Systemrollen übertragen & Netzwerkeinstellungen anpassen

So ersetzen Sie AD-Domänencontroller nach einem Ausfall

| Autor / Redakteur: Thomas Joos / Andreas Donner

Je nachdem, welche Rollen ein ausgefallener AD-Controller erfüllte, muss beim Austausch dieses Controllers mehr oder weniger Nacharbeit geleistet werden.
Je nachdem, welche Rollen ein ausgefallener AD-Controller erfüllte, muss beim Austausch dieses Controllers mehr oder weniger Nacharbeit geleistet werden. (Bild: © profit_image - stock.adobe.com)

Fällt ein Domänencontroller aus und muss ersetzt werden, sind einige Nacharbeiten notwendig, um sicherzustellen, dass es im Netzwerk zu keinen Problemen kommt, weil Server den ausgefallenen Domänencontroller nicht mehr erreichen. Darauf müssen Sie achten:

Fällt ein Domänencontroller aus und muss ersetzt werden, gibt es verschiedene Aufgaben, die Administratoren durchführen sollten, um den ausgefallenen Server zu ersetzen. Nicht immer hilft das Wiederherstellen eines Domänencontrollers. Häufig ist eine Neuinstallation inklusive neuer Konfiguration wichtiger Systemrollen sinnvoller. Wenn ein Domänencontroller neu installiert wurde, müssen jedoch seine alten Einträge aus dem Active Directory entfernt werden.

Bereinigung von Active Directory und Entfernen von Domänencontrollern

Wird ein Domänencontroller aus Active Directory entfernt oder fällt aus, sollten Vorbereitungen getroffen werden, damit Serverdienste nicht beeinträchtigt werden. So sollte der Domänencontroller nicht mehr als DNS-Server von anderen Rechnern verwendet werden. Alle FSMO-Rollen müssen auf andere Domänencontroller übertragen werden. In den Eigenschaften der DNS-Zone, sollte der ausgefallene DNS-Server auf der Registerkarte „Namenserver“ nicht mehr aufgeführt werden. Außerdem sollte der Domänencontroller an keiner Stelle mehr als Domänencontroller eingetragen sein, auch nicht auf einem Linux- oder anderen Servern. Active Directory-abhängigen Dienste wie VPN, Zertifikatstelle oder andere Programme, müssen zudem auf Funktion überprüft werden.

Wenn es sich bei dem zu ersetzenden Server um einen globalen Katalog handelt, muss sichergestellt sein, dass andere DCs im Netzwerk den Server als globalen Katalog ersetzen. Im Snap-In „Active Directory-Standorte- und -Dienste“ unter „Sites/<Standort des Servers>/<Servername>/Eigenschaften der NTDS-Settings“ sollte der Haken bei „Globaler Katalog“ für den ausgefallenen Server entfernt werden (siehe Abbildung 1).

Bereinigen der Metadaten von Active Directory

Die Metadaten des Active Directory enthalten Einträge und Servernamen, die zu Active Directory gehören. Wenn ein Domänencontroller ausfällt oder erzwungen aus dem Active Directory entfernt wird, sollten die Metadaten daher nachträglich bereinigt werden. Das funktioniert in Windows Server 2016 zwar teilweise automatisch, sollte aber dennoch überprüft werden. Wird ein Domänencontroller hart entfernt, muss dies erst bestätigt werden (siehe Abbildung 2). Für die Bereinigung bzw. die Überprüfung der Metadaten wird das das Befehlszeilentool „Ntdsutil“ verwendet:

  • 1. Nach dem Start von „Ntdsutil“ wir der Befehl „metadata cleanup“ eingegeben.
  • 2. Danach wird „connections“ eingegeben.
  • 3. Der Befehl „connect to server <Domänencontroller>“ stellt eine Verbindung zu einem funktionierenden DC her.
  • 4. Der Befehl „quit“ wechselt zum Menü „metadata cleanup“ zurück.
  • 5. „select operation target“ startet den Prozess, um den ausgefallenen Domänencontroller zu entfernen.
  • 6. Es folgt der Befehl „list domains“. Damit werden alle Domänen der Gesamtstruktur angezeigt.
  • 7. Mit „select domain <Nummer der Domäne>“ wird die Domäne ausgewählt.
  • 8. Mit „list sites“ werden die Standorte der Gesamtstruktur angezeigt, „select site <Nummer des Standorts>“ steuert den Standort, von dem der DC entfernt werden soll.
  • 9. Der Befehl „list servers in site“ zeigt alle Server in diesem Standort.
  • 10. Mit „select server <Nummer des Servers>“ wird der Server ausgewählt, der entfernt werden soll. Ist dieser nicht mehr in der Liste, wurde er bereits entfernt.
  • 11. Der Befehl „quit“ wechselt wieder zum Menü „metadata cleanup“.
  • 12. Mit dem Befehl „remove selected server“ wird der alte Server entfernt. In Ntdsutil werden die einzelnen Vorgänge angezeigt. Das Fenster kann danach geschlossen werden.

Nachdem die Metadaten von Active Directory bereinigt wurden, sollten noch die Einträge im DNS bereinigt werden. Hier sollten alle SRV-Records entfernt werden, in denen noch der alte Server enthalten ist, vor allem aus der DNS-Zone der Domäne.

In allen Einstellungen und Einträgen auf dem DNS-Server und in der DNS-Zone sollte der Server entfernt sein. Das Computerkonto des Servers sollte gelöscht werden. Dazu wird die OU „Domain Controllers“ im Snap-In „Active Directory-Benutzer und -Computer“ verwendet. Im nächsten Schritt sollte der Domänencontroller aus dem Standort gelöscht werden, dem er zugeordnet war. Dazu wird das Snap-In „Active Directory-Standorte und -Dienste“ verwendet (siehe Abbildung 3).

Als nächstes sollte in den NTDS-Settings jedes Domänencontrollers in Active Directory überprüft werden, ob der betreffende Domänencontroller noch als Replikationspartner eingetragen ist. Der Server sollte sich mit keinem anderen Domänencontroller mehr replizieren.

Verwalten der Betriebsmasterrollen von Domänencontrollern

Die verschiedenen Rollen, die ein Domänencontroller einnehmen kann, werden als Flexible Single Master Operations (FSMOs) bezeichnet. Jede dieser Rollen ist entweder einmalig pro Domäne (PDC-Emulator, Infrastrukturmaster, RID-Master) oder einmalig pro Gesamtstruktur (Schemamaster, Domänennamenmaster). Fällt eine dieser Rollen aus, kommt es in Active Directory zu Fehlfunktionen. Beim Ausfall eines DCs sollten die Rollen daher überprüft werden.

Die Rolle des PDC-Emulators gibt es in jeder Active Directory-Domäne ein Mal. Der PDC-Emulator ist für die Anwendung und Verwaltung der Gruppenrichtlinien zuständig. Er ist auch für Kennwortänderungen verantwortlich und steuert Vertrauensstellungen der Domäne. Er ist zudem der Zeitserver einer Domäne. Mit einem Klick mit der rechten Maustaste auf die Domäne im Snap-In „Active Directory und Benutzer“ und der Auswahl von „Betriebsmaster“ im Kontextmenü öffnet sich ein neues Fenster. Hier sind die FSMOs der Domäne zu sehen (siehe Abbildung 3).

Auch die Rolle des RID-Masters erhält der erste installierte Domänencontroller einer Domäne automatisch. Die Aufgabe des RID-Masters ist es, den anderen Domänencontrollern einer Domäne relative Bezeichner (Relative Identifiers, RIDs) zuzuweisen. Wird ein neues Objekt in der Domäne erstellt, also ein Computerkonto, ein Benutzer oder eine Gruppe, wird diesem Objekt eine eindeutige Sicherheits-ID (SID) zugewiesen. Diese SID erstellt der Domänencontroller aus einer domänenspezifischen SID in Verbindung mit einer RID aus seinem RID-Pool. Der Befehl „dcdiag /v /test:ridmanager“ testet den RID-Master (siehe Abbildung 4).

Auch den Infrastrukturmaster gibt es in jeder Domäne einer Gesamtstruktur einmal. Er hat in einer Domäne die Aufgabe die Berechtigungen für die Benutzer zu steuern, die aus unterschiedlichen Domänen kommen.

Active Directory verfügt über ein erweiterbares Schema. Dieses bietet die Möglichkeit, zusätzliche Informationen flexibel im Ordner zu speichern. Diese Funktion wird beispielsweise von Exchange genutzt. Damit das Schema erweitert werden kann, wird der Schemamaster benötigt.

Der Domänennamenmaster ist für die Erweiterung der Gesamtstruktur um neue Domänen oder Strukturen verantwortlich. In jeder Gesamtstruktur gibt es einen Domänennamenmaster.

An jedem Standort in Active Directory sollte ein globaler Katalog-Server installiert sein. Der globale Katalog ist eine weitere Rolle, die ein Domänencontroller einnehmen kann. Im Gegensatz zu den beschriebenen FSMO-Rollen kann (und sollte auch) die Funktion des globalen Katalogs mehreren Domänencontrollern zugewiesen werden.

Betriebsmasterrollen übertragen

Betriebsmasterrollen lassen sich einfach in der PowerShell auf andere Domänencontroller verschieben. Das passende CMDlet dazu lautet: „Move-ADDirectoryServerOperationMasterRole“. Mit „get-help Move-ADDirectoryServerOperationMasterRole“ lassen Sie sich die umfassende Syntax und einige Beispiele für das CMDlet anzeigen.

Wenn der bisherige Rolleninhaber nicht mehr zur Verfügung steht, weil er zum Beispiel ausgefallen ist, besteht auch die Möglichkeit, einem anderen Domänencontroller die FSMO-Rolle fest zuzuweisen. Für die Besitzübernahme eines Betriebsmasters wird das Befehlszeilenprogramm „Ntdsutil“ benötigt. Um die Betriebsmasterrolle auf einen anderen Domänencontroller zu verschieben, wird „ntdsutil“ in der Eingabeaufforderung benötigt:

  • 1. Nach dem Aufruf von „ntdsutil“ wird der Befehl „roles“ eingegeben.
  • 2. Danach wird „connections“ eingegeben.
  • 3. Der Befehl „connect to server <Domänencontroller>“ stellt eine Verbindung zu einem funktionierenden DC her.
  • 4. Der Befehl „quit“ wechselt zum Menü zurück.
  • 5. Der Befehl „seize <FSMO-Rolle>“ überträgt die Rolle. Der Rollenname ist entweder „pdc“ (PDC-Emulator), „rid master“ (RID-Master), „schema master“ (Schemamaster), „infrastructure master“ (Infrastrukturmaster) oder „naming master“ (Domänennamenmaster). In diesem Beispiel wird der Schemamaster verschoben. Der Befehl lautet also „seize schema master“.
  • 6. Daraufhin erscheint ein Warnfenster, in dem der Vorgang bestätigt werden muss.
  • 7. Nachdem der Befehl bestätigt wurde, versucht der Assistent zunächst, ob er den ursprünglichen Rolleninhaber erreicht und die Rolle damit normal übertragen werden kann.
  • 8. Nach der erwarteten erfolglosen Kontaktaufnahme mit dem ursprünglichen Rolleninhaber wird die Rolle ohne weitere Zwischenfrage auf den neuen Server verschoben.

Kommentare werden geladen....

Kommentar zu diesem Artikel

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 45232202 / LAN- und VLAN-Administration)