Az FSMO-szerepkörök zárolása vagy másik tartományvezérlőre való átvitele az Ntdsutil.exe segédprogrammal

A cikk fordítása A cikk fordítása
Cikk azonosítója: 255504 - A cikkben érintett termékek listájának megtekintése.
Az összes kibontása | Az összes összecsukása

A lap tartalma

Összefoglaló

Jelen cikk az FSMO-szerepkörök Ntdsutil.exe segédprogrammal történő zárolásának és átvitelének módját ismerteti.

További információ

A több főkiszolgálós frissítésekhez nem megfelelő vállalati szintű vagy tartományműveleteket az Active Directory-tartományban vagy -erdőben található egyetlen tartományvezérlő hajtja végre. Az ezen egyedi műveletek elvégzéséhez rendelt tartományvezérlőket műveletvezérlőknek vagy az FSMO-szerepkörök tulajdonosának nevezzük.

Az alábbi lista az Active Directory-erdők öt egyedi FSMO-szerepkörét, valamint az azok által végrehajtott műveleteket ismerteti:
  • Séma-főkiszolgáló – A séma-főkiszolgálói szerepkör erdőszintű, és az egyes erdőkben egyetlen egy található. Ez a szerepkör az Active Directory-erdő sémájának kiterjesztéséhez, valamint az adprep /domainprep parancs végrehajtásához szükséges.
  • Tartománynév-kiosztási főkiszolgáló – A tartománynév-kiosztási főkiszolgáló szerepkör erdőszintű, és az egyes erdőkben egyetlen egy található. Ez a szerepkör a tartományok és alkalmazáspartíciók erdőhöz történő hozzáadásához, illetve erdőből való eltávolításához szükséges.
  • RID-főkiszolgáló – A RID-főkiszolgálói szerepkör erdőszintű, és az egyes erdőkben egyetlen egy található. Ez a szerepkör a RID-verem kiosztásához szükséges, mely révén az új és meglévő tartományvezérlők felhasználói fiókokat, számítógépfiókokat és biztonsági csoportokat hozhatnak létre.
  • PDC-emulátor – A PDC-emulátor szerepkör erdőszintű, és az egyes erdőkben egyetlen egy található. Ez a szerepkör a Windows NT rendszerű tartalék tartományvezérlőknek adatbázis-frissítéseket küldő tartományvezérlők számára szükséges. A szerepkörrel rendelkező tartományvezérlő emellett bizonyos rendszergazdai eszközök, illetve a felhasználói és számítógépfiókok jelszófrissítéseinek is célhelye.
  • Infrastruktúra-főkiszolgáló – Az infrastruktúra-főkiszolgálói szerepkör erdőszintű, és az egyes erdőkben egyetlen egy található. Ez a szerepkör az adprep /forestprep parancs futtatásához, valamint a tartományok között hivatkozott objektumok megkülönböztető név és SID attribútumának frissítéséhez szükséges a tartományvezérlők számára.
Az Active Directory telepítővarázsló (Dcpromo.exe) mind az öt FSMO-szerepkört az erdő gyökértartományában található első tartományvezérlőhöz rendeli hozzá. A három tartományszintű szerepkörhöz az egyes új gyermektartományok vagy fatartományok első tartományvezérlői lesznek hozzárendelve. A tartományvezérlők az FSMO-szerepkörökkel egészen addig rendelkeznek, amíg:
  • Egy rendszergazda ismét kiosztja a szerepkört egy rendszergazdai eszköz felhasználói felületéről.
  • Egy rendszergazda ismét kiosztja a szerepkört az ntdsutil /roles parancs segítségével.
  • Egy rendszergazda szabályosan lefokozza a szerepkörrel rendelkező tartományvezérlőt az Active Directory telepítővarázsló segítségével. A varázsló ismét kiosztja valamennyi helyben őrzött szerepkört az erdő egy meglévő tartományvezérlőjének. A dcpromo /forceremoval paranccsal végrehajtott lefokozást követően az FSMO-szerepkörök a rendszergazda általi ismételt kiosztásig érvénytelen állapotban maradnak.
Az FSMO-szerepkörök átvitele az alább esetekben ajánlott:
  • Ha a jelenlegi szereptulajdonos működőképes, és az új FSMO-tulajdonos hozzáférhet ahhoz a hálózaton.
  • Ha szabályosan lefokozza azt a tartományvezérlőt, amely az Active Directory-erdő egy bizonyos tartományvezérlőjéhez hozzárendelni kívánt FSMO-szerepkörök jelenlegi tulajdonosa.
  • Ha az FSMO-szerepkörökkel jelenleg rendelkező tartományvezérlő kapcsolat nélkül üzemel, és bizonyos FSMO-szerepköröket egy kapcsolattal rendelkező tartományvezérlőhöz szükséges hozzárendelni. Ezt esetleg az FSMO-tulajdonossal kapcsolatos műveletek végrehajtása teheti szükségessé, főként a PDC-emulátor szerepkörnél; a RID-főkiszolgáló, a tartománynév-kiosztási főkiszolgáló és a séma-főkiszolgáló esetében kevésbé jellemző.
Az FSMO-szerepkörök zárolása az alábbi esetekben ajánlott:
  • Ha a jelenlegi szerepkör-tulajdonos olyan működési hibában szenved, amely meggátolja az FSMO-függő műveletek sikeres végrehajtását és a szerepkör átvitelét.
  • Az FSMO-szerepkört tulajdonló tartományvezérlő dcpromo /forceremoval parancs segítségével történő kényszerített lefokozása esetén.
  • Ha a szerepkörrel eredetileg rendelkező számítógép operációs rendszere nem használható vagy újra lett telepítve.
A replikálás végrehajtását követően a tartomány vagy erdő FSMO-szerepkörrel nem rendelkező tartományvezérlői teljes egészében értesülnek az FSMO-tulajdonos tartományvezérlőn bekövetkezett változásokról. A szerepkörök szükségszerű átvitele esetén az optimális helyettesítő tartományvezérlő az, amelynek beérkező replikálása legutoljára történt, vagy amelyik nemrégiben a beérkező replikálás révén egy írható másolatot készített a meglévő szerepkör-tulajdonos „FSMO-partíciójáról”. A séma-főkiszolgálói szereptulajdonos például a „CN=séma,CN=konfiguráció,dc=<erdő gyökértartománya>” megkülönböztető elérési úttal rendelkezik, így a szerepkörök a CN=séma partíció részét képezik, és azok is replikálódnak. Ha a séma-főkiszolgálói szerepkörrel rendelkező tartományvezérlőn hardver- vagy szoftverhiba lép fel, a megfelelő helyettesítő tartományvezérlő a gyökértartományban és a jelenlegi tulajdonossal megegyező Active Directory-helyen keresendő. Az egyazon Active Directory-helyen található tartományvezérlők 5 percenként vagy 15 másodpercenként beérkező replikálást hajtanak végre.

Az alábbi listában az egyes FSMO-szerepkörök partícióit tekintheti át:

A táblázat összecsukásaA táblázat kibontása
FSMO-szerepkörPartíció
Séma-főkiszolgálóCN=séma,CN=konfiguráció,DC=<erdő gyökértartománya>
Tartománynév-kiosztási főkiszolgálóCN=konfiguráció,DC=<erdő gyökértartománya>
PDC-emulátorDC=<tartomány>
RID-főkiszolgálóDC=<tartomány>
Infrastruktúra-főkiszolgálóDC=<tartomány>


A zárolt FSMO-szerepkörökkel rendelkező tartományvezérlő nem kommunikálhat az erdő más tartományvezérlőivel. Ilyen esetben formázhatja az adott tartományvezérlő merevlemezét, majd újratelepítheti az operációs rendszert, vagy egy magánhálózaton végrehajtott kikényszerített lefokozást követően az ntdsutil /metadata cleanup parancs segítségével eltávolíthatja annak metaadatait az erdő egy megmaradó tartományvezérlőjéről. A korábbi, zárolt szerepkörrel rendelkező FSMO-tulajdonosok bevezetésekor fennáll annak a veszélye, hogy az eredeti szereptulajdonos a korábbiaknak megfelelően működik tovább, amíg a beérkező replikálás során nem értesül a szerepzárolásról. Ha egy erdőben két tartományvezérlő rendelkezik egy adott FSMO-szerepkörrel, az a RID-vermet átfedő rendszerbiztonsági tagok létrehozását eredményezheti, illetve egyéb problémákat okozhat.

Az FSMO-szerepkörök átvitele

Az FSMO-szerepkörök Ntdsutil segédprogrammal történő átviteléhez hajtsa végre az alábbi lépéseket:
  1. Jelentkezzen be arra a Windows 2000 Server vagy Windows Server 2003 alapú tagszámítógépre vagy tartományvezérlőre, amely az áthelyezendő FSMO-szerepköröket tartalmazó erdőben található. A bejelentkezést ajánlott azon a tartományvezérlőn végrehajtani, amelyhez az FSMO-szerepköröket hozzá kívánja rendelni. A bejelentkezett felhasználónak a séma-főkiszolgáló és tartománynév-kiosztási főkiszolgáló szerepkör átviteléhez a Vállalati rendszergazdák csoportba, a PDC-emulátor, RID-főkiszolgáló és infrastruktúra-főkiszolgáló szerepkör átviteléhez pedig a Tartománygazdák csoportba kell tartoznia.
  2. Kattintson a Start menü Futtatás parancsára, írja be az ntdsutil parancsot a Megnyitás mezőbe, majd kattintson az OK gombra.
  3. Írja be a roles parancsot, majd nyomja le az ENTER billentyűt.

    Megjegyzés: Ha az Ntdsutil segédprogram bármely parancssorában meg kívánja tekinteni az elérhető parancsok listáját, írja be a ? parancsot, majd nyomja meg az ENTER billentyűt.
  4. Írja be a connections parancsot, majd nyomja le az ENTER billentyűt.
  5. Írja be a connect to server kiszolgálónév parancsot, majd nyomja meg az ENTER billentyűt. A kiszolgálónév helyére annak a tartományvezérlőnek a nevét írja, amelyhez az FSMO-szerepkört rendelni szeretné.
  6. Írja be a server connections parancssorba a q parancsot, majd nyomja meg az ENTER billentyűt.
  7. Írja be a transfer szerepkör parancsot. A szerepkör helyére az átadni kívánt szerepkör neve kerül. Az átadni kívánt szerepkörök listájának megjelenítéséhez írja be a ? parancsot az fsmo maintenance parancssorba, majd nyomja meg az ENTER billentyűt (vagy tekintse meg a cikk elején a szerepkörök felsorolását). A szerepkörök kezelésekor azok angol elnevezését használhatja: a RID-főkiszolgálói szerepkör átadásához például írja be a transfer rid master parancsot. Az egyetlen kivételt a PDC-emulátor szerepkör jelenti, melynek szintaxisa transfer pdc, nem pedig transfer pdc emulator.
  8. Az fsmo maintenance parancssorban írja be a q parancsot, majd nyomja meg az ENTER billentyűt az ntdsutil parancssor eléréséhez. Írja be a q parancsot, majd nyomja meg az ENTER billentyűt az Ntdsutil segédprogram bezárásához.

Az FSMO-szerepkörök zárolása

Az FSMO-szerepkörök Ntdsutil segédprogrammal történő zárolásához hajtsa végre az alábbi lépéseket:
  1. Jelentkezzen be arra a Windows 2000 Server vagy Windows Server 2003 alapú tagszámítógépre vagy tartományvezérlőre, amely a zárolandó FSMO-szerepköröket tartalmazó erdőben található. A bejelentkezést ajánlott azon a tartományvezérlőn végrehajtani, amelyhez az FSMO-szerepköröket hozzá kívánja rendelni. A bejelentkezett felhasználónak a séma-főkiszolgáló és tartománynév-kiosztási főkiszolgáló szerepkör átviteléhez a Vállalati rendszergazdák csoportba, a PDC-emulátor, RID-főkiszolgáló és infrastruktúra-főkiszolgáló szerepkör átviteléhez pedig a Tartománygazdák csoportba kell tartoznia.
  2. Kattintson a Start menü Futtatás parancsára, írja be az ntdsutil parancsot a Megnyitás mezőbe, majd kattintson az OK gombra.
  3. Írja be a roles parancsot, majd nyomja le az ENTER billentyűt.
  4. Írja be a connections parancsot, majd nyomja le az ENTER billentyűt.
  5. Írja be a connect to server kiszolgálónév parancsot, majd nyomja meg az ENTER billentyűt. A kiszolgálónév helyére annak a tartományvezérlőnek a nevét írja, melyhez az FSMO-szerepkört rendelni szeretné.
  6. Írja be a server connections parancssorba a q parancsot, majd nyomja meg az ENTER billentyűt.
  7. Írja be a seize szerepkör parancsot. A szerepkör helyére a zárolni kívánt szerepkör neve kerül. A zárolni kívánt szerepkörök listájának megjelenítéséhez írja be a ? parancsot az fsmo maintenance parancssorba, majd nyomja meg az ENTER billentyűt (vagy tekintse meg a cikk elején a szerepkörök felsorolását). A szerepkörök kezelésekor azok angol elnevezését használhatja: a RID-főkiszolgálói szerepkör zárolásához például írja be a seize rid master parancsot. Az egyetlen kivételt a PDC-emulátor szerepkör jelenti, melynek szintaxisa seize pdc, nem pedig seize pdc emulator.
  8. Az fsmo maintenance parancssorban írja be a q parancsot, majd nyomja meg az ENTER billentyűt az ntdsutil parancssor eléréséhez. Írja be a q parancsot, majd nyomja meg az ENTER billentyűt az Ntdsutil segédprogram bezárásához.

    Megjegyzések
    • Szokásos esetben mind az öt szerepkört az erdő egy aktív kapcsolattal rendelkező tartományvezérlőjéhez szükséges hozzárendelni. Ha egy FSMO-szerepkörökkel rendelkező tartományvezérlő működését a szerepkörök átvitele előtt szakítja meg, a tartományvezérlők megfelelő működése érdekében zárolnia kell valamennyi szerepkört. A szerepkörök zárolása kizárólag abban az esetben ajánlott, ha az adott tartományvezérlő a későbbiekben nem csatlakozik ismét a tartományhoz. Ha lehetséges, javítsa ki az FSMO-szerepkörökhöz rendelt tartományvezérlő hibáját. A hiba kijavításáig a szerepkörök kiosztása érdekében határozza meg, hogy az egyes szerepköröket mely megmaradt tartományvezérlőhöz rendelheti hozzá. Az FSMO-szerepkörök kiosztásáról a Microsoft Tudásbázis alábbi cikkében tájékozódhat:
      223346 A mozgó egyedüli főkiszolgálói (FSMO) szerepkörök hozzárendelése és optimalizálása Active Directory alapú tartományvezérlőkön
    • Ha egy korábban FSMO-szerepkörökkel rendelkező tartományvezérlő nincs jelen a tartományban, és annak szerepköreit a jelen cikkben ismertetett módon zárolta, távolítsa el a tartományvezérlőt az Active Directoryból a Microsoft Tudásbázis alábbi cikkében ismertetett módon:
      216498 Adatok eltávolítása az Active Directoryból tartományvezérlő sikertelen lefokozási kísérletét követően
    • Ha a tartományvezérlő metaadatait a Windows 2000 vagy a 3790-es buildszámmal rendelkező Windows Server 2003 rendszer ntdsutil /metadata cleanup parancsával távolította el, az élő tartományvezérlőkhöz rendelt FSMO-szerepkörök ismételt kiosztása nem történt meg. Az Ntdsutil segédprogram Windows Server 2003 Service Pack 1 (SP1) rendszerben található verziója automatikusan elvégzi ezt a feladatot, valamint a tartományvezérlő metaadatainak további összetevőit is eltávolítja.
    • Egyes vevők nem szokták visszaállítani az FSMO szerepkör-tulajdonosok rendszerállapotát tartalmazó biztonsági mentéseket abban az esetben, ha a szerepkör a biztonsági mentés létrejötte után át lett helyezve.
    • Ne ossza ki az infrastruktúra-főkiszolgálói szerepkört a globáliskatalógus-kiszolgálóval megegyező tartományvezérlőnek. Ha az infrastruktúra-főkiszolgálói szerepkört globáliskatalógus-kiszolgálón futtatja, az felhagy az objektuminformációk frissítésével, mivel ebben az esetben a kiszolgáló az általa nem tárolt objektumokra mutató hivatkozásokat nem tartalmazza. Ennek az az oka, hogy a globáliskatalógus-kiszolgáló az erdő összes objektumának tartalmazza egy részleges replikáját.
Végezze el az alábbi lépéseket annak megállapításához, hogy a tartományvezérlő globáliskatalógus-kiszolgálóként működik-e:
  1. Mutasson a Start menü Programok pontjára, majd a Felügyeleti eszközök pontra, végül pedig kattintson az Active Directory - helyek és szolgáltatások parancsra.
  2. Kattintson duplán a bal oldali ablaktáblában található Sites (Helyek) mappára, majd keresse meg a megfelelő helyet, vagy ha egy hely sem érhető el, kattintson az Alapertelmezett-elso-hely-neve elemre.
  3. Nyissa meg a Servers (Kiszolgálók) mappát, majd kattintson a tartományvezérlőre.
  4. Kattintson duplán a tartományvezérlő mappájában található NTDS Settings (NTDS-beállítások) elemre.
  5. Kattintson a Művelet menü Tulajdonságok parancsára.
  6. Ellenőrizze, hogy az Általános lapon található Globális katalógus jelölőnégyzet be van-e jelölve.
Az FSMO-szerepkörökről a Microsoft Tudásbázis alábbi cikkeiben tájékozódhat:
197132 Mozgó egyedüli főkiszolgálóval végzett műveletek (FSMO) szerepkörei a Windows 2000 Active Directoryban
223787 A mozgó egyedüli főkiszolgáló (FSMO) átviteli és zárolási folyamata (Előfordulhat, hogy a hivatkozás részben vagy teljes egészében angol nyelvű tartalomra mutat.)

Tulajdonságok

Cikk azonosítója: 255504 - Utolsó ellenőrzés: 2006. március 22. - Verziószám: 7.1
A cikkben található információ a következő(k)re vonatkozik:
  • Microsoft Windows Server 2003, Standard Edition (32-bit x86)
  • Microsoft Windows Server 2003, Enterprise Edition (32-bit x86)
  • Microsoft Windows Server 2003, Datacenter Edition (32-bit x86)
  • Microsoft Windows 2000 Server
  • Microsoft Windows 2000 Advanced Server
  • Microsoft Windows 2000 Datacenter Server
Kulcsszavak: 
kbhowto KB255504
A Microsoft tudásbázisban szolgáltatott információkat "az adott állapotban", bárminemű szavatosság vagy garancia nélkül biztosítjuk. A Microsoft kizár mindennemű, akár kifejezett, akár vélelmezett szavatosságot vagy garanciát, ideértve a forgalomképességre és az adott célra való alkalmasságra vonatkozó szavatosságot is. A Microsoft Corporation és annak beszállítói semmilyen körülmények között nem felelősek semminemű kárért, így a közvetlen, a közvetett, az üzleti haszon elmaradásából származó vagy speciális károkért, illetve a kár következményeként felmerülő költségek megtérítéséért, még abban az esetben sem, ha a Microsoft Corporationt vagy beszállítóit az ilyen károk bekövetkeztének lehetőségére figyelmeztették. Egyes államok joga nem teszi lehetővé bizonyos károkért a felelősség kizárását vagy korlátozását, ezért a fenti korlátozások az ön esetében esetleg nem alkalmazhatók.

Visszajelzés küldése

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com