AD 五大角色 ( FSMO )

FSMO 角色 ( Flexible Single Master Operations )

在樹系中，至少會有五個 FSMO 角色被指派到一個或一個以上的網域控制站。這五種 FSMO 角色如下：

• 架構主機 (Schema Master) ：架構主機網域控制站會控制對架構所做的所有更新及修改。如果要更新樹系的架構，必須具有架構主機的存取權限。整個樹系中只能有一個架構主機。
• 網域命名主機 (Domain naming master) ：網域命名主機網域控制站會控制在樹系中新增或移除網域。整個樹系中只能有一個網域命名主機。
• 基礎結構主機 (Infrastructure Master) ：基礎結構負責更新自己網域中物件對其他網域中物件的參考。在任何時候，每個網域中只能有一個網域控制站做為基礎結構主機。
• 相對 ID (RID) 主機 (Relative ID (RID) Master) ：RID 主機負責處理來自特定網域中所有網域控制站的 RID 集區要求。在任何時候，每個網域中只能有一個網域控制站做為 RID 主機。
• PDC 模擬器 (PDC Emulator) ：PDC 模擬器是一個網域控制站，它會對執行舊版 Windows 的工作站、成員伺服器和網域控制站通告自己是主要網域控制站 (PDC)。例如，如果網域中包含不是執行 Microsoft Windows XP Professional (商用版) 或 Microsoft Windows 2000 用戶端軟體的電腦，或者如果其中包含 Microsoft Windows NT 備份網域控制站，PDC 模擬器主機就會成為 Windows NT PDC。它也是網域主機瀏覽器 (Domain Master Browser)，而且會處理密碼不符的問題。在任何時候，樹系的每個網域中只能有一個網域控制站做為 PDC 模擬器主機。

微軟網站：http://support.microsoft.com/?scid=kb;zh-tw;324801&x=18&y=11

AD網域主機故障時5大角色轉移LAB

以下文章引用至此：http://www.pmail.idv.tw/plog/trackback.php?tbID=385&extra=tvd9kswa4c

網域: mis.local
dc&dns1: dc.mis.local (192.168.1.1)
dc2&dns2: dc2.mis.local (192.168.1.2)

[網域五大角色]及[通用類別目錄]都在 dc.mis.local 主機上面

狀況 dc.mis.local 主機故障且無法開機
需將網域五大角色及通用類別目錄強制轉移至dc2.mis.local主機上面
步驟

首先登入dc2.mis.local 網域控制站
到開始-->命令提示字元

執行
ntdsutil
roles

connections
connect to server dc2.mis.local

quit

seize schema master (先嘗試安全轉移schema 若不行再強制轉移,下達此指令後出現下面的提示)


fsmo maintenance: seize schema master
在拿取前，嘗試 schema FSMO 的安全轉移。
ldap_modify_sW 錯誤 0x34(52 (無法使用).
Ldap 延伸錯誤訊息是 000020AF: SvcErr: DSID-03210333, problem 5002 (UNAVAILABLE),
data 1722

傳回的 Win32 錯誤是 0x20af(要求的 FSMO 操作失敗，無法連接目前的 FSMO 持有人。)
)
錯誤碼可以指出連線、
ldap、或功能轉移錯誤。
schema FSMO 的轉移失敗，執行拿取中...
伺服器 "dc2.mis.local" 知道 5 功能
架構 - CN=NTDS Settings,CN=DC2,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN
=Configuration,DC=mis,DC=local
網域 - CN=NTDS Settings,CN=DC,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=
Configuration,DC=mis,DC=local
PDC - CN=NTDS Settings,CN=DC,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=C
onfiguration,DC=mis,DC=local
RID - CN=NTDS Settings,CN=DC,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=C
onfiguration,DC=mis,DC=local
基礎結構 - CN=NTDS Settings,CN=DC,CN=Servers,CN=Default-First-Site-Name,CN=Sites
,CN=Configuration,DC=mis,DC=local

seize domain naming master (先嘗試安全轉移domain naming master 若不行再強制轉移,下達此指令後出現下面的提示)


fsmo maintenance: seize domain naming master
在拿取前，嘗試 domain naming FSMO 的安全轉移。
ldap_modify_sW 錯誤 0x34(52 (無法使用).
Ldap 延伸錯誤訊息是 000020AF: SvcErr: DSID-03210333, problem 5002 (UNAVAILABLE),
data 1722

傳回的 Win32 錯誤是 0x20af(要求的 FSMO 操作失敗，無法連接目前的 FSMO 持有人。)
)
錯誤碼可以指出連線、
ldap、或功能轉移錯誤。
domain naming FSMO 的轉移失敗，執行拿取中...
伺服器 "dc2.mis.local" 知道 5 功能
架構 - CN=NTDS Settings,CN=DC2,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN
=Configuration,DC=mis,DC=local
網域 - CN=NTDS Settings,CN=DC2,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN
=Configuration,DC=mis,DC=local
PDC - CN=NTDS Settings,CN=DC,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=C
onfiguration,DC=mis,DC=local
RID - CN=NTDS Settings,CN=DC,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=C
onfiguration,DC=mis,DC=local
基礎結構 - CN=NTDS Settings,CN=DC,CN=Servers,CN=Default-First-Site-Name,CN=Sites
,CN=Configuration,DC=mis,DC=local

seize PDC(先嘗試安全轉移schema 若不行再強制轉移,下達此指令後出現下面的提示)


fsmo maintenance: seize PDC
在拿取前，嘗試 PDC FSMO 的安全轉移。
ldap_modify_sW 錯誤 0x34(52 (無法使用).
Ldap 延伸錯誤訊息是 000020AF: SvcErr: DSID-0321051A, problem 5002 (UNAVAILABLE),
data 1722

傳回的 Win32 錯誤是 0x20af(要求的 FSMO 操作失敗，無法連接目前的 FSMO 持有人。)
)
錯誤碼可以指出連線、
ldap、或功能轉移錯誤。
PDC FSMO 的轉移失敗，執行拿取中...
伺服器 "dc2.mis.local" 知道 5 功能
架構 - CN=NTDS Settings,CN=DC2,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN
=Configuration,DC=mis,DC=local
網域 - CN=NTDS Settings,CN=DC2,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN
=Configuration,DC=mis,DC=local
PDC - CN=NTDS Settings,CN=DC2,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=
Configuration,DC=mis,DC=local
RID - CN=NTDS Settings,CN=DC,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=C
onfiguration,DC=mis,DC=local
基礎結構 - CN=NTDS Settings,CN=DC,CN=Servers,CN=Default-First-Site-Name,CN=Sites
,CN=Configuration,DC=mis,DC=local

seize RID master(先嘗試安全轉移RID若不行再強制轉移,下達此指令後出現下面的提示)


fsmo maintenance: seize RID master
在拿取前，嘗試 RID FSMO 的安全轉移。
ldap_modify_sW 錯誤 0x34(52 (無法使用).
Ldap 延伸錯誤訊息是 000020AF: SvcErr: DSID-0321092B, problem 5002 (UNAVAILABLE),
data 1722

傳回的 Win32 錯誤是 0x20af(要求的 FSMO 操作失敗，無法連接目前的 FSMO 持有人。)
)
錯誤碼可以指出連線、
ldap、或功能轉移錯誤。
RID FSMO 的轉移失敗，執行拿取中...
正在搜尋網域中最高的 RID 集區
伺服器 "dc2.mis.local" 知道 5 功能
架構 - CN=NTDS Settings,CN=DC2,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN
=Configuration,DC=mis,DC=local
網域 - CN=NTDS Settings,CN=DC2,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN
=Configuration,DC=mis,DC=local
PDC - CN=NTDS Settings,CN=DC2,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=
Configuration,DC=mis,DC=local
RID - CN=NTDS Settings,CN=DC2,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=
Configuration,DC=mis,DC=local
基礎結構 - CN=NTDS Settings,CN=DC,CN=Servers,CN=Default-First-Site-Name,CN=Sites
,CN=Configuration,DC=mis,DC=local

seize infrastructure master (先嘗試安全轉移infrastructure master 若不行再強制轉移,下達此指令後出現下面的提示)


fsmo maintenance: seize infrastructure master
在拿取前，嘗試 infrastructure FSMO 的安全轉移。
ldap_modify_sW 錯誤 0x34(52 (無法使用).
Ldap 延伸錯誤訊息是 000020AF: SvcErr: DSID-03210333, problem 5002 (UNAVAILABLE),
data 1722

傳回的 Win32 錯誤是 0x20af(要求的 FSMO 操作失敗，無法連接目前的 FSMO 持有人。)
)
錯誤碼可以指出連線、
ldap、或功能轉移錯誤。
infrastructure FSMO 的轉移失敗，執行拿取中...
伺服器 "dc2.mis.local" 知道 5 功能
架構 - CN=NTDS Settings,CN=DC2,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN
=Configuration,DC=mis,DC=local
網域 - CN=NTDS Settings,CN=DC2,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN
=Configuration,DC=mis,DC=local
PDC - CN=NTDS Settings,CN=DC2,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=
Configuration,DC=mis,DC=local
RID - CN=NTDS Settings,CN=DC2,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=
Configuration,DC=mis,DC=local
基礎結構 - CN=NTDS Settings,CN=DC2,CN=Servers,CN=Default-First-Site-Name,CN=Site
s,CN=Configuration,DC=mis,DC=local

轉移五大角色後,到 Active Directory站台及服務

在DC2站台中的NTDS Setting按滑鼠右鍵,將通用類別目錄打勾即可