• 09/08/2020
  • 11 minut do odczytania
    • D
    • x
    • s

w tym artykule opisano, kiedy i jak przenosić lub przejmować role elastycznych operacji pojedynczych mistrzów (FSMO).,

Oryginalna wersja produktu: Windows Server 2019, Windows Server Standard 2016, Windows Server Essentials 2016, Windows Server Datacenter 2016
oryginalny numer KB: 255504

więcej informacji

w lesie usług domenowych usługi Active Directory (AD DS) istnieją określone zadania, które muszą być wykonywane tylko przez jeden kontroler domeny (DC). DCs, które są przypisane do wykonywania tych unikalnych operacji, są znani jako posiadacze ról FSMO. Poniższa tabela zawiera listę ról FSMO oraz ich umieszczenie w usłudze Active Directory.,

aby uzyskać więcej informacji na temat posiadaczy ról FSMO i zaleceń dotyczących umieszczania ról, zobacz umieszczanie i optymalizacja FSMO na kontrolerach domeny Active Directory.

Uwaga

partycje aplikacji Active Directory zawierające partycje aplikacji DNS mają łącza do roli FSMO. Jeśli partycja aplikacji DNS definiuje właściciela roli głównej infrastruktury, nie można użyć Ntdsutil, DCPromo ani innych narzędzi do usunięcia tej partycji aplikacji. Aby uzyskać więcej informacji, zobacz degradacja DCPROMO nie powiodła się, jeśli nie można skontaktować się z mistrzem infrastruktury DNS.,

gdy DC, który działał jako posiadacz roli, zaczyna działać (na przykład po awarii lub wyłączeniu), nie od razu ponownie zachowuje się jak posiadacz roli. DC czeka, aż otrzyma replikację przychodzącą dla kontekstu nazewnictwa (na przykład właściciel roli Master schematu czeka na otrzymanie replikacji przychodzącej partycji schematu).

informacje przekazywane przez DCs jako część replikacji usługi Active Directory zawierają tożsamość obecnych posiadaczy ról FSMO., Gdy nowo uruchomiony DC otrzyma informacje o replikacji przychodzącej, sprawdza, czy nadal jest posiadaczem roli. Jeśli tak, wznawia typowe operacje. Jeżeli replikowane informacje wskazują, że inny DC działa jako posiadacz roli, nowo uruchomiony DC zrzeka się swojej roli. Takie zachowanie zmniejsza prawdopodobieństwo, że domena lub las będą miały duplikaty posiadaczy ról FSMO.

ważne

operacje AD FS kończą się niepowodzeniem, jeśli wymagają posiadania roli i jeśli nowo uruchomiony posiadacz roli jest w rzeczywistości posiadaczem roli i nie otrzymuje replikacji przychodzącej.,
powstałe zachowanie przypomina to, co by się stało, gdyby posiadacz roli był w trybie offline.

Określ, kiedy przenieść lub przejąć role

w typowych warunkach wszystkie pięć ról musi być przypisanych do „żywych” DCs w lesie. Podczas tworzenia lasu Active Directory, Kreator instalacji Active Directory (Dcpromo.exe) przypisuje wszystkie pięć ról FSMO do pierwszego DC, który tworzy w domenie forest root. Gdy tworzysz domenę potomną lub drzewiastą, Dcpromo.exe przypisuje trzy role w całej domenie do pierwszego DC w domenie.,

DCs nadal jest właścicielem ról FSMO, dopóki nie zostaną one przypisane za pomocą jednej z następujących metod:

  • administrator zmienia rolę za pomocą narzędzia administracyjnego GUI.
  • administrator zmienia rolę za pomocą polecenia ntdsutil /roles.
  • administrator z wdziękiem demontuje funkcję utrzymującą DC za pomocą Kreatora instalacji Active Directory. Ten kreator przydziela wszystkie lokalne role do istniejącego DC w lesie.
  • administrator demontuje rolę-holding DC używając poleceniadcpromo /forceremoval.,
  • DC wyłącza się i uruchamia ponownie. Po ponownym uruchomieniu DC otrzymuje informacje o replikacji przychodzącej, które wskazują, że inny DC jest posiadaczem roli. W tym przypadku nowo uruchomiony DC rezygnuje z roli (jak opisano wcześniej).

jeśli posiadacz ról FSMO doświadczy awarii lub zostanie w inny sposób wyłączony z pracy przed przeniesieniem swoich ról, musisz przejąć i przenieść wszystkie role do odpowiedniego i zdrowego DC.,

zalecamy przeniesienie ról FSMO w następujących scenariuszach:

  • obecny posiadacz roli jest operacyjny i może być dostępny w sieci przez nowego właściciela FSMO.
  • z wdziękiem degradujesz DC, które obecnie posiada role FSMO, które chcesz przypisać do konkretnego DC w lesie Active Directory.
  • DC, który obecnie posiada role FSMO, jest wyłączany w celu zaplanowanej konserwacji i musisz przypisać określone role FSMO do live DCs. Być może trzeba będzie przenieść role do wykonywania operacji, które mają wpływ na właściciela FSMO., Jest to szczególnie ważne dla roli emulatora PDC. Jest to mniej istotna kwestia dla roli nadrzędnej RID, roli nadrzędnej nazw domen oraz roli nadrzędnej schematu.

zalecamy przejęcie ról w FSMO w następujących scenariuszach:

  • obecny posiadacz roli doświadcza błędu operacyjnego, który uniemożliwia pomyślne zakończenie operacji zależnej od FSMO i nie można przenieść roli.

  • używasz poleceniadcpromo /forceremoval, aby wymusić degradację DC, który jest właścicielem roli FSMO.,

    ważne

    poleceniedcpromo /forceremoval pozostawia role FSMO w nieprawidłowym stanie, dopóki nie zostaną ponownie przypisane przez administratora.

  • system operacyjny na komputerze, który pierwotnie posiadał określoną rolę, już nie istnieje lub został ponownie zainstalowany.

Uwaga

  • zalecamy przejmowanie wszystkich ról tylko wtedy, gdy poprzedni posiadacz roli nie wraca do domeny.,
  • Jeśli role FSMO muszą zostać zajęte w scenariuszach odzyskiwania lasu, zobacz krok 5 W wykonaj początkowe odzyskiwanie w sekcji Przywróć pierwszy zapisywalny kontroler domeny w sekcji każda domena.
  • Po przeniesieniu lub zajęciu roli, nowy posiadacz roli nie działa natychmiast. Zamiast tego nowy posiadacz roli zachowuje się jak nowo uruchomiony posiadacz roli i czeka na kopię kontekstu nazewnictwa dla roli (np. partycji domeny), aby zakończyć pomyślny cykl replikacji przychodzącej., Ten wymóg replikacji pomaga upewnić się, że nowy posiadacz roli jest jak najbardziej aktualny przed podjęciem działań. Ogranicza to również możliwość wystąpienia błędów. To okno zawiera tylko zmiany, które poprzedni posiadacz roli nie zakończył replikowania do innych DCs, zanim przeszedł w tryb offline. Lista kontekstu nazewnictwa dla każdej roli FSMO znajduje się w tabeli w sekcji Więcej informacji.,

Identyfikacja nowego posiadacza roli

najlepszym kandydatem na nowego posiadacza roli jest DC spełniający następujące kryteria:

  • rezyduje w tej samej domenie co poprzedni posiadacz roli.
  • posiada najnowszą replikowaną, zapisywalną kopię partycji roli.

na przykład, załóżmy, że musisz przenieść główną rolę schematu. Rola master schematu jest częścią podziału schematu w lesie (cn=Schema,cn=Configuration,dc=<domena root forest>)., Najlepszym kandydatem na nowego posiadacza roli jest DC, który również mieszka w domenie forest root i w tej samej witrynie Active Directory co obecny posiadacz roli.

Uwaga

nie umieszczaj roli głównej infrastruktury na tym samym serwerze katalogu globalnego. Jeśli master infrastruktury działa na serwerze katalogu globalnego, przestaje aktualizować informacje o obiekcie, ponieważ nie zawiera żadnych odniesień do obiektów, których nie przechowuje. Dzieje się tak dlatego, że globalny serwer katalogowy przechowuje częściową replikę każdego obiektu w lesie.,

aby sprawdzić, czy DC jest również globalnym serwerem katalogu, wykonaj następujące kroki:

  1. Wybierz Start> programy> Narzędzia administracyjne> witryny i usługi Active Directory.
  2. w okienku nawigacji kliknij dwukrotnie witryny, a następnie zlokalizuj odpowiednią witrynę lub wybierz opcję domyślna pierwsza Nazwa witryny, jeśli inne witryny nie są dostępne.
  3. Otwórz folder Servers, a następnie wybierz DC.
  4. w folderze DC kliknij dwukrotnie NTDS Settings.
  5. w menu Akcja wybierz Właściwości.,
  6. na karcie Ogólne wyświetl pole wyboru katalog globalny, aby sprawdzić, czy jest zaznaczone.

aby uzyskać więcej informacji, zobacz:

  • Odzyskiwanie lasu AD – zajęcie roli głównej operacji
  • planowanie roli głównej operacji

przejmowanie lub przenoszenie ról FSMO

możesz użyć Windows PowerShell lub Ntdsutil do przejmowania lub przenoszenia ról. Aby uzyskać informacje i przykłady użycia PowerShell do tych zadań, zobacz Move-Additrectoryserveroperationmasterrole.,

ważne

Jeśli chcesz przejąć rolę nadrzędną RID, rozważ użycie cmdletu Move-Additrectoryserveroperationmasterrole zamiast Ntdsutil.narzędzie exe.

aby uniknąć ryzyka duplikatów Sid w domenie, Ntdsutil zwiększa następny dostępny RID w Puli o 10,000 po przejęciu roli RID master. Takie zachowanie może spowodować, że Twój Las całkowicie pochłonie dostępne zakresy wartości RID (znane również jako rid burn). W przeciwieństwie do tego, jeśli użyjesz cmdlet PowerShell do przejęcia roli mistrza RID, następny dostępny RID nie zostanie naruszony.,

aby przejąć lub przenieść role FSMO za pomocą narzędzia Ntdsutil, wykonaj następujące kroki:

  1. Zaloguj się na komputerze członkowskim, który ma zainstalowane narzędzia AD RSAT lub DC, który znajduje się w lesie, w którym role FSMO są przenoszone.

    Uwaga

    • zalecamy zalogowanie się do DC, do którego przypisywane są role FSMO.,
    • zalogowany użytkownik powinien być członkiem grupy Enterprise Administrators, aby przenosić role główne schematu lub nazwy domeny, lub członkiem grupy Administratorzy domeny domeny, w której przenoszone są emulatory PDC, rid master i role główne infrastruktury.

  2. Wybierz Start> Uruchom, wpisz ntdsutil w polu Otwórz, a następnie wybierz OK.

  3. wpisz role, a następnie naciśnij Enter.

    Uwaga

    aby zobaczyć listę dostępnych poleceń przy dowolnym z monitów w narzędziu Ntdsutil, wpisz ?,, a następnie naciśnij Enter.

  4. wpisz połączenia, a następnie naciśnij Enter.

  5. wpisz connect to server<servername>, a następnie naciśnij Enter.

    Uwaga

    w tym poleceniu<nazwa serwera> jest nazwą DC, do której chcesz przypisać rolę FSMO.

  6. w monicie połączenia serwera wpisz q, a następnie naciśnij Enter.,

  7. wykonaj jedną z następujących czynności:

    • aby przenieść rolę: wpisz transfer<rola>, a następnie naciśnij Enter.

      Uwaga

      w tym poleceniu,<rola> jest rolą, którą chcesz przenieść.

    • aby przejąć rolę: wpisz seize<role>, a następnie naciśnij Enter.

      Uwaga

      w tym poleceniu,<rola> jest rolą, którą chcesz przejąć.,

    na przykład, aby przejąć rolę RID master, wpisz seize rid master. Jedynym wyjątkiem jest rola emulatora PDC, której składnia to seize pdc, a nie seize pdc emulator.

    aby zobaczyć listę ról, które możesz przenieść lub przejąć, wpisz ? na monicie obsługi fsmo, a następnie naciśnij klawisz Enter, lub zobacz listę ról na początku tego artykułu.

  8. w monicie obsługi fsmo wpisz q, a następnie naciśnij klawisz Enter, aby uzyskać dostęp do monitu Ntdsutil. Wpisz q, a następnie naciśnij Enter, aby zamknąć narzędzie Ntdsutil.,

Jeśli jest to możliwe i jeśli jesteś w stanie przenieść role zamiast przejmować je, napraw poprzedni posiadacz roli. Jeśli nie możesz naprawić poprzedniego posiadacza roli lub jeśli przejąłeś role, Usuń poprzedniego posiadacza roli z domeny.

ważne

jeśli planujesz użyć naprawionego komputera jako DC, zalecamy przebudowanie komputera na DC od podstaw zamiast przywracania DC z kopii zapasowej. Proces renowacji odbudowuje DC ponownie jako uchwyt roli.,

  • aby przywrócić naprawiony komputer do lasu jako DC

    1. wykonaj jedną z następujących czynności:

      • sformatuj dysk twardy byłego posiadacza roli, a następnie ponownie zainstaluj System Windows na komputerze.
      • przymusowo degraduje byłego posiadacza roli na serwer członkowski.

    2. na innym DC w lesie użyj Ntdsutil, aby usunąć metadane dla byłego posiadacza roli. Aby uzyskać więcej informacji, zobacz czyszczenie metadanych serwera za pomocą Ntdsutil.,

    3. Po wyczyszczeniu metadanych można ponownie rozpromować komputer do DC i przenieść do niego rolę.

  • aby usunąć komputer z lasu po przejęciu jego ról

    1. Usuń komputer z domeny.
    2. na innym DC w lesie użyj Ntdsutil, aby usunąć metadane dla byłego posiadacza roli. Aby uzyskać więcej informacji, zobacz czyszczenie metadanych serwera za pomocą Ntdsutil.,

rozważania podczas reintegracji Wysp replikacyjnych

gdy część domeny lub lasu nie może komunikować się z resztą domeny lub lasu przez dłuższy czas, izolowane sekcje domeny lub lasu są znane jako wyspy replikacyjne. DCs na jednej wyspie nie może się replikować z DCs na innych wyspach. Podczas wielu cykli replikacji Wyspy replikacyjne nie są zsynchronizowane. Jeśli każda wyspa ma swoich posiadaczy ról FSMO, możesz mieć problemy z przywróceniem komunikacji między wyspami.,

ważne

w większości przypadków można skorzystać z początkowego wymogu replikacji (opisanego w tym artykule), aby wyeliminować powielających się posiadaczy ról. Ponownie uruchomiony posiadacz roli powinien zrezygnować z roli, jeśli wykryje duplikat posiadacza roli.
możesz napotkać okoliczności, których takie zachowanie nie rozwiąże. W takich przypadkach pomocne mogą być Informacje zawarte w tej sekcji.,

poniższa tabela określa role FMSO, które mogą powodować problemy, jeśli Las lub domena ma wielu posiadaczy ról dla tej roli:

rola potencjalne konflikty między posiadaczami wielu ról?,
Schema master Yes
Domain naming master Yes
RID master Yes
PDC emulator No
Infrastructure master No

This issue does not affect the PDC Emulator master or the Infrastructure master. These role holders do not persist operational data., Ponadto Mistrz infrastruktury nie wprowadza często zmian. W związku z tym, jeśli wiele wysp ma tych posiadaczy ról, można reintegrować wyspy bez powodowania długotrwałych problemów.

wzorzec schematu, wzorzec nazw domen i wzorzec RID mogą tworzyć obiekty i utrzymywać zmiany w Active Directory. Każda wyspa, na której znajduje się jeden z tych posiadaczy ról, może mieć duplikaty i sprzeczne obiekty schematu, domeny lub pule RID do czasu przywrócenia replikacji. Zanim dokonasz reintegracji Wysp, określ, których posiadaczy ról zachować., Usuń wszystkie zduplikowane wzorce schematów, wzorce nazw domen i wzorce RID, postępując zgodnie z procedurami naprawy, usuwania i czyszczenia wymienionymi w tym artykule.,proces transferu i zajęcia jonów

  • jak: Użyj Ntdsutil, aby znaleźć i wyczyścić zduplikowane identyfikatory zabezpieczeń w Windows Server
  • Rozwiązywanie problemów Identyfikator zdarzenia DNS 4013: serwer DNS nie mógł załadować zintegrowanych stref DNS AD
  • degradacja DCPROMO nie powiedzie się, jeśli nie można skontaktować się z mistrzem infrastruktury DNS
  • role FSMO
  • wykonać początkowe odzyskiwanie
  • Odzyskiwanie lasu Ad – zajęcie głównej roli operacji
  • aby wyczyścić metadane serwera za pomocą NTDSUTIL
  • planowanie operacji główne rozmieszczenie ról
  • move-Additrectoryserveroperationmasterrole

    • Dodaj komentarz

    Twój adres email nie zostanie opublikowany. Pola, których wypełnienie jest wymagane, są oznaczone symbolem *