Übertragen oder Übernehmen von Vorgangsmasterrollen in Active Directory Domain Services

  • Artikel

In diesem Artikel wird beschrieben, wann und wie Sie Vorgangsmasterrollen übertragen oder übernehmen, die früher als FSMO-Rollen (Flexible Single Master Operations) bezeichnet wurden.

       Gilt für: Windows Server 2022, Windows Server 2019, Windows Server 2016, Windows Server 2012 R2, Windows Server 2012
Ursprüngliche KB-Nummer: 255504

Weitere Informationen

Innerhalb einer Active Directory Domain Services (AD DS)-Gesamtstruktur gibt es bestimmte Aufgaben, die nur von einem Domänencontroller (DC) ausgeführt werden dürfen. Die DCs, die zum Ausführen dieser eindeutigen Vorgänge zugewiesen sind, werden als Vorgangsmasterrolleninhaber bezeichnet. In der folgenden Tabelle sind die Vorgangsmasterrollen und deren Platzierung in Active Directory aufgeführt.

Rolle Bereich Namenskontext (Active Directory-Partition)
Schemamaster Gesamtstrukturweit CN=Schema,CN=Konfiguration,DC=<Stammdomäne der Gesamtstruktur>
Domänennamenmaster Gesamtstrukturweit CN=Konfiguration, DC=<Stammdomäne der Gesamtstruktur>
PDC-Emulator Domänenweit DC=<Domäne>
RID-Master Domänenweit DC=<Domäne>
Infrastrukturmaster Domänenweit DC=<Domäne>

Weitere Informationen zu den Inhabern der Betriebsmasterrolle und Empfehlungen zum Platzieren der Rollen finden Sie unter FSMO-Platzierung und -Optimierung auf Active Directory-Domänencontrollern.

Hinweis

Active Directory-Anwendungspartitionen, die DNS-Anwendungspartitionen enthalten, verfügen über Vorgangsmasterrollenlinks. Wenn eine DNS-Anwendungspartition einen Besitzer für die Infrastrukturrolle master definiert, können Sie diese Anwendungspartition nicht mit Ntdsutil, DCPromo oder anderen Tools entfernen. Weitere Informationen finden Sie unter DCPROMO-Herabstufung schlägt fehl, wenn der DNS-Infrastrukturmaster nicht kontaktiert werden kann.

Wenn ein DC, der als Rolleninhaber fungiert, mit der Ausführung beginnt (z. B. nach einem Fehler oder einem Herunterfahren), wird er nicht sofort als Rolleninhaber fortgesetzt. Der DC wartet, bis er die eingehende Replikation für seinen Namenskontext empfängt (z. B. wartet der Schemamaster-Rolleninhaber auf eine eingehende Replikation der Schema-Partition).

Die Informationen, die die DOmänencontroller im Rahmen der Active Directory-Replikation übergeben, umfassen die Identitäten der aktuellen Vorgangsmasterrolleninhaber. Wenn der neu gestartete Domänencontroller die eingehenden Replikationsinformationen empfängt, wird überprüft, ob er weiterhin der Rolleninhaber ist. Wenn dies der Fall ist, nimmt er die üblichen Vorgänge wieder auf. Wenn die replizierten Informationen angeben, dass ein anderer DC als Rolleninhaber fungiert, gibt der neu gestartete DC seinen Rollenbesitz ab. Dieses Verhalten verringert das Risiko, dass die Domäne oder Gesamtstruktur über doppelte Vorgangsmasterrollen verfügt.

Wichtig

AD FS-Vorgänge schlagen fehl, wenn ein Rolleninhaber erforderlich ist und der neu gestartete Rolleninhaber tatsächlich der Rolleninhaber ist und keine eingehende Replikation erhält.
Das resultierende Verhalten ähnelt dem, was passieren würde, wenn der Rolleninhaber offline wäre.

Festlegen, wann Rollen übertragen oder übernommen werden sollen

Unter typischen Bedingungen müssen alle fünf Funktionen aktiven Domänencontrollern in der Gesamtstruktur zugewiesen werden. Wenn Sie eine Active Directory-Gesamtstruktur erstellen, weist der Active Directory-Installations-Assistent (Dcpromo.exe) alle fünf Vorgangsmasterrollen dem ersten Domänencontroller zu, den er in der Stammdomäne der Gesamtstruktur erstellt. Wenn Sie eine untergeordnete Domäne oder Strukturdomäne erstellen, weist der Erstellungsmechanismus die drei domänenweiten Rollen dem ersten Domänencontroller in der Domäne zu.

DCs besitzen weiterhin Vorgangsmasterrollen, bis sie mithilfe einer der folgenden Methoden neu zugewiesen werden:

  • Ein Administrator weist die Funktion mit einem GUI-Verwaltungsprogramm neu zu.
  • Ein Administrator ordnet die Rolle mit dem Befehl ntdsutil /roles neu zu.
  • Ein Administrator stuft einen rollenhaltenden DC mit Hilfe des Active Directory-Installationsassistenten zurück. Dieser Assistent weist alle lokal gehaltenen Rollen einem vorhandenen DC in der Gesamtstruktur neu zu.
  • Ein Administrator herabstufen einen Domänencontroller mit Rollenbesitz mithilfe des Uninstall-ADDSDomainController -ForceRemoval Befehls oder dcpromo /forceremoval .
  • Der DC wird heruntergefahren und neu gestartet. Wenn der DC neu gestartet wird, empfängt er eingehende Replikationsinformationen, die angeben, dass ein anderer DC der Rolleninhaber ist. In diesem Fall gibt der neu gestartete DC die Rolle ab (wie zuvor beschrieben).

Wenn bei einem Betriebsmasterrolleninhaber ein Fehler auftritt oder anderweitig außer Betrieb genommen wird, bevor seine Rollen übertragen werden, müssen Sie alle Rollen übernehmen und auf einen geeigneten und fehlerfreien DC übertragen.

Es wird empfohlen, vorgangsmasterrollen in den folgenden Szenarien zu übertragen:

  • Der aktuelle Rolleninhaber ist betriebsbereit und kann im Netzwerk vom neuen Betriebsmasterbesitzer aufgerufen werden.
  • Sie führen eine ordnungsgemäße Herabstufung eines Domänencontrollers durch, der derzeit Betriebsmasterrollen besitzt, die Sie einem bestimmten Domänencontroller in Ihrer Active Directory-Gesamtstruktur zuweisen möchten.
  • Der Domänencontroller, der derzeit Betriebsmasterrollen besitzt, wird für die geplante Wartung offline geschaltet, und Sie müssen live domänencontrollern bestimmte Vorgangsmasterrollen zuweisen. Möglicherweise müssen Sie Rollen übertragen, um Vorgänge auszuführen, die sich auf den Besitzer des Vorgangsmasters auswirken. Dies gilt insbesondere für die PDC-Emulator-Rolle. Für die RID-Master-Rolle, die Domänennamen-Masterrolle und die Schema-Master-Rollen ist dies ein weniger wichtiges Problem.

Es wird empfohlen, in den folgenden Szenarien Vorgangsmasterrollen zu übernehmen:

  • Beim aktuellen Rolleninhaber tritt ein Betriebsfehler auf, der verhindert, dass ein vorgangsmasterabhängiger Vorgang erfolgreich abgeschlossen wird, und Sie können die Rolle nicht übertragen.

  • Sie verwenden den Uninstall-ADDSDomainController -ForceRemoval Befehl oder dcpromo /forceremoval , um einen Domänencontroller zu erzwingen, der eine Operation Master-Rolle besitzt.

    Wichtig

    Der force-demote Befehl kann Vorgangsmasterrollen in einem ungültigen Zustand belassen, bis sie von einem Administrator neu zugewiesen werden.

  • Das Betriebssystem auf dem Computer, welcher der ursprüngliche Inhaber einer bestimmten Funktion war, existiert nicht mehr oder wurde neu installiert.

Hinweis

  • Es wird empfohlen, alle Rollen nur zu übernehmen, wenn der vorherige Rolleninhaber nicht zur Domäne zurückkehrt.
  • Wenn Vorgangsmasterrollen in Gesamtstrukturwiederherstellungsszenarien übernommen werden müssen, lesen Sie Schritt 5 unter Ausführen der ersten Wiederherstellung im Abschnitt Wiederherstellen des ersten beschreibbaren Domänencontrollers in jeder Domäne .
  • Nach einer Rollenübertragung oder einem Beschlagnahme handelt der neue Rolleninhaber nicht sofort. Stattdessen verhält sich der neue Rolleninhaber wie ein neu gestarteter Rolleninhaber und wartet darauf, dass die Kopie des Namenskontexts für die Rolle (z. B. die Domänenpartition) einen erfolgreichen eingehenden Replikationszyklus abschließt. Diese Replikationsanforderung stellt sicher, dass der neue Rolleninhaber so aktuell wie möglich ist, bevor er aktiv wird. Außerdem wird dadurch das Zeitfenster für Fehler begrenzt. Dieses Fenster umfasst nur Änderungen, die der vorherige Rolleninhaber nicht an die anderen DC repliziert hat, bevor er offline ging. Eine Liste des Benennungskontexts für jede Operation Master-Rolle finden Sie in der Tabelle im Abschnitt Weitere Informationen .

Identifizieren eines neuen Rolleninhabers

Der beste Kandidat für den neuen Rolleninhaber ist ein DC, der die folgenden Kriterien erfüllt:

  • Er befindet sich in derselben Domäne wie der vorherige Rolleninhaber.
  • Er verfügt über die letzte replizierte und beschreibbare Kopie der Rollenpartition.

Nehmen Sie zum Beispiel an, dass Sie die Schemamasterrolle übertragen müssen. Die Rolle Schema master ist Teil der Schemapartition der Gesamtstruktur (CN=Schema,CN=Configuration,DC=<forest root domain>). Der beste Kandidat für einen neuen Rolleninhaber ist ein DC, der sich auch in der Stammdomäne der Gesamtstruktur und am selben Active Directory-Standort wie der aktuelle Rolleninhaber befindet.

Achtung:

Die Infrastruktur master Rolle wird nicht mehr benötigt, wenn die folgenden Bedingungen erfüllt sind:

  • Alle Domänencontroller in der Domäne sind globale Kataloge (GCs). In diesem Fall erhalten die GCs Updates, die domänenübergreifende Verweise entfernen.
  • Der AD-Papierkorb ist in der Gesamtstruktur aktiviert. In diesem Fall ist jeder Domänencontroller für die Aktualisierung seiner Verweise verantwortlich.

Es wird empfohlen, weiterhin einen richtigen Besitzer der Infrastruktur master zu definieren, um Fehler und Warnungen von Überwachungstools zu vermeiden.

Wenn Sie die Infrastruktur master Rolle weiterhin benötigen:
Platzieren Sie die Infrastruktur master Rolle nicht auf demselben Domänencontroller wie der globale Katalogserver. Wenn die Infrastruktur master auf einem globalen Katalogserver ausgeführt wird, wird die Aktualisierung von Objektinformationen beendet, da sie keine Verweise auf Objekte enthält, die sie nicht enthält. Das liegt daran, dass der globale Katalogserver eine partielle Kopie von jedem Objekt der Gesamtstruktur gespeichert hat.

Die Infrastruktur master Rolle wird nicht mehr verwendet, sobald Sie den Active Directory-Papierkorb aktivieren. Der AD-Papierkorb ändert den Ansatz für die Behandlung von Objektverweisen, die entfernt werden.

Führen Sie die folgenden Schritte aus, um zu testen, ob ein Domänencontroller auch ein globaler Katalogserver ist:

Verwenden von Active Directory-Standorten und -Diensten:

  1. Wählen Sie Start>Programme>Verwaltung>Active Directory-Standorte und -Dienste.
  2. Doppelklicken Sie im Navigationsbereich auf Standorte und suchen Sie dann den entsprechenden Standort oder wählen Sie Standardname-des-ersten-Standorts, wenn keine anderen Standorte verfügbar sind.
  3. Öffnen Sie den Ordner Server , und wählen Sie dann den Domänencontroller aus.
  4. Doppelklicken Sie im Ordner des Domänencontrollers auf NTDS-Einstellungen.
  5. Wählen Sie im Menü Aktion die Option Eigenschaften.
  6. Zeigen Sie auf der Registerkarte Allgemein das Kontrollkästchen Globaler Katalog an, um festzustellen, ob es aktiviert ist.

Verwenden von Windows PowerShell:

  1. PowerShell starten.

  2. Geben Sie das folgende Cmdlet ein, und passen Sie DC_NAME den tatsächlichen DC-Namen an:

    (Get-ADDomainController -Filter { Name -Eq 'DC_NAME' }).IsGlobalCatalog

  3. Die Ausgabe ist True oder False.

Weitere Informationen finden Sie unter:

Übernehmen oder Übertragen von Vorgangsmasterrollen

Sie können Windows PowerShell oder Ntdsutil verwenden, um Rollen zu übernehmen oder zu übertragen. Informationen und Beispiele für die Verwendung von PowerShell für diese Aufgaben finden Sie unter Move-ADDirectoryServerOperationMasterRole.

Wichtig

Um das Risiko doppelter SIDs in der Domäne zu vermeiden, erhöhen Rid Master-Anfälle die nächste verfügbare RID im Pool, wenn Sie die RID-master-Rolle übernehmen. Dieses Verhalten kann dazu führen, dass Ihre Gesamtstruktur verfügbare Bereiche von RID-Werten erheblich nutzt (auch als RID-Burn bezeichnet). Ergreifen Sie also den Rid Master nur, wenn Sie sicher sind, dass der aktuelle Rid Master nicht wieder in Betrieb genommen werden kann.

Wenn Sie die Rid-master-Rolle übernehmen müssen, beachten Sie die folgenden Details:

  • Das Cmdlet Move-ADDirectoryServerOperationMasterRole erhöht den nächsten Rid-Pool um 30.000 gegenüber dem, was er in Active Directory findet.
  • Wenn Sie das HilfsprogrammNtdsutil.exe mit den roles Kategoriebefehlen verwenden, wird der nächste Rid-Pool um 10.000 erhöht.

Führen Sie die folgenden Schritte aus, um die Vorgangsmasterrollen mithilfe des Hilfsprogramms Ntdsutil zu übernehmen oder zu übertragen:

  1. Melden Sie sich bei einem Mitgliedscomputer an, auf dem die AD RSAT-Tools installiert sind, oder bei einem Domänencontroller, der sich in der Gesamtstruktur befindet, auf der Vorgangsmasterrollen übertragen werden.

    Hinweis

    • Es wird empfohlen, sich bei dem Domänencontroller anzumelden, dem Sie Vorgangsmasterrollen zuweisen.
    • Der angemeldete Benutzer sollte Mitglied der Gruppe "Unternehmensadministratoren" sein, um Schema-master oder Domänenbenennung master Rollen zu übertragen, oder Mitglied der Gruppe "Domänenadministratoren" der Domäne sein, in der der PDC-Emulator, rid master und die Infrastruktur master Rollen übertragen werden.

  2. Wählen Sie Start>Ausführen, geben Sie ntdsutil in das Feld Öffnen ein, und wählen Sie dann OK.

  3. Geben Sie roles ein, und drücken Sie die Eingabetaste.

    Hinweis

    Um eine Liste der verfügbaren Befehle in einer beliebigen Eingabeaufforderung im Ntdsutil-Hilfsprogramm anzuzeigen, geben Sie ? ein, und drücken Sie die Eingabetaste.

  4. Geben Sie connections ein, und drücken Sie dann die Eingabetaste.

  5. Geben Sie mit Server verbinden <Servername> ein, und drücken Sie die Eingabetaste.

    Hinweis

    In diesem Befehl <ist servername> der Name des Domänencontrollers, dem Sie die Rolle "Vorgangsmaster" zuweisen möchten.

  6. Geben Sie an der Eingabeaufforderung server connectionsq ein, und drücken Sie dann die Eingabetaste.

  7. Führen Sie eine der folgenden Aktionen aus:

    • So übertragen Sie die Rolle: Geben Sie Übertragen <Rolle> ein, und drücken Sie die Eingabetaste.

      Hinweis

      In diesem Befehl ist <Rolle> die Rolle, die Sie übertragen möchten.

    • So übernehmen Sie die Rolle: Geben Sie Übernehmen <Rolle> ein, und drücken Sie die Eingabetaste.

      Hinweis

      Bei diesem Befehl ist <Rolle> die Rolle, die Sie übernehmen möchten.

    Geben Sie beispielsweise seize rid master ein, um die RID-Master-Funktion zu übernehmen. Ausnahmen sind die PDC-Emulatorrolle, deren Syntax seize pdc lautet, und der Domänennamenmaster, dessen Syntax seize naming master lautet.

    Um eine Liste der Funktionen angezeigt zu bekommen, die Sie übertragen oder erfassen können, geben Sie bei der Eingabeaufforderung fsmo maintenance den Befehl ? ein, und drücken Sie dann die Eingabetaste, oder sehen Sie sich die Liste der Funktionen am Anfang dieses Artikels an.

  8. Geben Sie an der fsmo maintenance-Eingabeaufforderung q ein, und drücken Sie die Eingabetaste, um die ntdsutil-Eingabeaufforderung aufzurufen. Geben Sie q ein, und drücken Sie die Eingabetaste, um das Hilfsprogramm „Ntdsutil“ zu beenden.

Überlegungen beim Reparieren oder Entfernen vorheriger Rolleninhaber

Wenn dies möglich ist und Sie in der Lage sind, die Rollen zu übertragen, anstatt sie zu besetzen, korrigieren Sie den vorherigen Rolleninhaber. Wenn Sie den vorherigen Rolleninhaber nicht beheben können oder die Rollen übernommen haben, entfernen Sie den vorherigen Rolleninhaber aus der Domäne.

Wichtig

Wenn Sie planen, den reparierten Computer als DC zu verwenden, empfehlen wir, den Computer von Grund auf als DC neu zu installieren, anstatt den DC von einer Sicherung wiederherzustellen. Der Wiederherstellungsprozess baut den DC wieder als Rolleninhaber auf.

  • So geben Sie den reparierten Computer als Domänencontroller an die Gesamtstruktur zurück:

    1. Führen Sie eine der folgenden Aktionen aus:

      • Formatieren Sie die Festplatte des ehemaligen Rolleninhabers, und installieren Sie dann auf dem Computer Windows neu.
      • Stufen Sie den ehemaligen Rolleninhaber zwangsweise zu einem Mitgliedsserver herab.

    2. Verwenden Sie auf einem anderen DC in der Gesamtstruktur Ntdsutil, um die Metadaten des ehemaligen Rolleninhaber zu entfernen. Weitere Informationen finden Sie unter Bereinigen von Servermetadaten mithilfe von Ntdsutil.

    3. Nachdem Sie die Metadaten bereinigt haben, können Sie den Computer erneut zu einem DC heraufstufen und ihm eine Rolle zurückübertragen.

  • So entfernen Sie den Computer aus der Gesamtstruktur, nachdem sie seine Rollen beschlagnahmen:

    1. Entfernen Sie den Computer aus der Domäne.
    2. Verwenden Sie auf einem anderen DC in der Gesamtstruktur Ntdsutil, um die Metadaten des ehemaligen Rolleninhaber zu entfernen. Weitere Informationen finden Sie unter Bereinigen von Servermetadaten mithilfe von Ntdsutil.

Überlegungen bei der Wiedereingliederung von Replikationsinseln

Wenn ein Teil einer Domäne oder Gesamtstruktur für längere Zeit nicht mit dem Rest der Domäne oder Gesamtstruktur kommunizieren kann, werden die isolierten Abschnitte der Domäne oder Gesamtstruktur als Replikationsinseln bezeichnet. DCs auf einer Insel können nicht mit den DCs auf anderen Inseln repliziert werden. Über mehrere Replikationszyklen hinweg sind die Replikationsinseln nicht mehr synchron. Wenn jede Insel über eine eigene Operation Master-Rolle verfügt, haben Sie möglicherweise Probleme, wenn Sie die Kommunikation zwischen den Inseln wiederherstellen.

Wichtig

In den meisten Fällen können Sie den Vorteil der anfänglichen Replikationsanforderung (wie in diesem Artikel beschrieben) nutzen, um doppelte Rolleninhaber auszusortieren. Ein neu gestarteter Rolleninhaber sollte die Rolle aufgeben, wenn er einen doppelten Rolleninhaber entdeckt.
Es kann vorkommen, dass sich dieses Verhalten nicht beheben lässt. In solchen Fällen können die Informationen in diesem Abschnitt hilfreich sein.

In der folgenden Tabelle sind die Vorgangsmasterrollen aufgeführt, die Probleme verursachen können, wenn eine Gesamtstruktur oder Domäne über mehrere Rolleninhaber für diese Rolle verfügt:

Rolle Mögliche Konflikte zwischen mehreren Rolleninhabern?
Schemamaster Ja
Domänennamenmaster Ja
RID-Master Ja
PDC-Emulator Nein
Infrastrukturmaster Nein

Dieses Problem wirkt sich nicht auf den PDC-Emulator master oder die Infrastruktur master aus. Diese Rolleninhaber speichern keine operativen Daten. Darüber hinaus werden vom Infrastruktur-master nur selten Änderungen vorgenommen. Wenn also mehrere Inseln diese Rolleninhaber aufweisen, können Sie die Inseln erneut integrieren, ohne dass dies langfristige Probleme verursacht.

Der Schemamaster, der Domänennamenmaster und der RID-Master können Objekte erstellen und Änderungen in Active Directory speichern. Jede Insel, die über einen dieser Rolleninhaber verfügt, kann bis zum Zeitpunkt der Wiederherstellung der Replikation über doppelte und in Konflikt stehende Schemaobjekte, Domänen oder RID-Pools verfügen. Bestimmen Sie, bevor Sie Inseln erneut integrieren, welche Rolleninhaber beibehalten werden sollen. Entfernen Sie alle doppelten Schemamaster, Domänennamenmaster und RID-Master, indem Sie die in diesem Artikel erwähnten Reparatur-, Entfernungs- und Bereinigungsverfahren befolgen.

References

Weitere Informationen finden Sie unter: