Active Directory Domain Services'da İşlem Yöneticisi rollerini aktarma veya yakalama

  • Makale

Bu makalede, daha önce Esnek Tek Yönetici İşlemleri (FSMO) rolleri olarak bilinen İşlem Yöneticisi rollerinin ne zaman ve nasıl aktarıldığı veya ele geçirilip ele geçirilip geçirilemediği açıklanır.

Şunlar için geçerlidir: Windows Server 2022, Windows Server 2019, Windows Server 2016, Windows Server 2012 R2, Windows Server 2012
Orijinal KB numarası: 255504

Daha fazla bilgi

Bir Active Directory Domain Services (AD DS) ormanında, yalnızca bir etki alanı denetleyicisi (DC) tarafından gerçekleştirilmesi gereken belirli görevler vardır. Bu benzersiz işlemleri gerçekleştirmek için atanan DC'ler İşlem Yöneticisi rol sahipleri olarak bilinir. Aşağıdaki tabloda İşlem Yöneticisi rolleri ve Active Directory'deki yerleşimleri listelenmiştir.

Rol Kapsam Adlandırma bağlamı (Active Directory bölümü)
Şema yöneticisi Orman çapında CN=Schema,CN=configuration,DC=<forest root domain>
Etki alanı adlandırma yöneticisi Orman çapında CN=yapılandırma,DC=<orman kök etki alanı>
PDC öykünücüsü Etki alanı çapında DC=<etki alanı>
RID yöneticisi Etki alanı çapında DC=<etki alanı>
Altyapı yöneticisi Etki alanı çapında DC=<etki alanı>

İşlem Yöneticisi rol sahipleri hakkında daha fazla bilgi ve rolleri yerleştirmeye yönelik öneriler için bkz. Active Directory etki alanı denetleyicilerinde FSMO yerleştirme ve iyileştirme.

Not

DNS uygulama bölümlerini içeren Active Directory Uygulama bölümlerinin İşlem Yöneticisi rol bağlantıları vardır. DNS uygulama bölümü altyapı yöneticisi (IM) rolü için bir sahip tanımlıyorsa, bu uygulama bölümünü kaldırmak için Ntdsutil, DCPromo veya diğer araçları kullanamazsınız. Daha fazla bilgi için bkz. DNS altyapı yöneticisiyle bağlantı kurulamazsa DCPROMO indirgeme başarısız oluyor.

Rol sahibi gibi davranan bir DC çalışmaya başladığında (örneğin, bir hatadan veya kapatmadan sonra), rol sahibi olarak davranmaya hemen devam etmez. DC, adlandırma bağlamı için gelen çoğaltmayı alıncaya kadar bekler (örneğin, Şema yöneticisi rolü sahibi, Şema bölümünün gelen çoğaltmasını almak için bekler).

DC'lerin Active Directory çoğaltmasının bir parçası olarak geçtiği bilgiler, geçerli İşlem Yöneticisi rol sahiplerinin kimliklerini içerir. Yeni başlatılan DC gelen çoğaltma bilgilerini aldığında, bunun hala rol sahibi olup olmadığını doğrular. Öyleyse, tipik işlemlere devam eder. Çoğaltılan bilgiler, başka bir DC'nin rol sahibi olarak davrandığını gösteriyorsa yeni başlatılan DC, rol sahipliğinden feragat eder. Bu davranış, etki alanının veya ormanın yinelenen İşlem Yöneticisi rol sahiplerine sahip olma olasılığını azaltır.

Önemli

AD FS işlemleri, rol sahibine ihtiyaç duyduklarında ve yeni başlatılan rol sahibi aslında rol sahibiyse ve gelen çoğaltmayı almıyorsa başarısız olur.
Sonuçta elde edilen davranış, rol sahibi çevrimdışıyken ne olacaksa ona benzer.

Rollerin ne zaman aktarılacağını veya tutulacağını belirleyin

Normal koşullar altında, bu beş rolün tümü de ormandaki "canlı" DC'lere atanmalıdır. Active Directory ormanı oluşturduğunuzda, Active Directory Yükleme Sihirbazı (Dcpromo.exe) beş İşlem Yöneticisi rolünün tümünü orman kök etki alanında oluşturduğu ilk DC'ye atar. Bir alt etki alanı veya ağaç etki alanı oluşturduğunuzda, oluşturma mekanizması etki alanı genelindeki üç rolü etki alanındaki ilk DC'ye atar.

DC'ler, aşağıdaki yöntemlerden biri kullanılarak yeniden atanana kadar İşlem Yöneticisi rollerine sahip olur:

  • Bir yönetici, bir GUI yönetimsel aracını kullanarak rolü yeniden atar.
  • Bir yönetici, ntdsutil /roles komutunu kullanarak rolü yeniden atar.
  • Bir yönetici, rol sahibi olan bir etki alanı denetleyicisini Active Directory Yükleme Sihirbazı yardımıyla indirger. Bu sihirbaz, yerel olarak sahiplenilmiş rolleri ormandaki var olan bir etki alanı denetleyicisine yeniden atar.
  • Yönetici, veya dcpromo /forceremoval komutunu kullanarak rol tutan DC'yi indirgerUninstall-ADDSDomainController -ForceRemoval.
  • DC kapanır ve yeniden başlatılır. DC yeniden başlatıldığında, başka bir DC'nin rol sahibi olduğunu belirten gelen çoğaltma bilgilerini alır. Bu durumda, yeni başlatılan DC rolü (daha önce açıklandığı gibi) kontrolü bırakır.

İşlem Yöneticisi rol sahibi bir hatayla karşılaşırsa veya rolleri aktarılmadan önce hizmetten çıkarılırsa, tüm rolleri uygun ve iyi durumdaki bir DC'ye almalı ve aktarmalısınız.

Aşağıdaki senaryolarda İşlem Yöneticisi rollerini aktarmanızı öneririz:

  • Geçerli rol sahibi çalışır durumdadır ve yeni İşlem Yöneticisi sahibi tarafından ağ üzerinden erişilebilir.
  • Active Directory ormanınızdaki belirli bir DC'ye atamak istediğiniz İşlem Yöneticisi rollerine sahip olan bir DC'yi düzgün bir şekilde indirgeyebilirsiniz.
  • Şu anda İşlem Yöneticisi rollerine sahip olan DC, zamanlanmış bakım için çevrimdışına alınıyor ve canlı DC'lere belirli İşlem Yöneticisi rolleri atamanız gerekiyor. İşlem Yöneticisi sahibini etkileyen işlemleri gerçekleştirmek için rolleri aktarmanız gerekebilir. Bu durum özellikle PDC Emulator rolü için geçerlidir. Bu; RID ana rolü, Etki alanı adlandırma yöneticisi rolü ve Şema yöneticisi rolleri için daha az önemli bir sorundur.

Aşağıdaki senaryolarda İşlem Yöneticisi rollerini yakalamanızı öneririz:

  • Geçerli rol sahibi, İşlem Yöneticisine bağımlı bir işlemin başarıyla tamamlanmasını engelleyen bir işlem hatasıyla karşılaşıyor ve rolü aktaramazsınız.

  • İşlem Yöneticisi rolüne Uninstall-ADDSDomainController -ForceRemoval sahip bir DC'yi zorla indirgemek için veya dcpromo /forceremoval komutunu kullanırsınız.

    Önemli

    Komut, force-demote yönetici tarafından yeniden atanana kadar İşlem Yöneticisi rollerini geçersiz durumda bırakabilir.

  • Belirli bir role sahip olan bilgisayardaki işletim sistemi kaldırılmış veya yeniden yüklenmiş.

Not

  • Tüm rolleri yalnızca önceki rol sahibi etki alanına geri dönmediğinde yakalamanızı öneririz.
  • Orman kurtarma senaryolarında İşlem Yöneticisi rollerinin alınması gerekiyorsa, Her etki alanındaki ilk yazılabilir etki alanı denetleyicisini geri yükleme bölümündeki İlk kurtarmayı gerçekleştirme bölümündeki 5. adıma bakın.
  • Rol aktarımı veya nöbet sonrasında yeni rol sahibi hemen harekete geçmiyor. Bunun yerine, yeni rol sahibi yeniden başlatılan bir rol sahibi gibi davranır ve rolün (etki alanı bölümü gibi) adlandırma bağlamının kopyasının başarılı bir gelen çoğaltma döngüsünü tamamlanmasını bekler. Bu çoğaltma gereksinimi, yeni rol sahibinin eyleme geçmeden önce mümkün olduğunca güncel olduğundan emin olunmasını sağlar. Ayrıca hatalara yönelik fırsat penceresini sınırlar. Bu pencere yalnızca önceki rol sahibinin çevrimdışı olmadan önce diğer DC'lere çoğaltmayı bitirmediği değişiklikleri içerir. Her İşlem Yöneticisi rolünün adlandırma bağlamının listesi için Daha fazla bilgi bölümündeki tabloya bakın.

Yeni rol sahibini belirleme

Yeni rol sahibi için en iyi aday, aşağıdaki ölçütleri karşılayan bir DC'dir:

  • Önceki rol sahibiyle aynı etki alanında bulunur.
  • Rol bölümünün en son çoğaltılabilir yazılabilir kopyasına sahiptir.

Örneğin, Şema yöneticisi rolünü aktarmanız gerektiğini varsayalım. Şema yöneticisi rolü, ormanın şema bölümünün bir parçasıdır (CN=Şema,CN=Yapılandırma,DC=<orman kök etki alanı>). Yeni rol sahibi için en iyi aday, aynı zamanda orman kök etki alanında ve geçerli rol sahibiyle aynı Active Directory sitesinde bulunan bir DC'dir.

Dikkat

Aşağıdaki koşullar doğruysa altyapı yöneticisi rolü artık gerekli değildir:

  • Etki alanındaki tüm etki alanı denetleyicileri Genel Kataloglardır (GC). Bu durumda, GC'ler etki alanları arası başvuruları kaldıran güncelleştirmeleri alır.
  • AD Geri Dönüşüm Kutusu ormanda etkindir. Bu durumda her DC, başvurularını güncelleştirmekle sorumludur.

İzleme araçlarından gelen hataları ve uyarıları önlemek için altyapı yöneticisinin uygun sahibini tanımlamanızı öneririz.

Altyapı yöneticisi rolüne hala ihtiyacınız varsa:
Altyapı yöneticisi rolünü genel katalog sunucusuyla aynı DC'ye koymayın. Altyapı yöneticisi bir genel katalog sunucusunda çalışıyorsa, tutmadığı nesnelere başvuru içermediğinden nesne bilgilerini güncelleştirmeyi durdurur. Bunun nedeni, genel katalog sunucusunun ormandaki her nesnenin kısmi kopyasını tutmasıdır.

Active Directory Geri Dönüşüm Kutusu'nu etkinleştirdiğinizde altyapı yöneticisi rolü artık kullanılmaz. AD Geri Dönüşüm Kutusu, kaldırılmakta olan nesne başvurularını işleme yaklaşımını değiştirir.

DC'nin aynı zamanda genel katalog sunucusu olup olmadığını test etmek için şu adımları izleyin:

Active Directory Sitelerini ve Hizmetlerini Kullanma:

  1. Başlat>Programlar>Yönetim Araçları>Active Directory Siteleri ve Hizmetleri'ni seçin.
  2. Gezinti bölmesinde Siteler'e çift tıklayın ve uygun siteyi bulun veya başka site yoksa Varsayılan-ilk site-adı'nı seçin.
  3. Sunucular klasörünü açın ve ardından DC'yi seçin.
  4. DC klasöründe, NTDS Ayarları'na çift tıklayın.
  5. Eylem menüsünde, Özellikler'i seçin.
  6. Genel sekmesinde, seçili olup olmadığını görmek için Genel Katalog onay kutusunu görüntüleyin.

Windows PowerShell kullanma:

  1. PowerShell'i başlatın.

  2. Aşağıdaki cmdlet'i yazın ve gerçek DC adınızla ayarlayın DC_NAME :

    (Get-ADDomainController -Filter { Name -Eq 'DC_NAME' }).IsGlobalCatalog

  3. Çıkış veya FalseolacaktırTrue.

Daha fazla bilgi için bkz.:

İşlem Yöneticisi rollerini ele geçir veya aktar

Rolleri almak veya aktarmak için Windows PowerShell veya Ntdsutil kullanabilirsiniz. Bu görevlere yönelik olarak PowerShell'in nasıl kullanılacağı hakkındaki bilgi ve örnekler için bkz. Move-ADDirectoryServerOperationMasterRole.

Önemli

Etki alanında yinelenen SID riskini önlemek için RID ana rolüne sahip olduğunuzda Rid Yöneticisi nöbetleri havuzda bir sonraki kullanılabilir RID'yi artırır. Bu davranış, ormanınızın kullanılabilir RID değerleri aralıklarını önemli ölçüde (RID yazma olarak da bilinir) tüketmesine neden olabilir. Bu nedenle, yalnızca geçerli Rid Yöneticisinin yeniden hizmete alınabileceğinden emin olduğunuzda Rid Master'ı yakalayın.

RID ana rolünü almanız gerekiyorsa aşağıdaki ayrıntıları göz önünde bulundurun:

  • Move-ADDirectoryServerOperationMasterRole cmdlet'i, Active Directory'de bulduklarından sonraki Rid havuzunu 30.000 artırır.
  • kategori komutlarıyla rolesNtdsutil.exeyardımcı programını kullandığınızda, sonraki Rid havuzu 10.000 artar.

Ntdsutil yardımcı programını kullanarak İşlem Yöneticisi rollerini almak veya aktarmak için şu adımları izleyin:

  1. AD RSAT araçlarının yüklü olduğu bir üye bilgisayarda veya İşlem Yöneticisi rollerinin aktarıldığı ormanda bulunan bir DC'de oturum açın.

    Not

    • İşlem Yöneticisi rollerini atadığınız DC'de oturum açmanızı öneririz.
    • Oturum açmış kullanıcının Şema yöneticisi veya Etki alanı adlandırma yöneticisi rollerini aktarmak için Kuruluş Yöneticileri grubunun bir üyesi veya PDC öykünücüsü, RID yöneticisi ve altyapı yöneticisi rollerinin aktarıldığı etki alanının Etki Alanı Yöneticileri grubunun üyesi olması gerekir.

  2. Başlat>Çalıştır'ı seçin, kutusuna ntdsutil yazın ve ardından Tamam'ı seçin.

  3. Roles yazın ve Enter tuşuna basın.

    Not

    Ntdsutil yardımcı programında, herhangi bir istemde kullanılabilen komutlarının listesini görmek için ? yazın ve Enter tuşuna basın.

  4. Connections yazın ve Enter tuşuna basın.

  5. Sunucu <sunucusu adına> bağlan yazın ve Enter tuşuna basın.

    Not

    Bu komutta sunucu adı>, <İşlem Yöneticisi rolünü atamak istediğiniz DC'nin adıdır.

  6. Server connections isteminde q yazın ve Enter tuşuna basın.

  7. Aşağıdaki eylemlerden birini yapın:

    • Rolü aktarmak için: Aktarım <rolü> yazın ve Enter tuşuna basın.

      Not

      Bu komutta rol>, <aktarmak istediğiniz roldür.

    • Rolü almak için: Rolü ele geçir <>yazın ve Enter tuşuna basın.

      Not

      Bu komutta rol>, <almak istediğiniz roldür.

    Örneğin, RID yöneticisi rolünü almak için seize rid master yazın. Özel durumlar, söz dizimi seize pdc olan PDC öykünücüsü rolüne ve seize naming master olan Etki alanı adlandırma yöneticisine yöneliktir.

    Aktarabileceğiniz veya ele geçirebileceğiniz rollerin listesini görmek için, fsmo bakım istemine ? yazıp Enter tuşuna basın veya bu makalenin başındaki rol listesine bakın.

  8. fsmo maintenance isteminde q yazın ve ardından Enter tuşuna basıp ntdsutil istemine erişim sağlayın. q yazıp Enter tuşuna basarak Ntdsutil yardımcı programından çıkın.

Önceki rol sahiplerini onarırken veya kaldırırken dikkat edilmesi gerekenler

Mümkünse ve rolleri almak yerine aktarabiliyorsanız önceki rol sahibini düzeltin. Önceki rol sahibini düzeltemiyorsanız veya rolleri ele geçirdiyseniz, önceki rol sahibini etki alanından kaldırın.

Önemli

Onarılan bilgisayarı DC olarak kullanmayı planlıyorsanız DC'yi yedekten geri yüklemek yerine bilgisayarı sıfırdan bir DC'ye yeniden derlemenizi öneririz. Geri yükleme işlemi DC'yi rol sahibi olarak yeniden oluşturur.

  • Onarılan bilgisayarı dc olarak ormana döndürmek için:

    1. Aşağıdaki eylemlerden birini yapın:

      • Eski rol sahibinin sabit diskini biçimlendirin ve ardından Windows bilgisayara yeniden yükleyin.
      • Eski rol sahibini zorla üye sunucuya indirgeme.

    2. Ormandaki başka bir DC'de Ntdsutil kullanarak eski rol sahibinin meta verilerini kaldırın. Daha fazla bilgi için bkz. Ntdsutil kullanarak sunucu meta verilerini temizlememe.

    3. Meta verileri temizledikten sonra, bilgisayarı bir DC'ye yeniden oluşturabilir ve bir rolü bu bilgisayara geri aktarabilirsiniz.

  • Rollerini aldıktan sonra bilgisayarı ormandan kaldırmak için:

    1. Bilgisayarı etki alanından kaldırın.
    2. Ormandaki başka bir DC'de Ntdsutil kullanarak eski rol sahibinin meta verilerini kaldırın. Daha fazla bilgi için bkz. Ntdsutil kullanarak sunucu meta verilerini temizlememe.

Çoğaltma adalarını yeniden tümleştirirken dikkat edilmesi gerekenler

Bir etki alanının veya ormanın bir bölümü, etki alanının veya ormanın geri kalanıyla uzun süre iletişim kuramazsa, etki alanının veya ormanın yalıtılmış bölümleri çoğaltma adaları olarak bilinir. Bir adadaki DC'ler diğer adalardaki DC'lerle çoğaltılamaz. Birden çok çoğaltma döngüsünde çoğaltma adaları eşitlenmemiştir. Her adanın kendi İşlem Yöneticisi rol sahipleri varsa, adalar arasındaki iletişimi geri yüklerken sorun yaşayabilirsiniz.

Önemli

Çoğu durumda, yinelenen rol sahiplerini elde etmek için ilk çoğaltma gereksiniminden (bu makalede açıklandığı gibi) yararlanabilirsiniz. Yeniden başlatılan rol sahibi, yinelenen bir rol sahibi algılarsa rolü iptal etmelidir.
Bu davranışın çözümlenmediği durumlarla karşılaşabilirsiniz. Bu gibi durumlarda bu bölümdeki bilgiler yararlı olabilir.

Aşağıdaki tabloda, bir ormanda veya etki alanında bu rol için birden çok rol sahibi varsa sorunlara neden olabilecek İşlem Yöneticisi rolleri tanımlanmıştır:

Rol Birden çok rol sahibi arasında olası çakışmalar mı var?
Şema yöneticisi Evet
Etki Alanı Adlandırma Yöneticisi Evet
RID yöneticisi Evet
PDC öykünücüsü Hayır
Altyapı yöneticisi Hayır

Bu sorun PDC Öykünücüsü yöneticisini veya altyapı yöneticisini etkilemez. Bu rol sahipleri operasyonel verileri kalıcı hale getirmez. Ayrıca Altyapı yöneticisi sık sık değişiklik yapmaz. Bu nedenle birden çok adada bu rol sahipleri varsa uzun vadeli sorunlara neden olmadan adaları yeniden tümleştirebilirsiniz.

Şema yöneticisi, Etki alanı adlandırma yöneticisi ve RID yöneticisi, Active Directory'de nesneler oluşturabilir ve değişiklikleri kalıcı hâle getirebilir. Bu rol sahiplerinden birinin olduğu her adada çoğaltmayı geri yüklediğiniz sırada yinelenen ve çakışan şema nesneleri, etki alanları veya RID havuzları olabilir. Adaları yeniden tümleştirmeden önce hangi rol sahiplerini tutabileceğinizi belirleyin. Bu makalede bahsedilen onarım, kaldırma ve temizleme yordamlarını izleyerek yinelenen Şema yöneticilerini, Etki Alanı Adlandırma yöneticilerini ve RID yöneticilerini kaldırın.

Başvurular

Daha fazla bilgi için bkz.: