Trasferire o assegnare ruoli master operazione in Active Directory Domain Services
Questo articolo descrive quando e come trasferire o assegnare ruoli master operazione, in precedenza noti come ruoli FSMO (Flexible Single Master Operations).
Si applica a: Windows Server 2022, Windows Server 2019, Windows Server 2016, Windows Server 2012 R2, Windows Server 2012
Numero della Knowledge Base originale: 255504
Ulteriori informazioni
All'interno di una foresta Active Directory Domain Services (AD DS), sono presenti attività specifiche che devono essere eseguite da un solo controller di dominio (DC). I controller di dominio assegnati per eseguire queste operazioni univoche sono noti come titolari del ruolo master operazione. Nella tabella seguente sono elencati i ruoli master operazione e il relativo posizionamento in Active Directory.
| Ruolo | Ambito | Contesto dei nomi (partizione di Active Directory) |
|---|---|---|
| Master schema | A livello di foresta | CN=Schema,CN=configuration,DC=<dominio radice della foresta> |
| Master per la denominazione dei domini | A livello di foresta | CN=configuration,DC=<dominio radice della foresta> |
| Emulatore PDC | A livello di dominio | DC=<dominio> |
| Master RID | A livello di dominio | DC=<dominio> |
| Master infrastruttura | A livello di dominio | DC=<dominio> |
Per altre informazioni sui titolari dei ruoli di Master operazione e consigli per l'inserimento dei ruoli, vedere Posizionamento e ottimizzazione FSMO nei controller di dominio di Active Directory.
Nota
Le partizioni dell'applicazione Active Directory che includono partizioni di applicazioni DNS hanno collegamenti al ruolo Master operazione. Se una partizione dell'applicazione DNS definisce un proprietario per il ruolo di master infrastruttura (IM), non è possibile usare Ntdsutil, DCPromo o altri strumenti per rimuovere la partizione dell'applicazione. Per altre informazioni, vedere L'abbassamento di livello DCPROMO non riesce se non è possibile contattare il master infrastrutture DNS.
Quando un controller di dominio che ha agito come titolare del ruolo inizia a essere eseguito (ad esempio, dopo un errore o un arresto), non riprende immediatamente a comportarsi come titolare del ruolo. Il controller di dominio attende fino a quando non riceve la replica in ingresso per il relativo contesto dei nomi (ad esempio, il proprietario del ruolo master schema attende di ricevere la replica in ingresso della partizione dello schema).
Le informazioni passate dai controller di dominio come parte della replica di Active Directory includono le identità dei titolari del ruolo master operazione correnti. Quando il controller di dominio appena avviato riceve le informazioni di replica in ingresso, verifica se è ancora il titolare del ruolo. In caso affermativo, riprende le operazioni standard. Se le informazioni replicate indicano che un altro controller di dominio funge da detentore del ruolo, il controller di dominio appena avviato rinuncia alla proprietà del ruolo. Questo comportamento riduce la probabilità che il dominio o la foresta disponga di titolari di ruoli master operazione duplicati.
Importante
Le operazioni di AD FS hanno esito negativo se richiedono un titolare del ruolo e se il titolare del ruolo appena avviato è, di fatto, il titolare del ruolo e non riceve la replica in ingresso.
Il comportamento che ne deriva è simile a quello di un detentore del ruolo offline.
Determinare quando trasferire o riassegnare ruoli
In condizioni normali tutti i cinque ruoli devono essere assegnati a controller di dominio live nella foresta. Quando si crea una foresta di Active Directory, l'Installazione guidata Active Directory (Dcpromo.exe) assegna tutti e cinque i ruoli Master operazione al primo controller di dominio creato nel dominio radice della foresta. Quando si crea un dominio figlio o albero, il meccanismo di creazione assegna i tre ruoli a livello di dominio al primo controller di dominio nel dominio.
I controller di dominio continuano a essere proprietari dei ruoli master operazione fino a quando non vengono riassegnati usando uno dei metodi seguenti:
- Un amministratore riassegna il ruolo mediante uno strumento di amministrazione dell'interfaccia utente.
- Un amministratore riassegna il ruolo mediante il comando
ntdsutil /roles. - Un amministratore abbassa gentilmente di livello un controller di dominio proprietario di un ruolo mediante l'Installazione guidata di Active Directory. Questa procedura guidata riassegna ogni ruolo detenuto localmente a un controller di dominio esistente nella foresta.
- Un amministratore abbassa di livello un controller di dominio che detiene il ruolo usando il
Uninstall-ADDSDomainController -ForceRemovalcomando odcpromo /forceremoval. - Il controller di dominio si arresta e si riavvia. Quando il controller di dominio viene riavviato, riceve informazioni di replica in ingresso che indicano che un altro controller di dominio è il detentore del ruolo. In questo caso, il controller di dominio appena avviato rinuncia al ruolo (come descritto in precedenza).
Se un titolare del ruolo master operazione presenta un errore o viene altrimenti escluso dal servizio prima del trasferimento dei ruoli, è necessario assegnare e trasferire tutti i ruoli a un controller di dominio appropriato e integro.
È consigliabile trasferire i ruoli di Master operazione negli scenari seguenti:
- Il titolare del ruolo corrente è operativo ed è accessibile in rete dal nuovo proprietario del master operazione.
- Si sta abbassando di livello un controller di dominio attualmente proprietario dei ruoli master operazione che si desidera assegnare a un controller di dominio specifico nella foresta di Active Directory.
- Il controller di dominio attualmente proprietario dei ruoli master operazione viene portato offline per la manutenzione pianificata ed è necessario assegnare ruoli master operazioni specifici ai controller di dominio in tempo reale. Potrebbe essere necessario trasferire ruoli per eseguire operazioni che influiscono sul proprietario del master operazione. Questo vale soprattutto per il ruolo Emulatore PDC. Si tratta di un problema meno importante per il ruolo master RID, il ruolo master per la denominazione dei domini e i ruoli master schema.
È consigliabile usare i ruoli master operazione negli scenari seguenti:
Il titolare del ruolo corrente sta riscontrando un errore operativo che impedisce il completamento di un'operazione dipendente dal master operazione e non è possibile trasferire il ruolo.
Usare il comando o
dcpromo /forceremovalper forzare l'abbassamentoUninstall-ADDSDomainController -ForceRemovaldi livello di un controller di dominio proprietario di un ruolo master operazione.Importante
Il
force-demotecomando può lasciare i ruoli master operazione in uno stato non valido fino a quando non vengono riassegnati da un amministratore.Il sistema operativo nel computer che in origine era proprietario di un ruolo specifico non esiste più o è stato reinstallato.
Nota
- È consigliabile assegnare tutti i ruoli solo quando il titolare del ruolo precedente non torna al dominio.
- Se i ruoli master operazione devono essere sequestrati negli scenari di ripristino della foresta, vedere il passaggio 5 in Eseguire il ripristino iniziale nella sezione Ripristinare il primo controller di dominio scrivibile in ogni dominio .
- Dopo il trasferimento o il sequestro di un ruolo, il nuovo titolare del ruolo non agisce immediatamente. Al contrario, il nuovo detentore del ruolo si comporta come un detentore del ruolo riavviato e attende la propria copia del contesto dei nomi per il ruolo (ad esempio la partizione di dominio) per completare un ciclo di replica in ingresso riuscito. Questo requisito di replica consente di assicurarsi che il nuovo titolare del ruolo sia il più aggiornato possibile prima di intervenire. Limita anche la finestra di possibiità di errore. Questa finestra include solo le modifiche che il precedente detentore del ruolo non ha finito di replicare negli altri controller di dominio prima di andare offline. Per un elenco del contesto di denominazione per ogni ruolo master operazione, vedere la tabella nella sezione Altre informazioni .
Identificare un nuovo detentore del ruolo
Il candidato migliore come nuovo detentore del ruolo è un controller di dominio che soddisfa i criteri seguenti:
- Si trova nello stesso dominio del precedente detentore del ruolo.
- Dispone della copia scrivibile replicata più recente della partizione del ruolo.
Si supponga, ad esempio, di dover trasferire il ruolo master schema. Il ruolo master schema fa parte della partizione dello schema della foresta (CN=Schema,CN=Configuration,DC=<forest root domain>). Il candidato migliore come nuovo detentore del ruolo è un controller di dominio che risiede anche nel dominio radice della foresta e nello stesso sito di Active Directory del detentore del ruolo corrente.
Attenzione
Il ruolo master dell'infrastruttura non è più necessario se si verificano le condizioni seguenti:
- Tutti i controller di dominio nel dominio sono cataloghi globali (TC). In questo caso, i PC ottengono gli aggiornamenti che rimuovono i riferimenti tra domini.
- Il Cestino di Active Directory è abilitato nella foresta. In questo caso, ogni controller di dominio è responsabile dell'aggiornamento dei relativi riferimenti.
È comunque consigliabile definire un proprietario appropriato del master dell'infrastruttura per evitare errori e avvisi dagli strumenti di monitoraggio.
Se è ancora necessario il ruolo master dell'infrastruttura:
Non inserire il ruolo master dell'infrastruttura nello stesso controller di dominio del server di catalogo globale. Se il master dell'infrastruttura viene eseguito in un server di catalogo globale, interrompe l'aggiornamento delle informazioni sugli oggetti perché non contiene riferimenti a oggetti che non contiene. Questo perché un server di catalogo globale contiene una replica parziale di ogni oggetto presente nell'insieme di strutture.
Il ruolo master dell'infrastruttura non viene più usato dopo l'abilitazione del Cestino di Active Directory. Il Cestino di Active Directory modifica l'approccio alla gestione dei riferimenti agli oggetti che vengono rimossi.
Per verificare se un controller di dominio è anche un server di catalogo globale, seguire questa procedura:
Uso di siti e servizi di Active Directory:
- Selezionare Avvia>Programmi>Strumenti di amministrazione>Siti e servizi di Active Directory.
- Nel riquadro di navigazione, fare doppio clic su Siti e quindi individuare il sito appropriato o selezionare Nome-predefinito-primo-sito se non sono disponibili altri siti.
- Aprire la cartella Server e quindi selezionare il controller di dominio.
- Nella cartella del controller di dominio fare doppio clic su Impostazioni NTDS.
- Dal menu Azione scegliere Proprietà.
- Nella scheda Generale visualizzare la casella di controllo Catalogo globale per verificare se è selezionata.
Uso di Windows PowerShell:
Avviare PowerShell.
Digitare il cmdlet seguente e modificare
DC_NAMEcon il nome del controller di dominio effettivo:(Get-ADDomainController -Filter { Name -Eq 'DC_NAME' }).IsGlobalCatalogL'output sarà
TrueoFalse.
Per altre informazioni, vedere:
- Ripristino foresta active directory - Trasferimento forzato di un ruolo master operazioni
- Pianificazione del posizionamento del ruolo master operazioni
Assegnare o trasferire i ruoli master dell'operazione
È possibile usare Windows PowerShell o Ntdsutil per assegnare o trasferire ruoli. Per informazioni ed esempi su come usare PowerShell per queste attività, vedere Move-ADDirectoryServerOperationMasterRole.
Importante
Per evitare il rischio di SID duplicati nel dominio, i sequestri di Rid Master incrementano il rid successivo disponibile nel pool quando si rileva il ruolo master RID. Questo comportamento può far sì che la foresta usi in modo significativo gli intervalli disponibili di valori RID (noti anche come rid burn). Quindi, prendere rid master solo quando si è sicuri che l'attuale Rid Master non può essere riportato in servizio.
Se è necessario assegnare il ruolo master RID, considerare i dettagli seguenti:
- Il cmdlet Move-ADDirectoryServerOperationMasterRole aumenta di 30.000 il pool rid successivo rispetto a quello trovato in Active Directory.
- Quando si usa l'utilità Ntdsutil.exe con i comandi di
rolescategoria, il pool rid successivo aumenta di 10.000.
Per assegnare o trasferire i ruoli master operazione usando l'utilità Ntdsutil, seguire questa procedura:
Accedere a un computer membro in cui sono installati gli strumenti di Active Directory RSAT o a un controller di dominio che si trova nella foresta in cui vengono trasferiti i ruoli master dell'operazione.
Nota
- È consigliabile accedere al controller di dominio a cui si assegnano i ruoli master operazione.
- L'utente connesso deve essere un membro del gruppo Enterprise Administrators per trasferire i ruoli master schema o domain naming master oppure un membro del gruppo Domain Administrators del dominio in cui vengono trasferiti l'emulatore PDC, il master RID e i ruoli master dell'infrastruttura.
Selezionare Start>Esegui, digitare ntdsutil nella casella Apri, quindi scegliere OK.
Digitare roles e premere INVIO.
Nota
Per visualizzare un elenco dei comandi disponibili a ciascun prompt dello strumento Ntdsutil, digitare ? e premere INVIO.
Digitare connections e premere INVIO.
Digita connetti al server<nomeserver>, quindi premi Invio.
Nota
In questo comando nomeserver <> è il nome del controller di dominio a cui si vuole assegnare il ruolo Master operazione.
Al prompt server connections digitare q e premere INVIO.
Eseguire una delle operazioni seguenti:
Per trasferire il ruolo: digitare transfer<role>, quindi premere Invio.
Nota
In questo comando, <ruolo> è il ruolo che si desidera trasferire.
Per acquisire il ruolo: digitare seize<role>, quindi premere Invio.
Nota
In questo comando, <ruolo> è il ruolo che si vuole acquisire.
Per riassegnare, ad esempio, il ruolo Master RID, digitare seize master rid. Le eccezioni riguardano il ruolo dell'emulatore PDC, la cui sintassi è seize pdc, e il master di denominazione del dominio, la cui sintassi è seize naming master.
Per visualizzare l'elenco dei ruoli che è possibile trasferire o riassegnare, digitare ? al prompt fsmo maintenance e premere INVIO, oppure consultare l'elenco dei ruoli all'inizio di questo articolo.
Al prompt fsmo maintenance digitare q e premere INVIO per accedere al prompt ntdsutil. Digitare q, quindi premere INVIO per chiudere l'utilità Ntdsutil.
Considerazioni sulla riparazione o la rimozione dei precedenti detentori di ruoli
Se è possibile e se si è in grado di trasferire i ruoli invece di ridimensionarli, correggere il titolare del ruolo precedente. Se non è possibile correggere il titolare del ruolo precedente o se sono stati assegnati i ruoli, rimuovere il titolare del ruolo precedente dal dominio.
Importante
Se si prevede di usare il computer ripristinato come controller di dominio, è consigliabile ricompilare il computer in un controller di dominio da zero invece di ripristinare il controller di dominio da un backup. Il processo di ripristino ricostruisce il controller di dominio come detentore del ruolo.
Per restituire il computer ripristinato nella foresta come controller di dominio:
Eseguire una delle operazioni seguenti:
- Formattare il disco rigido del precedente detentore del ruolo e quindi reinstallare Windows sul computer.
- Forzare l'abbassamento di livello del precedente detentore del ruolo a server membro.
In un altro controller di dominio nella foresta usare Ntdsutil per rimuovere i metadati del precedente detentore del ruolo. Per altre informazioni, vedere Riulire i metadati del server usando Ntdsutil.
Dopo aver ripulito i metadati, è possibile rialzare di livello il computer a un controller di dominio e trasferirvi di nuovo un ruolo.
Per rimuovere il computer dalla foresta dopo aver ridimensionato i ruoli:
- Rimuovere il computer dal dominio.
- In un altro controller di dominio nella foresta usare Ntdsutil per rimuovere i metadati del precedente detentore del ruolo. Per altre informazioni, vedere Riulire i metadati del server usando Ntdsutil.
Considerazioni sulla reintegrazione delle isole di replica
Quando parte di un dominio o di una foresta non riesce a comunicare con il resto del dominio o della foresta per un periodo di tempo prolungato, le sezioni isolate del dominio o della foresta sono note come isole di replica. I controller di dominio in un'isola non possono essere replicati con i controller di dominio in altre isole. In più cicli di replica, le isole di replica non sono sincronizzate. Se ogni isola ha i propri titolari del ruolo Master operazione, potrebbero verificarsi problemi durante il ripristino della comunicazione tra le isole.
Importante
Nella maggior parte dei casi, è possibile sfruttare il requisito di replica iniziale (come descritto in questo articolo) per eliminare i detentori di ruolo duplicati. Un detentore del ruolo riavviato deve rinunciare al ruolo se rileva un detentore di ruolo duplicato.
È possibile che si verifichino circostanze che questo comportamento non riesce a risolvere. In questi casi, le informazioni contenute in questa sezione possono essere utili.
La tabella seguente identifica i ruoli master operazione che possono causare problemi se una foresta o un dominio dispone di più titolari di ruoli per tale ruolo:
| Ruolo | Potenziali conflitti tra più detentori del ruolo? |
|---|---|
| Master schema | Sì |
| Master per la denominazione dei domini | Sì |
| Master RID | Sì |
| Emulatore PDC | No |
| Master infrastruttura | No |
Questo problema non influisce sul master dell'emulatore PDC o sul master dell'infrastruttura. Questi titolari di ruoli non persistono nei dati operativi. Inoltre, il master dell'infrastruttura non apporta spesso modifiche. Pertanto, se più isole hanno questi detentori di ruolo, è possibile reintegrare le isole senza causare problemi a lungo termine.
Il master schema, il master di denominazione del dominio e il master RID possono creare oggetti e rendere persistenti le modifiche in Active Directory. Ogni isola con uno di questi detentori di ruolo potrebbe avere oggetti dello schema, domini o pool RID duplicati e in conflitto al momento del ripristino della replica. Prima di reintegrare le isole, determinare quali detentori del ruolo mantenere. Rimuovere tutti gli eventuali master schema, master di denominazione dei domini e master RID duplicati seguendo le procedure di ripristino, rimozione e pulizia indicate in questo articolo.
Riferimenti
Per altre informazioni, vedere:
- Ruoli FSMO di Active Directory in Windows
- Collocazione e ottimizzazione di FSMO nei controller di dominio di Active Directory
- Processo di trasferimento e assegnazione dei ruoli FSMO (Flexible Single Master)
- PROCEDURA: utilizzo di Ntdsutil per trovare e pulire gli identificatori di sicurezza duplicati in Windows Server
- Fantasma, lapidi e master dell'infrastruttura
- Risolvere i problemi relativi all'ID evento DNS 4013: il server DNS non è riuscito a caricare le zone DNS integrate di AD
- L'abbassamento di livello DCPROMO non riesce se non è possibile contattare il master infrastrutture DNS
- Ruoli FSMO
- Eseguire il ripristino iniziale
- Ripristino foresta active directory - Trasferimento forzato di un ruolo master operazioni
- Pulire i metadati del server utilizzando Ntdsutil
- Pianificazione del posizionamento del ruolo master operazioni
- Move-ADDirectoryServerOperationMasterRole
Commenti e suggerimenti
Presto disponibile: Nel corso del 2024 verranno gradualmente disattivati i problemi di GitHub come meccanismo di feedback per il contenuto e ciò verrà sostituito con un nuovo sistema di feedback. Per altre informazioni, vedere https://aka.ms/ContentUserFeedback.
Invia e visualizza il feedback per