Przenoszenie lub przejmowanie ról wzorca operacji w Active Directory Domain Services

  • Artykuł

W tym artykule opisano, kiedy i jak przenieść lub przejąć role wzorca operacji, wcześniej nazywane rolami FSMO (Flexible Single Master Operations).

Dotyczy: Windows Server 2022, Windows Server 2019, Windows Server 2016, Windows Server 2012 R2, Windows Server 2012
Oryginalny numer KB: 255504

Więcej informacji

W lesie Active Directory Domain Services (AD DS) istnieją określone zadania, które muszą być wykonywane tylko przez jeden kontroler domeny (DC). Kontrolery domeny przypisane do wykonywania tych unikatowych operacji są nazywane posiadaczami ról wzorca operacji. W poniższej tabeli wymieniono role wzorca operacji i ich umieszczanie w usłudze Active Directory.

Rola Zakres Kontekst nazewnictwa (partycja usługi Active Directory)
Wzorzec schematu Cały las CN=Schema,CN=configuration,DC=<forest root domain>
Wzorzec nazw domen Cały las CN=configuration,DC=<domena główna lasu>
Emulator kontrolera PDC W całej domenie DC=<domena>
Wzorzec RID W całej domenie DC=<domena>
Wzorzec infrastruktury W całej domenie DC=<domena>

Aby uzyskać więcej informacji na temat posiadaczy ról wzorca operacji i zaleceń dotyczących umieszczania ról, zobacz Umieszczanie i optymalizacja usługi FSMO na kontrolerach domeny usługi Active Directory.

Uwaga

Partycje aplikacji usługi Active Directory, które obejmują partycje aplikacji DNS, mają łącza roli Wzorca operacji. Jeśli partycja aplikacji DNS definiuje właściciela roli wzorca infrastruktury (IM), nie można usunąć tej partycji aplikacji za pomocą narzędzia Ntdsutil, DCPromo ani innych narzędzi. Aby uzyskać więcej informacji, zobacz Degradacja DCPROMO kończy się niepowodzeniem, jeśli nie można skontaktować się ze wzorcem infrastruktury DNS.

Gdy kontroler domeny pełniący rolę posiadacza roli zaczyna działać (na przykład po awarii lub zamknięciu), nie będzie natychmiast wznawiać działania jako posiadacz roli. Kontroler domeny czeka, aż otrzyma polecenie replikacji przychodzącej dla kontekstu nazewnictwa (na przykład właściciel roli wzorca schematu czeka na odebranie polecenia replikacji przychodzącej partycji schematu).

Informacje przekazywane przez kontrolery domeny w ramach replikacji usługi Active Directory obejmują tożsamości bieżących posiadaczy ról wzorca operacji. Gdy nowo uruchomiony kontroler domeny odbiera informacje o replikacji przychodzącej, weryfikuje, czy nadal jest posiadaczem roli. Jeśli tak, wznawia typowe operacje. Jeśli zreplikowane informacje wskazują, że inny kontroler domeny pełni rolę posiadacza roli, nowo uruchomiony kontroler domeny zrezygnuje z własności roli. To zachowanie zmniejsza prawdopodobieństwo, że domena lub las będą mieć zduplikowane posiadacze ról wzorca operacji.

Ważna

Operacje usług AD FS nie powiodły się, jeśli wymagają one posiadacza roli i jeśli nowo uruchomionym posiadaczem roli jest w rzeczywistości posiadaczem roli i nie odbiera replikacji przychodzącej.
Skutkujące zachowanie przypomina sytuację, w której posiadacz roli jest w trybie offline.

Jak określić, kiedy należy przenosić lub przejmować role

W typowych warunkach wszystkie pięć ról należy przypisać do aktywnych kontrolerów domeny w lesie. Podczas tworzenia lasu usługi Active Directory Kreator instalacji usługi Active Directory (Dcpromo.exe) przypisuje wszystkie pięć ról wzorca operacji do pierwszego kontrolera domeny tworzonej w domenie głównej lasu. Podczas tworzenia domeny podrzędnej lub drzewa mechanizm tworzenia przypisuje trzy role w całej domenie do pierwszego kontrolera domeny w domenie.

