Överföra eller överta operation master-roller i Active Directory Domain Services

  • Artikel

Den här artikeln beskriver när och hur du överför eller övertar Operation Master-roller, tidigare kallade FSMO-roller (Flexible Single Master Operations).

Gäller för: Windows Server 2022, Windows Server 2019, Windows Server 2016, Windows Server 2012 R2, Windows Server 2012
Original-KB-nummer: 255504

Mer information

I en Active Directory Domain Services-skog (AD DS) finns det specifika uppgifter som endast måste utföras av en domänkontrollant (DC). De domänkontrollanter som har tilldelats för att utföra dessa unika åtgärder kallas rollinnehavare för åtgärdshanterare. I följande tabell visas rollerna Åtgärdshuvud och deras placering i Active Directory.

Roll Omfattning Namngivningskontext (Active Directory-partition)
Schemahanterare Skogsomfattande CN=Schema,CN=configuration,DC=<forest root domain>
Administratör för domännamngivning Skogsomfattande CN=configuration,DC=<forest root domain>
PDC-emulator Domänomfattande DC=<domän>
RID-administratör Domänomfattande DC=<domän>
Infrastrukturadministratör Domänomfattande DC=<domän>

Mer information om rollinnehavare för åtgärdshanteraren och rekommendationer för placering av rollerna finns i FSMO-placering och optimering på Active Directory-domänkontrollanter.

Obs!

Active Directory-programpartitioner som innehåller DNS-programpartitioner har rolllänkar för åtgärdshanteraren. Om en DNS-programpartition definierar en ägare för rollen infrastrukturhanterare kan du inte använda Ntdsutil, DCPromo eller andra verktyg för att ta bort programpartitionen. Mer information finns i DCPROMO-degradering misslyckas om det inte går att kontakta DNS-infrastrukturhanteraren.

När en domänkontrollant som har fungerat som rollinnehavare börjar köras (till exempel efter ett fel eller en avstängning) fortsätter den inte omedelbart att fungera som rollinnehavare. Domänkontrollanten väntar tills den tar emot inkommande replikering för sin namngivningskontext (till exempel väntar Schemahanterarens rollägare på att få inkommande replikering av Schemapartitionen).

Den information som domänkontrollanterna skickar som en del av Active Directory-replikering innehåller identiteterna för de aktuella rollinnehavarna i åtgärdshanteraren. När den nyligen startade domänkontrollanten tar emot den inkommande replikeringsinformationen verifierar den om den fortfarande är rollinnehavare. I så fall återupptas vanliga åtgärder. Om den replikerade informationen anger att en annan domänkontrollant fungerar som rollinnehavare, avsägs den nyligen startade domänkontrollanten sitt rollägarskap. Det här beteendet minskar risken för att domänen eller skogen har duplicerade rollinnehavare för åtgärdshanteraren.

Viktigt

AD FS-åtgärder misslyckas om de kräver en rollinnehavare och om den nystartade rollinnehavaren i själva verket är rollinnehavaren och den inte tar emot inkommande replikering.
Det resulterande beteendet liknar vad som skulle hända om rollinnehavaren var offline.

Ta reda på när du ska överföra eller ta över roller

Under normala förhållanden måste alla fem rollerna tilldelas till "live"-domänkontrollanter i skogen. När du skapar en Active Directory-skog tilldelar Installationsguiden för Active Directory (Dcpromo.exe) alla fem roller för åtgärdshanteraren till den första domänkontrollanten som skapas i skogens rotdomän. När du skapar en underordnad domän eller träddomän tilldelar mekanismen för skapande de tre domänomfattande rollerna till den första domänkontrollanten i domänen.

Domänkontrollanter fortsätter att äga roller i åtgärdshanteraren tills de har omtilldelats med någon av följande metoder:

  • En administratör omtilldelar rollen med hjälp av ett administrativt verktyg för grafiskt användargränssnitt.
  • En administratör omtilldelar rollen med hjälp av kommandot ntdsutil /roles.
  • En administratör degraderar på ett smidigt sätt en domänkontrollant med hjälp av installationsguiden för Active Directory. Den här guiden omtilldelar eventuella lokalt hållna roller till en befintlig domänkontrollant i skogen.
  • En administratör degraderar en domänkontrollant med hjälp Uninstall-ADDSDomainController -ForceRemoval av kommandot eller dcpromo /forceremoval .
  • Domänkontrollanten stängs av och startas om. När domänkontrollanten startas om får den inkommande replikeringsinformation som anger att en annan domänkontrollant är rollinnehavaren. I det här fallet avskriver den nyligen startade domänkontrollanten rollen (enligt beskrivningen tidigare).

Om en rollinnehavare i åtgärdshanteraren får ett fel eller på annat sätt tas ur drift innan dess roller överförs, måste du ta och överföra alla roller till en lämplig och felfri domänkontrollant.

Vi rekommenderar att du överför Operation Master-roller i följande scenarier:

  • Den aktuella rollinnehavaren är i drift och kan nås i nätverket av den nya åtgärdshanterarens ägare.
  • Du degraderar korrekt en domänkontrollant som för närvarande äger roller för åtgärdshanteraren som du vill tilldela till en specifik domänkontrollant i Active Directory-skogen.
  • Domänkontrollanten som för närvarande äger Operation Master-roller tas offline för schemalagt underhåll och du måste tilldela specifika åtgärdshuvudroller till live-domänkontrollanter. Du kan behöva överföra roller för att utföra åtgärder som påverkar åtgärdshanterarens ägare. Detta gäller särskilt för rollen PDC Emulator. Det här är ett mindre viktigt problem för RID-huvudrollen, huvudrollen domännamngivning och schemahuvudroller.

Vi rekommenderar att du övertar Operation Master-roller i följande scenarier:

  • Den aktuella rollinnehavaren får ett driftfel som förhindrar att en åtgärdshanterarberoende åtgärd slutförs korrekt och du kan inte överföra rollen.

  • Du använder Uninstall-ADDSDomainController -ForceRemoval kommandot eller dcpromo /forceremoval för att framtvinga degradering av en domänkontrollant som äger en åtgärdshanterad roll.

    Viktigt

    Kommandot force-demote kan lämna roller för åtgärdshanteraren i ett ogiltigt tillstånd tills de tilldelas om av en administratör.

  • Operativsystemet på den dator som ursprungligen ägde en viss roll finns inte längre eller har installerats om.

Obs!

  • Vi rekommenderar att du bara griper alla roller när den tidigare rollinnehavaren inte återgår till domänen.
  • Om roller för åtgärdshanteraren måste tas i beslag i skogsåterställningsscenarier, se steg 5 i Utföra inledande återställning under avsnittet Återställ den första skrivbara domänkontrollanten i varje domän .
  • Efter en rollöverföring eller ett anfall agerar inte den nya rollinnehavaren omedelbart. I stället fungerar den nya rollinnehavaren som en omstartad rollhållare och väntar på att dess kopia av namngivningskontexten för rollen (till exempel domänpartitionen) ska slutföra en lyckad inkommande replikeringscykel. Det här replikeringskravet hjälper dig att se till att den nya rollinnehavaren är så uppdaterad som möjligt innan den vidtar åtgärder. Det begränsar också fönstret för möjlighet till fel. Det här fönstret innehåller endast ändringar som den tidigare rollinnehavaren inte slutförde replikeringen till de andra domänkontrollanterna innan den gick offline. En lista över namngivningskontexten för varje åtgärdshuvudroll finns i tabellen i avsnittet Mer information .

Identifiera en ny rollinnehavare

Den bästa kandidaten för den nya rollinnehavaren är en domänkontrollant som uppfyller följande kriterier:

  • Den finns i samma domän som den tidigare rollinnehavaren.
  • Den har den senaste replikerade skrivbara kopian av rollpartitionen.

Anta till exempel att du måste överföra rollen Schemahanterare. Schemahuvudrollen är en del av skogens schemapartition (CN=Schema,CN=Configuration,DC=<forest root domain>). Den bästa kandidaten för en ny rollinnehavare är en domänkontrollant som också finns i skogsrotdomänen och på samma Active Directory-plats som den aktuella rollinnehavaren.

Försiktighet

Infrastrukturhuvudrollen behövs inte längre om följande villkor är uppfyllda:

  • Alla domänkontrollanter i domänen är globala kataloger (GCs). I det här fallet får GC:erna uppdateringar som tar bort referenser mellan domäner.
  • AD-papperskorgen är aktiverad i skogen. I det här fallet ansvarar varje domänkontrollant för att uppdatera sina referenser.

Vi rekommenderar att du fortfarande definierar en korrekt ägare av infrastrukturhanteraren för att undvika fel och varningar från övervakningsverktyg.

Om du fortfarande behöver rollen som infrastrukturhanterare:
Placera inte infrastrukturhuvudrollen på samma domänkontrollant som den globala katalogservern. Om infrastrukturhanteraren körs på en global katalogserver slutar den uppdatera objektinformation eftersom den inte innehåller några referenser till objekt som den inte innehåller. Det beror på att en global katalogserver innehåller en partiell replik av varje objekt i skogen.

Infrastrukturhuvudrollen används inte längre när du aktiverar Papperskorgen i Active Directory. AD-papperskorgen ändrar metoden för att hantera objektreferenser som tas bort.

Följ dessa steg för att testa om en domänkontrollant också är en global katalogserver:

Använda Active Directory-platser och -tjänster:

  1. Välj Start>Program>Administrativa verktyg>Active Directory-webbplatser och -tjänster.
  2. I navigeringsfönstret dubbelklickar du på Webbplatser och letar upp rätt plats eller väljer Standardnamn för första plats om inga andra webbplatser är tillgängliga.
  3. Öppna mappen Servrar och välj sedan domänkontrollanten.
  4. Dubbelklicka på NTDS-inställningar i domänkontrollantens mapp.
  5. På menyn Åtgärd väljer du Egenskaper.
  6. På fliken Allmänt visar du kryssrutan Global katalog för att se om den är markerad.

Använda Windows PowerShell:

  1. Starta PowerShell.

  2. Skriv följande cmdlet och justera DC_NAME med ditt faktiska DC-namn:

    (Get-ADDomainController -Filter { Name -Eq 'DC_NAME' }).IsGlobalCatalog

  3. Utdata blir True eller False.

Mer information finns i:

Ta över eller överföra roller för åtgärdshanteraren

Du kan använda Windows PowerShell eller Ntdsutil för att ta över eller överföra roller. Information och exempel på hur du använder PowerShell för dessa uppgifter finns i Move-ADDirectoryServerOperationMasterRole.

Viktigt

För att undvika risken för dubbla sidhuvudnamn i domänen ökar Rid Master-beslag nästa tillgängliga RID i poolen när du griper RID-huvudrollen. Det här beteendet kan göra att skogen förbrukar tillgängliga RID-värden avsevärt (kallas även RID-bränning). Så ta rid master bara när du är säker på att den nuvarande Rid Master inte kan tas i bruk igen.

Om du måste överta RID-huvudrollen bör du tänka på följande:

Följ dessa steg om du vill ta över eller överföra operation master-rollerna med hjälp av verktyget Ntdsutil:

  1. Logga in på en medlemsdator där AD RSAT-verktygen är installerade eller en domänkontrollant som finns i skogen där roller för åtgärdshanteraren överförs.

    Obs!

    • Vi rekommenderar att du loggar in på den domänkontrollant som du tilldelar roller för åtgärdshanteraren till.
    • Den inloggade användaren bör vara medlem i gruppen Företagsadministratörer för att överföra huvudroller för schemahanterare eller domännamngivning, eller medlem i gruppen Domänadministratörer i domänen där PDC-emulatorn, RID-huvudservern och infrastrukturhanterade roller överförs.

  2. Välj Start>Kör, skriv ntdsutil i rutan Öppna och välj sedan OK.

  3. Skriv roller och tryck sedan på Retur.

    Obs!

    Om du vill se en lista över tillgängliga kommandon i någon av meddelandena i verktyget Ntdsutil skriver du ? och trycker sedan på Retur.

  4. Skriv anslutningar och tryck på Retur.

  5. Skriv Anslut till serverservernamn <>och tryck sedan på Retur.

    Obs!

    I det här kommandot <är servernamn> namnet på den domänkontrollant som du vill tilldela rollen Åtgärdshanterare till.

  6. Vid meddelandet serveranslutningar skriver du q och trycker sedan på Retur.

  7. Gör något av följande:

    • Så här överför du rollen: Skriv överföringsroll <>och tryck sedan på Retur.

      Obs!

      I det här kommandot <är rollen> som du vill överföra.

    • Så här griper du rollen: Typ griper <rollen> och trycker sedan på Retur.

      Obs!

      I det här kommandot <är rollen> den roll som du vill ta över.

    Om du till exempel vill överta RID-huvudrollen skriver du överta RID-rollen. Undantag gäller för rollen PDC-emulator, vars syntax är överta PDC och rollen domännamngivning, vars syntax är överta namngivningshanteraren.

    Om du vill se en lista över roller som du kan överföra eller ta över skriver du ? i fsmo-underhållsprompten och trycker sedan på Retur eller ser listan över roller i början av den här artikeln.

  8. I meddelandet fsmo-underhåll skriver du q och trycker sedan på Retur för att få åtkomst till meddelandet ntdsutil. Skriv q och tryck sedan på Retur för att avsluta verktyget Ntdsutil.

Att tänka på när du reparerar eller tar bort tidigare rollinnehavare

Om det är möjligt, och om du kan överföra rollerna i stället för att beslagta dem, kan du åtgärda den tidigare rollinnehavaren. Om du inte kan åtgärda den tidigare rollinnehavaren, eller om du har tagit över rollerna, tar du bort den tidigare rollinnehavaren från domänen.

Viktigt

Om du planerar att använda den reparerade datorn som en domänkontrollant rekommenderar vi att du återskapar datorn till en domänkontrollant från grunden, i stället för att återställa domänkontrollanten från en säkerhetskopia. Återställningsprocessen återskapar domänkontrollanten som rollhållare igen.

  • Så här returnerar du den reparerade datorn till skogen som en domänkontrollant:

    1. Gör något av följande:

      • Formatera hårddisken för den tidigare rollhållaren och installera sedan om Windows på datorn.
      • Tvångsdegradera den tidigare rollinnehavaren till en medlemsserver.

    2. På en annan domänkontrollant i skogen använder du Ntdsutil för att ta bort metadata för den tidigare rollinnehavaren. Mer information finns i Rensa servermetadata med hjälp av Ntdsutil.

    3. När du har rensat metadata kan du återställa datorn till en domänkontrollant och överföra tillbaka en roll till den.

  • Så här tar du bort datorn från skogen efter att ha tagit dess roller:

    1. Ta bort datorn från domänen.
    2. På en annan domänkontrollant i skogen använder du Ntdsutil för att ta bort metadata för den tidigare rollinnehavaren. Mer information finns i Rensa servermetadata med hjälp av Ntdsutil.

Överväganden vid återintegrering av replikeringsöar

När en del av en domän eller skog inte kan kommunicera med resten av domänen eller skogen under en längre tid kallas de isolerade delarna av domänen eller skogen för replikeringsöar. Domänkontrollanter på en ö kan inte replikeras med domänkontrollanterna på andra öar. Över flera replikeringscykler är replikeringsöarna inte synkroniserade. Om varje ö har sina egna rollinnehavare i Operations Master kan du få problem när du återställer kommunikationen mellan öarna.

Viktigt

I de flesta fall kan du dra nytta av det inledande replikeringskravet (enligt beskrivningen i den här artikeln) för att ta bort duplicerade rollinnehavare. En omstartad rollinnehavare bör avsäga sig rollen om den identifierar en duplicerad rollinnehavare.
Du kan stöta på omständigheter som det här beteendet inte löser. I sådana fall kan informationen i det här avsnittet vara till hjälp.

I följande tabell identifieras de åtgärdshanterarroller som kan orsaka problem om en skog eller domän har flera rollinnehavare för den rollen:

Roll Potentiella konflikter mellan flera rollinnehavare?
Schemahanterare Ja
Administratör för domännamngivning Ja
RID-administratör Ja
PDC-emulator Nej
Infrastrukturadministratör Nej

Det här problemet påverkar inte PDC-emulatorns huvudnamn eller infrastrukturhanteraren. Dessa rollinnehavare bevarar inte driftdata. Dessutom gör infrastrukturhanteraren inte ändringar ofta. Om flera öar har dessa rollinnehavare kan du därför återintegrera öarna utan att orsaka långsiktiga problem.

Schemahanteraren, domännamngivningshanteraren och RID-huvudservern kan skapa objekt och spara ändringar i Active Directory. Varje ö som har någon av dessa rollinnehavare kan ha duplicerade och motstridiga schemaobjekt, domäner eller RID-pooler när du återställer replikeringen. Innan du återintegrerar öar ska du bestämma vilka rollinnehavare som ska behållas. Ta bort alla duplicerade schemahanterare, domännamngivningshanterare och RID-hanterare genom att följa de procedurer för reparation, borttagning och rensning som nämns i den här artikeln.

Referenser

Mer information finns i: