Logo faq-o-matic.net
Logo faq-o-matic.net

Wie verwalte ich die speziellen Domänencontroller-Rollen?

von veröffentlicht am22. März 2005, 15:38 Uhr Kurzlink und Zitatlink einblenden
Kategorie Kategorie: Active Directory, Administration   Translate with Google Translate Translate EN   Die angezeigte Seite drucken
Zuletzt aktualisiert: 9. Oktober 2013

Zwar sind grundsätzlich alle Domänencontroller im Active Directory gleichberechtigt. Doch für einige wenige Funktionen gibt es auch hier Server, die „gleicher“ sind als die anderen. Dies sind die "Betriebsmaster" oder "Flexible Single Master Operations (FSMO)" und der "Globale Katalog" ("Global Catalog, GC"). Man sollte wissen, wie diese Funktionen zu verwalten sind.

Global Catalog

Eine dieser Funktionen ist der Global Catalog Server (GC). Diese Sonderrolle bewirkt, dass ein Domänencontroller nicht nur die Objekte seiner eigenen Domäne kennt und repliziert, sondern auch die Objekte aller anderen Domänen des AD-Forests. Eine solche Funktion ist notwendig, damit Suchvorgänge und Berechtigungsvergaben in einem Netzwerk mit mehr als einer Domäne effizient ausgeführt werden können. Standardmäßig ist der erste installierte DC auch ein Global Catalog Server, aber es kann beliebig viele DCs mit dieser Rolle geben.

Um den Globalen Katalog zu einem Server hinzuzufügen:

  • Starte das Verwaltungsprogramm Active Directory-Standorte und -Dienste.
  • Öffne dort den Standort, der den gewünschten Server enthält.
  • Im Container „Servers“ findest du das Serverobjekt; auf dessen Unterordner „NTDS Settings“ führst du einen Rechtsklick aus und öffnest die Eigenschaften. Im folgenden Dialogfeld findest du ein Kontrollkästchen, das den Globalen Katalog aktiviert.

Betriebsmaster

Die weiteren Sonderrollen, die ein Domänencontroller einnehmen kann, sind einmalig in der Domäne oder sogar im Forest: Die „Flexible Single Master Operations“ (FSMO) oder „Betriebsmasterrollen“.

Der augenfälligste Betriebsmaster ist der „PDC-Emulator“. Er stellt gegenüber den Domänenmitgliedern, die noch unter Windows NT 4.0 laufen, den PDC dar. Darüber hinaus sorgt er für eine beschleunigte Replikation sicherheitskritischer Änderungen wie etwa Passwortwechsel. Zur Verwaltung dieser Rolle dient das Programm Active Directory-Benutzer und -Computer:

  • Klicke mit der rechten Maustaste auf das Domänensymbol, und wähle den Befehl „Verbindung mit Domänencontroller herstellen“.
  • Wähle dann den Server aus, dem du die Rolle zuweisen willst.
  • Danach klicke wieder mit der rechten Maustaste auf das Domänensymbol, und wähle den Befehl „Betriebsmaster“. Nun kannst du mit „Ändern“ die Funktion des PDC-Emulator auf den anderen Server übertragen.

Auf dieselbe Weise und mit demselben Programm kannst du die beiden anderen Funktionen verwalten, die es in jeder Domäne nur einmal gibt. Es ist zum einen der „RID-Master“: Dieser sorgt dafür, dass jedes sicherheitsrelevante Objekt (Benutzer, Computer und Gruppe) stets eine eindeutige Sicherheitskennung (Security Identifier oder SID) erhält. Zum anderen handelt es sich um den „Infrastrukturmaster“, der in einem AD-Forest Verweise auf domänenübergreifende Objektzusammenhänge verwaltet.

Die beiden weiteren Betriebsmasterrollen existieren nur je einmal pro Forest. Der „DNS-Master“ stellt sicher, dass jeder Domänenname im Forest eindeutig ist. Du verwaltest diese Rolle über das Verwaltungstool Active Directory-Domänen und -Vertrauensstellungen.

  • Auch hier stellst du zur Übertragung der Rolle zunächst eine Verbindung mit dem Ziel-Domänencontroller her – allerdings nicht per Rechtsklick auf das Domänensymbol, sondern auf das Wurzelsymbol „Active Directory-Domänen und -Vertrauensstellungen“.
  • Danach überträgst du die Rolle ebenfalls mit dem Befehl „Betriebsmaster“.

Für die letzte FSMO-Rolle, den Schema-Master, ist noch etwas mehr Aufwand nötig. Diese Funktion stellt sicher, dass das Datenbankschema des Active Directory stets eindeutig ist. Um dies zu verwalten, musst du erst das zuständige Verwaltungsprogramm freischalten. Dies geschieht in der Kommandozeile mit dem Befehl regsvr32 schmmgmt.dll. Danach kannst du das Snap-in namens Active Directory-Schema in eine selbstdefinierte MMC-Konsole einbinden.

  • Klicke dann mit der rechten Maustaste auf das Symbol „Active Directory-Schema“.
  • Mit dem Befehl „Domänencontroller ändern“ verbindest du dich mit dem Zielserver.
  • Danach kannst du mit dem Befehl „Betriebsmaster“ die Rolle übertragen.

Die skizzierten Verfahrensweisen gelten, wenn du die Rollenübertragung online durchführst, d. h. wenn alle beteiligten Server online sind. Sollte hingegen der Quellserver bereits ausgefallen sein, so konsultiere den Artikel "Wie kann ich Betriebsmasterrollen offline übertragen?"
.

© 2005-2019 bei faq-o-matic.net. Alle Rechte an den Texten liegen bei deren Autorinnen und Autoren.

Jede Wiederveröffentlichung der Texte oder von Auszügen daraus - egal ob kommerziell oder nicht - bedarf der ausdrücklichen Genehmigung durch die jeweiligen Urheberinnen oder Urheber.

Das Impressum findet sich unter: http://www.faq-o-matic.net/impressum/

Danke, dass du faq-o-matic.net nutzt. Du hast ein einfaches Blog sehr glücklich gemacht!