSMO – huoltokehotteessa ja paina Enter-näppäintä tai katso roolilista tämän artikkelin alussa.

  8. Klo fsmo maintenance-kehotteeseen, kirjoita q ja paina Enter-näppäintä päästä ntdsutil-kehotteessa. Kirjoita q, ja paina Enter lopettaa Ntdsutil apuohjelma.,

Jos se on mahdollista, ja jos sinulla on mahdollisuus siirtää rooleja sijaan takavarikoi ne, korjata edellisen roolin haltija. Jos et pysty korjaamaan edellistä roolinhaltijaa tai jos olet takavarikoinut roolit, poista edellinen roolinhaltija verkkotunnuksesta.

Tärkeää

Jos aiot käyttää korjata tietokoneen DC, suosittelemme, että voit rakentaa tietokoneen DC tyhjästä sen sijaan palauttaa DC varmuuskopiosta. Restaurointiprosessi uudistaa DC: n jälleen roolipidikkeeksi.,

  • palauta korjata tietokoneen metsään kuin DC

    1. Tee yksi seuraavista:

      • Alustaa kiintolevyn entisen aseman haltija, ja sitten asentaa Windows-tietokoneeseen.
      • Demotoi entisen roolihenkilön väkisin jäsenpalvelimelle.

    2. toisen DC metsässä, käytä Ntdsutil poistaa metadata entisen roolin haltija. Lisätietoja, Katso puhdistaa palvelimen metatiedot käyttämällä Ntdsutil.,

    3. metatietojen puhdistamisen jälkeen tietokoneen voi siirtää DC: hen ja siirtää roolin takaisin sille.

  • poista tietokoneen metsän jälkeen takavarikoimalla sen roolit

    1. Poista tietokone toimialueesta.
    2. toisessa DC: ssä metsässä, käytä ntdsutilia poistaaksesi metatiedot entisestä roolihenkilöstä. Lisätietoja, Katso puhdistaa palvelimen metatiedot käyttämällä Ntdsutil.,

Näkökohtia, kun integroimaan replikointi saaret

Kun osa toimialueen tai metsän voi kommunikoida muun toimialueen tai metsän pitkäksi aikaa, eristetty osat toimialueen tai metsän tunnetaan replikointi saaret. Yhden saaren DCs ei voi toistua muiden saarten DCs: n kanssa. Useiden replikaatiosyklien aikana replikaatiosaaret hajoavat. Jos jokaisella saarella on omat FSMO roolinhaltijat, sinulla voi olla ongelmia, kun palautat yhteyden saarten välillä.,

Tärkeää

useimmissa tapauksissa voit ottaa etu alkuperäisen replikointi vaatimus (kuten on kuvattu tässä artikkelissa) karsia päällekkäisiä rooli haltijoille. Uudelleen käynnistetyn roolinhaltijan on luovuttava roolista, jos se havaitsee päällekkäisen roolinhaltijan.
saatat kohdata tilanteita, joita tämä käytös ei ratkaise. Tällaisissa tapauksissa tämän jakson tiedot voivat olla hyödyllisiä.,

seuraavassa taulukossa tunnistaa FMSO rooleja, jotka voivat aiheuttaa ongelmia, jos metsän tai toimialueen on useita rooli-pitimet, että rooli:

Rooli Mahdolliset ristiriidat välillä useita rooli-haltijat?,
Schema master Yes
Domain naming master Yes
RID master Yes
PDC emulator No
Infrastructure master No

This issue does not affect the PDC Emulator master or the Infrastructure master. These role holders do not persist operational data., Lisäksi rataverkon haltija ei tee muutoksia usein. Siksi, jos useita saaria on näiden rooli haltijat, voit integroida saaret aiheuttamatta pitkän aikavälin kysymyksiä.

skeema master, verkkotunnuksen Nimeämismestari ja rid master voivat luoda objekteja ja jatkaa muutoksia Active Directoryssa. Jokaisella saarella, jolla on yksi näistä roolien haltijoista, voi olla päällekkäisiä ja ristiriitaisia skeema-esineitä, verkkotunnuksia tai rid-altaita siihen mennessä, kun palautat replikaation. Ennen kuin integroit saaret uudelleen, määritä, mitkä roolihenkilöt pitää., Poista kaikki päällekkäiset skeema masters, verkkotunnuksen nimeäminen masters, ja RID masters noudattamalla korjaus, poisto, ja puhdistus menettelyjä, jotka mainitaan tässä artikkelissa.,ioni Siirtää ja Takavarikko Prosessi

  • MITEN: Käytä Ntdsutil löytää ja puhdistaa päällekkäisiä turvallisuus tunnisteet Windows Server
  • Vianmääritys DNS-Tapahtuma ID 4013: DNS-palvelin ei voi ladata AD on integroitu DNS-alueet
  • DCPROMO alentaminen epäonnistuu, jos voi ottaa yhteyttä DNS-infrastruktuuri-mestari
  • FSMO-Roolit
  • Suorittaa toipumisen
  • AD-Metsän Recovery – Takavarikoimalla operations master-rooli
  • siivota server-metatietovaraston käyttämällä Ntdsutil
  • Suunnittelu Operations Master-Rooli Sijoitus
  • Siirrä-ADDirectoryServerOperationMasterrole

    • Vastaa

    Sähköpostiosoitettasi ei julkaista. Pakolliset kentät on merkitty *