Передача или захват ролей хозяина операций в доменные службы Active Directory

  • Статья

В этой статье описывается, когда и как передавать или захватывать роли хозяина операций, ранее известные как роли гибких отдельных главных операций (FSMO).

Применимо к: Windows Server 2022, Windows Server 2019, Windows Server 2016, Windows Server 2012 R2, Windows Server 2012
Оригинальный номер базы знаний: 255504

Дополнительная информация

В лесу доменных служб Active Directory (AD DS) существуют определенные задачи, которые должен выполнять только один контроллер домена (DC). Контроллеры домена, которым назначены эти уникальные операции, называются владельцами ролей "Хозяин операций". В следующей таблице перечислены роли хозяина операций и их размещение в Active Directory.

Роль Область Контекст именования (раздел Active Directory)
Хозяин схемы. На уровне леса CN=Schema,CN=configuration,DC=<корневой домен леса>
Хозяин именования доменов На уровне леса CN=configuration,DC=<корневой домен леса>
Эмулятор PDC На уровне домена DC=<domain>
Хозяин RID На уровне домена DC=<domain>
Хозяин инфраструктуры На уровне домена DC=<domain>

Дополнительные сведения о владельцах ролей "Хозяин операций" и рекомендации по размещению ролей см. в разделе Размещение и оптимизация FSMO на контроллерах домена Active Directory.

Примечание.

Разделы приложений Active Directory, включающие разделы приложений DNS, имеют ссылки на роль "Хозяин операций". Если раздел приложения DNS определяет владельца роли master инфраструктуры ( IM), вы не можете использовать Ntdsutil, DCPromo или другие средства для удаления этой секции приложения. Дополнительные сведения см. в разделе Сбой при понижении роли DCPROMO, если не удается связаться с хозяином инфраструктуры DNS.

Когда контроллер домена, выполняющий роль владельца роли, начинает выполняться (например, после сбоя или завершения работы), он не сразу возобновляет работу в качестве владельца роли. Контроллер домена ожидает, пока не получит входящую репликацию для контекста именования (например, владелец роли хозяина схемы ожидает получения входящей репликации раздела схемы).

Сведения, которые контроллеры домена передают в рамках репликации Active Directory, включают удостоверения текущих владельцев ролей "Хозяин операций". Когда только что запущенный контроллер домена получает сведения о входящей репликации, он проверяет, является ли он по-прежнему владельцем роли. Если это так, он возобновляет обычные операции. Если сведения о репликации указывают, что в качестве владельца роли выступает другой контроллер домена, недавно запущенный контроллер домена освобождает владение своей ролью. Такое поведение снижает вероятность того, что в домене или лесе будут дублироваться владельцы ролей хозяина операций.

Важно!

Операции AD FS завершаются сбоем, если им требуется владелец роли и если только что запущенный владелец роли фактически является владельцем роли и не получает входящую репликацию.
Результирующее поведение похоже на то, что произошло бы, если бы владелец роли находился в автономном режиме.

Определение необходимости передачи или получения ролей

В обычной ситуации все пять ролей должны быть назначены работающим контроллерам домена в лесу. При создании леса Active Directory мастер установки Active Directory (Dcpromo.exe) назначает все пять ролей "Хозяин операций" первому контроллеру домена, создаваемому в корневом домене леса. При создании дочернего домена или домена дерева механизм создания назначает три роли на уровне домена первому контроллеру домена в домене.

Контроллеры домена продолжают владеть ролями хозяина операций до тех пор, пока они не будут переназначаются с помощью одного из следующих методов:

  • Администратор переназначает роль с помощью средства администрирования с графическим интерфейсом.
  • Администратор переназначает роль, выполняя команду ntdsutil /roles.
  • Администратор безопасно понижает уровень контроллера домена, являющегося владельцем роли, с помощью мастера установки Active Directory. При этом роли, которыми обладал локальный контроллер домена, мастер переназначает существующим контроллерам домена в лесу.
  • Администратор понижает контроллер домена, удерживающий роль, с помощью Uninstall-ADDSDomainController -ForceRemoval команды или dcpromo /forceremoval .
  • Контроллер домена завершает работу и перезапускается. При перезапуске контроллер домена получает сведения о входящей репликации, указывающие, что владельцем роли является другой контроллер домена. В этом случае недавно запущенный контроллер домена освобождает владение ролью (как описано выше).

Если владелец роли "Хозяин операций" испытывает сбой или иным образом выходит из эксплуатации перед передачей ролей, необходимо захватить и передать все роли в соответствующий и работоспособный контроллер домена.

Рекомендуется передавать роли хозяина операций в следующих сценариях:

  • Текущий владелец роли работает и может быть доступен в сети новым владельцем мастера операций.
  • Вы корректно понижаете контроллер домена, которому в настоящее время принадлежат роли хозяина операций, которые вы хотите назначить определенному контроллеру домена в лесу Active Directory.
  • Контроллер домена, которому в настоящее время принадлежат роли мастера операций, переключается в автономный режим для планового обслуживания, и вам необходимо назначить определенные роли мастера операций динамическим контроллерам домена. Может потребоваться передача ролей для выполнения операций, влияющих на владельца хозяина операций. Это особенно актуально для роли эмулятора PDC. Это менее важная проблема для роли хозяина RID, роли хозяина именования домена и ролей хозяина схемы.

Рекомендуется использовать роли хозяина операций в следующих сценариях:

  • Текущий владелец роли испытывает операционную ошибку, которая препятствует успешному завершению операции, зависящей от хозяина операции, и вы не можете перенести роль.

  • Команда или dcpromo /forceremoval используется Uninstall-ADDSDomainController -ForceRemoval для принудительного понижения контроллера домена, которому принадлежит роль хозяина операции.

    Важно!

    Команда force-demote может оставить роли хозяина операций в недопустимом состоянии до тех пор, пока они не будут переназначаются администратором.

  • На компьютере, являвшемся обладателем роли FSMO, переустановлена или не загружается операционная система.

Примечание.

  • Рекомендуется захватывать все роли только в том случае, если предыдущий владелец роли не возвращается в домен.
  • Если роли хозяина операций необходимо захватывать в сценариях восстановления леса, см. шаг 5 в разделе Восстановление первого записываемого контроллера домена в каждом домене.
  • После передачи роли или изъятия новый владелец роли не действует немедленно. Вместо этого новый владелец роли ведет себя как перезапущенный владелец роли и ожидает своей копии контекста именования для роли (например, раздела домена), чтобы завершить успешный цикл входящей репликации. Это требование репликации помогает убедиться, что новый владелец роли использует самые актуальные сведения, прежде чем он начнет действовать. Это также ограничивает окно возможностей для возникновения ошибок. Это окно включает только те изменения, которые предыдущий владелец роли не успел реплицировать на другие контроллеры домена до перехода в автономный режим. Список контекста именования для каждой роли мастера операций см. в таблице в разделе Дополнительные сведения .

Определение нового владельца роли

Лучшим кандидатом для нового владельца роли является контроллер домена, соответствующий следующим критериям:

  • Он находится в том же домене, что и предыдущий владелец роли.
  • Он содержит последнюю реплицированную копию раздела роли, доступную для записи.

Например, предположим, что необходимо передать роль хозяина схемы. Роль master схемы является частью секции схемы леса (CN=Schema,CN=Configuration,DC=<корневой домен> леса). Лучшим кандидатом для нового владельца роли является контроллер домена, который также находится в корневом домене леса и на том же сайте Active Directory, что и текущий владелец роли.

Предостережение

Роль master инфраструктуры больше не требуется, если выполняются следующие условия:

  • Все контроллеры домена в домене являются глобальными каталогами (GCs). В этом случае ГК получают обновления, которые удаляют междоменные ссылки.
  • Корзина AD включена в лесу. В этом случае каждый контроллер домена отвечает за обновление своих ссылок.

Рекомендуется по-прежнему определить правильного владельца master инфраструктуры, чтобы избежать ошибок и предупреждений от средств мониторинга.

Если вам по-прежнему нужна роль master инфраструктуры:
Не помещайте инфраструктуру master роль на том же контроллере домена, что и сервер глобального каталога. Если инфраструктура master работает на сервере глобального каталога, она перестает обновлять сведения об объекте, так как она не содержит ссылок на объекты, которые не хранятся. Причина такого поведения заключается в том, что сервер глобального каталога хранит частичные реплики всех объектов в лесу.

Роль master инфраструктуры больше не используется после включения корзины Active Directory. Корзина AD изменяет подход к обработке ссылок на объекты, которые удаляются.

Чтобы проверить, является ли контроллер домена сервером глобального каталога, выполните следующие действия.

Использование сайтов и служб Active Directory:

  1. Выберите Пуск>Программы>Администрирование>Active Directory — сайты и службы.
  2. В области навигации дважды щелкните Сайты , а затем найдите соответствующий сайт или выберите Имя сайта по умолчанию , если другие сайты недоступны.
  3. Откройте папку Серверы и выберите контроллер домена.
  4. В папке контроллера домена дважды щелкните элемент Параметры NTDS.
  5. В меню Действие выберите команду Свойства.
  6. На вкладке Общие просмотрите поле Глобальный каталог проверка, чтобы узнать, выбран ли он.

Использование Windows PowerShell:

  1. Запустите PowerShell.

  2. Введите следующий командлет и измените DC_NAME фактическое имя контроллера домена:

    (Get-ADDomainController -Filter { Name -Eq 'DC_NAME' }).IsGlobalCatalog

  3. Выходные данные будут иметь значение True или False.

Дополнительные сведения см. в указанных ниже статьях.

Захват или передача ролей хозяина операций

Для захвата или передачи ролей можно использовать Windows PowerShell или Ntdsutil. Сведения и примеры использования PowerShell для этих задач см. в разделе Move-ADDirectoryServerOperationMasterRole.

Важно!

Чтобы избежать риска дублирования идентификаторов БЕЗОПАСНОСТИ в домене, при захвате роли RID master увеличивается следующий доступный RID в пуле при захвате роли RID master. Это может привести к значительному потреблению лесом доступных диапазонов значений RID (также известного как запись RID). Таким образом, используйте хозяин rid, только если вы уверены, что текущий мастер rid не может быть возвращен в эксплуатацию.

Если вам нужно захватить роль RID master, рассмотрите следующие сведения:

  • Командлет Move-ADDirectoryServerOperationMasterRole увеличивает следующий пул Rid на 30 000 по мере того, что он находит в Active Directory.
  • При использовании служебной программыNtdsutil.exe с roles командами категорий следующий пул Rid увеличивается на 10 000.

Чтобы получить или передать роли хозяина операций с помощью программы Ntdsutil, выполните следующие действия.

  1. Войдите на компьютер-член, на котором установлены средства AD RSAT, или контроллер домена, расположенный в лесу, где передаются роли мастера операций.

    Примечание.

    • Рекомендуется войти в контроллер домена, которому назначаются роли хозяина операций.
    • Вошедшего пользователя должен быть членом группы администраторов предприятия для передачи master схемы или именования доменов master ролей, а также членом группы администраторов домена, в которой передаются эмулятор PDC, master RID и роли master инфраструктуры.

  2. Выберите в меню Пуск>Выполнить, введите ntdsutil в поле Открыть, затем нажмите OK.

  3. Введите роли и нажмите клавишу ВВОД.

    Примечание.

    Чтобы просмотреть список доступных команд в одной из командных строк служебной программы Ntdsutil, введите символ ? и нажмите клавишу ВВОД.

  4. Введите подключения и нажмите клавишу ВВОД.

  5. Введите connect to servername <>и нажмите клавишу ВВОД.

    Примечание.

    В этой команде servername> — это имя контроллера домена, <которому требуется назначить роль хозяина операции.

  6. В командной строке подключения сервера введите q и нажмите клавишу ВВОД.

  7. Выполните одно из следующих действий:

    • Чтобы передать роль: введите transfer <role> и нажмите клавишу ВВОД.

      Примечание.

      В этой команде роль> — это роль, <которую вы хотите передать.

    • Чтобы получить роль: введите команду захват <роли> и нажмите клавишу ВВОД.

      Примечание.

      В этой команде роль> — это роль, <которую вы хотите захватить.

    Например, для получения роли хозяина RID введите команду seize rid master. Исключения предназначены для роли эмулятора PDC, синтаксисом которого является получение роли pdc, и хозяина именования доменов, синтаксисом которого является получение роли именования.

    Чтобы просмотреть список ролей, которые можно передавать или захватывать, введите ? в командной строке обслуживания fsmo , а затем нажмите клавишу ВВОД или просмотрите список ролей в начале этой статьи.

  8. В командной строке обслуживание ролей fsmo введите q и нажмите клавишу ВВОД, чтобы получить доступ к командной строке служебной программы ntdsutil. Для завершения работы служебной программы Ntdsutil введите команду q и нажмите клавишу ВВОД.

Рекомендации при восстановлении или удалении предыдущих владельцев ролей

Если это возможно и если вы можете перенести роли вместо их захвата, исправьте предыдущего владельца роли. Если вы не можете исправить предыдущий владелец роли или вы захватили роли, удалите предыдущего владельца роли из домена.

Важно!

Если вы планируете использовать восстановленный компьютер в качестве контроллера домена, рекомендуется перестроить компьютер в контроллер домена с нуля вместо восстановления контроллера домена из резервной копии. Процесс восстановления повторно перестраивает контроллер домена в качестве владельца роли.

  • Чтобы вернуть восстановленный компьютер в лес в качестве контроллера домена, выполните следующие действия:

    1. Выполните одно из следующих действий:

      • Отформатируйте жесткий диск бывшего владельца роли, а затем переустановите Windows на компьютере.
      • Принудительно понизьте уровень бывшего владельца роли до рядового сервера.

    2. На другом контроллере домена в лесу используйте Ntdsutil, чтобы удалить метаданные для бывшего владельца роли. Дополнительные сведения см. в разделе Очистка метаданных сервера с помощью Ntdsutil.

    3. После очистки метаданных можно повторно повысить уровень компьютера до контроллера домена и передать ему роль.

  • Чтобы удалить компьютер из леса после захвата его ролей, выполните следующие действия:

    1. Удалите компьютер из домена.
    2. На другом контроллере домена в лесу используйте Ntdsutil, чтобы удалить метаданные для бывшего владельца роли. Дополнительные сведения см. в разделе Очистка метаданных сервера с помощью Ntdsutil.

Рекомендации по повторной интеграции островов репликации

Если часть домена или леса не может взаимодействовать с остальной частью домена или леса в течение длительного времени, изолированные участки домена или леса называются островами репликации. Контроллеры домена на одном острове не могут реплицироваться с контроллерами домена на других островах. В течение нескольких циклов репликации острова репликации не синхронизируются. Если у каждого острова есть собственные владельцы ролей "Хозяин операций", при восстановлении связи между островами могут возникнуть проблемы.

Важно!

В большинстве случаев вы можете воспользоваться требованием к начальной репликации (как описано в этой статье) во избежание дублирующихся владельцев ролей. Перезапущенный владелец роли должен отказаться от роли при обнаружении дублирующегося владельца роли.
Вы можете столкнуться с обстоятельствами, которые это поведение не устраняет. В таких случаях может оказаться полезной информация, описанная в этом разделе.

В следующей таблице указаны роли хозяина операций, которые могут вызвать проблемы, если лес или домен имеет несколько владельцев ролей для этой роли:

Роль Потенциальные конфликты между несколькими владельцами ролей?
Хозяин схемы. Да
Хозяин именования доменов Да
Хозяин RID Да
Эмулятор PDC Нет
Хозяин инфраструктуры Нет

Эта проблема не влияет на master эмулятора PDC или инфраструктуру master. Эти владельцы ролей не сохраняют операционные данные. Кроме того, master инфраструктуры не часто вносит изменения. Таким образом, если у нескольких островов есть эти владельцы ролей, вы можете повторно интегрировать эти острова, не вызывая долгосрочных проблем.

Хозяин схемы, хозяин именования доменов и хозяин RID могут создавать объекты и сохранять изменения в Active Directory. Каждый остров с одним из этих владельцев ролей может иметь повторяющиеся и конфликтующие объекты схемы, домены или пулы RID к моменту восстановления репликации. Прежде чем повторно интегрировать острова, определите, какие владельцы ролей следует сохранить. Удалите все дубликаты хозяев схем, хозяев именования доменов и хозяев RID, выполнив процедуры восстановления, удаления и очистки, упомянутые в этой статье.

Ссылки

Дополнительные сведения см. в указанных ниже статьях.