23.3 Die Verschiebung der Betriebsmasterrollen
 
Wenn ein Domänencontroller heruntergefahren wird, überträgt er nicht automatisch seine Betriebsmasterfunktionen an einen anderen Domänencontroller. Dies wäre auch nicht sinnvoll, da die Aufteilung der FSMO-Rollen auf die verschiedenen Domänencontroller ja aus diversen Gründen geplant war und nicht einfach durch einen Automatismus des Betriebssystems geändert werden sollte. Wenn ein Domänencontroller z.B. aus Wartungsgründen (Ausbau der Hardware oder Austausch defekter Hardwarekomponenten) nur eine befristete Zeit vom Netz geht, müssen in der Regel die FSMO-Rollen nicht verschoben werden. Die FSMO-Rollen müssen jedoch bei der erstmaligen Einrichtung mehrerer Domänencontroller verteilt und dann neu zugeordnet werden, wenn ein Domänencontroller neu hinzukommt oder endgültig (geplant oder ungeplant) ausfällt.
Die Vorgehensweise bei der Übertragung bzw. der Übernahme einer FSMO-Rolle wird im Knowledge-Base-Artikel 223787 »Flexible Single Master Operation Transfer and Seizure Process« beschrieben.
23.3.1 Die Routine DUMPFSMOS.CMD zum Anzeigen der Betriebsmasterfunktionen
Im Windows Server 2003 Resource Kit finden Sie die Routine Dumpfsmos.cmd (Dump FSMO Roles). Sie hat folgenden Inhalt:
@echo off
REM
REM Script to dump FSMO role owners on the server designated by %1
REM
if ""=="%1" goto usage
ntdsutil roles Connections "Connect to server %1" Quit "select Operation Target"
"List roles for connected server" Quit Quit Quit
goto done
:usage
@echo Please provide the name of a domain controller
@echo.
:done
Diese Routine zeigt die Betriebsmasterfunktionen (FSMO-Rollen) eines Domänencontrollers an. Der Befehl dumpfsmos Server1 erzeugt z.B. folgendes Ergebnis, wenn alle FSMO-Rollen vom selben Domänencontroller Server1 ausgeführt werden:
ntdsutil: roles
fsmo maintenance: Connections
server connections: Connect to server Server1
Binding to Server1 ...
Connected to Server1 using credentials of locally logged on user.
server connections: Quit
fsmo maintenance: select Operation Target
select operation target: List roles for connected server
Server »Server1« knows about 5 roles
Schema – CN=NTDS Settings,CN=SERVER1,CN=Servers,CN=NewSite,CN=Sites,CN=Configuration,DC=contoso,DC=com
Domain – CN=NTDS Settings,CN=SERVER1,CN=Servers,CN=NewSite,CN=Sites,CN=Configuration,DC=contoso,DC=com
PDC – CN=NTDS Settings,CN=SERVER1,CN=Servers,CN=NewSite,CN=Sites,CN=Configuration,DC=contoso,DC=com
RID – CN=NTDS Settings,CN=SERVER1,CN=Servers,CN=NewSite,CN=Sites,CN=Configuration,DC=contoso,DC=com
Infrastructure – CN=NTDS Settings,CN=SERVER1,CN=NewSite,CN=Sites,CN=Configuration,DC=contoso,DC=com
select operation target: Quit
fsmo maintenance: Quit
ntdsutil: Quit
Disconnecting from Server1...
23.3.2 Wann sollten Betriebsmasterfunktionen übertragen werden?
Im Artikel »Professor Windows – March 2002 – Best Practise for Active Directory Design and Deployment« (www.microsoft.com/technet/colums/profwin) finden Sie folgende Hinweise zum Ausfall von Domänencontrollern mit Betriebsmasterfunktionen:
»A few words on Flexible Single Master Operation (FSMO) roles offline scenarios Having the Schema, Domain Naming master and Infrastructure master offline for a short time does not affect the Directory Service. Essentially, the RID Master is also non-critical for a short period of time, unless you're planning bulk-operations (migrations) at the time of the outage. The RID master should be brought back on-line in a few hours, just to be on the safe side. The exception is the PDC Emulator role, which should be online always. For any of the other FSMO roles, transfer the role(s) to another server only when the role is needed urgently, and while perfectly understanding that the original server that held that role up till now is NOT coming back online into your network without a re-install.«
23.3.3 Das Tool NTDSUTIL zum Übertragen oder Übernehmen von Betriebsmasterfunktionen
Die Betriebsmasterfunktionen können zwischen den Domänencontrollern über das Befehlszeilenprogramm NTDSUTIL verschoben werden.
So übertragen Sie die Funktion des Schemamasters:
Die Übertragung der Funktion Schemamaster vom Domänencontroller DC1 aus auf den Domänencontroller DC2 mit dem Tool NTDSUTIL läuft wie folgt ab:
| 1. |
Klicken Sie auf Start und dann auf Ausführen, und geben Sie cmd ein. Sie geben den Befehl ntdsutil ein. |
|
|
|
| 2. |
Es erscheint eine Meldung »ntdsutil:« Geben Sie roles ein. |
|
|
|
| 3. |
Es erscheint eine Meldung »FSMO-Wartung:« Geben Sie connections ein. |
|
|
|
| 4. |
Hinter der Meldung »Serververbindungen:« geben Sie connect to server dc2 ein. |
|
|
|
| 6. |
Der nächste Befehl lautet transfer schema master. |
|
|
|
| 7. |
Die Rollenübertragung muss in einem sich öffnenden Fenster »Transfer Confirmation Dialog: Are you sure you want server dc2.Company.com to transfer the schema master for the enterprise?« durch Anklicken der Schaltfläche Yes bestätigt werden. |
|
|
|
Wäre der Domänencontroller DC1 ausgefallen, so könnte auch eine Rollenübernahme vom zweiten Domänencontroller DC2 aus eingeleitet werden. Die Abfolge der Befehle ist ähnlich der Abfolge der Befehle bei der Übertragung der Rolle vom DC1 aus. Jedoch muss statt des Befehls transfer schema master dann der Befehl seize schema master eingegeben werden. Es öffnet sich dann ein Fenster »Role Seizure Confirmation«, in dem die Rollenübernahme durch Anklicken der Schaltfläche Yes bestätigt werden muss.
So übernehmen Sie die Funktion des Schemamasters:
| 1. |
Klicken Sie auf Start und dann auf Ausführen, und geben Sie cmd ein. |
|
|
|
| 2. |
Geben Sie an der Eingabeaufforderung ntdsutil ein. |
|
|
|
| 3. |
Geben Sie an der Eingabeaufforderung »ntdsutil:« den Befehl roles ein. |
|
|
|
| 4. |
Geben Sie an der Eingabeaufforderung »FSMO-Wartung:« den Befehl connections ein. |
|
|
|
| 5. |
Geben Sie an der Eingabeaufforderung »Serververbindungen:« den Befehl connect to server, gefolgt von einem voll qualifizierten Domänennamen ein. |
|
|
|
| 6. |
Geben Sie an der Eingabeaufforderung »Serververbindungen:« den Befehl quit ein. |
|
|
|
| 7. |
Geben Sie an der Eingabeaufforderung »FSMO-Wartung:« den Befehl seize schema master ein. |
|
|
|
| 8. |
Geben Sie an der Eingabeaufforderung »FSMO-Wartung:« den Befehl quit ein. |
|
|
|
| 9. |
Geben Sie an der Eingabeaufforderung »ntdsutil:« den Befehl quit ein. |
|
|
|
|
Vorsicht Die Übernahme des Schemamasters ist ein drastischer Schritt, der nur in Betracht gezogen werden sollte, wenn ein neuerlicher Betrieb des aktuellen Betriebsmasters vollständig ausgeschlossen wird.
|
So übernehmen Sie die RID-Masterfunktion:
Verfahren Sie wie unter »So übernehmen Sie die Funktion des Schemamasters«. Geben Sie jedoch in Punkt 7 den Befehl seize RID master ein.
|
Die Übernahme der RID-Masterfunktion ist ein drastischer Schritt, der nur in Betracht gezogen werden sollte, wenn ein neuerlicher Betrieb des aktuellen Betriebsmasters vollständig ausgeschlossen wird.
|
Vor der Übernahme des RID-Masters können Sie mit dem Programm Repadmin aus den Active-Directory-Support-Tools prüfen, ob der neue Betriebsmaster Aktualisierungen des vorherigen Masters empfangen hat. Entfernen Sie dann den aktuellen Betriebsmaster aus dem Netzwerk.
So übernehmen Sie die Domänennamenmasterfunktion:
Verfahren Sie wie unter »So übernehmen Sie die Funktion des Schemamasters«. Geben Sie jedoch in Punkt 7 den Befehl seize domain naming master ein.
|
Die Übernahme der Domänennamenmasterfunktion ist ein drastischer Schritt, der nur in Betracht gezogen werden sollte, wenn ein neuerlicher Betrieb des aktuellen Betriebsmasters vollständig ausgeschlossen wird.
|
So übernehmen Sie die Funktion des Infrastrukturmasters:
Verfahren Sie wie unter »So übernehmen Sie die Funktion des Schemamasters«. Geben Sie jedoch in Punkt 7 den Befehl seize infrastructure master ein.
Anmerkung: Wenn der ursprüngliche Infrastrukturmaster wieder in Betrieb genommen wird, können Sie die Funktion auf den ursprünglichen Domänencontroller zurückübertragen.
So übernehmen Sie die PDC-Emulationsfunktion:
Verfahren Sie wie unter »So übernehmen Sie die Funktion des Schemamasters«. Geben Sie jedoch in Punkt 7 den Befehl seize PDC ein.
Anmerkung: Wenn der ursprüngliche PDC-Emulator wieder in Betrieb genommen wird, können Sie die Funktion auf den ursprünglichen Domänencontroller zurückübertragen.
Die FSMO-Rollen eines Servers anzeigen:
Das Tool NTDSUTIL ermöglicht auch das Anzeigen von Betriebsmasterrollen. Die Eingabe der Befehle ist weitgehend identisch, jedoch muss statt des Befehls transfer schema master bzw. seize schema master der Befehl select operation target und danach der Befehl list roles for connected server eingegeben werden. Die Ausgabe kann wie folgt aussehen:
Hier klicken, um das Bild zu Vergrößern
23.3.4 Snap-Ins zur grafischen Anzeige und Übertragung der Betriebsmasterfunktionen
Neben dem Tool NTDSUTIL können Sie auch Snap-Ins benutzen, um die FSMO-Rollen grafisch zu managen. Zum Anzeigen der Server mit domänenspezifischen Betriebsmasterrollen starten Sie Active Directory-Benutzer und –Computer, klicken den Domänennamen mit der rechten Maustaste an und wählen Betriebsmaster aus. Sie sehen drei Register für die Rollen RID, PDC und Infrastruktur und können die Rollen über die Schaltfläche Ändern verschieben. Zuvor muss jedoch eine Verbindung zum Zieldomänencontroller hergestellt werden. Auch dazu klicken Sie den Domänennamen mit der rechten Maustaste an und wählen den Befehl Verbindung mit Domänencontroller herstellen.
Hier klicken, um das Bild zu Vergrößern
Zum Anzeigen des Schemamasters muss das Snap-In Active Directory-Schema gestartet werden. Aus Sicherheitsgründen wird dieses Snap-In jedoch nicht unter Programme · Verwaltung angezeigt. Sie müssen zuerst den Befehl mmc eingeben, im Menü Datei den Befehl Snap-In hinzufügen/entfernen wählen, erneut Hinzufügen wählen und aus der Liste der verfügbaren Snap-Ins das Snap-In Active Directory-Schema wählen.
Hier klicken, um das Bild zu Vergrößern
Wenn Sie in der neuen Konsole Active Directory-Schema mit der rechten Maustaste anklicken, können Sie die Option Betriebsmaster wählen. Im Fenster Schemamaster ändern ist auch beim ersten Domänencontroller einer Domäne die Option Schema kann auf diesem Domänencontroller geändert werden nicht standardmäßig aktiviert! Über die Schaltfläche Ändern können Sie aber auch die Schemamasterrolle verschieben.
Um den Domänennamenmaster anzuzeigen bzw. die Rolle zu verschieben, starten Sie das Snap-In Active Directory-Domänen und –Vertrauensstellungen, klicken Active Directory-Domänen und –Vertrauensstellungen mit der rechten Maustaste an und wählen die Option Betriebsmaster aus.
|
