Operation Master-rollen overdragen of overnemen in Active Directory Domain Services

  • Artikel

In dit artikel wordt beschreven wanneer en hoe u Operation Master-rollen kunt overdragen of overnemen, voorheen bekend als FSMO-rollen (Flexible Single Master Operations).

Van toepassing op: Windows Server 2022, Windows Server 2019, Windows Server 2016, Windows Server 2012 R2, Windows Server 2012
Origineel KB-nummer: 255504

Meer informatie

Binnen een AD DS-forest (Active Directory Domain Services) zijn er specifieke taken die door slechts één domeincontroller (DC) moeten worden uitgevoerd. De DC's die zijn toegewezen om deze unieke bewerkingen uit te voeren, worden rolhouders van Operation Master genoemd. De volgende tabel bevat de Operation Master-rollen en hun plaatsing in Active Directory.

Rol Bereik Naamgevingscontext (Active Directory-partitie)
Schemamodel Over de hele forest CN=Schema,CN=configuration,DC=<foresthoofddomein>
Naamgevingsmaster van het domein Over de hele forest CN=configuratie,DC=<foresthoofddomein>
PDC-emulator Over het hele domein DC=<domein>
RID-master Over het hele domein DC=<domein>
Infrastructuurmaster Over het hele domein DC=<domein>

Zie FSMO-plaatsing en -optimalisatie op Active Directory-domeincontrollers voor meer informatie over de rolhouders en aanbevelingen voor het plaatsen van de rollen.

Opmerking

Active Directory-toepassingspartities die DNS-toepassingspartities bevatten, hebben Operation Master-rolkoppelingen. Als een DNS-toepassingspartitie een eigenaar voor de rol infrastructuurmaster (IM) definieert, kunt u Ntdsutil, DCPromo of andere hulpprogramma's niet gebruiken om die toepassingspartitie te verwijderen. Raadpleeg DCPROMO-degradatie mislukt als er geen contact kan worden gemaakt met de DNS-infrastructuurmaster voor meer informatie.

Wanneer een DC die als rolhouder fungeert, begint te worden uitgevoerd (bijvoorbeeld na een fout of afsluiten), wordt deze niet onmiddellijk hervat als rolhouder. De domeincontroller wacht totdat deze binnenkomende replicatie ontvangt voor de naamgevingscontext (de eigenaar van de rol schemamaster wacht bijvoorbeeld op het ontvangen van binnenkomende replicatie van de schemapartitie).

De informatie die de DC's doorgeven als onderdeel van Active Directory-replicatie, omvat de identiteiten van de huidige rolhouders van de Operation Master. Wanneer de zojuist gestarte DC de inkomende replicatiegegevens ontvangt, wordt gecontroleerd of deze nog steeds de rolhouder is. Als dat zo is, worden normale bewerkingen hervat. Als de gerepliceerde informatie aangeeft dat een andere domeincontroller fungeert als de rolhouder, geeft de zojuist gestarte domeincontroller zijn roleigendom op. Dit gedrag vermindert de kans dat het domein of forest dubbele Operation Master-rolhouders heeft.

Belangrijk

AD FS-bewerkingen mislukken als hiervoor een rolhouder is vereist en als de zojuist gestarte rolhouder in feite de rolhouder is en deze geen binnenkomende replicatie ontvangt.
Het resulterende gedrag lijkt op wat er zou gebeuren als de rolhouder offline was.

Bepalen wanneer rollen moeten worden overgedragen of moeten worden overgenomen

Onder normale omstandigheden moeten alle vijf de rollen worden toegewezen aan 'live'-domeincontrollers in het forest. Wanneer u een Active Directory-forest maakt, wijst de wizard Active Directory-installatie (Dcpromo.exe) alle vijf operation master-rollen toe aan de eerste domeincontroller die wordt gemaakt in het foresthoofddomein. Wanneer u een onderliggend of structuurdomein maakt, wijst het mechanisme voor het maken de drie domeinbrede rollen toe aan de eerste domeincontroller in het domein.

DC's blijven eigenaar van Operation Master-rollen totdat ze opnieuw worden toegewezen met behulp van een van de volgende methoden:

  • Een beheerder wijst de functie opnieuw toe via een beheerprogramma met grafische gebruikersinterface.
  • Een beheerder wijst de rol opnieuw toe met de opdracht ntdsutil /roles.
  • Een beheerder degradeert een domeincontroller met een functie met behulp van de wizard Active Directory installeren. Deze wizard wijst alle lokaal gehouden rollen opnieuw toe aan een bestaande domeincontroller in het forest.
  • Een beheerder degradeert een DC met rollen met behulp van de Uninstall-ADDSDomainController -ForceRemoval opdracht of dcpromo /forceremoval .
  • De domeincontroller wordt afgesloten en opnieuw opgestart. Wanneer de domeincontroller opnieuw wordt opgestart, ontvangt deze informatie over inkomende replicatie die aangeeft dat een andere domeincontroller de rolhouder is. In dit geval doet de nieuw gestarte domeincontroller afstand van de rol (zoals eerder beschreven).

Als een houder van een Operation Master-rol een fout ondervindt of anderszins buiten gebruik wordt gesteld voordat de rollen worden overgedragen, moet u alle rollen overnemen en overdragen naar een geschikte en gezonde domeincontroller.

In de volgende scenario's wordt u aangeraden Operation Master-rollen over te dragen:

  • De huidige rolhouder is operationeel en kan worden geopend op het netwerk door de nieuwe eigenaar van de Operation Master.
  • U voert een dc die momenteel eigenaar is van Operation Master-rollen die u wilt toewijzen aan een specifieke domeincontroller in uw Active Directory-forest probleemloos degraderen.
  • De DC die momenteel eigenaar is van Operation Master-rollen wordt offline gehaald voor gepland onderhoud en u moet specifieke Operation Master-rollen toewijzen aan live DC's. Mogelijk moet u rollen overdragen om bewerkingen uit te voeren die van invloed zijn op de eigenaar van de Operation Master. Dit geldt met name voor de PDC-emulatorrol. Dit is een minder belangrijk probleem voor de RID-masterrol, de rol domeinnaamgevingsmaster en de schemamasterrollen.

In de volgende scenario's wordt u aangeraden operationmasterrollen over te nemen:

  • De huidige rolhouder ondervindt een operationele fout die voorkomt dat een bewerking die afhankelijk is van een Operation Master wordt voltooid en u de rol niet kunt overdragen.

  • U gebruikt de Uninstall-ADDSDomainController -ForceRemoval opdracht of dcpromo /forceremoval om een DC die eigenaar is van een Operation Master-rol af te dwingen.

    Belangrijk

    Met de force-demote opdracht kunnen Operation Master-rollen ongeldig blijven totdat ze opnieuw worden toegewezen door een beheerder.

  • Het besturingssysteem op de computer dat oorspronkelijk eigenaar was van een specifieke functie, bestaat niet meer of is opnieuw geïnstalleerd.

Opmerking

  • We raden u aan om alleen alle rollen over te nemen wanneer de vorige rolhouder niet terugkeert naar het domein.
  • Als Operation Master-rollen moeten worden gebruikt in scenario's voor forestherstel, raadpleegt u stap 5 in Eerste herstel uitvoeren onder de sectie De eerste schrijfbare domeincontroller in elk domein herstellen .
  • Na een roloverdracht of inbeslagname reageert de nieuwe rolhouder niet onmiddellijk. In plaats daarvan gedraagt de nieuwe rolhouder zich als een opnieuw gestarte rolhouder en wacht op zijn kopie van de naamgevingscontext voor de rol (zoals de domeinpartitie) om een succesvolle inkomende replicatiecyclus te voltooien. Deze replicatievereiste zorgt ervoor dat de nieuwe rolhouder zo up-to-date mogelijk is voordat er actie wordt ondernomen. Het beperkt ook de kans op fouten. Dit venster bevat alleen wijzigingen die de vorige rolhouder niet heeft gerepliceerd naar de andere domeincontrollers voordat deze offline ging. Zie de tabel in de sectie Meer informatie voor een lijst met de naamgevingscontext voor elke Operation Master-rol.

Een nieuwe rolhouder identificeren

De beste kandidaat voor de nieuwe rolhouder is een domeincontroller die aan de volgende criteria voldoet:

  • Het bevindt zich in hetzelfde domein als de vorige rolhouder.
  • Het heeft de meest recente gerepliceerde beschrijfbare kopie van de rolpartitie.

Stel dat u de rol van schemamaster moet overdragen. De rol Schema-master maakt deel uit van de schemapartitie van het forest (CN=Schema,CN=Configuratie,DC=<foresthoofddomein>). De beste kandidaat voor een nieuwe rolhouder is een domeincontroller die zich ook in het foresthoofddomein bevindt en in dezelfde Active Directory-site als de huidige rolhouder.

Voorzichtigheid

De rol infrastructuurmaster is niet meer nodig als aan de volgende voorwaarden wordt voldaan:

  • Alle domeincontrollers in het domein zijn globale catalogi (GCs). In dit geval krijgen de GCs updates waarmee verwijzingen tussen domeinen worden verwijderd.
  • De AD-prullenbak is ingeschakeld in het forest. In dit geval is elke domeincontroller verantwoordelijk voor het bijwerken van de verwijzingen.

U wordt aangeraden nog steeds een juiste eigenaar van de infrastructuurmaster te definiëren om fouten en waarschuwingen van bewakingshulpprogramma's te voorkomen.

Als u de rol infrastructuurmaster nog steeds nodig hebt:
Plaats de rol infrastructuurmaster niet op dezelfde DC als de globale catalogusserver. Als de infrastructuurmaster wordt uitgevoerd op een globale catalogusserver, wordt de objectgegevens niet meer bijgewerkt omdat deze geen verwijzingen bevat naar objecten die niet zijn opgeslagen. Dat komt omdat een GC-server een gedeeltelijke replica bevat van elk object in het forest.

De rol infrastructuurmaster wordt niet meer gebruikt zodra u de Prullenbak van Active Directory hebt ingeschakeld. Ad Prullenbak wijzigt de aanpak voor het verwerken van objectverwijzingen die worden verwijderd.

Voer de volgende stappen uit om te testen of een DC ook een globale catalogusserver is:

Active Directory-sites en -services gebruiken:

  1. Selecteer Start>Programma's>Beheerhulpmiddelen>Active Directory-sites en -services.
  2. Dubbelklik in het navigatiedeelvenster op Sites en zoek de juiste site of selecteer Default-first-site-name als er geen andere sites beschikbaar zijn.
  3. Open de map Servers en selecteer vervolgens de domeincontroller.
  4. Dubbelklik in de map van de domeincontroller op NTDS-instellingen.
  5. Selecteer in het menu ActieEigenschappen.
  6. Bekijk op het tabblad Algemeen het selectievakje Globale catalogus om te zien of deze is ingeschakeld.

Met behulp van Windows PowerShell:

  1. Start PowerShell.

  2. Typ de volgende cmdlet en pas deze aan DC_NAME met uw werkelijke DC-naam:

    (Get-ADDomainController -Filter { Name -Eq 'DC_NAME' }).IsGlobalCatalog

  3. De uitvoer is True of False.

Zie voor meer informatie:

Operation Master-rollen overnemen of overdragen

U kunt Windows PowerShell of Ntdsutil gebruiken om rollen over te nemen of over te dragen. Raadpleeg Move-ADDirectoryServerOperationMasterRole voor informatie en voorbeelden van het gebruik van PowerShell voor deze taken.

Belangrijk

Om het risico van dubbele SID's in het domein te voorkomen, verhogen Rid Master-aanvallen de volgende beschikbare RID in de groep wanneer u de RID-masterrol over neemt. Dit gedrag kan ertoe leiden dat uw forest beschikbare bereiken van RID-waarden aanzienlijk verbruikt (ook wel BEKEND als RID-branden). Neem de Rid-master dus alleen in beslag als u zeker weet dat de huidige Rid-master niet weer in gebruik kan worden genomen.

Als u de RID-masterrol moet overnemen, moet u rekening houden met de volgende details:

Voer de volgende stappen uit om de Operation Master-rollen over te nemen of over te dragen met behulp van het hulpprogramma Ntdsutil:

  1. Meld u aan bij een lidcomputer waarop de AD RSAT-hulpprogramma's zijn geïnstalleerd, of een DC die zich bevindt in het forest waar Operation Master-rollen worden overgedragen.

    Opmerking

    • U wordt aangeraden u aan te melden bij de domeincontroller waaraan u Operation Master-rollen toewijst.
    • De aangemelde gebruiker moet lid zijn van de groep Ondernemingsadministrators om de rollen Schemamaster of Domeinnaamgevingsmaster over te dragen, of een lid van de groep Domeinbeheerders van het domein waar de PDC-emulator, RID-master en de infrastructuurmasterrollen worden overgedragen.

  2. Selecteer Start>Uitvoeren, typ ntdsutil in het vak Openen en selecteer vervolgens OK.

  3. Typ roles en druk vervolgens op Enter.

    Opmerking

    Typ ? en druk op Enter om een lijst met beschikbare opdrachten te zien bij een van de prompts in het hulpprogramma Ntdsutil.

  4. Typ verbindingen en druk vervolgens op Enter.

  5. Typ verbinding maken met servernaam <>en druk op Enter.

    Opmerking

    In deze opdracht <is servernaam> de naam van de DC waaraan u de rol Operation Master wilt toewijzen.

  6. Typ bij de prompt serververbindingenq en druk op Enter.

  7. Voer een van de volgende handelingen uit:

    • Als u de rol wilt overdragen, typt u overdrachtsrol <>en drukt u op Enter.

      Opmerking

      In deze opdracht <is rol> de rol die u wilt overdragen.

    • Als u de rol wilt overnemen: typ rol overnemen <>en druk op Enter.

      Opmerking

      In deze opdracht <is rol> de rol die u wilt overnemen.

    Als u bijvoorbeeld de functie RID-master wilt overnemen, typt u seize rid master. Uitzonderingen zijn voor de PDC-emulatorrol, waarvan de syntaxis pdc overnemen is en de Domeinnaamgevingsmaster waarvan de syntaxis naamgevingsmaster overnemen is.

    Als u een lijst wilt zien met rollen die u kunt overdragen of overnemen, typt u ? bij de fsmo-onderhoudsprompt en drukt u op Enter of bekijkt u de lijst met rollen aan het begin van dit artikel.

  8. Typ bij de prompt voor fsmo maintenanceq en druk vervolgens op Enter om toegang te krijgen tot de prompt voor ntdsutil. Typ q en druk vervolgens op Enter om het hulpprogramma Ntdsutil af te sluiten.

Overwegingen bij het herstellen of verwijderen van vorige rolhouders

Als dit mogelijk is en als u de rollen kunt overdragen in plaats van ze in beslag te leggen, herstelt u de vorige rolhouder. Als u de vorige rolhouder niet kunt herstellen of als u de rollen hebt overgenomen, verwijdert u de vorige rolhouder uit het domein.

Belangrijk

Als u van plan bent de herstelde computer als een domeincontroller te gebruiken, raden we u aan de computer helemaal opnieuw te bouwen tot een domeincontroller in plaats van de domeincontroller te herstellen vanaf een back-up. Het herstelproces herbouwt de domeincontroller opnieuw als rolhouder.

  • Ga als volgende te werk om de herstelde computer terug te keren naar het forest:

    1. Voer een van de volgende handelingen uit:

      • Formatteer de harde schijf van de voormalige rolhouder en installeer Windows vervolgens opnieuw op de computer.
      • De voormalige rolhouder gedwongen degraderen naar een lidserver.

    2. Gebruik op een andere domeincontroller in het forest Ntdsutil om de metagegevens voor de voormalige rolhouder te verwijderen. Raadpleeg Servermetagegevens opschonen met Ntdsutil voor meer informatie.

    3. Nadat u de metagegevens hebt opgeschoond, kunt u de computer opnieuw naar een domeincontroller verplaatsen en er opnieuw een rol aan geven.

  • De computer verwijderen uit het forest nadat u de rollen hebt overgenomen:

    1. Verwijder de computer uit het domein.
    2. Gebruik op een andere domeincontroller in het forest Ntdsutil om de metagegevens voor de voormalige rolhouder te verwijderen. Raadpleeg Servermetagegevens opschonen met Ntdsutil voor meer informatie.

Overwegingen bij het opnieuw integreren van replicatie-eilanden

Wanneer een deel van een domein of forest gedurende langere tijd niet kan communiceren met de rest van het domein of forest, worden de geïsoleerde secties van het domein of forest replicatie-eilanden genoemd. DC's op het ene eiland kunnen niet worden gerepliceerd met de DC's op andere eilanden. Tijdens meerdere replicatiecycli raken de replicatie-eilanden niet meer gesynchroniseerd. Als elk eiland een eigen Operation Master-rolhouder heeft, kunt u problemen ondervinden wanneer u de communicatie tussen de eilanden herstelt.

Belangrijk

In de meeste gevallen kunt u profiteren van de initiële replicatievereiste (zoals beschreven in dit artikel) om dubbele rolhouders te verwijderen. Een opnieuw gestarte rolhouder moet de rol opgeven als deze een dubbele rolhouder detecteert.
Er kunnen omstandigheden optreden die dit gedrag niet oplost. In dergelijke gevallen kan de informatie in deze sectie nuttig zijn.

In de volgende tabel worden de Operation Master-rollen geïdentificeerd die problemen kunnen veroorzaken als een forest of domein meerdere rolhouders voor die rol heeft:

Rol Mogelijke conflicten tussen meerdere rolhouders?
Schemamodel Ja
Naamgevingsmaster van het domein Ja
RID-master Ja
PDC-emulator Nee
Infrastructuurmaster Nee

Dit probleem is niet van invloed op de PDC Emulator-master of de infrastructuurmaster. Deze rolhouders behouden geen operationele gegevens. Bovendien worden er niet vaak wijzigingen aangebracht in de infrastructuurmaster. Als meerdere eilanden deze rolhouders hebben, kunt u de eilanden reïntegreren zonder langdurige problemen te veroorzaken.

De schemamaster, het domeinnaamgevingsmodel en de RID-master kunnen objecten maken en wijzigingen in Active Directory behouden. Elk eiland met een van deze rolhouders kan dubbele en conflicterende schemaobjecten, domeinen of RID-groepen hebben tegen de tijd dat u de replicatie herstelt. Bepaal voordat u eilanden opnieuw integreert welke rolhouders u wilt behouden. Verwijder eventuele dubbele schemamasters; domeinnaamgevingsmasters en RID-masters door de herstel-, verwijderings- en opschoningsprocedures te volgen die in dit artikel worden vermeld.

Verwijzingen

Zie voor meer informatie: