Als Administrator für Windows Server kommt man früher oder später in Berührung mit den sogenannten FSMO Rollen. Microsoft selber verwendet auch den Begriff „Operation Masters“. Diese Rollen sind wichtig für den reibungslosen Betrieb einer Active Directory Domäne. In diesem Artikel gebe ich euch einen Überblick über die verschiedenen FSMO Rollen und zeige euch welche Funktion diese jeweils übernehmen.
Was sind FSMO Rollen?
Als FSMO Rollen (engl. Flexible Single Master Operations) bezeichnet man wichtige Aufgaben für die korrekte Funktion einer Active Directory Domäne. Diese Aufgaben werden von Domänencontrollern übernommen.
Insgesamt gibt es fünf FSMO Rollen, wobei jede davon eine andere Funktion für die Gesamtstruktur beziehungsweise für die Domäne(n) erfüllt. Die Server welche die FSMO Rollen beheimaten sollten jederzeit für alle weiteren Domänencontroller und Server erreichbar sein. Beim Austausch eines Domänencontrollers mit FSMO Rollen sollten diese auf den neuen Server übertragen werden. Nachfolgend findet ihr die einzelnen FSMO Rollen erklärt.
Schemamaster
Der Schemamaster definiert Attribute und Klassen von Active Directory Objekten wie zum Beispiel Benutzern, Computer und Ressourcen. Es handelt sich hierbei um eine Rolle der Gesamtstruktur (Forest). Der Schemamaster ist zuständig für Datenbank-Schema Änderungen – zum Beispiel bei Installation von Exchange Server müssen Attribute und Klassen erweitert werden.
Um Änderungen am Active Directory Schema vornehmen zu können, muss das entsprechende SnapIn zunächst registriert werden. Für die Registrierung müsst ihr in einem Ausführen-Fenster folgenden Befehl eingeben:
regsvr32 schmmgmt.dll
Danach könnt ihr via MMC das SnapIn „Active Directory Schema“ hinzufügen und das Schema verwalten.
Domänennamen-Master
Der Domänennamen-Master ist in erster Linie zuständig für das Hinzufügen und Entfernen von Domänen in der Gesamtstruktur (Forest). Er ist ebenfalls zuständig für Umbenennungen von Domänen. Der Domänennamen-Master prüft zum Beispiel beim Hinzufügen einer Subdomain ob der anzulegende Name noch nicht belegt ist.
- VielseitigNeue Wege für Produktivität und Kreativität. Als ultra-leichter Laptop, der auch ein Tablet ist, bietet Surface Pro 6 Ihnen mehr Wege so zu kreieren, kommunizieren und kollaborieren wie Sie es möchten. Entdecken Sie wie einfach Inking bei der täglichen Arbeit sein kann, wenn Sie mit dem Surface Pen schreiben, zeichnen oder markieren. Finden Sie Ihren perfekten Arbeitswinkel durch individuelle Anpassung des Kickstands.Das Beste von MicrosoftDas Zusammenspiel von Microsoft Hardware und Software, das überzeugt. Surface bietet Hard- und Software, die zusammen entwickelt wurden und sicher und zuverlässig sowie einfach einzusetzen und zu managen sind. Ihr Unternehmen profitiert von der gesteigerten Produktivität durch vertrautem Windows 10 Pro, dem Schutz der Microsoft Enterprise Mobililty + Security Feature und Office 365.*Hohe LeistungUnternehmenskunden profitieren. Höhere Leistung durch den schnelleren Intel Core Quad-Core Prozessor der 8. Generation, Premium Support für Geschäftskunden und Windows 10 Pro. Nur als Unternehmenskunde können Sie Surface Pro 6 for Business mit einem leistungsstärkeren Intel Core i5 Prozessor (gilt für i5 8350), Premium Support für Geschäftskunden und Windows 10 Pro mit Sicherheit auf Unternehmensstandard erwerben, der es Ihnen erlaubt sich auf Ihr Geschäft statt auf Ihre IT zu konzentrieren.Innovatives Design Setzen Sie ein Zeichen.Ihr Gerät steht für mehr als Ihren Jobtitel. Das neue Surface Pro 6 ist in zwei Farben erhältlich: Platin und Schwarz. Wählen Sie dazu Zubehör aus einer ganzen Farbpalette4 u.a. Signature Type Cover, Surface Pen und Surface Arc Mouse.
Letzte Aktualisierung am 18.11.2024 / Affiliate Links / Bilder von der Amazon Product Advertising API – Als Amazon-Partner verdiene ich an qualifizierten Käufen.
RID-Pool-Manager
Der RID-Pool-Manager oder auch RID Master ist eine Domain-weite Rolle. Diese Rolle ist verantwortlich für die Eindeutigkeit der SID’s (Security ID’s) jedes Benutzers und jeder Gruppe. Eine SID sieht zum Beispiel so aus: S-1-5-21-512358476-473829377-378229639-1045. Bei den letzten 4 Ziffern, also im Beispiel die 1045, handelt es sich um den Relative Identifier (RID). Der RID Wert wird normalerweise von 1000 hochgezählt. Das es in einer Windows Domäne aber mehrere Domänencontroller gibt, die alle samt neue Benutzer und Gruppen anlegen können, muss für jeden Domänencontroller ein Pool aus RID’s bereitgestellt werden. Dadurch wird sichergestellt das der RID nie doppelt vorhanden ist. Diese Bereitstellung übernimmt der RID-Pool-Master.
Die SID eines Benutzers könnt ihr mit folgenden PowerShell Befehl herausfinden:
Get-ADUser -Identity USERNAME | ft Name, SID
PDC Emulator
Der PDC Emulator oder auch Primary Domain Controller stammt noch sus Windows NT 4 Zeiten. Damals gab es nur einen Domänencontroller mit Schreibrechten auf die Active Directoy Datenbank – Der PDC. Alle anderen Domänencontroller waren sogenannte BDC – Backup Domain Controller. Diese Funktion wird mit der Rolle PDC Emulator noch heute verwendet, um die Kompatibilität zu älteren Systemen zu gewährleisten. Zusätzlich dient der PDC Emulator als Zeitserver für die Clients und Server einer Domäne. Außerdem werden Änderungen am Active Directory, wie zum Beispiel das Ändern von Benutzerpasswörtern immer zuerst zum PDC repliziert. Da es eine Weile dauern kann bis eine Kennwortänderung auf alle Domänencontroller repliziert wurde, wird bei einem Loginversuch mit vermeintlich falschem Passwort immer zunächst der PDC abgefragt ob das Passwort wirklich falsch ist. Es handelt sich beim PDC Emulator um eine Domänen-weite Rolle.
Infrastrukturmaster
Die Rolle Infrastrukturmaster ist zuständig für die Richtigkeit von Verlinkungen zwischen einzelnen Objekten in der Gesamtstruktur. Als Verlinkungen zählen beispielsweise die Attribute „Mitglied von“ oder „Mitglieder“ bei Gruppen. Hier prüft der Infrastrukturmaster domänenübergreifend ob Änderungen an einem Objekt auch auf das jeweilige Gegenstück der Verlinkung abgeglichen wurden. In einer Gesamtstruktur mit nur einer Domäne ist der Infrastrukturmaster inaktiv. Er nimmt seine Arbeit erst auf wenn es zwei oder mehr Domänen in der Gesamtstruktur gibt.
Welcher Server beherbergt FSMO Rollen?
Grundsätzlich können nur Domänencontroller die FSMO Rollen beherbergen. Um herauszufinden welcher Domänencontroller welche Rolle inne hat könnt ihr einfach in einer CMD auf einem Domänencontroller folgenden Befehl eingeben: netdom query fsmo
Die Ausgabe des Befehls zeigt euch auf welchem Server die jeweiligen Rollen liegen. Wichtig ist hierbei, das die Schemamaster Rolle und die Domänennamen-Master Rolle auf dem selben Domänencontroller beheimatet sein sollten.
Letzte Aktualisierung am 18.11.2024 / Affiliate Links / Bilder von der Amazon Product Advertising API – Als Amazon-Partner verdiene ich an qualifizierten Käufen.
Was passiert wenn ein Domänencontroller ausfällt der eine der FSMO Rollen beheimatet?
Wenn der Domänencontroller der die Masterrollen hostet ausfällt, ist das in der Regel nicht dramatisch, solange es einen weiteren Domänencontroller gibt der die AD Datenbank repliziert hat. Die FSMO Rollen können dann mittels Befehle in ntdsutil hart übernommen werden. Ihr solltet nach der harten Übernahme der Rollen allerdings darauf achten, das der alte Domänencontroller nicht mehr online geht.
Ich hoffe ich konnte euch in diesem Artikel die FSMO Rollen unter Windows Server etwas näher bringen.
