Als Administrator für Windows Server kommt man früher oder später in Berührung mit den sogenannten FSMO Rollen. Microsoft selber verwendet auch den Begriff „Operation Masters“. Diese Rollen sind wichtig für den reibungslosen Betrieb einer Active Directory Domäne. In diesem Artikel gebe ich euch einen Überblick über die verschiedenen FSMO Rollen und zeige euch welche Funktion diese jeweils übernehmen.
Was sind FSMO Rollen?
Als FSMO Rollen (engl. Flexible Single Master Operations) bezeichnet man wichtige Aufgaben für die korrekte Funktion einer Active Directory Domäne. Diese Aufgaben werden von Domänencontrollern übernommen.
Insgesamt gibt es fünf FSMO Rollen, wobei jede davon eine andere Funktion für die Gesamtstruktur beziehungsweise für die Domäne(n) erfüllt. Die Server welche die FSMO Rollen beheimaten sollten jederzeit für alle weiteren Domänencontroller und Server erreichbar sein. Beim Austausch eines Domänencontrollers mit FSMO Rollen sollten diese auf den neuen Server übertragen werden. Nachfolgend findet ihr die einzelnen FSMO Rollen erklärt.
Schemamaster
Der Schemamaster definiert Attribute und Klassen von Active Directory Objekten wie zum Beispiel Benutzern, Computer und Ressourcen. Es handelt sich hierbei um eine Rolle der Gesamtstruktur (Forest). Der Schemamaster ist zuständig für Datenbank-Schema Änderungen – zum Beispiel bei Installation von Exchange Server müssen Attribute und Klassen erweitert werden.
Um Änderungen am Active Directory Schema vornehmen zu können, muss das entsprechende SnapIn zunächst registriert werden. Für die Registrierung müsst ihr in einem Ausführen-Fenster folgenden Befehl eingeben:
regsvr32 schmmgmt.dll
Danach könnt ihr via MMC das SnapIn „Active Directory Schema“ hinzufügen und das Schema verwalten.
Domänennamen-Master
Der Domänennamen-Master ist in erster Linie zuständig für das Hinzufügen und Entfernen von Domänen in der Gesamtstruktur (Forest). Er ist ebenfalls zuständig für Umbenennungen von Domänen. Der Domänennamen-Master prüft zum Beispiel beim Hinzufügen einer Subdomain ob der anzulegende Name noch nicht belegt ist.
RID-Pool-Manager
Der RID-Pool-Manager oder auch RID Master ist eine Domain-weite Rolle. Diese Rolle ist verantwortlich für die Eindeutigkeit der SID’s (Security ID’s) jedes Benutzers und jeder Gruppe. Eine SID sieht zum Beispiel so aus: S-1-5-21-512358476-473829377-378229639-1045. Bei den letzten 4 Ziffern, also im Beispiel die 1045, handelt es sich um den Relative Identifier (RID). Der RID Wert wird normalerweise von 1000 hochgezählt. Das es in einer Windows Domäne aber mehrere Domänencontroller gibt, die alle samt neue Benutzer und Gruppen anlegen können, muss für jeden Domänencontroller ein Pool aus RID’s bereitgestellt werden. Dadurch wird sichergestellt das der RID nie doppelt vorhanden ist. Diese Bereitstellung übernimmt der RID-Pool-Master.
Die SID eines Benutzers könnt ihr mit folgenden PowerShell Befehl herausfinden:
Get-ADUser -Identity USERNAME | ft Name, SID
PDC Emulator
Der PDC Emulator oder auch Primary Domain Controller stammt noch sus Windows NT 4 Zeiten. Damals gab es nur einen Domänencontroller mit Schreibrechten auf die Active Directoy Datenbank – Der PDC. Alle anderen Domänencontroller waren sogenannte BDC – Backup Domain Controller. Diese Funktion wird mit der Rolle PDC Emulator noch heute verwendet, um die Kompatibilität zu älteren Systemen zu gewährleisten. Zusätzlich dient der PDC Emulator als Zeitserver für die Clients und Server einer Domäne. Außerdem werden Änderungen am Active Directory, wie zum Beispiel das Ändern von Benutzerpasswörtern immer zuerst zum PDC repliziert. Da es eine Weile dauern kann bis eine Kennwortänderung auf alle Domänencontroller repliziert wurde, wird bei einem Loginversuch mit vermeintlich falschem Passwort immer zunächst der PDC abgefragt ob das Passwort wirklich falsch ist. Es handelt sich beim PDC Emulator um eine Domänen-weite Rolle.
Infrastrukturmaster
Die Rolle Infrastrukturmaster ist zuständig für die Richtigkeit von Verlinkungen zwischen einzelnen Objekten in der Gesamtstruktur. Als Verlinkungen zählen beispielsweise die Attribute „Mitglied von“ oder „Mitglieder“ bei Gruppen. Hier prüft der Infrastrukturmaster domänenübergreifend ob Änderungen an einem Objekt auch auf das jeweilige Gegenstück der Verlinkung abgeglichen wurden. In einer Gesamtstruktur mit nur einer Domäne ist der Infrastrukturmaster inaktiv. Er nimmt seine Arbeit erst auf wenn es zwei oder mehr Domänen in der Gesamtstruktur gibt.
Welcher Server beherbergt FSMO Rollen?
Grundsätzlich können nur Domänencontroller die FSMO Rollen beherbergen. Um herauszufinden welcher Domänencontroller welche Rolle inne hat könnt ihr einfach in einer CMD auf einem Domänencontroller folgenden Befehl eingeben: netdom query fsmo
Die Ausgabe des Befehls zeigt euch auf welchem Server die jeweiligen Rollen liegen. Wichtig ist hierbei, das die Schemamaster Rolle und die Domänennamen-Master Rolle auf dem selben Domänencontroller beheimatet sein sollten.
Was passiert wenn ein Domänencontroller ausfällt der eine der FSMO Rollen beheimatet?
Wenn der Domänencontroller der die Masterrollen hostet ausfällt, ist das in der Regel nicht dramatisch, solange es einen weiteren Domänencontroller gibt der die AD Datenbank repliziert hat. Die FSMO Rollen können dann mittels Befehle in ntdsutil hart übernommen werden. Ihr solltet nach der harten Übernahme der Rollen allerdings darauf achten, das der alte Domänencontroller nicht mehr online geht.
Ich hoffe ich konnte euch in diesem Artikel die FSMO Rollen unter Windows Server etwas näher bringen.
