Transfer der FSMO Rollen in einer Active Directory

Wer eine Active Directory betreibt, betreibt auch gleichzeitig fünf Flexible Single Master Operations (FSMO)-Rollen. Diese Rollen sind einmalig in einer Domänen-Infrastruktur vorhanden und werden für den reibungslosen Betrieb benötigt. Was sich hinter diesen Rollen verbirgt und welche Aufgaben die jeweiligen Rollen übernehmen ist sehr gut in der Wikipedia erklärt, daher spare ich mir hier die weiteren Erklärungen.

Ich beschreibe im ersten Abschnitt eine Übernahme mit dem bisherigen Tool ntdsutil, das seit vielen Jahren funktionieren und zu den Bordmitteln gehört. Danach wird die gleiche Übernahme beschrieben, allerdings per Windows PowerShell.

Der bisherige Weg per ntdsutil

Seit vielen Jahren besteht die Möglichkeit, die FSMO-Rollen über die Kommandozeile mittels ntdsutil zu übernehmen. Dies funktioniert über die folgenden Befehle in einer administrativen Eingabeaufforderung (die Zeilen mit einer Raute sind Erklärungen):

# Start des ntdsutil-Programms
ntdsutil
# In das Untermenü Rollen wechseln
roles
# In das Untermenü Verbindungen wechseln
connections
# Eine Verbindung mit dem Ziel-Server, der die FMSO-Rollen halten soll, herstellen
connect to server SERVERNAME
# Eine Ebene nach oben in das Rollen-Untermenü wechseln
quit
# Geplanter Transfer der FSMO-Rollen
Transfer naming master
Transfer infrastructure master
Transfer PDC
Transfer RID master
Transfer schema master

Erzwingen einer Übernahme mit ntdsutil

Ist der bisherige Besitzer nicht mehr verfügbar (kaputt, geklaut, Fehler gemacht beim Abbau, …), kann die Übernahme auf einen neuen Server auch erzwungen werden. In diesem Fall muss in der ntdsutil-Syntax der Befehl transfer durch seize ersetzt werden. In diesem Fall wird erst eine Verfügbarkeit des aktuellen Besitzers geklärt und ist dieser nicht erreichbar, kann eine Übernahme erzwungen werden.

# Start des ntdsutil-Programms
ntdsutil
# In das Untermenü Rollen wechseln
roles
# In das Untermenü Verbindungen wechseln
connections
# Eine Verbindung mit dem Ziel-Server, der die FMSO-Rollen halten soll, herstellen
connect to server SERVERNAME
# Eine Ebene nach oben in das Rollen-Untermenü wechseln
quit
# Erzwungener Transfer der FSMO-Rollen
Seize naming master
Seize infrastructure master
Seize PDC
Seize RID master
Seize schema master

Die geplante Übernahme per Windows PowerShell

ntdsutil kann natürlich weiterhin benutzt werden, die Eingabe der Befehle und die Übernahme Rolle für Rolle ist natürlich nicht allzu sexy. Hier kommt die Windows PowerShell zum Einsatz, hier haben wir den Vorteil, dass alle Rollen in einem Befehl übernommen werden können. Weiterhin können wir per PowerShell den Vorgang auch automatisieren falls benötigt.

Move-ADDirectoryServerOperationMasterRole -Identity “SERVERNAME” –OperationMasterRole DomainNamingMaster,PDCEmulator,RIDMaster,SchemaMaster,InfrastructureMaster

Weitere Informationen und Beispiele zu diesem Befehl erhalten wir wie gewohnt über docs.microsoft.com.
Möchte man die Rollen nicht per Name ansprechen, geht dies auch über Zahlen:

  • PDCEmulator == 0
  • RIDMaster == 1
  • InfrastructureMaster == 2
  • SchemaMaster == 3
  • DomainNamingMaster == 4

Dies verkürzt den Befehl deutlich:

Move-ADDirectoryServerOperationMasterRole “SERVERNAME” –OperationMasterRole 0,1,2,3,4

Die ungeplante Übernahme per Windows PowerShell

Müssen die Rollen zwangsweise übernommen werden, kann dies ebenfalls per Windows PowerShell erledigt werden. Hierzu muss lediglich ein “-force” an den Befehl angehängt werden, dann ist die Macht auch auf unserer Seite :).

Move-ADDirectoryServerOperationMasterRole -Identity “SERVERNAME” –OperationMasterRole DomainNamingMaster,PDCEmulator,RIDMaster,SchemaMaster,InfrastructureMaster -force


Sie benötigten persönliche Unterstützung oder haben nicht die richtige Lösung für Ihr Problem gefunden?

Dieser Blog wird von mir, Jan Kappen, in seiner Freizeit betrieben, hier beschreibe ich Lösungen für Probleme aller Art oder technische Anleitungen mit Lösungsansätzen.

Die berufliche Unabhängigkeit

Ich bin seit Januar 2020 vollständig selbstständig und habe meine eigene Firma gegründet, die Building Networks mit Sitz in Winterberg im schönen Sauerland. Hier stehe ich als Dienstleister gerne für Anfragen, Support oder Projekte zur Verfügung.

Die Firma Building Networks bietet Ihnen:

  • Hilfe und Support per Telefon, Fernwartung oder persönlich vor Ort
  • Projekt-Unterstützung
  • Ausgezeichnete Kompetenz zu den Themen
    • Microsoft Hyper-V
    • Microsoft Failover Clustering & HA
    • Storage Spaces Direct (S2D) & Azure Stack HCI
    • Veeam Backup & Recovery
    • Microsoft Exchange
    • Microsoft Exchange Hybrid Infrastruktur
    • Microsoft Active Directory
    • Microsoft Office 365
    • Ubiquiti
    • 3CX VoIP PBX
    • Fortinet Network Security
    • Baramundi Software
    • ...

Ich freue mich über Ihren Kontakt, weitere Informationen finden Sie auf der Webseite meiner Firma unter Building-Networks.de

Jan

Jan Kappen arbeitet seit 2005 in der IT. Er hat seine Ausbildung 2008 abgeschlossen und war bis 2018 als IT-Consultant im Bereich Hyper-V, Failover Clustering und Software Defined Storage unterwegs. Seit 2015 wurde er jährlich von Microsoft als Most Valuable Professional (MVP) im Bereich "Cloud & Datacenter Management" ausgezeichnet für seine Kenntnisse und die Weitergabe seines Wissens. Jan ist häufig auf Konferenzen als Sprecher zu finden, weiterhin bloggt er viel. Von September 2018 bis Dezember 2019 war Jan als Senior Network- und Systemadministrator bei einem großen mittelständischen Unternehmen im schönen Sauerland angestellt. Im Januar 2020 hat er den Sprung in die Selbstständigkeit gewagt und ist seitdem Geschäftsführer der Firma Building Networks in Winterberg. In seiner Freizeit kümmert er sich um das Freifunk-Netzwerk in Winterberg und Umgebung.

2 Kommentare:

  1. Die Befehle “Transfer domain naming master” und “Seize domain naming master” lauten korrekt “Transfer naming master” bzw. “Seize naming master”.

    • Moin, die Befehle hängen davon ab, in welchem Alter der Active Directory man sich befindet. Früher war es “domain naming master”, mittlerweile ist es nur noch “naming master”.
      Ich habe es mal geändert, neuere Systeme werden ja eher genutzt als die ganz alten 🙂
      Gruß, Jan

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert