Domain Serverrollen (FSMO)
Abfrage aller Single-Master Serverrollen mit "netdom query FSMO" (W200x-CD/Support-Tools)
oder "dumpfsmos [SERVER]" (W200x- Res.kit)
dsquerry -server - FSMOs mit ihren DistinguishedNames
dsquerry -server -hasfsmo pdc - findet Server mit FSMO PDC-Rolle (alle 5 möglich)
dsquerry -server -isgc - findet alle DCs, die globale Katalogserver sind
Powershell: Get-ADDomain und Get-ADForest
Name | Anzahl | Funktion | Verwaltung |
---|---|---|---|
Globaler Katalogserver | beliebig oft; min. 1x je Standort empfohlen |
- enthält Informationen zum Speicherort beliebiger Objekte im AD (Universelle Gruppen, UPNs); - ist in Einzeldomäne (1 DC) nicht erforderlich |
AD- Standorte und Dienste |
Schemamaster | 1x pro Gesamtstruktur | - führt Änderungen am Schema durch; alle anderen DCs lesen Schema nur | Snap-In: "AD Schema" (schmmgmt.dll aus adminpak.msi registrieren per 'regsvr32 schmmgmt.dll') |
Domänenamen-Master | 1x pro Gesamtstruktur | - führt Änderungen an Domänenzuordnung durch; - soll gleichzeitig globaler Katalog sein |
AD Domänen- und Vertrauensstellungen |
PDC - Emulator | 1x pro Domäne | - liefert Berechtigungen für NT4- BDCs, führt Kennwortänderungen als Erster durch; - synchronisiert die Zeit mit allen DCs |
AD Benutzer und Computer |
RID - Master | 1x pro Domäne | - weist jedem DC Blöcke von RIDs zur Vergabe eindeutiger SIDs zu | AD Benutzer und Computer |
Infrastructur - Master | 1x pro Domäne | - verwaltet domänenübergreifende Gruppenmitgliedschaften; - ist erst bei mehreren Domänen in einer Struktur nötig; - gleicht alle GCs ab, darf nicht selbst globaler Katalog sein |
AD Benutzer und Computer |
FSMO-Übergabe (Bsp.: PDCEmulator) per Powershell:
(FSMO-Übernahme erzwingen mit -Force)
Move-ADDirectroyServerOperationMasterRole -Identity "DC02" -OperationMasterRole,PDCEmulator
Die FSMO-Rollen lassen sich ausser in den oben genannten GUIs auch per NTDSUTIL verschieben.
roles
connection
connect to server [FSMO-NEU]
quit
transfer schema master
transfer naming master
transfer RID master
transfer PDC
transfer Infrastructure Master
Hinweis: Nur der erste DC einer Domäne trägt das EFS Widerherstellungszertifikat! Export des EFS Widerherstellungsagenten nicht vergessen!
Computer offline in Domäne aufnehmen mit DJOIN (https://www.msxfaq.de/windows/djoin_offline_domain_join.htm)