Передача или захват ролей FSMO в службах доменов Active Directory

Применимо к: Windows Server, version 2004, all editionsWindows Server, version 1903, all editionsWindows Server 2019, all editions

Аннотация


В статье приведены указания по передаче и захвату ролей FSMO (Flexible Single Master Operations). 

Дополнительная информация


В лесу Active Directory Domain Sevices (AD DS) существуют определенные задачи, которые должны выполняться только одним контроллером доменов. Контроллеры доменов, назначенные для выполнения этих уникальных операций, известны как владельцы ролей гибкого мастера одиночных операций (FSMO). В следующей таблице перечислены роли FSMO и их размещение в Active Directory.

Роль
Сфера действия
Контекст именования (раздел Active Directory)
хозяин схемы Уровень леса CN=Схема,CN=конфигурация,DC=<корневой домен леса>
хозяин именования домена Уровень леса CN=конфигурация,DC=<корневой домен леса>
хозяин RID Уровень домена DC=<домен>
Эмулятор PDC Уровень домена DC=<домен>
Мастер инфраструктуры Уровень домена DC=<домен>
 

Для получения дополнительной информации о владельцах ролей FSMO и рекомендациях по размещению ролей см.Размещение и оптимизация FSMO на контроллерах домена Active Directory

Когда контроллер домена, который выступал в качестве владельца роли, начинает работать (например, после сбоя или завершения работы), он не сразу возобновляет работу в качестве владельца роли. Контроллер домена ожидает, пока не получит входящую репликацию для своего контекста именования (например, владелец роли мастера схемы ожидает получения входящей репликации раздела схемы).

Информация, которую контроллеры домена передают в рамках репликации Active Directory, включает в себя удостоверения текущих владельцев ролей FSMO. Когда вновь запущенный контроллер домена получает информацию о входящей репликации, он проверяет, является ли он все еще владельцем роли. Если это так, он возобновляет типичные операции. Если реплицированная информация указывает на то, что другой контроллер домена выступает в качестве владельца роли, вновь запущенный контроллер домена отказывается от владения ролью. Такое поведение снижает вероятность того, что домен или лес будут иметь дубликаты владельцев роли FSMO.

Дополнительные сведения см. в следующей статье базы знаний Майкрософт:

305476 Начальные требования к синхронизации для владельцев ролей мастера операций Windows Server

 

Когда передавать или захватывать роли

В обычной ситуации все пять ролей должны быть назначены действующим контроллерам домена в лесу. При создании леса Active Directory мастер установки Active Directory (Dcpromo.exe) присваивает все пять ролей FSMO первому контроллеру домена, который он создает в корневом домене леса. При создании дочернего домена или домена леса Dcpromo.exe присваивает три роли уровня домена первому контроллеру домена.

Контроллеры домена продолжают владеть ролями FSMO до тех пор, пока они не будут переназначены одним из следующих способов:

  • Администратор переназначает роль с помощью средства администрирования с графическим интерфейсом.
  • Администратор переназначает роль, выполняя команду ntdsutil /roles.
  • Администратор в штатном порядке понижает роль контроллера домена, являющегося хранителем роли, с помощью мастера установки Active Directory. Этот мастер переназначает все локально удерживаемые роли существующему контроллеру домена в лесу.
  • Администратор понижает ролевой контроллер домена, используя команду dcpromo /forceremoval.
  • Контроллер домена завершает работу и перезапускается. При перезагрузке контроллера домена он получает сведения о входящей репликации, указывающие на то, что другой контроллер домена является владельцем роли. В этом случае недавно запущенный контроллер домена отказывается от роли (как описано ранее).

Если контроллер домена, которому назначены роли FSMO, отключается до передачи ролей, нужно выполнить получение этих ролей и назначить их работающим контроллерам домена.

Корпорация Майкрософт рекомендует использовать передачу ролей FSMO в следующих случаях:

  • Текущий обладатель роли работает надлежащим образом и доступен по сети новому обладателю роли FSMO.
  • Администратор в штатном порядке понижает роль контроллера домена, являющегося обладателем ролей FSMO, которые следует назначить определенному контроллеру домена в лесу Active Directory.
  • Контроллер домена, являющийся текущим владельцем ролей FSMO, необходимо отключить для выполнения профилактических работ, а его роли должны быть назначены работающему контроллеру домена. Возможно, вам придется перенести роли для выполнения операций, влияющих на владельца FSMO. Это особенно верно для роли эмулятора PDC. Это менее важный вопрос для главной роли RID, роли хозяина наименования доменов и ролей мастера схемы.

Корпорация Майкрософт рекомендует использовать получение ролей FSMO в следующих случаях.

  • В работе текущего владельца роли FSMO возникли сбои, которые препятствуют успешному выполнению функций, присущих данной роли, и не дают выполнить передачу роли.
  • Вы используете команду dcpromo/forceremoval, чтобы принудительно понизить уровень контроллера домена, владеющего ролью FSMO.
  • На компьютере, являвшемся обладателем роли FSMO, переустановлена или не загружается операционная система. 


Определение нового владельца ролей

Лучшим кандидатом на нового владельца роли является контролер домена, отвечающий следующим критериям:

  • Он находится в том же домене, что и предыдущий владелец роли.
  • Он имеет самую недавнюю реплицируемую копию раздела роли.

Например, предположим, что необходимо передать роль мастера схемы. Роль мастера схемы является частью раздела схемы леса (cn=Schema,cn=Configuration,dc=<forest root domain>). Лучшим кандидатом на нового владельца роли является контроллер домена, который также находится в корневом домене леса и в том же сайте Active Directory, что и текущий владелец роли.

Дополнительные сведения см. на следующих ресурсах:


Захват или передача ролей FSMO

Вы можете использовать Windows PowerShell или Ntdsutil для захвата или передачи ролей. Для получения информации и примеров использования PowerShell для этих задач см. Move-ADDirectoryServerOperationMasterRole.

Для захвата или передачи ролей FSMO с помощью средства Ntdsutil выполните следующие действия:

  1. Войдите на компьютер члена, на котором установлены инструменты AD RSAT, или на контроллер домена, который находится в лесу, где передаются роли FSMO.
  2. Выберите в меню Пуск пункт Выполнить, введите в поле Открыть команду ntdsutil и нажмите кнопку OK.
  3. Введите строку роли и нажмите клавишу ВВОД.
  4. Введите подключения и нажмите клавишу ВВОД.
  5. Введите команду подключение к серверу имя сервера и нажмите клавишу ВВОД.
  6. В ответ на приглашение подключения сервера введите q и нажмите клавишу ВВОД.
  7. Выполните одно из указанных ниже действий.
    • Для передачи роли: Введите передача <роли> и нажмите клавишу ВВОД.
    • Чтобы захватить роль: Введите захватить <роль> и нажмите клавишу ВВОД.
    Например, для получения роли хозяина RID введите команду seize rid master. Единственным исключением является передача роли эмулятора PDC — для этого нужно использовать команду seize pdc (а не seize pdc emulator).

    Чтобы просмотреть список ролей, которые вы можете передать или захватить, введите ? в приглашении fsmo maintenance, а затем нажмите клавишу ВВОД или просмотрите список ролей в начале этой статьи.
  8. После появления запроса fsmo maintenance введите q и нажмите клавишу ВВОД, чтобы вернуться в обычный режим средства ntdsutil. Для завершения работы средства Ntdsutil введите команду q и нажмите клавишу ВВОД.


Рекомендации при ремонте или удалении предыдущих владельцев ролей

Если это возможно, и если вы смогли передать роли вместо того, чтобы захватить их, закрепите предыдущего владельца ролей. Если вы не можете закрепить предыдущего владельца ролей, или если вы захватили роли, удалите предыдущего владельца ролей из домена.

Возврат отремонтированного компьютера в лес в качестве контроллера домена

  1. Выполните одно из указанных ниже действий.
    • Отформатируйте жесткий диск прежнего владельца роли, а затем переустановите Windows на компьютере.
    • Принудительно понизьте прежнего владельца ролей до рядового сервера.
  2. На другом контроллере домена в лесу используйте Ntdsutil, чтобы удалить метаданные для прежнего владельца роли. Для получения дополнительной информации см. Очистка сервера метаданных с помощью Ntdsutil.
  3. После очистки метаданных можно повторно профилировать компьютер на контроллер домена и переносить роль обратно в него.

Для удаления компьютера из леса после захвата его ролей

  1. Удалите из домена учетную запись компьютера.
  2. На другом контроллере домена в лесу, используйте Ntdsutil для удаления метаданных для бывшего держателя ролей. Для получения дополнительной информации см. Очистка метаданных сервера с помощью Ntdsutil.


Рекомендации при реинтеграции островов репликации

Когда часть домена или леса не может поддерживать связь с остальной частью домена или леса в течение длительного времени, изолированные разделы домена или леса называются островами репликации. Контроллеры домена в одном острове не могут реплицироваться с контроллерами домена на других островах. В течение нескольких циклов репликации острова репликации не синхронизируются. Если каждый остров имеет своих собственных владельцев ролей FSMO, у вас могут возникнуть проблемы при восстановлении связи между островами.

В следующей таблице определены роли FMSO, которые могут вызвать проблемы, если лес или домен имеет несколько владельцев ролей для этой роли:

Роль
Потенциальные конфликты между несколькими владельцами ролей?
хозяин схемы

Да

хозяин именования домена Да
хозяин RID Да
Эмулятор PDC Нет
Мастер инфраструктуры Нет
 

Эта проблема не влияет на мастер эмулятора PDC или мастер инфраструктуры. Эти владельцы ролей не сохраняют данные о производительности. Кроме того, мастер инфраструктуры не часто вносит изменения. Поэтому, если у нескольких островов есть эти владельцы ролей, вы можете реинтегрировать острова, не вызывая долгосрочных проблем.

Мастер схемы, хозяин наименования доменов и мастер RID могут создавать объекты и сохранять изменения в Active Directory. У каждого острова, имеющего одного из этих владельцев ролей, могут быть повторяющиеся и конфликтующие объекты схемы, домены или пулы RID к моменту восстановления репликации. Перед тем, как реинтегрировать острова, определите, каких владельцев ролей нужно сохранить. Удалите любые дубликаты мастеров Схемы, хозяина наименования доменов и мастеров RID, следуя процедурам ремонта, удаления и очистки, которые упоминаются в этой статье.

Ссылки


Следующие статьи доступны в Базе знаний Корпорации Майкрософт:

  • 197132 Роли Active Directory FSMO в Windows
  • 223346 Расположение и оптимизация ролей FSMO на контроллерах домена Active Directory
  • 223787 Захват и передача операций Flexible Single Master
  • 305476 Начальные требования к синхронизации для владельцев ролей мастера операций Windows Server
  • 816099 Как это сделать: Используйте Ntdsutil для поиска и очистки дубликатов безопасности в Windows Server
  • 2001093 Устранение неполадок DNS Event ID 4013: Сервер DNS не смог загрузить интегрированные AD DNS зоны
  • 2694933 Понизить уровень DCPROMO не удается, если невозможно связаться с мастером инфраструктуры DNS

В Центре онлайн документации Майкрософт доступны указанные ниже статьи: