在 Active Directory 網域服務 中轉移或擷取作業主要角色

本文說明何時以及如何轉移或擷取作業主機角色，先前稱為彈性單一主機作業 （FSMO） 角色。

原始 KB 編號： 255504

其他相關資訊

在 Active Directory 網域服務 (AD DS) 樹系中，只有一個網域控制站 (DC) 必須執行特定工作。 指派來執行這些唯一作業的DC稱為 Operation Master角色持有者。 下表列出 Operation Master 角色及其在 Active Directory 中的位置。

角色	範圍	命名內容 (Active Directory 磁碟分割區)
架構主機	全樹系	CN=Schema，CN=configuration，DC=<forest root domain>
網域命名主機	全樹系	CN=configuration，DC=<forest root domain>
PDC 模擬器	全網域	DC=<domain>
RID 主機	全網域	DC=<domain>
基礎結構主機	全網域	DC=<domain>

如需操作主機角色持有者及放置角色的建議詳細資訊，請參閱 在 Active Directory 域控制器上放置和優化 FSMO。

注意

包含 DNS 應用程式分割區的 Active Directory 應用程式分割區具有 Operation Master 角色連結。 如果 DNS 應用程式分割區定義基礎結構主機 （IM） 角色的擁有者，您就無法使用 Ntdsutil、DCPromo 或其他工具來移除該應用程式分割區。 如需詳細資訊，請參閱 如果無法連絡 DNS 基礎結構主機，DCPROMO 降級會失敗。

當做角色持有者的 DC 開始執行時（例如，失敗或關機之後），它不會立即恢復作為角色持有者的行為。 DC 會一直等待，直到其接收到其命名內容的輸入複寫 (例如，架構主機角色擁有者會等候接收架構分割區的輸入複寫)。

DC 在 Active Directory 複寫中傳遞的資訊包括目前作業主要角色持有者的身分識別。 當新啟動的 DC 收到輸入複寫資訊時，它會驗證它是否仍然是角色持有者。 如果是，則會繼續一般作業。 如果複寫的資訊指出另一個 DC 作為角色持有者，新啟動的 DC 就會放棄其角色擁有權。 此行為可減少網域或樹系將擁有重複作業主機角色持有者的機會。

重要

如果AD FS作業需要角色持有者，而且新啟動的角色持有者實際上是角色持有者，而且它不會接收輸入複寫，則AD FS作業會失敗。
產生的行為類似于角色持有者離線時會所發生的情況。

判斷何時要傳輸或拿取角色

在一般情況下，這 5 種角色全都必須指派到樹系「現用」的網域控制站中。 當您建立 Active Directory 樹系時，Active Directory 安裝精靈 （Dcpromo.exe） 會將這五個作業主機角色指派給它在樹系根域中建立的第一個 DC。 當您建立子域或樹狀域時，建立機制會將三個全網域角色指派給網域中的第一個 DC。

DC 會繼續擁有 Operation Master 角色，直到他們使用下列其中一種方法重新指派為止：

• 系統管理員以 GUI 系統管理工具重新指派角色。
• 系統管理員以 ntdsutil /roles 命令重新指派角色。
• 系統管理員以 Active Directory 安裝精靈，緩和地將持有角色的網域控制站降階。 該精靈會將所有本機持有的角色重新指派給樹系中現有的網域控制站。
• 系統管理員會使用 Uninstall-ADDSDomainController -ForceRemoval 或 dcpromo /forceremoval 命令來降級角色持有DC。
• DC 會關閉並重新啟動。 當 DC 重新開機時，它會收到輸入複寫資訊，指出另一個 DC 是角色持有者。 在此情況下，新啟動的 DC 會放棄角色 (如先前所述)。

如果操作主機角色持有者遇到失敗，或是在移轉其角色之前從服務中取出，您必須抓住並轉移所有角色到適當且狀況良好的 DC。

建議您在下列案例中轉移 Operation Master 角色：

• 目前的角色持有者是可運作的，而且可由新的 Operation Master 擁有者在網路上存取。
• 您正在正常降級目前擁有要指派給 Active Directory 樹系中特定 DC 的作業主機角色的 DC。
• 目前擁有作業主機角色的 DC 正在離線進行排程維護，您必須將特定作業主機角色指派給即時 DC。 您可能必須轉移角色，才能執行影響 Operation Master 擁有者的作業。 這對於 PDC Emulator 角色而言尤其是如此。 對於 RID 主機角色、網域命名主機角色和架構主機角色而言，這是較不重要的問題。

建議您在下列案例中抓住 Operation Master 角色：

• 目前的角色持有者遇到操作錯誤，導致作業主要相依作業無法順利完成，而且您無法轉移角色。

• 您可以使用 Uninstall-ADDSDomainController -ForceRemoval 或 dcpromo /forceremoval 命令強制降級擁有作業主機角色的DC。

  重要

  命令 force-demote 可以讓 Operation Master 角色處於無效狀態，直到系統管理員重新指派為止。

• 原本擁有特定角色的電腦作業系統已不存在，或是已重新安裝。

注意

• 建議您只有在先前的角色持有者未返回網域時，才擷取所有角色。
• 如果必須在樹系復原案例中查獲作業主機角色，請參閱在每個網域中還原第一個可寫入域控制器一節底下執行初始復原中的步驟 5。
• 在角色轉移或癲癇發作之後，新的角色持有者不會立即採取行動。 相反地，新的角色持有者的行為就像重新開機的角色持有者，並等候其命名內容的複本，讓角色 (例如網域分割區) 完成順利的輸入複寫週期。 此複寫需求有助於確保新的角色持有者在採取動作之前，盡可能保持最新狀態。 它也會限制發生錯誤的機會視窗。 此視窗只包含前一個角色持有者未在離線前完成複寫至其他 DC 的變更。 如需每個 Operation Master 角色的命名內容清單，請參閱詳細資訊一節的數據表。

識別新的角色持有者

新角色持有者的最佳候選項目是符合下列準則的 DC：

• 它位於與前一個角色持有者相同的網域中。
• 它具有角色分割區的最新複寫可寫入複本。

例如，假設您必須傳輸架構主要角色。 架構主機角色是樹系架構分割區的一部分（CN=Schema，CN=Configuration，DC=<樹系根域>）。 新角色持有者的最佳候選項目是同時位於樹系根網域中的 DC，以及與目前角色持有者位於相同的 Active Directory 站台中。

警告

如果下列條件成立，則不再需要基礎結構主要角色：

• 網域中的所有域控制器都是全局編錄 （DC）。 在此情況下，GCS 會取得移除跨網域參考的更新。
• 樹系中已啟用AD回收站。 在此情況下，每個 DC 都會負責更新其參考。

建議您仍定義基礎結構主機的適當擁有者，以避免監視工具的錯誤和警告。

如果您仍然需要基礎結構主要角色：
請勿將基礎結構主要角色放在與全域編錄伺服器相同的DC上。 如果基礎結構主機在全域編錄伺服器上執行，它會停止更新物件資訊，因為它不包含它未保存之物件的任何參考。 這是因為通用類別目錄伺服器會保留樹系中每個物件的部分複本。

一旦您啟用 Active Directory 回收站，基礎結構主要角色就不會再使用。 AD 回收站會變更處理正在移除的物件轉介的方法。

若要測試DC是否也是全域編錄伺服器，請遵循下列步驟：

使用 Active Directory 月臺和服務：

1. 選取 [啟動] > [程式] > [系統管理工具] > [Active Directory 網站和服務]。
2. 在導覽窗格中按兩下 [站台]，然後找到適當的站台；如果沒有其他可用的站台，請按一下 [Default-first-site-name]。
3. 開啟 [ 伺服器] 資料夾，然後選取DC。
4. 在網域控制站的資料夾中，按兩下 [NTDS 設定]。
5. 在 [動作] 功能表中，按一下 [內容]。
6. 在 [ 一般] 索引標籤上，檢視 [ 全域編錄 ] 複選框，以查看是否已選取它。

使用 Windows PowerShell：

1. 啟動 PowerShell。

2. 輸入下列 Cmdlet，並使用實際的 DC 名稱進行調整 DC_NAME ：

   (Get-ADDomainController -Filter { Name -Eq 'DC_NAME' }).IsGlobalCatalog
   

3. 輸出會是 True 或 False。

如需詳細資訊，請參閱

• AD 樹系恢復 - 拿取操作主機角色
• 規劃設置操作主機角色

擷取或轉移作業主要角色

您可以使用 Windows PowerShell 或 Ntdsutil 來擷取或轉移角色。 如需如何針對這些工作使用 PowerShell 的資訊和範例，請參閱 Move-ADDirectoryServerOperationMasterRole。

重要

為避免網域中重複的 SID 風險，當您抓住 RID 主要角色時，Rid Master 會擷取集區中的下一個可用 RID 遞增。 此行為可能會導致您的樹系大幅取用可用的 RID 值範圍（也稱為 RID 燃燒）。 因此，只有在您確定目前的 Rid Master 無法恢復服務時，才抓住 Rid 主機。

如果您必須抓住 RID 主要角色，請考慮下列詳細數據：

• Move-ADDirectoryServerOperationMasterRole Cmdlet 會從 Active Directory 中找到的內容增加下一個 Rid 集區 30,000。
• 當您搭配類別命令使用 Ntdsutil.exe 公用程式 roles 時，它會將下一個 Rid 集區增加 10,000。

若要使用 Ntdsutil 公用程序擷取或轉移 Operation Master 角色，請遵循下列步驟：

1. 登入已安裝 AD RSAT 工具的成員電腦，或位於正在傳輸 Operation Master 角色之樹系中的 DC。

   注意

   • 建議您登入指派 Operation Master 角色的 DC。
   • 登入的使用者應該是企業系統管理員群組的成員，以傳輸架構主機或網域命名主機角色，或 PDC 模擬器、RID 主機和基礎結構主要角色正在傳輸之網域的網域系統管理員群組成員。

2. 選取 [啟動>執行]，在 [開啟] 方塊中輸入 ntdsutil，然後選取 [確定]。

3. 鍵入 roles，然後按下 Enter。

   注意

   注意若要在 Ntdsutil 公用程式的任一提示字元中，查看可用的指令清單，請輸入 ?，然後按下 ENTER。

4. 鍵入 connections，然後按下 Enter。

5. 輸入 connect to servername<>，然後按 Enter。

   注意

   在此命令中， <servername> 是您要指派 Operation Master 角色的 DC 名稱。

6. 在 server connections 提示字元中輸入 q，然後按下 ENTER。

7. 執行下列其中一個動作：

   • 若要轉移角色：輸入 傳輸 <角色>，然後按 Enter。

     注意

     在此命令中， <角色> 是您想要傳輸的角色。

   • 若要抓住角色：輸入 佔位 <角色>，然後按 Enter 鍵。

     注意

     在此命令中， <role> 是您想要抓住的角色。

   舉例來說，若要拿取 RID 主機角色，請輸入 seize rid master。 例外狀況有 PDC 模擬器角色，語法為 seize pdc，以及網域命名主機，其語法為 seize naming master。

   若要查看您可以轉移或抓住的角色清單，請在 fsmo 維護提示字元中輸入 ？，然後按 Enter 鍵，或查看本文開頭的角色清單。

8. 請在 fsmo maintenance 提示字元中輸入 q，然後按下 ENTER，獲得存取 ntdsutil 提示字元的權限。 輸入 q，然後按下 ENTER，結束 Ntdsutil 公用程式。

修復或刪除以前的角色持有者時的注意事項

如果可行，而且您可以轉移角色，而不是擷取角色，請修正先前的角色持有者。 如果您無法修正先前的角色持有者，或如果您抓住角色，請從網域中移除先前的角色持有者。

重要

如果您打算使用修復的電腦作為網域控制站，建議您從頭將電腦重建成網域控制站，而不是從備份還原網域控制站。 恢復過程會再次以角色持有人身分重建網域控制站。

• 若要將修復的電腦以 DC 的形式傳回樹系：

  1. 執行下列其中一個動作：

     • 格式化先前角色持有人的硬碟，然後在電腦上重新安裝 Windows。
     • 強制將先前的角色持有人降級為成員伺服器。

  2. 在樹系中的另一個網域控制站上，使用 Ntdsutil 移除先前角色持有人的中繼資料。 如需詳細資訊，請參閱 使用 Ntdsutil 清除伺服器中繼資料。

  3. 清除中繼資料之後，您可以將電腦重新提升至網域控制站，並將角色轉移回網域控制站。

• 若要在擷取計算機的角色之後，從樹系中移除計算機：

  1. 從網域移除電腦。
  2. 在樹系中的另一個網域控制站上，使用 Ntdsutil 移除先前角色持有人的中繼資料。 如需詳細資訊，請參閱 使用 Ntdsutil 清除伺服器中繼資料。

重新整合複製離島時的注意事項

當網域或樹系的一部分無法與網域或樹系的其餘部分進行延伸通訊時，網域或樹系的隔離區段稱為複寫島。 一個島嶼中的DC無法與其他島嶼中的DC進行複寫。 在多個復寫週期中，復寫島會不同步。如果每個島嶼都有自己的操作主機角色持有者，當您還原島嶼之間的通訊時，可能會遇到問題。

重要

在大部分情況下，您可以利用本文中所述的初始複製需求 (，) 清除重複的角色持有者。 如果重新開機的角色持有者偵測到重複的角色持有者，則應該放棄該角色。
您可能會遇到此行為無法解決的情況。 在這種情況下，本節中的資訊可能會很有幫助。

下表指出如果樹系或網域具有該角色的多個角色持有者，則作業主機角色可能會導致問題：

角色	多個角色持有者之間可能發生衝突？
架構主機	是
網域命名主機	是
RID 主機	是
PDC 模擬器	否
基礎結構主機	否

此問題不會影響 PDC 模擬器主機或基礎結構主機。 這些角色持有者不會保存操作數據。 此外，基礎結構主機不會經常進行變更。 因此，如果多個島具有這些角色持有者，您可以重新整合該島，而不會造成長期問題。

架構主機、網域命名主機和 RID 主機可以建立物件，並在 Active Directory 中保留變更。 每個擁有其中一個角色持有者的島，在您還原複寫時，可能會有重複且衝突的架構物件、網域或 RID 集區。 重新整合島之前，請先決定要保留的角色持有者。 依照本文所述的修復、移除和清除程式，移除任何重複的架構主機、網域命名主機和 RID 主機。

參考資料

如需詳細資訊，請參閱

• Windows 中的 Active Directory FSMO 角色
• 在 Active Directory 網域控制站上安置與最佳化 FSMO
• 彈性的單一主機作業傳輸和拿取程式
• 方法：使用 Ntdsutil 在 Windows Server 中尋找和清除重複的安全識別碼
• 幻影、墓碑和基礎結構主機
• 針對 DNS 事件識別碼 4013 進行疑難排解：DNS 伺服器無法載入 AD 整合式 DNS 區域
• 如果無法連絡 DNS 基礎結構主機，DCPROMO 降級會失敗
• FSMO 角色
• 執行初始復原
• AD 樹系恢復 - 拿取操作主機角色
• 若要使用 Ntdsutil 清除伺服器中繼資料
• 規劃設置操作主機角色
• Move-ADDirectoryServerOperationMasterRole