在 Active Directory 域服务 中转移或扣押操作主机角色

  • 项目

本文介绍何时以及如何转移或获取操作主机角色(以前称为灵活单主操作 (FSMO) 角色)。

适用于:Windows Server 2022、Windows Server 2019、Windows Server 2016、Windows Server 2012 R2、Windows Server 2012
原始 KB 编号: 255504

更多信息

在 Active Directory 域服务 (AD DS) 林中,有些特定任务只能由一个域控制器 (DC) 执行。 分配用于执行这些唯一操作的 DC 称为操作主机角色持有者。 下表列出了操作主机角色及其在 Active Directory 中的位置。

Role 范围 命名上下文(Active Directory 分区)
架构主机 林范围 CN=架构,CN=配置,DC=<林根域>
域命名主机 林范围 CN=configuration,DC=<林根域>
PDC 仿真器 域范围 DC=<domain>
RID 主机 域范围 DC=<domain>
基础结构主机 域范围 DC=<domain>

有关操作主机角色持有者和放置角色的建议的详细信息,请参阅 Active Directory 域控制器上的 FSMO 放置和优化

注意

包含 DNS 应用程序分区的 Active Directory 应用程序分区具有 Operation Master 角色链接。 如果 DNS 应用程序分区定义了基础结构主 (IM) 角色的所有者,则无法使用 Ntdsutil、DCPromo 或其他工具删除该应用程序分区。 有关详细信息,请参阅在无法联系 DNS 基础结构主机时 DCPROMO 降级会失败

例如,当一直充当角色持有者的 DC 开始运行 ((例如,在发生故障或关闭) 后),它不会立即恢复作为角色持有者的行为。 DC 将在收到其命名上下文的入站复制前保持等待(例如,架构主机角色所有者会等待接收架构分区的入站复制)。

DC 作为 Active Directory 复制的一部分传递的信息包括当前操作主机角色持有者的标识。 当新启动的 DC 收到入站复制信息时,它会验证它是否仍然是角色持有者。 如果是,则会恢复典型操作。 如果复制的信息指示另一个 DC 在充当角色持有者,则新启动的 DC 将放弃其角色所有权。 此行为可降低域或林具有重复 Operation Master 角色持有者的可能性。

重要

如果 AD FS 操作需要角色持有者,并且新启动的角色持有者实际上是角色持有者,并且它不接收入站复制,则 AD FS 操作会失败。
最终行为类似于角色持有者脱机时将发生的情况。

确定何时转移或捕获角色

通常情况下,必须将这五个角色全部分配给林中的“活动”DC。 创建 Active Directory 林时,Active Directory 安装向导 (Dcpromo.exe) 将所有五个操作主机角色分配给它在林根域中创建的第一个 DC。 创建子域或树域时,创建机制会将三个域范围的角色分配给域中的第一个 DC。

DC 将继续拥有 Operation Master 角色,直到使用以下方法之一重新分配它们:

  • 管理员使用 GUI 管理工具重新分配角色。
  • 管理员使用 ntdsutil /roles 命令重新分配角色。
  • 管理员使用 Active Directory 安装向导正常降级拥有某个角色的 DC。 该向导会将任何本地持有的角色重新分配给林中的现有 DC。
  • 管理员使用 Uninstall-ADDSDomainController -ForceRemovaldcpromo /forceremoval 命令将角色持有 DC 降级。
  • DC 关闭并重启。 当 DC 重启时,它会收到入站复制信息,指示另一个 DC 是角色持有者。 在这种情况下,新启动的 DC 将放弃该角色(如前所述)。

如果操作主机角色持有者在转移其角色之前遇到故障或以其他方式停止服务,则必须抓住所有角色并将其转移到适当且正常的 DC。

建议在以下情况下转移操作主机角色:

  • 当前角色持有者是可操作的,可由新的操作主所有者在网络上访问。
  • 你正在正常降级当前拥有要分配给 Active Directory 林中特定 DC 的操作主机角色的 DC。
  • 当前拥有操作主机角色的 DC 正在脱机进行计划维护,你必须将特定的操作主机角色分配给实时 DC。 可能需要转移角色才能执行影响操作主所有者的操作。 对于 PDC 仿真器角色尤其如此。 对于 RID 主机角色、域命名主机角色和架构主机角色而言,这不是一个大问题。

建议在以下情况下使用 Operation Master 角色:

  • 当前角色持有者遇到操作错误,导致依赖于操作主机的操作无法成功完成,并且无法转移角色。

  • 使用 Uninstall-ADDSDomainController -ForceRemovaldcpromo /forceremoval 命令强制降级拥有 Operation Master 角色的 DC。

    重要

    force-demote 命令会使 Operation Master 角色保持无效状态,直到管理员重新分配这些角色。

  • 原来担任某个特定角色的计算机上的操作系统不再存在或者已被重新安装。

注意

  • 建议仅当上一个角色持有者未返回域时,才获取所有角色。
  • 如果必须在林恢复方案中捕获操作主机角色,请参阅还原每个域中的第一个可写域控制器部分下执行初始恢复中的步骤 5。
  • 角色转移或扣押后,新角色持有者不会立即采取行动。 相反,新角色持有者的行为类似于重启的角色持有者,并等待角色(如域分区)的命名上下文副本成功完成入站复制循环。 此复制要求有助于确保新角色持有者在做出动作之前尽可能保持最新。 它还限制了出错机会的窗口。 此窗口仅包括前一角色持有者在脱机之前未完全复制到其他 DC 的更改。 有关每个操作主机角色的命名上下文的列表,请参阅 更多信息 部分的表。

确定新的角色持有者

新角色持有者的最佳候选对象是符合以下条件的 DC:

  • 它与前一个角色持有者位于同一个域中。
  • 它具有角色分区的最新复制可写副本。

例如,假设必须转移架构主机角色。 架构主机角色是林的架构分区的一部分, (CN=Schema,CN=Configuration,DC=<林根域>) 。 新角色持有者的最佳候选对象是同样驻留在目录林根级域中的 DC,并且与当前角色持有者位于同一 Active Directory 站点中。

警告

如果满足以下条件,则不再需要基础结构主角色:

  • 域中的所有域控制器都是全局目录 (GC) 。 在这种情况下,GC 会获取删除跨域引用的更新。
  • 林中启用了 AD 回收站。 在这种情况下,每个 DC 负责更新其引用。

我们建议你仍定义基础结构主机的适当所有者,以避免监视工具的错误和警告。

如果仍需要基础结构主机角色:
不要将基础结构主机角色放在全局编录服务器所在的同一 DC 上。 如果基础结构主机在全局编录服务器上运行,它将停止更新对象信息,因为它不包含对它不保存的对象的任何引用。 而全局编录服务器持有林中每个对象的部分副本。

启用 Active Directory 回收站后,不再使用基础结构主角色。 AD 回收站更改了处理要删除的对象引用的方法。

若要测试 DC 是否也是全局编录服务器,请执行以下步骤:

使用 Active Directory 站点和服务

  1. 选择“开始”>“程序”>“管理工具”>“Active Directory 站点和服务”
  2. 在导航窗格中,双击“ 网站 ”,然后找到相应的站点,或者如果没有其他可用网站,请选择“ 默认优先站点名称 ”。
  3. 打开 “服务器” 文件夹,然后选择 DC。
  4. 在 DC 的文件夹中,双击“NTDS 设置”
  5. 在“操作”菜单上,选择“属性”
  6. 在“常规”选项卡上,查看“全局编录检查”框以查看它是否已选中。

使用 Windows PowerShell

  1. 启动 PowerShell。

  2. 键入以下 cmdlet,并使用实际 DC 名称进行调整 DC_NAME

    (Get-ADDomainController -Filter { Name -Eq 'DC_NAME' }).IsGlobalCatalog

  3. 输出将为 TrueFalse

有关更多信息,请参阅:

捕获或转移操作主机角色

可以使用 Windows PowerShell 或 Ntdsutil 来捕获或转移角色。 有关如何将 PowerShell 用于这些任务的信息和示例,请参阅 Move-ADDirectoryServerOperationMasterRole

重要

为避免域中出现重复 SID 的风险,在捕获 RID 主机角色时,Rid Master 会捕获池中的下一个可用 RID。 此行为可能导致林显著消耗可用 RID 值的范围, (也称为 RID 刻录) 。 因此,只有在你确定当前 Rid Master 无法恢复服务时,才抓住 Rid Master。

如果必须抓住 RID 主机角色,请考虑以下详细信息:

  • Move-ADDirectoryServerOperationMasterRole cmdlet 将下一个 Rid 池从 Active Directory 中找到的池增加 30,000。
  • Ntdsutil.exe 实用工具与类别命令一起使用 roles 时,下一个 Rid 池会增加 10,000。

若要使用 Ntdsutil 实用工具获取或转移 Operation Master 角色,请执行以下步骤:

  1. 登录到安装了 AD RSAT 工具的成员计算机,或位于要转移 Operation Master 角色的林中的 DC。

    注意

    • 建议登录到要向其分配 Operation Master 角色的 DC。
    • 登录用户应该是要转移架构主机或域命名主角色的企业管理员组的成员,或者是要转移 PDC 模拟器、RID 主机和基础结构主机角色的域的域管理员组的成员。

  2. 选择“开始”>“运行”,在“打开”中键入“ntdsutil”,然后选择“确定”

  3. 键入“roles”,然后按 Enter。

    注意

    要在 Ntdsutil 实用工具中的任一提示符处查看可用命令的列表,请键入“?”,然后按 Enter。

  4. 键入“connections”,然后按 Enter。

  5. 键入 “连接到服务器 <服务器名称>”,然后按 Enter。

    注意

    在此命令中, <servername> 是要为其分配 Operation Master 角色的 DC 的名称。

  6. 在“server connections”提示符处,键入“q”,然后按 Enter。

  7. 请执行下列操作:

    • 若要转移角色:键入 “转移 <角色>”,然后按 Enter。

      注意

      在此命令中, <角色> 是要转移的角色。

    • 若要捕获角色:键入 “抓住 <角色>”,然后按 Enter。

      注意

      在此命令中, <角色> 是要捕获的角色。

    例如,要捕获 RID 主机角色,键入 seize rid master。 存在一些例外情况:PDC 模拟器角色的语法为 seize pdc,而域命名主机角色的语法为 seize naming master

    若要查看可转移或捕获的角色列表,请在 fsmo 维护提示符下键入 ,然后按 Enter,或查看本文开头的角色列表。

  8. 在“fsmo maintenance”提示符处,键入“q”,然后按 Enter,以进入“ntdsutil”提示符。 键入“q”,然后按 Enter,退出 Ntdsutil 实用工具。

修复或删除以前的角色持有者时的注意事项

如果可能,并且能够转移角色,而不是夺取角色,请修复以前的角色持有者。 如果无法修复以前的角色持有者,或者你抓住了角色,请从域中删除上一个角色持有者。

重要

如果计划将修复后的计算机用作 DC,我们建议你从头开始将计算机重建为 DC,而不是从备份还原此 DC。 还原过程以角色持有者的身份再次重建 DC。

  • 若要将修复的计算机作为 DC 返回到林,请执行以下操作:

    1. 请执行下列操作:

      • 将前任角色持有者的硬盘格式化,然后在计算机上重新安装 Windows。
      • 强制将前任角色持有者降级到成员服务器。

    2. 在林中的另一个 DC 上,使用 Ntdsutil 删除前任角色持有者的元数据。 有关详细信息,请参阅使用 Ntdsutil 清理服务器元数据

    3. 清理元数据后,可以将计算机重新升级为 DC,然后将角色再次转移给它。

  • 若要在获取计算机角色后从林中删除计算机,请执行以下操作:

    1. 从域中删除计算机。
    2. 在林中的另一个 DC 上,使用 Ntdsutil 删除前任角色持有者的元数据。 有关详细信息,请参阅使用 Ntdsutil 清理服务器元数据

重新整合复制孤岛时的注意事项

如果域或林的一部分长时间无法与域或林的其余部分通信,则域或林的隔离部分称为复制岛。 一个岛中的 DC 不能与其他岛屿中的 DC 一起复制。 在多个复制周期中,复制岛不同步。如果每个岛都有自己的操作主机角色持有者,则恢复岛之间的通信时可能会遇到问题。

重要

在大多数情况下,你可以利用初始复制要求(如本文所述)来清除重复的角色持有者。 重启的角色持有者在检测到重复的角色持有者时应放弃角色。
你可能会遇到此行为无法解决的情况。 在这种情况下,本部分中的信息可能很有帮助。

下表标识了当林或域具有该角色的多个角色持有者时可能导致问题的操作主机角色:

Role 多个角色持有者之间存在潜在冲突?
架构主机
域命名主机
RID 主机
PDC 仿真器
基础结构主机

此问题不会影响 PDC 仿真器主机或基础结构主机。 这些角色持有者不会保留操作数据。 此外,基础结构主机不会经常进行更改。 因此,如果多个并行具有这些角色持有者,则可以重新集成这些并行,而不会造成长期问题。

架构主机、域命名主机和 RID 主机可以在 Active Directory 中创建对象并保留更改。 在还原复制时,每个具有这些角色持有者之一的并行可能具有重复且冲突的架构对象、域或 RID 池。 重新集成并行之前,请确定要保留的角色持有者。 按照本文中提到的修复、删除和清理过程,删除任何重复的架构主机、域命名主机和 RID 主机。

参考

有关更多信息,请参阅: