Přenos nebo převzetí rolí FSMO v Active Directory Domain Services

Platí pro: Windows Server, version 1903, all editionsWindows Server 2019, all editionsWindows Server version 1803

Shrnutí


Tento článek popisuje, jak lze pomocí nástroje Ntdsutil.exe převést nebo převzít role Flexible Single Master Operations (FSMO). 

Více informací


V doménové struktuře služby AD DS (Active Directory Domain Sevices) existují určité úkoly, které musí provádět pouze jeden řadič domény. Řadiče domény, které jsou přiřazeny k provádění těchto jedinečných operací, jsou označovány jako flexibilní držitelé rolí jednoho hlavního operačního serveru (FSMO). V následující tabulce jsou uvedeny role FSMO a jejich umístění v Active Directory.

Role
Rozsah
Názvový kontext (oddíl Active Directory)
Hlavní schéma Celá doménová struktura CN=Schéma,CN=konfigurace,DC=<doména kořenové složky struktury>
Hlavní server názvů domén Celá doménová struktura CN=konfigurace,DC=<doména kořenové složky struktury>
Hlavní RID V celé doméně DC=<doména>
Emulátor PDC V celé doméně DC=<doména>
Hlavní infrastruktura V celé doméně DC=<doména>
 

Chcete-li se dozvědět více informací o držitelích rolí FSMO a doporučení pro umisťování rolí, podívejte se na Umístění a optimalizace FSMO na řadičích domény Active Directory

Pokud řadič domény, který je držitel role, začne běžet (například po selhání nebo vypnutí), okamžitě neobnoví chování držitele role. Řadič domény čeká, dokud neobdrží příchozí replikaci pro jeho názvový kontext (například Vlastník hlavního serveru schémat čeká na příjem příchozí replikace Oddílu schématu).

Informace, které řadiče domény předávají jako součást replikace služby Active Directory, zahrnují identity aktuálních držitelů rolí FSMO. Když nově spuštěný řadič domény obdrží informace o příchozí replikaci, ověří, zda je stále držitelem role. Pokud ano, obnoví typické operace. Pokud replikované informace indikují, že jako držitel role funguje jiný řadič domény, nově spuštěný řadič domény se vzdá vlastnictví své role. Toto chování snižuje pravděpodobnost, že doména nebo doménová struktura bude mít duplicitní držitele rolí FSMO.

Pro více informací si přečtěte následující článek ze znalostní báze Microsoft Knowledge Base.

305476 Počáteční požadavky pro synchronizaci držitele rolí hlavního operačního serveru systému Windows Server

 

Určete, kdy se mají přenést nebo převzít role

Za typických podmínek musí být všech pět rolí přiřazeno „aktivním“ řadičům domény v doménové struktuře. Při vytváření doménové struktury služby Active Directory přiřadí Průvodce instalací služby Active Directory (Dcpromo.exe) všech pět rolí FSMO prvnímu řadiči domény, který vytvoří v kořenové doméně doménové struktury. Při vytváření podřízené nebo strukturové domény přiřadí Dcpromo.exe tři role pro celou doménu prvnímu řadiči domény v doméně.

Řadiče domény nadále vlastní FSMO role, dokud nejsou znovu přiřazeny pomocí jedné z následujících metod:

  • Správce změní přiřazení role pomocí nástroje pro správu s grafickým uživatelským rozhraním.
  • Správce změní přiřazení role pomocí příkazu ntdsutil /roles.
  • Správce vynuceně sníží úroveň řadiče domény držícího roli pomocí Průvodce instalací služby Active Directory. Tento průvodce přiřadí všechny lokálně držené role ke stávajícím řadičům domény v doménové struktuře.
  • Správce sníží úroveň řadiče domény držícího role pomocí příkazu dcpromo /forceremoval.
  • Řadič domény se vypne a restartuje. Po restartování řadiče domény obdrží informace o příchozí replikaci, které označují, že držitelem role je jiný řadič domény. V tomto případě se nově spuštěné DC vzdá role (jak je popsáno výše).

Pokud držitel role FSMO selže nebo je z jiného důvodu vyřazen z provozu před přenosem, musíte převést všechny role na vhodné a funkční DC.

Doporučujeme převést role FSMO v následujících scénářích:

  • Současný držitel role je funkční a nový vlastník FSMO k němu má přístup v síti.
  • Vynuceně snižujete úroveň řadiče domény současně vlastnícího role FSMO, které chcete přiřadit určitému řadiči domény v doménové struktuře služby Active Directory.
  • Řadič domény, který nyní vlastní role FSMO jsou převedeny do režimu offline kvůli naplánované údržbě a musíte přiřadit konkrétní role FSMO do “živých” DC. Pravděpodobně bude muset převést role k provedení operací, které ovlivňují vlastníka FSMO. To platí zejména pro roli emulátoru Primárního řadiče domény. Toto je méně důležitý problém pro roli hlavního serveru RID, roli hlavního názvového serveru domény a role hlavního serveru schémat.

Doporučujeme převzít role FSMO v následujících scénářích:

  • Současný držitel role vykazuje chybu funkčnosti, která zabraňuje úspěšnému dokončení operace závislé na FSMO a roli nelze převést.
  • Příkaz dcpromo /forceremoval slouží k vynucení snížení úrovně řadiče domény, který vlastní roli FSMO.
  • Operační systém v počítači, který původně vlastnil určitou roli, již neexistuje nebo byl přeinstalován. 


Identifikace nového držitele role

Nejlepším kandidátem na nového držitele role je řadič domény, který splňuje následující kritéria:

  • Je umístěn ve stejné doméně jako předchozí držitel role.
  • Má nejnovější replikovanou zapisovatelnou kopii oddílu role.

Předpokládejme například, že potřebujete přenést hlavní roli schématu. Role hlavního serveru schémat je součástí oddílu schématu doménové struktury (cn=Schema,cn=Configuration,dc=<kořenová struktura domény>). Nejlepším kandidátem na nového držitele role je řadič domény, který je také umístěn v kořenové doméně struktury a ve stejné lokalitě služby Active Directory jako aktuální držitel role.

Další informace naleznete v následujících článcích:


Převzetí nebo převod rolí FSMO

K převzetí nebo přenosu rolí můžete použít prostředí Windows PowerShell nebo Ntdsutil. Informace a příklady jak využít prostředí PowerShell pro tyto úkoly, naleznete v tématu Move-ADDirectoryServerOperationMasterRole.

Chcete-li převzít nebo přesunout role FSMO pomocí nástroje Ntdsutil, postupujte takto:

  1. Přihlaste se k členskému počítači, ve kterém jsou nainstalovány nástroje AD RSAT, nebo k řadiči domény umístěnému v doménové struktuře, ve které jsou převáděny role FSMO.
  2. Vyberte Start > Spustit, zadejte ntdsutil do pole Otevřít a poté vyberte OK.
  3. Zadejte role a poté stiskněte Enter.
  4. Zadejte connections a poté stiskněte ENTER.
  5. Zadejte connect to server názevserveru a poté stiskněte Enter
  6. Po výzvě server připojení zadejte q a poté stiskněte Enter.
  7. Proveďte jednu z následujících akcí:
    • Pro převedení role: Zadejte přemístění <úlohy> a poté stiskněte Enter.
    • Chcete-li převzít roli: Zadejte výraz převzít <úlohu> a poté stiskněte Enter.
    Chcete-li například převzít roli hlavního serveru RID, zadejte seize rid master. Výjimku představuje role emulace PCD, kde je syntaxe seize pdc a nikoli seize pdc emulator.

    Seznam rolí, které lze převzít, získáte zadáním výrazu ? při výzvě fsmo údžba a stisknutím Enter. Tento seznam je také uveden na začátku tohoto článku.
  8. Po výzvě fsmo údržba zadejte q a poté stisknutím Enter získáte přístup k výzvěntdsutil. Zadejte q a poté stisknutím Enter ukončete nástroj Ntdsutil.


Důležité informace při opravě nebo odebrání předchozích držitelů rolí

Pokud je to možné a pokud jste byli schopni převést role namísto jejich zabavení, opravte předchozího držitele role. Pokud nelze opravit předchozí držitele role nebo pokud jste role převzali, odeberte předchozího držitele role z domény.

Vrácení opraveného počítače do doménové struktury jako řadiče domény

  1. Proveďte jednu z následujících akcí:
    • Naformátujte pevný disk předchozího držitele role a poté znovu nainstalujte systém Windows do počítače.
    • Vynuceně snižte úroveň původního držitele role na členský server.
  2. Na jiném řadiči domény v doménové struktuře, použijte Ntdsutil k odstranění metadat předchozí držené role. Další informace naleznete v tématu Vyčištění metadat serveru pomocí Ntdsutil.
  3. Po vyčištění metadat můžete znovu zvýšit podporu počítače na řadič domény a přenést úlohy zpět do něj.

Odebrání počítače z doménové struktury po převzetí jeho rolí

  1. Odeberte počítač z domény.
  2. Na jiném řadiči domény v doménové struktuře, použijte Ntdsutil k odstranění metadat předchozí držené role. Další informace naleznete v článku Vyčištění metadat serveru pomocí nástroje Ntdsutil.


Důležité informace při opětovném začleňování replikačních ostrovů

Pokud část domény nebo doménové struktury nemůže delší dobu komunikovat se zbytkem domény nebo doménové struktury, izolované části domény nebo doménové struktury jsou označovány jako replikační ostrovy. Řadiče domény v jednom ostrově se nemohou replikovat s řadiči domény v jiných ostrovech. Během více replikačních cyklů replikační ostrovy vypadnou ze synchronizace. Pokud má každý ostrov své vlastní držitele rolí FSMO, můžete mít problémy při obnovení komunikace mezi ostrovy.

V následující tabulce jsou uvedeny role FMSO, které mohou způsobit problémy, pokud doménová struktura nebo doména má pro tuto roli více držitelů rolí:

Role
Potenciální konflikty mezi více držiteli rolí?
Hlavní schéma

Ano

Hlavní server názvů domén Ano
Hlavní RID Ano
Emulátor PDC Ne
Hlavní infrastruktura Ne
 

Tento problém nemá vliv na hlavní server emulátoru Primárního řadiče domény nebo hlavního serveru infrastruktury. Tito držitelé rolí nezachovávají operační data. Navíc hlavní infrastruktura neprovádí změny často. Proto, pokud má více ostrovů tyto držitele rolí, můžete znovu integrovat ostrovy, aniž by to způsobilo dlouhodobé problémy.

Hlavní server schémat, hlavní server názvů domén a hlavní server RID mohou vytvářet objekty a zachovat změny ve službě Active Directory. Každý ostrov, který má jednu z těchto rolí může mít duplicitní a konfliktní objekty schématu, domény nebo fondy RID v době obnovení replikace. Před opětovnou integrací ostrovů určete, které držitele rolí chcete ponechat. Odeberte všechny duplicitní předlohy schématu, předlohy názvů domén a předlohy RID podle postupů opravy, odebrání a vyčištění, které jsou uvedeny v tomto článku.

Odkazy


Následující související články jsou k dispozici v Microsoft Knowledge Base:

  • 197132 FSMO služby Active Directory v systému Windows
  • 223346 Umístění a optimalizace rolí FSMO na řadičích domény služby Active Directory
  • 223787 Proces převodu a převzetí rolí Flexible Single Master Operations
  • 305476 Počáteční požadavky pro synchronizaci držitele rolí hlavního operačního serveru systému Windows Server
  • 816099 POSTUPY: Použití služby Ntdsutil k vyhledání a vyčištění duplicitních identifikátorů zabezpečení v systému Windows Server
  • 2001093Poradce při potížích DNS události ID 4013: DNS server nemohl načíst zóny DNS integrované službou AD
  • 2694933 Snížení úrovně DCPROMO se nezdaří, pokud nelze kontaktovat hlavní server infrastruktury DNS

Následující články jsou k dispozici v Microsoft Online Documentation: