- 09/08/2020
- 11 minuter att läsa
-
- d
- x
- s
den här artikeln beskriver när och hur man överför eller beslagtar flexibla single master operations (FSMO) roller.,
originalproduktversion: Windows Server 2019, Windows Server Standard 2016, Windows Server Essentials 2016, Windows Server Datacenter 2016
Original KB-nummer: 255504
mer information
inom en Active Directory Domain Services (AD DS) skog finns det specifika uppgifter som måste utföras av endast en domänkontrollant (DC). De DCs som tilldelas för att utföra dessa unika operationer kallas FSMO rollhållare. I följande tabell visas FSMO-rollerna och deras placering i Active Directory.,
För mer information om FSMO rollhållare och rekommendationer för placering av roller, se FSMO placering och optimering på Active Directory domänkontrollanter.
notera
Active Directory-programpartitioner som inkluderar DNS-programpartitioner har FSMO-rolllänkar. Om en DNS-applikationspartition definierar en ägare för huvudrollen Infrastruktur, kan du inte använda Ntdsutil, DCPromo eller andra verktyg för att ta bort den applikationspartitionen. För mer information, se DCPROMO demotion misslyckas om det inte går att kontakta DNS infrastructure master.,
När en DC som har fungerat som rollhållare börjar köras (till exempel efter ett fel eller en avstängning), återupptas den inte omedelbart som rollhållare. DC väntar tills den tar emot inkommande replikering för sitt namnkontext (till exempel väntar ägaren av schemat master role att ta emot inkommande replikering av Schemapartitionen).
den information som DCs passerar som en del av Active Directory-replikering innehåller identiteterna för de nuvarande FSMO-rollinnehavarna., När den nystartade DC tar emot inkommande replikeringsinformation, verifierar det om det fortfarande är rollinnehavaren. Om det är, återupptar det typiska operationer. Om den replikerade informationen tyder på att ett annat DC fungerar som rollinnehavare, lämnar det nystartade DC sitt rollägande. Detta beteende minskar chansen att domänen eller skogen kommer att ha dubbla FSMO rollinnehavare.
viktigt
AD FS-operationer misslyckas om de kräver en rollhållare och om den nystartade rollinnehavaren faktiskt är rollinnehavaren och den inte får inkommande replikering.,
det resulterande beteendet liknar vad som skulle hända om rollhållaren var offline.
Bestäm när du ska överföra eller beslagta Roller
under typiska förhållanden måste alla fem rollerna tilldelas ”live” DCs i skogen. När du skapar en Active Directory forest, installationsguiden för Active Directory (Dcpromo.exe) tilldelar alla fem FSMO roller till den första DC som den skapar i skogsrotsdomänen. När du skapar en domän för barn eller träd, Dcpromo.exe tilldelar de tre domänövergripande rollerna till den första DC i domänen.,
DCs fortsätter att äga FSMO-roller tills de omplaceras med hjälp av en av följande metoder:
- en administratör omplacerar rollen genom att använda ett administrativt verktyg för GUI.
- en administratör byter roll genom att använda kommandot
ntdsutil /roles
. - en administratör demonterar graciöst en ROLLINNEHÅLLANDE DC genom att använda installationsguiden för Active Directory. Den här guiden överför alla lokalt hållna Roller till en befintlig DC i skogen.
- en administratör anger en ROLLINNEHÅLLANDE DC genom att använda kommandot
dcpromo /forceremoval
., - likströmmen stängs av och startas om. När DC startar om tar den emot inkommande replikeringsinformation som indikerar att en annan DC är rollhållaren. I det här fallet lämnar den nystartade DC rollen (som beskrivits tidigare).
om en FSMO-rollhållare upplever ett fel eller på annat sätt tas ur tjänst innan dess roller överförs, måste du gripa och överföra alla roller till en lämplig och hälsosam DC.,
Vi rekommenderar att du överför FSMO-roller i följande scenarier:
- den nuvarande rollinnehavaren är i drift och kan nås på nätverket av den nya FSMO-ägaren.
- du demonterar graciöst en DC som för närvarande äger FSMO-roller som du vill tilldela till en specifik DC i din Active Directory-skog.
- DC som för närvarande äger FSMO-roller tas offline för schemalagt underhåll, och du måste tilldela specifika FSMO-roller till levande DCs. Du kan behöva överföra roller för att utföra operationer som påverkar FSMO-ägaren., Detta gäller särskilt för PDC-emulatorns Roll. Detta är en mindre viktig fråga för RID master Roll, domän namnge master roll, och schemat Master Roller.
Vi rekommenderar att du använder FSMO-roller i följande scenarier:
-
den nuvarande rollinnehavaren upplever ett operativt fel som förhindrar att en FSMO-beroende operation slutförs framgångsrikt, och du kan inte överföra rollen.
-
du använder kommandot
dcpromo /forceremoval
för att tvinga-demotera en DC som äger en FSMO-Roll.,viktigt
kommandot
dcpromo /forceremoval
lämnar FSMO-roller i ett ogiltigt tillstånd tills de omplaceras av en administratör. -
operativsystemet på datorn som ursprungligen ägde en viss roll existerar inte längre eller har installerats igen.
notera
- Vi rekommenderar att du bara griper alla roller när den tidigare rollinnehavaren inte återvänder till domänen.,
- Om FSMO-roller måste beslagtas i skogsåterställningsscenarier, se steg 5 I utför initial återhämtning under återställ den första skrivbara domänkontrollanten i varje domänsektion.
- efter en rollöverföring eller beslag, fungerar den nya rollinnehavaren inte omedelbart. Istället beter sig den nya rollinnehavaren som en omstartad rollhållare och väntar på sin kopia av namnkontexten för rollen (till exempel domänpartitionen) för att slutföra en framgångsrik inkommande replikeringscykel., Detta replikeringskrav hjälper till att se till att den nya rollinnehavaren är så uppdaterad som möjligt innan den vidtar åtgärder. Det begränsar också möjligheten för fel. Det här fönstret innehåller bara ändringar som den tidigare rollhållaren inte slutade replikera till de andra DCs innan den gick offline. En lista över namngivningskontexten för varje FSMO-Roll finns i tabellen i avsnittet Mer information.,
identifiera en ny rollhållare
den bästa kandidaten för den nya rollinnehavaren är en DC som uppfyller följande kriterier:
- den är bosatt på samma domän som den tidigare rollinnehavaren.
- den har den senaste replikerade skrivbara kopian av rollpartitionen.
anta till exempel att du måste överföra Schemamästarrollen. Schemat master roll är en del av schemat partitionen av skogen (cn=Schema,cn=Configuration,dc=<skogs rot domän>)., Den bästa kandidaten för en ny rollinnehavare är en DC som också finns i skogsrotdomänen och på samma Active Directory-webbplats som den nuvarande rollinnehavaren.
Varning
placera inte infrastrukturhanteraren på samma DC som den globala katalogservern. Om Infrastrukturmästaren körs på en global katalogserver slutar den Uppdatera objektinformation eftersom den inte innehåller några referenser till objekt som den inte håller. Detta beror på att en global katalogserver har en partiell kopia av varje objekt i skogen.,
för att testa om en DC också är en global katalogserver gör du så här:
- Välj Start> program> Administrationsverktyg> Active Directory-webbplatser och-tjänster.
- i navigeringsfönstret dubbelklickar du på webbplatser och letar sedan efter lämplig webbplats eller väljer standardnamn för första platsen om inga andra webbplatser är tillgängliga.
- öppna Servermappen och välj sedan DC.
- dubbelklicka på NTDS-Inställningar i mappen DC.
- välj Egenskaper på åtgärdsmenyn.,
- på fliken Allmänt, visa kryssrutan Global Catalog för att se om den är markerad.
För mer information, se:
- AD Forest Recovery – gripa en operations master Roll
- planering Operations Master Roll placering
gripa eller överföra FSMO roller
Du kan använda Windows PowerShell eller Ntdsutil för att gripa eller överföra roller. För information och exempel på hur du använder PowerShell för dessa uppgifter, se flytta-ADDirectoryServerOperationMasterrole.,
viktigt
om du måste ta över rollen RID master, överväg att använda cmdlet Move-ADDirectoryServerOperationMasterrole istället för Ntdsutil.exe verktyg.
För att undvika risken för dubbla SIDs i domänen ökar Ntdsutil nästa tillgängliga RID i poolen med 10 000 när du griper rid master-rollen. Detta beteende kan få din skog att helt konsumera sina tillgängliga intervall för RID-värden (även känd som RID burn). Däremot, om du använder PowerShell cmdlet för att gripa RID master roll, nästa tillgängliga RID påverkas inte.,
för att gripa eller överföra FSMO-rollerna genom att använda Ntdsutil-verktyget, gör du så här:
-
Logga in på en medlemsdator som har AD RSAT-verktygen installerade, eller en DC som finns i skogen där FSMO-rollerna överförs.
Obs
- Vi rekommenderar att du loggar in på DC som du tilldelar FSMO-roller.,
- den inloggade användaren ska vara medlem i Företagsadministratörsgruppen för att överföra schemamästerroller eller domännamnsroller, eller en medlem i Domänadministratörsgruppen för domänen där PDC-emulatorn, RID master och infrastrukturhanteringsrollerna överförs.
-
Välj Start> Kör, skriv ntdsutil i den öppna rutan och välj sedan OK.
-
skriv roller och tryck sedan på Enter.
notera
för att se en lista över tillgängliga kommandon vid någon av anvisningarna i Ntdsutil-verktyget, skriv ?, och tryck sedan på Enter.
-
skriv anslutningar och tryck sedan på Enter.
-
skriv Anslut till servern <servernamn> och tryck sedan på Enter.
notera
i det här kommandot är<servername> namnet på DC som du vill tilldela FSMO-rollen till.
-
skriv q på serverns anslutning och tryck sedan på Enter.,
-
gör något av följande:
-
för att överföra rollen: skriv överföring <Roll>, och tryck sedan på Enter.
notera
i det här kommandot är<Roll> den roll du vill överföra.
-
för att fånga rollen: skriv gripa<Roll>, och tryck sedan på Enter.
notera
i det här kommandot är<Roll> den roll du vill ta.,
till exempel, för att gripa rid master-rollen, skriv seize rid master. Ett undantag är för PDC emulator roll, vars syntax är gripa pdc, inte gripa PDC emulator.
för att se en lista över roller som du kan överföra eller gripa, skriv? vid FSMO-underhållsprompten och tryck sedan på Enter, eller se listan över roller i början av den här artikeln.
-
-
vid FSMO-underhållsprompten, skriv q och tryck sedan på Enter för att få tillgång till ntdsutil-prompten. Typ q och tryck sedan på Enter för att avsluta Ntdsutil verktyg.,
om det är möjligt, och om du kan överföra rollerna istället för att gripa dem, fixa den tidigare rollhållaren. Om du inte kan fixa den tidigare rollinnehavaren, eller om du grep rollerna, ta bort den tidigare rollinnehavaren från domänen.
viktigt
om du planerar att använda den reparerade datorn som en DC, rekommenderar vi att du bygger om datorn till en DC från början istället för att återställa DC från en säkerhetskopia. Restaureringsprocessen återuppbygger DC som en rollhållare igen.,
-
för att returnera den reparerade datorn till skogen som en DC
-
gör något av följande:
- formatera hårddisken i den tidigare rollhållaren och installera sedan om Windows på datorn.
- Tvångsdemotera den tidigare rollinnehavaren till en medlemsserver.
-
på en annan DC i skogen, använd Ntdsutil för att ta bort metadata för den tidigare rollhållaren. Mer information finns i rensa servermetadata genom att använda Ntdsutil.,
-
När du har rengjort metadata kan du främja datorn till en likström och överföra en roll tillbaka till den.
-
-
för att ta bort datorn från skogen efter att ha tagit sina roller
- ta bort datorn från domänen.
- på en annan DC i skogen, använd Ntdsutil för att ta bort metadata för den tidigare rollinnehavaren. Mer information finns i rensa servermetadata genom att använda Ntdsutil.,
överväganden vid återintegrering av replikationsöar
När en del av en domän eller skog inte kan kommunicera med resten av domänen eller skogen under en längre tid kallas de isolerade delarna av domänen eller skogen replikationsöar. DCs på en ö kan inte replikera med DCs på andra öar. Under flera replikeringscykler faller replikationsöarna ur synk. Om varje ö har sina egna FSMO Roll innehavare, du kan ha problem när du återställa kommunikationen mellan öarna.,
viktigt
i de flesta fall kan du dra nytta av det ursprungliga replikeringskravet (som beskrivs i den här artikeln) för att rensa ut dubbla rollhållare. En omstartad rollinnehavare bör avstå från rollen om den upptäcker en dubblett rollinnehavare.
Du kan stöta på omständigheter som detta beteende inte löser. I sådana fall kan informationen i detta avsnitt vara till hjälp.,
Följande tabell identifierar de FMSO-roller som kan orsaka problem om en skog eller domän har flera rollinnehavare för den rollen:
Roll | potentiella konflikter mellan flera rollinnehavare?, |
---|---|
Schema master | Yes |
Domain naming master | Yes |
RID master | Yes |
PDC emulator | No |
Infrastructure master | No |
This issue does not affect the PDC Emulator master or the Infrastructure master. These role holders do not persist operational data., Dessutom gör Infrastrukturmästaren inte ändringar ofta. Om flera öar har dessa rollinnehavare kan du därför återintegrera öarna utan att orsaka långsiktiga problem.
Schemamästaren, domännamnsmästaren och RID-mästaren kan skapa objekt och bestå av ändringar i Active Directory. Varje ö som har en av dessa rollinnehavare kan ha dubbla och motstridiga schemaobjekt, domäner eller RID-pooler när du återställer replikering. Innan du återintegrerar öar, bestämma vilka rollinnehavare att behålla., Ta bort alla duplicerade schemamästare, domännamnmästare och RID-mästare genom att följa reparations -, borttagnings-och rensningsförfarandena som nämns i den här artikeln.,ion Transfer and Seizure Process