Condividi tramite

Trasferire o assumere i ruoli Master operativi nei servizi di dominio di Active Directory

Questo articolo descrive quando e come trasferire o sequestrare i ruoli Master delle Operazioni, precedentemente noti come ruoli FSMO (Flexible Single Master Operations).

Numero KB originale: 255504

Ulteriori informazioni

All'interno di una foresta Active Directory Domain Services (AD DS), sono presenti attività specifiche che devono essere eseguite da un solo controller di dominio (DC). I controller di dominio assegnati per eseguire queste operazioni uniche sono noti come titolari di ruoli di master delle operazioni. Nella tabella seguente sono elencati i ruoli di Operation Master e il relativo posizionamento in Active Directory.

Ruolo Ambito Contesto dei nomi (partizione di Active Directory)
Schema principale A livello forestale CN=Schema,CN=configuration,DC=<forest root domain>
Master per la denominazione dei domini A livello di foresta CN=configuration,DC=<dominio radice della foresta>
emulatore PDC A livello di dominio DC=<dominio>
Mastere RID A livello di dominio DC=<dominio>
Responsabile delle infrastrutture A livello di dominio DC=<dominio>

Per ulteriori informazioni sui detentori dei ruoli master operativi e sui consigli per l'inserimento dei ruoli, vedere Posizionamento e ottimizzazione FSMO nei controller di dominio di Active Directory.

Note

Le partizioni dell'applicazione Active Directory che includono le partizioni dell'applicazione DNS hanno collegamenti al ruolo Master operazione. Se una partizione dell'applicazione DNS definisce un proprietario per il ruolo master (IM) dell'infrastruttura, non è possibile usare Ntdsutil, DCPromo o altri strumenti per rimuovere la partizione dell'applicazione. Per ulteriori informazioni, vedere Il declassamento di DCPROMO non riesce se non è possibile contattare il master dell'infrastruttura DNS.

Quando un controller di dominio che funge da titolare del ruolo torna operativo (ad esempio, dopo un errore o un arresto), non riprende immediatamente a operare come titolare del ruolo. Il controller di dominio attende fino a quando non riceve la replica in ingresso per il relativo contesto dei nomi (ad esempio, il proprietario del ruolo master dello schema attende di ricevere la replica in ingresso della partizione dello schema).

Le informazioni passate dai controller di dominio come parte della replica di Active Directory includono le identità dei titolari attuali dei ruoli di Master operativo. Quando il controller di dominio appena avviato riceve le informazioni di replica in ingresso, verifica se è ancora il titolare del ruolo. Il motore di replica di Active Directory risolve eventuali modifiche potenzialmente in conflitto. Per altre informazioni, vedere Risoluzione delle modifiche in conflitto.

Se il controller di dominio è il master operazioni corrente, riprende le operazioni tipiche. Se le informazioni replicate indicano che un altro controller di dominio funge da detentore del ruolo, il controller di dominio appena avviato rinuncia al possesso del ruolo. Questo comportamento riduce la probabilità che il dominio o la foresta dispongano di titolari di ruolo Master operazione duplicati.

Importante

Le operazioni AD FS hanno esito negativo se richiedono un titolare del ruolo e se il titolare del ruolo appena avviato è, infatti, il titolare del ruolo e non riceve la replica in ingresso.
Il comportamento che ne deriva è simile a quello di un detentore del ruolo offline.

Determinare quando trasferire o riassegnare ruoli

In condizioni normali, tutti i cinque ruoli devono essere assegnati a controller di dominio 'attivi' nella foresta. Quando si crea una foresta di Active Directory, l'Installazione guidata di Active Directory (Dcpromo.exe) assegna tutti e cinque i ruoli master delle operazioni al primo controller di dominio che crea nella radice del dominio della foresta. Quando si crea un dominio figlio o ad albero, il meccanismo di creazione assegna i tre ruoli a dominio al primo DC nel dominio.

I controller di dominio continuano a possedere i ruoli master delle operazioni fino a quando non vengono riassegnati usando uno dei metodi che seguono:

  • Un amministratore riassegna il ruolo mediante uno strumento di amministrazione dell'interfaccia utente.
  • Un amministratore riassegna il ruolo mediante il comando ntdsutil /roles.
  • Un amministratore abbassa senza problemi di livello un controller di dominio che possiede un ruolo mediante l'Installazione guidata di Active Directory. Questa procedura guidata riassegna ogni ruolo detenuto localmente a un controller di dominio (DC) esistente nella foresta.
  • Un amministratore declassa un controller di dominio con ruoli usando il comando Uninstall-ADDSDomainController -ForceRemoval o dcpromo /forceremoval.
  • Il controller di dominio si arresta e si riavvia. Quando il controller di dominio viene riavviato, riceve informazioni di replica in ingresso che indicano che un altro controller di dominio è il detentore del ruolo. In questo caso, il controller di dominio appena avviato rinuncia al ruolo (come descritto in precedenza).

Se un titolare del ruolo Master delle operazioni riscontra un errore o viene altrimenti portato fuori servizio prima del trasferimento dei ruoli, è necessario assumere e trasferire tutti i ruoli a un controller di dominio appropriato e funzionante correttamente.

È consigliabile trasferire i ruoli di Operation Master negli scenari seguenti:

  • Il titolare del ruolo corrente è operativo e può essere accessibile in rete dal nuovo proprietario di Operation Master.
  • Si sta abbassando normalmente di livello un controller di dominio proprietario dei ruoli master operazione che si desidera assegnare a un controller di dominio specifico nella foresta di Active Directory.
  • Il controller di dominio che attualmente possiede i ruoli Master di Operazioni viene portato offline per la manutenzione programmata ed è necessario assegnare ruoli Master di Operazioni specifici ai controller di dominio attivi. Potrebbe essere necessario trasferire i ruoli per eseguire operazioni che influiscono sul proprietario di Operation Master. Questo vale soprattutto per il ruolo Emulatore PDC. Si tratta di un problema meno importante per il ruolo master RID, il ruolo master per la denominazione dei domini e i ruoli master schema.

È consigliabile prendere i ruoli di Operation Master negli scenari seguenti:

  • Il titolare del ruolo corrente sta riscontrando un errore operativo che impedisce il completamento di un'operazione dipendente da Operation Master e non è possibile trasferire il ruolo.

  • Usare il comando Uninstall-ADDSDomainController -ForceRemoval o dcpromo /forceremoval per forzare l'abbassamento di livello di un controller di dominio proprietario di un ruolo Operazione Master.

    Importante

    Il force-demote comando può lasciare i ruoli di Operation Master in uno stato non valido fino a quando non vengono riassegnati da un amministratore.

  • Il sistema operativo nel computer che in origine era proprietario di un ruolo specifico non esiste più o è stato reinstallato.

Note

  • È consigliabile recuperare tutti i ruoli solo quando il titolare del ruolo precedente non torna al dominio.
  • Se i ruoli master operativi devono essere assunti negli scenari di ripristino della foresta, vedere il passaggio 5 in Eseguire il ripristino iniziale nella sezione Ripristinare il primo controller di dominio scrivibile di ciascun dominio.
  • Dopo un trasferimento o un sequestro di ruolo, il nuovo titolare del ruolo non agisce immediatamente. Al contrario, il nuovo detentore del ruolo si comporta come un detentore del ruolo riavviato e attende la propria copia del contesto dei nomi per il ruolo (ad esempio la partizione di dominio) per completare un ciclo di replica in ingresso riuscito. Questo requisito di replica consente di assicurarsi che il nuovo titolare del ruolo sia il più aggiornato possibile prima di intervenire. Limita anche la finestra di possibiità di errore. Questa finestra include solo le modifiche che il precedente detentore del ruolo non ha finito di replicare negli altri controller di dominio prima di andare offline. Per un elenco del contesto di denominazione dei nomi per ogni ruolo Master delle operazioni, consultare la tabella nella sezione Altre informazioni.

Identificare un nuovo detentore del ruolo

Il candidato migliore come nuovo detentore del ruolo è un controller di dominio che soddisfa i criteri seguenti:

  • Si trova nello stesso dominio del precedente detentore del ruolo.
  • Dispone della copia scrivibile replicata più aggiornata della partizione del ruolo.

Supponiamo, ad esempio, di dover trasferire il ruolo di master dello schema. Il ruolo di master dello schema fa parte della partizione dello schema della foresta (CN=Schema,CN=Configuration,DC=<radice del dominio della foresta>). Il miglior candidato per il nuovo ruolo è un DC che risiede anche nel dominio radice della foresta e nello stesso sito di Active Directory del detentore del ruolo corrente.

Attenzione

Il ruolo master dell'infrastruttura non è più necessario se le condizioni seguenti sono vere:

  • Tutti i controller di dominio nel dominio sono Cataloghi Globali (CG). In questo caso, i controller di dominio ottengono aggiornamenti che rimuovono i riferimenti tra domini.
  • Il Cestino di Active Directory è abilitato nella foresta. In questo caso, ogni DC è responsabile dell'aggiornamento dei propri riferimenti.

È comunque consigliabile definire un proprietario appropriato del master infrastruttura per evitare errori e avvisi dagli strumenti di monitoraggio.

Se è ancora necessario il ruolo master dell'infrastruttura:
Non inserire il ruolo master dell'infrastruttura sullo stesso controller di dominio con il server di catalogo globale. Se il master dell'infrastruttura viene eseguito su un server di catalogo globale, smette di aggiornare le informazioni sugli oggetti perché non ha riferimenti agli oggetti che non possiede. Questo perché un server di catalogo globale contiene una replica parziale di ogni oggetto nella foresta.

Il ruolo master dell'infrastruttura non viene più usato dopo aver abilitato Il Cestino di Active Directory. Il Cestino di Active Directory cambia l'approccio alla gestione dei riferimenti agli oggetti che vengono eliminati.

Per verificare se un controller di dominio è anche un server di catalogo globale, seguire questa procedura:

Uso di Siti e servizi di Active Directory:

  1. Selezionare Avvia>Programmi>Strumenti di amministrazione>Siti e servizi di Active Directory.
  2. Fare doppio clic su Siti nel riquadro di spostamento, quindi individuare il sito appropriato o fare clic su Nome-predefinito-primo-sito qualora non sia disponibile nessun altro sito.
  3. Aprire la cartella Server, quindi selezionare il controller di dominio.
  4. Nella cartella del controller di dominio fare doppio clic su Impostazioni NTDS.
  5. Dal menu Azione scegliere Proprietà.
  6. Nella scheda Generale visualizzare la casella di controllo Catalogo globale per verificare se è selezionata.

Uso di Windows PowerShell:

  1. Avvia PowerShell.

  2. Digitare il cmdlet seguente e sostituire DC_NAME con il nome effettivo del tuo controller di dominio.

    (Get-ADDomainController -Filter { Name -Eq 'DC_NAME' }).IsGlobalCatalog

  3. L'output sarà True o False.

Per altre informazioni, vedi:

Assumere o trasferire i ruoli di Master delle Operazioni

È possibile usare Windows PowerShell o Ntdsutil per recuperare o trasferire ruoli. Per informazioni ed esempi su come usare PowerShell per queste attività, vedere Move-ADDirectoryServerOperationMasterRole.

Importante

Per evitare il rischio di SID duplicati nel dominio, le operazioni di sequestro del Rid Master incrementano il prossimo RID disponibile nel pool quando si assume il controllo del ruolo master RID. Questo comportamento può causare un significativo consumo degli intervalli di valori RID disponibili nella foresta (anche chiamato consumo RID). Quindi, assumere il controllo del Rid Master solo quando si è certi che il Rid Master corrente non può essere riportato in servizio.

Se è necessario assumere il ruolo di master RID, considerare i dettagli seguenti:

  • Il cmdlet Move-ADDirectoryServerOperationMasterRole aumenta il pool RID successivo di 30.000 da quello trovato in Active Directory.
  • Quando si usa l'utilità Ntdsutil.exe con i roles comandi di categoria, aumenta il pool RID successivo di 10.000 unità.

Per prendere o trasferire i ruoli Master delle operazioni tramite l'utilità Ntdsutil, seguire questi passaggi:

  1. Accedere a un computer membro su cui sono installati gli strumenti RSAT di Active Directory, o a un controller di dominio che si trova nella foresta in cui vengono trasferiti i ruoli di Operation Master.

    Note

    • È consigliabile accedere al controller di dominio a cui si assegnano i ruoli di Operation Master.
    • L'utente connesso deve essere membro del gruppo Enterprise Administrators per trasferire i ruoli master schema o master di denominazione del dominio o membro del gruppo Domain Administrators del dominio in cui vengono trasferiti l'emulatore PDC, il master RID e i ruoli master dell'infrastruttura.

  2. Selezionare Start>Esegui, digitare ntdsutil nella casella Apri, quindi scegliere OK.

  3. Digitare roles e premere INVIO.

    Note

    Per visualizzare un elenco dei comandi disponibili a ciascun prompt dello strumento Ntdsutil, digitare ? e premere INVIO.

  4. Digitare connections e premere INVIO.

  5. Digitare connetti al nomeserver del server <>e quindi premere INVIO.

    Note

    In questo comando, <nome del server> è il nome del controller di dominio a cui si desidera assegnare il ruolo di Master delle operazioni.

  6. Al prompt server connections digitare q e premere INVIO.

  7. Eseguire una delle operazioni seguenti:

    • Per trasferire il ruolo: digitare transfer <role> e quindi premere INVIO.

      Note

      In questo comando il <ruolo> è il ruolo da trasferire.

    • Per assumere il ruolo: digitare seize <role> e quindi premere invio.

      Note

      In questo comando, il <ruolo> è il ruolo che si desidera assumere.

    Ad esempio, per assumere il controllo del ruolo master RID, digitare seize rid master. Le eccezioni riguardano il ruolo dell'emulatore PDC, la cui sintassi è seize pdc, e il master di denominazione del dominio, la cui sintassi è seize naming master.

    Per visualizzare un elenco di ruoli che è possibile trasferire o recuperare, digitare ? al prompt di manutenzione FSMO, quindi premere INVIO oppure visualizzare l'elenco dei ruoli all'inizio di questo articolo.

  8. Al prompt fsmo maintenance digitare q e premere INVIO per accedere al prompt ntdsutil. Digitare q, quindi premere INVIO per chiudere l'utilità Ntdsutil.

Considerazioni sulla riparazione o la rimozione dei precedenti detentori di ruoli

Se è possibile e se si è in grado di trasferire i ruoli invece di impadronirsene, sistemare il precedente titolare del ruolo. Se non è possibile correggere il titolare del ruolo precedente o se sono stati sequestrati i ruoli, rimuovere il titolare del ruolo precedente dal dominio.

Importante

Se hai intenzione di usare il computer riparato come controller di dominio, è consigliabile ricostruire il computer come controller di dominio da zero invece di ripristinarlo da un backup. Il processo di ripristino ricostruisce il DC come detentore del ruolo.

  • Per restituire il computer riparato alla foresta come controller di dominio:

    1. Eseguire una delle operazioni seguenti:

      • Formattare il disco rigido del precedente detentore del ruolo e quindi reinstallare Windows sul computer.
      • Forzare l'abbassamento di livello del precedente detentore del ruolo a server membro.

    2. In un altro controller di dominio nella foresta usare Ntdsutil per rimuovere i metadati del precedente detentore del ruolo. Per altre informazioni, vedere Riulire i metadati del server usando Ntdsutil.

    3. Dopo aver ripulito i metadati, è possibile riassegnare il computer a un controller di dominio e trasferire nuovamente un ruolo su di esso.

  • Per rimuovere il computer dalla foresta dopo aver assunto i suoi ruoli:

    1. Rimuovere il computer dal dominio.
    2. In un altro controller di dominio nella foresta, usare Ntdsutil per rimuovere i metadati del precedente detentore del ruolo. Per altre informazioni, vedere Riulire i metadati del server usando Ntdsutil.

Considerazioni sulla reintegrazione delle isole di replica

Quando parte di un dominio o di una foresta non riesce a comunicare con il resto del dominio o della foresta per un periodo di tempo prolungato, le sezioni isolate di dominio o foresta sono note come isole di replica. I DC in un'isola non possono replicare con i DC in altre isole. In più cicli di replica, le isole di replica non vengono sincronizzate. Se ogni isola ha i propri titolari di ruolo Master operazione, è possibile che si verifichino problemi durante il ripristino della comunicazione tra le isole.

Importante

Nella maggior parte dei casi, è possibile sfruttare il requisito di replica iniziale (come descritto in questo articolo) per eliminare i detentori di ruolo duplicati. Un titolare del ruolo riavviato rinuncerà al ruolo se rileva un titolare del ruolo duplicato tramite gli aggiornamenti ricevuti nella replica in ingresso.
È possibile che si verifichino circostanze in cui questo comportamento non risolve il conflitto di Operations Master. In questi casi, le informazioni contenute in questa sezione possono essere utili.

La tabella seguente identifica i ruoli di Operation Master che possono causare problemi se una foresta o un dominio ha più titolari di ruolo per tale ruolo:

Ruolo Potenziali conflitti tra più detentori del ruolo?
Schema master
Master per la denominazione dei domini
Maestro RID
emulatore PDC No
Responsabile delle infrastrutture No

Questo problema non influisce sul master dell'emulatore PDC o sul master dell'infrastruttura. Questi titolari di ruolo non conservano i dati operativi. Inoltre, il master infrastruttura non apporta spesso modifiche. Pertanto, se più isole hanno questi detentori di ruolo, è possibile reintegrare le isole senza causare problemi a lungo termine.

Il master schema, il master di denominazione del dominio e il master RID possono creare oggetti e rendere persistenti le modifiche in Active Directory. Ogni isola con uno di questi detentori di ruolo potrebbe avere oggetti dello schema, domini o pool RID duplicati e in conflitto al momento del ripristino della replica. Prima di reintegrare le isole, determinare quali detentori del ruolo mantenere. Rimuovere tutti gli eventuali master schema, master di denominazione dei domini e master RID duplicati seguendo le procedure di ripristino, rimozione e pulizia indicate in questo articolo.

Riferimenti

Per altre informazioni, vedi: