Використання засобу Ntdsutil.exe для отримання та передавання ролей гнучкого одиночного господаря операцій контролеру домену

Переклади статей Переклади статей
Номер статті: 255504 - Показ продуктів, яких стосується ця стаття.
Розгорнути все | Згорнути все

На цій сторінці

ПІДСУМКИ

У цій статті описано способи використання засобу Ntdsutil.exe для отримання та передавання ролей гнучкого одиночного господаря операцій.

ДОДАТКОВІ ВІДОМОСТІ

Певні операції рівня домену чи підприємства, для яких не можуть виконуватися оновлення з кількома господарями, виконуються одним контролером домену в рамках домену чи лісу Active Directory. Контролери домену, призначені для виконання таких особливих операцій, називаються господарями операцій або володарями ролей гнучкого одиночного господаря операцій.

Нижче наведено 5 особливих ролей гнучкого одиночного господаря операцій, які існують у лісі Active Directory, та спеціальні операції, які виконуються володарями цих ролей:
  • Господар схеми. Роль господаря схеми - це роль рівня лісу. Для кожного лісу існує одна роль. Ця роль потрібна для розширення схеми лісу Active Directory або виконання команди adprep /domainprep.
  • Господар іменування домену. Роль господаря іменування домену - це роль рівня лісу. У кожному лісі існує один господар іменування домену. Ця роль потрібна для додавання чи видалення доменів або розділів застосунків у лісі.
  • Володар RID. Роль володаря RID - це роль рівня домену. У кожному домені існує один володар RID. Ця роль потрібна для виділення пула RID, щоб нові чи наявні контролери доменів могли створювати облікові записи користувачів, облікові записи комп'ютерів, а також групи безпеки.
  • Емулятор головного контролера домену. Роль емулятора головного контролера домену - це роль рівня домену. У кожному домені існує емулятор головного контролера домену. Ця роль потрібна для контролера домену, який надсилає оновлення бази даних резервним контролерам домену Windows NT. Контролер домену, який володіє цією роллю, також використовується деякими засобами адміністрування та отримує оновлення паролів облікових записів користувачів і комп'ютерів.
  • Володар інфраструктури. Роль володаря інфраструктури - це роль рівня домену. У кожному домені існує один володар інфраструктури. Ця роль потрібна контролерам доменів для успішного виконання команди adprep /forestprep, а також для оновлення атрибутів ідентифікаторів SID і розрізнюваних атрибутів імен для об'єктів, на які вказують міждоменні посилання.
Майстер інсталяції Active Directory (Dcpromo.exe) призначає всі 5 ролей гнучкого одиночного господаря операцій першому контролеру домену в кореневому домені лісу. Під час створення дочірніх доменів 3 ролі рівня домену призначаються першому контролеру домену в кожному дочірньому домені. Контролери домену володіють ролями гнучкого одиночного господаря операцій, доки ці ролі не будуть передані іншим контролерам доменів із використанням одного з таких методів:
  • Адміністратор перепризначає роль, використовуючи засіб адміністрування графічного інтерфейсу.
  • Адміністратор перепризначає роль, виконуючи команду ntdsutil /roles.
  • Адміністратор звичайним способом знижує роль контролера домену, який є володарем ролі, за допомогою майстра інсталяції Active Directory. При цьому ролі, якими володів поточний контролер домену, майстер перепризначає наявному контролеру домену в лісі. Якщо для зниження ролі контролера домену використовувалася команда dcpromo /forceremoval, то ролі гнучкого одиночного господаря операцій перебуватимуть у недоступному стані, доки адміністратор не виконає перепризначення ролей.
Корпорація Майкрософт рекомендує використовувати передавання ролей гнучкого одиночного господаря операцій у таких випадках:
  • Поточний володар ролі працює належним чином і є доступним через мережу новому володарю ролі гнучкого одиночного господаря операцій.
  • Адміністратор у звичайному порядку знижує роль контролера домену, який є володарем ролей гнучкого одиночного господаря операцій, які потрібно призначити певному контролеру домену в лісі Active Directory.
  • Контролер домену, який є володарем ролей гнучкого одиночного господаря операцій, потрібно відключити для виконання планових профілактичних робіт, а його ролі мають бути призначені працюючому контролеру домену. Це може знадобитися для виконання операцій, які належать до цього володаря ролей гнучкого одиночного господаря операцій. Це особливо потрібно під час відключення емулятора головного контролера домену. Тимчасове відключення володаря RID, господаря іменування домену та господаря схеми меньшою мірою позначається на роботі.
Корпорація Майкрософт рекомендує використовувати отримання ролей гнучкого одиночного господаря операцій у таких випадках:
  • У роботі поточного володаря ролі гнучкого одиночного господаря операцій виникли неполадки, які перешкоджають успішному виконанню функцій, властивих цій ролі, та не дають змоги виконати передавання ролі.
  • Роль контролера домену, який є володарем ролі гнучкого одиночного господаря операцій, примусово знижено за допомогою команди dcpromo /forceremoval.
  • На комп'ютері, який був володарем ролі гнучкого одиночного господаря операцій, переінстальовано чи видалено операційну систему.
У процесі реплікації відомості про зміни, виконані володарем ролей гнучкого одиночного господаря операцій, передаються всім контролерам домену, які не є володарями ролей гнучкого одиночного господаря операцій, в лісі чи в домені. Вибираючи контролер домену, якому потрібно передати роль гнучкого одиночного господаря операцій, найкраще скористатися контролером домену, який перебуває у відповідному домені або останнім (або в числі останніх) виконав вхідну реплікацію доступної для записування копії "розділу гнучкого одиночного господаря операцій" з поточним володарем цієї ролі. Наприклад, господар схеми має розрізнювальне ім'я шляху CN=schema,CN=configuration,dc=<кореневий домен лісу>. Це значить, що ролі зберігаються і реплікуються як частина розділу CN=schema. Якщо на контролері домену, який є господарем схеми, виникає програмна чи апаратна неполадка, рекомендовано призначити цю роль контролеру домену, який перебуває в кореневому домені й на тому самому сайті Active Directory, що й поточний господар схеми. Контролери домену в одному сайті Active Directory виконують вхідну реплікацію кожні 5 хвилин або 15 секунд.

Нижче наведено розділи, які використовуються ролями гнучкого одиночного господаря операцій:

Згорнути цю таблицюРозгорнути цю таблицю
Роль гнучкого одиночного господаря операційРозділ
СхемаCN=Schema,CN=configuration,DC=<кореневий домен лісу>
Господар іменування доменуCN=configuration,DC=<кореневий домен лісу>
Головний контролер доменуDC=<домен>
RIDDC=<домен>
ІнфраструктураDC=<домен>


Після отримання ролі гнучкого одиночного господаря операцій контролер домену, який раніше був володарем цієї ролі, не повинен обмінюватися даними з іншими контролерами домену в лісі. На такому контролері домену потрібно відформатувати жорсткий диск і переінсталювати операційну систему чи примусово знизити роль цього контролера домену в приватній мережі та видалити метадані цього контролера домену з інших контролерів домену в лісі за допомогою команди ntdsutil /metadata cleanup. Ризик запровадження до лісу колишнього володаря ролі гнучкого одиночного господаря операцій, роль якого отримано іншим комп'ютером, полягає в тому, що початковий володар ролі може продовжувати виконувати свою роль до отримання відомостей під час вхідної реплікації про отримання ролі. Наявність двох контролерів домену, які виконують ту саму роль гнучкого одиночного господаря операцій, може призвести до створення учасників безпеки, які володіють пулами RID, що перекриваються, а також до виникнення інших проблем.

Передавання ролей гнучкого одиночного господаря операцій

Щоб передати ролі гнучкого одиночного господаря операцій із використанням утиліти Ntdsutil, виконайте такі дії.
  1. Ввійдіть до системи на рядовому комп'ютері або контролері домену під керуванням Windows 2000 Server або Windows Server 2003, розташованому в тому лісі, де виконується передавання ролей гнучкого одиночного господаря операцій. Рекомендовано ввійти до системи на контролері домену, якому призначаються ролі гнучкого одиночного господаря операцій. Щоб передати роль господаря схеми чи господаря іменування домену, потрібно ввійти до системи з обліковим записом, який є членом групи "Адміністратори підприємства". Щоб передати роль емулятора головного контролера домену, володаря RID або володаря інфраструктури, потрібно ввійти до системи з обліковим записом, який є членом групи "Адміністратори домену".
  2. Натисніть кнопку Пуск, клацніть Выполнить, введіть ntdsutil у полі Открыть, а потім натисніть кнопку ОК.
  3. Введіть roles, а потім натисніть клавішу ENTER.

    Примітка. Щоб переглянути список доступних команд в утиліті Ntdsutil на кожному етапі її використання, введіть символ ?, а потім натисніть клавішу ENTER.
  4. Введіть connections, а потім натисніть клавішу ENTER.
  5. Введіть команду connect to server ім'я_сервера, а потім натисніть клавішу ENTER. При цьому ім'я_сервера є іменем контролера домену, якому потрібно призначити роль гнучкого одиночного господаря операцій.
  6. У відповідь на запрошення server connections введіть q, а потім натисніть клавішу ENTER.
  7. Введіть команду transfer роль, де роль - це роль, яку потрібно передати. Щоб отримати список ролей, які можна передати, введіть команду ? після появи запиту fsmo maintenance, а потім натисніть клавішу ENTER, або перегляньте список ролей на початку цієї статті. Наприклад, щоб передати роль володаря RID, введіть команду transfer rid master. Єдиним винятком є передавання ролі емулятора головного контролера домену, для якого потрібно використовувати команду transfer pdc, а не transfer pdc emulator.
  8. У відповідь на запит fsmo maintenance введіть q, а потім натисніть клавішу ENTER, щоб отримати доступ до засобу ntdsutil. Введіть команду q, а потім натисніть клавішу ENTER, щоб закрити утиліту Ntdsutil.

Отримання ролей гнучкого одиночного господаря операцій

Щоб отримати ролі гнучкого одиночного господаря операцій із використанням утиліти Ntdsutil, виконайте такі дії:
  1. Ввійдіть до системи на рядовому комп'ютері або контролері домену під керуванням Windows 2000 Server або Windows Server 2003, розташованому в тому лісі, де потрібно отримати ролі гнучкого одиночного господаря операцій. Рекомендовано ввійти до системи на контролері домену, якому призначаються ролі гнучкого одиночного господаря операцій. Щоб передати роль господаря схеми чи господаря іменування домену, потрібно ввійти до системи з обліковим записом, який є членом групи "Адміністратори підприємства". Щоб передати роль емулятора головного контролера домену, володаря RID або володаря інфраструктури, потрібно ввійти до системи з обліковим записом, який є членом групи "Адміністратори домену".
  2. Натисніть кнопку Пуск, клацніть Выполнить, введіть ntdsutil у полі Открыть, а потім натисніть кнопку ОК.
  3. Введіть roles, а потім натисніть клавішу ENTER.
  4. Введіть connections, а потім натисніть клавішу ENTER.
  5. Введіть команду connect to server ім'я_сервера, а потім натисніть клавішу ENTER. При цьому ім'я_сервера є іменем контролера домену, якому потрібно призначити роль гнучкого одиночного господаря операцій.
  6. У відповідь на запрошення server connections введіть q, а потім натисніть клавішу ENTER.
  7. Введіть команду seize роль, де роль - це роль, яку потрібно отримати. Щоб отримати список ролей, які можна отримати, введіть команду ? після появи запиту fsmo maintenance, а потім натисніть клавішу ENTER, або перегляньте список ролей на початку цієї статті. Наприклад, щоб отримати роль володаря RID, введіть команду seize rid master. Єдиним винятком є роль емулятора головного контролера домену, для якої потрібно використовувати команду seize pdc, а не seize pdc emulator.
  8. У відповідь на запит fsmo maintenance введіть q, а потім натисніть клавішу ENTER, щоб отримати доступ до засобу ntdsutil. Введіть команду q, а потім натисніть клавішу ENTER, щоб закрити утиліту Ntdsutil.

    Примітки.
    • За звичайних умов усі п'ять ролей мають бути призначені чинним контролерам домену в лісі. Якщо контролер домену, який володіє роллю гнучкого одиночного господаря операцій, відключається до передавання ролей, потрібно отримати ці ролі та призначити їх працюючим контролерам домену. Корпорація Майкрософт рекомендує отримувати вс ролі лише, коли інший контролер домену не працюватиме в домені. Якщо можна, відновіть роботу контролера домену, що вийшов із ладу, якому призначено ролі гнучкого одиночного господаря операцій. Виберіть контролер домену для кожної ролі таким чином, щоб всі п'ять ролей були призначені одному контролеру домену. Щоб отримати додаткові відомості про розташування ролей гнучкого одиночного господаря операцій, клацніть номер статті в базі знань Microsoft Knowledge Base:
      223346 Розташування та оптимізація роботи гнучкого одиночного господаря операцій на контролерах домену під керуванням Windows 2000 (Це посилання може вказувати на матеріали, повністю або частково викладені англійською мовою.)
    • Якщо контролер домену, який раніше виконував яку-небудь роль гнучкого одиночного господаря операцій, відсутній в домені, а його ролі передано відповідно до вказівок, наведених у цій статті, видаліть цей контролер домену з Active Directory, дотримуючись процедури, описаної в такій статті бази знань Microsoft Knowledge Base:
      216498 Видалення даних з Active Directory після невдалого зниження ролі контролера домену (Це посилання може вказувати на матеріали, повністю або частково викладені англійською мовою.)
    • Під час видалення метаданих контролера домену за допомогою команди ntdsutil /metadata cleanup (версія для Windows 2000 або для Windows Server 2003, випуск 3790) ролі гнучкого одиночного господаря операцій, призначені працюючим контролерам доменів, не передаються іншим контролерам домену. Версія утиліти Ntdsutil, яка входить до складу Windows Server 2003 з пакетом оновлень 1 (SP1), автоматизує виконання цього завдання та видаляє додаткові елементи метаданих контролера домену.
    • Деякі користувачі надають перевагу тому, щоб не відновлювати стан системи на контролерах домену, які є володарями ролей гнучкого одиночного господаря операцій, якщо відповідну роль передано після архівування стану системи.
    • Не призначайте роль володаря інфраструктури контролеру домену, який є сервером глобального каталогу. Якщо володар інфраструктури працює на сервері глобального каталогу, він припиняє оновлювати відомості про об'єкти, оскільки він не містить посилання на об'єкти, які не зберігає. Причиною такої поведінки є те, що сервер глобального каталогу зберігає часткові репліки всіх об'єктів у лісі.
Щоб перевірити, чи є контролер домену також сервером глобального каталогу, виконайте такі дії:
  1. Натисніть кнопку Пуск і послідовно виберіть пункти меню Программы, Администрирование та Active Directory - сайты и службы.
  2. Двічі клацніть Сайты на лівій панелі та знайдіть відповідний сайт, або, якщо інші сайти відсутні, виберіть варіант Default-first-site-name.
  3. Відкрийте папку "Серверы", а потім виберіть потрібний контролер домену.
  4. У папці контролера домену двічі клацніть елемент Параметры NTDS.
  5. У меню Действия виберіть команду Свойства.
  6. Перейдіть на вкладку Общие та перевірте, чи встановлено прапорець Глобальный каталог.
Щоб отримати додаткові відомості про ролі гнучкого одиночного господаря операцій, клацніть номер статті в базі знань Microsoft Knowledge Base:
197132 Ролі гнучкого одиночного господаря операцій Active Directory Windows 2000 (Це посилання може вказувати на матеріали, повністю або частково викладені англійською мовою.)
223787 Процес отримання та передавання ролей гнучкого одиночного господаря операцій (Це посилання може вказувати на матеріали, повністю або частково викладені англійською мовою.)

Властивості

Номер статті: 255504 - Востаннє переглянуто: 20 червня 2007 р. - Редакція: 7.2
ЗАСТОСОВУЄТЬСЯ ДО:
  • Microsoft Windows Server 2003 Standard Edition
  • Microsoft Windows Server 2003 Enterprise Edition
  • Microsoft Windows Server 2003 Datacenter Edition
  • Microsoft Windows 2000 Server
  • Microsoft Windows 2000 Advanced Server
  • Microsoft Windows 2000 Datacenter Server
Ключові слова: 
kbhowto KB255504

Надіслати відгук

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com