…des Schema. Nur auf diesem DC kann man das Schema ändern. Wie wichtig sind Betriebsmaster? Die Betriebsmaster sind für den ordnungsgemäßen Betrieb des Active Directory zwingend notwendig. Allerdings ranken sich aus diesem Grund auch einige Mythen um diese Funktionen. Daher hier ein paar nähere Hinweise. Wenn eine oder mehrere der Betriebsmaster-Funktionen nicht erreichbar sind, wird AD auf Dauer nicht richtig funktionieren. Wichtig ist dabei der A…

Die Betriebsmasterrollen (FSMO) sollten, wenn möglich, nur dann auf einen anderen DC übertragen werden, wenn sowohl der momentane Rolleninhaber als auch der neu zu belegende Server online sind. Sollte der ursprüngliche Rolleninhaber allerdings ausgefallen sein, so geht dies natürlich nicht. In diesem Falle sollte abgewogen werden: Ist der ursprüngliche Rolleninhaber für immer offline, z.B. weil die Hardware irreparabel kaputt ist? Dann können die…

…n, wichtige Rollen ein. Diese Aufgaben werden durchgeführt wenn: die Einzelbetriebsmasterrolle von einem Windows 2000 Server auf einen Windows Server 2003 verschoben wird, oder wenn der Rolleninhaber durch ein In-Place-Update von Windows 2000 Server auf Windows Server 2003 aktualisiert wird. PDC-Emulator Der PDC-Emulator, den es ja einmal pro Domäne gibt, erzeugt neue Sicherheitsprinzipale. Bestens bekannt aus dieser Reihe ist ja die neue „Built-I…

…oder sogar im Forest: Die „Flexible Single Master Operations“ (FSMO) oder „Betriebsmasterrollen“. Der augenfälligste Betriebsmaster ist der „PDC-Emulator“. Er stellt gegenüber den Domänenmitgliedern, die noch unter Windows NT 4.0 laufen, den PDC dar. Darüber hinaus sorgt er für eine beschleunigte Replikation sicherheitskritischer Änderungen wie etwa Passwortwechsel. Zur Verwaltung dieser Rolle dient das Programm Active Directory-Benutzer und -Comp…

…r: Achtung, Datenverlust!). Zum einen hält der erste DC standardmäßig alle Betriebsmasterrollen (FSMOs). Diese Rollen gewährleisten, dass alle Operationen im AD ohne wesentliche Konflikte ausgeführt werden können. Die Betriebsmasterrollen können grundsätzlich problemlos auf andere DCs übertragen werden. Vorzugsweise sollte ides online geschehen, d. h. wenn der ursprüngliche Rolleninhaber noch läuft. Sollte dieser allerdings ausgefallen sein, so kö…

…ema-Master auf einen anderen DC verlagern. [faq-o-matic.net » Wie kann ich Betriebsmasterrollen offline übertragen?] http://www.faq-o-matic.net/2004/11/12/wie-kann-ich-betriebsmasterrollen-offlineuebertragen/ Weitere Artikel [Aktives Verzeichnis Blog : So kann beim Schema Upgrade für Windows 2008 (fast) nichts schiefgehen] http://blogs.technet.com/deds/archive/2009/03/30/so-kann-beim-schema-upgrade-fuer-windows-2008-fast-nichts-schiefgehen.aspx [A…

…cription“-Felder sinnvoll nutzt. Bei jedem Objekt möglich! 04.12.2010 Alle Betriebsmaster-Rollen (FSMO) auf einem DC: Leichtes Monitoring und Troubleshooting. http://faq-o-matic.net/?p=2588 05.12.2010 AD-Betriebsmaster (FSMO) per Kommando schnell identifizieren: netdom /query fsmo 06.12.2010 Alle Global-Catalog-Server per Kommando bzw. Skript auflisten: http://faq-o-matic.net/?p=619  07.12.2010 AD-Backup: Mindestens auf einem, besser auf zwei DCs…

…C außerhalb der VM-Umgebung gibt. Zusätzlich sollte dieser Server auch die Betriebsmasterrollen (FSMO Role Masters) innehaben – vor allem deshalb, weil der Betriebsmaster “PDC Emulator” der Zeitserver für die Domäne ist. Die Zeitquelle arbeitet aber am besten, wenn sie nicht virtualisiert ist. Näheres siehe unter: [faq-o-matic.net » Virtuelle DCs: Zeitprobleme vermeiden] http://www.faq-o-matic.net/2010/04/21/virtuelle-dcs-zeitprobleme-vermeiden/ D…

…ntdsutil-Skripts automatisch ablaufen können – Roles Online Verwaltung der Betriebsmasterrollen Voraussetzung: Verbindung zu Ziel-DC oder -Domäne muss hergestellt sein MS-KB 255504 Security Account Management Online Prüfen auf doppelte SIDs (nach Problemen mit dem RID-Master) Doppelte SIDs werden nach Suche in einer Logdatei aufgelistet Voraussetzung: Verbindung zu Ziel-DC oder -Domäne muss hergestellt sein Hinweis: In der Beschreibung ist von „SA…

…nen DC regelmäßig zu sichern. Ob es sich bei diesen DCs um die Inhaber der Betriebsmasterrollen (FSMO) handelt, ist hingegen nicht wichtig, weil diese Rollen sich im Zweifel leicht auch nachträglich verschieben lassen. Unter Windows 2000 und 2003 reicht das mitgelieferte NTBackup völlig für die System-State-Sicherung aus. Ab Windows Server 2008 gibt es NTBackup nicht mehr. Auch das dort vorhandene Windows Server Backup eignet sich für die Sicherun…