• 09/08/2020
  • 11 Minuten zum Lesen
    • D
    • x
    • s

Dieser Artikel beschreibt, Wann und wie zu übertragen oder übernehmen Sie Flexible Single Master Operations (FSMO) – Rollen.,

Original produkt version: Windows Server 2019, Windows Server Standard 2016, Windows Server Essentials 2016, Windows Server Datacenter 2016
Original KB anzahl: 255504

Mehr informationen

Innerhalb eines Active Directory Domain Services (AD DS) wald, es sind spezifische aufgaben, die durchgeführt werden müssen nur durch eine domain controller (DC). Die DCs, die zur Ausführung dieser eindeutigen Vorgänge zugewiesen sind, werden als FSMO-Rolleninhaber bezeichnet. In der folgenden Tabelle sind die FSMO-Rollen und ihre Platzierung in Active Directory aufgeführt.,

Weitere Informationen zu den FSMO-Rolleninhabern und Empfehlungen zum Platzieren der Rollen finden Sie unter FSMO-Platzierung und-Optimierung auf Active Directory-Domänencontrollern.

Hinweis

Active Directory-Anwendungspartitionen, die DNS-Anwendungspartitionen enthalten, haben FSMO-Rollenlinks. Wenn eine DNS-Anwendungspartition einen Eigentümer für die Infrastruktur-Masterrolle definiert, können Sie diese Anwendungspartition nicht mit Ntdsutil, DCPromo oder anderen Tools entfernen. Weitere Informationen finden Sie unter DCPROMO Demotion schlägt fehl, wenn der DNS-Infrastrukturmaster nicht kontaktiert werden kann.,

Wenn ein DC, der als Rolleninhaber fungiert hat, ausgeführt wird (z. B. nach einem Ausfall oder Herunterfahren), wird das Verhalten als Rolleninhaber nicht sofort fortgesetzt. Der DC wartet, bis er die eingehende Replikation für seinen Namenskontext empfängt (z. B. wartet der Schemamasterrollenbesitzer darauf, die eingehende Replikation der Schemapartition zu empfangen).

Die Informationen, die die DCs im Rahmen der Active Directory-Replikation übergeben, umfassen die Identitäten der aktuellen FSMO-Rolleninhaber., Wenn der neu gestartete DC die eingehenden Replikationsinformationen empfängt, überprüft er, ob er noch der Rolleninhaber ist. Wenn ja, nimmt es typische Operationen wieder auf. Wenn die replizierten Informationen anzeigen, dass ein anderer DC als Rolleninhaber fungiert, gibt der neu gestartete DC seinen Rollenbesitz auf. Dieses Verhalten verringert die Wahrscheinlichkeit, dass die Domäne oder die Gesamtstruktur doppelte FSMO-Rolleninhaber hat.

Wichtig

AD FS-Operationen schlagen fehl, wenn sie einen Rolleninhaber erfordern und wenn der neu gestartete Rolleninhaber tatsächlich der Rolleninhaber ist und keine eingehende Replikation empfängt.,
Das resultierende Verhalten ähnelt dem, was passieren würde, wenn der Rolleninhaber offline wäre.

Bestimmen Sie, wann Rollen übertragen oder ergriffen werden sollen

Unter typischen Bedingungen müssen alle fünf Rollen „lebenden“ DCs im Wald zugewiesen werden. Wenn Sie eine Active Directory-Gesamtstruktur erstellen, wird der Active Directory-Installationsassistent (Dcpromo.exe) weist alle fünf FSMO-Rollen dem ersten DC zu, das in der Waldstammdomäne erstellt wird. Wenn Sie eine untergeordnete oder Baumdomäne erstellen, Dcpromo.exe weist die drei domänenweiten Rollen dem ersten DC in der Domäne zu.,

DCs besitzen weiterhin FSMO-Rollen, bis sie mit einer der folgenden Methoden neu zugewiesen werden:

  • Ein Administrator weist die Rolle mithilfe eines GUI-Verwaltungstools zu.
  • Ein Administrator weist die Rolle mithilfe des Befehls ntdsutil /roles zu.
  • Ein Administrator dementiert anmutig eine Rolle haltende DC mit dem Active Directory-Installationsassistenten. Dieser Assistent weist einem vorhandenen DC in der Gesamtstruktur alle lokal gehaltenen Rollen zu.
  • Ein Administrator dementiert eine Rolle haltende DC mit dem Befehl dcpromo /forceremoval.,
  • Der DC schaltet sich ab und startet neu. Wenn der DC neu gestartet wird, empfängt er eingehende Replikationsinformationen, die anzeigen, dass ein anderer DC der Rolleninhaber ist. In diesem Fall gibt der neu gestartete DC die Rolle auf (wie zuvor beschrieben).

Wenn ein FSMO-Rolleninhaber einen Fehler erfährt oder anderweitig außer Betrieb genommen wird, bevor seine Rollen übertragen werden, müssen Sie alle Rollen übernehmen und an einen geeigneten und gesunden DC übertragen.,

Es wird empfohlen, FSMO-Rollen in den folgenden Szenarien zu übertragen:

  • Der aktuelle Rolleninhaber ist betriebsbereit und kann vom neuen FSMO-Eigentümer im Netzwerk aufgerufen werden.
  • Sie degradieren einen DC, der derzeit FSMO-Rollen besitzt, die Sie einem bestimmten DC in Ihrer Active Directory-Gesamtstruktur zuweisen möchten.
  • Der DC, dem derzeit FSMO-Rollen gehören, wird für die geplante Wartung offline geschaltet, und Sie müssen Live-DCs bestimmte FSMO-Rollen zuweisen. Möglicherweise müssen Sie Rollen übertragen, um Vorgänge auszuführen, die sich auf den FSMO-Eigentümer auswirken., Dies gilt insbesondere für die PDC-Emulatorrolle. Dies ist ein weniger wichtiges Problem für die Domänenmasterrolle, die Domänennamenmasterrolle und die Schemamasterrollen.

Wir empfehlen Ihnen, FSMO-Rollen in den folgenden Szenarien zu übernehmen:

  • Der aktuelle Rolleninhaber weist einen Betriebsfehler auf, der verhindert, dass eine FSMO-abhängige Operation erfolgreich abgeschlossen wird, und Sie können die Rolle nicht übertragen.

  • Sie verwenden den Befehl dcpromo /forceremoval, um einen DC, der eine FSMO-Rolle besitzt, zu erzwingen.,

    Wichtig

    Der Befehl dcpromo /forceremoval lässt FSMO-Rollen in einem ungültigen Zustand, bis sie von einem Administrator neu zugewiesen werden.

  • Das Betriebssystem auf dem Computer, das ursprünglich eine bestimmte Rolle besaß, existiert nicht mehr oder wurde neu installiert.

Hinweis

  • Wir empfehlen, alle Rollen nur dann zu übernehmen, wenn der vorherige Rolleninhaber nicht zur Domäne zurückkehrt.,
  • Wenn FSMO-Rollen in Waldwiederherstellungsszenarien erfasst werden müssen, siehe Schritt 5 unter Anfängliche Wiederherstellung unter Wiederherstellen des ersten beschreibbaren Domänencontrollers in jedem Domänenabschnitt.
  • Nach einem Rollentransfer oder einer Beschlagnahme handelt der neue Rolleninhaber nicht sofort. Stattdessen verhält sich der neue Rolleninhaber wie ein neu gestarteter Rolleninhaber und wartet auf seine Kopie des Namenskontexts für die Rolle (z. B. die Domänenpartition), um einen erfolgreichen eingehenden Replikationszyklus abzuschließen., Diese Replikationsanforderung hilft sicherzustellen, dass der neue Rolleninhaber so aktuell wie möglich ist, bevor er Maßnahmen ergreift. Es begrenzt auch das Fenster der Möglichkeit für Fehler. Dieses Fenster enthält nur Änderungen, die der vorherige Rolleninhaber vor dem Offline-Betrieb nicht auf die anderen DCs repliziert hat. Eine Liste des Benennungskontexts für jede FSMO-Rolle finden Sie in der Tabelle unter Weitere Informationen.,

Identifizieren Sie einen neuen Rolleninhaber

Der beste Kandidat für den neuen Rolleninhaber ist ein DC, der die folgenden Kriterien erfüllt:

  • Er befindet sich in derselben Domäne wie der vorherige Rolleninhaber.
  • Es hat die zuletzt replizierte beschreibbare Kopie der Rollenpartition.

Angenommen, Sie müssen die Schemamasterrolle übertragen. Die Schemamasterrolle ist Teil der Schemapartition der Gesamtstruktur (cn=Schema,cn=Konfiguration,dc=<Waldstammdomäne>)., Der beste Kandidat für einen neuen Rolleninhaber ist ein DC, das sich ebenfalls in der Forest-Stammdomäne und auf derselben Active Directory-Site wie der aktuelle Rolleninhaber befindet.

Vorsicht

Legen Sie die Infrastructure Master-Rolle nicht auf denselben DC wie den globalen Katalogserver. Wenn der Infrastruktur-Master auf einem globalen Katalogserver ausgeführt wird, werden die Objektinformationen nicht mehr aktualisiert, da er keine Verweise auf Objekte enthält, die er nicht enthält. Dies liegt daran, dass ein globaler Katalogserver ein Teilreplikat jedes Objekts in der Gesamtstruktur enthält.,

um Zu testen, ob ein Domänencontroller ein globaler Katalogserver gehen Sie folgendermaßen vor:

  1. Wählen Sie Start > Programme > Verwaltung > Active Directory-Standorte und-Dienste.
  2. Doppelklicken Sie im Navigationsbereich auf Sites und suchen Sie dann die entsprechende Site oder wählen Sie Default-first-site-name, wenn keine anderen Sites verfügbar sind.
  3. Öffnen Sie den Ordner „Server“, und wählen Sie dann die DC.
  4. Doppelklicken Sie im Ordner des DC auf NTDS-Einstellungen.
  5. Wählen Sie im Aktionsmenü Eigenschaften aus.,
  6. Aktivieren Sie auf der Registerkarte Allgemein das Kontrollkästchen Globaler Katalog, um zu sehen, ob er ausgewählt ist.

Weitere Informationen finden Sie unter:

  • AD Forest Recovery-Ergreifen einer Operations Master-Rolle
  • Planen der Platzierung von Operations Master-Rollen

Ergreifen oder Übertragen von FSMO-Rollen

Sie können Windows PowerShell oder Ntdsutil verwenden, um Rollen zu übernehmen oder zu übertragen. Informationen und Beispiele zur Verwendung von PowerShell für diese Aufgaben finden Sie unter Move-ADDirectoryServerOperationMasterRole.,

Wichtig

Wenn Sie die RID-Master-Rolle übernehmen müssen, sollten Sie das Cmdlet Move-ADDirectoryServerOperationMasterRole anstelle des Ntdsutil verwenden.exe-Dienstprogramm.

Um das Risiko doppelter SIDs in der Domäne zu vermeiden, erhöht Ntdsutil die nächste verfügbare RID im Pool um 10.000, wenn Sie die RID-Masterrolle übernehmen. Dieses Verhalten kann dazu führen, dass Ihr Wald seine verfügbaren Bereiche für RID-Werte (auch als RID-Werte bezeichnet) vollständig verbraucht. Wenn Sie dagegen das PowerShell-Cmdlet verwenden, um die RID-Masterrolle zu übernehmen, ist das nächste verfügbare RID nicht betroffen.,

Um die FSMO-Rollen mithilfe des Dienstprogramms Ntdsutil zu nutzen oder zu übertragen, führen Sie die folgenden Schritte aus:

  1. Melden Sie sich bei einem Mitgliedscomputer an, auf dem die AD RSAT-Tools installiert sind, oder bei einem DC, der sich in der Gesamtstruktur befindet, in die FSMO-Rollen übertragen werden.

    Hinweis

    • Es wird empfohlen, sich bei dem DC anzumelden, dem Sie FSMO-Rollen zuweisen.,
    • Der angemeldete Benutzer sollte Mitglied der Gruppe Enterprise Administrators sein, um Schema-Master-oder Domain Naming-Master-Rollen zu übertragen, oder Mitglied der Gruppe Domain Administrators der Domäne, in der der PDC-Emulator, RID-Master und die Infrastruktur-Master-Rollen übertragen werden.

  2. Wählen Sie Start > Ausführen, geben Sie ntdsutil in das Feld Öffnen ein, und wählen Sie dann OK.

  3. Geben Sie Rollen ein und drücken Sie die Eingabetaste.

    Hinweis

    Um eine Liste der verfügbaren Befehle an einer der Eingabeaufforderungen im Dienstprogramm Ntdsutil anzuzeigen, geben Sie ?,, und drücken Sie dann die EINGABETASTE.

  4. Typ verbindungen, und drücken sie dann die Eingabetaste.

  5. Geben Sie connect to server <servername>, und drücken Sie dann die EINGABETASTE.

    Hinweis

    In diesem Befehl ist <servername> der Name des DC, dem Sie die FSMO-Rolle zuweisen möchten.

  6. Geben Sie an der Eingabeaufforderung für Serververbindungen q ein und drücken Sie die Eingabetaste.,

  7. Führen Sie einen der folgenden Schritte aus:

    • Um die Rolle zu übertragen: Geben Sie transfer <role> ein und drücken Sie die Eingabetaste.

      Hinweis

      In diesem Befehl ist <role> die Rolle, die Sie übertragen möchten.

    • Um die Rolle zu ergreifen: Geben Sie ergreifen <Rolle>, und drücken Sie dann die Eingabetaste.

      Hinweis

      In diesem Befehl <Rolle> ist die Rolle, die Sie ergreifen möchten.,

    Um beispielsweise die RID-Master-Rolle zu übernehmen, geben Sie rid-Master ergreifen ein. Die einzige Ausnahme ist für die PDC-Emulatorrolle, deren Syntax seize pdc ist, nicht seize pdc Emulator.

    Um eine Liste der Rollen zu sehen, die Sie übertragen oder ergreifen können, geben Sie ? drücken Sie an der Eingabeaufforderung fsmo maintenance die Eingabetaste oder sehen Sie sich die Liste der Rollen am Anfang dieses Artikels an.

  8. Geben Sie an der Eingabeaufforderung fsmo maintenance q ein und drücken Sie die Eingabetaste, um Zugriff auf die Eingabeaufforderung ntdsutil zu erhalten. Geben Sie q ein und drücken Sie die Eingabetaste, um das Dienstprogramm Ntdsutil zu beenden.,

Wenn dies möglich ist und Sie die Rollen übertragen können, anstatt sie zu ergreifen, fixieren Sie den vorherigen Rollenhalter. Wenn Sie den vorherigen Rolleninhaber nicht beheben können oder wenn Sie die Rollen übernommen haben, entfernen Sie den vorherigen Rolleninhaber aus der Domäne.

Wichtig

Wenn Sie den reparierten Computer als DC verwenden möchten, empfehlen wir, den Computer von Grund auf in ein DC umzuwandeln, anstatt das DC aus einem Backup wiederherzustellen. Der Wiederherstellungsprozess baut den DC als Rollenhalter wieder auf.,

  • Um den reparierten Computer als DC in den Wald zurückzugeben

    1. Führen Sie eine der folgenden Aktionen aus:

      • Formatieren Sie die Festplatte des ehemaligen Rolleninhabers und installieren Sie Windows auf dem Computer neu.
      • Degradieren Sie den ehemaligen Rolleninhaber gewaltsam zu einem Mitgliedsserver.

    2. Verwenden Sie Ntdsutil auf einem anderen DC in der Gesamtstruktur, um die Metadaten für den ehemaligen Rolleninhaber zu entfernen. Weitere Informationen finden Sie unter Bereinigen von Servermetadaten mithilfe von Ntdsutil.,

    3. Nachdem Sie die Metadaten bereinigt haben, können Sie den Computer auf einen DC umverteilen und eine Rolle zurück übertragen.

  • Um den Computer nach dem Ergreifen seiner Rollen aus der Gesamtstruktur zu entfernen

    1. Entfernen Sie den Computer aus der Domäne.
    2. Verwenden Sie auf einem anderen DC im Forest Ntdsutil, um die Metadaten für den ehemaligen Rolleninhaber zu entfernen. Weitere Informationen finden Sie unter Bereinigen von Servermetadaten mithilfe von Ntdsutil.,

Überlegungen bei der Wiedereingliederung von Replikationsinseln

Wenn ein Teil einer Domäne oder Gesamtstruktur längere Zeit nicht mit dem Rest der Domäne oder Gesamtstruktur kommunizieren kann, werden die isolierten Abschnitte der Domäne oder Gesamtstruktur als Replikationsinseln bezeichnet. DCs auf einer Insel können sich nicht mit den DCs auf anderen Inseln replizieren. Über mehrere Replikationszyklen hinweg sind die Replikationsinseln nicht mehr synchron. Wenn jede Insel ihre eigenen FSMO-Rolleninhaber hat, können Sie Probleme haben, wenn Sie die Kommunikation zwischen den Inseln wiederherstellen.,

Wichtig

In den meisten Fällen können Sie die anfängliche Replikationsanforderung (wie in diesem Artikel beschrieben) nutzen, um doppelte Rolleninhaber auszusortieren. Ein neu gestarteter Rolleninhaber sollte die Rolle aufgeben, wenn er einen doppelten Rolleninhaber erkennt.
Sie können Umstände auftreten, dass dieses Verhalten nicht löst. In solchen Fällen können die Informationen in diesem Abschnitt hilfreich sein.,

Die folgende Tabelle identifiziert die FMSO-Rollen, die Probleme verursachen können, wenn ein Wald oder eine Domäne mehrere Rolleninhaber für diese Rolle hat:

Rolle Mögliche Konflikte zwischen mehreren Rolleninhabern?,
Schema master Yes
Domain naming master Yes
RID master Yes
PDC emulator No
Infrastructure master No

This issue does not affect the PDC Emulator master or the Infrastructure master. These role holders do not persist operational data., Darüber hinaus nimmt der Infrastrukturmaster keine Änderungen häufig vor. Wenn mehrere Inseln über diese Rolleninhaber verfügen, können Sie die Inseln daher wieder integrieren, ohne langfristige Probleme zu verursachen.

Der Schema-Master, der Domänennamenmaster und der RID-Master können Objekte erstellen und Änderungen in Active Directory beibehalten. Jede Insel mit einem dieser Rolleninhaber kann zum Zeitpunkt der Wiederherstellung der Replikation doppelte und widersprüchliche Schemaobjekte, Domänen oder RID-Pools aufweisen. Bestimmen Sie vor der Wiedereingliederung, welche Rolleninhaber beibehalten werden sollen., Entfernen Sie alle doppelten Schema-Master, Domain-Naming-Master und RID-Master, indem Sie die in diesem Artikel genannten Reparatur -, Entfernungs-und Bereinigungsverfahren befolgen.,übertragung und Beschlagnahme von daten

  • WIE ZU: Verwenden Ntdsutil zu finden und bereinigen doppelte sicherheit kennungen in Windows Server
  • Troubleshoot DNS Ereignis ID 4013: Die DNS server war nicht in der lage zu laden AD integrierte DNS zonen
  • DCPROMO demotion fehlschlägt, wenn nicht in der lage zu kontaktieren die DNS infrastruktur master
  • FSMO Rollen
  • Durchführen initial recovery
  • AD Wald Recovery – Seizing eine operationen master rolle
  • So bereinigen Sie Servermetadaten mithilfe von Ntdsutil
  • Planning Operations Master Role Placement
  • Move-ADDirectoryServerOperationMasterRole

    • Schreibe einen Kommentar

    Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.