Monat: September 2014

FSMO Rollen zwangsweise verschieben (Role Owner Offline)

Hallo,

sollte ein DC der ein Role Owner ist defekt sein und nicht wieder zum laufen bewegen zu sein, müssen die Rollen des Owners übernommen werden.

Bitte aber nur wenn der DC wirklich nicht mehr zu retten ist. Der DC darf nach der übernahme der Rollen auf keinen Fall wieder online kommen. Sollte es z.B plötzlich 2 RID Master geben, kann es zu doppelten SIDs in eurer Struktur kommen. Was bei einem doppelten PTC passieren kann, kann sich sicher jeder bei der Studie meines ersten Blog Eintrages ausmahlen.

Als erstes muss ein DCpromo /forceremoval durchgeführt werden.

Im Anschluss lassen sich die Rollen mit ntdsutil übernehmen.

dazu rufen wir ntdsutil in einer shell auf und geben danach jeweils gefolgt von ENTER ein.

ntdsutil

roles

connections

connect to Server NAME-DC

seize FSMO Rolle.

Die Rollentypen sind

seize infrastructure master

seize PTC

seize RID Master

seize Schema Master

Seize naming master

Danach dringen im AD prüfen das der DC und seine SRV Records im DNS weg sind. auch ein dcdiag um zu überprüfen ob es unserem AD wieder gut geht sollte unbedingt durchgeführt werden.

Soviel in aller Kürze

Bis zum nächsten mal 🙂

Mein erster Blogeintrag oder Was passiert wenn FSMO Rollen ausfallen

Immer wieder höre ich wie kritisch es ist wenn FSMO Rollen (Flexible Single Master Operations) ausfallen. Leider herrscht hier immer noch der Glaube vor das in kürzester Zeit das AD steht und nichts mehr geht. Dies ist aber nur zum Teil richtig.

Sehen wir uns dazu die einzelnen Rollen kurz an.

  1. Schemenmaster
  2. Infrastrukturmaster
  3. Domainnamingmaster
  4. RID-Master
  5. PDC-Emulatur

Ich möchte nur sehr (sehr) kurz auf die Funktion der Rollen eingehen und beschreiben was passiert wenn genannte Rolle nicht mehr zur Verfügung steht.

Schemenmaster

Der Schemenmaster ist im gesamten AD Forest nur einmal vertreten. Dieser verwaltet wie man erwarten würde das AD Schema, also alle Attribute die das AD kennt( CN,DN,lastLogon) um nur mal ein paar User Attribute zu nennen.

Fällt dieser aus, ist es nicht möglich neue Attribute im AD anzulegen. Da dies aber sehr selten der Fall ist (z.B. bei der erstmaligen Installation einens Exchange oder Lync)

Somit ist der Ausfall zwar unschön, benötigt aber nicht sofortiges Eingreifen.

Infrastrukturmaster

Diese Rolle ist einmal pro Domain verfügbar. Er verwaltet die Verweise auf andere Objekte die in anderen Domains existieren. Der Ausfall dieser Rolle ist kritisch, wenn sich im Forest mehr als eine Domain befindet. Sollte hingegen nur eine Domain existieren ist auch der Ausfall dieser Rolle nicht lebenswichtig für das AD.

Domainnamingmaster

Der Domainnamingmaster ist wieder eine „Forest-Rolle“ Es darf Sie nur einmal in der Gesamtstruktur geben. Er verwaltet alle Domains die in einem Forest existieren. Sollte die Rolle ausfallen ist es nicht mehr möglich eine Domain neu anzulegen oder zu entfernen. Somit kann auch bei dieser Rolle in der Regel eine gewisse Downtime tolleriert werden.

RID-Master

Der RID-Master verwaltet einen Pool aus Eindeutigen Kennungen. Bei jeder Anlage eines Users, Gruppe, Computer usw. im AD wird dieses Objekt mit einer SID ausgestattet. Der RID-Master vergibt einen „RID-Pool“ an jeden DC. Dieser enthällt in der Grundkonfiguration 500 RIDs. Wird nun ein neues Objekt angelegt, wandelt der DC nun eine RID aus dem erhaltenen RID-Pool in eine eindeutige SID um, die er dem Objekt zuweist.

Das heisst auch wenn der RID-Master offline ist, ist neu Neuanlage von Objekten weiterhin möglich und zwar solange bis die RID Pools der DCs erschöpft sind. In kleinen Domains kann soetwas durchaus Monate oder länger dauern.

PDC-Emulatur

Nun die Meiner Meinung nach kritischte Rolle. Der PDC Emulator stellt unter anderm die Kennwortverwaltung oder besser gesagt Änderung zur Verfügung. Jedes Kennwort wird, wenn es der DC als falsch einstuft nochmals gegen den PDC Emulator geprüft.

Der PDC ist zusätzloch für die Zeitsyncronisierung, die Anwendung und Verwaltung der GPOs und das Handling der Trusts (Vertrauensstellungen) verantwortlich. Sollte euch also diese Rolle ausfallen sollte unbedingt zeitnah gehandelt werden.

Wer im Forest welche Rollen inne hat, kann man mit dem Kommando

„netdom query fsmo“

prüfen.

Die Rollen übertägt man am einfachsten mit der Powershell mit installiertem AD-Modul. Dazu einfach

„Move-ADDirectoryServerOperationMasterRole -Identity ZIELDOMAINCONTROLLER -OperationMasterRole ROLLE“

eingeben.

Die verfügbaren Rollen sind SchemaMaster, RIDMaster, InfrastructureMaster, DomainNamingMaster, PDCEmulator

Dies funktioniert natürlich nur dann wenn die Rolle auf dem Quell DC noch verfügbar und online ist. Wie FSMO Rollen übernommen werden wenn die Rolle bereits offline ist, werde ich wohl in meinem nächsten Eintrag beschreiben.

Hoffentlich bald mehr von Mir 🙂