Active Directory: Probleme mit dem FSMO-Rolemaster erkennen und beseitigen

Active Directory ist auf eine Reihe von Diensten und Features angewiesen, um korrekt funktionieren zu können. Wenn einer dieser Dienste ausfällt, erleben Sie ungewöhnliches oder unkontrollierbares Verhalten. Unsere Serie stellt Ihnen die häufigsten Szenarien samt Lösung vor.

• Teil Eins: Ausfall eines DNS-Servers und eines Domänencontrollers

• Teil Zwei: Ausfall eines FSMO-Rollenmasters

• Teil Drei: Ausfall von zentralen Replikationskomponenten wie Brückenkopf-Server, ISTGs und WAN-Leitungen und Sicherung der Datenbank

• Teil Vier: Pflege und Wartung der Datenbank

• Teil Fünf: Active Directory wiederherstellen

Die Artikelserie basiert auf Kapitel Zehn des Standardwerks „Windows Server 2003 für Insider“ von William Boswell aus dem Verlag Markt + Technik. Sie können dieses über 1300 Seiten starke Buch auch in unserem Buchshop bestellen oder als eBook herunterladen.

Serie: Katastrophenszenarien bei Active Directory

Teil 1: Ausfall eines DNS-Servers und eines Domänencontrollers

Teil 2: Ausfall eines FSMO-Rollenmasters

Teil 3: Ausfall von zentralen Replikationskomponenten

Teil 4: Active Directory-Pflege

Teil 5: Active Directory wiederherstellen

Ausfall eines FSMO

Es gibt ein paar Dinge, bei denen der Multimasterbetrieb nicht benutzt werden kann; diese müssen vielmehr von einem einzigen Server erledigt werden. Diese Aufgaben werden als FSMOs (Flexible Single Master Operations) bezeichnet; die Server, denen die Aufgaben zugewiesen sind, als FSMO-Rollenmaster.

• Domänen-Naming-Master. Dieser FSMO ist für die Eindeutigkeit von Domänennamen in einem Forest verantwortlich. Es gibt einen Domänen-Naming-Master pro Forest.

• Schemamaster. Dieser FMSO besitzt die einzige Schreib-/Lesekopie des Schemas. Es gibt einen Schemamaster pro Forest.

• PDC-Emulator. Dieser FSMO repliziert die Aktualisierungen auf die Windows NT-BDCs in Mixed. Er dient ferner als Berufungsinstanz für Passwörter und als Zeitstandard. Es gibt einen PDC-Emulator pro Domäne.

• RID-Master. Dieser FSMO speichert RID-Hauptliste. In Mixed werden diese RIDs der Reihenfolge nach ausgegeben. In Native bekommt jeder Domänencontroller einen Pool von RIDs vom RID-Master. Es gibt einen RID-Master pro Domäne.

• Infrastrukturmaster. Dieser FMSO ist für die schnelle Übermittlung von Namensänderungen zuständig, die domänenübergreifende Gruppenmitgliedschaften im Forest betreffen. Es gibt einen Infrastrukturmaster pro Domäne.

Ein kurzer Ausfall eines FSMO-Rollenmasters erfordert keine speziellen Schritte, aber wenn ein Rollenmaster für längere Zeit vom Netz geht, sollten Sie seine Rolle bzw. Rollen auf einen anderen DC übertragen.

Fällt ein FSMO-Rollenmaster vollständig aus und kann nicht mehr eingesetzt werden, dann müssen Sie ihm die Rollen entziehen und sie einem anderen DC übergeben. Bei einer Übertragung muss der vorherige Rollenmaster online sein, um die Transferanfrage annehmen zu können. Beim Entzug ist der vorherige Rollenmaster nicht online, und der neue Rollenmaster nimmt sich einfach die Rolle.

Nach dem Entzug einer Rolle dürfen Sie den alten Rollenmaster nie wieder ans Netz bringen. Nur so verhindern Sie, dass der alte Rollenmaster ungültige Informationen ausgibt oder eine alternative Möglichkeit für das Update kontrollierter Strukturen wie des Schemas darstellt.

Festlegung eines Rollenmasters

Was einen bestimmten Server zu einem FSMO-Rollenmaster macht, ist ein Attribut in dem Active-Directory-Objekt, das eine bestimmte FSMO kontrolliert. Beispielsweise kontrolliert das Domänen-Objekt die PDC-Emulator-Rolle. Ein FSMO-Attribut in diesem Objekt bedeutet, dass der definierte Name des Servers als PDC-Emulator festgelegt wurde. Wenn Sie eine Rolle übergeben oder entziehen, verändern Sie den definierten Namen, der diesem Rollenmaster-Attribut zugewiesen ist.

Einen verlorenen PDC-Emulator wiederherstellen

Die einzige Ausnahme, in der man alte Rollenmaster wieder in Betrieb nehmen darf, bildet der PDC-Emulator. Wenn man einen früheren PDC-Emulator wieder online nimmt, erfährt er via Replikation den Namen des neuen PDC-Emulators und stellt anstandslos all seine Rollenmaster-Aktivitäten ein.

Allerdings liegt in der Praxis der RID-Master normalerweise auf demselben Server wie der PDC-Emulator, sodass Sie den Server doch nicht wieder einsetzen können. Wenn Sie einen ehemaligen RID-Master wieder einsetzen, kann es passieren, dass zwei Objekte dieselbe RID erhalten, was die Sicherheit und Datenbankkonsistenz gefährden würde. Wenn sich RID-Master und PDC-Emulator auf demselben Server befinden und ihm diese Rollen entzogen und einem anderen Server übertragen wurden, dann formatieren Sie die Platten des ursprünglichen Servers und installieren das Betriebssystem neu.

Übertragung eines FSMO-Rollenmasters

Für den Transfer eine FSMO auf einen neuen Rollenmaster können Sie wahlweise eine MMC-Konsole oder ein Befehlszeilenutility verwenden. Die Auswahl der Konsole hängt von der zu übertragenden Rolle ab. In der Tabelle finden Sie eine Liste der FSMO-Rollen und der benötigten MMC-Konsolen sowie geeignete Sicherheitshinweise:

Informationen zur Übertragung von FSMO-Rollenmastern

FSMO-Rolle	Konsole	Hinweise
PDC-Emulator	Active Directory-Benutzer und -Computer	Der PDC-Emulator muss mit allen alten BDCs in Kontakt bleiben. Da der PDC-Emulator auch als „Berufungsinstanz“ für die Passwort-Validierung dient, muss er mit dem WAN verbunden bleiben.
RID-Master	Active Directory-Benutzer und -Computer	Dieser Rollenmaster sollte auf demselben Server wie der PDC-Emulator liegen. Falls Sie den RID-Master unbedingt auf einen anderen Domänencontroller legen wollen, dann achten Sie auf eine sehr gute Anbindung an den PDC-Emulator. In Mixed muss der RID-Master für die Erzeugung von neuen Benutzern, Computern und Gruppen verfügbar sein.
Infrastrukturmaster	Active Directory-Benutzer und -Computer	Legen Sie diesen Rollenmaster auf einem beliebigen Server ab, der kein GC-Server ist. Achten Sie auch auf den Hinweis „Betrieb des Infrastrukturmasters“.
Domänen-Naming-Master	Active Directory-Domänen und -Vertrauensstellungen	Halten Sie diesen Rollenmaster und den Schemamaster auf einem DC. Diese beiden Rollen sind in Forest einzigartig, weswegen die WAN-Verbindung zuverlässig sein muss.
Schemamaster	Schema-Snap-In	Siehe oben

Betrieb des Infrastrukturmasters

Wenn Sie einen Sicherheitsprincipal (Benutzer, Gruppe oder Computer) in eine Gruppe aufnehmen, dann wird der DN des Sicherheitsprincipals einem Attribut namens Members des Gruppenobjekts in Active Directory hinzugefügt. Active Directory erhält die interne Konsistenz, indem es einen Back-Link auf das Objekt erzeugt, das den Sicherheitsprincipal repräsentiert. So kann das Member-Attribut aktualisiert werden, wenn sich der Objektname ändert.

Setzen Sie nun als Administrator einer Domäne in einem Forest einen Sicherheitsprincipal aus einer anderen Domäne in eine Gruppe Ihrer Domäne, steht Active Directory vor einem Dilemma. Es kann keinen Back-Link auf ein Objekt in einem anderen Domänen-Namenskontext erzeugen. Es löst dieses Problem, indem es ein Phantomobjekt erzeugt, was nichts weiter als eine Struktur in seinem Domänen-Namenskontext ist, die aus dem DN des Objekts, seinem GUID und seiner SID besteht.

Der Infrastrukturmaster in einer Domäne entdeckt Namensänderungen an Sicherheitsprincipals, die von Phantomeinträgen in seiner eigenen Domäne repräsentiert werden. Ohne diesen Dienst würden die Namen, die bei Gruppenmitgliedschaftslisten angezeigt werden, nicht den evtl. geänderten Namen in den Quelldomänen entsprechen. Das betrifft nicht den Zugang zu Ressouren, weil die SID nicht verändert wurde.

Der Infrastrukturmaster erledigt diese Aufgabe, indem er regelmäßig die Liste der Phantomeinträge durchgeht und die Namen gegen die Namen im GC prüft. Falls er einen Unterschied feststellt, aktualisiert er den Phantomeintrag so, dass er den neuen Namen repräsentiert. Diese Veränderung wird dann an die anderen DCs in der Domäne repliziert, die eine Kopie des Phantomeintrags besitzen.

GC-Server verfügen bereits über eine Kopie der Objekte von anderen Domänen und speichern deswegen keine Phantomeinträge. Deswegen dürfen Sie den Infrastrukturmaster keinem GC-Server zuweisen.

Ändern eines Rollenmasters über eine MMC-Konsole

1. Öffnen Sie die Konsole, die Sie für die Übertragung des FSMO benötigen.

2. Wenn Sie sich nicht beim DC befinden, der der neue Rollenmaster werden soll, gehen Sie folgendermaßen vor: Klicken Sie mit der rechten Maustaste auf das oberste Symbol im Verzeichnisbaum (das denselben Namen wie die Konsole hat) und wählen Sie aus dem Kontextmenü den Eintrag VERBINDUNG MIT DOMÄNENCONTROLLER HERSTELLEN.

3. Wählen Sie den Namen des DC aus, der neuer Rollenmaster sein soll. Dadurch wird die Anforderung seitens LDAP erfüllt, die Bindung an den Server herzustellen, damit Sie sich authentifizieren können.

4. Klicken Sie auf OK, um sich mit dem Domänencontroller zu verbinden.

5. Klicken Sie mit der rechten Maustaste auf das oberste Symbol (Domänen und Vertrauensstellungen, Schema) bzw. die Domäne (Benutzer und Computer) und wählen Sie diesmal BETRIEBSMASTER aus dem Kontextmenü. Das Fenster BETRIEBSMASTER wird angezeigt.

6. Wählen Sie die Registerkarte, die der zu übertragenden Rolle zugeordnet ist.

7. Überprüfen Sie, ob der angezeigte DC dem Server entspricht, auf den Sie die Rolle übertragen wollen.

8. Klicken Sie auf ÄNDERN. Sie werden nun zur Bestätigung aufgefordert.

9. Klicken Sie auf OK. Nach kurzer Zeit werden Sie darüber informiert, dass der Betriebsmaster erfolgreich übertragen wurde. Auf der Registerkarte BETRIEBSMASTER erscheint der neue Name nun unter BETRIEBSMASTER.

10. Klicken Sie auf OK, um das Fenster zu schließen.

Jetzt müssen Sie warten, bis die Replikation volle Konvergenz erreicht hat, damit alle Domänencontroller über den neuen Rollenmaster Bescheid wissen. Sie können die Konsole ACTIVE DIRECTORY-STANDORTE UND -DIENSTE oder den Replikationsmonitor Replmon aus den Support-Tools verwenden, um die Replikation zu erzwingen.

Ändern eines Rollenmasters über Ntdsutil

Mögen Sie grafische Tools nicht (oder verwalten Sie Ihre Server mit Telnet oder SSH), dann können Sie auch das Utility Ntdsutil zur Übertragung von Rollenmastern zwischen DCs verwenden. Sowohl ursprünglicher als auch künftiger Rollenmaster müssen online sein. Gehen Sie wie folgt vor:

1. Melden Sie sich über ein Konto mit Administratorrechten an der Domäne an. Bezieht sich die Rollenänderung auf den Schema- oder Domänen-Naming-Master, dann benötigen Sie auch Administratorrechte für den Konfigurationsnamenskontext.

2. Starten Sie Ntdsutil.

3. Geben Sie roles an der Eingabeaufforderung ntdsutil: ein. Dadurch wird die Eingabeaufforderung FSMO maintenance: geöffnet.

4. Geben Sie ? ein. Die Optionsliste wird angezeigt.

Ntdsutil-Optionen
?	Zeigt diese Hilfeinformationen an
Connections	Verbindung mit einem bestimmten Domänencontroller herstellen
Help	Zeigt diese Hilfeinformationen an
Quit	Zeigt diese Hilfeinformationen an
Seize domain naming master	Funktion der Domäne auf dem verbundenen Server überschreiben
Seize infrastructure master	Funktion der Infrastruktur auf dem verbundenen Server überschreiben
Seize PDC	Funktion des primären Domänencontrollers auf dem verbundenen Server überschreiben
Seize RID master	Funktion des primären Domänencontrollers auf dem verbundenen Server überschreiben
Seize schema master	Funktion des Schemas auf dem verbundenen Server überschreiben
Select operation target	Standorte, Server, Domänen, Funktionen und Namenskontexte wählen
Transfer domain naming master	Den verbundenen Server zum Domain Naming Master machen
Transfer infrastructure master	Den verbundenen Server zum Infrastrukturmaster machen
Transfer PDC	Den verbundenen Server zum primären Domänencontroller machen
Transfer RID master	Den verbundenen Server zum RID-Master machen
Transfer schema master	Den verbundenen Server zum Schemamaster machen

5. Geben Sie connections ein. Die Eingabeaufforderung server connections wird angezeigt.

6. Geben Sie ? ein. Die Optionsliste wird angezeigt.

Ntdsutil-Optionen
?	Zeigt diese Hilfeinformationen an
Clear creds	Frühere Verbindungsinformationen löschen
Connect to domain %s	Verbindung mit dem DNS-Domänennamen herstellen
Connect to server %s	Verbindung mit Server, DNS-Namen oder IP-Adresse herstellen
Help	Zeigt diese Hilfeinformationen an
Info	Verbindungsinformationen anzeigen
Quit	Zum vorherigen Menü wechseln
Set creds %s %s %s	Verbindungsinformationen als Domäne, Benutzer und Kennwort festlegen. Verwenden Sie "NULL" für ein Null-Kennwort, * um das Kennwort an der Konsole einzugeben.

7. Geben Sie Connect to Server %s ein, wobei %s der vollqualifizierte DNS-Name des DCs ist, auf den Sie die Rolle übertragen wollen. Geben Sie beispielsweise Connect to Server srv01.firma.de ein. Falls erfolgreich, erhalten Sie den folgenden Statusbericht:

server connections: connect to server srv01.firma.de.

Bindung mit "srv01.firma.de" ...

Eine Verbindung mit "srv01.firma.de" unter Verwendung der Benutzerinformationen des lokal angemeldeten Benutzers wurde hergestellt.

8. Wenn Sie ein anderes Konto verwenden wollen, benutzen Sie den Befehl Set Creds vor der Eingabe des Befehls Connect to Server.

9. Geben Sie q ein, um das Modul zu verlassen und wieder zur Eingabeaufforderung FSMO Maintenance zu wechseln.

10. Wählen Sie eine zu übertragende Rolle und geben Sie das entsprechende Kommando. Wollen Sie etwa den PDC-Emulator übertragen, so geben Sie Transfer PDC ein.

11. Es erscheint ein Fenster, in dem Sie den Vorgang bestätigen müssen. Klicken Sie auf OK, um den Rollentransfer zu starten.

12. Falls der Übertragungsvorgang nicht funktioniert, erhalten Sie eine Fehlermeldung, und die Rolle verbleibt beim ursprünglichen Master. Wäre beispielsweise der Zielserver bereits Rollenmaster, dann wird Ihnen dies mitgeteilt. Verläuft die Übertragung problemlos, dann zeigt Ntdsutil eine aktuelle Rollenmasterliste, die die erfolgreiche Ausführung des Vorgangs anzeigt.

Einen Rollenmaster entziehen

Wenn ein Domänencontroller, der einen FSMO-Rollenmaster hostet, komplett ausfällt, lassen sich die Rollen nicht mit den MMC-Konsolen übertragen – Sie müssen sie mithilfe von Ntdsutil entziehen.

Zur Erinnerung: Wenn Sie einem Rollenmaster seine Rolle entziehen, darf dieser nie wieder online gehen. Das heißt im Klartext: Festplatte formatieren und neu installieren.

Stellen Sie sicher, dass der Domain Controller, der als neuer Rollenmaster vorgesehen ist, online ist, und gehen Sie wie folgt vor:

1. Melden Sie sich über ein Konto mit Administratorrechten an der Domäne an. Bezieht sich die Rollenänderung auf den Schema- oder Domänen-Naming-Master, dann benötigen Sie auch Administratorrechte für den Konfigurationsnamenskontext.

2. Starten Sie Ntdsutil.

3. Geben Sie Roles an der Eingabeaufforderung Ntdsutil ein. Dadurch wird die Eingabeaufforderung FSMO Maintenance: geöffnet.

4. Geben Sie Connections ein. Die Eingabeaufforderung Server Connections wird angezeigt.

5. Geben Sie Connect to Server, gefolgt vom vollqualifizierten DNS-Namen des DC, auf den Sie die Rolle übertragen wollen, ein. Falls erfolgreich, erhalten Sie den folgenden Statusbericht:

server connections: connect to server srv01.firma.de.

Bindung mit "srv02.firma.de" ...

Eine Verbindung mit "srv01.firma.de" unter Verwendung der Benutzerinformationen des lokal angemeldeten Benutzers wurde (sic!) hergestellt.

1. Geben Sie q ein, um das Modul zu verlassen und wieder zur Eingabeaufforderung FSMO Maintenance zu wechseln.

2. Wählen Sie eine zu übertragende Rolle. In diesem Beispiel soll der RID-Master übertragen werden. Geben Sie etwa Seize RID Master ein. Es erscheint ein Fenster, in dem Sie den Vorgang bestätigen müssen. Klicken Sie auf OK, um den Rollentransfer zu starten. (Falls der derzeitige Rollenmaster online ist, nimmt Ntdsutil einfach eine normale Übertragung vor.)

3. Falls der Übertragungsvorgang nicht funktioniert, erhalten Sie eine Fehlermeldung und die Rolle verbleibt beim ursprünglichen Master. Verläuft die Übertragung problemlos, dann zeigt Ntdsutil eine aktuelle Rollenmasterliste.

Ausblick

Im nächsten Teil der Artikelserie geht es um den Ausfall eines FSMO-Rolemasters und die entsprechenden Gegenmaßnahmen.

Die Artikelserie basiert auf Kapitel Zehn des Standardwerks „Windows Server 2003 für Insider“ von William Boswell aus dem Verlag Markt + Technik. Sie können dieses über 1300 Seiten starke Buch auch in unserem Buchshop bestellen oder als eBook herunterladen. (mja)

Serie: Katastrophenszenarien bei Active Directory

Teil 1: Ausfall eines DNS-Servers und eines Domänencontrollers

Teil 2: Ausfall eines FSMO-Rollenmasters

Teil 3: Ausfall von zentralen Replikationskomponenten

Teil 4: Active Directory-Pflege

Teil 5: Active Directory wiederherstellen