MS Domain Controller FSMO Rollen verschieben

Nachfolgend eine Anleitung zum verschieben der FSMO Rollen von einem Microsoft Domain Controller auf einen anderen. In diesem Beispiel werden die Rollen von dem DC2 auf den DC1 verschoben. Ich zeige die Möglichkeit per Powershell und danch per Admin Tools (RSAT).

Noch ein Tipp, wer in Powershell den Fehler Access Denied erhält, findet hier die Lösung: MS FSMO Rollen verschieben – Fehler Access Denied.

Was sind FSMO Rollen?

Welche Rollen gibt es und wofür sind sie da? Hierbei steht FSMO für Flexible Single Master Operations, was ein Konzept von Microsofts Active Directory ist und fünf spezielle Rollen für Domaincontroller definiert.

Übersicht der FSMO-Rollen

Rolle	Beschreibung
Schemamaster	Definiert die Struktur des gesamten Active Directory-Schemas. Diese Rolle ist für die gesamte Gesamtstruktur (Forest) einmalig und wird für Änderungen am Schema benötigt.
Domänennamen-Master	Verwaltet die Domänennamen im gesamten Forest und ist für das Hinzufügen oder Entfernen von Domänen zuständig. Diese Rolle ist ebenfalls einmalig für die gesamte Gesamtstruktur.
RID-Master	Weist allen Domänencontrollern in der Domäne RID-Pools (Relative Identifier) zu, die für die Erstellung von eindeutigen Sicherheits-IDs (SIDs) für neue Objekte wie Benutzer und Gruppen benötigt werden.
PDC-Emulator	Verarbeitet Kennwortänderungen, Kontosperrungen und Synchronisation von Systemzeiten. In älteren Systemen diente er als Primary Domain Controller (PDC).
Infrastruktur-Master	Sorgt für die Konsistenz von Verweisen zwischen Objekten in verschiedenen Domänen innerhalb der Gesamtstruktur. Sie darf sich nicht auf einem Domänencontroller mit Globalem Katalog befinden, es sei denn, alle Domänencontroller führen einen Globalen Katalog.

Welcher Domaincontroller hält aktuell welche FSMO-Rollen?

PS C:\> netdom query fsmo
Schema master            DC2.local
Domain naming master     DC2.local
PDC                      DC2.local
RID pool manager         DC2.local
Infrastructure master    DC2.local
The command completed successfully.

FSMO Rollen auf Domain Level anzeigen

Ein weiteres Beispiel ist das Anzeigen der FSMO Rollen RIDMaster, Infrastructure Master, PDCEmulator und RIDMaster per Powershell:

PS C:\> Get-ADDomain | Select InfrastructureMaster, PDCEmulator, RIDMasterInfrastructureMaster   PDCEmulator        RIDMaster
--------------------            -----------         ---------
DC2.local                DC2.local    DC2.local

FSMO Rollen auf Forest Level anzeigen

Per Powershell lassen sich wie folgt auch die Rollen DomainNamingMaster und SchemaMaster im Forest anzeigen:

PS C:\> Get-ADForest | select DomainNamingMaster, SchemaMaster
DomainNamingMaster     SchemaMaster
----------------        -----------
DC2.local        DC2.local

Voraussetzungen Berechtigungen

Damit die Rollen verschoben werden können, sind folgende Rechte in der Domain notwendig:

• Domänen-Admins
• Organisations-Admins
• Schema-Admins

FSMO Rollen per Powershell verschieben

Per Powershell lassen sich die Rollen automatisiert, recht einfach und schnell verschieben. Hierfür die Powershell auf einem Domain Controller, als Administrator starten und nachfolgende Befehle ausführen.

Powershell PDCEmulator verschieben

Move-ADDirectoryServerOperationMasterRole -Identity "dc1" PDCEmulator

Powershell RIDMaster verschieben

Move-ADDirectoryServerOperationMasterRole -Identity "dc1" RIDMaster

Powershell InfrastructureMaster verschieben

Move-ADDirectoryServerOperationMasterRole -Identity "dc1" Infrastructuremaster

Powershell DomainNamingMaster verschieben

Move-ADDirectoryServerOperationMasterRole -Identity "dc1" DomainNamingmaster

Powershell SchemaMaster verschieben

Move-ADDirectoryServerOperationMasterRole -Identity "dc1" SchemaMaster

Nun kann man, wie oben gezeigt, die Rollen und auf welchem Domaincontroller sie liegen nochmal prüfen.

FSMO Rollen per RSAT – MMC verschieben

Für die FSMO-Rollen wird die „Active Directory Users and Computers“ MMC verwendet. Folgende Schritte werden für das verschieben von RID, PDC und Infrastructure durchgeführt:

RID – PDC – Infrastructure per MMC verschieben

• in Active Directory Users and Computers mit der rechten Maustaste auf die Domain klicken
• im Kontextmenü auf Change Domain Controller klicken und den Domain Controller auswählen zudem die Rollen verschoben werden sollen
• nun nochmal in das Kontextmenü wechseln und die Option Operations Masters anklicken
• nun für RID, PDC und Infrastructure auf den Button Change klicken und den neuen Server für die Rolle auswählen

Schema Master – Operation Master – per MMC verschieben

Als nächstes werden die Rollen Schema Master und Operation Master verschoben. Hierfür führen wir in der Befehlszeile oder Powershell folgenden Befehl, zum registrieren der MMC für das Active Directory Schema, aus.

PS C:\> regsvr32 schmmgmt.dll

Nun öffnen wir die Microsoft Managment Console (MMC), einfach in der Befehlszeile oder unter Ausführen eingeben mmc. und starten. Im Menü auf „Add/Remove Snap-in..“ klikcken und die RSAT Consolen „Active Directory Domains and Trusts„, sowie „Active Directory Schema“ hinzufügen und öffnen.

Das Prinzip ist nun das selbe wie zuvor. In der Konsole Active Directory Domains and Trusts mit der rechten Maustaste auf die Domain klicken und unter Operations Master den neuen Domaincontroller auswählen. Unter Active Directory Schema direkt auf den Konsolennamen klicken und dann über Operations Master, den Domaincontroller für das Schema auswählen.

Nun nochmal alles per obigen Befehl (en) prüfen und die Rollen sind verschoben. Ggf. nachträglich nicht vergessen, die zuvor erhöhten Rechte wieder zu entfernen.