Met Ntdsutil.exe FSMO-rollen overbrengen naar of overnemen op een domeincontroller

Vertaalde artikelen Vertaalde artikelen
Artikel ID: 255504 - Bekijk de producten waarop dit artikel van toepassing is.
Alles uitklappen | Alles samenvouwen

Op deze pagina

Samenvatting

In dit artikel wordt beschreven hoe u met het hulpprogramma Ntdsutil.exe FSMO-functies (Flexible Single Master Operations) kunt overbrengen of overnemen.

Meer informatie

Bepaalde bewerkingen in het domein of de gehele onderneming die niet geschikt zijn voor updates van meerdere masters, worden uitgevoerd door één domeincontroller in een Active Directory-domein of -forest. De domeincontrollers die zijn toegewezen om deze unieke bewerkingen uit te voeren, worden operations-masters of houders van FSMO-functies genoemd.

Hieronder volgt een beschrijving van de 5 unieke FSMO-functies in een Active Directory-forest, en van de afhankelijke bewerkingen die ze uitvoeren:
  • Schemamaster ? De functie Schemamaster geldt voor het gehele forest, en elk forest heeft een eigen schemamaster. Deze functie is vereist om het schema van een Active Directory-forest uit te breiden of om de opdracht adprep /domainprep uit te voeren.
  • Domeinnaamgevingsmaster ? De functie Domeinnaamgevingsmaster geldt voor het gehele forest en elk forest heeft een eigen domeinnaamgevingsmaster. Deze functie is vereist om domeinen of toepassingspartities toe te voegen aan of te verwijderen uit een forest.
  • RID-master ? De functie RID-master geldt voor het gehele domein en elk domein heeft een eigen RID-master. Deze functie is vereist om de RID-pool toe te wijzen zodat nieuwe of bestaande domeincontrollers gebruikersaccounts, computeraccounts of beveiligingsgroepen kunnen maken.
  • PDC-emulator ? De functie PDC-emulator geldt voor het gehele domein en elk domein heeft een eigen PDC-emulator. Deze functie is vereist voor de domeincontroller die database-updates verzendt naar Windows NT-BDC's (back-updomeincontrollers). De domeincontroller die deze functie heeft, wordt ook gedetecteerd door bepaalde beheerprogramma's en updates van wachtwoorden voor gebruikers- en computeraccounts.
  • Infrastructuurmaster ? De functie Infrastructuurmaster geldt voor het gehele domein en elk domein heeft een eigen infrastructuurmaster. Deze functie is vereist voor domeincontrollers om de opdracht adprep /forestprep te kunnen uitvoeren en om SID-kenmerken en DN-kenmerken (Distinguished Name) te kunnen bijwerken voor objecten met interdomeinverwijzingen.
De wizard Active Directory installeren (Dcpromo.exe) kent alle 5 de FSMO-functies toe aan de eerste domeincontroller in het hoofddomein van het forest. Aan de eerste domeincontroller in elk nieuw onderliggend element of elke nieuwe structuurdomein worden de drie rollen voor het gehele domein toegewezen. Domeincontrollers behouden hun FSMO-functies totdat de functies op een van de volgende manieren opnieuw worden toegewezen:
  • Een beheerder wijst de functie opnieuw toe via een beheerprogramma met grafische gebruikersinterface.
  • Een beheerder wijst de functie opnieuw toe met behulp van de opdracht ntdsutil /roles.
  • Een beheerder degradeert een domeincontroller met een functie met behulp van de wizard Active Directory installeren. Deze wizard kent alle lokaal toegewezen functies toe aan een bestaande domeincontroller in het forest. Wanneer degradaties met de opdracht dcpromo /forceremoval worden uitgevoerd, krijgen FSMO-functies een ongeldige status totdat ze door een beheerder opnieuw worden toegewezen.
In de volgende scenario's adviseren we u FSMO-rollen over te brengen:
  • De huidige functiehouder is operationeel en kan door de nieuwe FSMO-eigenaar via het netwerk worden benaderd.
  • U degradeert een domeincontroller die op dat moment eigenaar is van FSMO-functies die u wilt toewijzen aan een specifieke domeincontroller in uw Active Directory-forest.
  • De domeincontroller die op dat moment eigenaar is van FSMO-functies, wordt offline gehaald voor gepland onderhoud, en u moet specifieke FSMO-functies toewijzen aan een 'live' domeincontroller. Dit kan nodig zijn om bepaalde bewerkingen uit te voeren waarbij verbinding wordt gemaakt met de FSMO-eigenaar. Dit geldt met name voor de functie PDC-emulator, maar in mindere mate voor de functies RID-master, Domeinnaamgevingsmaster en Schemamaster.
Wij raden u aan in de volgende scenario's FSMO-functies over te nemen:
  • De huidige functiehouder heeft operationele problemen die voorkomen dat een FSMO-afhankelijke bewerking kan worden voltooid, waardoor die functie niet kan worden overgebracht.
  • Een domeincontroller die eigenaar is van een FSMO-functie, wordt gedwongen gedegradeerd met de opdracht dcpromo /forceremoval.
  • Het besturingssysteem op de computer die oorspronkelijk eigenaar was van een specifieke functie, bestaat niet meer of is opnieuw geïnstalleerd.
Wanneer replicatie wordt uitgevoerd, krijgen niet-FSMO-domeincontrollers in het domein of forest alle informatie over wijzigingen die zijn aangebracht door FSMO-houdende domeincontrollers. De beste kandidaat voor het overbrengen van een functie is een domeincontroller in het juiste domein die het laatst vanuit de bestaande functiehouder een binnenkomende replicatie heeft uitgevoerd of onlangs een binnenkomende replicatie heeft uitgevoerd van een beschrijfbare kopie van de 'FSMO-partitie'. Voorbeeld: de houder van de rol Schemamaster heeft het DN-pad CN=schema,CN=configuratie,dc=<hoofddomein van forest>. Dit betekent dat rollen zijn opgenomen in de partitie CN=schema en als onderdeel daarvan worden gerepliceerd. Als de domeincontroller met de functie Schemamaster hardware- of softwareproblemen ervaart, zou de domeincontroller in het hoofddomein en op dezelfde Active Directory-site als de huidige eigenaar, een geschikte kandidaat zijn als functiehouder. Domeincontrollers op dezelfde Active Directory-site voeren elke 5 minuten of 15 seconden een binnenkomende replicatie uit.

In de volgende lijst vindt u de partitie voor elke FSMO-functie:

Deze tabel samenvouwenDeze tabel uitklappen
FSMO-rolPartitie
SchemaCN=Schema,CN=configuratie,DC=<hoofddomein van forest>
DomeinnaamgevingsmasterCN=configuratie,DC=<hoofddomein van forest>
PDCDC=<domein>
RIDDC=<domein>
InfrastructuurDC=<domein>


Een domeincontroller waarvan de FSMO-rollen zijn overgenomen, mag niet meer communiceren met bestaande domeincontrollers in het forest. In dit scenario moet u ofwel de vaste schijf formatteren en het besturingssysteem opnieuw op dergelijke domeincontrollers installeren, ofwel moet u deze domeincontrollers degraderen naar een particulier netwerk en vervolgens hun metagegevens op een overgebleven domeincontroller in het forest verwijderen. Daarvoor gebruikt u de opdracht ntdsutil /metadata cleanup. Het risico dat een voormalige houder van een FSMO-functie wordt geïntroduceerd waarvan de functie is overgenomen in het forest, is dat de oorspronkelijke functiehouder kan blijven functioneren als voorheen, totdat een binnenkomende replicatie van de informatie over de functieovername plaatsvindt. Tot de bekende risico's van twee domeincontrollers die eigenaar zijn van dezelfde FSMO-functies, behoort onder andere het probleem dat beveiligingsprincipals met overlappende RID-pools kunnen worden gemaakt.

FSMO-rollen overbrengen

Ga als volgt te werk om de FSMO-rollen over te brengen met het hulpprogramma Ntdsutil:
  1. Meld u aan bij een Windows 2000 Server- of Windows Server 2003-lidcomputer of -domeincontroller die zich bevindt in het forest waar FSMO-functies worden overgebracht. U wordt geadviseerd u aan te melden bij de domeincontroller waaraan u FSMO-functies toewijst. De aangemelde gebruiker moet lid zijn van de groep Ondernemingsadministrators om de functies Schemamaster of Domeinnaamgevingsmaster te kunnen overbrengen, of moet lid zijn van de Domeinadministratorsgroep van het domein waar de functies PDC-emulator, RID-master en Infrastructuurmaster worden overgebracht.
  2. Klik op Start, klik op Uitvoeren, typ ntdsutil in het vak Openen en klik op OK.
  3. Typ roles en druk op Enter.

    Opmerking Voor een lijst met beschikbare opdrachten bij een prompt van het hulpprogramma Ntdsutil, typt u ? en drukt u vervolgens op Enter.
  4. Typ connections en druk op Enter.
  5. Typ connect to server servernaam en druk op Enter, waarbij servernaam de naam is van de domeincontroller waaraan u de FSMO-functie wilt toewijzen.
  6. Typ q bij de prompt server connections en druk op Enter.
  7. Typ transfer functie, waarbij functie de functie is die u wilt overbrengen. Voor een lijst met rollen die u kunt overbrengen, typt u ? bij de prompt fsmo maintenance en drukt u vervolgens op Enter. U kunt ook de lijst met rollen aan het begin van dit artikel bekijken. Als u bijvoorbeeld de functie RID-master wilt overbrengen, typt u transfer rid master. De enige uitzondering vormt de functie PDC-emulator. De syntaxis daarvoor is transfer pdc in plaats van transfer pdc emulator.
  8. Typ bij de prompt fsmo maintenance de opdracht q en druk op Enter om toegang te krijgen tot de ntdsutil-prompt. Typ q en druk op Enter om het hulpprogramma Ntdsutil af te sluiten.

FSMO-rollen overnemen

Ga als volgt te werk om de FSMO-rollen over te nemen met het hulpprogramma Ntdsutil:
  1. Meld u aan bij een Windows 2000 Server- of Windows Server 2003-lidcomputer of -domeincontroller die zich bevindt in het forest waar FSMO-functies worden overgenomen. U wordt geadviseerd u aan te melden bij de domeincontroller waaraan u FSMO-functies toewijst. De aangemelde gebruiker moet lid zijn van de groep Ondernemingsadministrators om de functies Schemamaster of Domeinnaamgevingsmaster te kunnen overbrengen, of moet lid zijn van de Domeinadministratorsgroep van het domein waar de functies PDC-emulator, RID-master en Infrastructuurmaster worden overgebracht.
  2. Klik op Start, klik op Uitvoeren, typ ntdsutil in het vak Openen en klik op OK.
  3. Typ roles en druk op Enter.
  4. Typ connections en druk op Enter.
  5. Typ connect to server servernaam en druk op Enter, waarbij servernaam de naam is van de domeincontroller waaraan u de FSMO-functie wilt toewijzen.
  6. Typ q bij de prompt server connections en druk op Enter.
  7. Typ seize functie, waarbij functie de functie is die u wilt overnemen. Voor een lijst met rollen die u kunt overnemen, typt u ? bij de prompt fsmo maintenance en drukt u vervolgens op Enter. U kunt ook de lijst met rollen aan het begin van dit artikel bekijken. Als u bijvoorbeeld de functie RID-master wilt overnemen, typt u seize rid master. De enige uitzondering vormt de functie PDC-emulator. De syntaxis daarvoor is seize pdc in plaats van seize pdc emulator.
  8. Typ bij de prompt fsmo maintenance de opdracht q en druk op Enter om toegang te krijgen tot de ntdsutil-prompt. Typ q en druk op Enter om het hulpprogramma Ntdsutil af te sluiten.

    Opmerkingen
    • Onder doorsnee omstandigheden moeten alle vijf de functies worden toegewezen aan 'live' domeincontrollers in het forest. Als een domeincontroller die eigenaar is van een FSMO-functie, wordt uitgeschakeld voordat de functies zijn overgebracht, moet u alle functies overnemen op een geschikte en goed functionerende domeincontroller. U wordt geadviseerd alle functies alleen over te nemen wanneer de andere domeincontroller niet terugkeert naar het domein. Als dat niet mogelijk is, repareert u de toegewezen beschadigde domeincontroller waaraan de FSMO-rollen zijn toegewezen. U moet bepalen welke rollen bij welke resterende domeincontrollers behoren, zodat alle vijf de rollen aan één domeincontroller worden toegewezen. Voor meer informatie over de plaatsing van FSMO-functies klikt u op het volgende artikelnummer in de Microsoft Knowledge Base:
      223346 FSMO-plaatsing en optimalisatie op Windows 2000-domeincontrollers
    • Als de domeincontroller die eerder een FSMO-functie bevatte, niet aanwezig is in het domein, en als deze zijn functies heeft overgenomen door het uitvoeren van de stappen in dit artikel, verwijdert u de domeincontroller uit de Active Directory middels de procedure die in het volgende Microsoft Knowledge Base-artikel wordt beschreven:
      216498 Het verwijderen van gegevens in Active Directory bij een mislukte degradatie van domeincontrollers
    • Door de metagegevens van de domeincontroller te verwijderen met de Windows 2000-versie of de Windows Server 2003 build 3790-versie van de opdracht ntdsutil /metadata cleanup, worden FSMO-functies niet opnieuw toegewezen aan live domeincontrollers. De Windows Server 2003 SP1-versie van het hulpprogramma Ntdsutil automatiseert deze taak en verwijdert extra elementen van metagegevens voor domeincontrollers.
    • Sommige klanten geven er de voorkeur aan om systeemstatusback-ups van FSMO-functies niet te herstellen voor het geval de functie opnieuw wordt toegewezen na het maken van de back-up.
    • Plaats de functie Infrastructuurmaster niet op dezelfde domeincontroller als de GC-server (Global Catalog). Als de Infrastructuurmaster wordt uitgevoerd op een GC-server, wordt objectinformatie niet meer bijgewerkt omdat deze geen verwijzingen bevat naar objecten die deze niet bevat. Dat komt omdat een GC-server een gedeeltelijke replica bevat van elk object in het forest.
Testen of een domeincontroller ook een globale-catalogusserver is:
  1. Klik op Start, wijs Programma's aan, wijs Systeembeheer aan en klik op Active Directory-sites en services.
  2. Dubbelklik in het linkerdeelvenster op Sites en zoek de juiste site of klik op Standaard-eerste-site als er geen andere sites beschikbaar zijn.
  3. Open de map Servers en klik op de domeincontroller.
  4. Dubbelklik in de map van de domeincontroller op NTDS-instellingen.
  5. Open het menu Actie en klik op Eigenschappen.
  6. Open het tabblad Algemeen en kijk of het selectievakje Globale catalogus is ingeschakeld.
Klik voor meer informatie over FSMO-functies op de volgende artikelnummers in de Microsoft Knowledge Base:
197132 FSMO-rollen voor Active Directory van Windows 2000
223787 FSMO-overdracht- en overnameproces (Flexible Single Master Operation)

Stappen om het probleem te reproduceren

Voer DCPROMO uit op een computer met Windows Server 2008 om lid te worden van een domein waar de RID-master offline is. U ontvangt een waarschuwing dat u een actieve RID-master moet hebben. Vervolgens ziet u een verwijzing naar het Knowledge Base-artikel 255504.
Opmerking Dit is een artikel voor snelle publicatie dat rechtstreeks is gemaakt vanuit de ondersteuningsorganisatie van Microsoft. De informatie in dit artikel wordt in de huidige vorm aangeboden in reactie op nieuw geconstateerde problemen. Aangezien artikelen van dit type zeer snel moeten worden gepubliceerd, kan de inhoud typografische fouten bevatten en kan de inhoud zonder voorafgaande kennisgeving worden gewijzigd. Raadpleeg de Gebruiksrechtovereenkomst voor overige aandachtspunten.

Eigenschappen

Artikel ID: 255504 - Laatste beoordeling: woensdag 8 januari 2014 - Wijziging: 1.0
De informatie in dit artikel is van toepassing op:
  • Microsoft Windows Server 2003, Standard Edition (32-bit x86)
  • Microsoft Windows Server 2003, Enterprise Edition (32-bit x86)
  • Microsoft Windows Server 2003, Datacenter Edition (32-bit x86)
  • Microsoft Windows® 2000 Server
  • Microsoft Windows 2000 Advanced Server
  • Windows Server 2008 Datacenter
  • Windows Server 2008 Enterprise
  • Windows Server 2008 Standard
Trefwoorden: 
kbhowto KB255504

Geef ons feedback

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com