AD Icon Drawio

Powershell – Umzug der FSMO Rollen in einer Domäne

cropped Andreas Hartig 003Veröffentlicht von

Die FSMO – Flexible Single Master Operations lassen sich per GUI Optionen umziehen, oder einfach mit weniger Befehlen aus einem Powershell Skript.

Wie ziehe ich die FSMO Rollen um? Mit einem Powershell Skript und nur einer Variable “$targetServer” lässt sich dies wie folgt umsetzen. Ersetzt unten im Beispiel einfach “NEW_FSMO_SERVER_NAME” mit dem Namen eures Servers / Computerobjekts das bereits Domain Controller ist und erstellt daraus eine Powershell ausführbare Datei, bzw. führt es direkt im Powershell ISE aus.

# Import the Active Directory module
Import-Module ActiveDirectory

# Define the target server to transfer the roles to
$targetServer = "NEW_FSMO_SERVER_NAME"

# Transfer the Schema Master role
Move-ADDirectoryServerOperationMasterRole -Identity $targetServer -OperationMasterRole SchemaMaster

# Transfer the Domain Naming Master role
Move-ADDirectoryServerOperationMasterRole -Identity $targetServer -OperationMasterRole DomainNamingMaster

# Transfer the RID Master role
Move-ADDirectoryServerOperationMasterRole -Identity $targetServer -OperationMasterRole RIDMaster

# Transfer the PDC Emulator role
Move-ADDirectoryServerOperationMasterRole -Identity $targetServer -OperationMasterRole PDC

# Transfer the Infrastructure Master role
Move-ADDirectoryServerOperationMasterRole -Identity $targetServer -OperationMasterRole InfrastructureMaster

Was sind FMSO Rollen?

Domain Naming Master

Gesamtstruktur-weite Rolle. Es kann nur einen Domain Controller in der Gesamtstruktur geben, der die Möglichkeit hat, Domain-Namen zu vergeben, und diese zu verwalten. Wenn ein Administrator versucht eine neue Domäne oder Subdomäne anzulegen, wird dieser eine Fehlermeldung bekommen, da im Netzwerk keine Domäne oder Subdomäne angelegt werden kann, wenn der Domain Naming Master nicht bestätigt, dass dieser Name noch nicht belegt ist. Gleiches gilt für das Einbinden eines neuen Domaincontrollers. Mit dem Domain Naming Master gibt es nur einen Domain Controller, der die Freigabe eines neuen Namens akzeptieren kann.

Schema-Master

Gesamtstruktur-weite Rolle. Das Schema definiert die Klassen-Schablonen für die Active-Directory-Objekte wie Benutzer, Computer oder Ressourcen, genauso wie die Attribute, die den einzelnen Objekten zugewiesen werden können.Der Schema-Master ist verantwortlich, wenn das Active-Directory-Schema verändert werden soll, d. h. dem Schema weitere Objektklassen und Attribute hinzugefügt werden sollen. Dies ist z. B. der Fall bei der ersten Installation eines Exchange Servers, der Exchange-spezifische Attribute wie den Homeserver und den Postfachnamen für jeden Benutzer hinzufügt. Damit die Änderungen vollzogen werden können, muss der Schema-Master verfügbar sein.

RID (Relative ID)-Master

Domain-weite Rolle. SIDs im Active Directory sind Kennungen, die zum Beispiel einem User zugewiesen werden, wenn er bei Login einer bestimmten Gruppe angehört. Sie haben (vereinfacht) folgendes Schema: Local-ID – Relative-ID (RID), wobei diese RID eine fortlaufende Nummer ist, beginnend bei 1000. Es muss nun sichergestellt sein, dass die fortlaufenden Nummern der RID einmalig sind, um die Eindeutigkeit der Security ID (SID) zu gewährleisten. Da aber verschiedene Domain Controller verschiedene Gruppen und Objekte anlegen können, muss ein zentraler Domain Controller die Aufgabe übernehmen, für jeden Domain Controller gewisse „RID-Pools“ bereitzustellen.

PDC (Primary Domain Controller)-Emulator

Domain-weite Rolle. Die Replizierung von Änderungen in der Active Directory-Datenbank kann bis zu 20 Minuten dauern, da es bis zu 3 Replizierungssprünge geben kann, bei denen jeder 5 Minuten dauern darf. Um das Zurücksetzen von Benutzerpasswörtern zu beschleunigen, werden diese Änderungen direkt zum PDC-Emulator der Domain repliziert. Stellt ein Domain Controller nun einen fehlerhaften Anmeldeversuch fest, weist er den Client nicht direkt ab, sondern prüft das Passwort noch gegen den PDC. Somit ist sichergestellt, dass eine Passwortänderung nach spätestens 5 Minuten gültig ist. Außerdem ist der PDC-Emulator der Zeitgeber für alle Server und Clients der Domain, bei denen kein anderer Zeitserver eingestellt wurde. Bei Windows NT 4 gab es eine Unterscheidung der Domain Controller in PDCs und BDCs (Backup Domain Controllers). Der PDC war der einzige Domain Controller mit Schreibzugriff auf die Datenbank. Um in einer gemischten Umgebung mit Windows NT und Windows 2000 oder späteren Versionen die Kompatibilität mit NT 4-Clients und -Servern sicherzustellen, gibt sich der Inhaber der PDC-Rolle gegenüber allen Prä-Windows-2000-PCs als Primary Domain Controller aus.

Domain Infrastructure Master

Domain-weite Rolle. Der Infrastructure Master (ISM) ist verantwortlich, die referentielle Integrität zwischen verlinkten Active Directory-Objekten sicherzustellen. Verlinkte Objekte sind Objekte, die in irgendeiner Weise miteinander in Verbindung stehen (ein Beispiel wären die Attribute „Members“ und „MemberOf“ einer Gruppe). Die Aufgabe des Domain Infrastructure Master ist sicherzustellen, dass bei Änderung eines dieser Objekte die Änderung auch auf das jeweils andere Objekt übertragen wird, und zwar domainübergreifend. Diese Rolle sollte niemals zusammen mit dem “Globalen Katalog” auf einem Domain Controller ausgeführt werden (es sei denn alle Domain Controller der jeweiligen Domain halten den Globalen Katalog), da sich der Dienst sonst deaktiviert und schwerwiegende Replikationsfehler auftreten. Diese Fehlfunktion ist an Fehlermeldungen 1419 im Event-Log zu erkennen.

Quelle: https://de.wikipedia.org/wiki/FSMO

Kommentar hinterlassen