• 09/08/2020
  • 11 minutes pour lire
    • D
    • x
    • s

Cet article décrit quand et comment transférer ou saisir des rôles FSMO (flexible single master operations).,

version originale du produit: Windows Server 2019, Windows Server Standard 2016, Windows Server Essentials 2016, Windows Server Datacenter 2016
numéro KB Original: 255504

plus d’informations

dans une forêt de services de domaine Active Directory (AD DS), des tâches spécifiques doivent être effectuées par un seul contrôleur de domaine (DC). Les DCs qui sont assignés pour effectuer ces opérations uniques sont connus sous le nom de titulaires de rôle FSMO. Le tableau suivant répertorie les rôles FSMO et leur placement dans Active Directory.,

pour plus d’informations sur les détenteurs de rôles FSMO et des recommandations pour placer les rôles, voir placement et optimisation FSMO sur les contrôleurs de domaine Active Directory.

Remarque

Les partitions D’Application Active Directory qui incluent des partitions D’application DNS ont des liens de rôle FSMO. Si une partition D’application DNS définit un propriétaire pour le rôle maître d’infrastructure, vous ne pouvez pas utiliser Ntdsutil, DCPromo ou d’autres outils pour supprimer cette partition d’application. Pour plus d’informations, consultez échec de la rétrogradation DCPROMO si vous ne parvenez pas à contacter le maître de L’infrastructure DNS.,

lorsqu’un DC qui a agi en tant que titulaire de rôle commence à s’exécuter (par exemple, après une panne ou un arrêt), il ne reprend pas immédiatement son comportement en tant que titulaire de rôle. Le DC attend jusqu’à ce qu’il reçoive la réplication entrante pour son contexte de nommage (par exemple, le propriétaire du rôle maître de schéma attend de recevoir la réplication entrante de la partition de schéma).

les informations que le DCs transmettent dans le cadre de la réplication Active Directory incluent les identités des détenteurs actuels de rôle FSMO., Quand le C. C nouvellement commencé reçoit les informations d’arrivée de réplication, il vérifie s’il est toujours le titulaire de rôle. Si c’est le cas, il reprend les opérations typiques. Si l’information reproduite indique qu’un autre DC agit en tant que titulaire du rôle, le DC nouvellement créé renonce à sa propriété du rôle. Ce comportement réduit les chances que le domaine ou la forêt ait des détenteurs de rôle FSMO en double.

Important

Les opérations AD FS échouent si elles nécessitent un titulaire de rôle et si le titulaire de rôle nouvellement démarré est, en fait, le titulaire de rôle et qu’il ne reçoit pas de réplication entrante.,
le comportement résultant ressemble à ce qui se passerait si le titulaire du rôle était hors ligne.

déterminer quand transférer ou saisir des rôles

dans des conditions typiques, les cinq rôles doivent être attribués à des CD « vivants » dans la forêt. Lorsque vous créez une forêt Active Directory, L’Assistant D’Installation Active Directory (Dcpromo.exe) assigne les cinq rôles FSMO au premier DC qu’il crée dans le domaine racine de la forêt. Lorsque vous créez un domaine enfant ou arborescent, Dcpromo.exe assigne les trois rôles à l’échelle du domaine au premier DC du domaine.,

Les DCs continuent de posséder des rôles FSMO jusqu’à ce qu’ils soient réaffectés à l’aide de l’une des méthodes suivantes:

  • Un administrateur réaffecte le rôle à l’aide d’un outil D’administration GUI.
  • Un administrateur réaffecte le rôle à l’aide de la commandentdsutil /roles.
  • Un administrateur rétrograde gracieusement un DC tenant un rôle à l’aide de L’Assistant D’Installation Active Directory. Cet assistant réaffecte tous les rôles détenus localement à un CD existant dans la forêt.
  • Un administrateur rétrograde un DC tenant un rôle à l’aide de la commande dcpromo /forceremoval.,
  • Le DC s’arrête et redémarre. Quand le C. C redémarre, il reçoit des informations d’arrivée de réplication qui indiquent qu’un autre C. c est le titulaire de rôle. Dans ce cas, le DC nouvellement démarré abandonne le rôle (comme décrit précédemment).

Si un titulaire de rôle FSMO connaît une défaillance ou est mis hors service avant que ses rôles ne soient transférés, Vous devez saisir et transférer tous les rôles à un DC approprié et sain.,

nous vous recommandons de transférer les rôles FSMO dans les scénarios suivants:

  • Le titulaire actuel du rôle est opérationnel et peut être consulté sur le réseau par le nouveau propriétaire FSMO.
  • vous rétrogradez gracieusement un DC qui possède actuellement des rôles FSMO que vous souhaitez attribuer à un DC spécifique dans votre forêt Active Directory.
  • Le DC qui possède actuellement des rôles FSMO est mis hors ligne pour une maintenance planifiée, et vous devez attribuer des rôles FSMO spécifiques à live DCs. Vous devrez peut-être transférer des rôles pour effectuer des opérations qui affectent le propriétaire FSMO., Cela est particulièrement vrai pour le rôle de L’émulateur PDC. Il s’agit d’un problème moins important pour le rôle maître RID, le rôle maître de nommage de domaine et les rôles maître de schéma.

Nous vous recommandons de saisir les rôles FSMO dans les scénarios suivants:

  • Le titulaire actuel du rôle connaît une erreur opérationnelle qui empêche une opération dépendante de FSMO de se terminer avec succès, et vous ne pouvez pas transférer le rôle.

  • vous utilisez la commandedcpromo /forceremoval pour forcer la rétrogradation d’un DC qui possède un rôle FSMO.,

    Important

    la commande dcpromo /forceremoval laisse les rôles FSMO dans un état non valide jusqu’à ce qu’ils soient réaffectés par un administrateur.

  • Le système d’exploitation sur l’ordinateur qui détenait à l’origine un rôle spécifique n’existe plus ou a été réinstallé.

Remarque

  • Nous vous recommandons de prendre tous les rôles uniquement lorsque le précédent détenteur du rôle n’est pas de retour au domaine.,
  • Si les rôles FSMO doivent être saisis dans les scénarios de rétablissement forestier, reportez-vous à l’étape 5 Dans effectuer la récupération initiale sous la section Restaurer le premier contrôleur de domaine accessible en écriture dans chaque domaine.
  • après un transfert ou une saisie de rôle, le nouveau titulaire du rôle n’agit pas immédiatement. Au lieu de cela, le nouveau titulaire de rôle se comporte comme un titulaire de rôle redémarré et attend que sa copie du contexte de dénomination du rôle (comme la partition de domaine) termine un cycle de réplication entrante réussi., Cette exigence de réplication permet de s’assurer que le nouveau titulaire du rôle est aussi à jour que possible avant de prendre des mesures. Il limite également la fenêtre d’opportunité pour les erreurs. Cette fenêtre ne comprend que les modifications que le titulaire du rôle précédent n’a pas fini de répliquer à l’autre DCs avant qu’il ne soit déconnecté. Pour obtenir une liste du contexte de nommage pour chaque rôle FSMO, reportez-vous à la section tableau à plus d’informations.,

Identifier un nouveau détenteur de rôle

le meilleur candidat pour Le nouveau détenteur de rôle est un contrôleur de domaine qui répond aux critères suivants:

  • Il réside dans le même domaine que le précédent détenteur du rôle.
  • Il a la copie en écriture répliquée la plus récente de la partition de rôle.

par exemple, supposons que vous devez transférer le rôle maître du schéma. Le rôle maître de schéma fait partie de la partition de schéma de la forêt (cn=Schema,cn=Configuration,dc=<domaine racine de la forêt>)., Le meilleur candidat pour un nouveau titulaire de rôle est un DC qui réside également dans le domaine racine de la forêt et dans le même site Active Directory que le titulaire de rôle actuel.

attention

Ne placez pas le rôle maître D’Infrastructure sur le même DC que le serveur de catalogue global. Si le maître D’Infrastructure s’exécute sur un serveur de catalogue global, il cesse de mettre à jour les informations d’objet car il ne contient aucune référence aux objets qu’il ne détient pas. En effet, un serveur de catalogue global contient une réplique partielle de chaque objet de la forêt.,

Pour tester si un contrôleur de domaine est également un serveur de catalogue global suivez ces étapes:

  1. Sélectionnez Démarrer > Programmes > Outils d’Administration > Sites et Services Active Directory.
  2. dans le volet de navigation, double-cliquez sur Sites, puis localisez le site approprié ou sélectionnez Default-first-site-name si aucun autre site n’est disponible.
  3. ouvrez le dossier Serveurs, puis sélectionnez le DC.
  4. dans le dossier DC, double-cliquez sur Paramètres NTDS.
  5. dans le menu Action, sélectionnez Propriétés.,
  6. dans L’onglet Général, cochez la case catalogue Global pour voir si elle est sélectionnée.

Pour plus d’informations, voir:

  • AD Récupération de la Forêt, – la saisie d’un rôle de maître d’opérations
  • de Planification Rôle de Maître d’Opérations de Placement

Saisir ou de transfert des rôles FSMO

Vous pouvez utiliser Windows PowerShell ou Ntdsutil pour saisir ou de transférer des rôles. Pour plus d’informations et des exemples d’utilisation de PowerShell pour ces tâches, consultez Move-ADDirectoryServerOperationMasterrole.,

Important

Si vous devez saisir le rôle maître RID, envisagez d’utiliser L’applet de commande Move-ADDirectoryServerOperationMasterrole au lieu du Ntdsutil.utilitaire exe.

pour éviter le risque de doublons de SID dans le domaine, Ntdsutil incrémente le prochain RID disponible dans le pool de 10 000 lorsque vous saisissez le rôle maître RID. Ce comportement peut amener votre forêt à consommer complètement ses plages disponibles pour les valeurs RID (également connues sous le nom de brûlure RID). En revanche, si vous utilisez L’applet de commande PowerShell pour saisir le rôle maître RID, le prochain RID disponible n’est pas affecté.,

pour saisir ou transférer les rôles FSMO à l’aide de L’utilitaire Ntdsutil, procédez comme suit:

  1. connectez-vous à un ordinateur membre sur lequel les outils AD RSAT sont installés, ou à un DC Situé dans la forêt où les rôles FSMO sont transférés.

    Remarque

    • nous vous recommandons de vous connecter au DC auquel vous attribuez des rôles FSMO.,
    • l’utilisateur connecté doit être membre du groupe Administrateurs D’entreprise pour transférer les rôles maître de schéma ou maître de nommage de domaine, ou membre du groupe Administrateurs de domaine du domaine dans lequel l’émulateur PDC, maître RID et les rôles maître D’Infrastructure sont transférés.

  2. Sélectionnez Démarrer > Exécuter, tapez ntdsutil dans la zone Ouvrir, puis sélectionnez OK.

  3. Tapez roles, puis appuyez sur Entrée.

    Remarque

    Pour voir une liste des commandes disponibles dans toutes les invites de l’utilitaire Ntdsutil, type ?, et puis appuyez sur Entrée.

  4. Tapez connexions, puis appuyez sur Entrée.

  5. Type de connexion au serveur <servername>, puis appuyez sur Entrée.

    Remarque

    Dans cette commande, <servername> est le nom du contrôleur de domaine que vous souhaitez attribuer le rôle FSMO.

  6. à l’invite connexions serveur, tapez q, puis appuyez sur Entrée.,

  7. effectuez l’une des opérations suivantes:

    • Pour transférer le rôle: Type de transfert de <rôle>, puis appuyez sur Entrée.

      Remarque

      Dans cette commande, <rôle> le rôle que vous souhaitez transférer.

    • Pour saisir le rôle: Type de saisir <rôle>, puis appuyez sur Entrée.

      Remarque

      Dans cette commande, <rôle> le rôle que vous souhaitez saisir.,

    par exemple, pour saisir le rôle maître RID, tapez saisir maître rid. La seule exception concerne le rôle D’émulateur PDC, dont la syntaxe est seize pdc, pas seize pdc emulator.

    Pour voir la liste des rôles que vous pouvez transférer ou de saisie, tapez ? à l’invite fsmo maintenance, puis appuyez sur Entrée, ou consultez la liste des rôles au début de cet article.

  8. À l’invite fsmo maintenance, de type q, puis appuyez sur Entrée pour accéder à l’invite ntdsutil. Tapez q, puis appuyez sur Entrée pour quitter l’utilitaire Ntdsutil.,

Si c’est possible, et si vous êtes en mesure de transférer les rôles au lieu de les saisir, corriger le précédent détenteur du rôle. Si vous ne pouvez pas corriger le titulaire du rôle précédent ou si vous avez saisi les rôles, supprimez le titulaire du rôle précédent du domaine.

Important

Si vous prévoyez d’utiliser L’ordinateur réparé en tant que DC, nous vous recommandons de reconstruire l’ordinateur en DC à partir de zéro au lieu de restaurer le DC à partir d’une sauvegarde. Le processus de restauration reconstruit le DC en tant que titulaire du rôle à nouveau.,

  • Pour retourner la réparation ordinateur à la forêt en tant que DC

    1. effectuez l’une des opérations suivantes:

      • Formater le disque dur de l’ancien détenteur de rôle, puis réinstaller Windows sur l’ordinateur.
      • rétrograder de force l’ancien titulaire du rôle à un serveur membre.

    2. sur un autre DC dans la forêt, utilisez Ntdsutil pour supprimer les métadonnées de l’ancien titulaire du rôle. Pour plus d’informations, consultez pour nettoyer les métadonnées du serveur à l’aide de Ntdsutil.,

    3. Après avoir nettoyé les métadonnées, vous pouvez repromoter l’ordinateur vers un DC et y Transférer un rôle.

  • Pour supprimer l’ordinateur de la forêt, après avoir pris ses rôles

    1. Supprimer l’ordinateur dans le domaine.
    2. sur un autre DC dans la forêt, utilisez Ntdsutil pour supprimer les métadonnées de l’ancien titulaire du rôle. Pour plus d’informations, consultez pour nettoyer les métadonnées du serveur à l’aide de Ntdsutil.,

considérations lors de la réintégration des îlots de réplication

Lorsqu’une partie d’un domaine ou d’une forêt ne peut pas communiquer avec le reste du domaine ou de la forêt pendant une période prolongée, les sections isolées du domaine ou de la forêt sont appelées îlots de réplication. Les CD d’une île ne peuvent pas se reproduire avec les CD d’autres Îles. Au cours de plusieurs cycles de réplication, les îlots de réplication sont désynchronisés. Si chaque île a ses propres détenteurs de rôle FSMO, vous pouvez avoir des problèmes lorsque vous rétablissez la communication entre les îles.,

Important

dans la plupart des cas, vous pouvez tirer parti de l’exigence de réplication initiale (comme décrit dans cet article) pour éliminer les détenteurs de rôles en double. Un titulaire de rôle redémarré doit abandonner le rôle s’il détecte un titulaire de rôle en double.
Vous pouvez rencontrer des circonstances que ce comportement ne résout pas. Dans de tels cas, les informations contenues dans cette section peuvent être utiles.,

le tableau suivant identifie les rôles FMSO qui peuvent causer des problèmes si une forêt ou un domaine a plusieurs détenteurs de rôles pour ce rôle:

rôle conflits potentiels entre plusieurs détenteurs de rôles?,
Schema master Yes
Domain naming master Yes
RID master Yes
PDC emulator No
Infrastructure master No

This issue does not affect the PDC Emulator master or the Infrastructure master. These role holders do not persist operational data., De plus, le maître de L’Infrastructure n’apporte pas souvent de modifications. Par conséquent, si plusieurs îles ont ces détenteurs de rôle, vous pouvez réintégrer les îles sans causer de problèmes à long terme.

Le Maître de schéma, le maître de nommage de domaine et le maître RID peuvent créer des objets et conserver les modifications dans Active Directory. Au moment de la restauration de la réplication, chaque île qui possède l’un de ces détenteurs de rôles peut avoir des objets de schéma, des domaines ou des pools RID en double et en conflit. Avant de réintégrer les îles, déterminez quels titulaires de rôle conserver., Supprimez tous les maîtres de schéma en double, les maîtres de nommage de domaine et les maîtres RID en suivant les procédures de réparation, de suppression et de nettoyage mentionnées dans cet article.,processus de transfert et de saisie d’ions

  • comment: utiliser Ntdsutil pour rechercher et nettoyer les identifiants de sécurité en double dans Windows Server
  • dépannage de L’ID D’événement DNS 4013: le serveur DNS n’a pas pu charger les zones DNS intégrées AD
  • la rétrogradation DCPROMO échoue si vous ne parvenez pas à contacter le maître nettoyez les métadonnées du serveur à l’aide de Ntdsutil
  • planification des opérations placement du rôle principal
  • move – Addirectoryserveroperationmasterrole

    • Laisser un commentaire

    Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *