NTDSUtil zeigt andere FSMO-Rolleninhaber an als LDIFDE?

[aus einem Original von http://www.frickelsoft.net/blog/?p=236]

Dies ist eine Anfrage aus den Microsoft-Newsgroups, die ein Communitymitglied stellte. Sinngemäß:

Ich habe versucht ‚adprep /rodcprep‘ auszuführen und habe ein paar Fehlermeldungen erhalten. Danach habe ich versucht, folgenden Befehl auszuführen:

ldifde -f Infra_DomainDNSZones.ldf -d “CN=Infrastructure,DC=DomainDnsZones,DC=xxx,DC=com” -l fSMORoleOwner.

Der Befehl hat mir den aktuellen Rolleninhaber server#1 angezeigt. Wenn ich das in ‚Active Directory Benutzer und Computer‘ oder ‚NTDSUtil‘ gegenchecke, wird mir aber server#2 angezeigt.

Was stimmt da nicht?

Um RODCs nutzen zu können, muss Active Directory vorbereitet werden. Dafür muss der Schalter „rodcprep“ von Adprep genutzt werden. ‚Adprep /rodcprep‘ nimmt Kontakt mit allen Rolleninhabern der „Infrastrukturmaster“-Rolle auf und führt an ihnen Berechtigungsänderungen aus, um die Replikation von Anwendungspartitionen zu gestatten. Kann ein Infrastrukturmaster (IM) nicht erreicht werden, wird die Fehlermeldung aus KB http://support.microsoft.com/kb/949257/en-us gezeigt:

Adprep could not contact a replica for partition <app partition>

Adprep failed the operation on partition DC=DomainDnsZones,DC=Contoso,DC=com Skipping to next partition.

Der Artikel zeigt auch den Lösungsweg und das vom OP referenzierte ldifde-Kommando. Als Weg zur richtigen Lösung hat der OP also versucht, den Infrastrukturmaster für die <app partition> neu zu setzen. Warum aber bekommt der OP zwei unterschiedliche Ergebnisse, wenn er verschiedene Tools einsetzt?

Der Fehler liegt an der Tatsache, dass es mehr Infrastrukturmaster gibt, als man glaubt. Es gibt nicht nur einen Infrastrukturmaster pro Domäne, wie es in vielen Teilen der Literatur beschrieben wird, sondern einen Infrastrukturmaster pro Anwendungspartition. Ulf hat dazu einen großartigen Artikel auf seinem Blog, den ich gerne referenziere: http://msmvps.com/blogs/ulfbsimonweidner/archive/2008/07/31/how-many-infrastructure-masters-do-you-have.aspx

Bewaffnet mit diesem Wissen, sollte man sich noch einmal das Kommando ansehen, das der OP in LDIFDE verwendet hat: LDIFDE exportiert den Rolleninhaber der „DomainDnsZones“-Partition. Und diese Partition ist nichts weiter als… genau: eine Anwendungspartition, die ihren eigenen IM besitzt! Unglücklicherweise war der IM zum Zeitpunkt der Ausführung von adprep /rodcprep nicht verfügbar (offline, demotet oder existiert nicht mehr?), sodass adprep den im KB gezeigten Fehler auswirft.

Die unterschiedlichen Ergebnisse von LDIFDE und ADBuC/NTDSUtil rühren also daher, dass die Werkzeuge unterschiedliche Anwendungspartitionen „im Fokus“ haben. Während LDIFDE wie gewünscht DomainDnsZones“ im Visier hat, kümmern sich ADBuC und NTDSUtil um die Domänenpartition, die offensichtlich einen anderen IM haben kann als andere Partitionen.