SID-500

Home » Windows Server » Active Directory FSMO Rollen (Betriebsmaster)

Active Directory FSMO Rollen (Betriebsmaster)

Was, wenn ein Domaincontroller ausfällt? Operations Masters (Betriebsmaster) haben spezielle Aufgaben, welche von Domain Controllern in einer Active Directory Domäne übernommen werden müssen. Fällt ein Domaincontroller aus, so muss diese spezielle Rolle von einem anderen Domaincontroller übernommen werden. Erfolgt die Übernahme nicht, so kommt es früher oder später zu Problemen.

Gesamtstrukturweite Rollen (1x pro Forest)

Domain Naming Master 

Es kann nur einen Domain Controller in der Gesamtstruktur geben, der die Möglichkeit hat Domain-Namen zu vergeben.

Schema Master

Der Schema-Master wird kontaktiert, wenn das Datenbank-Schema geändert werden soll. Dies ist z.B. der Fall bei der Installation eines Exchange Servers. Oder bei einer manuellen Änderung des Schemas wie in meinem Artikel Active Directory Schema erweitern beschrieben.

Domainweite Rollen (1x pro Domain)

RID Master

Der Server mit dieser Rolle vergibt SIDs (Security Identifier), also eigentlich RIDs an andere Domaincontroller (500 pro DC). Mithilfe dieser RIDs können Active Directory Objekte angelegt werden. Damit ist gewährleistet, dass RIDs in einer Domäne eindeutig sind. Es kann nur einen geben, der den Überblick behält.

PDC Emulator

Das Ändern von Passwörtern, wird direkt zum PDC-Emulator der Domain repliziert. Der PDC Emulator ist auch Zeitgeber der Domäne und vieles mehr. Ein Ausfall des PDC Masters macht sich in der Regel sehr rasch bemerkbar.

Infrastruktur Master

Der Infrastructure Master (ISM) ist verantwortlich, die referentielle   Integrität zwischen verlinkten Active Directory-Objekten zu anderen   Domänen sicherzustellen. Er kontaktiert den GC der eigenen Domäne um Änderungen am Objekt (z.b.   Gruppenmitgliedschaften in anderen Domänen) zu erkennen.

Wer ist im Besitz der Rolle?

Mit netdom query fsmo können alle Betriebsmaster aufgelistet werden.

netdom query fsmo

1

Get-ADForest zeigt nur die beiden gesamtstrukturweiten FSMO Inhaber.

Get-ADForest | Format-Table Schema*,Domainnam*

1.PNG

Und Get-ADDomain zeigt alle FSMO Inhaber pro Domäne.

Get-ADDomain | Format-Table pdc*,infra*,rid*

1.PNG

Aufteilen der FSMO Rollen

Hierfür steht entweder Move-ADDirectoryServerOperationmasterRole oder ntdsutil zur Verfügung.

Move-ADDirectoryServerOperationMasterRole -OperationMasterRole RIDMaster -Identity NamedesZielservers

1

ntdsutil
roles
connections
connect to server NamedesQuellservers
quit
transfer rid master

1

Wiederherstellen einer FMSO Rolle nach Verlust eines Domaincontrollers

Ist ein DC, welcher eine FSMO Rolle innehat, nicht mehr funktionstüchtig und kann nicht mehr wiederhergestellt werden, so fehlt diese Rolle im Forest bzw. in der Domain. Im Falle dessen muss die Rolle „gewaltsam“ von einem anderen DC übernommen werden. Wichtig: Der ehemalige DC darf danach nie wieder mit der Domäne in Kontakt treten. (sonst: doppelte FSMO Rollen im Forest/Domain, viel Glück!).

Move-ADDirectoryServerOperationMasterRole -Force überträgt die Rolle.

Move-ADDirectoryServerOperationMasterRole -OperationMasterRole RIDMaster -Identitiy NamedesZielservers -Force

1.PNG

Alternativ kann ntdsutil mit dem Befehl seize verwendet werden.

ntdsutil
roles
connect to server NamedesZielservers
quit
seize rid master

1.PNG

Betriebsmaster in Action

Schemamaster und Schemaversion anzeigen mit Get-ADObject oder dsquery.

Get-ADObject "cn=Schema,cn=Configuration,dc=pagr,dc=inet" -Properties * | Select-Object fsmo* | Format-List

1.PNG

Get-ADObject "cn=Schema,cn=Configuration,dc=pagr,dc=inet" -Properties * | Select-Object Objectversion | Format-List

1

dsquery * "cn=Schema,cn=Configuration,dc=pagr,dc=inet" -scope base -attr objectversion -s spagr01

1.PNG

Mit dem RID Master den RID Pool abfragen.

dcdiag /TEST:RidManager /v | find /i "Available RID Pool for the Domain"

1.PNG

Den PDC Master mit w32tm /monitor  herausfinden. Hier wird nach dem aktuellen Zeitgeber gefragt. Dieser ist der PDC.

w32tm /monitor

1.PNG


4 Comments

  1. […] Betriebsmaster „PDC Emulator“ einer Active Directory Domäne gibt für alle Clients die Zeit vor. Um […]

    Like

  2. […] Richtige Antwort: ntdsutil. (Active Directory FSMO Rollen (Betriebsmaster)) […]

    Like

  3. […] Mein Server wurde kurz zuvor zum Domain-Controller hochgestuft und schon meldet der BPA, dass ich gefälligst eine zuverlässige Zeitquelle für den PDC Master konfigurieren soll. Der PDC Master ist der Zeitgeber der Domäne.  Man spricht hier auch von Active Directory FSMO Rollen (Betriebsmaster). […]

    Like

Leave a Reply

Fill in your details below or click an icon to log in:

WordPress.com Logo

You are commenting using your WordPress.com account. Log Out / Change )

Twitter picture

You are commenting using your Twitter account. Log Out / Change )

Facebook photo

You are commenting using your Facebook account. Log Out / Change )

Google+ photo

You are commenting using your Google+ account. Log Out / Change )

Connecting to %s

Categories

WHOIS

My name is Patrick Grünauer (pewa2303). I am from Austria. On sid-500 I write about Windows, Cisco and IT-Security in English and German. Have fun while reading!

Patrick Gruenauer
Follow SID-500 on WordPress.com