Převzetí nebo převod rolí FSMO na řadič domény pomocí nástroje Ntdsutil.exe

Podpora pro Windows Server 2003 byla ukončena 14. července 2015

Společnost Microsoft ukončila podporu pro Windows Server 2003 dne 14. července 2015. Tato změna ovlivnila aktualizace softwaru a možnosti zabezpečení. Další informace o tom, co to pro vás znamená a jak zajistit ochranu.

Souhrn
Článek popisuje, jak lze pomocí nástroje Ntdsutil.exe převést nebo převzít role Flexible Single Master Operations (role hlavního operačního serveru, FSMO).
Další informace
Některé doménové a celopodnikové operace, které nejsou správně uzpůsobeny pro aktualizace více hlavních serverů, jsou prováděny jediným řadičem domény v doméně nebo v doménové struktuře služby Active Directory. Řadiče domény, kterým je přiřazeno provádění těchto jedinečných operací, jsou označovány jako hlavní operační servery nebo držitelé rolí FSMO.

V následujícím seznamu je uvedeno pět jedinečných rolí FSMO v doménové struktuře služby Active Directory a jimi prováděné závislé operace.
 • Hlavní server schémat – Role hlavního serveru schémat je platná pro celou doménovou strukturu a je jedna pro každou doménovou strukturu. Tato role je vyžadována pro rozšíření schématu doménové struktury služby Active Directory nebo pro spuštění příkazu adprep /domainprep.
 • Hlavní server názvů domén – Role hlavního serveru názvů domén je platná pro celou doménovou strukturu a je jedna pro každou doménovou strukturu. Tato role je vyžadována pro přidání domén nebo oddílů aplikací do doménové struktury nebo pro jejich odebrání z této struktury.
 • Hlavní server RID – Role hlavního serveru RID je platná pro celou doménovou strukturu a je jedna pro každou doménu. Tato role je vyžadována pro přidělení fondu RID, aby nové nebo stávající řadiče domén mohly vytvořit uživatelské účty, účty počítačů nebo skupiny zabezpečení.
 • Emulace PDC – Role emulace PDC je platná pro celou doménovou strukturu a je jedna pro každou doménu. Tato role je vyžadována pro řadič domény, který odesílá aktualizace databází záložním řadičům domény systému Windows NT. Řadič domény, který vlastní tuto roli, je také cílový pro některé nástroje pro správu a aktualizuje se podle uživatelského účtu a hesel účtu počítače.
 • Hlavní server infrastruktury – Role hlavního serveru infrastruktury je platná pro celou doménovou strukturu a je jedna pro každou doménu. Tato role je vyžadována pro řadiče domény k úspěšnému spuštění příkazu adprep /forestprep a k aktualizaci atributů SID a atributů rozlišujících názvů pro objekty odkazované mezi doménami.
Průvodce instalací služby Active Directory (Dcpromo.exe) přiřazuje všech pět rolí FSMO prvnímu řadiči domény v kořenové doméně v doménové struktuře. První řadič domény v každé nové podřízené doméně nebo větvi doménové struktury má přiřazeny tři role pro celou doménovou strukturu.Řadiče domény vlastní tyto role FSMO, dokud není jejich přiřazení změněno jedním z následujících postupů:
 • Správce změní přiřazení role pomocí nástroje pro správu s grafickým uživatelským rozhraním.
 • Správce změní přiřazení role pomocí příkazu ntdsutil /roles.
 • Správce vynuceně sníží úroveň řadiče domény držícího roli pomocí Průvodce instalací služby Active Directory. Tento průvodce přiřadí každou místně udržovanou roli stávajícím řadičům domény v doménové struktuře.Snížení úrovně provedená pomocí příkazu dcpromo /forceremoval zanechají role FSMO v neplatném stavu, dokud je správce nepřiřadí znovu.
Doporučujeme převést role FSMO v následujících scénářích:
 • Současný držitel role je funkční a nový vlastník FSMO k němu má přístup v síti.
 • Vynuceně snižujete úroveň řadiče domény vlastnícího role FSMO, které chcete přiřadit určitému řadiči domény v doménové struktuře služby Active Directory.
 • Řadič domény, který nyní vlastní role FSMO, je odpojován kvůli plánované údržbě a je třeba určité role FSMO přiřadit stále aktivnímu řadiči domény. Může to být vyžadováno k provedení operací pro připojení k vlastníku FSMO. Zvláště to může platit pro roli emulace PDC, méně už pro roli hlavního serveru RID, roli hlavního serveru názvů domén a role hlavního serveru schémat.
Doporučujeme převzít role FSMO v následujících scénářích:
 • Současný držitel role vykazuje chybu funkčnosti, která zabraňuje úspěšnému dokončení operace závislé na FSMO, a tato role nemůže být převedena.
 • Řadič domény vlastnící roli FSMO má pomocí příkazu dcpromo /forceremoval vynuceně sníženou úroveň.
 • Operační systém v počítači, který původně vlastnil určitou roli, již neexistuje nebo byl přeinstalován.
Pokud dojde k replikaci, získají řadiče domén bez rolí FSMO v doméně nebo doménové struktuře úplné informace o změnách provedených řadiči domény držícími role FSMO. Je-li třeba převést role, nejlepším cílem pro převod je řadič domény ve vhodné doméně s naposledy nebo nedávno replikovanou příchozí zapisovatelnou kopií „oddílu FSMO“ ze stávajícího držitele role. Například hlavní server schémat jako držitel rolí má cestu k rozlišujícímu názvu CN=schéma,CN=konfigurace,dc=<doména kořenové složky struktury>, a to znamená, že tyto role jsou v něm umístěny a jsou replikovány jako část oddílu CN=schéma. Jestliže dojde v řadiči domény, který drží roli hlavního serveru schémat, k selhání hardwaru nebo softwaru, vhodným držitelem rolí může být řadič domény v kořenové doméně a ve stejné lokalitě služby Active Directory jako stávající vlastník. Řadiče domény ve stejné lokalitě služby Active Directory provádějí příchozí replikaci každých 5 minut nebo 15 sekund.

Oddíly pro každou roli FSMO jsou uvedeny v následujícím seznamu:

Role FSMOOddíl
SchémaCN=Schéma,CN=konfigurace,DC=<doména kořenové složky struktury>
Hlavní server názvů doménCN=konfigurace,DC=<doména kořenové složky struktury>
PDCDC=<doména>
RIDDC=<doména>
InfrastrukturaDC=<doména>


Řadiči domény, jehož role byly převzaty, by neměla být povolena komunikace se stávajícími řadiči domény v doménové struktuře. V tomto scénáři byste v takových řadičích domény měli buď zformátovat pevný disk a přeinstalovat operační systém, nebo vynuceně snížit jejich úroveň v privátní síti a potom pomocí příkazu ntdsutil /metadata cleanup odstranit jejich metadata ze zbývajícího řadiče domény v doménové struktuře. Riziko zavedení dřívějšího držitele role FSMO, jehož role byla převzata, do doménové struktury, spočívá v tom, že původní držitel role může fungovat jako dřív, dokud u něj nedojde k příchozí replikaci informace o převzetí role. Známá rizika spojená s dvěma řadiči domény vlastnícími stejné role FSMO zahrnují vytvoření objektů zabezpečení, které mají překrývající se fondy RID, a další problémy.

Převod rolí FSMO

Chcete-li převést role FSMO pomocí nástroje Ntdsutil, postupujte takto:
 1. Přihlaste se k členskému počítači nebo k řadiči domény se systémem Windows 2000 Server nebo Windows Server 2003 umístěnému v doménové struktuře, v níž jsou převáděny role FSMO. Doporučujeme přihlásit se k řadiči domény, kterému budete přiřazovat role FSMO. Přihlášený uživatel by měl být členem skupiny Enterprise Administrators, pokud převádí role hlavního serveru schémat nebo hlavního serveru názvů domén, nebo členem skupiny Domain Administrators v doméně, kde jsou převáděny role emulace PDC, hlavního serveru RID a hlavního serveru infrastruktury.
 2. Klepněte na tlačítko Start, na příkaz Spustit, do pole Otevřít zadejte příkaz ntdsutil a potom klepněte na tlačítko OK.
 3. Zadejte výraz roles a pak stiskněte klávesu ENTER.

  Poznámka: Chcete-li při jakékoli výzvě nástroje Ntdsutil zobrazit dostupné příkazy, zadejte ? a stiskněte klávesu ENTER.
 4. Zadejte connections a pak stiskněte klávesu ENTER.
 5. Zadejte connect to server Název serveru a potom stiskněte klávesu ENTER. Název serveru je názvem řadiče domény, kterému chcete přiřadit roli FSMO.
 6. Po výzvě server connections zadejte q a potom stiskněte klávesu ENTER.
 7. Zadejte transfer role, kde role je role, kterou chcete převést. Seznam rolí, které lze převést, získáte zadáním výrazu ? při výzvě fsmo maintenance a stisknutím klávesy ENTER. Tento seznam je také uveden na začátku tohoto článku. Chcete-li například převést roli hlavního serveru RID, zadejte transfer rid master. Výjimku představuje role emulace PCD, kde je syntaxe transfer pdc a nikoliv transfer pdc emulator.
 8. Po výzvě fsmo maintenance zadejte q a potom stiskněte klávesu ENTER. Získáte tím přístup k příkazovému řádku ntdsutil. Zadejte q a potom stisknutím klávesy ENTER ukončete nástroj Ntdsutil.

Převzetí rolí FSMO

Chcete-li převzít role FSMO pomocí nástroje Ntdsutil, postupujte takto:
 1. Přihlaste se k členskému počítači nebo k řadiči domény se systémem Windows 2000 Server nebo Windows Server 2003 umístěnému v doménové struktuře, kde budou převzaty role FSMO. Doporučujeme přihlásit se k řadiči domény, kterému budete přiřazovat role FSMO. Přihlášený uživatel by měl být členem skupiny Enterprise Administrators, pokud převádí role hlavního serveru schémat nebo hlavního serveru názvů domén, nebo členem skupiny Domain Administrators v doméně, kde jsou převáděny role emulace PDC, hlavního serveru RID a hlavního serveru infrastruktury.
 2. Klepněte na tlačítko Start, na příkaz Spustit, do pole Otevřít zadejte příkaz ntdsutil a potom klepněte na tlačítko OK.
 3. Zadejte výraz roles a pak stiskněte klávesu ENTER.
 4. Zadejte connections a pak stiskněte klávesu ENTER.
 5. Zadejte connect to server Název serveru a potom stiskněte klávesu ENTER. Název serveru je název řadiče domény, kterému chcete přiřadit roli FSMO.
 6. Po výzvě server connections zadejte q a potom stiskněte klávesu ENTER.
 7. Zadejte seizerole, kde role je role, která se má převzít. Seznam rolí, které lze převzít, získáte zadáním výrazu ? při výzvě fsmo maintenance a stisknutím klávesy ENTER. Tento seznam je také uveden na začátku tohoto článku. Chcete-li například převzít roli hlavního serveru RID, zadejte seize rid master. Výjimku představuje role emulace PCD, kde je syntaxe seize pdc a nikoliv seize pdc emulator.
 8. Po výzvě fsmo maintenance zadejte q a potom stiskněte klávesu ENTER. Získáte tím přístup k příkazovému řádku ntdsutil. Zadejte q a potom stisknutím klávesy ENTER ukončete nástroj Ntdsutil.

  Poznámky
  • V typické situaci musí být všech pět rolí přiřazeno „živým“ řadičům domény v doménové struktuře. Pokud je řadič domény vlastnící roli FSMO vyřazen z činnosti ještě před převedením jeho rolí, musí všechny role převzít vhodný a funkční řadič domény. Převzetí všech rolí doporučujeme pouze v případě, že se druhý řadič do domény nevrátí. Pokud je to možné, opravte poškozený řadič domény, kterému jsou přiřazeny role FSMO. Měli byste stanovit, jaké role mají být na kterých zbývajících řadičích domény, aby bylo všech pět rolí přiřazeno jedinému řadiči domény. Další informace o umístění rolí FSMO naleznete v následujícím článku znalostní báze Microsoft Knowledge Base:
   223346 Umístění a optimalizace rolí FSMO na řadičích domény služby Active Directory
  • Pokud řadič domény, který dříve držel jakoukoli roli FSMO, již není v doméně, nebo pokud byly jeho role převzaty pomocí kroků popsaných v tomto článku, odeberte jej ze služby Active Directory pomocí postupu vysvětleného v následujícím článku znalostní báze Microsoft Knowledge Base:
   216498 Odebrání dat z adresáře služby Active Directory po neúspěšném snížení úrovně řadiče domény
  • Odebrání metadat řadiče domény pomocí příkazu ntdsutil /metadata cleanup ve verzi pro systém Windows 2000 nebo Windows Server 2003 sestavení 3790 nevede k přemístění rolí FSMO přiřazených aktivním řadičům domény. Verze nástroje Ntdsutil v systému Windows Server 2003 Service Pack 1 (SP1) tento úkol automatizuje a odebírá dodatečné prvky metadat řadiče domény.
  • Někteří zákazníci neobnovují zálohy stavu systému držitelů rolí FSMO v případě, že role byla po vytvoření zálohy znovu přiřazena.
  • Nepřiřazujte roli hlavního serveru infrastruktury stejnému řadiči domény, jaký využívá server globálního katalogu. Pokud je hlavní server infrastruktury běží na serveru globálního katalogu, přestává aktualizovat informace o objektech, protože neobsahuje žádné odkazy na objekty, které neudržuje. Server globálního katalogu totiž udržuje částečné repliky všech objektů v doménové struktuře.
Test pro zjištění, zda je řadič domény také serverem globálního katalogu:
 1. Klepněte na tlačítko Start, přejděte na příkaz Programy a na položku Nástroje pro správu a potom klepněte na položku Sítě a služby Active Directory.
 2. V levém podokně poklepejte na položku Sites (Lokality) a potom vyhledejte vhodnou lokalitu. Pokud není žádná lokalita dostupná, klepněte na položku Default-first-site-name (Výchozí-název-první-lokality).
 3. Otevřete složku Servers (Servery) a potom klepněte na řadič domény.
 4. Ve složce řadiče domény poklepejte na položku NTDS Settings (Nastavení NTDS).
 5. V nabídce Action (Akce) klepněte na příkaz Properties (Vlastnosti).
 6. Na kartě General (Obecné) zkontrolujte, zda je zaškrtnuté políčko Global Catalog (Globální katalog).
Další informace o rolích FSMO naleznete v následujících článcích znalostní báze Microsoft Knowledge Base:
197132 Role FSMO ve službě Active Directory systému Windows 2000 (Tento článek může obsahovat odkazy na anglický obsah (dosud nepřeložený).)
223787 Proces převodu a převzetí rolí Flexible Single Master Operations (FSMO) (Tento článek může obsahovat odkazy na anglický obsah (dosud nepřeložený).)
Kroky pro reprodukci problému
Spuštěním průvodce DCPROMO v počítači se systémem Windows Server 2008 proveďte připojení k doméně, kde hlavní server RID je offline. Zobrazí se upozornění, že hlavní server RID musí být aktivní. Potom se zobrazí odkaz na článek KB 255504.
win2000hotds
Poznámka: Toto je článek určený k rychlému zveřejnění, který vydala přímo služba podpory společnosti Microsoft. Uvedené informace jsou poskytovány jako odpověď na vzniklé problémy. Vzhledem k požadavku na rychlé zveřejnění je možné, že zpráva obsahuje typografické chyby, a může být kdykoli bez ohlášení revidována. Další pokyny naleznete v dokumentu Podmínky užití.
Vlastnosti

ID článku: 255504 - Poslední kontrola: 02/26/2014 16:00:00 - Revize: 1.0

Microsoft Windows Server 2003, Standard Edition (32-bit x86), Microsoft Windows Server 2003, Enterprise Edition (32-bit x86), Microsoft Windows Server 2003, Datacenter Edition (32-bit x86), Microsoft Windows 2000 Server, Microsoft Windows 2000 Advanced Server, Windows Server 2008 Datacenter, Windows Server 2008 Enterprise, Windows Server 2008 Standard

 • kbhowto KB255504
Váš názor