Kontrolery domeny nadal posiadają role wzorca operacji, dopóki nie zostaną ponownie przypisane przy użyciu jednej z następujących metod:

  • Administrator zmienia przypisanie roli za pomocą narzędzia administracyjnego z graficznym interfejsem użytkownika.
  • Administrator zmienia przypisanie roli za pomocą polecenia ntdsutil /roles.
  • Administrator łagodnie obniża kontroler domeny mający daną rolę za pomocą Kreatora instalacji usługi Active Directory. Kreator ten umożliwia ponowne przypisanie lokalnie przechowywanych ról do istniejącego kontrolera domeny w lesie.
  • Administrator obniża kontroler domeny z rolami przy użyciu Uninstall-ADDSDomainController -ForceRemoval polecenia lub dcpromo /forceremoval .
  • Kontroler domeny jest wyłączany i uruchamiany ponownie. Po ponownym uruchomieniu kontroler domeny odbiera informacje o replikacji przychodzącej, które wskazują, że inny kontroler domeny jest posiadaczem roli. W takim przypadku nowo uruchomiony kontroler domeny zrzeka się z roli (zgodnie z wcześniejszym opisem).

Jeśli właściciel roli wzorca operacji wystąpi błąd lub w inny sposób zostanie wyjęty z usługi przed przeniesieniem jego ról, musisz przejąć i przenieść wszystkie role do odpowiedniego kontrolera domeny w dobrej kondycji.

Zalecamy przeniesienie ról wzorca operacji w następujących scenariuszach:

  • Bieżący posiadacz roli działa i jest dostępny w sieci przez nowego właściciela wzorca operacji.
  • Z wdziękiem obniżasz poziom kontrolera domeny, który obecnie jest właścicielem ról wzorca operacji, które chcesz przypisać do określonego kontrolera domeny w lesie usługi Active Directory.
  • Kontroler domeny, który obecnie jest właścicielem ról wzorca operacji, jest w trybie offline w celu zaplanowanej konserwacji i musisz przypisać określone role wzorca operacji do dynamicznych kontrolerów domeny. Może być konieczne przeniesienie ról w celu wykonania operacji, które mają wpływ na właściciela wzorca operacji. Jest to szczególnie istotne w przypadku roli Emulator kontrolera PDC. Jest to mniej ważny problem dla roli wzorca RID, roli wzorca nazewnictwa domeny i ról wzorca schematu.

Zalecamy przejęcie ról wzorca operacji w następujących scenariuszach:

  • W bieżącym posiadaczu roli występuje błąd operacyjny, który uniemożliwia pomyślne ukończenie operacji zależnej od wzorca operacji i nie można przenieść roli.

  • Użyj polecenia lubdcpromo /forceremoval, Uninstall-ADDSDomainController -ForceRemoval aby wymusić obniżenie poziomu kontrolera domeny, który jest właścicielem roli Wzorca operacji.

    Ważna

    Polecenie force-demote może pozostawić role wzorca operacji w nieprawidłowym stanie, dopóki nie zostaną ponownie przypisane przez administratora.

  • System operacyjny na komputerze, który pierwotnie miał przypisaną określoną rolę, już nie istnieje lub został ponownie zainstalowany.

Uwaga

  • Zalecamy przejęcie wszystkich ról tylko wtedy, gdy poprzedni właściciel roli nie wraca do domeny.
  • Jeśli role wzorca operacji muszą zostać zajęte w scenariuszach odzyskiwania lasu, zobacz krok 5 w sekcji Wykonywanie odzyskiwania początkowegow sekcji Przywracanie pierwszego zapisywalnego kontrolera domeny w każdej domenie .
  • Po przeniesieniu roli lub zajęciu roli nowy posiadacz roli nie działa natychmiast. Zamiast tego nowy posiadacz roli zachowuje się jak ponownie uruchomiony posiadacz roli i oczekuje na swoją kopię kontekstu nazewnictwa dla roli (np. partycja domeny) w celu ukończenia pomyślnego cyklu replikacji przychodzącej. To wymaganie dotyczące replikacji pomaga upewnić się, że nowy posiadacz roli jest jak najbardziej aktualny przed podjęciem działań. Ogranicza również okno czasowe dla wystąpienia możliwych błędów. To okno zawiera tylko zmiany, których poprzedni posiadacz roli nie zakończył replikacji do innych kontrolerów domeny przed przejściem do trybu offline. Aby uzyskać listę kontekstu nazewnictwa dla każdej roli wzorca operacji, zobacz tabelę w sekcji Więcej informacji .

