• 09/08/2020
  • 11 minuten te lezen
    • D
    • x
    • s

in Dit artikel wordt beschreven wanneer en hoe de overdracht of beslag leggen op Flexible Single Master Operations (FSMO-rollen.,

originele productversie: Windows Server 2019, Windows Server Standard 2016, Windows Server Essentials 2016, Windows Server Datacenter 2016
origineel KB-nummer: 255504

meer informatie

in een AD DS-forest (Active Directory Domain Services) moeten specifieke taken worden uitgevoerd door slechts één DC-domeincontroller. De DCs die zijn toegewezen om deze unieke bewerkingen uit te voeren staan bekend als FSMO-rolhouders. In de volgende tabel worden de FSMO-rollen en hun plaatsing in Active Directory weergegeven.,

voor meer informatie over de FSMO-rolhouders en aanbevelingen voor het plaatsen van de rollen, zie FSMO-plaatsing en-optimalisatie op Active Directory-domeincontrollers.

Note

Active Directory-toepassingspartities die DNS-toepassingspartities bevatten, hebben FSMO-rolkoppelingen. Als een DNS-toepassingspartitie een eigenaar voor de rol van infrastructuurmaster definieert, kunt u Ntdsutil, DCPromo of andere hulpprogramma ‘ s niet gebruiken om die toepassingspartitie te verwijderen. Zie voor meer informatie Dcpromo demotion mislukt als het niet mogelijk is om contact op te nemen met de DNS infrastructure master.,

wanneer een DC die als rolhouder heeft opgetreden, begint te draaien (bijvoorbeeld na een storing of een uitschakeling), wordt deze niet onmiddellijk weer als rolhouder gedragen. De DC wacht totdat deze binnenkomende replicatie ontvangt voor de naamgevingscontext (de eigenaar van de rol van de Schema-master wacht bijvoorbeeld op binnenkomende replicatie van de Schema-partitie).

de informatie die het DCs doorgeeft als onderdeel van Active Directory-replicatie omvat de identiteiten van de huidige FSMO-rolhouders., Wanneer de nieuw gestarte DC de binnenkomende replicatiegegevens ontvangt, wordt gecontroleerd of het nog steeds de rolhouder is. Als dat zo is, hervat het typische operaties. Als uit de gerepliceerde informatie blijkt dat een andere DC als de rolhouder optreedt, ziet de nieuw opgerichte DC af van zijn roleigendom. Dit gedrag verkleint de kans dat het domein of forest dubbele FSMO-rolhouders heeft.

belangrijke

AD FS-bewerkingen mislukken als ze een rolhouder vereisen en als de nieuw gestarte rolhouder in feite de rolhouder is en deze geen binnenkomende replicatie ontvangt.,
het resulterende gedrag lijkt op wat er zou gebeuren als de rolhouder offline was.

bepaal wanneer rollen

onder typische omstandigheden moeten alle vijf rollen worden toegewezen aan “live” DCs in het forest. Wanneer u een Active Directory-forest maakt, wordt de wizard Active Directory installeren (Dcpromo) gebruikt.exe) wijst alle vijf FSMO-rollen toe aan de eerste DC die het maakt in het forest-rootdomein. Wanneer u een dochter-of boomdomein maakt, Dcpromo.exe wijst de drie domeinbrede rollen toe aan de eerste DC in het domein.,

DCs blijven FSMO-rollen bezitten totdat ze opnieuw worden toegewezen met behulp van een van de volgende methoden:

  • een beheerder wijst de rol opnieuw toe met behulp van een GUI-beheerprogramma.
  • een beheerder wijst de rol opnieuw toe met het commando ntdsutil /roles.
  • een beheerder degradeert op sierlijke wijze een rolhoudende DC met behulp van de Active Directory-installatiewizard. Deze wizard wijst alle lokaal vastgehouden functies opnieuw toe aan een bestaande DC in het forest.
  • een beheerder degradeert een ROLHOUDENDE DC met behulp van hetdcpromo /forceremoval Commando.,
  • de DC wordt afgesloten en herstart. Wanneer de DC opnieuw wordt opgestart, ontvangt deze binnenkomende replicatiegegevens die aangeven dat een andere DC de rolhouder is. In dit geval doet de nieuw gestarte DC afstand van de rol (zoals eerder beschreven).

als een FSMO-rolhouder een storing ondervindt of anderszins uit dienst wordt genomen voordat zijn rollen worden overgedragen, moet u alle rollen in beslag nemen en overbrengen naar een geschikte en gezonde DC.,

Wij raden u aan FSMO-rollen over te dragen in de volgende scenario ‘ s:

  • de huidige rolhouder is operationeel en kan op het netwerk worden benaderd door de nieuwe FSMO-eigenaar.
  • u degradeert op sierlijke wijze een DC die momenteel eigenaar is van FSMO-rollen die u wilt toewijzen aan een specifieke DC in uw Active Directory-forest.
  • de DC die momenteel eigenaar is van FSMO-rollen wordt offline genomen voor gepland onderhoud, en u moet specifieke FSMO-rollen toewijzen aan live DCs. Mogelijk moet u rollen overdragen om bewerkingen uit te voeren die van invloed zijn op de FSMO-eigenaar., Dit geldt vooral voor de PDC Emulator rol. Dit is een minder belangrijke kwestie voor de rid-masterrol, de Domain naming-masterrol en de Schema-masterrollen.

Wij raden u aan FSMO-rollen in de volgende scenario ‘ s in te nemen:

  • de huidige rolhouder ervaart een operationele fout die een FSMO-afhankelijke operatie verhindert succesvol te voltooien, en u kunt de rol niet overdragen.

  • u gebruikt hetdcpromo /forceremoval commando om een DC die een FSMO-rol bezit te forceren.,

    belangrijk

    hetdcpromo /forceremoval commando laat FSMO-rollen in een ongeldige staat totdat ze opnieuw worden toegewezen door een beheerder.

  • het besturingssysteem op de computer die oorspronkelijk eigenaar was van een specifieke rol bestaat niet meer of is opnieuw geïnstalleerd.

Note

  • We raden aan dat u alleen alle rollen in beslag neemt wanneer de vorige rolhouder niet terugkeert naar het domein.,
  • als FSMO-rollen moeten worden gegrepen in forest recovery-scenario ‘ s, zie stap 5 in eerste herstel uitvoeren onder de herstel de eerste beschrijfbare domeincontroller in elke sectie domein.
  • na een roloverdracht of convulsie handelt de nieuwe rolhouder niet onmiddellijk. In plaats daarvan gedraagt de nieuwe rolhouder zich als een herstartrolhouder en wacht hij op de kopie van de naamgevingscontext voor de rol (zoals de domeinpartitie) om een succesvolle binnenkomende replicatiecyclus te voltooien., Deze replicatie-eis helpt ervoor te zorgen dat de nieuwe rolhouder zo up-to-date mogelijk is voordat hij actie onderneemt. Het beperkt ook de kans op fouten. Dit venster bevat alleen wijzigingen die ertoe leiden dat de vorige rolhouder het repliceren naar de andere DCs niet heeft voltooid voordat deze offline ging. Voor een lijst van de naamgevingscontext voor elke FSMO-rol, zie de tabel bij meer informatie sectie.,

Identificeer een nieuwe rolhouder

de beste kandidaat voor de nieuwe rolhouder is een DC die aan de volgende criteria voldoet:

  • hij bevindt zich in hetzelfde domein als de vorige rolhouder.
  • het heeft de meest recente gerepliceerde beschrijfbare kopie van de rolpartitie.

bijvoorbeeld, neem aan dat u de Schema master rol moet overdragen. De rol van de Schema-master maakt deel uit van de schema-partitie van het forest (CN=Schema,CN=configuratie,dc=<forest root domain>)., De beste kandidaat voor een nieuwe rolhouder is een DC die zich ook in het forest-hoofddomein bevindt en in dezelfde Active Directory-site als de huidige rolhouder.

voorzichtig

plaats de infrastructuurmasterrol niet op dezelfde DC als de globale-catalogusserver. Als de infrastructuurmaster op een globale-catalogusserver draait, wordt de objectinformatie niet meer bijgewerkt omdat er geen verwijzingen zijn naar objecten die er niet zijn. Dit komt omdat een globale-catalogusserver een gedeeltelijke replica van elk object in het forest bevat.,

om te testen of een DC ook een globale catalogusserver is, volgt u de volgende stappen:

  1. Selecteer Start > programma ‘ s > beheerprogramma ‘ s > Active Directory-Sites en Services.
  2. dubbelklik in het navigatiedeelvenster op Sites en zoek vervolgens de juiste site of selecteer Default-first-site-name als er geen andere sites beschikbaar zijn.
  3. Open de map Servers en selecteer vervolgens de DC.
  4. dubbelklik in de map van de DC op NTDS-instellingen.
  5. in het menu Actie, selecteer Eigenschappen.,
  6. op het tabblad Algemeen kunt u het selectievakje Globale catalogus weergeven om te zien of deze is geselecteerd.

voor meer informatie, zie:

  • AD Forest Recovery – Een operations master-rol overnemen
  • Planning Operations Master-Rolplaatsing

FSMO-rollen

U kunt Windows PowerShell of Ntdsutil gebruiken om rollen in beslag te nemen of over te dragen. Zie Move-Addressoryserveroperationmasterrole voor informatie en voorbeelden van het gebruik van PowerShell voor deze taken.,

belangrijk

Als u de rid-masterrol moet grijpen, overweeg dan om de Move-Addressoryserveroperationmasterrole cmdlet te gebruiken in plaats van de Ntdsutil.exe utility.

om het risico van dubbele Sid ‘ s in het domein te vermijden, verhoogt Ntdsutil het volgende beschikbare RID in de pool met 10.000 wanneer u de rid-masterrol grijpt. Dit gedrag kan ervoor zorgen dat je forest zijn beschikbare rid-waarden volledig verbruikt (ook bekend als RID burn). Als je daarentegen de PowerShell cmdlet gebruikt om de rid-masterrol te grijpen, wordt het volgende beschikbare RID niet beïnvloed.,

volg deze stappen om de FSMO-rollen in beslag te nemen of over te dragen met behulp van het hulpprogramma Ntdsutil:

  1. aanmelden bij een lidcomputer waarop de AD RSAT-hulpmiddelen zijn geïnstalleerd, of een DC die zich bevindt in het forest waar FSMO-rollen worden overgedragen.

    Note

    • Wij raden u aan in te loggen op de DC waaraan u FSMO-rollen toewijst.,
    • de ingelogde gebruiker moet lid zijn van de groep Enterprise Administrators voor de overdracht van Schema-master-of domeinnaam-masterrollen, of lid zijn van de groep Domeinadministrators van het domein waar de PDC-emulator, RID-master en de infrastructuur-masterrollen worden overgedragen.

  2. Selecteer Start > Uitvoeren, typ ntdsutil in het vak Openen en selecteer vervolgens OK.

  3. Typ rollen en druk vervolgens op Enter.

    Note

    om een lijst met beschikbare commando ‘ s te zien op een van de prompts in het Ntdsutil hulpprogramma, typt u ?,, en druk vervolgens op Enter.

  4. Typ verbindingen en druk vervolgens op Enter.

  5. Type connect to server <servername>, en druk vervolgens op Enter.

    Note

    in dit commando is <servername> de naam van de DC waaraan u de FSMO-rol wilt toewijzen.

  6. Typ q op de server connections prompt en druk vervolgens op Enter.,

  7. voer een van de volgende handelingen uit:

    • om de rol over te dragen: typ transfer <rol>, en druk vervolgens op Enter.

      Note

      in dit commando is <rol> de rol die u wilt overdragen.

    • om de rol te grijpen: typ seize <role>, en druk vervolgens op Enter.

      Note

      in dit commando is <rol> de rol die u wilt grijpen.,

    om bijvoorbeeld de rid-masterrol te grijpen, typt u seize rid master. De enige uitzondering is voor de PDC emulator rol, waarvan de syntaxis is seize pdc, niet seize pdc emulator.

    om een lijst met rollen te zien die u kunt overdragen of in beslag nemen, typt u ? op de FSMO onderhoud prompt, en druk vervolgens op Enter, of zie de lijst met rollen aan het begin van dit artikel.

  8. Typ q achter de FSMO maintenance prompt en druk vervolgens op Enter om toegang te krijgen tot de ntdsutil prompt. Typ q en druk vervolgens op Enter om het Ntdsutil-hulpprogramma te sluiten.,

als het mogelijk is, en als u in staat bent om de rollen over te dragen in plaats van ze te grijpen, repareer dan de vorige rolhouder. Als u de vorige rolhouder niet kunt repareren of als u de rollen hebt aangegrepen, verwijdert u de vorige rolhouder uit het domein.

belangrijk

Als u van plan bent de gerepareerde computer als een DC te gebruiken, raden we u aan de computer opnieuw te bouwen tot een DC vanaf het begin in plaats van de DC vanaf een back-up te herstellen. Het restauratieproces herbouwt de DC weer als rolhouder.,

  • om de gerepareerde computer terug te sturen naar het forest als een DC

    1. voer een van de volgende handelingen uit:

      • formatteer de harde schijf van de vorige rolhouder en installeer Windows opnieuw op de computer.
      • De voormalige rolhouder dwingen tot een lidserver.

    2. op een andere DC in het forest, gebruik Ntdsutil om de metagegevens voor de voormalige rolhouder te verwijderen. Zie server-metadata opschonen met behulp van Ntdsutil voor meer informatie.,

    3. nadat u de metadata hebt opgeschoond, kunt u de computer opnieuw promoten naar een DC en er een rol naar terugzetten.

  • om de computer uit het forest te verwijderen na het overnemen van de rollen

    1. verwijder de computer uit het domein.
    2. op een andere DC in het forest, gebruik Ntdsutil om de metagegevens voor de vorige rolhouder te verwijderen. Zie server-metadata opschonen met behulp van Ntdsutil voor meer informatie.,

overwegingen bij het reïntegreren van replicatieeilanden

wanneer een deel van een domein of forest gedurende langere tijd niet kan communiceren met de rest van het domein of forest, worden de geïsoleerde delen van het domein of forest replicatieeilanden genoemd. DCs in een eiland kan niet repliceren met de DCs in andere eilanden. Over meerdere replicatiecycli, de replicatieeilanden vallen uit sync. Als elk eiland zijn eigen FSMO-rolhouders heeft, kunt u problemen hebben wanneer u de communicatie tussen de eilanden herstelt.,

belangrijk

in de meeste gevallen kunt u gebruik maken van de initiële replicatievereiste (zoals beschreven in dit artikel) om dubbele rolhouders uit te schakelen. Een herstart rolhouder moet afstand doen van de rol als hij een dubbele rolhouder detecteert.
U kunt omstandigheden tegenkomen die dit gedrag niet oplost. In dergelijke gevallen kan de informatie in deze sectie nuttig zijn.,

de volgende tabel geeft de FMSO-rollen aan die problemen kunnen veroorzaken als een forest of domein meerdere rolhouders voor die rol heeft:

rol potentiële conflicten tussen meerdere rolhouders?,
Schema master Yes
Domain naming master Yes
RID master Yes
PDC emulator No
Infrastructure master No

This issue does not affect the PDC Emulator master or the Infrastructure master. These role holders do not persist operational data., Bovendien brengt de infrastructuurmaster niet vaak wijzigingen aan. Daarom, als meerdere eilanden hebben deze rol houders, kunt u de eilanden reïntegreren zonder problemen op lange termijn.

De Schema-master, de domeinnaam-master en de RID-master kunnen objecten maken en wijzigingen in Active Directory aanhouden. Elk eiland met een van deze rolhouders kan dubbele en conflicterende schemaobjecten, domeinen of RID-pools hebben tegen de tijd dat u de replicatie herstelt. Voordat u eilanden re-integratie, bepalen welke rol houders te houden., Verwijder alle dubbele Schema masters, domein naamgeving masters, en rid masters door het volgen van de reparatie, verwijdering, en opruimen procedures die in dit artikel worden genoemd.,ion Overdracht en Beslag Proces

  • HOE: Ntdsutil te vinden en op te schonen dubbele beveiligings-id ‘ s in Windows Server
  • Problemen met DNS-Gebeurtenis-ID 4013: De DNS-server niet kan laden AD geïntegreerde DNS-zones
  • DCPROMO degradatie mislukt als geen contact met de DNS-infrastructuur-master
  • FSMO-Rollen
  • Uitvoeren van de initiële recovery
  • AD Forest Recovery – het overnemen van een rol van operations-master
  • op Te ruimen server metagegevens met behulp van Ntdsutil
  • Planning van de Rol van Operations-Master Plaatsing
  • Verplaats-ADDirectoryServerOperationMasterrole

    • Geef een reactie

    Het e-mailadres wordt niet gepubliceerd. Vereiste velden zijn gemarkeerd met *