Bằng cách sử dụng Ntdsutil.exe để chuyển hoặc giữ vai trò FSMO lên bộ kiểm soát miền

Hỗ trợ cho Windows Server 2003 đã kết thúc vào ngày 14 tháng 7 năm 2015

Microsoft đã kết thúc hỗ trợ cho Windows Server 2003 vào ngày 14 tháng 7 năm 2015. Thay đổi này đã ảnh hưởng đến các bản cập nhật phần mềm và tùy chọn bảo mật của bạn. Tìm hiểu ý nghĩa của điều này với bạn và cách thực hiện để luôn được bảo vệ.

QUAN TRỌNG: Bài viết này được dịch bằng phần mềm dịch máy của Microsoft chứ không phải do con người dịch. Microsoft cung cấp các bài viết do con người dịch và cả các bài viết do máy dịch để bạn có thể truy cập vào tất cả các bài viết trong Cơ sở Kiến thức của chúng tôi bằng ngôn ngữ của bạn. Tuy nhiên, bài viết do máy dịch không phải lúc nào cũng hoàn hảo. Loại bài viết này có thể chứa các sai sót về từ vựng, cú pháp hoặc ngữ pháp, giống như một người nước ngoài có thể mắc sai sót khi nói ngôn ngữ của bạn. Microsoft không chịu trách nhiệm về bất kỳ sự thiếu chính xác, sai sót hoặc thiệt hại nào do việc dịch sai nội dung hoặc do hoạt động sử dụng của khách hàng gây ra. Microsoft cũng thường xuyên cập nhật phần mềm dịch máy này.

Nhấp chuột vào đây để xem bản tiếng Anh của bài viết này:255504
TÓM TẮT
Bài viết này mô tả cách sử dụng tiện ích Ntdsutil.exe để chuyển giao hoặc chiếm vai trò linh hoạt duy nhất Master hoạt động (FSMO).
THÔNG TIN THÊM
Một số tên miền và hoạt động của doanh nghiệp toàn là không tốt để Cập Nhật multi-master được thực hiện bởi bộ điều khiển tên miền duy nhất trong một tên miền Active Directory hay rừng. Các bộ điều khiển vùng đang được chỉ định để thực hiện các hoạt động duy nhất được gọi là thạc sĩ hoạt động hoặc FSMO vai trò chủ sở hữu.

Danh sách sau đây mô tả vai trò FSMO 5 duy nhất trong một rừng Active Directory và các hoạt động phụ thuộc của họ thực hiện:
  • Giản đồ Thạc sĩ - vai trò chủ Schema rừng rộng và có một trong mỗi rừng ẩm ướt. Vai trò này là cần thiết để mở rộng giản đồ của một rừng Active Directory hoặc chạy các adprep /domainprep bộ chỉ huy.
  • Tên miền đặt tên thầy - The Domain đặt tên vai trò chủ toàn rừng và có một cho mỗi rừng. Vai trò này là cần thiết để thêm hoặc loại bỏ tên miền hoặc ứng dụng phân vùng đến hoặc từ một khu rừng.
  • Thoát KHỎI Thạc sĩ - vai trò chủ RID toàn miền và không một cho mỗi tên miền. Vai trò này là bắt buộc để phân bổ các hồ bơi RID để các bộ điều khiển tên miền mới hoặc hiện tại có thể tạo tài khoản người dùng, tài khoản máy tính hoặc các nhóm bảo mật.
  • PDC mô phỏng - vai trò giả lập PDC toàn miền và không một cho mỗi tên miền. Vai trò này là cần thiết cho bộ điều khiển tên miền đó sẽ gửi thông tin Cập Nhật cơ sở dữ liệu cho bộ điều khiển vùng sao lưu Windows NT. Điều khiển vùng sở hữu vai trò này cũng nhắm mục tiêu của một số công cụ quản lý và Cập Nhật của người sử dụng tài khoản và máy tính mật khẩu tài khoản.
  • Cơ sở hạ tầng Thạc sĩ - vai trò chủ cơ sở hạ tầng toàn miền và không một cho mỗi tên miền. Vai trò này là cần thiết cho bộ điều khiển vùng để chạy các adprep /forestprep lệnh thành công và Cập Nhật SID thuộc tính và phân biệt tên thuộc tính cho các đối tượng được tham chiếu qua tên miền.
Thuật sĩ cài đặt thư mục hoạt động (Dcpromo.exe) đặt tất cả 5 FSMO vai trò bộ điều khiển tên miền đầu tiên trong tên miền gốc rừng. Bộ điều khiển tên miền đầu tiên trong mỗi đứa trẻ mới hoặc cây miền được gán vai trò toàn miền ba.Bộ điều khiển vùng tiếp tục vai trò FSMO riêng cho đến khi họ được bố trí bằng cách sử dụng một trong những phương pháp sau đây:
  • Người quản trị reassigns vai trò bằng cách sử dụng một công cụ hành chính GUI.
  • Người quản trị reassigns vai trò bằng cách sử dụng các ntdsutil /roles bộ chỉ huy.
  • Người quản trị gracefully demotes điều khiển vùng đang nắm giữ vai trò bằng cách sử dụng thuật sĩ cài đặt Active Directory. Thuật sĩ này reassigns bất kỳ vai trò tổ chức tại địa phương để một bộ điều khiển tên miền hiện có trong rừng.Demotions được thực hiện bằng cách sử dụng các dcpromo /forceremoval lệnh rời khỏi vai trò FSMO trong trạng thái không hợp lệ cho đến khi họ được bố trí bởi người quản trị.
Chúng tôi đề nghị rằng bạn chuyển FSMO vai trò trong các kịch bản sau đây:
  • Người giữ vai trò hiện tại là hoạt động và có thể được truy cập trên mạng của chủ sở hữu FSMO mới.
  • Bạn đang gracefully demoting một bộ điều khiển tên miền hiện đang sở hữu FSMO vai trò bạn muốn gán cho một bộ điều khiển tên miền cụ thể trong rừng Active Directory của bạn.
  • Bộ điều khiển tên miền hiện đang sở hữu FSMO vai trò đang được thực hiện offline cho bảo trì theo lịch trình và bạn cần cụ thể FSMO vai trò được gán cho một bộ điều khiển tên miền "sống". Điều này có thể được yêu cầu để thực hiện thao tác kết nối với chủ sở hữu FSMO. Điều này sẽ được đặc biệt đúng cho vai trò giả lập PDC nhưng ít đúng đối với vai trò chủ RID, tên miền đặt tên vai trò chủ và vai trò chủ Schema.
Chúng tôi đề nghị rằng bạn nắm bắt FSMO vai trò trong các kịch bản sau đây:
  • Người giữ vai trò hiện tại đang trải qua một lỗi hoạt động có thể ngăn chặn một FSMO, phụ thuộc vào hoạt động từ hoàn tất thành công và vai trò mà không thể được chuyển giao.
  • Điều khiển vùng sở hữu một vai trò FSMO là lực lượng hạ cấp bằng cách sử dụng các dcpromo /forceremoval bộ chỉ huy.
  • Hệ điều hành trên máy tính ban đầu được sở hữu một vai trò cụ thể không còn tồn tại hoặc đã được cài đặt lại.
Như nhân rộng xảy ra, không FSMO bộ kiểm soát miền trong miền hoặc rừng được đầy đủ kiến thức về những thay đổi được thực hiện bởi bộ điều khiển vùng đang nắm giữ FSMO. Nếu bạn phải chuyển giao một vai trò, điều khiển miền của ứng cử viên tốt nhất là một trong đó là trong tên miền thích hợp tác trong nước nhân rộng, hay gần đây trong nước-nhân rộng bản ghi của phân vùng FSMO"" từ người giữ vai trò hiện tại. Ví dụ, người Schema chủ vai trò-giữ có đường phân biệt tên của CN = giản đồ, CN = cấu hình, dc =<forest root="" domain="">, và điều này có nghĩa rằng vai trò cư trú tại và được nhân rộng như một phần của CN = lược đồ phân vùng. Nếu điều khiển vùng giữ vai trò chủ Schema kinh nghiệm một sự thất bại phần cứng hoặc phần mềm, một ứng cử viên tốt vai trò chủ sẽ là điều khiển vùng trong tên miền gốc và trong cùng một trang web thư mục hoạt động như chủ sở hữu hiện tại. Bộ kiểm soát miền trong cùng một trang web thư mục hoạt động thực hiện trong nước nhân rộng mỗi 5 phút hoặc 15 giây. </forest>

Phân vùng cho mỗi vai trò FSMO là trong danh sách sau:

FSMO vai tròPhân vùng
Lược đồCN = Schema, CN = cấu hình, DC =<forest root="" domain=""></forest>
Thạc sĩ đặt tên miềnCN = cấu hình, DC =<forest root="" domain=""></forest>
PDCDC =<domain></domain>
THOÁTDC =<domain></domain>
Cơ sở hạ tầngDC =<domain></domain>


Điều khiển vùng có vai trò FSMO đã được thu giữ không nên được cho phép để giao tiếp với bộ điều khiển tên miền hiện có trong rừng. Trong trường hợp này, bạn nên hoặc định dạng đĩa cứng và cài đặt lại hệ điều hành trên các bộ điều khiển vùng hoặc buộc demote như bộ điều khiển tên miền trên một mạng lưới tư nhân và sau đó loại bỏ siêu dữ liệu của họ trên một bộ điều khiển tên miền còn sống sót trong rừng bằng cách sử dụng các dọn dẹp /metadata ntdsutil bộ chỉ huy. Nguy cơ giới thiệu một cựu FSMO vai trò chủ có vai trò đã được thu giữ vào rừng là người giữ vai trò ban đầu có thể tiếp tục hoạt động như trước cho đến khi sao nó trong nước-chép kiến thức về việc chiếm giữ vai trò. Được biết đến những rủi ro của hai bộ kiểm soát miền sở hữu FSMO cùng một vai trò bao gồm việc tạo ra hiệu trưởng an ninh có chồng chéo RID hồ bơi, và các vấn đề khác.

Chuyển FSMO vai trò

Để chuyển các vai trò FSMO bằng cách sử dụng các tiện ích Ntdsutil, làm theo các bước sau:
  1. Đăng nhập vào một thành viên dựa trên Windows 2000 Server hoặc Windows Server 2003 trên máy tính hoặc bộ điều khiển vùng này nằm ở rừng nơi FSMO vai trò đang được chuyển giao. Chúng tôi khuyên bạn nên đăng mà bạn nhập vào bộ điều khiển tên miền mà bạn gán vai trò FSMO. Người dùng đăng nhập vào nên là một thành viên của nhóm người quản trị doanh nghiệp để chuyển Schema Thạc sĩ hoặc tên miền đặt tên vai trò chủ, hoặc một thành viên của nhóm quản trị viên tên miền của các tên miền mà giả lập PDC, RID master và vai trò chủ cơ sở hạ tầng đang được chuyển.
  2. Nhấp vào Bắt đầu, bấm Chạy, loại ntdsutil trong các Mở hộp, và sau đó bấm Ok.
  3. Loại vai trò, và sau đó nhấn ENTER.

    Chú ý Để xem danh sách các lệnh có sẵn tại bất kỳ một trong các chỉ dẫn trong các Ntdsutil tiện ích, loại ?, và sau đó nhấn ENTER.
  4. Loại các kết nối, vaø sau ñoù baám NHẬP.
  5. Loại kết nối tới hệ phục vụServerName, và sau đó nhấn ENTER, nơi ServerName là tên của bộ điều khiển tên miền bạn muốn gán vai trò FSMO để.
  6. Tại các kết nối máy chủ nhanh chóng, loại q, và sau đó nhấn ENTER.
  7. Loại chuyển giao vai trò, nơi vai trò là vai trò mà bạn muốn chuyển. Đối với một danh sách các vai trò mà bạn có thể chuyển giao, gõ ? tại các bảo trì fsmo nhắc, và sau đó nhấn ENTER hoặc xem danh sách vai trò ở đầu bài viết này. Ví dụ, để chuyển các vai trò chủ RID, gõ Thạc sĩ chuyển thoát. Ngoại trừ một là cho vai trò giả lập PDC, cú pháp có là chuyển pdc, không chuyển giả lập pdc.
  8. Tại các bảo trì fsmo nhanh chóng, loại q, và sau đó nhấn ENTER để truy cập vào các ntdsutil dấu nhắc. Loại q, và sau đó nhấn ENTER để thoát khỏi các tiện ích Ntdsutil.

Giữ vai trò FSMO

Để nắm bắt các vai trò FSMO bằng cách sử dụng các tiện ích Ntdsutil, làm theo các bước sau:
  1. Đăng nhập vào một thành viên dựa trên Windows 2000 Server hoặc Windows Server 2003 trên máy tính hoặc bộ điều khiển vùng này nằm ở rừng nơi FSMO vai trò đang bị tịch thu. Chúng tôi khuyên bạn nên đăng mà bạn nhập vào bộ điều khiển tên miền mà bạn gán vai trò FSMO. Người dùng đăng nhập vào nên là một thành viên của nhóm người quản trị doanh nghiệp để chuyển giản đồ hoặc tên miền đặt tên vai trò chủ, hoặc một thành viên của nhóm quản trị viên tên miền của các tên miền mà giả lập PDC, RID master và vai trò chủ cơ sở hạ tầng đang được chuyển.
  2. Nhấp vào Bắt đầu, bấm Chạy, loại ntdsutil trong các Mở hộp, và sau đó bấm Ok.
  3. Loại vai trò, và sau đó nhấn ENTER.
  4. Loại các kết nối, vaø sau ñoù baám NHẬP.
  5. Loại kết nối tới hệ phục vụServerName, và sau đó nhấn ENTER, nơiServerName là tên của bộ điều khiển tên miền mà bạn muốn gán vai trò FSMO để.
  6. Tại các kết nối máy chủ nhanh chóng, loại q, và sau đó nhấn ENTER.
  7. Loại nắm bắtvai trò, nơivai trò là vai trò mà bạn muốn nắm bắt. Để biết danh sách vai trò mà bạn có thể nắm bắt, loại ? tại các bảo trì fsmo nhắc, và sau đó nhấn ENTER hoặc xem danh sách vai trò tại các bắt đầu của bài viết này. Ví dụ, chiếm vai trò chủ RID, gõ nắm bắt thoát khỏi Thạc sĩ. Ngoại trừ một là dành cho PDC vai trò giả lập, cú pháp có là nắm bắt pdc, không nắm bắt pdc giả lập.
  8. Tại các bảo trì fsmo nhanh chóng, loại q, và sau đó nhấn ENTER để truy cập vào các ntdsutil dấu nhắc. Loại q, và sau đó nhấn ENTER để thoát khỏi các tiện ích Ntdsutil.

    Chú ý
    • Các điều kiện tiêu biểu, tất cả vai trò năm phải được chỉ định để "sống" bộ kiểm soát miền trong rừng. Nếu điều khiển vùng sở hữu một vai trò FSMO được lấy ra khỏi dịch vụ trước khi vai trò của nó được chuyển giao, bạn phải nắm bắt tất cả vai trò để một bộ điều khiển tên miền thích hợp và khỏe mạnh. Chúng tôi đề nghị rằng bạn chỉ nắm bắt tất cả vai trò khi bộ điều khiển vùng khác không quay trở về tên miền. Nếu có thể, sửa chữa điều khiển vùng bị hỏng được gán vai trò FSMO. Bạn nên xác định vai trò mà là để vào đó bộ điều khiển vùng còn lại do đó tất cả năm vai trò được gán cho một bộ điều khiển tên miền duy. Để biết thêm chi tiết về vị trí FSMO vai trò, nhấp vào số bài viết sau để xem bài viết trong cơ sở kiến thức Microsoft:
      223346FSMO theo vị trí và tối ưu hóa trên bộ kiểm soát miền Windows 2000
    • Nếu điều khiển vùng đó trước đây là tổ chức bất kỳ FSMO vai trò không phải là hiện nay thuộc về phạm vi và nếu nó đã có vai trò của nó bị tịch thu bằng cách sử dụng các bước trong bài viết này, loại bỏ nó từ Active Directory bằng cách làm theo các thủ tục được vạch ra trong bài viết cơ sở kiến thức Microsoft sau:
      216498 Làm thế nào để xoá dữ liệu trong thư mục hoạt động sau khi một bộ điều khiển tên miền không thành công việc
    • Loại bỏ siêu dữ liệu bộ điều khiển tên miền với các phiên bản Windows 2000 hoặc Windows Server 2003 xây dựng 3790 Phiên bản của các dọn dẹp /metadata ntdsutil lệnh không di dời FSMO vai trò được gán cho sống bộ kiểm soát miền. Phiên bản Windows Server 2003 Service Pack 1 (SP1) của tiện ích Ntdsutil tự động hóa các nhiệm vụ này và loại bỏ các yếu tố bổ sung của siêu dữ liệu bộ điều khiển tên miền.
    • Một số khách hàng không muốn khôi phục bản sao lưu trạng thái hệ thống của FSMO vai trò-chủ sở hữu trong trường hợp vai trò đã được chuyển qua kể từ khi sao lưu được thực hiện.
    • Đừng để vai trò chủ cơ sở hạ tầng trên cùng một điều khiển vùng như hệ phục vụ toàn cầu danh mục. Nếu chủ cơ sở hạ tầng chạy trên một máy chủ cửa hàng toàn cầu nó dừng lại Cập nhật thông tin đối tượng bởi vì nó không chứa bất kỳ tài liệu tham khảo cho các đối tượng mà nó không giữ. Điều này là do một máy chủ cửa hàng toàn cầu giữ một bản sao một phần của mọi đối tượng trong rừng.
Để thử nghiệm cho dù bộ kiểm soát miền là cũng là một máy chủ toàn cầu danh mục:
  1. Nhấp vào Bắt đầu, điểm đến Chương trình, điểm đến Công cụ quản trị, và sau đó nhấp vào Hoạt động thư mục các trang web và Dịch vụ.
  2. Bấm đúp Các trang web trong ngăn bên trái, và sau đó xác định vị trí các trang web thích hợp hoặc Nhấp vào Đầu tiên-trang web-teân maëc ñònh Nếu không có các trang web khác có sẵn.
  3. Mở thư mục máy chủ, và sau đó nhấp vào bộ điều khiển tên miền.
  4. Trong thư mục của điều khiển vùng, bấm đúp vào Cài đặt NTDS.
  5. Trên các Hành động trình đơn, nhấp vào Thuộc tính.
  6. Trên các Tổng quát tab, xem các Toàn cầu Catalog hộp kiểm tra để xem nếu nó được chọn.
Để biết thêm chi tiết về FSMO vai trò, nhấp vào số bài viết sau để xem các bài viết trong cơ sở kiến thức Microsoft:
197132Windows 2000 Active Directory FSMO vai trò
223787 Linh hoạt đơn Master hoạt động chuyển giao và chiếm giữ quá trình
Các bước tái tạo sự cố
Chạy DCPROMO trên một máy tính Windows Server 2008 để tham gia một tên miền mà là bậc thầy RID là gián tuyến. Bạn sẽ nhận được một cảnh báo rằng bạn phải có một bậc thầy RID hoạt động. Sau đó, bạn sẽ thấy một tham chiếu đến bài viết KB 255504.
win2000hotds

Cảnh báo: Bài viết này được dịch tự động

Thuộc tính

ID Bài viết: 255504 - Xem lại Lần cuối: 09/11/2011 23:08:00 - Bản sửa đổi: 3.0

Microsoft Windows Server 2003, Standard Edition (32-bit x86), Microsoft Windows Server 2003, Enterprise Edition (32-bit x86), Microsoft Windows Server 2003, Datacenter Edition (32-bit x86), Microsoft Windows 2000 Server, Microsoft Windows 2000 Advanced Server, Windows Server 2008 Datacenter, Windows Server 2008 Enterprise, Windows Server 2008 Standard

  • kbhowto kbmt KB255504 KbMtvi
Phản hồi