• 09/08/2020
  • 11 minuti a leggere
    • D
    • x

Questo articolo descrive quando e come assegnare o trasferire (Flexible Single Master Operations FSMO).,

prodotto Originale versione: Windows Server 2019, Windows Server Standard 2016, Windows Server Essentials 2016, Windows Server Datacenter 2016
Originale numero di KB: 255504

Ulteriori informazioni

all’Interno di un Active Directory Domain Services (AD DS), la foresta, ci sono compiti specifici che devono essere eseguite da un solo controller di dominio (DC). I DC assegnati per eseguire queste operazioni univoche sono noti come titolari di ruolo FSMO. La tabella seguente elenca i ruoli FSMO e il loro posizionamento in Active Directory.,

Per ulteriori informazioni sui titolari dei ruoli FSMO e sui consigli per il posizionamento dei ruoli, vedere Posizionamento e ottimizzazione FSMO nei controller di dominio di Active Directory.

Nota

Le partizioni di applicazioni Active Directory che includono partizioni di applicazioni DNS hanno collegamenti di ruolo FSMO. Se una partizione dell’applicazione DNS definisce un proprietario per il ruolo master dell’infrastruttura, non è possibile utilizzare Ntdsutil, DCPromo o altri strumenti per rimuovere tale partizione dell’applicazione. Per ulteriori informazioni, vedere DCPROMO retrocessione non riesce se non è possibile contattare il master dell’infrastruttura DNS.,

Quando un DC che ha agito come titolare del ruolo inizia a funzionare (ad esempio, dopo un errore o un arresto), non riprende immediatamente a comportarsi come titolare del ruolo. Il DC attende fino a quando non riceve la replica in entrata per il suo contesto di denominazione (ad esempio, il proprietario del ruolo principale dello schema attende di ricevere la replica in entrata della partizione dello schema).

Le informazioni che il DCs passa come parte della replica di Active Directory includono le identità dei titolari dei ruoli FSMO correnti., Quando il DC appena avviato riceve le informazioni di replica in entrata, verifica se è ancora il titolare del ruolo. Se lo è, riprende le operazioni tipiche. Se le informazioni replicate indicano che un altro DC agisce come titolare del ruolo, il DC appena avviato rinuncia alla proprietà del ruolo. Questo comportamento riduce la possibilità che il dominio o la foresta abbiano titolari di ruolo FSMO duplicati.

Importante

Le operazioni AD FS falliscono se richiedono un titolare di ruolo e se il titolare di ruolo appena avviato è, infatti, il titolare di ruolo e non riceve la replica in entrata.,
Il comportamento risultante assomiglia a quello che accadrebbe se il titolare del ruolo fosse offline.

Determina quando trasferire o cogliere i ruoli

In condizioni tipiche, tutti e cinque i ruoli devono essere assegnati a DCS “live” nella foresta. Quando si crea una foresta di Active Directory, la procedura guidata di installazione di Active Directory (Dcpromo.exe) assegna tutti e cinque i ruoli FSMO al primo DC che crea nel dominio radice della foresta. Quando si crea un dominio figlio o albero, Dcpromo.exe assegna i tre ruoli a livello di dominio al primo DC nel dominio.,

I DCS continuano a possedere ruoli FSMO fino a quando non vengono riassegnati utilizzando uno dei seguenti metodi:

  • Un amministratore riassegna il ruolo utilizzando uno strumento di amministrazione GUI.
  • Un amministratore riassegna il ruolo utilizzando il comandontdsutil /roles.
  • Un amministratore demota con garbo un CC che detiene il ruolo utilizzando la procedura guidata di installazione di Active Directory. Questa procedura guidata riassegna tutti i ruoli detenuti localmente a un DC esistente nella foresta.
  • Un amministratore demota un DC che detiene il ruolo utilizzando il comandodcpromo /forceremoval.,
  • Il DC si spegne e si riavvia. Quando il DC si riavvia, riceve le informazioni di replica in entrata che indicano che un altro DC è il titolare del ruolo. In questo caso, la DC appena avviata rinuncia al ruolo (come descritto in precedenza).

Se un titolare di ruolo FSMO subisce un errore o viene altrimenti messo fuori servizio prima che i suoi ruoli vengano trasferiti, è necessario cogliere e trasferire tutti i ruoli a un DC appropriato e sano.,

Si consiglia di trasferire ruoli FSMO nei seguenti scenari:

  • L’attuale titolare del ruolo è operativo e può essere raggiunto sulla rete dal nuovo proprietario FSMO.
  • Si sta retrocedendo con garbo un DC che attualmente possiede ruoli FSMO che si desidera assegnare a un DC specifico nella foresta di Active Directory.
  • Il DC che attualmente possiede i ruoli FSMO viene preso offline per la manutenzione programmata e devi assegnare ruoli FSMO specifici a live DCs. Potrebbe essere necessario trasferire i ruoli per eseguire operazioni che interessano il proprietario FSMO., Questo è particolarmente vero per il ruolo emulatore PDC. Questo è un problema meno importante per il ruolo master RID, il ruolo master di denominazione del dominio e i ruoli master Schema.

Si consiglia di cogliere i ruoli FSMO nei seguenti scenari:

  • Il titolare del ruolo corrente sta riscontrando un errore operativo che impedisce il completamento corretto di un’operazione dipendente da FSMO e non è possibile trasferire il ruolo.

  • Si utilizza il comando dcpromo /forceremoval per forzare l’abbassamento di un DC che possiede un ruolo FSMO.,

    Importante

    Il comando dcpromo /forceremoval lascia i ruoli FSMO in uno stato non valido fino a quando non vengono riassegnati da un amministratore.

  • Il sistema operativo del computer che originariamente possedeva un ruolo specifico non esiste più o è stato reinstallato.

Nota

  • Si consiglia di acquisire tutti i ruoli solo quando il titolare del ruolo precedente non sta tornando al dominio.,
  • Se i ruoli FSMO devono essere sequestrati in scenari di recupero forestale, vedere passaggio 5 in Esegui ripristino iniziale nella sezione Ripristina il primo controller di dominio scrivibile in ogni dominio.
  • Dopo un trasferimento di ruolo o un sequestro, il nuovo titolare del ruolo non agisce immediatamente. Al contrario, il nuovo titolare del ruolo si comporta come un titolare del ruolo riavviato e attende la copia del contesto di denominazione per il ruolo (ad esempio la partizione del dominio) per completare un ciclo di replica in entrata riuscito., Questo requisito di replica aiuta a garantire che il nuovo titolare del ruolo sia il più aggiornato possibile prima di agire. Limita anche la finestra di opportunità per gli errori. Questa finestra include solo le modifiche che il titolare del ruolo precedente non ha completato la replica all’altro DCS prima che fosse offline. Per un elenco del contesto di denominazione per ogni ruolo FSMO, vedere la tabella nella sezione Ulteriori informazioni.,

Identificare un nuovo titolare di ruolo

Il candidato migliore per il nuovo titolare di ruolo è un CC che soddisfa i seguenti criteri:

  • Risiede nello stesso dominio del precedente titolare di ruolo.
  • Ha la copia scrivibile replicata più recente della partizione role.

Ad esempio, si supponga di dover trasferire il ruolo Schema master. Il ruolo Schema master fa parte della partizione schema della foresta (cn = Schema, cn = Configurazione, dc = < forest root domain >)., Il candidato migliore per un nuovo titolare del ruolo è un DC che risiede anche nel dominio radice della foresta e nello stesso sito di Active Directory del titolare del ruolo corrente.

Attenzione

Non mettere il ruolo master dell’infrastruttura sullo stesso DC del server di catalogo globale. Se il master dell’infrastruttura viene eseguito su un server di catalogo globale, interrompe l’aggiornamento delle informazioni sugli oggetti perché non contiene alcun riferimento agli oggetti che non contiene. Questo perché un server di catalogo globale contiene una replica parziale di ogni oggetto nella foresta.,

Per verificare se un controller di dominio è anche un server di catalogo globale attenersi alla seguente procedura:

  1. Selezionare Start > Programmi > Strumenti di Amministrazione > Siti di Active Directory e Servizi.
  2. Nel riquadro di navigazione, fare doppio clic su Siti e quindi individuare il sito appropriato o selezionare Default-first-site-name se non sono disponibili altri siti.
  3. Aprire la cartella Server, quindi selezionare il DC.
  4. Nella cartella del DC, fare doppio clic su Impostazioni NTDS.
  5. Nel menu Azione, selezionare Proprietà.,
  6. Nella scheda Generale, visualizzare la casella di controllo Catalogo globale per vedere se è selezionata.

Per ulteriori informazioni, vedere:

  • AD Forest Recovery – Acquisizione di un ruolo master operations
  • Pianificazione del posizionamento del ruolo Master Operations

Cogliere o trasferire ruoli FSMO

È possibile utilizzare Windows PowerShell o Ntdsutil per cogliere o trasferire ruoli. Per informazioni ed esempi su come utilizzare PowerShell per queste attività, vedere Move-ADDirectoryServerOperationMasterRole.,

Importante

Se si deve cogliere il ruolo master RID, considerare l’utilizzo del cmdlet Move-ADDirectoryServerOperationMasterRole invece di Ntdsutil.utilità exe.

Per evitare il rischio di SID duplicati nel dominio, Ntdsutil incrementa il prossimo RID disponibile nel pool di 10.000 quando si acquisisce il ruolo master RID. Questo comportamento può far sì che la foresta consumi completamente i suoi intervalli disponibili per i valori RID (noti anche come RID burn). Al contrario, se si utilizza il cmdlet PowerShell per acquisire il ruolo master RID, il prossimo RID disponibile non viene influenzato.,

Per acquisire o trasferire i ruoli FSMO utilizzando l’utilità Ntdsutil, attenersi alla seguente procedura:

  1. Accedere a un computer membro in cui sono installati gli strumenti AD RSAT o a un DC che si trova nella foresta in cui vengono trasferiti i ruoli FSMO.

    Nota

    • Si consiglia di accedere al DC a cui si assegnano i ruoli FSMO.,
    • L’utente connesso deve essere un membro del gruppo Enterprise Administrators per trasferire i ruoli Schema master o Domain naming master o un membro del gruppo Domain Administrators del dominio in cui vengono trasferiti i ruoli PDC emulator, RID master e Infrastructure master.

  2. Selezionare Start> Esegui, digitare ntdsutil nella casella Apri, quindi selezionare OK.

  3. Digitare ruoli, quindi premere Invio.

    Nota

    Per visualizzare un elenco di comandi disponibili in uno qualsiasi dei prompt nell’utilità Ntdsutil, digitare ?,, quindi premere Invio.

  4. Digitare connessioni, quindi premere Invio.

  5. Digitare connect to server<servername >, quindi premere Invio.

    Nota

    In questo comando,<servername > è il nome del DC a cui si desidera assegnare il ruolo FSMO.

  6. Al prompt connessioni server, digitare q, quindi premere Invio.,

  7. Effettuare una delle seguenti operazioni:

    • Per trasferire il ruolo: Digitare transfer<role >, quindi premere Invio.

      Nota

      In questo comando,<ruolo > è il ruolo che si desidera trasferire.

    • Per cogliere il ruolo: digitare seize<role >, quindi premere Invio.

      Nota

      In questo comando,<ruolo > è il ruolo che si desidera acquisire.,

    Ad esempio, per cogliere il ruolo master RID, digitare seize rid master. L’unica eccezione è per il ruolo dell’emulatore PDC, la cui sintassi è seize pdc, non seize pdc emulator.

    Per visualizzare un elenco di ruoli che è possibile trasferire o cogliere, digitare ? al prompt di manutenzione fsmo, quindi premere Invio, oppure vedere l’elenco dei ruoli all’inizio di questo articolo.

  8. Al prompt di manutenzione fsmo, digitare q, quindi premere Invio per accedere al prompt ntdsutil. Digitare q, quindi premere Invio per chiudere l’utilità Ntdsutil.,

Se è possibile, e se si è in grado di trasferire i ruoli invece di afferrarli, correggere il titolare del ruolo precedente. Se non è possibile correggere il titolare del ruolo precedente o se i ruoli sono stati sequestrati, rimuovere il titolare del ruolo precedente dal dominio.

Importante

Se si prevede di utilizzare il computer riparato come DC, si consiglia di ricostruire il computer in un DC da zero invece di ripristinare il DC da un backup. Il processo di ripristino ricostruisce il DC come titolare di ruolo di nuovo.,

  • Per restituire il computer riparato alla foresta come DC

    1. Effettuare una delle seguenti operazioni:

      • Formattare il disco rigido del precedente titolare del ruolo, quindi reinstallare Windows sul computer.
      • Retrocedere forzatamente il precedente titolare del ruolo a un server membro.

    2. Su un altro DC nella foresta, utilizzare Ntdsutil per rimuovere i metadati per il precedente titolare del ruolo. Per ulteriori informazioni, vedere Per ripulire i metadati del server utilizzando Ntdsutil.,

    3. Dopo aver ripulito i metadati, è possibile ripromettere il computer a un DC e trasferire un ruolo ad esso.

  • Per rimuovere il computer dalla foresta dopo aver afferrato i suoi ruoli

    1. Rimuovere il computer dal dominio.
    2. Su un altro DC nella foresta, utilizzare Ntdsutil per rimuovere i metadati per il precedente titolare del ruolo. Per ulteriori informazioni, vedere Per ripulire i metadati del server utilizzando Ntdsutil.,

Considerazioni quando si reintegrano le isole di replica

Quando una parte di un dominio o di una foresta non può comunicare con il resto del dominio o della foresta per un periodo prolungato, le sezioni isolate del dominio o della foresta sono note come isole di replica. Le DCS in un’isola non possono replicarsi con le DCS in altre isole. Nel corso di più cicli di replica, le isole di replica non sono sincronizzate. Se ogni isola ha i propri titolari di ruolo FSMO, potresti avere problemi quando ripristini la comunicazione tra le isole.,

Importante

Nella maggior parte dei casi, è possibile sfruttare il requisito di replica iniziale (come descritto in questo articolo) per eliminare i titolari di ruolo duplicati. Un titolare di ruolo riavviato dovrebbe rinunciare al ruolo se rileva un titolare di ruolo duplicato.
Potresti incontrare circostanze che questo comportamento non risolve. In questi casi, le informazioni contenute in questa sezione possono essere utili.,

La seguente tabella identifica i ruoli FMSO che possono causare problemi se una foresta o un dominio ha più titolari di ruolo per quel ruolo:

Ruolo Potenziali conflitti tra più titolari di ruolo?,
Schema master Yes
Domain naming master Yes
RID master Yes
PDC emulator No
Infrastructure master No

This issue does not affect the PDC Emulator master or the Infrastructure master. These role holders do not persist operational data., Inoltre, il master dell’infrastruttura non apporta spesso modifiche. Pertanto, se più isole hanno questi titolari di ruolo, è possibile reintegrare le isole senza causare problemi a lungo termine.

Lo Schema master, il Domain Naming master e il RID master possono creare oggetti e mantenere le modifiche in Active Directory. Ogni isola che dispone di uno di questi titolari di ruolo potrebbe avere oggetti schema duplicati e in conflitto, domini o pool di RID al momento del ripristino della replica. Prima di reintegrare le isole, determinare quali titolari di ruolo mantenere., Rimuovere qualsiasi master Schema duplicato, master Nomi dominio e master RID seguendo le procedure di riparazione, rimozione e pulizia menzionate in questo articolo.,il Trasferimento di ioni di Sequestro e di Processo

  • COME: Utilizzo di Ntdsutil per trovare e duplicati identificatori di protezione in Windows Server
  • Risoluzione dei DNS 4013 di ID Evento: Il server DNS non è riuscito a caricare ANNUNCIO di zone DNS integrato
  • DCPROMO per la retrocessione non riesce se non riesce a contattare l’infrastruttura DNS master
  • i Ruoli FSMO
  • Eseguire iniziale di recupero
  • ANNUNCIO di Recupero di una Foresta – di Cogliere un ruolo di master operazioni
  • pulire i metadati del server utilizzando Ntdsutil
  • Pianificazione del Ruolo di Master Operazioni di Posizionamento
  • Sposta-ADDirectoryServerOperationMasterrole

    • Lascia un commento

    Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *