Transfer FSMO roles

Prosper's picture

Er zijn 5 FSMO roles:

SMO Role Loss implications
Schema The schema cannot be extended. However, in the short term no one will notice a missing Schema Master unless you plan a schema upgrade during that time.
Domain Naming Unless you are going to run DCPROMO, then you will not miss this FSMO role.
RID Chances are good that the existing DCs will have enough unused RIDs to last some time, unless you're building hundreds of users or computer object per week.
PDC Emulator Will be missed soon. NT 4.0 BDCs will not be able to replicate, there will be no time synchronization in the domain, you will probably not be able to change or troubleshoot group policies and password changes will become a problem.
Infrastructure Group memberships may be incomplete. If you only have one domain, then there will be no impact.

Ga als volgt te werk om de FSMO-functies over te nemen met het hulpprogramma Ntdsutil:

  1. On any domain controller, click Start, click Run, type Ntdsutil in the Open box, and then click OK.
Microsoft Windows [Version 5.2.3790]
(C) Copyright 1985-2003 Microsoft Corp.

  1. Type roles, and then press ENTER.
ntdsutil: roles
fsmo maintenance:

Note: To see a list of available commands at any of the prompts in the Ntdsutil tool, type ?, and then press ENTER.

  1. Type connections, and then press ENTER.
fsmo maintenance: connections
server connections:
  1. Type connect to server <servername>, where <servername> is the name of the server you want to use, and then press ENTER.
server connections: connect to server server100
Binding to server100 ...
Connected to server100 using credentials of locally logged on user.
server connections:
  1. At the server connections: prompt, type q, and then press ENTER again.
server connections: q
fsmo maintenance:
  1. Type seize <role>, where <role> is the role you want to seize. For example, to seize the RID Master role, you would type seize rid master:

Options are:

Seize naming master
Seize infrastructure master
Seize PDC
Seize RID master
Seize schema master
  1. You will receive a warning window asking if you want to perform the seize. Click on Yes.
fsmo maintenance: Seize infrastructure master
Attempting safe transfer of infrastructure FSMO before seizure.
ldap_modify_sW error 0x34(52 (Unavailable).
Ldap extended error message is 000020AF: SvcErr: DSID-03210300, problem 5002 (UNAVAILABLE)
, data 1722

Win32 error returned is 0x20af(The requested FSMO operation failed. The current FSMO holde
r could not be contacted.)
Depending on the error code this may indicate a connection,
ldap, or role transfer error.
Transfer of infrastructure FSMO failed, proceeding with seizure ...
Server "server100" knows about 5 roles
Schema - CN=NTDS Settings,CN=SERVER200,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=dpetri,DC=net
Domain - CN=NTDS Settings,CN=SERVER100,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=dpetri,DC=net
PDC - CN=NTDS Settings,CN=SERVER100,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=dpetri,DC=net
RID - CN=NTDS Settings,CN=SERVER200,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=dpetri,DC=net
Infrastructure - CN=NTDS Settings,CN=SERVER100,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=dpetri,DC=net
fsmo maintenance:

Note: All five roles need to be in the forest. If the first domain controller is out of the forest then seize all roles. Determine which roles are to be on which remaining domain controllers so that all five roles are not on only one server.

  1. Repeat steps 6 and 7 until you've seized all the required FSMO roles.
  2. After you seize or transfer the roles, type q, and then press ENTER until you quit the Ntdsutil tool.

Note: Do not put the Infrastructure Master (IM) role on the same domain controller as the Global Catalog server. If the Infrastructure Master runs on a GC server it will stop updating object information because it does not contain any references to objects that it does not hold. This is because a GC server holds a partial replica of every object in the forest.


Cleanup the old server data:

To clean up metadata

  1. At the command line, type Ntdsutil and press ENTER.
  1. At the Ntdsutil: prompt, type metadata cleanup and press Enter.
ntdsutil: metadata cleanup
metadata cleanup:
  1. At the metadata cleanup: prompt, type connections and press Enter.
metadata cleanup: connections
server connections:
  1. At the server connections: prompt, type connect to server <servername>, where <servername> is the domain controller (any functional domain controller in the same domain) from which you plan to clean up the metadata of the failed domain controller. Press Enter.
server connections: connect to server server100
Binding to server100 ...
Connected to server100 using credentials of locally logged on user.
server connections:

Note: Windows Server 2003 Service Pack 1 eliminates the need for the above step.

  1. Type quit and press Enter to return you to the metadata cleanup: prompt.
server connections: q
metadata cleanup:
  1. Type select operation target and press Enter.
metadata cleanup: Select operation target
select operation target:
  1. Type list domains and press Enter. This lists all domains in the forest with a number associated with each.
select operation target: list domains
Found 1 domain(s)
0 - DC=dpetri,DC=net
select operation target:
  1. Type select domain <number>, where <number> is the number corresponding to the domain in which the failed server was located. Press Enter.
select operation target: Select domain 0
No current site
Domain - DC=dpetri,DC=net
No current server
No current Naming Context
select operation target:
  1. Type list sites and press Enter.
select operation target: List sites
Found 1 site(s)
0 - CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=dpetri,DC=net
select operation target:
  1. Type select site <number>, where <number> refers to the number of the site in which the domain controller was a member. Press Enter.
select operation target: Select site 0
Site - CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=dpetri,DC=net
Domain - DC=dpetri,DC=net
No current server
No current Naming Context
select operation target:
  1. Type list servers in site and press Enter. This will list all servers in that site with a corresponding number.
select operation target: List servers in site
Found 2 server(s)
0 - CN=SERVER200,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=dpetri,DC=net
1 - CN=SERVER100,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=dpetri,DC=net
select operation target:
  1. Type select server <number> and press Enter, where <number> refers to the domain controller to be removed.
select operation target: Select server 0
Site - CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=dpetri,DC=net
Domain - DC=dpetri,DC=net
Server - CN=SERVER200,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=dpetri,DC=net
 DSA object - CN=NTDS Settings,CN=SERVER200,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=dpetri,DC=net
 DNS host name -
 Computer object - CN=SERVER200,OU=Domain Controllers,DC=dpetri,DC=net
No current Naming Context
select operation target:
  1. Type quit and press Enter. The Metadata cleanup menu is displayed.
select operation target: q
metadata cleanup:
  1. Type remove selected server and press Enter.

You will receive a warning message. Read it, and if you agree, press Yes.


  • Onder doorsnee omstandigheden moeten alle vijf de functies worden toegewezen aan 'live' domeincontrollers in het forest. Als een domeincontroller die eigenaar is van een FSMO-functie, wordt uitgeschakeld voordat de functies zijn overgebracht, moet u alle functies overnemen op een geschikte en goed functionerende domeincontroller. U wordt geadviseerd alle functies alleen over te nemen wanneer de andere domeincontroller niet terugkeert naar het domein. Als dat niet mogelijk is, repareert u de toegewezen beschadigde domeincontroller waaraan de FSMO-functies zijn toegewezen. U moet bepalen welke functies bij welke resterende domeincontrollers behoren zodat alle vijf de functies aan één domeincontroller worden toegewezen. Voor meer informatie over de plaatsing van FSMO-functies klikt u op het volgende artikelnummer in de Microsoft Knowledge Base:

    223346 FSMO-plaatsing en optimalisatie op Windows 2000-domeincontrollers
  • Als de domeincontroller die eerder een FSMO-functie bevatte, niet aanwezig is in het domein, en als deze zijn functies heeft overgenomen door het uitvoeren van de stappen in dit artikel, verwijdert u de domeincontroller uit de Active Directory middels de procedure die in het volgende Microsoft Knowledge Base-artikel wordt beschreven:

    216498 Het verwijderen van gegevens in Active Directory bij een mislukte degradatie van domeincontrollers
  • Door de metagegevens van de domeincontroller te verwijderen met de Windows 2000-versie of de Windows Server 2003 build 3790-versie van de opdracht ntdsutil /metadata cleanup, worden FSMO-functies niet opnieuw toegewezen aan live domeincontrollers. De Windows Server 2003 SP1-versie van het hulpprogramma Ntdsutil automatiseert deze taak en verwijdert extra elementen van metagegevens voor domeincontrollers.
  • Sommige klanten geven er de voorkeur aan om systeemstatusback-ups van FSMO-functies niet te herstellen voor het geval de functie opnieuw wordt toegewezen na het maken van de back-up.
  • Plaats de functie Infrastructuurmaster niet op dezelfde domeincontroller als de GC-server (Global Catalog). Als de Infrastructuurmaster wordt uitgevoerd op een GC-server, wordt objectinformatie niet meer bijgewerkt omdat deze geen verwijzingen bevat naar objecten die deze niet bevat. Dat komt omdat een GC-server een gedeeltelijke replica bevat van elk object in het forest.

Ga als volgt te werk om te testen of een domeincontroller ook een GC-server is:

  1. Klik op Start, wijs Programma's aan, wijs Systeembeheer aan en klik op Active Directory-sites en services.
  2. Dubbelklik in het linkerdeelvenster op Sites en zoek de juiste site of klik op Standaard-eerste-site als er geen andere sites beschikbaar zijn.
  3. Open de map Servers en klik op de domeincontroller.
  4. Dubbelklik in de map van de domeincontroller op NTDS-instellingen.
  5. Open het menu Actie en klik op Eigenschappen.
  6. Open het tabblad Algemeen en kijk of het selectievakje Globale catalogus is ingeschakeld.