Was, wenn ein Domaincontroller ausfällt? Operations Masters (Betriebsmaster) haben spezielle Aufgaben, welche von Domain Controllern in einer Active Directory Domäne übernommen werden müssen. Fällt ein Domaincontroller aus, so muss diese spezielle Rolle von einem anderen Domaincontroller übernommen werden. Erfolgt die Übernahme nicht, so kommt es früher oder später zu Problemen.

Gesamtstrukturweite Rollen (1x pro Forest)

Domain Naming Master 

Es kann nur einen Domain Controller in der Gesamtstruktur geben, der die Möglichkeit hat Domain-Namen zu vergeben.

Schema Master

Der Schema-Master wird kontaktiert, wenn das Datenbank-Schema geändert werden soll. Dies ist z.B. der Fall bei der Installation eines Exchange Servers. Oder bei einer manuellen Änderung des Schemas wie in meinem Artikel Active Directory Schema erweitern beschrieben.

Domainweite Rollen (1x pro Domain)

RID Master

Der Server mit dieser Rolle vergibt SIDs (Security Identifier), also eigentlich RIDs an andere Domaincontroller (500 pro DC). Mithilfe dieser RIDs können Active Directory Objekte angelegt werden. Damit ist gewährleistet, dass RIDs in einer Domäne eindeutig sind. Es kann nur einen geben, der den Überblick behält.

PDC Emulator

Das Ändern von Passwörtern, wird direkt zum PDC-Emulator der Domain repliziert. Der PDC Emulator ist auch Zeitgeber der Domäne und vieles mehr. Ein Ausfall des PDC Masters macht sich in der Regel sehr rasch bemerkbar.

Infrastruktur Master

Der Infrastructure Master (ISM) ist verantwortlich, die referentielle   Integrität zwischen verlinkten Active Directory-Objekten zu anderen   Domänen sicherzustellen. Er kontaktiert den GC der eigenen Domäne um Änderungen am Objekt (z.b.   Gruppenmitgliedschaften in anderen Domänen) zu erkennen.

Wer ist im Besitz der Rolle?

Mit netdom query fsmo können alle Betriebsmaster aufgelistet werden.

netdom query fsmo

Get-ADForest zeigt nur die beiden gesamtstrukturweiten FSMO Inhaber.

Get-ADForest | Format-Table Schema*,Domainnam*

Und Get-ADDomain zeigt alle FSMO Inhaber pro Domäne.

Get-ADDomain | Format-Table pdc*,infra*,rid*

Aufteilen der FSMO Rollen

Hierfür steht entweder Move-ADDirectoryServerOperationmasterRole oder ntdsutil zur Verfügung.

Move-ADDirectoryServerOperationMasterRole -OperationMasterRole RIDMaster -Identity NamedesZielservers

ntdsutil
roles
connections
connect to server NamedesQuellservers
quit
transfer rid master

Wiederherstellen einer FSMOO Rolle nach Verlust eines Domaincontrollers

Ist ein DC, welcher eine FSMO Rolle innehat, nicht mehr funktionstüchtig und kann nicht mehr wiederhergestellt werden, so fehlt diese Rolle im Forest bzw. in der Domain. Im Falle dessen muss die Rolle „gewaltsam“ von einem anderen DC übernommen werden. Wichtig: Der ehemalige DC darf danach nie wieder mit der Domäne in Kontakt treten. (sonst: doppelte FSMO Rollen im Forest/Domain, viel Glück!).

Move-ADDirectoryServerOperationMasterRole -Force überträgt die Rolle.

Move-ADDirectoryServerOperationMasterRole -OperationMasterRole RIDMaster -Identitiy NamedesZielservers -Force

Alternativ kann ntdsutil mit dem Befehl seize verwendet werden.

ntdsutil
roles
connect to server NamedesZielservers
quit
seize rid master

Betriebsmaster in Action

Schemamaster und Schemaversion anzeigen mit Get-ADObject oder dsquery.

Get-ADObject "cn=Schema,cn=Configuration,dc=pagr,dc=inet" -Properties * | Select-Object fsmo* | Format-List

Get-ADObject "cn=Schema,cn=Configuration,dc=pagr,dc=inet" -Properties * | Select-Object Objectversion | Format-List

dsquery * "cn=Schema,cn=Configuration,dc=pagr,dc=inet" -scope base -attr objectversion -s spagr01

Mit dem RID Master den RID Pool abfragen.

dcdiag /TEST:RidManager /v | find /i "Available RID Pool for the Domain"

Den PDC Master mit w32tm /monitor  herausfinden. Hier wird nach dem aktuellen Zeitgeber gefragt. Dieser ist der PDC.

w32tm /monitor