Logo faq-o-matic.net
Logo faq-o-matic.net

Wie verwalte ich die speziellen Domänencontroller-Rollen?

22 Mrz 2005
von veröffentlicht am22. März 2005, 15:38 Uhr Kurzlink http://faq-o-matic.net/?p=585 Zitatlink
Kategorie Kategorie: Active Directory, Administration   Translate with Microsoft Translator Translate EN

Zwar sind grundsätzlich alle Domänencontroller im Active Directory gleichberechtigt. Doch für einige wenige Funktionen gibt es auch hier Server, die "gleicher" sind als die anderen. Dies sind die "Betriebsmaster" oder "Flexible Single Master Operations (FSMO)" und der "Globale Katalog" ("Global Catalog, GC"). Man sollte wissen, wie diese Funktionen zu verwalten sind.


Global Catalog

Eine dieser Funktionen ist der Global Catalog Server (GC). Diese Sonderrolle bewirkt, dass ein Domänencontroller nicht nur die Objekte seiner eigenen Domäne kennt und repliziert, sondern auch die Objekte aller anderen Domänen des AD-Forests. Eine solche Funktion ist notwendig, damit Suchvorgänge und Berechtigungsvergaben in einem Netzwerk mit mehr als einer Domäne effizient ausgeführt werden können. Standardmäßig ist der erste installierte DC auch ein Global Catalog Server, aber es kann beliebig viele DCs mit dieser Rolle geben.

Um den Globalen Katalog zu einem Server hinzuzufügen:

  • Starte das Verwaltungsprogramm Active Directory-Standorte und -Dienste.
  • Öffne dort den Standort, der den gewünschten Server enthält.
  • Im Container "Servers" findest du das Serverobjekt; auf dessen Unterordner "NTDS Settings" führst du einen Rechtsklick aus und öffnest die Eigenschaften. Im folgenden Dialogfeld findest du ein Kontrollkästchen, das den Globalen Katalog aktiviert.

Betriebsmaster

Die weiteren Sonderrollen, die ein Domänencontroller einnehmen kann, sind einmalig in der Domäne oder sogar im Forest: Die "Flexible Single Master Operations" (FSMO) oder "Betriebsmasterrollen".

Der augenfälligste Betriebsmaster ist der "PDC-Emulator". Er stellt gegenüber den Domänenmitgliedern, die noch unter Windows NT 4.0 laufen, den PDC dar. Darüber hinaus sorgt er für eine beschleunigte Replikation sicherheitskritischer Änderungen wie etwa Passwortwechsel. Zur Verwaltung dieser Rolle dient das Programm Active Directory-Benutzer und -Computer:

  • Klicke mit der rechten Maustaste auf das Domänensymbol, und wähle den Befehl "Verbindung mit Domänencontroller herstellen".
  • Wähle dann den Server aus, dem du die Rolle zuweisen willst.
  • Danach klicke wieder mit der rechten Maustaste auf das Domänensymbol, und wähle den Befehl "Betriebsmaster". Nun kannst du mit "Ändern" die Funktion des PDC-Emulator auf den anderen Server übertragen.

Auf dieselbe Weise und mit demselben Programm kannst du die beiden anderen Funktionen verwalten, die es in jeder Domäne nur einmal gibt. Es ist zum einen der "RID-Master": Dieser sorgt dafür, dass jedes sicherheitsrelevante Objekt (Benutzer, Computer und Gruppe) stets eine eindeutige Sicherheitskennung (Security Identifier oder SID) erhält. Zum anderen handelt es sich um den "Infrastrukturmaster", der in einem AD-Forest Verweise auf domänenübergreifende Objektzusammenhänge verwaltet.

Die beiden weiteren Betriebsmasterrollen existieren nur je einmal pro Forest. Der "DNS-Master" stellt sicher, dass jeder Domänenname im Forest eindeutig ist. Du verwaltest diese Rolle über das Verwaltungstool Active Directory-Domänen und -Vertrauensstellungen.

  • Auch hier stellst du zur Übertragung der Rolle zunächst eine Verbindung mit dem Ziel-Domänencontroller her – allerdings nicht per Rechtsklick auf das Domänensymbol, sondern auf das Wurzelsymbol "Active Directory-Domänen und -Vertrauensstellungen".
  • Danach überträgst du die Rolle ebenfalls mit dem Befehl "Betriebsmaster".

Für die letzte FSMO-Rolle, den Schema-Master, ist noch etwas mehr Aufwand nötig. Diese Funktion stellt sicher, dass das Datenbankschema des Active Directory stets eindeutig ist. Um dies zu verwalten, musst du erst das zuständige Verwaltungsprogramm freischalten. Dies geschieht in der Kommandozeile mit dem Befehl regsvr32 schmmgmt.dll. Danach kannst du das Snap-in namens Active Directory-Schema in eine selbstdefinierte MMC-Konsole einbinden.

  • Klicke dann mit der rechten Maustaste auf das Symbol "Active Directory-Schema".
  • Mit dem Befehl "Domänencontroller ändern" verbindest du dich mit dem Zielserver.
  • Danach kannst du mit dem Befehl "Betriebsmaster" die Rolle übertragen.

Die skizzierten Verfahrensweisen gelten, wenn du die Rollenübertragung online durchführst, d. h. wenn alle beteiligten Server online sind. Sollte hingegen der Quellserver bereits ausgefallen sein, so konsultiere den Artikel "Wie kann ich Betriebsmasterrollen offline übertragen?"
.

Verwandte Beiträge:

  1. Wohin gehen FSMO-Rollen, wenn ein DC in „AD-Benutzer und -Computer“ gelöscht wird?
    Seit Windows Server 2008 beherrscht die mitgelieferte‚Active Directory Benutzer und Computer‘-Konsole das vollständige Löschen von Domänencontrollern aus der „Domänencontroller“-OU. Wer...
  2. AD: Betriebsmaster-Ausfall – was tun?
    In Gesprächen über die Datensicherung und Wiederherstellung von Active Directory kommt immer wieder die Frage auf: Was mache ich denn,...
  3. Globaler Katalog vs. Infrastruktur-Master
    (Dieser Artikel erschien zuerst auf Ulfs Blog. Übersetzung und kleine Ergänzungen: Nils Kaczenski) Es gibt eine in den Newsgroups häufig...
  4. TechNet-Webcast: Active Directory richtig sichern und wiederherstellen
    Am 23. August 2006 habe ich für Microsoft TechNet einen einstündigen Webcast gehalten zum Thema: "Active Directory richtig sichern und...
  5. Tools4Net: Kostenlose Tools für Windows-Admins
    Auf seiner Seite tools4net.de stellt Manfred Paleit einige Werkzeuge für Windows-Admins kostenlos zur Verfügung. Darunter sind Tools für Active Directory,...
Kurzlink zu diesem Artikel:
http://faq-o-matic.net/?p=585
<<
>>

© 2005-2012 bei faq-o-matic.net. Alle Rechte an den Texten liegen bei deren Autorinnen und Autoren.

Jede Wiederveröffentlichung der Texte oder von Auszügen daraus - egal ob kommerziell oder nicht - bedarf der ausdrücklichen Genehmigung durch die jeweiligen Urheberinnen oder Urheber.

Das Impressum findet sich unter: http://www.faq-o-matic.net/impressum/

Danke, dass du faq-o-matic.net nutzt. Du hast ein einfaches Blog sehr glücklich gemacht!