• 09/08/2020
  • 11 perc olvasni
    • D
    • x
    • s

Ez a cikk leírja, hogy mikor, hogyan kell átutalással vagy megragadják Flexible Single Master Műveletek (FSMO) szerepeket.,

eredeti Termékverzió: Windows Server 2019, Windows Server Standard 2016, Windows Server Essentials 2016, Windows Server Datacenter 2016
eredeti KB szám: 255504

További információ

egy Active Directory Domain Services (AD DS) erdőben vannak olyan speciális feladatok, amelyeket csak egy tartományvezérlőnek (DC) kell elvégeznie. Az egyedi műveletek végrehajtásához rendelt DCs-k FSMO szereptartók néven ismertek. Az alábbi táblázat felsorolja az FSMO szerepeket, valamint azok elhelyezését az Active Directory-ban.,

az FSMO szerepkör-tulajdonosokkal kapcsolatos további információkért és a szerepkörök elhelyezésére vonatkozó ajánlásokért lásd: FSMO elhelyezés és optimalizálás az Active Directory tartományvezérlőkön.

Megjegyzés

A DNS-alkalmazáspartíciókat tartalmazó Active Directory Alkalmazáspartíciók FSMO szerephivatkozásokkal rendelkeznek. Ha egy DNS-alkalmazáspartíció meghatározza az infrastruktúra fő szerepének tulajdonosát, akkor nem használhatja az Ntdsutil, a DCPromo vagy más eszközöket az alkalmazáspartíció eltávolításához. További információkért lásd: a DCPROMO lefokozás sikertelen, ha nem tud kapcsolatba lépni a DNS infrastruktúra mesterével.,

amikor egy olyan DC, amely szerepkör-birtokosként működik, futni kezd (például meghibásodás vagy leállítás után), nem azonnal folytatja a szereptartóként való viselkedést. A DC megvárja, amíg bejövő replikációt kap az elnevezési kontextusához (például a séma fő szerepkör tulajdonosa várja, hogy megkapja a séma partíció bejövő replikációját).

azok az információk, amelyeket a DCS az Active Directory replikáció részeként továbbít, magukban foglalják a jelenlegi FSMO szereptartók identitását., Amikor az újonnan elindított DC megkapja a bejövő replikációs információkat, ellenőrzi, hogy továbbra is a szerepkör birtokosa-e. Ha igen, akkor folytatja a tipikus műveleteket. Ha a replikált információ azt jelzi, hogy egy másik DC szerepet tölt be, az újonnan indult DC lemond szerepvállalásáról. Ez a viselkedés csökkenti annak esélyét, hogy a domain vagy az erdő ismétlődő FSMO szerepkörökkel rendelkezik.

fontos

Az AD FS műveletek meghiúsulnak, ha szerepkör-tulajdonosra van szükségük, és ha az újonnan elindított szerepkör-tulajdonos valójában a szerepkör-tulajdonos, és nem kap bejövő replikációt.,
az eredményül kapott viselkedés hasonlít arra, hogy mi történne, ha a szereptulajdonos offline lenne.

határozza meg, mikor kell áthelyezni vagy megragadni a szerepeket

tipikus körülmények között mind az öt szerepet az “élő” DCS-hez kell rendelni az erdőben. Amikor létrehoz egy Active Directory forest, az Active Directory telepítő varázsló (Dcpromo.exe) mind az öt FSMO szerepet hozzárendeli az első DC-hez, amelyet az erdei gyökér tartományban hoz létre. Amikor létrehoz egy gyermek vagy fa domain, Dcpromo.az exe a tartomány első DC-jéhez rendeli a három tartomány egészére kiterjedő szerepkört.,

DCs továbbra is a saját FSMO szerepek, amíg azok hozzárendelése segítségével az alábbi módszerek:

  • egy rendszergazda hozzárendeli a szerepet egy GUI adminisztratív eszköz.
  • az adminisztrátor a ntdsutil /roles parancs segítségével újra hozzárendeli a szerepet.
  • egy rendszergazda kecsesen demotálja a szerepjáték DC segítségével az Active Directory telepítő varázsló. Ez a varázsló minden helyileg megtartott szerepet hozzárendel egy meglévő DC-hez az erdőben.
  • az adminisztrátor a dcpromo /forceremoval parancs használatával demotálja a szerepkör-holding DC-t.,
  • a DC leáll és újraindul. Amikor a DC újraindul, bejövő replikációs információkat kap, amelyek azt jelzik, hogy egy másik DC a szereptartó. Ebben az esetben az újonnan indult DC lemond a szerepről (a korábban leírtak szerint).

Ha egy FSMO szerepkör jogosultja tapasztalatok egy hiba, vagy más módon ki a forgalomból, mielőtt a szerepek át, meg kell ragadnunk, illetve átutalás minden szerepek megfelelő, egészséges DC.,

javasoljuk, hogy az FSMO szerepköröket a következő forgatókönyvekben helyezze át:

  • a jelenlegi szerepkör-tulajdonos működőképes, és az új FSMO tulajdonos a hálózaton elérhető.
  • kecsesen lefokoz egy DC-t, amely jelenleg olyan FSMO-szerepeket birtokol, amelyeket egy adott DC-hez szeretne hozzárendelni az Active Directory erdőben.
  • az FSMO szerepköröket jelenleg birtokló DC offline állapotban van a tervezett karbantartáshoz, és bizonyos FSMO szerepeket kell hozzárendelnie az élő DCS-hez. Előfordulhat, hogy szerepeket kell áthelyeznie az FSMO tulajdonosát érintő műveletek végrehajtásához., Ez különösen igaz a PDC emulátor szerepére. Ez egy kevésbé fontos kérdés a RID mester szerep, A Domain névadó mester szerepe,valamint a séma mester szerepek.

javasoljuk, hogy ragadja meg az FSMO szerepköröket a következő esetekben:

  • a jelenlegi szerepkör-tulajdonos olyan működési hibát tapasztal, amely megakadályozza az FSMO-függő művelet sikeres befejezését, és nem tudja átvinni a szerepet.

  • a dcpromo /forceremoval parancsot használja az FSMO szerepet birtokló DC kényszerítéséhez.,

    fontos

    a dcpromo /forceremoval parancs érvénytelen állapotban hagyja az FSMO szerepeket, amíg azokat egy rendszergazda át nem adja.

  • az operációs rendszer a számítógépen, amely eredetileg egy adott szerepet birtokolt, már nem létezik, vagy újratelepítésre került.

Megjegyzés

  • javasoljuk, hogy csak akkor ragadja meg az összes szerepet, ha az előző szerepkör birtokosa nem tér vissza a tartományba.,
  • ha az FSMO szerepköröket erdő-helyreállítási forgatókönyvekben kell lefoglalni, lásd az 5.lépést a kezdeti helyreállítás végrehajtásában az egyes tartományszakaszok első írható tartományvezérlőjének visszaállítása alatt.
  • szerepátvitel vagy lefoglalás után az új szerepkör-tulajdonos nem jár azonnal. Ehelyett az új szerepkör-birtokos úgy viselkedik, mint egy újraindult szerepkör-birtokos, és várja, hogy a szerepkör elnevezési kontextusának másolata (például a domain partíció) sikeres bejövő replikációs ciklust hajtson végre., Ez a replikációs követelmény segít meggyőződni arról, hogy az új szerepkör birtokosa a lehető legfrissebb, mielőtt cselekedne. Ez korlátozza a hibák lehetőségét is. Ez az ablak csak olyan változtatásokat tartalmaz, amelyeket az előző szerepkör-tulajdonos nem fejezett be a más DCs-re történő replikálással, mielőtt offline állapotba került. Az egyes FSMO-szerepek elnevezési kontextusának listáját lásd a további információk szakaszban található táblázatban.,

új szerepkör-tulajdonos azonosítása

az új szerepkör-tulajdonos legjobb jelöltje egy DC, amely megfelel a következő kritériumoknak:

  • ugyanabban a tartományban található, mint az előző szerepkör-tulajdonos.
  • a szereppartíció legutóbbi replikált írható másolata.

például feltételezzük, hogy át kell adnod a séma fő szerepét. A séma fő szerepe az erdő séma partíciójának része(cn=séma, cn=konfiguráció, dc = <erdei gyökér domain >)., Az új szerepkör birtokosának legjobb jelöltje egy DC, amely szintén az erdő gyökértartományában található, ugyanabban az Active Directory webhelyen, mint a jelenlegi szerepkör birtokosa.

Vigyázat

ne tegye az infrastruktúra fő szerepét ugyanazon DC-re, mint a globális katalógusszerver. Ha az Infrastructure master egy globális katalóguskiszolgálón fut, akkor leállítja az objektuminformációk frissítését, mert nem tartalmaz hivatkozásokat olyan objektumokra,amelyeket nem tart. Ennek oka az, hogy egy globális katalógusszerver az erdő minden objektumának részleges másolatát tartalmazza.,

annak teszteléséhez, hogy a DC globális katalóguskiszolgáló-e, kövesse az alábbi lépéseket:

  1. válassza a Start> programok> adminisztratív eszközök> Active Directory webhelyek és szolgáltatások.
  2. a navigációs ablaktáblán kattintson duplán a webhelyekre, majd keresse meg a megfelelő webhelyet, vagy válassza Az alapértelmezett első webhely nevét, ha más webhely nem áll rendelkezésre.
  3. nyissa meg a kiszolgálók mappát, majd válassza ki a DC-t.
  4. a DC mappájában kattintson duplán az NTDS beállításokra.
  5. a Művelet menüben válassza a Tulajdonságok lehetőséget.,
  6. az Általános lapon tekintse meg a globális katalógus jelölőnégyzetet, hogy megnézze, ki van-e jelölve.

további információért lásd:

  • ad Forest Recovery-egy operations master role megragadása
  • tervezési műveletek Master Role Placement

az FSMO szerepek megragadása vagy átvitele

A Windows PowerShell vagy Ntdsutil segítségével megragadhatja vagy átadhatja a szerepeket. A PowerShell használatára vonatkozó információkat és példákat lásd: Move-ADDirectoryServerOperationMasterrole.,

fontos

Ha meg kell ragadnia a RID mester szerepét, fontolja meg a Move-ADDirectoryServerOperationMasterrole cmdlet használatát az Ntdsutil helyett.exe utility.

annak érdekében, hogy elkerüljük a kettős SIDs kockázatát a domainben, az Ntdsutil 10 000-rel növeli a következő elérhető RID-t a medencében, amikor megragadja a RID mester szerepét. Ez a viselkedés azt okozhatja, hogy az erdő teljesen elfogyasztja a rendelkezésre álló tartományokat a RID értékekhez (más néven RID burn). Ezzel szemben, ha a PowerShell cmdlet segítségével megragadja a RID mester szerepét, a következő elérhető RID nem érinti.,

az FSMO szerepek ntdsutil segédprogram használatával történő megragadásához vagy átviteléhez kövesse az alábbi lépéseket:

  1. jelentkezzen be egy tagszámítógépre, amelyen telepítve van az AD RSAT eszközök, vagy egy DC, amely abban az erdőben található, ahol az FSMO szerepköröket továbbítják.

    Megjegyzés

    • javasoljuk, hogy jelentkezzen be a DC-be, amelyhez FSMO szerepeket rendel.,
    • a bejelentkezett felhasználónak az Enterprise Administrators group tagja kell lennie a séma mester vagy Domain névadó mester szerepkörök átviteléhez, vagy annak a tartománynak a Domain Rendszergazdák csoportjának a tagja, ahol a PDC emulátor, a RID master és az Infrastructure master szerepkörök átkerülnek.

  2. válassza a Start > Futtatás lehetőséget, írja be az Ntdsutil parancsot a nyitott mezőbe, majd válassza az OK lehetőséget.

  3. írja be a szerepeket, majd nyomja meg az Enter billentyűt.

    Megjegyzés

    az elérhető parancsok listájának megtekintéséhez írja be az Ntdsutil segédprogram bármelyik parancsát ?,, majd nyomja meg az Enter billentyűt.

  4. típusú kapcsolatok, majd nyomja meg az Enter billentyűt.

  5. Type connect to server <servername>, majd nyomja meg az Enter billentyűt.

    Megjegyzés

    ebben a parancsban< servername > annak a DC-nek a neve, amelyhez az FSMO-szerepet szeretné hozzárendelni.

  6. a kiszolgáló kapcsolatok promptjában írja be a q parancsot, majd nyomja meg az Enter billentyűt.,

  7. tegye a következők egyikét:

    • a szerep átviteléhez: type transfer <role>, majd nyomja meg az Enter billentyűt.

      Megjegyzés

      ebben a parancsban<szerep > az a szerep, amelyet át szeretne adni.

    • a szerep megragadásához: írja be a megragadás <szerepet>, majd nyomja meg az Enter billentyűt.

      Megjegyzés

      ebben a parancsban<szerep > az a szerep, amelyet meg akar ragadni.,

    például a RID mester szerepének megragadásához írja be a rid mester megragadását. Az egyetlen kivétel a PDC emulátor szerepe, amelynek szintaxisa megragadja a pdc-t, nem ragadja meg a pdc emulátort.

    a szerepek listájának megtekintéséhez, amelyeket átvihet vagy megragadhat, beírhat ? az fsmo karbantartási parancssorában, majd nyomja meg az Enter billentyűt, vagy tekintse meg a szerepek listáját a cikk elején.

  8. az fsmo karbantartási parancssorában írja be a q parancsot, majd nyomja meg az Enter billentyűt az ntdsutil prompt eléréséhez. Írja be a q parancsot, majd nyomja meg az Enter billentyűt az Ntdsutil segédprogram kilépéséhez.,

Ha ez lehetséges, és ha a szerepeket a megragadás helyett át tudja vinni, rögzítse az előző szereptartót. Ha nem tudja megjavítani az előző szerepkör-tulajdonost, vagy ha lefoglalta a szerepköröket, távolítsa el az előző szerepkör-tulajdonost a tartományból.

fontos

Ha a javított számítógépet EGYENÁRAMKÉNT kívánja használni, javasoljuk, hogy a számítógépet a semmiből EGYENÁRAMÚVÁ alakítsa át, ahelyett, hogy visszaállítaná a DC-t egy biztonsági mentésből. A helyreállítási folyamat újra újjáépíti a DC-t szereptartóként.,

  • a javított számítógép DC

    1. – ként történő visszaadásához tegye a következők egyikét:

      • formázza a korábbi szereptartó merevlemezét, majd telepítse újra a Windows rendszert a számítógépre.
      • erőszakkal demote a korábbi szerepe tulajdonosa egy tag szerver.

    2. az erdő másik DC-jén az Ntdsutil segítségével távolítsa el a korábbi szerepkör-tulajdonos metaadatait. További információkért lásd a szerver metaadatainak tisztítását az Ntdsutil használatával.,

    3. miután megtisztította a metaadatokat, újraprogramozhatja a számítógépet egy DC-re, majd áthelyezhet egy szerepet rá.

  • a számítógép eltávolításához az erdőből, miután megragadta szerepeit

    1. távolítsa el a számítógépet a tartományból.
    2. egy másik DC-n az erdőben az Ntdsutil segítségével távolítsa el a korábbi szerepkör-tulajdonos metaadatait. További információkért lásd a szerver metaadatainak tisztítását az Ntdsutil használatával.,

Ha egy tartomány vagy erdő egy része hosszabb ideig nem tud kommunikálni a tartomány vagy erdő többi részével, a tartomány vagy erdő elszigetelt szakaszai replikációs szigetekként ismertek. DCs egy szigeten nem lehet megismételni a DCs más szigeteken. Több replikációs cikluson keresztül a replikációs szigetek kiesnek a szinkronizálásból. Ha minden szigetnek saját FSMO szerepe van, akkor problémái lehetnek a szigetek közötti kommunikáció helyreállításakor.,

fontos

a legtöbb esetben kihasználhatja a kezdeti replikációs követelményt (az ebben a cikkben leírtak szerint), hogy kiszűrje a kettős szereptartókat. Az újraindított szerepkör-tulajdonosnak le kell mondania a szerepről, ha kettős szerepkör-birtokost észlel.
olyan körülményekkel találkozhat, amelyeket ez a viselkedés nem old meg. Ilyen esetekben az ebben a szakaszban szereplő információk hasznosak lehetnek.,

az alábbi táblázat azokat az FMSO-szerepköröket azonosítja, amelyek problémákat okozhatnak, ha egy erdőnek vagy domainnek több szerepköre van erre a szerepre:

szerep lehetséges konfliktusok több szerepkör-tulajdonos között?,
Schema master Yes
Domain naming master Yes
RID master Yes
PDC emulator No
Infrastructure master No

This issue does not affect the PDC Emulator master or the Infrastructure master. These role holders do not persist operational data., Ezenkívül az infrastruktúra-mester nem változtat gyakran. Ezért, ha több sziget rendelkezik ezekkel a szerepkörökkel, akkor a szigeteket hosszú távú problémák nélkül újra integrálhatja.

a séma mester, a Domain névadó mester, a RID mester objektumokat hozhat létre, valamint az Active Directory változásait is. Minden olyan szigeten, ahol van ilyen szerepkör-birtokos, a replikáció visszaállításakor már lehetnek ismétlődő és egymásnak ellentmondó sémaobjektumok, domainek vagy RID-medencék. Mielőtt újra beilleszkedne a szigetekre, határozza meg, hogy mely szerepvállalókat kell tartani., Távolítsa el a duplikált Sémamestereket, a Domain névadó mestereket és a RID masters-t az ebben a cikkben említett javítási, eltávolítási és tisztítási eljárások követésével.,ion át, majd Roham Folyamat

  • útmutató: Használja az Ntdsutil találni takarítani ismétlődő biztonsági azonosítókat a Windows Server
  • Hibaelhárítás DNS-eseményazonosító 4013: A DNS-kiszolgáló nem tudta betölteni a HIRDETÉS integrált DNS-zónák
  • DCPROMO lefokozás nem sikerül, ha nem tud kapcsolatba lépni a DNS-infrastruktúra mester
  • FSMO Szerepkörök
  • hajtsa Végre a kezdeti fellendülés
  • a HIRDETÉS Erdő Recovery – Megragadása műveleti főkiszolgálói szerepkört
  • takarítani szerver metaadatok segítségével Ntdsutil
  • Tervezés Műveleti főkiszolgálói Szerepkört Elhelyezés
  • Áthelyezés-ADDirectoryServerOperationMasterrole

    • Vélemény, hozzászólás?

    Az email címet nem tesszük közzé. A kötelező mezőket * karakterrel jelöltük