本文介绍如何将灵活单主机操作(FSMO)角色从一个域控制器转移到另一个域控制器,以及如何在以前担任该角色的域控制器不再可用时强制指定此角色。
原始 KB 数: 223787
传输灵活单主操作角色
FSMO 角色的传输是在域控制器之间移动 FSMO 角色的建议形式,可由管理员或降级域控制器启动,但操作系统不会自动启动。 这包括处于关闭状态的服务器。 例如,在关闭过程中,FSMO 角色不会自动重新定位 — 例如,关闭具有 FSMO 角色的域控制器进行维护时,必须考虑这一点。
在两个域控制器之间的 FSMO 角色正常传输中,FSMO 角色所有者将维护的数据同步到接收 FSMO 角色的服务器,然后再传输角色,以确保在角色更改之前记录任何更改。
操作属性是转换为服务器上的操作的属性。 此类型的属性未在架构中定义,而是由服务器维护,并在客户端尝试读取或写入该属性时被截获。 读取属性时,通常结果是来自服务器的计算结果。 写入属性时,域控制器上将发生预定义的操作。
以下操作属性用于传输 FSMO 角色,并位于 RootDSE(或根 DSA 特定条目)上,即给定域控制器的 Active Directory 树根,其中保留有关域控制器的特定信息)。 在写入域控制器上的相应操作属性以接收 FSMO 角色的操作中,将降级旧域控制器,并自动升级新的域控制器。 无需手动干预。 表示 FSMO 角色的操作属性包括:
- becomeRidMaster
- becomeSchemaMaster
- becomeDomainMaster
- 成为PDC
- becomeInfrastructureMaster
如果管理员指定服务器以使用 Ntdsutil 之类的工具接收 FSMO 角色,则 FSMO 角色的交换在当前所有者与管理员指定的域控制器之间定义。
降级域控制器时,将编写操作属性“GiveAwayAllFsmoRoles”,这会触发域控制器定位其他域控制器以卸载它当前拥有的任何角色。 Windows 2000 通过以下规则确定域控制器当前拥有哪些角色并找到合适的域控制器:
- 在同一站点中找到服务器。
- 找到存在 RPC 连接的服务器。
- 通过异步传输(如 SMTP)使用服务器。
在所有传输中,如果该角色是特定于域的角色,则只能将角色移动到同一域中的另一个域控制器。 否则,企业中的任何域控制器都是候选域控制器。
抓住灵活单主操作角色
管理员在获取 FSMO 角色时应格外小心。 在大多数情况下,仅当原始 FSMO 角色所有者不会返回到环境中时,才应执行此操作。
当管理员从现有计算机中获取 FSMO 角色时,将修改对象上的“fsmoRoleOwner”属性,该属性表示直接绕过数据同步和正常传输角色的数据根。 以下每个对象的“fsmoRoleOwner”属性都用 NTDS 设置对象的“可分辨名称”(DN)(Active Directory 中的数据(将计算机定义为域控制器)写入,该控制器拥有该角色的所有权。 随着此更改的复制开始蔓延,其他域控制器了解 FSMO 角色更改。
主域控制器 (PDC) FSMO: LDAP://DC=MICROSOFT,DC=COM RID Master FSMO: LDAP://CN=Rid Manager$,CN=System,DC=MICROSOFT,DC=COM Schema Master FSMO: LDAP://CN=Schema ,CN=Configuration,DC=Microsoft,DC=Com Infrastructure Master FSMO: LDAP://CN=Infrastructure,DC=Microsoft,DC=Com 域命名 Master FSMO: LDAP://CN=Partitions,CN=Configuration,DC=Microsoft,例如,如果 Server1 是 Microsoft.com 域中的 PDC 并且已停用,并且管理员无法正确降级计算机,则需要为 Server2 分配 PDC 的 FSMO 角色。 发生角色的癫痫发作后,值 CN=NTDS 设置,CN=SERVER2,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=Microsoft,DC=Com 存在于以下对象上:LDAP://DC=MICROSOFT,DC=COM
参考
有关 FSMO 角色的详细信息,请参阅Microsoft知识库中的以下文章:
197132 Windows 2000 Active Directory FSMO 角色
有关正确放置 FSMO 角色的详细信息,请参阅Microsoft知识库中的以下文章:
223346 Windows 2000 域上的 FSMO 放置和优化