Identyfikowanie nowego posiadacza roli

Najlepszym kandydatem do nowego posiadacza roli jest kontroler domeny spełniający następujące kryteria:

  • Znajduje się on w tej samej domenie co poprzedni posiadacz roli.
  • Ma najnowszą zreplikowaną kopię zapisywalną partycji roli.

Załóżmy na przykład, że musisz przenieść rolę wzorca schematu. Rola wzorca schematu jest częścią partycji schematu lasu (CN=Schema,CN=Configuration,DC=<domena> główna lasu). Najlepszym kandydatem do nowego posiadacza roli jest kontroler domeny, który również znajduje się w domenie głównej lasu i w tej samej lokacji usługi Active Directory co bieżący posiadacz roli.

Uwaga

Rola wzorca infrastruktury nie jest już potrzebna, jeśli spełnione są następujące warunki:

  • Wszystkie kontrolery domeny w domenie są wykazy globalne (GCs). W takim przypadku kontrolery sieci pobierają aktualizacje, które usuwają odwołania między domenami.
  • Kosz usługi AD jest włączony w lesie. W takim przypadku każdy kontroler domeny jest odpowiedzialny za aktualizowanie odwołań.

Zalecamy, aby nadal definiować właściwego właściciela wzorca infrastruktury, aby uniknąć błędów i ostrzeżeń z narzędzi do monitorowania.

Jeśli nadal potrzebujesz roli wzorca infrastruktury:
Nie umieszczaj roli wzorca infrastruktury na tym samym kontrolerze domeny co serwer wykazu globalnego. Jeśli wzorzec infrastruktury działa na serwerze wykazu globalnego, przestaje aktualizować informacje o obiektach, ponieważ nie zawiera żadnych odwołań do obiektów, które nie są przechowywane. Dzieje się tak dlatego, że serwer wykazu globalnego przechowuje częściową replikę każdego obiektu w lesie.

Rola wzorca infrastruktury nie jest już używana po włączeniu Kosza usługi Active Directory. Kosz usługi AD zmienia podejście do obsługi usuwanych odwołań obiektów.

Aby sprawdzić, czy kontroler domeny jest również serwerem wykazu globalnego, wykonaj następujące kroki:

Korzystanie z witryn i usług Active Directory:

  1. Wybrać pozycję Start>Programy>Narzędzia administracyjne>Witryny i usługi usługi Active Directory.
  2. W okienku nawigacji kliknij dwukrotnie pozycję Witryny , a następnie znajdź odpowiednią witrynę lub wybierz pozycję Default-first-site-name , jeśli żadne inne witryny nie są dostępne.
  3. Otwórz folder Serwery , a następnie wybierz kontroler domeny.
  4. W folderze kontrolera domeny kliknij dwukrotnie pozycję Ustawienia NTDS.
  5. W menu Akcja kliknij polecenie Właściwości.
  6. Na karcie Ogólne wyświetl pole wyboru Wykaz globalny , aby sprawdzić, czy został wybrany.

Korzystanie z Windows PowerShell:

  1. Uruchom program PowerShell.

  2. Wpisz następujące polecenie cmdlet i dostosuj DC_NAME je przy użyciu rzeczywistej nazwy kontrolera domeny:

    (Get-ADDomainController -Filter { Name -Eq 'DC_NAME' }).IsGlobalCatalog

  3. Dane wyjściowe to True lub False.

Więcej informacji można znaleźć w następujących artykułach:

Przejmowanie lub przenoszenie ról wzorca operacji

Możesz użyć Windows PowerShell lub Ntdsutil, aby przejąć lub przenieść role. Aby uzyskać informacje i przykłady użycia programu PowerShell dla tych zadań, zobacz artykuł Move-ADDirectoryServerOperationMasterRole.

Ważna

Aby uniknąć ryzyka zduplikowanych identyfikatorów SID w domenie, konfiskaty rid master inkrementują kolejny dostępny identyfikator RID w puli po przejęciu roli wzorca RID. To zachowanie może spowodować, że las będzie znacznie zużywał dostępne zakresy wartości RID (nazywane również funkcją rid). Dlatego należy przejąć wzorzec rid tylko wtedy, gdy masz pewność, że nie można przywrócić bieżącego wzorca rid do służby.

Jeśli musisz przejąć rolę wzorca RID, rozważ następujące szczegóły:

  • Polecenie cmdlet Move-ADDirectoryServerOperationMasterRole zwiększa następną pulę rid o 30 000 w stosunku do tego, co znajduje w usłudze Active Directory.
  • Użycie narzędzia Ntdsutil.exe z roles poleceniami kategorii zwiększa następną pulę rid o 10 000.

Aby przejąć lub przenieść role wzorca operacji przy użyciu narzędzia Ntdsutil, wykonaj następujące kroki:

  1. Zaloguj się do komputera członkowskiego z zainstalowanymi narzędziami AD RSAT lub kontrolera domeny znajdującego się w lesie, na którym są przenoszone role wzorca operacji.

    Uwaga

    • Zalecamy zalogowanie się do kontrolera domeny, do którego są przypisywane role wzorca operacji.
    • Zalogowany użytkownik powinien być członkiem grupy Administratorzy przedsiębiorstwa, aby przenieść główne role wzorca schematu lub nazewnictwa domeny, lub członkiem grupy Administratorzy domeny domeny, w której są przenoszone emulator kontrolera PDC, główny identyfikator RID i role główne infrastruktury.

  2. Kliknij przycisk Start>Uruchom, wpisz ciąg ntdsutil w polu Otwórz, a następnie kliknij przycisk OK.

  3. Wpisz polecenie roles, a następnie naciśnij klawisz ENTER.

    Uwaga

    Aby wyświetlić listę dostępnych poleceń w dowolnym wierszu polecenia narzędzia Ntdsutil, wpisz znak ?, a następnie naciśnij klawisz ENTER.

  4. Wpisz polecenie connections, a następnie naciśnij klawisz ENTER.

  5. Wpisz połącz się z nazwą> serwera<, a następnie naciśnij klawisz Enter.

    Uwaga

    W tym poleceniu nazwa> serwera jest nazwą kontrolera domeny, <do którego chcesz przypisać rolę Wzorca operacji.

  6. W wierszu polecenia server connections wpisz polecenie q, a następnie naciśnij klawisz ENTER.

  7. Wykonaj jedną z następujących czynności:

    • Aby przenieść rolę: Wpisz rolę> transferu<, a następnie naciśnij klawisz Enter.

      Uwaga

      W tym poleceniu rola> jest rolą, <którą chcesz przenieść.

    • Aby przejąć rolę: wpisz przejęcie <roli>, a następnie naciśnij klawisz Enter.

      Uwaga

      W tym poleceniu rola> jest rolą, <którą chcesz przejąć.

    Na przykład aby przejąć rolę Wzorzec RID, wpisz polecenie seize rid master. Wyjątki dotyczą roli emulatora kontrolera PDC, której składnią jest seize pdc, oraz wzorca nazewnictwa domeny, którego składnią jest seize naming master.

    Aby wyświetlić listę ról, które można przenieść lub przejąć, wpisz ? w wierszu polecenia obsługi fsmo , a następnie naciśnij klawisz Enter lub zobacz listę ról na początku tego artykułu.

  8. W wierszu polecenia fsmo maintenance wpisz polecenie q, a następnie naciśnij klawisz ENTER, aby uzyskać dostęp do wiersza polecenia ntdsutil. Wpisz polecenie q, a następnie naciśnij klawisz ENTER, aby zamknąć narzędzie Ntdsutil.

Zagadnienia dotyczące naprawiania lub usuwania poprzednich posiadaczy ról

Jeśli jest to możliwe i jeśli możesz przenieść role zamiast ich przejmować, napraw poprzedniego posiadacza roli. Jeśli nie możesz naprawić poprzedniego posiadacza roli lub jeśli zostały zajęte role, usuń poprzedniego posiadacza roli z domeny.

Ważna

Jeśli planujesz używać naprawionego komputera jako kontrolera domeny, zalecamy ponowne skompilowanie komputera do kontrolera domeny od podstaw zamiast przywracania kontrolera domeny z kopii zapasowej. Proces przywracania ponownie odbudowuje kontroler domeny jako posiadacza roli.

  • Aby zwrócić naprawiony komputer do lasu jako kontroler domeny:

    1. Wykonaj jedną z następujących czynności:

      • Sformatuj dysk twardy poprzedniego posiadacza roli, a następnie zainstaluj ponownie system Windows na tym komputerze.
      • Wymuszona degradacja poprzedniego posiadacza roli do serwera członkowskiego.

    2. Na innym kontrolerze domeny w lesie użyj narzędzia Ntdsutil, aby usunąć metadane dla poprzedniego posiadacza roli. Aby uzyskać więcej informacji, zobacz artykuł Aby wyczyścić metadane serwera przy użyciu narzędzia Ntdsutil.

    3. Po wyczyszczeniu metadanych można ponownie awansować komputer do kontrolera domeny i przenieść z powrotem do niego rolę.

  • Aby usunąć komputer z lasu po przejęciu jego ról:

    1. Usuń komputer z domeny.
    2. Na innym kontrolerze domeny w lesie użyj narzędzia Ntdsutil, aby usunąć metadane dla poprzedniego posiadacza roli. Aby uzyskać więcej informacji, zobacz artykuł Aby wyczyścić metadane serwera przy użyciu narzędzia Ntdsutil.

Zagadnienia dotyczące ponownej integracji wysp replikacji

Jeśli część domeny lub lasu nie może komunikować się z resztą domeny lub lasu przez dłuższy czas, izolowane sekcje domeny lub lasu są nazywane wyspami replikacji. Kontrolery domeny na jednej wyspie nie mogą replikować się z kontrolerami domeny na innych wyspach. W wielu cyklach replikacji wyspy replikacji nie są zsynchronizowane. Jeśli każda wyspa ma własnych posiadaczy ról master operacji, mogą wystąpić problemy podczas przywracania komunikacji między wyspami.

Ważna

W większości przypadków możesz skorzystać z wymagania dotyczącego replikacji początkowej (zgodnie z opisem w tym artykule) w celu usunięcia zduplikowanych posiadaczy ról. Ponownie uruchomiony posiadacz roli powinien zrezygnować z roli, jeśli wykryje zduplikowanego posiadacza roli.
Mogą wystąpić okoliczności, których to zachowanie nie rozwiązuje. W takich przypadkach informacje w tej części mogą być przydatne.

W poniższej tabeli zidentyfikowano role wzorca operacji, które mogą powodować problemy, jeśli las lub domena ma wielu posiadaczy ról dla tej roli:

Rola Potencjalne konflikty między wieloma posiadaczami ról?
Wzorzec schematu Tak
Wzorzec nazw domen Tak
Wzorzec RID Tak
Emulator kontrolera PDC Nie
Wzorzec infrastruktury Nie

Ten problem nie ma wpływu na wzorzec emulatora kontrolera PDC ani na wzorzec infrastruktury. Te posiadacze ról nie utrwalają danych operacyjnych. Ponadto wzorzec infrastruktury nie wprowadza często zmian. W związku z tym, jeśli wiele wysp ma tych posiadaczy ról, można ponownie zintegrować wyspy bez powodowania długoterminowych problemów.

Wzorzec schematu, wzorzec nazewnictwa domeny i wzorzec RID mogą tworzyć obiekty i utrwalać zmiany w usłudze Active Directory. Każda wyspa, która ma jednego z tych posiadaczy ról, może mieć zduplikowane i powodujące konflikt obiekty schematu, domeny lub pule identyfikatorów RID do czasu przywrócenia replikacji. Przed ponowną integracją wysp określ, których posiadaczy ról zachować. Usuń wszystkie zduplikowane wzorce schematu, wzorce nazewnictwa domen i wzorce RID, postępując zgodnie z procedurami naprawy, usuwania i oczyszczania wymienionymi w tym artykule.

Informacje

Więcej informacji można znaleźć w następujących artykułach: