在 Active Directory 域服务中转移或抓住操作主角色

2025-04-21

本文介绍何时以及如何转移或抓住操作主角色，以前称为“灵活单一操作”角色（FSMO）角色。

原始 KB 数： 255504

详细信息

在 Active Directory 域服务 (AD DS) 林中，有些特定任务只能由一个域控制器 (DC) 执行。分配给执行这些唯一操作的 DC 称为操作主角色持有者。下表列出了 Operation Master 角色及其在 Active Directory 中的位置。

角色	范围	命名上下文（Active Directory 分区）
架构主控节点	整个森林	CN=Schema，CN=configuration，DC=<林根域>
域命名主控器	全森林范围	CN=configuration，DC=<森林根域>
PDC 仿真器	整个域内	DC=<域名>
RID 主控	整个域范围	DC=<domain>
基础结构主控	整个域范围	DC=<域名>

有关操作主角色持有者以及放置角色的建议的详细信息，请参阅 FSMO 在 Active Directory 域控制器上的放置和优化。

注意

包含 DNS 应用程序分区的 Active Directory 应用程序分区具有操作主角色链接。如果 DNS 应用程序分区定义了基础结构主机（IM）角色的所有者，则无法使用 Ntdsutil、DCPromo 或其他工具来删除该应用程序分区。有关详细信息，请参阅在无法联系 DNS 基础结构主机时 DCPROMO 降级会失败。

当作为角色持有者的 DC 开始运行（例如在发生故障或关闭后），它不会立即恢复履行其角色持有者的职责。 DC 将在收到其命名上下文的入站复制前保持等待（例如，架构主机角色所有者会等待接收架构分区的入站复制）。

域控制器作为 Active Directory 复制的一部分传递的信息包括当前操作主机角色持有者的身份。当新启动的 DC 收到入站复制信息时，它会验证自己是否仍然是角色持有者。 Active Directory 复制引擎可解决任何潜在的冲突更改。有关详细信息，请参阅解决冲突变动。

如果 DC 是当前操作主机，它将恢复典型操作。如果复制的信息显示另一个 DC 作为角色持有者，新启动的 DC 将放弃其角色所有权。此行为减少了域或林中出现重复操作主角色持有者的可能性。

重要

如果 AD FS 操作需要角色持有者，而新启动的角色持有者实际上是当前角色持有者，但却没有接收入站复制，则 AD FS 操作将失败。
最终行为类似于角色持有者脱机时将发生的情况。

确定何时转移或掌控角色

通常情况下，必须将这五个角色全部分配给林中的“活动”DC。创建 Active Directory 林时，Active Directory 安装向导（Dcpromo.exe）会将所有五个操作主角色分配给它在林根域中创建的第一个 DC。创建子域或树域时，创建机制会将三个域范围角色分配给域中的第一个 DC。

DC 将继续拥有 Operation Master 角色，直到使用下列方法之一重新分配这些角色：

管理员使用 GUI 管理工具重新分配角色。
管理员使用 ntdsutil /roles 命令重新分配角色。
管理员借助 Active Directory 安装向导平稳地降级持有角色的 DC。该向导会将任何本地持有的角色重新分配给在林中的现有域控制器（DC）。
管理员通过使用 Uninstall-ADDSDomainController -ForceRemoval 或 dcpromo /forceremoval 命令降级持有角色的域控制器 (DC)。
DC 关闭并重启。当 DC 重启时，它会收到入站复制信息，指示另一个 DC 是角色持有者。在这种情况下，新启动的域控制器将放弃该角色（如前所述）。

如果操作主角色持有者在角色转移之前发生故障或已停止服务，则必须强行接管所有角色，并将其转移到合适且正常运行的域控制器。

我们建议您在以下情况下转移操作主机角色：

当前角色持有者是可操作的，可由新的操作主所有者在网络上访问。
你正在优雅地降级一个当前拥有操作主角色的 DC，而这些角色你希望分配给 Active Directory 林中特定的 DC。
当前拥有操作主机角色的 DC 正在进行计划维护脱机，你必须将特定的操作主机角色分配给活跃 DC。可能需要转移角色，才能执行影响操作主控所有者的操作。对于 PDC 仿真器角色尤其如此。对于 RID 主机角色、域命名主机角色和架构主机角色而言，这不是一个大问题。

建议在以下情况下获取操作主控角色：

当前角色持有者遇到操作错误，该错误阻止操作主控操作成功完成，并且无法转移该角色。
使用 Uninstall-ADDSDomainController -ForceRemoval 或 dcpromo /forceremoval 命令强制降级拥有操作主角色的域控制器 (DC)。

重要

该 force-demote 命令可以将 Operation Master 角色保留为无效状态，直到管理员重新分配这些角色。
原来担任某个特定角色的计算机上的操作系统不再存在或者已被重新安装。

注意

建议仅在以前的角色持有者未返回到域时获取所有角色。
在林恢复场景中，如果必须夺取操作主机角色，请参阅“在重置每个域的第一个可写域控制器”部分下的执行初始恢复的步骤5。
在角色转移或接管后，新角色持有者不会立即执行任务。相反，新角色持有者的行为类似于重新初始化的角色持有者，并等待其角色（例如域分区）的命名上下文副本成功完成一次入站复制循环。此复制要求有助于确保新角色持有者在做出动作之前尽可能保持最新。它还限制了出错机会的窗口。此窗口仅包括前一角色持有者在下线前未复制完毕至其他数据中心的更改。有关每个 Operation Master 角色的命名上下文的列表，请参阅“详细信息”部分的表。

确定新的角色持有者

新职位持有者的最佳候选对象是符合以下条件的 DC:

它与前一个角色持有者位于同一个域中。
它具有角色分区的最新复制可写副本。

例如，假设必须转移架构主机角色。架构主角色是林的架构分区的一部分（CN=Schema，CN=Configuration，DC=<林根域>）。新角色持有者的最佳候选对象是同样驻留在目录林根级域中的 DC，并且与当前角色持有者位于同一 Active Directory 站点中。

注意

如果满足以下条件，则不再需要基础结构主角色：

域中的所有域控制器都是全局目录（GC）。在这种情况下，GCS 会获取删除跨域引用的更新。
AD 回收站在林中启用。在这种情况下，每个 DC 都负责更新其引用。

我们建议你仍定义基础结构主机的适当所有者，以避免监视工具出现错误和警告。

如果您仍然需要基础架构主角色：
不要将基础结构主角色置于与全局编录服务器相同的 DC 上。如果基础结构主服务器在全局编录服务器上运行，它将停止更新对象信息，因为它不包含对它不保留的对象的任何引用。这是因为全局目录服务器包含林中每个对象的部分副本。

启用 Active Directory 回收站后，不再使用基础结构主角色。 AD 回收站更改了处理正在删除的对象引用的方法。

若要测试 DC 是否也是全局编录服务器，请执行以下步骤：

使用 Active Directory 站点和服务：

选择“开始”>“程序”>“管理工具”>“Active Directory 站点和服务”。
在导航窗格中，双击“站点”，然后找到相应的站点，如果没有其他站点可用，则单击“Default-first-site-name”。
打开“服务器”文件夹，然后选择 DC。
在 DC 的文件夹中，双击“NTDS 设置”。
在“操作”菜单上，选择“属性”。
在 “常规 ”选项卡上，查看 “全局目录 ”复选框以查看它是否已选中。

使用 Windows PowerShell：

启动 PowerShell。
输入以下命令，并根据实际的域控制器名称进行调整 DC_NAME：
```
(Get-ADDomainController -Filter { Name -Eq 'DC_NAME' }).IsGlobalCatalog
```
输出将为 True 或 False。

有关详细信息，请参阅：

抓住或转移操作主角色

可以使用 Windows PowerShell 或 Ntdsutil 来抓住或转移角色。有关如何将 PowerShell 用于这些任务的信息和示例，请参阅 Move-ADDirectoryServerOperationMasterRole。

重要

为了避免域中出现重复的 SID 的风险，在抓住 RID 主角色时，Rid Master 会增加池中的下一个可用 RID。此行为可能导致林显著消耗可用 RID 值范围（也称为 RID 燃烧）。因此，只有在确定当前的 Rid 主控无法恢复为服务时，才接管 Rid Master。

如果必须抢占 RID 主角色，请考虑以下详细信息：

Move-ADDirectoryServerOperationMasterRole cmdlet 将下一个 Rid 池从 Active Directory 中找到的内容增加到 30,000。
使用 Ntdsutil.exe 实用工具与 roles 类别的命令时，会将下一个 Rid 池增加一万。

若要使用 Ntdsutil 实用工具获取或转移 Operation Master 角色，请执行以下步骤：

登录到安装了一台 AD RSAT 工具的成员计算机，或位于正在转移操作主角色的林中的 DC。
注意
- 建议登录到要向其分配 Operation Master 角色的 DC。
- 登录用户应是企业管理员组的成员，以便能够传输架构主角色或域命名主角色，或者是 PDC 模拟器、RID 主角色和基础结构主角色正在传输的域的域管理员组的成员。
选择开始>运行，在“打开”框中键入ntdsutil，然后选择确定。
键入“roles”，然后按 Enter。

注意

要在 Ntdsutil 实用工具中的任一提示符处查看可用命令的列表，请键入“?”，然后按 Enter。
键入“connections”，然后按 Enter。
键入 “连接到服务器服务器 <名称>”，然后按 Enter。

注意

在此命令中， <servername> 是要向其分配操作主角色的 DC 的名称。
在“server connections”提示符处，键入“q”，然后按 Enter。
执行下列操作之一：
- 若要转移角色：键入 传输 <角色>，然后按 Enter。
  
  注意
  
  在此命令中，<角色> 是您要转移的角色。
- 要获取角色：输入 获取 <角色>，然后按 Enter。
  
  注意
  
  在此命令中， <角色> 是要抓住的角色。
例如，要捕获 RID 主机角色，键入 seize rid master。存在一些例外情况：PDC 模拟器角色的语法为 seize pdc，而域命名主机角色的语法为 seize naming master。

若要查看可以转移或强行接管的角色列表，请在 fsmo 维护提示符处键入 ?，然后按 Enter 键，或在本文开头查看角色列表。
在“fsmo maintenance”提示符处，键入“q”，然后按 Enter，以进入“ntdsutil”提示符。键入“q”，然后按 Enter，退出 Ntdsutil 实用工具。

修复或删除以前的角色持有者时的注意事项

如果可能，并且能够转移角色而不是夺取角色，请解决以前的角色持有者。如果无法解决以前角色持有者的问题，或者如果已掌握角色，请从域中删除以前的角色持有者。

重要

如果计划将修复后的计算机用作 DC，我们建议你从头开始将计算机重建为 DC，而不是从备份还原此 DC。还原过程使 DC 再次担任角色。

将这台修复过的计算机送回至森林作为域控制器：
1. 执行下列操作之一：
  - 将前任角色持有者的硬盘格式化，然后在计算机上重新安装 Windows。
  - 强制将前任角色持有者降级到成员服务器。
2. 在林中的另一个 DC 上，使用 Ntdsutil 删除前任角色持有者的元数据。有关详细信息，请参阅使用 Ntdsutil 清理服务器元数据。
3. 清理元数据后，可以将计算机重新升级为 DC，然后将角色再次转移给它。
若要在抓住计算机的角色后从林中删除计算机：
1. 从域中删除计算机。
2. 在林中的另一个 DC 上，使用 Ntdsutil 删除前任角色持有者的元数据。有关详细信息，请参阅使用 Ntdsutil 清理服务器元数据。

重新整合复制孤岛时的注意事项

当域或林的一部分在较长时间内无法与域或林的其余部分通信时，域或林的隔离部分称为复制岛。在一个岛屿中的 DC 不能与其他岛屿中的 DC 进行数据复制。在多个复制周期中，复制岛不同步。如果每个岛屿都有自己的操作主角色持有者，则还原岛屿之间的通信时可能会遇到问题。

重要

在大多数情况下，你可以利用初始复制要求（如本文所述）来清除重复的角色持有者。如果重启的角色持有者通过在入站复制中接收到的更新检测到重复的角色持有者，则会放弃该角色。
可能会遇到此行为无法解决 Operations Master 冲突的情况。在这种情况下，本部分中的信息可能很有帮助。

下面的表格列出了可能导致问题的 Operation Master 角色，当一个林或域有多个角色持有者时。

角色	多个角色持有者之间存在潜在冲突？
架构主控	是
域命名主控	是
RID 主控	是
PDC 仿真器	否
基础架构主控	否

此问题不会影响 PDC 模拟器主服务器或基础结构主机。这些角色持有者不会保留操作数据。此外，基础结构主机不会经常进行更改。因此，如果多个岛屿有这些角色持有者，则可以重新整合这些岛屿，而不会造成长期问题。

架构主机、域命名主机和 RID 主机可以在 Active Directory 中创建对象并保留更改。在还原复制时，每个包含这些角色持有者的岛屿可能会有重复且冲突的模式对象、域或 RID 池。在重新整合岛屿之前，请确定要保留的角色持有者。按照本文中提到的修复、删除和清理过程，删除任何重复的架构主机、域命名主机和 RID 主机。

参考