Utilizzo dello strumento Ntdsutil.exe per assegnare o trasferire ruoli FSMO a un controller di dominio

In questo articolo viene descritto come utilizzare lo strumento Ntdsutil.exe per assegnare o trasferire ruoli FSMO (Flexible Single Master Operations).

Alcune operazioni a livello di dominio e di azienda, che non sono valide per gli aggiornamenti multimaster, vengono eseguite da un singolo controller di dominio in un dominio o un insieme di strutture di Active Directory. I controller di dominio assegnati per l'esecuzione di queste operazioni univoche sono denominati master operazioni o proprietari dei ruoli FSMO.

Nell'elenco riportato di seguito sono descritti i 5 ruoli FSMO univoci di un insieme di strutture di Active Directory e le operazioni dipendenti che vengono eseguite:

• Master schema - Il ruolo Master schema è esteso all'insieme di strutture ed è presente un ruolo per ogni insieme. Questo ruolo è necessario per estendere lo scherma di un insieme di strutture di Active Directory o per l'esecuzione del comando adprep /domainprep.
• Master per la denominazione dei domini - Il ruolo Master per la denominazione dei domini è esteso all'insieme di strutture ed è presente un ruolo per ogni insieme. Questo ruolo è necessario per aggiungere o rimuovere domini o partizioni di applicazioni a o da un insieme di strutture.
• Master RID - Il ruolo Master RID è esteso al dominio ed è presente un ruolo per ciascun dominio. Questo ruolo è necessario per allocare il pool di RID in modo che i controller di dominio nuovi o già esistenti possano creare account utente, account computer o gruppi di protezione.
• Emulatore PDC - Il ruolo Emulatore PDC è esteso al dominio ed è presente un ruolo per ogni dominio. Questo ruolo è necessario per il controller di dominio che invia gli aggiornamenti di database ai controller di dominio di backup di Windows NT. Anche il controller di dominio proprietario di questo ruolo è il destinatario di alcuni strumenti di amministrazione e aggiornamenti alle password degli account utente e degli account computer.
• Master infrastrutture - Il ruolo Master infrastrutture è esteso al dominio ed è presente un ruolo per ogni dominio. Questo ruolo è necessario perché i controller di dominio eseguano il comando adprep /forestprep e aggiornino gli attributi SID e gli attributi dei nomi distinti per gli oggetti a cui viene fatto riferimento tra i domini.

Tramite l'Installazione guidata di Active Directory (Dcpromo.exe) vengono assegnati i cinque ruoli FSMO al primo controller di dominio del dominio principale dell'insieme di strutture. Il primo controller di dominio di ogni nuovo dominio figlio o struttura viene assegnato ai tre ruoli a livello di dominio. I controller di dominio continuano a essere proprietari dei ruoli FSMO finché non vengono riassegnati mediante uno dei seguenti metodi:

• Un amministratore riassegna il ruolo mediante uno strumento di amministrazione dell'interfaccia utente.
• Un amministratore riassegna il ruolo mediante il comando ntdsutil /roles.
• Un amministratore abbassa di livello un controller di dominio proprietario di un ruolo mediante l'Installazione guidata di Active Directory. Questa procedura guidata riassegna ogni ruolo detenuto localmente a un controller di dominio esistente nell'insieme di strutture. Gli abbassamenti di livello eseguiti mediante il comando dcpromo /forceremoval lasciano i ruoli FSMO in uno stato non valido finché non vengono riassegnati da un amministratore.

Si consiglia di trasferire i ruoli FSMO nei seguenti scenari:

• Il proprietario del ruolo corrente è operativo e il nuovo proprietario del ruolo FSMO può accedervi dalla rete.
• Si sta eseguendo l'abbassamento di livello di un controller di dominio correntemente proprietario dei ruoli FSMO che si desidera assegnare a un controller di dominio specifico dell'insieme di strutture di Active Directory.
• Il controller di dominio correntemente proprietario dei ruoli FSMO è in modalità non linea per la manutenzione pianificata e sono necessari ruoli FSMO specifici da assegnare a un controller di dominio in linea. Questa operazione potrebbe essere necessaria per eseguire operazioni per la connessione al proprietario del ruolo FSMO, in particolare per il ruolo Emulatore PDC, ma non per i ruoli Master RID, Master per la denominazione dei domini e Master schema.

Si consiglia di assegnare i ruoli FSMO nei seguenti scenari:

• Si verifica un errore operativo nel proprietario corrente del ruolo che impedisce il completamento di un'operazione dipendente dal ruolo FSMO e il trasferimento del ruolo.
• Un controller di dominio proprietario di un ruolo FSMO viene forzatamente abbassato di livello dal comando dcpromo /forceremoval.
• Il sistema operativo nel computer che in origine era proprietario di un ruolo specifico non esiste più o è stato reinstallato.

Quando viene eseguita la replica, i controller di dominio non FSMO nel dominio o nell'insieme di strutture ricevono informazioni complete sui cambiamenti apportati dai controller di dominio proprietari dei ruoli FSMO. Se è necessario trasferire un ruolo, il controller di dominio più adatto è quello del dominio appropriato in cui si è verificata l'ultima replica in ingresso o in cui si è verificata una replica in ingresso recente di una copia scrivibile della "partizione FSMO" da parte del proprietario del ruolo esistente. Ad esempio, il proprietario del ruolo Master schema ha un percorso del nome distinto CN=schema,CN=configuration,dc=<dominio principale dell'insieme di strutture> e ciò significa che i ruoli sono residenti e vengono replicati nell'ambito della partizione CN=schema. Se nel controller di dominio proprietario del ruolo Master schema si verifica un errore hardware o software, un proprietario di ruolo possibile candidato sarebbe un controller di dominio del dominio principale e dello stesso sito di Active Directory del proprietario corrente. Nei controller di dominio dello stesso sito di Active Directory la replica in ingresso viene eseguita ogni 5 minuti o 15 secondi.

La partizione per ogni ruolo FSMO è riportata nel seguente elenco:



In un controller di dominio i cui ruoli FSMO sono stati assegnati non deve essere possibile comunicare con controller di dominio esistenti nell'insieme di strutture. In questo scenario è necessario formattare il disco rigido e reinstallare il sistema operativo in tali controller di dominio o abbassare forzatamente di livello tali controller di dominio in una rete privata e rimuovere i relativi metadati in un controller di dominio rimasto nell'insieme di strutture mediante il comando ntdsutil /metadata cleanup. Il rischio di introdurre un proprietario del ruolo FSMO precedente i cui ruoli sono stati assegnati nell'insieme di strutture è dato dal fatto che il proprietario originale potrebbe continuare a funzionare come in precedenza finché non viene effettuata la replica in ingresso della notifica dell'assegnazione dei ruoli. I rischi noti derivanti da due controller di dominio proprietari degli stessi ruoli FSMO comprendono la creazione di entità di protezione con pool di RID sovrapposti e altri problemi.

Trasferimento dei ruoli FSMO

Per trasferire i ruoli FSMO mediante lo strumento Ntdsutil, attenersi alla seguente procedura:

1. Accedere a un computer membro o a un controller di dominio basato su Windows 2000 Server o Windows Server 2003 presente nell'insieme di strutture in cui devono essere trasferiti i ruoli FSMO. Si consiglia di effettuare l'accesso al controller di dominio a cui si stanno assegnando i ruoli FSMO. Per trasferire i ruoli Master schema o Master per la denominazione dei domini, l'utente connesso deve essere un membro del gruppo di amministratori dell'organizzazione oppure un membro del gruppo di amministratori di dominio del dominio in cui verranno trasferiti i ruoli Emulatore PDC, Master RID e Master infrastrutture.
2. Fare clic sul pulsante Start, scegliere Esegui, digitare ntdsutil nella casella Apri, quindi scegliere OK.
3. Digitare roles e premere INVIO.
   
   Nota Per visualizzare un elenco dei comandi disponibili a ciascun prompt dello strumento Ntdsutil, digitare ? e premere INVIO.
4. Digitare connections e premere INVIO.
5. Digitare connect to server nomeserver e premere INVIO, dove nomeserver è il nome del controller di dominio a cui si desidera assegnare il ruolo FSMO.
6. Al prompt server connections digitare q e premere INVIO.
7. Digitare transfer ruolo, dove ruolo è il ruolo che si desidera trasferire. Per un elenco dei ruoli che è possibile trasferire, digitare ? al prompt fsmo maintenance, quindi premere INVIO oppure consultare l'elenco dei ruoli riportati all'inizio del presente articolo. Per trasferire, ad esempio, il ruolo Master RID, digitare transfer rid master. L'unica eccezione riguarda il ruolo Emulatore PDC, la cui sintassi sarà transfer pdc e non transfer pdc emulator.
8. Al prompt fsmo maintenance digitare q e premere INVIO per accedere al prompt ntdsutil. Digitare q, quindi premere INVIO per chiudere lo strumento Ntdsutil.

Assegnazione dei ruoli FSMO

Per assegnare i ruoli FSMO mediante lo strumento Ntdsutil, attenersi alla seguente procedura:

1. Accedere a un computer membro o a un controller di dominio basato su Windows 2000 Server o Windows Server 2003 presente nell'insieme di strutture in cui devono essere assegnati i ruoli FSMO. Si consiglia di effettuare l'accesso al controller di dominio a cui si stanno assegnando i ruoli FSMO. Per trasferire i ruoli Master schema o Master per la denominazione dei domini, l'utente connesso deve essere un membro del gruppo di amministratori dell'organizzazione oppure un membro del gruppo di amministratori di dominio del dominio in cui verranno trasferiti i ruoli Emulatore PDC, Master RID e Master infrastrutture.
2. Fare clic sul pulsante Start, scegliere Esegui, digitare ntdsutil nella casella Apri, quindi scegliere OK.
3. Digitare roles e premere INVIO.
4. Digitare connections e premere INVIO.
5. Digitare connect to server nomeserver e premere INVIO, dove nomeserver è il nome del controller di dominio a cui si desidera assegnare il ruolo FSMO.
6. Al prompt server connections digitare q e premere INVIO.
7. Digitare seize ruolo, dove ruolo è il ruolo che si desidera assegnare. Per un elenco dei ruoli che è possibile assegnare, digitare ? al prompt fsmo maintenance, quindi premere INVIO oppure consultare l'elenco dei ruoli riportati all'inizio del presente articolo. Per assegnare, ad esempio, il ruolo Master RID, digitare seize rid master. L'unica eccezione riguarda il ruolo Emulatore PDC, la cui sintassi sarà seize pdc e non seize pdc emulator.
8. Al prompt fsmo maintenance digitare q e premere INVIO per accedere al prompt ntdsutil. Digitare q, quindi premere INVIO per chiudere lo strumento Ntdsutil.
   
   Note
   • In condizioni normali tutti e cinque i ruoli devono essere assegnati a controller di dominio in linea dell'insieme di strutture. Se un controller di dominio proprietario di un ruolo FSMO viene messo fuori servizio prima che i ruoli vengano trasferiti, sarà necessario assegnare tutti i ruoli a un controller di dominio appropriato e integro. Si consiglia di assegnare tutti i ruoli solo nel caso in cui l'altro controller di dominio non venga reinserito nel dominio. Se possibile, correggere il controller di dominio interrotto a cui sono stati assegnati i ruoli FSMO. È necessario determinare quali ruoli devono essere in quali controller di dominio rimanenti per fare in modo che i cinque ruoli vengano assegnati a un singolo controller di dominio. Per ulteriori informazioni sul posizionamento dei ruoli FSMO, fare clic sul numero dell'articolo della Microsoft Knowledge Base riportato di seguito:
     223346  (http://support.microsoft.com/kb/223346/ ) Collocazione e ottimizzazione di FSMO in controller di dominio Active Directory
   • Se il controller di dominio che in precedenza era proprietario di un ruolo FSMO non è presente nel dominio e se i ruoli relativi sono stati assegnati tramite i passaggi contenuti nel presente articolo, rimuovere il controller di dominio da Active Directory seguendo la procedura descritta nell'articolo della Microsoft Knowledge Base riportato di seguito:
     216498  (http://support.microsoft.com/kb/216498/ ) Rimozione di dati in Active Directory dopo un abbassamento di livello non riuscito di un controller di dominio
   • La rimozione dei metadati del controller di dominio con la versione per Windows 2000 o per Windows Server 2003 build 3790 del comando ntdsutil /metadata cleanup non riposiziona i ruoli FSMO assegnati ai controller di dominio in linea. La versione per Windows Server 2003 Service Pack 1 (SP1) dello strumento Ntdsutil automatizza questa attività e rimuove ulteriori elementi dei metadati del controller di dominio.
   • Alcuni utenti preferiscono non ripristinare i backup dello stato del sistema dei proprietari dei ruoli FSMO nel caso in cui il ruolo sia stato riassegnato dopo un backup.
   • Non assegnare il ruolo Master infrastrutture allo stesso controller di dominio del server di catalogo globale. Se il Master infrastrutture viene eseguito su un server di catalogo globale, interromperà l'aggiornamento delle informazioni sugli oggetti in quanto non dispone di alcun riferimento a oggetti non contenuti in tale server. Questo perché un server di catalogo globale contiene una replica parziale di ogni oggetto presente nell'insieme di strutture.

Per verificare se un controller di dominio è anche un server di catalogo globale:

1. Fare clic sul pulsante Start, scegliere Programmi, Strumenti di amministrazione e infine Siti e servizi di Active Directory.
2. Fare doppio clic su Siti nel riquadro sinistro, quindi individuare il sito appropriato o fare clic su Nome-predefinito-primo-sito qualora non sia disponibile alcun altro sito.
3. Aprire la cartella Server e fare clic sul controller di dominio.
4. Nella cartella del controller di dominio fare doppio clic su Impostazioni NTDS.
5. Scegliere Proprietà dal menu Azione.
6. Nella scheda Generale verificare che la casella di controllo Catalogo globale sia selezionata.

Per ulteriori informazioni sui ruoli FSMO, fare clic sui numeri degli articoli della Microsoft Knowledge Base riportati di seguito: