Active Directory ein-mal-eins, Teil 1: FSMO Rollen

Im ersten Teil dieser Serie befassen wir uns mit den 5 FSMO Rollen des Active Directory. Welche gibt es, welche Aufgaben haben sie und ein paar Kommandos zum erkennen, verwalten, verschieben.

Schemamaster

Gesamtstruktur-weite Rolle, Forest
Der Schemamaster ist für jede Änderung im Active Directory notwendig, und nur dieser kann solche Änderungen durchführen. Bei einer Exchange Installation wird das AD Schema um das Postfach-Attribut erweitert, ist er Schemamaster DC nicht erreichbar, wird diese nicht erfolgreich durchgeführt, bzw. das Setup beendet.
Es darf nur ein Schemamaster in einem Forest vorhanden sein.
Der Schemamaster sollte auch immer Global Catalog Server sein.

Domain Naming Master

Gesamtstruktur-weite Rolle, Forest
Der Domain Naming Master ist für die Vergabe und Verwaltung von Domän-Namen zuständig. Ohne Domain Naming Master können keine Domänen oder Subdomänen angelegt oder geändert werden.
Es darf nur ein Domain Naming Master in einem Forest vorhanden sein.
Der Domain Naming Master sollte auch immer Global Catalog Server sein.

PDC-Emulator

Domain-weite Rolle, Domäne
Der PDC-Emulator ist der Zeitgeber für alle Server und Clients in der Domäne. Änderungen der Benutzerpasswörter werden direkt mit dem PDC-Emulator repliziert, um diese Änderungen zu beschleunigen. Meldet sich ein Benutzer an der Domäne an, und ein DC stellt einen fehlerhaften Login fest, wird dies zuvor noch vom PDC-Emulator bestätigt, bevor dem User eine Fehlermeldung ausgegeben wird. Ohne einem RDC-Emulator kann es zu sporadischen Anmelde-Problemen kommen. Seit Windows 2003 ist der PDC-Emulator für das Management der “WellKnown Security Principals” (Netzwerkdienst, Jeder, NT-Autorität, Interaktiv…) zuständig.
Es darf nur ein PDC-Emulator pro Domäne vorhanden sein.

RID-Master

Domain-weite Rolle, Domäne
Der RID-Master ist für die Verteilung der RID’s zuständig. In Active Directory wird jedes Objekt mit einer SID versehen. Diese SID’s bestehen (vereinfacht dargestellt) aus Local-ID – Reference-ID (RID), wobei diese RID eine fortlaufende Nummer, beginnend bei 1000, ist. Da jeder DC, Objekte anlegen kann und tut, muss jemand dafür Sorge tragen, das eine RID nie 2mal vorkommt. Somit vergibt der RID-Master an alle DC’s in der Domäne, RID-Pools, bestehende aus einer Anzahl von RID’s mit dem der DC seine Objekte anlegen kann. Ein fehlender RID-Master wird somit nicht sofort bemerkt, sondern erst dann, wenn die RID-Pools auf den DC’s ausgehen.
Es darf nur ein RID-Master in der Domäne vorhanden sein.

Infrastructure Master

Domain-weite Rolle, Domäne
Der Infrastructure Master ist verantwortlich, die referentielle Integrität zwischen verlinkter Active-Directory-Objekten sicherzustellen. Ein Beispiel solcher verlinkter Objekte ist das Attribut “Members” oder “MemberOf” einer Gruppe. Wird eines dieser Objekte verändert, kümmert sicher der Infrastructure Master darum, die Änderungen auf jedes verlinkte Objekt (Member) zu übertragen. Der Infrastructure Master sollte nie mit einem Global Catalog Server auf einem DC betreiben werden (außer jeder DC ist ein Global Catalog Server), da sich der Dienst ansonsten deaktiviert und Replikations-Fehler auftreten. Im Event-Log zeigen sich diese Fehler mit der ID 1419.
Es darf nur ein Infrastructure Master in der Domäne vorhanden sein.

Hier noch eine kleine Skizze, um den Unterschied der Gesamtstruktur- und Domain-weiten Rollen darzustellen.

domain

Zur Verteilung der einzelnen FSMO-Rollen gibt’s noch eins zu sagen. Von Microsoft wird empfohlen den Schemamaster mit dem Domain Naming Master, und den PDC Emulator mit dem RID Master auf einen DC zu betreiben. Um herauszufinden welcher DC welche FSMO Rollen hält, führen wir folgendes Kommando

netdom /query fsmo

in der Eingabeaufforderung aus, und erhalten folgendes Ergebnis:

fsmo

Zum verschieben einer FSMO Rolle nutzen wir das Tool “NTDSUTIL”. Also Eingabeaufforderung auf und folgende Kommandos eingeben

ntdsutil.exe

roles

connections

connect to server *servername*

q

jetzt können wir aus 5 Kommandos wählen, je nachdem welche FSMO-Rolle wir transferieren wollen.

Transfer domain naming master oder Transfer naming master
Transfer infrastructure master
Transfer PDC
Transfer RID master
Transfer schema master

Hier noch ein Bild dazu, leider hab ich in meiner Testumgebung nur einen DC, somit nicht die ganze Wahrheit.

fsmo2

Hoffe das ich euch die FSMO-Rollen gut erklären konnte, und ich werde demnächst noch ein paar Basics zum Active Directory schreiben

lg michael

1 comment to Active Directory ein-mal-eins, Teil 1: FSMO Rollen

Leave a Reply

  

  

  

*