Domain Serverrollen (FSMO)

~ 0 min
2022-07-15 08:57

Abfrage aller Single-Master Serverrollen mit "netdom query FSMO" (W200x-CD/Support-Tools)
oder "dumpfsmos [SERVER]" (W200x- Res.kit)
dsquerry -server - FSMOs mit ihren DistinguishedNames
dsquerry -server -hasfsmo pdc - findet Server mit FSMO PDC-Rolle (alle 5 möglich)
dsquerry -server -isgc - findet alle DCs, die globale Katalogserver sind

Powershell: Get-ADDomain und Get-ADForest

Name Anzahl Funktion Verwaltung
Globaler Katalogserver beliebig oft;
min. 1x je Standort empfohlen
- enthält Informationen zum Speicherort beliebiger Objekte im AD (Universelle Gruppen, UPNs);
- ist in Einzeldomäne (1 DC) nicht erforderlich
AD- Standorte und Dienste
Schemamaster 1x pro Gesamtstruktur - führt Änderungen am Schema durch; alle anderen DCs lesen Schema nur Snap-In: "AD Schema" (schmmgmt.dll aus adminpak.msi registrieren per 'regsvr32 schmmgmt.dll')
Domänenamen-Master 1x pro Gesamtstruktur - führt Änderungen an Domänenzuordnung durch;
- soll gleichzeitig globaler Katalog sein
AD Domänen- und Vertrauensstellungen
PDC - Emulator 1x pro Domäne - liefert Berechtigungen für NT4- BDCs, führt Kennwortänderungen als Erster durch;
- synchronisiert die Zeit mit allen DCs
AD Benutzer und Computer
RID - Master 1x pro Domäne - weist jedem DC Blöcke von RIDs zur Vergabe eindeutiger SIDs zu AD Benutzer und Computer
Infrastructur - Master 1x pro Domäne - verwaltet domänenübergreifende Gruppenmitgliedschaften;
- ist erst bei mehreren Domänen in einer Struktur nötig;
- gleicht alle GCs ab, darf nicht selbst globaler Katalog sein
AD Benutzer und Computer


FSMO-Übergabe (Bsp.: PDCEmulator) per Powershell:
(FSMO-Übernahme erzwingen mit -Force)

Move-ADDirectroyServerOperationMasterRole -Identity "DC02" -OperationMasterRole,PDCEmulator


Die FSMO-Rollen lassen sich ausser in den oben genannten GUIs auch per NTDSUTIL verschieben.

roles
connection
connect to server [FSMO-NEU]
quit
transfer schema master
transfer naming master
transfer RID master
transfer PDC
transfer Infrastructure Master

Hinweis: Nur der erste DC einer Domäne trägt das EFS Widerherstellungszertifikat! Export des EFS Widerherstellungsagenten nicht vergessen!


Computer offline in Domäne aufnehmen mit DJOIN (https://www.msxfaq.de/windows/djoin_offline_domain_join.htm)

Durchschnittliche Bewertung 0 (0 Abstimmungen)

Es ist möglich, diese FAQ zu kommentieren.