• 09/08/2020
  • 11 minutter på å lese
    • D
    • x
    • s

Denne artikkelen beskriver når og hvordan for å overføre eller ta Fleksibel Enkelt Master Operasjoner (FSMO -) roller.,

Originale produkt-versjon: Windows Server 2019, Windows Server Standard 2016, Windows Server Essentials 2016, Windows Server Datacenter 2016
Opprinnelige KB-nummer: 255504

få Mer informasjon

Innenfor et Active Directory Domain Services (AD DS) skogen, er det spesifikke oppgaver som må utføres av bare en domenekontroller (DC). Pts som er tilordnet til å utføre disse unike virksomhet er kjent som FSMO-holdere. Følgende tabell lister opp alle FSMO-roller, og deres plassering i Active Directory.,

For mer informasjon om FSMO-holdere og anbefalinger for å plassere roller, se FSMO-plassering og optimalisering på Active Directory-domenekontrollere.

Merk

Active Directory Application partisjoner som inkluderer DNS-programmet partisjoner har FSMO-koblinger. Hvis en DNS-programmet partisjon definerer en eier for infrastruktur master rolle, du kan ikke bruke Ntdsutil, DCPromo, eller andre verktøy for å fjerne program partisjon. For mer informasjon, se DCPROMO degradering mislykkes hvis du ikke klarer å ta kontakt med DNS-infrastruktur master.,

Når en DC, som har vært konstituert som en rolle holderen begynner å kjøre (for eksempel etter en feil eller en avslutning), er det ikke umiddelbart fortsette å oppføre seg som den rolle holderen. DC venter til den mottar innkommende replikering for sin navngi sammenheng (for eksempel Skjema master rolle eier skal vente på å motta innkommende replikering av Skjema partisjon).

Den informasjonen som DCs passere som en del av Active Directory-replikering inneholder identiteten til den aktuelle FSMO-holdere., Når de nylig har startet DC mottar innkommende replikering informasjon, det kontrollerer om det er likevel rollen holderen. Hvis det er, det fortsetter typiske operasjoner. Hvis replikert informasjon indikerer at en annen DC er konstituert som rolleinnehaveren, de som nylig har startet DC relinquishes sin rolle som eier. Dette problemet reduserer sjansen for at domenet eller skog vil ha dupliserte FSMO-holdere.

Viktig

AD FS operasjoner mislykkes hvis de krever en rolle holderen og hvis de nylig har startet rolle holderen er, faktisk, rolleinnehaveren, og at det ikke motta innkommende replikering.,
Den resulterende oppførsel ligner på hva som ville skje hvis rolleinnehaveren ble frakoblet.

Bestemme når man skal overføre eller ta roller

Under vanlige forhold, alle fem roller må være tilordnet til «live» DCs i skogen. Når du oppretter en Active Directory-skogen, Active Directory installasjonsveiviseren (Dcpromo.exe) tilordner alle fem FSMO-roller til den første DC-at det skaper i skogen root-domene. Når du oppretter et barn eller tre domene, Dcpromo.exe tilegner tre domene-bredt roller til den første DC i domenet.,

DCs fortsette å eie FSMO-roller til de blir omplassert ved å bruke én av følgende metoder:

  • administrator reassigns rolle ved hjelp av en GUI administrative verktøy.
  • administrator reassigns rolle ved å bruke ntdsutil /roles – kommandoen.
  • administrator grasiøst demotes en rolle-å holde DC ved å bruke Active Directory-Veiviseren for Installasjon. Denne veiviseren reassigns alle lokalt hatt roller i en eksisterende DC i skogen.
  • administrator demotes en rolle-å holde DC ved å bruke dcpromo /forceremoval – kommandoen.,
  • DC slår seg av og starter på nytt. Når DC-starter på nytt, mottar innkommende replikering opplysninger som tilsier at en annen DC, er den rolle holderen. I dette tilfellet, som nylig har startet DC relinquishes rolle (som beskrevet tidligere).

Hvis en FSMO holderen opplever en svikt eller på annen måte tatt ut av tjeneste før sine roller er overført, må du gripe og overføre alle roller til en riktig og sunn DC.,

Vi anbefaler at du overføre FSMO-roller i følgende scenarier:

  • Den nåværende rolle holderen er i drift, og kan nås på nettverket ved den nye FSMO-eier.
  • Du er grasiøst demoting en DC som i dag eier FSMO-roller som du vil tilordne en bestemt DC i Active Directory-skogen.
  • DC som i dag eier FSMO-roller er å være frakoblet for planlagt vedlikehold, og du har til å tilordne bestemte FSMO-roller å leve DCs. Du kan ha å overføre roller for å utføre operasjoner som påvirker FSMO-eier., Dette er spesielt sant for de PDC-Emulator rolle. Dette er en mindre viktig sak for RID-master rolle, Domene-navn master rolle, og Skjemaet master roller.

Vi anbefaler at du gripe FSMO-roller i følgende scenarier:

  • Den nåværende rolle holderen er inne i en operasjonell feil som hindrer en FSMO-avhengig drift fra å fullføre en vellykket måte, og du kan ikke overføre den rollen.

  • Du bruker dcpromo /forceremoval kommando for å tvinge-senk en DC som eier en FSMO.,

    Viktig

    dcpromo /forceremoval kommando etterlater FSMO-roller i en ugyldig tilstand før de er overført av en administrator.

  • operativsystemet på datamaskinen som opprinnelig eide en bestemt rolle ikke lenger eksisterer eller har blitt reinstallert.

Merk

  • Vi anbefaler at du bare gripe alle roller når den tidligere rolle holder ikke tilbake til domenet.,
  • Hvis FSMO-roller må være beslaglagt i skogen recovery scenarier, se trinn 5 i Utføre innledende recovery under Gjenopprette den første skrivbare domenekontroller i hvert domene-delen.
  • Etter en rolle overføre eller beslag, den nye rollen abonnenten ikke handle umiddelbart. I stedet, den nye rollen holderen oppfører seg som et nytt rolle holderen og venter på kopi av navngiving kontekst for rolle (for eksempel domene partisjon) for å fullføre en vellykket innkommende replikering syklus., Dette replikering kravet bidrar til å sørge for at den nye rollen holderen er så oppdatert som mulig før du tar handlingen. Det begrenser også mulighet for feil. Dette vinduet inneholder kun endringer som forrige rolle holderen gjorde ikke ferdig med å kopiere til den andre DCs før det gikk i frakoblet modus. For en liste av navn kontekst for hver FSMO, se tabellen på Mer informasjon.,

Identifisere en ny rolle holderen

Den beste kandidat for den nye rollen holderen er en DC som oppfyller følgende kriterier:

  • Det ligger i det samme domenet som den forrige rolle holderen.
  • Det har de siste replikert skrivbar kopi av rolle-partisjon.

For eksempel, anta at du trenger å overføre Skjema master rolle. Skjemaet master-rollen som er en del av skjemaet partisjon av skogen (cn=Skjema,cn=Konfigurasjon,dc=<skogen root-domene>)., Den beste kandidat for en ny rolle holderen er en DC som også bor i skogen root-domene, og i samme Active Directory-området som den nåværende rolle holderen.

Advarsel

ikke legg Infrastruktur master rollen på samme DC som den globale katalogserveren. Hvis Infrastruktur master kjører på en global catalog server, den slutter å oppdatere objektet informasjon fordi det ikke inneholder noen referanser til objekter som det ikke holder. Dette er fordi en global catalog server har en delvis kopi av hvert objekt i skogen.,

for Å teste om en DC er også en global catalog server følg disse trinnene:

  1. Velg Start > Programmer > Administrative Verktøy > Active Directory-Områder og-Tjenester.
  2. I navigasjonsruten dobbeltklikker Nettsteder og så finn det riktige området, eller velg Standard-første-side-navnet hvis det er ingen andre steder er tilgjengelig.
  3. Åpne Servere mappen, og velg deretter DC.
  4. I DC-mappen, dobbeltklikk NTDS Innstillinger.
  5. På Handling-menyen, velg Egenskaper.,
  6. kategorien Generelt, og vise den Globale Katalogen sjekk-boksen for å se om det er valgt.

For mer informasjon, se:

  • AD Skogen Recovery – Gripe en virksomhet master rolle
  • Planlegging av Operasjoner Master Rolle Plassering

Gripe eller overføre FSMO-roller

Du kan bruke Windows PowerShell eller Ntdsutil å gripe eller overføre roller. For informasjon om og eksempler på hvordan bruke PowerShell for disse oppgavene, kan du se Flytte-ADDirectoryServerOperationMasterrole.,

Viktig

Hvis du har til å gripe KVITT master rolle, bør du vurdere å bruke Flytt-ADDirectoryServerOperationMasterrole cmdlet i stedet for Ntdsutil.exe-verktøyet.

for Å unngå risiko for dupliserte Sider i domenet, Ntdsutil trinn neste tilgjengelige KVITTE seg i bassenget av 10 000 når du gripe KVITT master rolle. Dette kan føre til at skogen din til helt å konsumere sin tilgjengelige områder for å KVITTE verdier (også kjent som KVITTE brenne). I motsetning, hvis du bruker PowerShell-cmdlet for å gripe KVITT master rolle, den neste tilgjengelige KVITT er ikke berørt.,

for Å gripe eller overføre FSMO-roller ved å bruke Ntdsutil verktøyet, kan du følge disse trinnene:

  1. Logg på et medlem datamaskinen som har AD RSAT verktøy installert, eller en DC som ligger i skogen, hvor FSMO-roller blir overført.

    Merk

    • Vi anbefaler at du logger deg på DC som du tilordne FSMO-roller.,
    • pålogget bruker bør være medlem av Enterprise administratorgruppen for å overføre Skjema master eller Domene navn master roller, eller et medlem av Domenet Administratorer-gruppen av domenet der PDC-emulator, KVITTE master og Infrastruktur master roller blir overført.
  2. Velg Start > Kjør, skriv inn ntdsutil i Åpne-boksen, og velg deretter OK.

  3. Type roller, og trykk deretter på Enter.

    Merk

    for Å se en liste over tilgjengelige kommandoer på noen av punktene i Ntdsutil verktøyet, skriver du ?,, og trykker deretter Enter.

  4. Skriv inn tilkoblinger, og trykk deretter på Enter.

  5. Skriv koble til server <servernavn>, og trykk deretter på Enter.

    Merk

    I denne kommandoen <servernavn> er navnet på DC som du ønsker å tilordne FSMO til.

  6. På server tilkoblinger ledeteksten, type q, og trykk deretter på Enter.,

  7. Gjør ett av følgende:

    • for Å overføre rolle: Type overføring <rolle>, og trykk deretter på Enter.

      Merk

      I denne kommandoen <rolle> er den rollen som du ønsker å overføre.

    • for Å gripe rolle: Type gripe <rolle>, og trykk deretter på Enter.

      Merk

      I denne kommandoen <rolle> er den rollen som du ønsker å gripe.,

    For eksempel, å gripe KVITT master rolle, skriver gripe kvitt master. Det eneste unntaket er for PDC-emulator rolle, som er syntaksen gripe pdc, ikke gripe pdc-emulator.

    for Å se en liste over roller som du kan overføre eller gripe inn, skriver du ? på fsmo-vedlikehold-ledeteksten, og trykk deretter på Enter, eller se listen over roller i begynnelsen av denne artikkelen.

  8. På fsmo-vedlikehold-ledeteksten, type q, og trykk deretter på Enter for å få tilgang til ntdsutil be. Type q, og trykk deretter på Enter for å avslutte Ntdsutil verktøyet.,

Hvis det er mulig, og hvis du er i stand til å overføre roller i stedet for å gripe dem, løse forrige rolle holderen. Hvis du ikke kan løse forrige rolleinnehaveren, eller hvis du beslaglagt roller, fjerne den forrige rolleinnehaveren fra domenet.

Viktig

Hvis du har tenkt å bruke den reparerte datamaskinen som en DC, anbefaler vi at du setter opp maskinen til en DC fra bunnen av i stedet for gjenoppretting av DC fra en sikkerhetskopi. Restaurering prosessen bygger opp DC som en rolle holderen igjen.,

  • for Å returnere det reparerte datamaskinen til skogen som en DC –

    – >

    1. Gjør ett av følgende:

      • Formatere harddisken på den tidligere rolleinnehaveren, og deretter installere Windows på datamaskinen.
      • Tvang senk den tidligere rolle som holder til et medlem server.
    2. På en annen DC i skogen, bruke Ntdsutil å fjerne metadata for den tidligere rolle holderen. For mer informasjon, se Å rydde opp server metadata ved hjelp Ntdsutil.,

    3. Etter at du har renset opp metadata, kan du repromote datamaskinen til en DC, og overføre en rolle tilbake til det.

  • for Å fjerne datamaskinen fra skogen etter å gripe sine roller

    1. Fjern datamaskinen fra domenet.
    2. På en annen DC i skogen, bruke Ntdsutil å fjerne metadata for den tidligere rolle holderen. For mer informasjon, se Å rydde opp server metadata ved hjelp Ntdsutil.,

Vurderinger når reintegrere replikering islands

Når en del av et domene eller en skog ikke kan kommunisere med resten av domene eller skogen for en lengre tid, isolerte deler av domene eller skog er kjent som replikering øyene. DCs på en øy kan ikke replikere med DCs i andre øyene. Over flere replikering sykluser, replikering øyene faller ut av sync. Hvis hver øy har sin egen FSMO-holdere, kan du få problemer når du gjenoppretter kommunikasjon mellom øyene.,

Viktig

I de fleste tilfeller, kan du dra fordel av de første replikering kravet (som er beskrevet i denne artikkelen) å luke ut duplikat rolle holdere. Et nytt rolle innehaveren skal gi slipp rolle hvis den oppdager et duplikat rolle-holderen.
Du kan møte omstendigheter at dette problemet ikke løser. I slike tilfeller er informasjonen i dette avsnittet kan være nyttig.,

tabellen nedenfor viser FMSO roller som kan forårsake problemer hvis en skog eller et domene har flere rolle-holdere for at rolle:

Rolle Potensielle konflikter mellom flere rolle-holdere?,
Schema master Yes
Domain naming master Yes
RID master Yes
PDC emulator No
Infrastructure master No

This issue does not affect the PDC Emulator master or the Infrastructure master. These role holders do not persist operational data., I tillegg, hovedinfrastruktur gjør ikke endres ofte. Derfor, hvis flere øyer har disse rolle holdere, kan du integrere øyene uten å forårsake langsiktige problemer.

Skjema master, Domene-Navn master, og RID-master kan opprette objekter og vedvarer endringer i Active Directory. Hver øy som har en av disse rolle holdere kunne ha kopiere og motstridende skjema objekter, domener, eller KVITTE bassenger av den tiden som du gjenopprette replikering. Før du integrere øyene, finne ut hvilken rolle holdere til å holde., Fjern eventuelle andre Skjema masters, Domene Navn mestere, og KVITTE mestere av følgende reparasjon, fjerning og opprydding prosedyrer som er nevnt i denne artikkelen.,ion-Overføring og Beslag Process

  • HVORDAN: Bruk Ntdsutil å finne og rydde opp duplikat sikkerhet identifikatorer i Windows Server
  • Feilsøke DNS Hendelses-ID 4013: DNS-serveren var i stand til å laste ANNONSE integrert DNS-soner
  • DCPROMO degradering mislykkes hvis du ikke klarer å ta kontakt med DNS-infrastruktur master
  • FSMO-Roller
  • Utføre innledende recovery
  • AD Skogen Recovery – Gripe en virksomhet master rolle
  • for Å rydde opp server metadata ved hjelp Ntdsutil
  • Planlegging av Operasjoner Master Rolle Plassering
  • Flytt-ADDirectoryServerOperationMasterrole
  • Legg igjen en kommentar

    Din e-postadresse vil ikke bli publisert. Obligatoriske felt er merket med *