Flexibler Einzel-Master-Vorgangsübertragungs- und Beschlagnahmeprozess

In diesem Artikel wird beschrieben, wie FSMO-Rollen (Flexible Single Master Operations) von einem Domänencontroller auf einen anderen übertragen werden und wie diese Rolle erzwungen werden kann, falls der Domänencontroller, der zuvor die Rolle innehatte, nicht mehr verfügbar ist.

Gilt für: Windows Server 2012 R2
Ursprüngliche KB-Nummer: 223787

Übertragen der Rolle "Flexibler einzelner Mastervorgang"

Die Übertragung einer FSMO-Rolle ist die vorgeschlagene Form des Verschiebens einer FSMO-Rolle zwischen Domänencontrollern und kann vom Administrator oder durch Herabstufen eines Domänencontrollers initiiert werden, wird aber nicht automatisch vom Betriebssystem initiiert. Dies schließt einen Server in einem heruntergefahrenen Zustand ein. FSMO-Rollen werden während des Herunterfahrens nicht automatisch verschoben. Dies muss z. B. beim Herunterfahren eines Domänencontrollers berücksichtigt werden, der über eine FSMO-Rolle zur Wartung verfügt.

Bei einer ordnungsgemäßen Übertragung einer FSMO-Rolle zwischen zwei Domänencontrollern wird vor der Übertragung der Rolle eine Synchronisierung der Daten durchgeführt, die vom FSMO-Rollenbesitzer mit dem Server verwaltet werden, der die FSMO-Rolle empfängt, um sicherzustellen, dass alle Änderungen vor der Rollenänderung aufgezeichnet wurden.

Betriebsattribute sind Attribute, die in eine Aktion auf dem Server übersetzt werden. Dieser Attributtyp ist nicht im Schema definiert, sondern wird stattdessen vom Server verwaltet und abgefangen, wenn ein Client versucht, ihn zu lesen oder darauf zu schreiben. Wenn das Attribut gelesen wird, ist das Ergebnis im Allgemeinen ein berechnetes Ergebnis vom Server. Wenn das Attribut geschrieben wird, erfolgt eine vordefinierte Aktion auf dem Domänencontroller.

Die folgenden Betriebsattribute werden zum Übertragen von FSMO-Rollen verwendet und befinden sich im RootDSE (oder root DSA Specific Entry, dem Stamm der Active Directory-Struktur für einen bestimmten Domänencontroller, in dem bestimmte Informationen zum Domänencontroller gespeichert sind). Beim Schreiben in das entsprechende betriebsbezogene Attribut auf dem Domänencontroller, um die FSMO-Rolle zu erhalten, wird der alte Domänencontroller herabgestuft, und der neue Domänencontroller wird automatisch heraufgestuft. Es ist kein manueller Eingriff erforderlich. Die operativen Attribute, die die FSMO-Rollen darstellen, sind:

• becomeRidMaster
• becomeSchemaMaster
• becomeDomainMaster
• becomePDC
• becomeInfrastructureMaster

Wenn der Administrator den Server angibt, der die FSMO-Rolle mithilfe eines Tools wie Ntdsutil empfangen soll, wird der Austausch der FSMO-Rolle zwischen dem aktuellen Besitzer und dem vom Administrator angegebenen Domänencontroller definiert.

Wenn ein Domänencontroller herabgestuft wird, wird das betriebsbezogene Attribut "GiveAwayAllFsmoRoles" geschrieben, wodurch der Domänencontroller veranlasst wird, andere Domänencontroller zu suchen, um alle rollen, die er derzeit besitzt, auszulagern. Windows 2000 bestimmt, welche Rollen der herabgestufte Domänencontroller derzeit besitzt, und sucht nach einem geeigneten Domänencontroller, indem die folgenden Regeln befolgt werden:

1. Suchen Sie einen Server am selben Standort.
2. Suchen Sie einen Server, zu dem RPC-Konnektivität besteht.
3. Verwenden Sie einen Server über einen asynchronen Transport (z. B. SMTP).

Wenn es sich bei der Rolle um eine domänenspezifische Rolle handelt, kann die Rolle bei allen Übertragungen nur auf einen anderen Domänencontroller in derselben Domäne verschoben werden. Andernfalls ist jeder Domänencontroller im Unternehmen ein Kandidat.

Seizing the Flexible Single Master Operation role (Seizing the Flexible Single Master Operation role)

Administratoren sollten bei der Verwendung von FSMO-Rollen äußerste Vorsicht walten lassen. Dieser Vorgang sollte in den meisten Fällen nur ausgeführt werden, wenn der ursprüngliche FSMO-Rollenbesitzer nicht in die Umgebung zurückgeführt wird.

Wenn der Administrator eine FSMO-Rolle von einem vorhandenen Computer übernimmt, wird das Attribut "fsmoRoleOwner" für das Objekt geändert, das den Stamm der Daten darstellt, wobei die Synchronisierung der Daten und die ordnungsgemäße Übertragung der Rolle direkt umgangen werden. Das Attribut "fsmoRoleOwner" jedes der folgenden Objekte wird mit dem Distinguished Name (DN) des NTDS-Einstellungsobjekts (die Daten im Active Directory, das einen Computer als Domänencontroller definiert) des Domänencontrollers geschrieben, der den Besitz dieser Rolle übernimmt. Wenn die Replikation dieser Änderung beginnt, werden andere Domänencontroller von der FSMO-Rollenänderung erfahren.

Primärer Domänencontroller (PDC) FSMO: LDAP://DC=MICROSOFT,DC=COM RID Master FSMO: LDAP://CN=Rid Manager$,CN=System,DC=MICROSOFT,DC=COM Schema Master FSMO: LDAP://CN=Schema CN=Configuration,DC=Microsoft,DC=com Infrastructure Master FSMO: LDAP://CN=Infrastructure,DC=Microsoft,DC=com Domain Naming Master FSMO: LDAP://CN=Partitions,CN=Configuration,DC=Microsoft, DC=Com Wenn z. B. Server1 der PDC in der domäne Microsoft.com ist und eingestellt wird und der Administrator den Computer nicht ordnungsgemäß herabstufen kann, muss Server2 die FSMO-Rolle des PDC zugewiesen werden. Nach dem Übernehmen der Rolle ist der Wert CN=NTDS Settings,CN=SERVER2,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=Microsoft,DC=Com für das folgende Objekt vorhanden: LDAP://DC=MICROSOFT,DC=COM

References

Weitere Informationen zu FSMO-Rollen im Allgemeinen finden Sie im folgenden Artikel der Microsoft Knowledge Base:
197132 Windows 2000 Active Directory FSMO-Rollen

Weitere Informationen zur richtigen Platzierung von FSMO-Rollen finden Sie im folgenden Artikel der Microsoft Knowledge Base:
223346 FSMO-Platzierung und -Optimierung unter Windows 2000-Domänen