在 Active Directory 網域服務 中轉移或抓取作業主機角色

  • 發行項

本文說明何時以及如何轉移或擷取作業主機角色,先前稱為彈性單一主機作業 (FSMO) 角色。

適用於:Windows Server 2022、Windows Server 2019、Windows Server 2016、Windows Server 2012 R2、Windows Server 2012
原始 KB 編號: 255504

其他資訊

在 Active Directory 網域服務 (AD DS) 樹系中,只有一個網域控制站 (DC) 必須執行特定工作。 指派來執行這些唯一作業的DC稱為「作業主機」角色持有者。 下表列出作業主機角色,以及它們在 Active Directory 中的位置。

角色 範圍 命名內容 (Active Directory 磁碟分割區)
架構主機 全樹系 CN=Schema,CN=configuration,DC=<forest root domain>
網域命名主機 全樹系 CN=configuration,DC=<樹系根域>
PDC 模擬器 全網域 DC=<domain>
RID 主機 全網域 DC=<domain>
基礎結構主機 全網域 DC=<domain>

如需作業主機角色持有者的詳細資訊,以及放置角色的建議,請參閱 Active Directory 域控制器上的 FSMO 放置和優化

注意事項

包含 DNS 應用程式分割區的 Active Directory 應用程式分割區具有作業主機角色連結。 如果 DNS 應用程式分割區定義基礎結構主要 (IM) 角色的擁有者,您就無法使用 Ntdsutil、DCPromo 或其他工具來移除該應用程式分割區。 如需詳細資訊,請參閱 如果無法連絡 DNS 基礎結構主機,DCPROMO 降級會失敗

例如,當已作為角色持有者的DC開始執行 (在失敗或關機) 之後,它不會立即以角色持有者身分繼續運作。 DC 會一直等待,直到其接收到其命名內容的輸入複寫 (例如,架構主機角色擁有者會等候接收架構分割區的輸入複寫)。

DC 在 Active Directory 複寫過程中傳遞的資訊包括目前作業主機角色持有者的身分識別。 當新啟動的 DC 收到輸入複寫資訊時,它會驗證它是否仍是角色持有者。 如果是,則會繼續一般作業。 如果複寫的資訊指出另一個 DC 作為角色持有者,新啟動的 DC 就會放棄其角色擁有權。 此行為可減少網域或樹系具有重複的作業主機角色持有者的機會。

重要事項

如果AD FS作業需要角色持有者,且新啟動的角色持有者事實上是角色持有者,且未收到輸入複寫,則AD FS作業會失敗。
產生的行為類似于角色持有者離線時會所發生的情況。

判斷何時要傳輸或拿取角色

在一般情況下,這 5 種角色全都必須指派到樹系「現用」的網域控制站中。 當您建立 Active Directory 樹系時,Active Directory 安裝精靈 (Dcpromo.exe) 將所有五個作業主機角色指派給它在樹系根域中建立的第一個 DC。 當您建立子域或樹狀架構網域時,建立機制會將三個全網域角色指派給網域中的第一個 DC。

DC 會繼續擁有作業主機角色,直到使用下列其中一種方法重新指派它們為止:

  • 系統管理員以 GUI 系統管理工具重新指派角色。
  • 系統管理員以 ntdsutil /roles 命令重新指派角色。
  • 系統管理員以 Active Directory 安裝精靈,緩和地將持有角色的網域控制站降階。 該精靈會將所有本機持有的角色重新指派給樹系中現有的網域控制站。
  • 系統管理員會使用 Uninstall-ADDSDomainController -ForceRemovaldcpromo /forceremoval 命令來降級角色持有DC。
  • DC 會關閉並重新啟動。 當 DC 重新開機時,它會收到輸入複寫資訊,指出另一個 DC 是角色持有者。 在此情況下,新啟動的 DC 會放棄角色 (如先前所述)。

如果作業主機角色持有者遇到失敗,或在轉移其角色之前被服務中斷,您必須擷取所有角色,並將其轉移至適當且狀況良好的 DC。

建議您在下列案例中轉移作業主機角色:

  • 目前的角色持有者可運作,而且可由新的作業主機擁有者在網路上存取。
  • 您正在正常降級目前擁有您想要指派給 Active Directory 樹系中特定 DC 之作業主機角色的 DC。
  • 目前擁有作業主機角色的 DC 正在離線進行排程維護,而且您必須將特定的作業主機角色指派給即時 DC。 您可能必須轉移角色,才能執行會影響作業主機擁有者的作業。 這對於 PDC Emulator 角色而言尤其是如此。 對於 RID 主機角色、網域命名主機角色和架構主機角色而言,這是較不重要的問題。

建議您在下列案例中擷取作業主機角色:

  • 目前的角色持有者遇到操作錯誤,導致作業主機相依作業無法順利完成,而且您無法轉移角色。

  • 您可以使用 Uninstall-ADDSDomainController -ForceRemovaldcpromo /forceremoval 命令來強制降級擁有作業主機角色的DC。

    重要事項

    命令 force-demote 可以讓作業主機角色處於無效狀態,直到系統管理員重新指派這些角色為止。

  • 原本擁有特定角色的電腦作業系統已不存在,或是已重新安裝。

注意事項

  • 建議您只在上一個角色持有者未返回網域時,才抓取所有角色。
  • If Operation Master roles have to be seized in forest recovery scenarios, see step 5 in Perform initial recovery under the Restore the first writeable domain controller in each domain section.
  • 在角色轉移或抓取之後,新的角色持有者不會立即採取行動。 相反地,新的角色持有者的行為就像重新開機的角色持有者,並等候其命名內容的複本,讓角色 (例如網域分割區) 完成順利的輸入複寫週期。 此複寫需求有助於確保新的角色持有者在採取動作之前,盡可能保持最新狀態。 它也會限制發生錯誤的機會視窗。 此視窗只包含前一個角色持有者未在離線前完成複寫至其他 DC 的變更。 For a list of the naming context for each Operation Master role, see the table at the More information section.

識別新的角色持有者

新角色持有者的最佳候選項目是符合下列準則的 DC:

  • 它位於與前一個角色持有者相同的網域中。
  • 它具有角色分割區的最新複寫可寫入複本。

例如,假設您必須傳輸架構主要角色。 架構主機角色是樹系架構分割的一部分, (CN=Schema,CN=Configuration,DC=<forest root domain>) 。 新角色持有者的最佳候選項目是同時位於樹系根網域中的 DC,以及與目前角色持有者位於相同的 Active Directory 站台中。

注意

如果下列條件成立,就不再需要基礎結構主要角色:

  • 網域中的所有域控制器都是全局編錄 (GC) 。 在此情況下,GC 會取得可移除跨網域參考的更新。
  • 已在樹系中啟用AD回收站。 在此情況下,每個 DC 都會負責更新其參考。

我們建議您仍定義基礎結構主機的適當擁有者,以避免監視工具發生錯誤和警告。

如果您仍然需要基礎結構主要角色:
請勿將基礎結構主要角色放在與全域編錄伺服器相同的DC上。 如果基礎結構主機在全域編錄伺服器上執行,則會停止更新物件資訊,因為它不包含它未保存之物件的任何參考。 這是因為通用類別目錄伺服器會保留樹系中每個物件的部分複本。

啟用 Active Directory 回收站之後,就不會再使用基礎結構主要角色。 AD 回收站會變更處理正在移除之物件轉介的方法。

若要測試DC是否也是全域編錄伺服器,請遵循下列步驟:

使用 Active Directory 月臺和服務

  1. 選取 [啟動]> [程式]> [系統管理工具]> [Active Directory 網站和服務]
  2. 在瀏覽窗格中,按兩下 [ 網站 ],然後找出適當的網站,如果沒有其他網站可用,請選取 [Default-first-site-name ]。
  3. 開啟 [伺服器] 資料夾,然後選取DC。
  4. 在網域控制站的資料夾中,按兩下 [NTDS 設定]
  5. 在 [動作] 功能表中,按一下 [內容]
  6. 在 [ 一般] 索引標籤上,檢視 [ 全域編錄 ] 複選框,以查看是否已選取。

使用 Windows PowerShell

  1. 啟動 PowerShell。

  2. 輸入下列 Cmdlet,並使用您實際的 DC 名稱進行調整 DC_NAME

    (Get-ADDomainController -Filter { Name -Eq 'DC_NAME' }).IsGlobalCatalog

  3. 輸出會是 TrueFalse

如需詳細資訊,請參閱:

抓取或轉移作業主機角色

您可以使用 Windows PowerShell 或 Ntdsutil 來抓取或轉移角色。 如需如何針對這些工作使用 PowerShell 的資訊和範例,請參閱 Move-ADDirectoryServerOperationMasterRole

重要事項

為了避免網域中重複 SID 的風險,當您抓取 RID 主機角色時,Rid Master 會遞增集區中下一個可用的 RID。 此行為可能會導致您的樹系大幅取用可用的 RID 值範圍, (也稱為 RID 刻錄) 。 因此,只有當您確定目前的 Rid Master 無法恢復服務時,才擷取 Rid Master。

如果您必須抓取 RID 主要角色,請考慮下列詳細數據:

  • Move-ADDirectoryServerOperationMasterRole Cmdlet 會從它在 Active Directory 中找到的內容增加 30,000 個 Rid 集區。
  • 當您使用 Ntdsutil.exe 公用程式搭配 roles 類別命令時,它會將下一個 Rid 集區增加 10,000。

若要使用 Ntdsutil 公用程式來擷取或轉移作業主機角色,請遵循下列步驟:

  1. 登入已安裝 AD RSAT 工具的成員電腦,或位於作業主機角色傳輸所在樹系中的 DC。

    注意事項

    • 建議您登入您要指派作業主機角色的 DC。
    • 登入的使用者應為企業系統管理員群組的成員,以傳送架構主機或網域命名主機角色,或是傳送 PDC 模擬器、RID 主機和基礎結構主要角色之網域的網域系統管理員群組成員。

  2. 依序按一下 [開始]>[執行],然後在 [開啟] 方塊中輸入 ntdsutil,然後按一下 [確定]

  3. 鍵入 roles,然後按下 Enter。

    注意事項

    注意若要在 Ntdsutil 公用程式的任一提示字元中,查看可用的指令清單,請輸入 ?,然後按下 ENTER。

  4. 鍵入 connections,然後按下 Enter。

  5. 輸入 connect to server <servername>,然後按 Enter。

    注意事項

    在此命令中, <servername> 是您要指派作業主機角色的DC名稱。

  6. server connections 提示字元中輸入 q,然後按下 ENTER。

  7. 執行下列其中一項動作:

    • 若要轉移角色:輸入 轉移 <角色>,然後按 Enter。

      注意事項

      在此命令中, <角色> 是您想要轉移的角色。

    • 若要抓取角色:輸入 擷取 <角色>,然後按 Enter。

      注意事項

      在此命令中, <角色> 是您想要抓取的角色。

    舉例來說,若要拿取 RID 主機角色,請輸入 seize rid master。 例外狀況有 PDC 模擬器角色,語法為 seize pdc,以及網域命名主機,其語法為 seize naming master

    若要查看您可以轉移或抓取的角色清單,請在 fsmo 維護提示中輸入 ,然後按 Enter 鍵,或在本文開頭查看角色清單。

  8. 請在 fsmo maintenance 提示字元中輸入 q,然後按下 ENTER,獲得存取 ntdsutil 提示字元的權限。 輸入 q,然後按下 ENTER,結束 Ntdsutil 公用程式。

修復或刪除以前的角色持有者時的注意事項

如果可以的話,而且如果您能夠轉移角色,而不是將角色傳送,請修正先前的角色持有者。 如果您無法修正前一個角色持有者,或是您擔任角色,請從網域中移除前一個角色持有者。

重要事項

如果您打算使用修復的電腦作為網域控制站,建議您從頭將電腦重建成網域控制站,而不是從備份還原網域控制站。 恢復過程會再次以角色持有人身分重建網域控制站。

  • 若要將修復的電腦以 DC 傳回樹系:

    1. 執行下列其中一項動作:

      • 格式化先前角色持有人的硬碟,然後在電腦上重新安裝 Windows。
      • 強制將先前的角色持有人降級為成員伺服器。

    2. 在樹系中的另一個網域控制站上,使用 Ntdsutil 移除先前角色持有人的中繼資料。 如需詳細資訊,請參閱 使用 Ntdsutil 清除伺服器中繼資料

    3. 清除中繼資料之後,您可以將電腦重新提升至網域控制站,並將角色轉移回網域控制站。

  • 若要在解除其角色之後從樹系中移除計算機:

    1. 從網域中移除電腦。
    2. 在樹系中的另一個網域控制站上,使用 Ntdsutil 移除先前角色持有人的中繼資料。 如需詳細資訊,請參閱 使用 Ntdsutil 清除伺服器中繼資料

重新整合複製離島時的注意事項

當網域或樹系的一部分長時間無法與網域或樹系的其餘部分通訊時,網域或樹系的隔離區段稱為複寫島。 一個島中的DC無法與其他離島中的DC一起複寫。 在多個復寫週期中,復寫離島會不同步。如果每個島都有自己的「作業主機」角色持有者,您在還原離島之間的通訊時可能會遇到問題。

重要事項

在大部分情況下,您可以利用本文中所述的初始複製需求 (,) 清除重複的角色持有者。 如果重新開機的角色持有者偵測到重複的角色持有者,則應該放棄該角色。
您可能會遇到此行為無法解決的情況。 在這種情況下,本節中的資訊可能會很有幫助。

下表識別如果樹系或網域具有該角色的多個角色持有者,可能會造成問題的作業主機角色:

角色 多個角色持有者之間可能發生衝突?
架構主機
網域命名主機
RID 主機
PDC 模擬器
基礎結構主機

此問題不會影響 PDC 模擬器主機或基礎結構主機。 這些角色持有者不會保存作業數據。 此外,基礎結構主機不會經常進行變更。 因此,如果多個島具有這些角色持有者,您可以重新整合該島,而不會造成長期問題。

架構主機、網域命名主機和 RID 主機可以建立物件,並在 Active Directory 中保留變更。 每個擁有其中一個角色持有者的島,在您還原複寫時,可能會有重複且衝突的架構物件、網域或 RID 集區。 重新整合島之前,請先決定要保留的角色持有者。 依照本文所述的修復、移除和清除程式,移除任何重複的架構主機、網域命名主機和 RID 主機。

參考

如需詳細資訊,請參閱: