- 09/08/2020
- 11 minute pentru a citi
-
- D
- x
- s
Acest articol descrie când și cum de a transfera sau de a confisca Flexible Single Master Operations (FSMO) roluri.,
produs Original versiune: Windows Server 2019, Windows Server Standard 2016, Windows Server Essentials 2016, Windows Server Datacenter 2016
Original KB număr: 255504
Mai multe informatii
Într-un Active Directory Domain Services (AD DS) pădure, există anumite sarcini care trebuie să fie efectuate de către un singur controler de domeniu (DC). DCs care sunt atribuite pentru a efectua aceste operațiuni unice sunt cunoscute ca titularii de rol FSMO. Următorul tabel listează rolurile FSMO și plasarea lor în Active Directory.,
Pentru mai multe informații despre titularii de roluri FSMO și recomandări pentru plasarea rolurilor, consultați plasarea și optimizarea FSMO pe controlerele de domeniu Active Directory.partițiile de aplicații Active Directory care includ partițiile de aplicații DNS au legături de rol FSMO. Dacă o partiție de aplicație DNS definește un proprietar pentru rolul principal de infrastructură, nu puteți utiliza Ntdsutil, DCPromo sau alte instrumente pentru a elimina acea partiție de aplicație. Pentru mai multe informații, consultați dcpromo retrogradarea eșuează dacă nu se poate contacta Masterul de infrastructură DNS.,
când un DC care a acționat ca titular de rol începe să ruleze (de exemplu, după o defecțiune sau o oprire), nu se reia imediat comportându-se ca titular de rol. DC așteaptă până când primește replicarea de intrare pentru contextul său de denumire (de exemplu, proprietarul rolului Master Schema așteaptă să primească replicarea de intrare a partiției Schema).
informațiile pe care DCs le trec ca parte a replicării Active Directory includ identitățile deținătorilor actuali de roluri FSMO., Când DC-ul nou început primește informațiile de replicare de intrare, verifică dacă este încă titularul rolului. Dacă este, reia operațiunile tipice. În cazul în care informațiile reproduse indică faptul că un alt DC acționează ca titular de rol, DC nou început renunță la proprietatea sa rol. Acest comportament reduce șansa ca domeniul sau pădurea va avea duplicat titularii de rol FSMO.operațiunile AD FS nu reușesc dacă necesită un titular de rol și dacă titularul de rol nou început este, de fapt, titularul de rol și nu primește replicare de intrare.,
comportamentul rezultat seamănă cu ceea ce s-ar întâmpla dacă titularul rolului ar fi offline.
determinați când să transferați sau să profitați de roluri
în condiții tipice, toate cele cinci roluri trebuie să fie atribuite DCs „live” în pădure. Când creați o pădure Active Directory, Expertul de instalare Active Directory (Dcpromo.exe) atribuie toate cele cinci roluri FSMO primului DC pe care îl creează în domeniul rădăcină de pădure. Când creați un domeniu copil sau copac, Dcpromo.exe atribuie cele trei roluri la nivel de domeniu primului DC din domeniu.,
DCs continuă să dețină roluri FSMO până când sunt realocate folosind una dintre următoarele metode:
- un administrator reatribuie rolul folosind un instrument administrativ GUI.
- un administrator reatribuie rolul folosind comanda
ntdsutil /roles
. - un administrator retrogradează grațios un DC care deține roluri utilizând Expertul de instalare Active Directory. Acest expert reasignează orice roluri deținute local la un curent continuu existent în pădure.
- un administrator retrogradează un DC care deține roluri folosind comanda
dcpromo /forceremoval
., - DC se oprește și repornește. Când DC repornește, primește informații de replicare de intrare care indică faptul că un alt DC este titularul rolului. În acest caz, DC-ul nou început renunță la rol (așa cum a fost descris anterior).
dacă un titular de rol FSMO se confruntă cu un eșec sau este scos din serviciu înainte ca rolurile sale să fie transferate, trebuie să profitați și să transferați toate rolurile într-un DC adecvat și sănătos.,vă recomandăm să transferați rolurile FSMO în următoarele scenarii:
- actualul titular de rol este operațional și poate fi accesat în rețea de noul proprietar FSMO.
- retrogradați grațios un DC care deține în prezent roluri FSMO pe care doriți să le atribuiți unui DC specific din Pădurea Active Directory.
- DC-ul care deține în prezent rolurile FSMO este luat offline pentru întreținerea programată și trebuie să atribuiți roluri specifice FSMO pentru a trăi DCs. Este posibil să trebuiască să transferați roluri pentru a efectua operațiuni care afectează proprietarul FSMO., Acest lucru este valabil mai ales pentru rolul emulatorului PDC. Aceasta este o problemă mai puțin importantă pentru rolul RID master, rolul master de denumire a domeniului și rolurile Master Schema.
vă recomandăm să profitați de rolurile FSMO în următoarele scenarii:
-
actualul titular de rol se confruntă cu o eroare operațională care împiedică o operație dependentă de FSMO să se finalizeze cu succes și nu puteți transfera rolul.
-
utilizați comanda
dcpromo /forceremoval
pentru a forța-retrograda un DC care deține un rol FSMO.,Important
comanda
dcpromo /forceremoval
lasă rolurile FSMO într-o stare nevalidă până când sunt realocate de un administrator. -
sistemul de operare de pe computerul care deținea inițial un rol specific nu mai există sau a fost reinstalat.
notă
- vă recomandăm să profitați de toate rolurile numai atunci când titularul rolului anterior nu revine la domeniu.,
- dacă rolurile FSMO trebuie să fie confiscate în scenariile de recuperare forestieră, consultați Pasul 5 în efectuați recuperarea inițială sub restaurați primul controler de domeniu care poate fi scris în fiecare secțiune de domeniu.
- după un transfer de rol sau confiscare, noul titular de rol nu acționează imediat. În schimb, noul titular de rol se comportă ca un titular de rol repornit și așteaptă o copie a contextului de denumire pentru rol (cum ar fi partiția de domeniu) pentru a finaliza un ciclu de replicare de intrare de succes., Această cerință de replicare vă ajută să vă asigurați că noul titular de rol este cât mai actualizat posibil înainte de a lua măsuri. De asemenea, limitează fereastra de oportunitate pentru erori. Această fereastră include numai modificări pe care titularul rolului anterior nu le-a terminat de replicat la celelalte DCs înainte de a fi deconectat. Pentru o listă a contextului de denumire pentru fiecare rol FSMO, consultați tabelul din secțiunea Mai multe informații.,
identificarea unui nou titular de rol
cel mai bun candidat pentru noul titular de rol este un DC care îndeplinește următoarele criterii:
- se află în același domeniu ca și titularul de rol anterior.
- are cea mai recentă copie reprodusă a partiției de rol.
de exemplu, presupuneți că trebuie să transferați rolul Master Schema. Rolul Master Schema face parte din partiția schemă a pădurii (cn=schemă,cn=configurare,dc=<domeniul rădăcină forestieră>)., Cel mai bun candidat pentru un nou titular de rol este un DC care se află, de asemenea, în domeniul rădăcină de pădure, și în același site Active Directory ca titularul de rol curent.
atenție
nu puneți rolul principal de infrastructură pe același DC ca și serverul catalogului global. Dacă masterul de infrastructură rulează pe un server de catalog global, acesta nu mai actualizează informațiile despre obiecte, deoarece nu conține referințe la obiecte pe care nu le deține. Acest lucru se datorează faptului că un server de catalog global deține o replică parțială a fiecărui obiect din pădure.,
Pentru a testa dacă un DC este, de asemenea, un server de catalog global urmați acești pași:
- Selectați Start > Programe > Administrative Tools > Active Directory site-Uri și Servicii.
- în panoul de navigare, faceți dublu clic pe site – uri și apoi localizați site-ul corespunzător sau selectați Default-first-site-name dacă nu sunt disponibile alte site-uri.
- Deschideți folderul servere, apoi selectați DC.
- în folderul DC, faceți dublu clic pe Setări NTDS.
- în meniul Acțiune, selectați Proprietăți.,
- în fila General, vizualizați caseta de selectare catalog Global pentru a vedea dacă este selectată.
Pentru mai multe informații, a se vedea:
- AD Pădure de Recuperare – Sechestrarea unei operațiuni rolul de master
- Planificarea Operațiunilor Rolul de Master de Plasament
Profite sau transfer de roluri FSMO
puteți utiliza Windows PowerShell sau Ntdsutil să profite sau transfer de roluri. Pentru informații și exemple despre modul de utilizare a PowerShell pentru aceste sarcini, consultați Move-ADDirectoryServerOperationMasterrole.,dacă trebuie să profitați de rolul RID master, luați în considerare utilizarea cmdlet-ului Move-ADDirectoryServerOperationMasterrole în loc de Ntdsutil.exe utilitate.
pentru a evita riscul de SIDs duplicat în domeniu, Ntdsutil crește următorul RID Disponibil în piscină cu 10.000 atunci când profitați de rolul RID master. Acest comportament poate determina pădurea dvs. să consume complet intervalele disponibile pentru valorile RID (cunoscute și sub numele de rid burn). În schimb, dacă utilizați cmdlet-ul PowerShell pentru a profita de rolul RID master, următorul RID disponibil nu este afectat.,pentru a confisca sau transfera rolurile FSMO folosind Utilitarul Ntdsutil, urmați acești pași:
-
Conectați-vă la un computer membru care are instalate instrumentele ad RSAT sau un DC care se află în pădurea unde sunt transferate rolurile FSMO.
notă
- vă recomandăm să vă conectați la DC la care atribuiți roluri FSMO.,
- utilizatorul conectat ar trebui să fie un membru al Grupului de administratori de întreprindere pentru a transfera rolurile Master scheme sau Domain naming master sau un membru al Grupului de administratori de domeniu al domeniului în care sunt transferate emulatorul PDC, RID master și rolurile Master Infrastructure.
-
selectați Start > Run, tastați ntdsutil în caseta Open, apoi selectați OK.
-
tastați roluri, apoi apăsați Enter.pentru a vedea o listă de comenzi disponibile la oricare dintre solicitările din utilitarul Ntdsutil, tastați ?,, apoi apăsați Enter.
-
tastați conexiuni, apoi apăsați Enter.
-
Tip conectare la server <servername>, apoi apăsați Enter.
Nota
În această comandă, <servername> este numele DC care doriți să o atribuiți rolul FSMO sa.
-
la promptul conexiuni server, tastați q, apoi apăsați Enter.,pentru a transfera rolul: tastați transfer <rol>, apoi apăsați Enter.
Nota
În această comandă, <rol> este rolul pe care doriți să le transferați.
-
Să profite de rol: Tip profite <rol>, apoi apăsați Enter.
Nota
În această comandă, <rol> este rolul pe care doriți să profite.,
-
la promptul de întreținere fsmo, tastați q, apoi apăsați Enter pentru a avea acces la promptul ntdsutil. Tastați q, apoi apăsați Enter pentru a ieși din utilitarul Ntdsutil.,dacă este posibil și dacă puteți transfera rolurile în loc să le capturați, remediați titularul rolului anterior. Dacă nu puteți repara titularul de rol anterior sau dacă ați confiscat rolurile, eliminați titularul de rol anterior din domeniu.Dacă intenționați să utilizați computerul reparat ca DC, vă recomandăm să reconstruiți computerul într-un DC de la zero în loc să restaurați DC dintr-o copie de rezervă. Procesul de restaurare reconstruiește din nou DC ca titular de rol.,
-
pentru a returna computerul reparat în pădure ca DC
-
efectuați una dintre următoarele acțiuni:
- Formatați hard disk-ul fostului titular de rol, apoi reinstalați Windows pe computer.
- retrogradează forțat fostul titular de rol pe un server membru.
-
pe un alt DC din pădure, utilizați Ntdsutil pentru a elimina metadatele pentru fostul titular de rol. Pentru mai multe informații, consultați Curățarea metadatelor serverului utilizând Ntdsutil.,
-
după ce curățați metadatele, puteți repromota computerul într-un DC și puteți transfera un rol înapoi la acesta.
-
-
pentru a elimina computerul din pădure după preluarea rolurilor sale
- Scoateți computerul din domeniu.
- pe un alt DC din pădure, utilizați Ntdsutil pentru a elimina metadatele pentru fostul titular de rol. Pentru mai multe informații, consultați Curățarea metadatelor serverului utilizând Ntdsutil.,
considerații la reintegrarea insulelor de replicare
când o parte a unui domeniu sau a unei păduri nu poate comunica cu restul domeniului sau pădurii pentru o perioadă lungă de timp, secțiunile izolate ale domeniului sau pădurii sunt cunoscute sub numele de insule de replicare. DCs într-o insulă nu se poate replica cu DCs în alte insule. De-a lungul mai multor cicluri de replicare, insulele de replicare cad din sincronizare. Dacă fiecare insulă are propriile sale titularii de rol FSMO, este posibil să aveți probleme atunci când restaurați comunicarea între insule.,în cele mai multe cazuri, puteți profita de cerința inițială de replicare (așa cum este descris în acest articol) pentru a elimina deținătorii de roluri duplicate. Un titular de rol repornit ar trebui să renunțe la rol dacă detectează un titular de rol duplicat.
este posibil să întâlniți circumstanțe pe care acest comportament nu le rezolvă. În astfel de cazuri, informațiile din această secțiune pot fi utile.,următorul tabel identifică FMSO roluri care pot cauza probleme dacă o pădure sau domeniu are rol multiplu-suporturi pentru acest rol:
Rol a Potențialelor conflicte între rol multiplu-titularii?, Schema master Yes Domain naming master Yes RID master Yes PDC emulator No Infrastructure master No This issue does not affect the PDC Emulator master or the Infrastructure master. These role holders do not persist operational data., În plus, comandantul infrastructurii nu face schimbări des. Prin urmare, dacă mai multe insule au acești deținători de roluri, puteți reintegra Insulele fără a provoca probleme pe termen lung.
Schema master, Domain Naming master și RID master pot crea obiecte și pot persista modificări în Active Directory. Fiecare insulă care are unul dintre acești deținători de roluri ar putea avea obiecte de schemă duplicate și conflictuale, domenii sau bazine de salvare până în momentul în care restaurați replicarea. Înainte de a reintegra Insulele, determinați ce deținători de rol să păstreze., Eliminați orice masterat de schemă duplicat, masterat de denumire a domeniilor și masterat RID urmând procedurile de reparare, eliminare și curățare menționate în acest articol.,ion Transfer și Confiscarea Proces
-
- CUM SĂ: Utilizați Ntdsutil pentru a găsi și a curăța duplicat identificatori de securitate în Windows Server
- Depanarea DNS ID-ul Evenimentului 4013: Serverul DNS a fost în imposibilitatea de a încărca ANUNȚURI integrate DNS zone
- DCPROMO retrogradarea eșuează dacă în imposibilitatea de a contacta DNS maestru de infrastructură
- Roluri FSMO
- de a Efectua de recuperare inițială
- AD Pădure de Recuperare – Sechestrarea unei operațiuni rolul de master
- Pentru a curăța server de metadate prin utilizarea Ntdsutil
- Planificarea Operațiunilor Rolul de Master de Plasament
- Mutare-ADDirectoryServerOperationMasterrole
de exemplu, pentru a profita de rolul RID master, tastați seize rid master. Singura excepție este pentru rolul emulatorului PDC, a cărui sintaxă este confiscarea pdc, nu confiscarea emulatorului pdc.
pentru a vedea o listă de roluri pe care le puteți transfera sau profita, tastați ? la promptul de întreținere fsmo, apoi apăsați Enter sau vedeți lista rolurilor de la începutul acestui articol.