Immer wieder höre ich wie kritisch es ist wenn FSMO Rollen (Flexible Single Master Operations) ausfallen. Leider herrscht hier immer noch der Glaube vor das in kürzester Zeit das AD steht und nichts mehr geht. Dies ist aber nur zum Teil richtig.
Sehen wir uns dazu die einzelnen Rollen kurz an.
- Schemenmaster
- Infrastrukturmaster
- Domainnamingmaster
- RID-Master
- PDC-Emulatur
Ich möchte nur sehr (sehr) kurz auf die Funktion der Rollen eingehen und beschreiben was passiert wenn genannte Rolle nicht mehr zur Verfügung steht.
Schemenmaster
Der Schemenmaster ist im gesamten AD Forest nur einmal vertreten. Dieser verwaltet wie man erwarten würde das AD Schema, also alle Attribute die das AD kennt( CN,DN,lastLogon) um nur mal ein paar User Attribute zu nennen.
Fällt dieser aus, ist es nicht möglich neue Attribute im AD anzulegen. Da dies aber sehr selten der Fall ist (z.B. bei der erstmaligen Installation einens Exchange oder Lync)
Somit ist der Ausfall zwar unschön, benötigt aber nicht sofortiges Eingreifen.
Infrastrukturmaster
Diese Rolle ist einmal pro Domain verfügbar. Er verwaltet die Verweise auf andere Objekte die in anderen Domains existieren. Der Ausfall dieser Rolle ist kritisch, wenn sich im Forest mehr als eine Domain befindet. Sollte hingegen nur eine Domain existieren ist auch der Ausfall dieser Rolle nicht lebenswichtig für das AD.
Domainnamingmaster
Der Domainnamingmaster ist wieder eine „Forest-Rolle“ Es darf Sie nur einmal in der Gesamtstruktur geben. Er verwaltet alle Domains die in einem Forest existieren. Sollte die Rolle ausfallen ist es nicht mehr möglich eine Domain neu anzulegen oder zu entfernen. Somit kann auch bei dieser Rolle in der Regel eine gewisse Downtime tolleriert werden.
RID-Master
Der RID-Master verwaltet einen Pool aus Eindeutigen Kennungen. Bei jeder Anlage eines Users, Gruppe, Computer usw. im AD wird dieses Objekt mit einer SID ausgestattet. Der RID-Master vergibt einen „RID-Pool“ an jeden DC. Dieser enthällt in der Grundkonfiguration 500 RIDs. Wird nun ein neues Objekt angelegt, wandelt der DC nun eine RID aus dem erhaltenen RID-Pool in eine eindeutige SID um, die er dem Objekt zuweist.
Das heisst auch wenn der RID-Master offline ist, ist neu Neuanlage von Objekten weiterhin möglich und zwar solange bis die RID Pools der DCs erschöpft sind. In kleinen Domains kann soetwas durchaus Monate oder länger dauern.
PDC-Emulatur
Nun die Meiner Meinung nach kritischte Rolle. Der PDC Emulator stellt unter anderm die Kennwortverwaltung oder besser gesagt Änderung zur Verfügung. Jedes Kennwort wird, wenn es der DC als falsch einstuft nochmals gegen den PDC Emulator geprüft.
Der PDC ist zusätzloch für die Zeitsyncronisierung, die Anwendung und Verwaltung der GPOs und das Handling der Trusts (Vertrauensstellungen) verantwortlich. Sollte euch also diese Rolle ausfallen sollte unbedingt zeitnah gehandelt werden.
Wer im Forest welche Rollen inne hat, kann man mit dem Kommando
„netdom query fsmo“
prüfen.
Die Rollen übertägt man am einfachsten mit der Powershell mit installiertem AD-Modul. Dazu einfach
„Move-ADDirectoryServerOperationMasterRole -Identity ZIELDOMAINCONTROLLER -OperationMasterRole ROLLE“
eingeben.
Die verfügbaren Rollen sind SchemaMaster, RIDMaster, InfrastructureMaster, DomainNamingMaster, PDCEmulator
Dies funktioniert natürlich nur dann wenn die Rolle auf dem Quell DC noch verfügbar und online ist. Wie FSMO Rollen übernommen werden wenn die Rolle bereits offline ist, werde ich wohl in meinem nächsten Eintrag beschreiben.
Hoffentlich bald mehr von Mir 🙂
Nun Aber Ernst 