[Tutorial] Betriebsmasterrollen / FSMO

Zuletzt aktualisiert am 25. Dezember 2023 von Lars

In diesem Artikel lernst du alles, was du wissen musst zu den Betriebsmasterrollen / FSMO (Flexible Single Master Operations).

Grundlegendes

Das Active Directory kennt die 5 verschiedene Betriebsmasterrollen

Einmalig auf einem Domänen-Controller der Gesamtstruktur

  • SCHEMA-MASTER
  • DOMÄNENNAMEN-MASTER

Einmalig auf einem Domänen-Controller in jeder Domäne

  • PDC EMULATOR
  • RID MASTER
  • INFRASTRUKTUR MASTER

Bei einer einzigen Domäne (logischerweise die Domäne der Gesamtstruktur) sind alle 5 Rollen auf dem ersten Domänen-Controller.

Diese Rollen werden auch die FSMO-Rollen genannt (Flexible Single Master Of Operation, flexibler Einzelbetriebsmaster).

Funktion der Betriebsmasterrollen

Schema-Master

...zuständig für die Verwaltung der Schemattribute

Der Schemamaster steuert den Lese- und Schreibzugriff auf den Schemanamenskontext. Alle andere Domänen-Controller in einer Gesamtstruktur verfügen nur über ein schreibgeschütztes Replikat des Schemanamenskontexts.

Schema-Master und Domänennamen-Master kommen in einer Gesamtstruktur genau einmal vor und
müssen trotz unterschiedlicher Funktion auf dem selben Domänencontroller liegen.

Domänennamen-Master / Domain-Naming-Master

...zuständig für Domänennamen, Einordnung in
Gesamtstruktur

Der Domänennamenmaster kennt die Domänen einer Gesamtstruktur. Er ist daher nötig, wenn Domänen zur Gesamtstruktur hinzugefügt oder aus dieser hinaus gelöscht werden sollen.

PDC-Emulator

...zuständig für Zeitsynchronisation, Gruppenrichtlinien, Kennwortänderungen, Anmeldeversuche und Kennwortsperrungen.

Siehe zum PDC-Emulator

Artikel PDC-Emulator

Infrastruktur-Master / Infrastructure-Master

...Verwaltung der Gruppenzugehörigkeiten

Der Infrastrukturmaster kennt die Gruppenzugerhörigkeiten auch über Domänen-Grenzen hinweg und sorgt für deren Replikation.

RID-Master

...zuständig für Verwaltung des SID-Pool

Mit dem SID-Pool können neue Objekte erstellt werden. Geht er zur Neige, fordert der Domänencontroller einen neuen SID-Pool an.

Feststellen der Rollen

Die Netzwerkrollen lassen sich entweder über das Kommando-Zeilen-Tool netdom oder mittels GUI feststelllen


Feststellen der Rollen mit netdom

netdom query fsmo

netdom ist Bestandteil der Support-Tools, die Sie auf der Windows 2000/2003 Server CD-ROM unter SUPPORTTOOLS finden und mit SUPPORTTOOLSSETUP.EXE installieren können.

FSMO-Rollen mit netdom feststellen

Feststellen der Rollen mittels GUI

Domänennamenmaster

Wählen Sie in der Verwaltung "Active Directory-Domänen und Vertrauensstellungen"

Rechte Maustaste auf  "Active Directory-Domänen und Vertrauensstellungen"

Betriebsmasterrollen feststellen

Klick auf "Betriebsmaster"

Betriebsmasterrollen feststellen

Wenn Sie zuvor "Verbindung mit Domänencontroller herstellen" und einen neuen Domänencontroller gewählt haben, können Sie in diesem Dialog auch die Betriebsmasterrolle übertragen.

Schemamaster

Microsoft hat die Möglichkeit, den Schemamaster einzusehen, bzw. zu manipulieren, stark eingeschränkt. Zunächst muss eine DLL registriert werden, damit dass notwendige SNAP-IN erscheint.

Geben Sie hierzu in der Kommandozeile

regsvr32 schmmgmt.dll

ein.

Betriebsmasterrollen feststellen

Achten Sie darauf, dass der Aufruf mit dem folgenden Hinweis bestätigt wird:

Betriebsmasterrollen feststellen

Nun können Sie die Managementkonsole aufrufen (Start-Ausführen - "mmc") und "Snap-In hinzufügen/entfernen" wählen

Fügen Sie das Snap-In "Active-Directory" Schema hinzu Mit rechter Maustaste auf "Betriebsmaster" können Sie feststellen, welcher Domänencontroller auch Schemamaster ist.

Betriebsmasterrollen feststellen

Betriebsmasterrollen feststellen

Wenn Sie zuvor "Verbindung mit Domänencontroller herstellen" und einen neuen Domänencontroller gewählt haben, können Sie in diesem Dialog auch diese Betriebsmasterrolle übertragen.

Speichert man die Konsole unter %systemroot%/system32 und dem Namen "schmmgmt.msc", kann man diese zukünftig bequem aufrufen mit:

schmmgmt.msc

RID / PDC / Infrastruktur

Die Rollen sind bequem in einem Dialog zu finden.

Wählen Sie "Active Directory-Benutzer und -Computer". Klicken Sie mit der rechte Maustaste auf Domäne.

Wählen Sie "Betriebsmaster". Sehen Sie die Rolle im entsprechend bezeichneten Tab.

Betriebsmasterrollen feststellen

Wenn Sie zuvor "Verbindung mit Domänencontroller herstellen" und einen neuen Domänencontroller gewählt haben, können Sie in diesem Dialog auch die Betriebsmasterrolle übertragen.

Übernahme der Betriebsmasterrollen

Die Betriebsmasterrollen lassen sich über die GUI oder mittels Kommandozeilentool übernehmen.

Ist sowohl der aktuelle Betriebsmaster als auch der zukünftige Rolleninhaber online,  bezeichnet man die Übernahme der Betriebsmasterrolle als "Transferring".

Wie Sie die Betriebsmasterrollen mittels GUI "transfern", haben Sie bereits im Abschnitt oben "Feststellen der Rollen mittels GUI" kennen gelernt.

Ist der aktuelle Betriebsmaster offline, kann der Administrator die Rolle auf einen anderen Domänencontroller übertragen. Dieser Prozess wird dann "Sizing" genannt.

Sonderfall Globaler Katalog

Der globale Katalog ist keine Betriebsmasterrolle. Er speichert Teil-Informationen über Objekte aus dem gesamten Forest (nicht nur aus der eigenen Domäne). Er repliziert diese Daten mit allen anderen Gloalen Katalogen
des Forests.

In kleinen Netzen ist häufig der Betriebsmaster auch Globaler Katalog Server. Ein globaler Katalog muss sich zwingend auf einem Domänencontroller befinden und kann nicht auf einem reinen Memberserver sein..

Um festzustellen, ob ein Server globaler Katalog ist, rufen Sie "Active-Directory Standorte- und Dienste" auf

Klicken Sie sich durch z den "NTDS Settings".

Rechte Maustaste auf NTDS Settings.

Betriebsmasterrollen feststellen

Mit dem Haken kann festgelegt werden, ob der Server ein "Globaler Katalog" ist. Die Änderung dauert aber einige Zeit. Die erfolgreiche Umstellung sieht man im Ereignisprotokoll.

Beispieleintrag:

Event Type: Information
Event Source: NTDS General
Event Category: Global Catalog
Event ID: 1119
Date: 26/08/2005
Time: 03:54:59
User: NT AUTHORITYANONYMOUS LOGON
Computer: DC
Description:
This domain controller is now a global catalog.

Sizing mit NTDSUTIL

Alternativ lassen sich per ntdsutil die Rollen übernehmen. Ist der Schemamaster ausgefallen, kann man nur noch mittels ntdsutil übertragen

Öffnen Sie die Eingabeaufforderung

Geben Sie Folgendes ein:

  
ntdsutil

Geben Sie Folgendes an der ntdsutil-Eingabeaufforderung ein:

  
roles

Geben Sie Folgendes an der fsmo maintenance-Eingabeaufforderung ein:

  
connection

Geben Sie Folgendes an der server connections-Eingabeaufforderung ein:

  
connect to server Domänencontroller

Geben Sie Folgendes an der server connections-Eingabeaufforderung ein:

  
quit

Lassen Sie sich jetzt die möglichen Optionen mittels ? anzeigen

fsmo maintenance: ?

Seize domain naming master - Funktion der Domäne auf dem verbundenen Server überschreiben
Seize infrastructure master - Funktion der Infrastruktur auf dem verbundenen Server überschreiben
Seize PDC - Funktion des primären Domänencontrollers auf dem verbundenen Server überschreiben
Seize RID master - Funktion der RID auf dem verbundenen Server überschreiben
Seize schema master - Funktion des Schemas auf dem verbundenen Server überschreiben
Select operation target - Standorte, Server, Domänen, Funktionen und Namenskontexte wählen
Transfer domain naming master - Den verbundenen Server zum Domain Naming Master machen
Transfer infrastructure master - Den verbundenen Server zum Infrastrukturmaster machen
Transfer PDC - Den verbundenen Server zum primären Domänencontroller machen
Transfer RID master - Den verbundenen Server zum RID-Master machen
Transfer schema master - Den verbundenen Server zum Schemamaster machen

Geben Sie z.B: Folgendes an der fsmo maintenance-Eingabeaufforderung ein:

transfer schema master

Beachten Sie unbedingt auch den Microsoft-Artikel: Übertragen von FSMO-Funktionen auf einen Domänencontroller mithilfe des Programms "Ntdsutil.exe"

Quellen / Weitere Infos

Du willst meine Arbeit unterstützen? Dann freue ich mich über eine kleine Spende!

Kommentar hinterlassen

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert