Suchen

Stabilität von Active Directory sicherstellen Verwalten der Betriebsmasterrollen von Domänencontrollern

Autor / Redakteur: Thomas Joos / Peter Schmitz

Auch in Windows Server 2012 kann ein Domänencontroller fünf unterschiedliche Rollen annehmen. Fällt eine dieser Rollen aus, gibt es in Active Directory Fehlfunktionen, deshalb ist im Notfall schnelles Handeln wichtig.

Firma zum Thema

In einem Active Directory sind zunächst alle Domänencontroller gleichberechtigt. Allerdings gibt es fünf unterschiedliche Rollen, die ein Domänencontroller annehmen kann und seine zentrale Aufgabe in Active Directory steuern.

Die verschiedenen Rollen werden als Flexible Single Master Operators (FSMOs) bezeichnet. Jede dieser Rollen ist entweder einmalig pro Domäne (PDC-Emulator, Infrastrukturmaster, RID-Master) oder einmalig pro Gesamtstruktur (Schemamaster, Domänennamenmaster). Fällt eine dieser Rollen aus, gibt es in Active Directory Fehlfunktionen. Das gilt nicht nur für die aktuellen Microsoft-Serversysteme, sondern auch noch in Windows Server 2012.

Bildergalerie
Bildergalerie mit 5 Bildern

PDC-Emulator verwalten

Die Rolle des PDC-Emulators gibt es in jeder Active Directory-Domäne ein Mal. Der erste installierte Domänencontroller einer Active Directory-Domäne bekommt diese Rolle automatisch zugewiesen. Er ist für die Anwendung und Verwaltung der Gruppenrichtlinien zuständig.

Steht der Domänencontroller, der diese Rolle hat, nicht mehr zur Verfügung, werden Gruppenrichtlinien fehlerhaft angewendet und können nicht mehr verwaltet werden, da spezielle Verwaltungskonsolen, wie die Gruppenrichtlinien-Verwaltungskonsole die Verbindung zum PDC-Emulator aufbauen. Der PDC-Emulator ist darüber hinaus für Kennwortänderungen bei Benutzern verantwortlich. Er steuert auch die externen Vertrauensstellungen einer Domäne. Außerdem ist der PDC-Emulator der Zeitserver einer Domäne. Alle hier beschriebenen Funktionen sind gestört, wenn der PDC-Emulator nicht mehr zur Verfügung steht.

Wollen Administratoren überprüfen, welcher Domänencontroller die Rolle des PDC-Emulators in der Domäne verwaltet, öffnen sie das Snap-In Active Directory-Benutzer und -Computer im Server-Manager oder über dsa.msc. Mit einem Klick mit der rechten Maustaste auf die Domäne im Snap-In und der Auswahl von Betriebsmaster im Kontextmenü öffnet sich ein neues Fenster. Hier sind die FSMOs der Domäne zu sehen.

Auf der Registerkarte PDC ist der der aktuelle PDC-Emulator der Domäne zu sehen. Administratoren können sich den aktuellen PDC-Emulator auch mit Hilfe des Befehls dsquery server -hasfsmo pdc in der Befehlszeile anzeigen lassen.

RID-Master – Neue Objekte in der Domäne aufnehmen

Auch die Rolle des RID-Masters erhält der erste installierte Domänencontroller einer Domäne automatisch. Den RID-Master gibt es einmal in jeder Domäne einer Gesamtstruktur. Die Aufgabe des RID-Masters ist es, den anderen Domänencontrollern einer Domäne relative Bezeichner (Relative Identifiers, RIDs) zuzuweisen.

Wird ein neues Objekt in der Domäne erstellt, also ein Computerkonto, ein Benutzer oder eine Gruppe, wird diesem Objekt eine eindeutige Sicherheits-ID (SID) zugewiesen. Diese SID erstellt der Domänencontroller aus einer domänenspezifischen SID in Verbindung mit einer RID aus seinem RID-Pool. Ist der RID-Pool eines Domänencontrollers aufgebraucht ist, werden ihm vom RID-Master neue RIDs zugewiesen.

Steht der RID-Master nicht mehr zur Verfügung und bekommen die Domänencontroller damit keine RIDs mehr, können keine neuen Objekte mehr in dieser Domäne erstellt werden, bis der RID-Master wieder einem Domänencontroller zur Verfügung gestellt wird. Auf der Registerkarte RID wird der RID-Master der Domäne angezeigt. Der Befehl dsquery server -hasfsmo rid zeigt den Master in der Befehlszeile an.

Infrastrukturmaster – Auflösen von Gruppen über Domänen hinweg

Auch den Infrastrukturmaster gibt es in jeder Domäne einer Gesamtstruktur einmal. Diese Rolle erhält ebenfalls wieder der erste installierte Domänencontroller einer Active Directory-Domäne. In einer Gesamtstruktur mit nur einer Domäne spielt dieser Betriebsmaster keine Rolle. Seine Bedeutung steigt jedoch beim Einsatz mehrerer Domänen oder Strukturen. Er hat in einer Domäne die Aufgabe die Berechtigungen für die Benutzer zu steuern, die aus unterschiedlichen Domänen kommen.

Da die Berechtigungsanfragen sonst sehr lange dauern würden, wenn zum Beispiel in den Berechtigungen einer Ressource Benutzerkonten oder Gruppen aus unterschiedlichen Domänen gesetzt sind, dient der Infrastrukturmaster einer Domäne sozusagen als Cache für diese Zugriffe, um die Abfrage der Berechtigungen zu beschleunigen.

Er wird außerdem für die Auflösung von Verteilergruppen verwendet, wenn Unternehmen Microsoft Exchange Server einsetzen, da auch an dieser Stelle eine Gruppe Mitglieder aus verschiedenen Domänen der Gesamtstruktur enthalten kann. Auf der Registerkarte Infrastruktur ist dieser zu sehen oder in der Befehlszeile mit dsquery server -hasfsmo infr.

Schemamaster – Active Directory erweitern

Active Directory verfügt über ein erweiterbares Schema. Dieses bietet die Möglichkeit, zusätzliche Informationen im Verzeichnis flexibel zu speichern. Diese Funktion wird beispielsweise von Exchange genutzt.

Alle notwendigen Informationen zu einem E-Mail-Postfach werden in Active Directory abgelegt. Bei der Installation von Exchange wird das Schema von Active Directory um die notwendigen Attribute und Klassen erweitert. Damit das Schema erweitert werden kann, wird der Schemamaster benötigt.

In jeder Gesamtstruktur gibt es nur einen Schemamaster. Nur auf diesem Schemamaster können Änderungen am Schema vorgenommen werden. Steht der Schemamaster nicht mehr zur Verfügung, können auch keine Erweiterungen des Schemas stattfinden und die Installation von Exchange schlägt fehl. Der erste installierte Domänencontroller der ersten Domäne und Struktur einer Gesamtstruktur erhält die Rolle des Schemamasters. Der Schemamaster hat ansonsten keine Auswirkungen auf den laufenden Betrieb.

Damit der Schemamaster angezeigt werden kann, müssen Administratoren zunächst das Snap-In registrieren, welches das Schema anzeigt. Aus Sicherheitsgründen wird dieses Snap-In zwar installiert, jedoch nicht angezeigt. Durch Eingabe des Befehls regsvr32 schmmgmt.dll in der Befehlszeile, wird die Konsole verfügbar gemacht.

Im Anschluss können Administratoren das Snap-In Active Directory-Schema in eine MMC über Datei/Snap-In hinzufügen integrieren. Mit einem Klick mit der rechten Maustaste auf das Menü Active Directory-Schema und der Auswahl von Betriebsmaster öffnet sich ein neues Fenster, in dem der Betriebsmaster angezeigt wird.

Administratoren können mit Hilfe dieses Fensters später den Betriebsmaster auch auf einen anderen Domänencontroller verschieben. Auch den Schemamaster können sich Administratoren in der Befehlszeile anzeigen lassen: dsquery server -hasfsmo schema ein.

Domänennamenmaster – Neue Domänen hinzufügen

Der Domänennamenmaster ist für die Erweiterung der Gesamtstruktur um neue Domänen oder Strukturen verantwortlich. In jeder Gesamtstruktur gibt es einen Domänennamenmaster. Diese Rolle wird automatisch dem ersten installierten Domänencontroller einer neuen Gesamtstruktur zugewiesen.

Immer wenn ein Server zum Domänencontroller hochgestuft wird und eine neue Domäne erstellt werden soll, wird eine Verbindung zum Domänennamenmaster aufgebaut. Steht der Master nicht zur Verfügung oder kann keine Verbindung aufgebaut werden, besteht auch nicht die Möglichkeit, eine neue Domäne zur Gesamtstruktur hinzuzufügen.

Der Domänennamenmaster hat im produktiven Betrieb einer Domäne oder der Gesamtstruktur keine Aufgabe. Er wird nur benötigt, wenn eine neue Domäne in der Gesamtstruktur erstellt werden soll. Um sich den Domänennamenmaster anzeigen zu lassen, benötigen Administratoren das Snap-In Active Directory-Domänen und -Vertrauensstellungen.

Klicken Administratoren mit der rechten Maustaste direkt auf das Snap-In und wählen im Kontextmenü den Eintrag Betriebsmaster aus öffnet sich ein neues Fenster, in dem der Domänennamenmaster dieser Gesamtstruktur angezeigt wird. Auch den Schemamaster können sich Administratoren in der Befehlszeile anzeigen lassen: dsquery server -hasfsmo name.

Verwaltung und Verteilung der Betriebsmaster

Die Stabilität und Performance der Betriebsmaster spielt für die Stabilität der Gesamtstruktur eine nicht unerhebliche Rolle. Aus diesem Grund sollten die Rollen auch möglichst optimal verteilt und verwaltet werden.

Standardmäßig besitzt der erste installierte Domänencontroller einer Gesamtstruktur alle fünf FSMO-Rollen seiner Domäne und der Gesamtstruktur. Jeder erste Domänencontroller weiterer Domänen verwaltet die drei Betriebsmasterrollen seiner Domäne (PDC-Emulator, RID-Master, Infrastrukturmaster). Vor allem in größeren Active Directorys empfiehlt Microsoft jedoch die Verteilung der Rollen auf verschiedene Domänencontroller. Zur optimalen Verteilung der FSMO-Rollen gibt es folgende Empfehlungen:

  • Der Infrastrukturmaster sollte nicht auf einem globalen Katalog liegen, da ansonsten Probleme bei der Auflösung von Gruppen, die Mitglieder aus verschiedenen Domänen haben, auftreten können.
  • Domänennamenmaster und Schemamaster sollten auf einem gemeinsamen Domänencontroller liegen, der auch globaler Katalog ist.
  • PDC-Emulator und RID-Master kommunizieren viel miteinander und sollten daher auf einem gemeinsamen Domänencontroller liegen, der auch globaler Katalog ist.

Um sich einen Überblick über alle Betriebsmaster einer Gesamtstruktur zu verschaffen, können Administratoren den Befehl netdom query fsmo in der Befehlszeile eingeben.

(ID:34717820)