Suchen

Domänencontroller stabil und sicher betreiben 10 Tipps für FSMO-Rollen und den globalen Katalog in Active Directory

Autor / Redakteur: Thomas Joos / Dipl.-Ing. (FH) Andreas Donner

Active-Directory-Administratoren sollten sich mit den Funktionen der FSMO-Master (Flexible Single Master Operations) im Netzwerk vertraut machen, um Ausfälle zu vermeiden und die Leistung zu verbessern. Wir geben nachfolgend einige Tipps zur Optimierung und Fehlerbehebung.

Firmen zum Thema

Active-Directory-Spezialist Thomas Joos gibt Tipps in Sachen Flexible Single Master Operations (FSMO).
Active-Directory-Spezialist Thomas Joos gibt Tipps in Sachen Flexible Single Master Operations (FSMO).
(Bild: © wladimir1804 - stock.adobe.com)

Die Verwaltung der FSMO-Rollen (Flexible Single Master Operations), auch Betriebsmaster genannt, spielt in Active Directory eine wichtige Rolle. Der Beitrag „Verwalten der Betriebsmasterrollen von Domänencontrollern“ ist zwar bereits etwas älter, gilt aber immer auch noch für Windows Server 2016/2019.

Im Beitrag „10 Stolpersteine beim Einsatz von Active Directory“ sind wir unter Punkt drei darauf eingegangen, welche FSMO-Rollen es gibt, und was bei der grundsätzlichen Einrichtung und Verwaltung von Active Directory bezüglich dieser Rollen dringend beachtet werden sollte.

Bildergalerie
Bildergalerie mit 8 Bildern

Im Beitrag „10 schnelle Praxistipps für Windows Server 2016“ zeigen wir in Tipp 5 wie die Betriebsmaster getestet werden können. Und auch im Beitrag „Active-Directory-Probleme in 7 Schritten systematisch lösen“ sind entsprechende Tests zu finden.

Der Beitrag „So ersetzen Sie AD-Domänencontroller nach einem Ausfall“ zeigt wie die FSMO-Rollen zwischen Servern verschoben werden können. Diesbezüglich sei ergänzend auch noch auf den Beitrag „Diese Active-Directory-Einstellungen müssen Admins kennen“ als wichtiger Einstiegspunkt verwiesen.

Tipp 1: Schemamaster anzeigen und verwalten

Der Schemamaster ist notwendig, wenn das AD-Schema erweitert werden muss, zum Beispiel bei der Installation von Microsoft Exchange. Verwaltet wird das Schema mit dem Snap-In Active Directory-Schema. Dieses kann in jeder Managementkonsole (mmc.exe) eingebunden oder direkt gestartet werden. Damit das Snap-In angezeigt wird, muss zunächst mit „regsvr32 schmmgmt.dll“ die zugehörige Bibliothek dazu eingebunden werden. Über das Kontextmenü von „Active Directory-Schema“ und „Betriebsmaster“, wird der Betriebsmaster eingeblendet.

Tipp 2: Betriebsmaster übertragen

Um einen Betriebsmaster auf einen anderen Domänencontroller zu übertragen, muss im entsprechenden Snap-In, zum Beispiel „Active Directory-Benutzer und -Computer“ (dsa.msc) zunächst über das Kontextmenü des obersten Menüpunktes und der Auswahl „Domänencontroller ändern“ eine Verbindung zu dem Domänencontroller aufgebaut werden, zu dem der Master übertragen werden soll. Danach kann über das Kontextmenü der Domäne am Beispiel von Active Directory-Benutzer und -Computer mit „Betriebsmaster“ die Übertragung stattfinden.

Tipp 3: FSMO-Rollen mit der PowerShell übertragen

Die Übertragung von Betriebsmastern kann auch mit der PowerShell durchgeführt werden. Die Syntax dazu lautet:

Move-ADDirectoryServerOperationMasterRole -Identity <Ziel-DC> -OperationMasterRole SchemaMaster,RIDMaster,InfrastructureMaster,DomainNamingMaster,PDCEmulator

Tipp 4: PowerShell: Betriebsmaster haben Nummern

Das Übertragen von Betriebsmastern kann auch mit Nummern durchgeführt werden. Die Nummern dazu sind:

PDC Emulator (0)
RID Pool Manager (1)
Infrastruktur Master (2)
Schema Master (3)
Domain Naming Master (4)

Der Befehl zum Übertragen lautet in diesem Fall:

Move-ADDirectoryServerOperationMasterRole -Identity <Ziel-DC> -OperationMasterRole 0,1,2,3,4

Nach dem Übertragen kann mit „netdom query fsmo“ überprüft werden, ob das Übertragen erfolgreich war.

Tipp 5: PowerShell: Übertragung von Betriebsmastern erzwingen

Wenn der Domänencontroller, auf dem die Rollen positioniert sind, nicht mehr reagiert, kann die Übertragung auf einen neuen Server auch erzwungen werden:

Move-ADDirectoryServerOperationMasterRole -Identity <Ziel-DC> -OperationMasterRole 0,1,2,3,4 -Force

Tipp 6: PowerShell: FSMO-Rollen des lokalen Domänencontrollers anzeigen

In der PowerShell oder dem Windows Terminal können die FSMO-Rollen des aktuell verbundenen Domänencontrollers mit dem folgenden Befehl angezeigt werden:

(Get-ADDomainController).OperationMasterRoles

Tipp 7: PowerShell: Betriebsmaster in der PowerShell anzeigen

In der PowerShell können auch die Domänencontroller angezeigt werden, die eine bestimmte Rolle haben, zum Beispiel „PDC-Master“:

Get-ADDomainController -Filter {OperationMasterRoles -like "PDC*"} | Select Name

Die einzelnen Rollen, die verwendet werden können, zeigt der Befehl aus Tipp 6 an. Um die drei Rollen einer Domäne – PDC, RID und Infrastructure – anzuzeigen, wird das folgende Cmdlet ausgeführt:

Get-ADDomain | Select InfrastructureMaster, RIDMaster, PDCEmulator

Die Betriebsmaster für die Gesamtstruktur (Domain Naming Master und Schema Master) werden mit dem folgenden Cmdlet angezeigt:

Get-ADForest

Tipp 8: PowerShell: Globalen Katalog abfragen, aktivieren oder deaktivieren

In der PowerShell kann zudem überprüft werden, ob ein Domänencontroller auch zum globalen Katalog konfiguriert wurde:

Get-ADDomainController -Server DC02

Steht bei „IsGlobalCatalog“ der Wert „True“, dann handelt es sich bei dem Domänencontroller um einen globalen Katalog. Soll bei dem oben genannten Server der globaler Katalog deaktiviert werden, wird die Option „-Replace @{options = ‘0’}“ verwendet. Mit „-Replace @{options = ‘1’}“ wird ein Server zum Domänencontroller konfiguriert:

Set-ADObject -Identity “CN=NTDS Settings,CN=DC02,CN=Servers,CN=Heilbronn,CN=Sites,CN=Configuration,DC=joos,DC=int” -Replace @{options = ‘0’}

Mit dem folgenden Befehl wird der Server wieder zum globalen Katalog:

Set-ADObject -Identity "CN=NTDS Settings,CN=DC02,CN=Servers,CN=Heilbronn,CN=Sites,CN=Configuration,DC=joos,DC=int" -Replace @{options = '1'}

Der Pfad für den Servernamen wird bei „NTDSSettingsObjectDN“ mit dem Befehl „Get-ADDomainController -Server DC02“ angezeigt. Dieser kann auch in die Zwischenablage kopiert werden.

Tipp 9: PowerShell: Globaler Kataloge in einer Gesamtstruktur anzeigen

Mit dem folgenden Befehl werden alle Domänencontroller angezeigt, die in der Gesamtstruktur zum globalen Katalog definiert wurden:

Get-ADForest | Select-Object -ExpandProperty GlobalCatalogs

Eine Liste aller Domänencontroller, unabhängig von der Rolle, werden mit dem folgenden Cmdlet angezeigt:

Get-ADDomainController -Filter * | Select-Object Name

Tipp 10: Ereignisanzeige überprüfen

Änderungen an der Konfiguration von Betriebsmastern und des globalen Katalogs werden in der Ereignisanzeige protokolliert. Hier spielt vor allem das Protokoll „DirectoryService“ bei „Anwendungs- und Dienstprotokolle“ eine wichtige Rolle.

(ID:46992561)

Über den Autor

 Thomas Joos

Thomas Joos

Freiberuflicher Autor und Journalist