Jelenleg nem kapcsolódik az internethez. Várakozás a kapcsolat helyreállítására

Az FSMO-szerepkörök zárolása vagy másik tartományvezérlőre való átvitele az Ntdsutil.exe segédprogrammal

2015. július 14-én véget ért a Windows Server 2003 támogatása

2015. július 14-én a Microsoft megszüntette a Windows Server 2003 támogatását. Ez a változás kihatással van a szoftverfrissítésekre és a biztonsági beállításokra. Megtudhatja, hogy ez milyen következményekkel jár és hogyan tarthatja fenn rendszere védelmét.

Összefoglaló
Jelen cikk az FSMO-szerepkörök Ntdsutil.exe segédprogrammal történő zárolásának és átvitelének módját ismerteti.
További információ
A több főkiszolgálós frissítésekhez nem megfelelő vállalati szintű vagy tartományműveleteket az Active Directory-tartományban vagy -erdőben található egyetlen tartományvezérlő hajtja végre. Az ezen egyedi műveletek elvégzéséhez rendelt tartományvezérlőket műveletvezérlőknek vagy az FSMO-szerepkörök tulajdonosának nevezzük.

Az alábbi lista az Active Directory-erdők öt egyedi FSMO-szerepkörét, valamint az azok által végrehajtott műveleteket ismerteti:
  • Séma-főkiszolgáló – A séma-főkiszolgálói szerepkör erdőszintű, és az egyes erdőkben egyetlen egy található. Ez a szerepkör az Active Directory-erdő sémájának kiterjesztéséhez, valamint az adprep /domainprep parancs végrehajtásához szükséges.
  • Tartománynév-kiosztási főkiszolgáló – A tartománynév-kiosztási főkiszolgáló szerepkör erdőszintű, és az egyes erdőkben egyetlen egy található. Ez a szerepkör a tartományok és alkalmazáspartíciók erdőhöz történő hozzáadásához, illetve erdőből való eltávolításához szükséges.
  • RID-főkiszolgáló – A RID-főkiszolgálói szerepkör erdőszintű, és az egyes erdőkben egyetlen egy található. Ez a szerepkör a RID-verem kiosztásához szükséges, mely révén az új és meglévő tartományvezérlők felhasználói fiókokat, számítógépfiókokat és biztonsági csoportokat hozhatnak létre.
  • PDC-emulátor – A PDC-emulátor szerepkör erdőszintű, és az egyes erdőkben egyetlen egy található. Ez a szerepkör a Windows NT rendszerű tartalék tartományvezérlőknek adatbázis-frissítéseket küldő tartományvezérlők számára szükséges. A szerepkörrel rendelkező tartományvezérlő emellett bizonyos rendszergazdai eszközök, illetve a felhasználói és számítógépfiókok jelszófrissítéseinek is célhelye.
  • Infrastruktúra-főkiszolgáló – Az infrastruktúra-főkiszolgálói szerepkör erdőszintű, és az egyes erdőkben egyetlen egy található. Ez a szerepkör az adprep /forestprep parancs futtatásához, valamint a tartományok között hivatkozott objektumok megkülönböztető név és SID attribútumának frissítéséhez szükséges a tartományvezérlők számára.
Az Active Directory telepítővarázsló (Dcpromo.exe) mind az öt FSMO-szerepkört az erdő gyökértartományában található első tartományvezérlőhöz rendeli hozzá. A három tartományszintű szerepkörhöz az egyes új gyermektartományok vagy fatartományok első tartományvezérlői lesznek hozzárendelve.A tartományvezérlők az FSMO-szerepkörökkel egészen addig rendelkeznek, amíg:
  • Egy rendszergazda ismét kiosztja a szerepkört egy rendszergazdai eszköz felhasználói felületéről.
  • Egy rendszergazda ismét kiosztja a szerepkört az ntdsutil /roles parancs segítségével.
  • Egy rendszergazda szabályosan lefokozza a szerepkörrel rendelkező tartományvezérlőt az Active Directory telepítővarázsló segítségével. A varázsló ismét kiosztja valamennyi helyben őrzött szerepkört az erdő egy meglévő tartományvezérlőjének.A dcpromo /forceremoval paranccsal végrehajtott lefokozást követően az FSMO-szerepkörök a rendszergazda általi ismételt kiosztásig érvénytelen állapotban maradnak.
Az FSMO-szerepkörök átvitele az alább esetekben ajánlott:
  • Ha a jelenlegi szereptulajdonos működőképes, és az új FSMO-tulajdonos hozzáférhet ahhoz a hálózaton.
  • Ha szabályosan lefokozza azt a tartományvezérlőt, amely az Active Directory-erdő egy bizonyos tartományvezérlőjéhez hozzárendelni kívánt FSMO-szerepkörök jelenlegi tulajdonosa.
  • Ha az FSMO-szerepkörökkel jelenleg rendelkező tartományvezérlő kapcsolat nélkül üzemel, és bizonyos FSMO-szerepköröket egy kapcsolattal rendelkező tartományvezérlőhöz szükséges hozzárendelni. Ezt esetleg az FSMO-tulajdonossal kapcsolatos műveletek végrehajtása teheti szükségessé, főként a PDC-emulátor szerepkörnél; a RID-főkiszolgáló, a tartománynév-kiosztási főkiszolgáló és a séma-főkiszolgáló esetében kevésbé jellemző.
Az FSMO-szerepkörök zárolása az alábbi esetekben ajánlott:
  • Ha a jelenlegi szerepkör-tulajdonos olyan működési hibában szenved, amely meggátolja az FSMO-függő műveletek sikeres végrehajtását és a szerepkör átvitelét.
  • Az FSMO-szerepkört tulajdonló tartományvezérlő dcpromo /forceremoval parancs segítségével történő kényszerített lefokozása esetén.
  • Ha a szerepkörrel eredetileg rendelkező számítógép operációs rendszere nem használható vagy újra lett telepítve.
A replikálás végrehajtását követően a tartomány vagy erdő FSMO-szerepkörrel nem rendelkező tartományvezérlői teljes egészében értesülnek az FSMO-tulajdonos tartományvezérlőn bekövetkezett változásokról. A szerepkörök szükségszerű átvitele esetén az optimális helyettesítő tartományvezérlő az, amelynek beérkező replikálása legutoljára történt, vagy amelyik nemrégiben a beérkező replikálás révén egy írható másolatot készített a meglévő szerepkör-tulajdonos „FSMO-partíciójáról”. A séma-főkiszolgálói szereptulajdonos például a „CN=séma,CN=konfiguráció,dc=<erdő gyökértartománya>” megkülönböztető elérési úttal rendelkezik, így a szerepkörök a CN=séma partíció részét képezik, és azok is replikálódnak. Ha a séma-főkiszolgálói szerepkörrel rendelkező tartományvezérlőn hardver- vagy szoftverhiba lép fel, a megfelelő helyettesítő tartományvezérlő a gyökértartományban és a jelenlegi tulajdonossal megegyező Active Directory-helyen keresendő. Az egyazon Active Directory-helyen található tartományvezérlők 5 percenként vagy 15 másodpercenként beérkező replikálást hajtanak végre.

Az alábbi listában az egyes FSMO-szerepkörök partícióit tekintheti át:

FSMO-szerepkörPartíció
Séma-főkiszolgálóCN=séma,CN=konfiguráció,DC=<erdő gyökértartománya>
Tartománynév-kiosztási főkiszolgálóCN=konfiguráció,DC=<erdő gyökértartománya>
PDC-emulátorDC=<tartomány>
RID-főkiszolgálóDC=<tartomány>
Infrastruktúra-főkiszolgálóDC=<tartomány>


A zárolt FSMO-szerepkörökkel rendelkező tartományvezérlő nem kommunikálhat az erdő más tartományvezérlőivel. Ilyen esetben formázhatja az adott tartományvezérlő merevlemezét, majd újratelepítheti az operációs rendszert, vagy egy magánhálózaton végrehajtott kikényszerített lefokozást követően az ntdsutil /metadata cleanup parancs segítségével eltávolíthatja annak metaadatait az erdő egy megmaradó tartományvezérlőjéről. A korábbi, zárolt szerepkörrel rendelkező FSMO-tulajdonosok bevezetésekor fennáll annak a veszélye, hogy az eredeti szereptulajdonos a korábbiaknak megfelelően működik tovább, amíg a beérkező replikálás során nem értesül a szerepzárolásról. Ha egy erdőben két tartományvezérlő rendelkezik egy adott FSMO-szerepkörrel, az a RID-vermet átfedő rendszerbiztonsági tagok létrehozását eredményezheti, illetve egyéb problémákat okozhat.

Az FSMO-szerepkörök átvitele

Az FSMO-szerepkörök Ntdsutil segédprogrammal történő átviteléhez hajtsa végre az alábbi lépéseket:
  1. Jelentkezzen be arra a Windows 2000 Server vagy Windows Server 2003 alapú tagszámítógépre vagy tartományvezérlőre, amely az áthelyezendő FSMO-szerepköröket tartalmazó erdőben található. A bejelentkezést ajánlott azon a tartományvezérlőn végrehajtani, amelyhez az FSMO-szerepköröket hozzá kívánja rendelni. A bejelentkezett felhasználónak a séma-főkiszolgáló és tartománynév-kiosztási főkiszolgáló szerepkör átviteléhez a Vállalati rendszergazdák csoportba, a PDC-emulátor, RID-főkiszolgáló és infrastruktúra-főkiszolgáló szerepkör átviteléhez pedig a Tartománygazdák csoportba kell tartoznia.
  2. Kattintson a Start menü Futtatás parancsára, írja be az ntdsutil parancsot a Megnyitás mezőbe, majd kattintson az OK gombra.
  3. Írja be a roles parancsot, majd nyomja le az ENTER billentyűt.

    Megjegyzés: Ha az Ntdsutil segédprogram bármely parancssorában meg kívánja tekinteni az elérhető parancsok listáját, írja be a ? parancsot, majd nyomja meg az ENTER billentyűt.
  4. Írja be a connections parancsot, majd nyomja le az ENTER billentyűt.
  5. Írja be a connect to server kiszolgálónév parancsot, majd nyomja meg az ENTER billentyűt. A kiszolgálónév helyére annak a tartományvezérlőnek a nevét írja, amelyhez az FSMO-szerepkört rendelni szeretné.
  6. Írja be a server connections parancssorba a q parancsot, majd nyomja meg az ENTER billentyűt.
  7. Írja be a transfer szerepkör parancsot. A szerepkör helyére az átadni kívánt szerepkör neve kerül. Az átadni kívánt szerepkörök listájának megjelenítéséhez írja be a ? parancsot az fsmo maintenance parancssorba, majd nyomja meg az ENTER billentyűt (vagy tekintse meg a cikk elején a szerepkörök felsorolását). A szerepkörök kezelésekor azok angol elnevezését használhatja: a RID-főkiszolgálói szerepkör átadásához például írja be a transfer rid master parancsot. Az egyetlen kivételt a PDC-emulátor szerepkör jelenti, melynek szintaxisa transfer pdc, nem pedig transfer pdc emulator.
  8. Az fsmo maintenance parancssorban írja be a q parancsot, majd nyomja meg az ENTER billentyűt az ntdsutil parancssor eléréséhez. Írja be a q parancsot, majd nyomja meg az ENTER billentyűt az Ntdsutil segédprogram bezárásához.

Az FSMO-szerepkörök zárolása

Az FSMO-szerepkörök Ntdsutil segédprogrammal történő zárolásához hajtsa végre az alábbi lépéseket:
  1. Jelentkezzen be arra a Windows 2000 Server vagy Windows Server 2003 alapú tagszámítógépre vagy tartományvezérlőre, amely a zárolandó FSMO-szerepköröket tartalmazó erdőben található. A bejelentkezést ajánlott azon a tartományvezérlőn végrehajtani, amelyhez az FSMO-szerepköröket hozzá kívánja rendelni. A bejelentkezett felhasználónak a séma-főkiszolgáló és tartománynév-kiosztási főkiszolgáló szerepkör átviteléhez a Vállalati rendszergazdák csoportba, a PDC-emulátor, RID-főkiszolgáló és infrastruktúra-főkiszolgáló szerepkör átviteléhez pedig a Tartománygazdák csoportba kell tartoznia.
  2. Kattintson a Start menü Futtatás parancsára, írja be az ntdsutil parancsot a Megnyitás mezőbe, majd kattintson az OK gombra.
  3. Írja be a roles parancsot, majd nyomja le az ENTER billentyűt.
  4. Írja be a connections parancsot, majd nyomja le az ENTER billentyűt.
  5. Írja be a connect to server kiszolgálónév parancsot, majd nyomja meg az ENTER billentyűt. A kiszolgálónév helyére annak a tartományvezérlőnek a nevét írja, melyhez az FSMO-szerepkört rendelni szeretné.
  6. Írja be a server connections parancssorba a q parancsot, majd nyomja meg az ENTER billentyűt.
  7. Írja be a seize szerepkör parancsot. A szerepkör helyére a zárolni kívánt szerepkör neve kerül. A zárolni kívánt szerepkörök listájának megjelenítéséhez írja be a ? parancsot az fsmo maintenance parancssorba, majd nyomja meg az ENTER billentyűt (vagy tekintse meg a cikk elején a szerepkörök felsorolását). A szerepkörök kezelésekor azok angol elnevezését használhatja: a RID-főkiszolgálói szerepkör zárolásához például írja be a seize rid master parancsot. Az egyetlen kivételt a PDC-emulátor szerepkör jelenti, melynek szintaxisa seize pdc, nem pedig seize pdc emulator.
  8. Az fsmo maintenance parancssorban írja be a q parancsot, majd nyomja meg az ENTER billentyűt az ntdsutil parancssor eléréséhez. Írja be a q parancsot, majd nyomja meg az ENTER billentyűt az Ntdsutil segédprogram bezárásához.

    Megjegyzések
    • Szokásos esetben mind az öt szerepkört az erdő egy aktív kapcsolattal rendelkező tartományvezérlőjéhez szükséges hozzárendelni. Ha egy FSMO-szerepkörökkel rendelkező tartományvezérlő működését a szerepkörök átvitele előtt szakítja meg, a tartományvezérlők megfelelő működése érdekében zárolnia kell valamennyi szerepkört. A szerepkörök zárolása kizárólag abban az esetben ajánlott, ha az adott tartományvezérlő a későbbiekben nem csatlakozik ismét a tartományhoz. Ha lehetséges, javítsa ki az FSMO-szerepkörökhöz rendelt tartományvezérlő hibáját. A hiba kijavításáig a szerepkörök kiosztása érdekében határozza meg, hogy az egyes szerepköröket mely megmaradt tartományvezérlőhöz rendelheti hozzá. Az FSMO-szerepkörök kiosztásáról a Microsoft Tudásbázis alábbi cikkében tájékozódhat:
      223346 A mozgó egyedüli főkiszolgálói (FSMO) szerepkörök hozzárendelése és optimalizálása Active Directory alapú tartományvezérlőkön
    • Ha egy korábban FSMO-szerepkörökkel rendelkező tartományvezérlő nincs jelen a tartományban, és annak szerepköreit a jelen cikkben ismertetett módon zárolta, távolítsa el a tartományvezérlőt az Active Directoryból a Microsoft Tudásbázis alábbi cikkében ismertetett módon:
      216498 Adatok eltávolítása az Active Directoryból tartományvezérlő sikertelen lefokozási kísérletét követően
    • Ha a tartományvezérlő metaadatait a Windows 2000 vagy a 3790-es buildszámmal rendelkező Windows Server 2003 rendszer ntdsutil /metadata cleanup parancsával távolította el, az élő tartományvezérlőkhöz rendelt FSMO-szerepkörök ismételt kiosztása nem történt meg. Az Ntdsutil segédprogram Windows Server 2003 Service Pack 1 (SP1) rendszerben található verziója automatikusan elvégzi ezt a feladatot, valamint a tartományvezérlő metaadatainak további összetevőit is eltávolítja.
    • Egyes vevők nem szokták visszaállítani az FSMO szerepkör-tulajdonosok rendszerállapotát tartalmazó biztonsági mentéseket abban az esetben, ha a szerepkör a biztonsági mentés létrejötte után át lett helyezve.
    • Ne ossza ki az infrastruktúra-főkiszolgálói szerepkört a globáliskatalógus-kiszolgálóval megegyező tartományvezérlőnek. Ha az infrastruktúra-főkiszolgálói szerepkört globáliskatalógus-kiszolgálón futtatja, az felhagy az objektuminformációk frissítésével, mivel ebben az esetben a kiszolgáló az általa nem tárolt objektumokra mutató hivatkozásokat nem tartalmazza. Ennek az az oka, hogy a globáliskatalógus-kiszolgáló az erdő összes objektumának tartalmazza egy részleges replikáját.
Végezze el az alábbi lépéseket annak megállapításához, hogy a tartományvezérlő globáliskatalógus-kiszolgálóként működik-e:
  1. Mutasson a Start menü Programok pontjára, majd a Felügyeleti eszközök pontra, végül pedig kattintson az Active Directory - helyek és szolgáltatások parancsra.
  2. Kattintson duplán a bal oldali ablaktáblában található Sites (Helyek) mappára, majd keresse meg a megfelelő helyet, vagy ha egy hely sem érhető el, kattintson az Alapertelmezett-elso-hely-neve elemre.
  3. Nyissa meg a Servers (Kiszolgálók) mappát, majd kattintson a tartományvezérlőre.
  4. Kattintson duplán a tartományvezérlő mappájában található NTDS Settings (NTDS-beállítások) elemre.
  5. Kattintson a Művelet menü Tulajdonságok parancsára.
  6. Ellenőrizze, hogy az Általános lapon található Globális katalógus jelölőnégyzet be van-e jelölve.
Az FSMO-szerepkörökről a Microsoft Tudásbázis alábbi cikkeiben tájékozódhat:
197132 Mozgó egyedüli főkiszolgálóval végzett műveletek (FSMO) szerepkörei a Windows 2000 Active Directoryban
223787 A mozgó egyedüli főkiszolgáló (FSMO) átviteli és zárolási folyamata (Előfordulhat, hogy a hivatkozás részben vagy teljes egészében angol nyelvű tartalomra mutat.)
win2000hotds
Tulajdonságok

Cikkazonosító: 255504 - Utolsó ellenőrzés: 03/22/2006 14:12:00 - Verziószám: 7.1

Microsoft Windows Server 2003, Standard Edition (32-bit x86), Microsoft Windows Server 2003, Enterprise Edition (32-bit x86), Microsoft Windows Server 2003, Datacenter Edition (32-bit x86), Microsoft Windows 2000 Server, Microsoft Windows 2000 Advanced Server, Microsoft Windows 2000 Datacenter Server

  • kbhowto KB255504
Visszajelzés
;t=">