Zuletzt aktualisiert am 25. Dezember 2023 von Lars
In diesem Artikel lernst du alles, was du wissen musst zu den Betriebsmasterrollen / FSMO (Flexible Single Master Operations).
Grundlegendes
Das Active Directory kennt die 5 verschiedene Betriebsmasterrollen
Einmalig auf einem Domänen-Controller der Gesamtstruktur
- SCHEMA-MASTER
- DOMÄNENNAMEN-MASTER
Einmalig auf einem Domänen-Controller in jeder Domäne
- PDC EMULATOR
- RID MASTER
- INFRASTRUKTUR MASTER
Bei einer einzigen Domäne (logischerweise die Domäne der Gesamtstruktur) sind alle 5 Rollen auf dem ersten Domänen-Controller.
Diese Rollen werden auch die FSMO-Rollen genannt (Flexible Single Master Of Operation, flexibler Einzelbetriebsmaster).
Funktion der Betriebsmasterrollen
Schema-Master
...zuständig für die Verwaltung der Schemattribute
Der Schemamaster steuert den Lese- und Schreibzugriff auf den Schemanamenskontext. Alle andere Domänen-Controller in einer Gesamtstruktur verfügen nur über ein schreibgeschütztes Replikat des Schemanamenskontexts.
Schema-Master und Domänennamen-Master kommen in einer Gesamtstruktur genau einmal vor und
müssen trotz unterschiedlicher Funktion auf dem selben Domänencontroller liegen.
Domänennamen-Master / Domain-Naming-Master
...zuständig für Domänennamen, Einordnung in
Gesamtstruktur
Der Domänennamenmaster kennt die Domänen einer Gesamtstruktur. Er ist daher nötig, wenn Domänen zur Gesamtstruktur hinzugefügt oder aus dieser hinaus gelöscht werden sollen.
PDC-Emulator
...zuständig für Zeitsynchronisation, Gruppenrichtlinien, Kennwortänderungen, Anmeldeversuche und Kennwortsperrungen.
Siehe zum PDC-Emulator
Artikel PDC-Emulator
Infrastruktur-Master / Infrastructure-Master
...Verwaltung der Gruppenzugehörigkeiten
Der Infrastrukturmaster kennt die Gruppenzugerhörigkeiten auch über Domänen-Grenzen hinweg und sorgt für deren Replikation.
RID-Master
...zuständig für Verwaltung des SID-Pool
Mit dem SID-Pool können neue Objekte erstellt werden. Geht er zur Neige, fordert der Domänencontroller einen neuen SID-Pool an.
Feststellen der Rollen
Die Netzwerkrollen lassen sich entweder über das Kommando-Zeilen-Tool netdom oder mittels GUI feststelllen
Feststellen der Rollen mit netdom
netdom query fsmo
netdom ist Bestandteil der Support-Tools, die Sie auf der Windows 2000/2003 Server CD-ROM unter SUPPORTTOOLS finden und mit SUPPORTTOOLSSETUP.EXE installieren können.
Feststellen der Rollen mittels GUI
Domänennamenmaster
Wählen Sie in der Verwaltung "Active Directory-Domänen und Vertrauensstellungen"
Rechte Maustaste auf "Active Directory-Domänen und Vertrauensstellungen"
Klick auf "Betriebsmaster"
Wenn Sie zuvor "Verbindung mit Domänencontroller herstellen" und einen neuen Domänencontroller gewählt haben, können Sie in diesem Dialog auch die Betriebsmasterrolle übertragen.
Schemamaster
Microsoft hat die Möglichkeit, den Schemamaster einzusehen, bzw. zu manipulieren, stark eingeschränkt. Zunächst muss eine DLL registriert werden, damit dass notwendige SNAP-IN erscheint.
Geben Sie hierzu in der Kommandozeile
regsvr32 schmmgmt.dll
ein.
Achten Sie darauf, dass der Aufruf mit dem folgenden Hinweis bestätigt wird:
Nun können Sie die Managementkonsole aufrufen (Start-Ausführen - "mmc") und "Snap-In hinzufügen/entfernen" wählen
Fügen Sie das Snap-In "Active-Directory" Schema hinzu Mit rechter Maustaste auf "Betriebsmaster" können Sie feststellen, welcher Domänencontroller auch Schemamaster ist.
Wenn Sie zuvor "Verbindung mit Domänencontroller herstellen" und einen neuen Domänencontroller gewählt haben, können Sie in diesem Dialog auch diese Betriebsmasterrolle übertragen.
Speichert man die Konsole unter %systemroot%/system32 und dem Namen "schmmgmt.msc", kann man diese zukünftig bequem aufrufen mit:
schmmgmt.msc
RID / PDC / Infrastruktur
Die Rollen sind bequem in einem Dialog zu finden.
Wählen Sie "Active Directory-Benutzer und -Computer". Klicken Sie mit der rechte Maustaste auf Domäne.
Wählen Sie "Betriebsmaster". Sehen Sie die Rolle im entsprechend bezeichneten Tab.
Wenn Sie zuvor "Verbindung mit Domänencontroller herstellen" und einen neuen Domänencontroller gewählt haben, können Sie in diesem Dialog auch die Betriebsmasterrolle übertragen.
Übernahme der Betriebsmasterrollen
Die Betriebsmasterrollen lassen sich über die GUI oder mittels Kommandozeilentool übernehmen.
Ist sowohl der aktuelle Betriebsmaster als auch der zukünftige Rolleninhaber online, bezeichnet man die Übernahme der Betriebsmasterrolle als "Transferring".
Wie Sie die Betriebsmasterrollen mittels GUI "transfern", haben Sie bereits im Abschnitt oben "Feststellen der Rollen mittels GUI" kennen gelernt.
Ist der aktuelle Betriebsmaster offline, kann der Administrator die Rolle auf einen anderen Domänencontroller übertragen. Dieser Prozess wird dann "Sizing" genannt.
Sonderfall Globaler Katalog
Der globale Katalog ist keine Betriebsmasterrolle. Er speichert Teil-Informationen über Objekte aus dem gesamten Forest (nicht nur aus der eigenen Domäne). Er repliziert diese Daten mit allen anderen Gloalen Katalogen
des Forests.
In kleinen Netzen ist häufig der Betriebsmaster auch Globaler Katalog Server. Ein globaler Katalog muss sich zwingend auf einem Domänencontroller befinden und kann nicht auf einem reinen Memberserver sein..
Um festzustellen, ob ein Server globaler Katalog ist, rufen Sie "Active-Directory Standorte- und Dienste" auf
Klicken Sie sich durch z den "NTDS Settings".
Rechte Maustaste auf NTDS Settings.
Mit dem Haken kann festgelegt werden, ob der Server ein "Globaler Katalog" ist. Die Änderung dauert aber einige Zeit. Die erfolgreiche Umstellung sieht man im Ereignisprotokoll.
Beispieleintrag:
Event Type: Information Event Source: NTDS General Event Category: Global Catalog Event ID: 1119 Date: 26/08/2005 Time: 03:54:59 User: NT AUTHORITYANONYMOUS LOGON Computer: DC Description: This domain controller is now a global catalog.
Sizing mit NTDSUTIL
Alternativ lassen sich per ntdsutil die Rollen übernehmen. Ist der Schemamaster ausgefallen, kann man nur noch mittels ntdsutil übertragen
Öffnen Sie die Eingabeaufforderung
Geben Sie Folgendes ein:
ntdsutil
Geben Sie Folgendes an der ntdsutil-Eingabeaufforderung ein:
roles
Geben Sie Folgendes an der fsmo maintenance-Eingabeaufforderung ein:
connection
Geben Sie Folgendes an der server connections-Eingabeaufforderung ein:
connect to server Domänencontroller
Geben Sie Folgendes an der server connections-Eingabeaufforderung ein:
quit
Lassen Sie sich jetzt die möglichen Optionen mittels ? anzeigen
fsmo maintenance: ? Seize domain naming master - Funktion der Domäne auf dem verbundenen Server überschreiben Seize infrastructure master - Funktion der Infrastruktur auf dem verbundenen Server überschreiben Seize PDC - Funktion des primären Domänencontrollers auf dem verbundenen Server überschreiben Seize RID master - Funktion der RID auf dem verbundenen Server überschreiben Seize schema master - Funktion des Schemas auf dem verbundenen Server überschreiben Select operation target - Standorte, Server, Domänen, Funktionen und Namenskontexte wählen Transfer domain naming master - Den verbundenen Server zum Domain Naming Master machen Transfer infrastructure master - Den verbundenen Server zum Infrastrukturmaster machen Transfer PDC - Den verbundenen Server zum primären Domänencontroller machen Transfer RID master - Den verbundenen Server zum RID-Master machen Transfer schema master - Den verbundenen Server zum Schemamaster machen
Geben Sie z.B: Folgendes an der fsmo maintenance-Eingabeaufforderung ein:
transfer schema master
Beachten Sie unbedingt auch den Microsoft-Artikel: Übertragen von FSMO-Funktionen auf einen Domänencontroller mithilfe des Programms "Ntdsutil.exe"
Quellen / Weitere Infos
- Windows 2003 Hilfe
- http://www.petri.co.il/seizing_fsmo_roles.htm ...sehr guter englischsprachiger Artikel zur Funktion und Übernahme der FSMO Erklärt unter anderem, wenn ein Server mit einer Rolle ausfällt
- http://www.petri.co.il/transferring_fsmo_roles.htm
- https://www.wintotal.de/tipp/uebertragen-der-fsmo-roles-unter-windows-server-2003
- Beitrag aus www.mcseboard.de von Velius
- Was ist Active Directory?
- Betriebsmasterrollen - FSMO
- Active Directory und DNS-Partitionen verstehen
- Was ist DNS?
- Active Directory Komponenten
- Windows Server 2012- und Windows 8-Gruppenrichtlinien
- Microsoft Windows Server 2012 R2 - Das Handbuch: Das ganze Softwarewissen
Hallo, hier schreibt Lars. Dipl-Ing. Ingenieurinformatik (FH). Seit Jahrzehnten in der IT tätig. Geprüfter (und begeisterter) Webmaster. Ebenso begeisterter Windows-, Apple-, und Office-User. Ich schreibe über alle möglichen Themen rund um IT. Mehr über mich erfährst du hier: Über mich. Danke für deinen Besuch!