การใช้ Ntdsutil.exe การถ่ายโอน หรือ seize บทบาท FSMO ไปยังตัวควบคุมโดเมน

การแปลบทความ การแปลบทความ
หมายเลขบทความ (Article ID): 255504 - ผลิตภัณฑ์ที่เกี่ยวข้องในบทความนี้
ขยายทั้งหมด | ยุบทั้งหมด

เนื้อหาบนหน้านี้

สรุป

บทความนี้อธิบายวิธีการใช้ยูทิลิตี Ntdsutil.exe เพื่อถ่ายโอน หรือ seize บทบาทยืดหยุ่นหนึ่งต้นแบบการดำเนินงาน (FSMO)

ข้อมูลเพิ่มเติม

โดเมนและการดำเนินงานทั้งองค์กรที่ไม่ดีสำหรับการปรับปรุง multi-master บางอย่างจะทำ ด้วยตัวควบคุมโดเมนเดียวในโดเมน Active Directory หรือฟอเรสต์ ตัวควบคุมโดเมนที่กำหนดให้กับดำเนินการดำเนินการเหล่านี้เฉพาะจะเรียกว่าต้นแบบการดำเนินงานหรือผู้ถือบทบาท FSMO

รายการต่อไปนี้อธิบายบทบาท FSMO เฉพาะที่ 5 ในฟอเรสต์มี Active Directory และอยู่กับการดำเนินงานที่จะดำเนินการ:
  • เครื่องเก็บ schema หลัก - บทบาทหลักของเค้าร่างมีทั้งฟอเรสต์ และไม่มีการอย่างใดอย่างหนึ่งสำหรับแต่ละฟอเรสต์ บทบาทนี้เป็นสิ่งจำเป็นใน การขยาย schema ของฟอเรสต์เป็น Active Directory หรือเรียกใช้การadprep /domainprepคำสั่ง
  • ตั้งชื่อหลัก - โดเมน The ตั้งชื่อบทบาทหลักของโดเมนคือทั้งฟอเรสต์ และไม่มีการอย่างใดอย่างหนึ่งสำหรับแต่ละฟอเรสต์ จำเป็นต้องมี role นี้เพื่อเพิ่ม หรือเอาโดเมนหรือโปรแกรมประยุกต์การพาร์ทิชันไปยัง หรือ จากฟอเรสต์
  • หลัก RID - บทบาทหลักของ RID มีทั้งโดเมน และไม่มีการอย่างใดอย่างหนึ่งสำหรับแต่ละโดเมน บทบาทนี้ไม่จำเป็นในการจัดสรรพูล RID แบบเพื่อให้ตัวควบคุมโดเมนใหม่ หรือที่มีอยู่สามารถสร้างบัญชีผู้ใช้ บัญชีคอมพิวเตอร์ หรือกลุ่มความปลอดภัย
  • pdc emulator - บทบาท emulator PDC มีทั้งโดเมน และไม่มีการอย่างใดอย่างหนึ่งสำหรับแต่ละโดเมน บทบาทนี้ไม่จำเป็นสำหรับตัวควบคุมโดเมนที่ส่งการปรับปรุงฐานข้อมูลตัวควบคุมโดเมนที่สำรองข้อมูลของ Windows NT ตัวควบคุมโดเมนที่เป็นเจ้าของบทบาทนี้ยังมีสำหรับ โดยเครื่องมือการจัดการและการปรับปรุงรหัสผู้ใช้บัญชีคอมพิวเตอร์บัญชีผ่านและค่าที่แน่นอน
  • โครงสร้างพื้นฐานการวางแผนหลัก - บทบาทหลักของโครงสร้างพื้นฐานมีทั้งโดเมน และไม่มีการอย่างใดอย่างหนึ่งสำหรับแต่ละโดเมน บทบาทนี้ไม่จำเป็นสำหรับตัวควบคุมโดเมนให้ทำงานนี้adprep /forestprepคำสั่งเสร็จเรียบร้อยแล้ว และการปรับปรุง SID แอททริบิวต์และชื่อที่แตกต่างคุณลักษณะสำหรับออบเจ็กต์ที่อ้างอิงข้ามโดเมน
ตัวใช้งานไดเรกทอรีการติดตั้งช่วย (Dcpromo.exe) บทบาท FSMO 5 ทั้งหมดที่กำหนดให้กับตัวควบคุมโดเมนแรกในโดเมนรากของฟอเรสต์ ตัวควบคุมโดเมนแรกในแต่ละลูกใหม่หรือโดเมนของแผนภูมิกำหนดบทบาทของโดเมนทั้งสาม ตัวควบคุมโดเมนต่อไปบทบาท FSMO ของตัวเองจนกว่าที่กำหนดใหม่ โดยใช้หนึ่งในวิธีการต่อไปนี้:
  • ผู้ดูแล reassigns หน้าที่ โดยใช้เครื่องมือการดูแล GUI
  • ผู้ดูแล reassigns หน้าที่ โดยใช้การntdsutil /rolesคำสั่ง
  • An administrator gracefully demotes a role-holding domain controller by using the Active Directory Installation Wizard. This wizard reassigns any locally-held roles to an existing domain controller in the forest. Demotions that are performed by using thedcpromo /forceremovalcommand leave FSMO roles in an invalid state until they are reassigned by an administrator.
We recommend that you transfer FSMO roles in the following scenarios:
  • The current role holder is operational and can be accessed on the network by the new FSMO owner.
  • You are gracefully demoting a domain controller that currently owns FSMO roles that you want to assign to a specific domain controller in your Active Directory forest.
  • The domain controller that currently owns FSMO roles is being taken offline for scheduled maintenance and you need specific FSMO roles to be assigned to a “live” domain controller. This may be required to perform operations that connect to the FSMO owner. This would be especially true for the PDC Emulator role but less true for the RID master role, the Domain naming master role and the Schema master roles.
We recommend that you seize FSMO roles in the following scenarios:
  • The current role holder is experiencing an operational error that prevents an FSMO-dependent operation from completing successfully and that role cannot be transferred.
  • A domain controller that owns an FSMO role is force-demoted by using thedcpromo /forceremovalคำสั่ง
  • The operating system on the computer that originally owned a specific role no longer exists or has been reinstalled.
As replication occurs, non-FSMO domain controllers in the domain or forest gain full knowledge of changes that are made by FSMO-holding domain controllers. If you must transfer a role, the best candidate domain controller is one that is in the appropriate domain that last inbound-replicated, or recently inbound-replicated a writable copy of the “FSMO partition” from the existing role holder. For example, the Schema master role-holder has a distinguished name path of CN=schema,CN=configuration,dc=<forest root="" domain="">, and this mean that roles reside in and are replicated as part of the CN=schema partition. If the domain controller that holds the Schema master role experiences a hardware or software failure, a good candidate role-holder would be a domain controller in the root domain and in the same Active Directory site as the current owner. Domain controllers in the same Active Directory site perform inbound replication every 5 minutes or 15 seconds. </forest>

The partition for each FSMO role is in the following list:

ยุบตารางนี้ขยายตารางนี้
FSMO roleพาร์ติชัน
SchemaCN=Schema,CN=configuration,DC=<forest root="" domain=""></forest>
Domain Naming MasterCN=configuration,DC=<forest root="" domain=""></forest>
PDCDC=<domain></domain>
RIDDC=<domain></domain>
InfrastructureDC=<domain></domain>


A domain controller whose FSMO roles have been seized should not be permitted to communicate with existing domain controllers in the forest. In this scenario, you should either format the hard disk and reinstall the operating system on such domain controllers or forcibly demote such domain controllers on a private network and then remove their metadata on a surviving domain controller in the forest by using thentdsutil /metadata cleanupคำสั่ง The risk of introducing a former FSMO role holder whose role has been seized into the forest is that the original role holder may continue to operate as before until it inbound-replicates knowledge of the role seizure. Known risks of two domain controllers owning the same FSMO roles include creating security principals that have overlapping RID pools, and other problems.

Transfer FSMO roles

To transfer the FSMO roles by using the Ntdsutil utility, follow these steps:
  1. Log on to a Windows 2000 Server-based or Windows Server 2003-based member computer or domain controller that is located in the forest where FSMO roles are being transferred. We recommend that you log on to the domain controller that you are assigning FSMO roles to. The logged-on user should be a member of the Enterprise Administrators group to transfer Schema master or Domain naming master roles, or a member of the Domain Administrators group of the domain where the PDC emulator, RID master and the Infrastructure master roles are being transferred.
  2. คลิกเริ่มการทำงานคลิกเรียกใช้ประเภท:ntdsutilในการOPENกล่อง แล้วคลิกตกลง.
  3. ประเภท:rolesแล้ว กด ENTER

    หมายเหตุ:To see a list of available commands at any one of the prompts in the Ntdsutil utility, type?แล้ว กด ENTER
  4. ประเภท:การเชื่อมต่อแล้ว กด ENTER
  5. ประเภท:เชื่อมต่อกับเซิร์ฟเวอร์Servernameแล้ว กด ENTER ที่ใดServernameis the name of the domain controller you want to assign the FSMO role to.
  6. ในการserver connectionsprompt, typeqแล้ว กด ENTER
  7. ประเภท:transferroleโดย:roleis the role that you want to transfer. For a list of roles that you can transfer, type?ในการfsmo maintenanceprompt, and then press ENTER, or see the list of roles at the start of this article. For example, to transfer the RID master role, typetransfer rid master. The one exception is for the PDC emulator role, whose syntax istransfer pdc, nottransfer pdc emulator.
  8. ในการfsmo maintenanceprompt, typeq, and then press ENTER to gain access to thentdsutilprompt. ประเภท:q, and then press ENTER to quit the Ntdsutil utility.

Seize FSMO roles

To seize the FSMO roles by using the Ntdsutil utility, follow these steps:
  1. เข้าสู่ระบบคอมพิวเตอร์สมาชิกที่ใช้ Windows 2000 Server หรือเซิร์ฟเวอร์ที่ใช้ Windows server 2003 หรือตัวควบคุมโดเมนที่อยู่ในฟอเรสต์ซึ่งกำลัง seized บทบาท FSMO เราขอแนะนำว่า คุณล็อกออตัวควบคุมโดเมนที่คุณกำลังกำหนดบทบาท FSMO ไป ผู้ใช้เข้าสู่ระบบบนควรเป็นสมาชิกของกลุ่มผู้ดูแลระบบองค์กรการถ่ายโอน schema หรือการตั้งชื่อบทบาทหลักของโดเมน หรือเป็นสมาชิกของกลุ่มผู้ดูแลของโดเมนของโดเมนที่ PDC emulator, RID หลัก และบทบาทหลักของโครงสร้างพื้นฐานจะมีการโอน
  2. คลิกเริ่มการทำงานคลิกเรียกใช้ประเภท:ntdsutilในการOPENกล่อง แล้วคลิกตกลง.
  3. ประเภท:บทบาทแล้ว กด ENTER
  4. ประเภท:การเชื่อมต่อแล้ว กด ENTER
  5. ประเภท:เชื่อมต่อกับเซิร์ฟเวอร์Servernameแล้ว กด ENTER ที่ใดServernameชื่อของตัวควบคุมโดเมนที่คุณต้องการกำหนดบทบาท FSMO ไปได้
  6. ในการการเชื่อมต่อเซิร์ฟเวอร์ชนิดการพร้อมต์qแล้ว กด ENTER
  7. ประเภท:seizeบทบาทโดย:บทบาทมีบทบาทที่คุณต้องการ seize สำหรับรายชื่อของ role ที่คุณสามารถ seize พิมพ์?ในการการบำรุงรักษา fsmoแสดงกล่องโต้ ตอบ และจากนั้นกด ENTER หรือดูรายชื่อของ role ที่เริ่มต้นของบทความนี้ For example, to seize the RID master role, typeseize rid master. The one exception is for the PDC emulator role, whose syntax isseize pdc, notseize pdc emulator.
  8. ในการfsmo maintenanceprompt, typeq, and then press ENTER to gain access to thentdsutilprompt. ประเภท:q, and then press ENTER to quit the Ntdsutil utility.

    หมายเหตุ
    • Under typical conditions, all five roles must be assigned to “live” domain controllers in the forest. If a domain controller that owns a FSMO role is taken out of service before its roles are transferred, you must seize all roles to an appropriate and healthy domain controller. We recommend that you only seize all roles when the other domain controller is not returning to the domain. If it is possible, fix the broken domain controller that is assigned the FSMO roles. You should determine which roles are to be on which remaining domain controllers so that all five roles are assigned to a single domain controller.For more information about FSMO role placement, click the following article number to view the article in the Microsoft Knowledge Base:
      223346FSMO placement and optimization on Windows 2000 domain controllers
    • If the domain controller that formerly held any FSMO role is not present in the domain and if it has had its roles seized by using the steps in this article, remove it from the Active Directory by following the procedure that is outlined in the following Microsoft Knowledge Base article:
      216498How to remove data in active directory after an unsuccessful domain controller demotion
    • Removing domain controller metadata with the Windows 2000 version or the Windows Server 2003 build 3790 version of thentdsutil /metadata cleanupcommand does not relocate FSMO roles that are assigned to live domain controllers. The Windows Server 2003 Service Pack 1 (SP1) version of the Ntdsutil utility automates this task and removes additional elements of domain controller metadata.
    • Some customers prefer not to restore system state backups of FSMO role-holders in case the role has been reassigned since the backup was made.
    • Do not put the Infrastructure master role on the same domain controller as the global catalog server. If the Infrastructure master runs on a global catalog server it stops updating object information because it does not contain any references to objects that it does not hold. This is because a global catalog server holds a partial replica of every object in the forest.
To test whether a domain controller is also a global catalog server:
  1. คลิกเริ่มการทำงานชี้ไปที่โปรแกรมชี้ไปที่เครื่องมือการดูแลระบบแล้ว คลิกActive Directory Sites and Services.
  2. คลิกสองครั้งไซต์in the left pane, and then locate the appropriate site or clickDefault-first-site-nameif no other sites are available.
  3. Open the Servers folder, and then click the domain controller.
  4. In the domain controller's folder, double-clickการตั้งค่า ntds.
  5. ในการการทำงาน (Action)เมนู คลิกคุณสมบัติ.
  6. ในการทั่วไปtab, view theแค็ตตาล็อกส่วนกลางcheck box to see if it is selected.
For more information about FSMO roles, click the following article numbers to view the articles in the Microsoft Knowledge Base:
197132Windows 2000 Active Directory FSMO roles
223787Flexible Single Master Operation transfer and seizure process

ขั้นตอนในการทบทวนการเกิดปัญหา

Run DCPROMO on a Windows Server 2008 computer to join a domain where the RID master is offline. You will receive a warning that you must have an active RID master. Then, you will see a reference to KB article 255504.

คุณสมบัติ

หมายเลขบทความ (Article ID): 255504 - รีวิวครั้งสุดท้าย: 11 กันยายน 2554 - Revision: 3.0
ใช้กับ
  • Microsoft Windows Server 2003 Standard Edition
  • Microsoft Windows Server 2003 Enterprise Edition
  • Microsoft Windows Server 2003 Datacenter Edition
  • Microsoft Windows 2000 Server
  • Microsoft Windows 2000 Advanced Server
  • Windows Server 2008 Datacenter
  • Windows Server 2008 Enterprise
  • Windows Server 2008 Standard
Keywords: 
kbhowto kbmt KB255504 KbMtth
แปลโดยคอมพิวเตอร์
ข้อมูลสำคัญ: บทความนี้แปลโดยซอฟต์แวร์การแปลด้วยคอมพิวเตอร์ของ Microsoft แทนที่จะเป็นนักแปลที่เป็นบุคคล Microsoft มีบทความที่แปลโดยนักแปลและบทความที่แปลด้วยคอมพิวเตอร์ เพื่อให้คุณสามารถเข้าถึงบทความทั้งหมดในฐานความรู้ของเรา ในภาษาของคุณเอง อย่างไรก็ตาม บทความที่แปลด้วยคอมพิวเตอร์นั้นอาจมีข้อบกพร่อง โดยอาจมีข้อผิดพลาดในคำศัพท์ รูปแบบการใช้ภาษาและไวยากรณ์ เช่นเดียวกับกรณีที่ชาวต่างชาติพูดผิดเมื่อพูดภาษาของคุณ Microsoft ไม่มีส่วนรับผิดชอบต่อความคลาดเคลื่อน ความผิดพลาดหรือความเสียหายที่เกิดจากการแปลเนื้อหาผิดพลาด หรือการใช้บทแปลของลูกค้า และ Microsoft มีการปรับปรุงซอฟต์แวร์การแปลด้วยคอมพิวเตอร์อยู่เป็นประจำ
ต่อไปนี้เป็นฉบับภาษาอังกฤษของบทความนี้:255504

ให้ข้อเสนอแนะ

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com