FSMO_Roles

Was man über FSMO wissen sollte …

Was ist FSMO?

FSMO steht für Flexible Single Master Operations und steht für die 5 Rollen eines Domain Controllers im AD um die es in diesem kleinen Artikel geht. Da diese Operation Masters für eine langfristige Performance des AD sorgen, müssen sie für alle Domain Controller und Clients zugänglich sein, die ihren Service benötigen. Deswegen ist eine umsichtige Positionierung umso wichtiger, desto mehr Domänen es in dem Forest gibt. Die einzelnen Rollen werden in diesem Artikel kurz vorgestellt.

FSMO Rollen

Schemamaster

Der Schemamaster ist der einzige Domain Controller der Änderungen am Schema des Active Directory verarbeiten kann. Ist der Schemamaster nicht verfügbar, können keinen Änderungen am Schema durchgeführt werden. LDAP: LDAP://CN=Schema,CN=Configuration,DC=Unterwegs-im,DC=Net Hinweis:

  • Es darf immer nur ein Schemamaster in einem Forest vorhanden sein!
  • Der Domain Controller, der die Funktion des Schemamasters bekommt, sollte immer auch Global Catalog Server sein.
  • Schemamaster und Domain Naming Master sollte auf demselben DC laufen, da sie selten verwendet werden und engmaschig kontrolliert werden sollten.

Domain Naming Master

Der Domain Naming Masters steuert das Hinzufügen und Entfernen von Domänen und Verzeichnis Partitionen im Forest. Er kann auch Querverweise zu Domänen in externen Verzeichnissen hinzufügen, oder aus diesen entfernen. Der Domain Controller, der diese Funktion hat, muss für folgende Aufgaben verfügbar sein:

  • Hinzufügen von neuen Domänen oder Application Verzeichnis Partitionen im Forest
  • entfernen von Domänen oder Application Verzeichnis Partitionen aus dem Forest
  • hinzufügen von Replikationen existierender Application Verzeichnis Partitionen zu weiteren Domain Controllern.
  • hinzufügen oder entfernen von cross-reference objects zu oder von externen Verzeichnissen.
  • vorbereiten des Forest für eine Umbenennung

Ist der Domain Naming Master nicht verfügbar, können keine Domains hinzugefügt, oder gelöscht, oder umbenannt werden, Auch können keine Applikation Directory Partitionen hinzugefügt oder gelöscht werden. LDAP: LDAP://CN=Partitions,CN=Configuration,DC=Unterwegs-im,DC=Net Hinweis:

  • Es darf nur ein Domain Naming Master in einem Forest vorhanden sein.
  • Der Domain Controller, der die Funktion des Domain Naming Masters bekommt, sollte immer auch Global Catalog Server sein.
  • Schemamaster und Domain Naming Master sollte auf demselben DC laufen, da sie selten verwendet werden und engmaschig kontrolliert werden sollten.

PDC – Emulator

Der PDC – Emulator ist innerhalb einer Firmenumgebung für die Synchronisation der Uhrzeit nötig. Der Windows Zeitdienst (w32time) ist wiederum für die Kerberos Authentifizierung nötig. Der PDC – Emulator einer Domäne ist für die Domäne zuständig, der PDC – Emulator am Stamm des Forest ist für die gesamte Firmenumgebung zuständig und sollte so konfiguriert sein, dass er die Zeit mit einer externen Quelle abgleicht. Alle PDC-FSMO Rolleninhaber folgen bei der Auswahl ihrer eingehenden Zeitpartner der Domainhierarchie. Folgende Aufgaben erfüllt der PDC – Emulator:

  • Kennwortänderungen, die von anderen Domain Controllern in der Domain ausgeführt werden, werden bevorzugt auf den PDC – Emulator repliziert.
  • Fehler bei der Authentifizierung, die auf einem bestimmten Domain Controller in einer Domain aufgrund eines fehlerhaften Kennwortes auftreten, werden dem PDC – Emulator weitergeleitet, bevor dem Benutzer eine Meldung zu einem Kennwortfehler angezeigt wird.
  • Die Kennwortsperrung wird auf dem PDC – Emulator verarbeitet.

Wenn die Domain Computer umfasst, auf denen keine Windows 2000 Clientsoftware ausgeführt wird, oder wenn die Domain Windows NT 4.0 Backup Domain Controller (BDC’s) enthält, fungiert der PDC – Emulator als Windows NT PDC.

  • Der PDC – Emulator übernimmt alle Aufgaben, die ein Microsoft Windows NT 4.0-basierter PDC (oder früher) für alle Windows NT 4.0-Clients (oder früher) ausfüllt.

Ist der PDC – Emulator nicht verfügbar, können keine Passwortänderungen von nicht AD Clients (NT4 oder älter) durchgeführt werden. Es erfolgt keine Replikation zu NT4 BDC’s. Bei AD Clients kann es zufallsmässig zu Logon Fehlern kommen, und die Anmeldung braucht unter Umständen sehr lange. LDAP: LDAP://DC=Unterwegs-im,DC=Net Hinweis:

  • Pro Domain in einem Forest kann nur ein PDC – Emulator vorhanden sein!
  • Bei Windows Server 2003 ist der PDC Emulator verantwortlich für das Management der bekannten Sicherheits-Prinzipals“ deswegen ist es wichtig, dass der PDC Emulator recht früh upgegradet wird, so dass der „CN=WellKnown Security Principals,CN=Configuration,DC=unterwegs-im,DC=Net“ Container upgedatet wird.
  • PDC Emulator und RID Master sollten auf einem Domain Controller sein

Infrastructuremaster

Der Infrastucturemaster ist für die Aktualisierung der Sicherheitskennungen und definierten Namen von domänenübergreifenden Objektverweisen zuständig, wenn sich der Name eines Objektes ändert. Der Infrastructuremaster ist für die Aktualisierung der der Objekt Referenzen seiner Domain zuständig, die auf ein Objekt in einer anderen Domain zeigen. Diese Referenzen aktualisiert er lokal und verwendet die Replikation, um alle anderen Domänen aktuell zu halten. Die Objekt Referenz enthält die global eindeutige ID (GUID), den Distinguished Name und eventuell eine SID. Distinguished Name und SID werden periodisch aktualisiert, um Änderungen am aktuellen Objekt anzuzeigen. Diese Änderungen umfassen verschieben und löschen des betreffenden Objekts. Ist der Infrastructuremaster nicht verfügbar, werden Objekt Aktualisierungen verschoben, bis er wieder verfügbar ist. LDAP: LDAP://CN=Infrastructure,DC=Unterwegs-im,DC=Net Hinweis:

  • Pro Domain in einem Forest darf nur ein Domaincontroller als Infrastructuremaster fungieren.
  • Der Infrastructuremaster sollte niemals mit dem Global Catalog Server zusammen auf einem Domaincontroller laufen. Ist die Trennung nicht möglich, müssen alle Domaincontroller Global Catalog Server werden.

RID Master

Der RID Master ist innerhalb einer Domain der Verantwortliche für die Zuweisung der relativen Kennungen (Relative IDs, RIDs). Sobald ein Domain Controller ein Benutzer-, Gruppen- oder Computerobjekt erstellt, weist der der RID-Master diesem Objekt eine eindeutige Sicherheits – ID zu. Die Sicherheitskennung (SID, Security Identifier) (Erklärung hier: http://techtalk.unterwegs-im.net/content/view/25/3/) enthält eine Domänenkennung sowie einen Relativen Bezeichner, der für jede in der Domain erstellte SID eindeutig ist. Darüber hinaus ist er dafür zuständig, Objekte aus seiner Domain zu entfernen oder es bei einer Objektverschiebung in eine andere Domain zu versetzen. Sollte der RID Master nicht verfügbar sein, kann es passieren, dass die Domain Controller keine neuen Directory Objekte mehr anlegen können, sofern jeder ihrer individuellen RID-Pools erschöpft sind. LDAP: LDAP://CN=Rid Manager$,CN=System,DC=Unterwegs-im,DC=Net Hinweis:

  • Pro Domain in einem Forest darf nur ein RID Master vorhanden sein!
  • PDC Emulator und RID Master sollten auf einem Domain Controller sein

Global Catalog

Auch wenn der Global Catalog nicht als FSMO Rolle definiert ist, ist er im Active Directory für die Benutzeranmeldung sehr wichtig, ist er nicht erreichbar, ist keine Anmeldung am Active Directory möglich, außer das Caching für Universelle Gruppen ist aktiviert (Mitglieder der Gruppe der Domain Admins können sich in jedem Fall weiterhin anmelden). Der Global Catalog übernimmt im Active Directory zwei Aufgaben:

  • Er ermöglicht das Auffinden von Informationen im Verzeichnis, unabhängig davon in welcher Domäne der Gesamtstruktur.
  • Er ermöglicht die Netzwerkanmeldung, indem einem Domain Controller, bei Initialisierung eines Anmeldeprozesses, Informationen zu Mitgliedschaften in universellen Gruppen zur Verfügung gestellt werden.

Verschieben von FSMO Rollen

Aufgrund verschiedener Ursachen kann es dazu kommen, dass die bestehende FSMO Verteilung nicht mehr passt. Wenn man diesen Regeln hier folgt, ist es ganz einfach, die Rollen auf andere Domain Controller zu übertragen 😉

  • Die beiden Rollen, die einmalig im Forest sind, sollten auf einem Domain Controller an der root des Forests sein.
  • Auch sollten diese auf einem Global Catalog laufen.
  • Die domänenweiten Rollen sollten auf demselben Domain Controller sein.
  • In einem Forest, der viele Domänen enthält, sollten die domänenweiten Rollen nicht auf einem Global Catalog Server sein, außer alle anderen Domain Controller sind ebenfalls Global Catalog Server.
  • Die domänenweiten Rollen sollten auf einem performanteren Domain Controller laufen.

Hinweis:

  • Active Directory erfordert einen ordentlich konfigurierten DNS (Domain Name System), so dass die Domain Controller problemlos die DNS Namen der Replikations Partner auflösen können.

FSMO Rollen prüfen

mit Netdom aus den Windows Support Tools

NETDOM QUERY FSMO

mit DSQUERY

dsquery server -hasfsmo schema
dsquery server -hasfsmo name
dsquery server -hasfsmo rid
dsquery server -hasfsmo pdc
dsquery server -hasfsmo infr

mit DCDIAG

DCDIAG /Test:Knowsofroleholders /v

FSMO Rollen übertragen

Per GUI

Schema Master Rolle
Start > ausführen > regsvr32 schmmgmt.dll
Start > ausführen > mmc
Snap-in hinzufügen/entfernen
Active Directory Schema
Rechtsklick auf Active Directory Schema, und dann Domain Controller ändern.
Name wechseln auswählen und hier den Namen des DCs angeben der die Rolle übernehmen soll.
Rechtsklick auf Active Directory Schema, und dann Betriebsmaster auswählen.
Auf ändern klicken.
Domain Master Rolle

Den Domänennamenmaster kann man mit einem Rechtsklick auf den Eintrag Domänen und -Vertrauensstellungen im Snap-In Active Directory-Domänen und -Vertrauensstellungen, ebenfalls unter dem Punkt Betriebsmaster, auf einen anderen DC verschieben.

RID Master

Kann im Snap-In Active Directory-Benutzer und -Computer verschoben werden. Vor der Übertragung per GUI muss der neue Rolleninhaber per Verbindung mit Domänencontroller herstellen… in dem jeweiligen Snap-In, in den Focus genommen werden.

PDC Emulator

Kann im Snap-In Active Directory-Benutzer und -Computer verschoben werden. Vor der Übertragung per GUI muss der neue Rolleninhaber per Verbindung mit Domänencontroller herstellen… in dem jeweiligen Snap-In, in den Focus genommen werden.

Infrastrukturmaster

Kann im Snap-In Active Directory-Benutzer und -Computer verschoben werden. Vor der Übertragung per GUI muss der neue Rolleninhaber per Verbindung mit Domänencontroller herstellen… in dem jeweiligen Snap-In, in den Focus genommen werden.

Per NTDSUTIL

Start - Ausführen - NTDSUTIL
ROLES
In der FSMO-Maintenance Ebene gibt man connections ein
Nun connect to server <Servername> (mit Servername ist der DC gemeint, der die Rollen übertragen bekommen soll)
In der server connections Ebene dann ein q eingeben, damit man erneut in die FSMO-Maintenance Ebene gelangt
Mit transfer <Funktion> können nun die Rollen verschoben werden. Z.B. transfer pdc oder transfer rid master
Nach dem verschieben gilt es mit q (zweimal), die NTDSUTIL - Kommandozeile zu verlassen

Die Variante mit dem transfer funktioniert nur, wenn der originale Rolleninhaber noch online ist. Falls dieser nicht mehr online ist, weil er einen Hardware-Crash erlitten hat, muss man die Rollen zwangsweise mit der seize <Funktion> übertragen (bei gleicher Vorgehensweise wie beim „transfer“). Funktionieren würde das Verschieben, wenn der DC (für immer) offline wäre, auch über die GUI, bis auf den RID-Master, dieser muss per seize verschoben werden.