Übertragen oder Ergreifen von Operation Master-Rollen in Active Directory-Domäne Services

In diesem Artikel wird beschrieben, wann und wie Sie Operation Master-Rollen übertragen oder ergreifen, früher als Flexible Single Master Operations (FSMO)-Rollen bezeichnet.

Ursprüngliche KB-Nummer: 255504

Weitere Informationen

Innerhalb einer Active Directory Domain Services (AD DS)-Gesamtstruktur gibt es bestimmte Aufgaben, die nur von einem Domänencontroller (DC) ausgeführt werden dürfen. Die DCs, die diesen eindeutigen Vorgängen zugewiesen sind, werden als "Operation Master"-Rollenhalter bezeichnet. In der folgenden Tabelle sind die Vorgangsmasterrollen und deren Platzierung in Active Directory aufgeführt.

Rolle	`Scope`	Namenskontext (Active Directory-Partition)
Schemamaster	Gesamtstrukturweit	CN=Schema,CN=konfiguration,DC=<Gesamtstrukturstammdomäne>
Domänennamenmaster	Gesamtstrukturweit	CN=konfiguration,DC=<Gesamtstrukturstammdomäne>
PDC-Emulator	Domänenweit	DC=<Domain>
RID-Master	Domänenweit	DC=<Domain>
Infrastrukturmaster	Domänenweit	DC=<Domain>

Weitere Informationen zu den Besitzern der Rolle "Operation Master" und Empfehlungen zum Platzieren der Rollen finden Sie unter FSMO-Platzierung und Optimierung auf Active Directory-Domänencontrollern.

Notiz

Active Directory-Anwendungspartitionen, die DNS-Anwendungspartitionen enthalten, weisen Verknüpfungen der Operation Master-Rolle auf. Wenn eine DNS-Anwendungspartition einen Besitzer für die Infrastrukturmasterrolle (IM) definiert, können Sie diese Anwendungspartition nicht mit Ntdsutil, DCPromo oder anderen Tools entfernen. Weitere Informationen finden Sie unter DCPROMO-Herabstufung schlägt fehl, wenn der DNS-Infrastrukturmaster nicht kontaktiert werden kann.

Wenn ein DC, der als Rollenhalter fungiert, gestartet wird (z. B. nach einem Fehler oder einem Herunterfahren), wird er nicht sofort als Rolleninhaber weitergeführt. Der DC wartet, bis er die eingehende Replikation für seinen Namenskontext empfängt (z. B. wartet der Schemamaster-Rolleninhaber auf eine eingehende Replikation der Schema-Partition).

Die Informationen, die von den DCs als Teil der Active Directory-Replikation übergeben werden, umfassen die Identitäten der aktuellen Rolleninhaber des Vorgangsmasters. Wenn der neu gestartete DC die eingehenden Replikationsinformationen empfängt, überprüft er, ob es sich noch um den Rolleninhaber handelt. Wenn dies der Fall ist, nimmt er die üblichen Vorgänge wieder auf. Wenn die replizierten Informationen angeben, dass ein anderer DC als Rolleninhaber fungiert, gibt der neu gestartete DC seinen Rollenbesitz ab. Dieses Verhalten reduziert die Wahrscheinlichung, dass die Domäne oder Gesamtstruktur doppelte Besitzer der Operation Master-Rolle hat.

Wichtig

AD FS-Vorgänge schlagen fehl, wenn sie einen Rolleninhaber benötigen und wenn der neu gestartete Rolleninhaber tatsächlich der Rolleninhaber ist und er keine eingehende Replikation erhält.
Das resultierende Verhalten ähnelt dem, was passieren würde, wenn der Rolleninhaber offline wäre.

Festlegen, wann Rollen übertragen oder übernommen werden sollen

Unter typischen Bedingungen müssen alle fünf Funktionen aktiven Domänencontrollern in der Gesamtstruktur zugewiesen werden. Wenn Sie eine Active Directory-Gesamtstruktur erstellen, weist der Active Directory-Installations-Assistent (Dcpromo.exe) allen fünf Vorgangsmasterrollen den ersten DC zu, den er in der Stammdomäne der Gesamtstruktur erstellt. Wenn Sie eine untergeordnete Oder Strukturdomäne erstellen, weist der Erstellungsmechanismus die drei domänenweiten Rollen dem ersten DC in der Domäne zu.

DCs verfügen weiterhin über eigene Vorgangsmasterrollen, bis sie mit einer der folgenden Methoden neu zugewiesen werden:

• Ein Administrator weist die Funktion mit einem GUI-Verwaltungsprogramm neu zu.
• Ein Administrator ordnet die Rolle mit dem Befehl ntdsutil /roles neu zu.
• Ein Administrator stuft einen rollenhaltenden DC mit Hilfe des Active Directory-Installationsassistenten zurück. Dieser Assistent weist alle lokal gehaltenen Rollen einem vorhandenen DC in der Gesamtstruktur neu zu.
• Ein Administrator herabgestuft einen rollenbasierten DC mithilfe des Befehls oder dcpromo /forceremoval befehlsUninstall-ADDSDomainController -ForceRemoval.
• Der DC wird heruntergefahren und neu gestartet. Wenn der DC neu gestartet wird, empfängt er eingehende Replikationsinformationen, die angeben, dass ein anderer DC der Rolleninhaber ist. In diesem Fall gibt der neu gestartete DC die Rolle ab (wie zuvor beschrieben).

Wenn ein Inhaber einer Operation Master-Rolle einen Fehler erlebt oder anderweitig aus dem Dienst entfernt wird, bevor seine Rollen übertragen werden, müssen Sie alle Rollen auf einen geeigneten und fehlerfreien DC übernehmen und übertragen.

Es wird empfohlen, die Rollen des Vorgangsmasters in den folgenden Szenarien zu übertragen:

• Der aktuelle Rolleninhaber ist betriebsbereit und kann über den neuen Besitzer des Vorgangsmasters im Netzwerk aufgerufen werden.
• Sie führen eine ordnungsgemäße Herabstuft einen DC durch, der derzeit die Rollen "Operation Master" besitzt, die Sie einem bestimmten DC in Ihrer Active Directory-Gesamtstruktur zuweisen möchten.
• Der DC, der derzeit die Rollen "Operation Master" besitzt, wird für die geplante Wartung offline geschaltet, und Sie müssen live-DCs spezifische Rollen für den Vorgangsmaster zuweisen. Möglicherweise müssen Sie Rollen übertragen, um Vorgänge auszuführen, die sich auf den Besitzer des Vorgangsmasters auswirken. Dies gilt insbesondere für die PDC-Emulator-Rolle. Für die RID-Master-Rolle, die Domänennamen-Masterrolle und die Schema-Master-Rollen ist dies ein weniger wichtiges Problem.

Es wird empfohlen, die Rollen des Vorgangsmasters in den folgenden Szenarien zu übernehmen:

• Der aktuelle Rolleninhaber hat einen Betriebsfehler, der verhindert, dass ein vorgangsabhängiger Vorgang erfolgreich abgeschlossen wird, und Sie können die Rolle nicht übertragen.

• Sie verwenden den Befehl oder dcpromo /forceremoval den Uninstall-ADDSDomainController -ForceRemoval Befehl, um einen DC zu erzwingen, der eine Operation Master-Rolle besitzt.

  Wichtig

  Der Befehl kann vorgangsmaster-Rollen force-demote in einem ungültigen Zustand belassen, bis sie von einem Administrator neu zugewiesen wurden.

• Das Betriebssystem auf dem Computer, welcher der ursprüngliche Inhaber einer bestimmten Funktion war, existiert nicht mehr oder wurde neu installiert.

Notiz

• Es wird empfohlen, dass Sie nur alle Rollen ergreifen, wenn der vorherige Rolleninhaber nicht zur Domäne zurückkehrt.
• Wenn Vorgangsmasterrollen in Gesamtstrukturwiederherstellungsszenarien genutzt werden müssen, lesen Sie Schritt 5 unter "Erste Wiederherstellung ausführen" unter " Wiederherstellen des ersten schreibbaren Domänencontrollers in den einzelnen Domänenabschnitten ".
• Nach einer Rollenübertragung oder -beschlagnahme handelt der neue Rolleninhaber nicht sofort. Stattdessen verhält sich der neue Rolleninhaber wie ein neu gestarteter Rolleninhaber und wartet darauf, dass die Kopie des Namenskontexts für die Rolle (z. B. die Domänenpartition) einen erfolgreichen eingehenden Replikationszyklus abschließt. Diese Replikationsanforderung stellt sicher, dass der neue Rolleninhaber so aktuell wie möglich ist, bevor er aktiv wird. Außerdem wird dadurch das Zeitfenster für Fehler begrenzt. Dieses Fenster umfasst nur Änderungen, die der vorherige Rolleninhaber nicht an die anderen DC repliziert hat, bevor er offline ging. Eine Liste des Namenskontexts für jede Rolle des Vorgangsmasters finden Sie in der Tabelle im Abschnitt "Weitere Informationen ".

Identifizieren eines neuen Rolleninhabers

Der beste Kandidat für den neuen Rolleninhaber ist ein DC, der die folgenden Kriterien erfüllt:

• Er befindet sich in derselben Domäne wie der vorherige Rolleninhaber.
• Er verfügt über die letzte replizierte und beschreibbare Kopie der Rollenpartition.

Nehmen Sie zum Beispiel an, dass Sie die Schemamasterrolle übertragen müssen. Die Schemamasterrolle ist Teil der Schemapartition der Gesamtstruktur (CN=Schema,CN=Konfiguration,DC=<Gesamtstrukturstammdomäne>). Der beste Kandidat für einen neuen Rolleninhaber ist ein DC, der sich auch in der Stammdomäne der Gesamtstruktur und am selben Active Directory-Standort wie der aktuelle Rolleninhaber befindet.

Achtung

Die Infrastrukturmasterrolle wird nicht mehr benötigt, wenn die folgenden Bedingungen erfüllt sind:

• Alle Domänencontroller in der Domäne sind globale Kataloge (GCs). In diesem Fall erhalten die GCs Updates, die domänenübergreifende Verweise entfernen.
• Der AD-Papierkorb ist in der Gesamtstruktur aktiviert. In diesem Fall ist jeder DC für die Aktualisierung seiner Verweise verantwortlich.

Es wird empfohlen, weiterhin einen ordnungsgemäßen Besitzer des Infrastrukturmasters zu definieren, um Fehler und Warnungen von Überwachungstools zu vermeiden.

Wenn Sie weiterhin die Infrastrukturmasterrolle benötigen:
Platzieren Sie die Infrastrukturmasterrolle nicht auf demselben DC wie der globale Katalogserver. Wenn der Infrastrukturmaster auf einem globalen Katalogserver ausgeführt wird, wird die Aktualisierung von Objektinformationen beendet, da er keine Verweise auf Objekte enthält, die er nicht enthält. Das liegt daran, dass der globale Katalogserver eine partielle Kopie von jedem Objekt der Gesamtstruktur gespeichert hat.

Die Infrastrukturmasterrolle wird nicht mehr verwendet, nachdem Sie den Active Directory-Papierkorb aktiviert haben. Der AD-Papierkorb ändert den Ansatz zum Behandeln von Objektverweisen, die entfernt werden.

Führen Sie die folgenden Schritte aus, um zu testen, ob ein DC auch ein globaler Katalogserver ist:

Verwenden von Active Directory-Standorten und -Diensten:

1. Wählen Sie Start>Programme>Verwaltung>Active Directory-Standorte und -Dienste.
2. Doppelklicken Sie im Navigationsbereich auf Standorte und suchen Sie dann den entsprechenden Standort oder wählen Sie Standardname-des-ersten-Standorts, wenn keine anderen Standorte verfügbar sind.
3. Öffnen Sie den Ordner "Server ", und wählen Sie dann "DC" aus.
4. Doppelklicken Sie im Ordner des Domänencontrollers auf NTDS-Einstellungen.
5. Wählen Sie im Menü Aktion die Option Eigenschaften.
6. Zeigen Sie auf der Registerkarte "Allgemein " das Kontrollkästchen "Globaler Katalog " an, um festzustellen, ob es aktiviert ist.

Verwenden von Windows PowerShell:

1. Starten Sie PowerShell.

2. Geben Sie das folgende Cmdlet ein, und passen Sie DC_NAME den tatsächlichen DC-Namen an:

   (Get-ADDomainController -Filter { Name -Eq 'DC_NAME' }).IsGlobalCatalog
   

3. Die Ausgabe ist True oder False.

Weitere Informationen finden Sie unter:

• Wiederherstellung der AD-Gesamtstruktur – Übernahme der Betriebsmasterfunktion
• Planen der Platzierung der Rolle „Betriebsmaster“

Übernehmen oder Übertragen von Vorgangsmasterrollen

Sie können Windows PowerShell oder Ntdsutil verwenden, um Rollen zu ergreifen oder zu übertragen. Informationen und Beispiele für die Verwendung von PowerShell für diese Aufgaben finden Sie unter Move-ADDirectoryServerOperationMasterRole.

Wichtig

Um das Risiko doppelter SIDs in der Domäne zu vermeiden, erhöht Rid Master die nächste verfügbare RID im Pool, wenn Sie die RID-Masterrolle übernehmen. Dieses Verhalten kann dazu führen, dass ihre Gesamtstruktur verfügbare Bereiche von RID-Werten erheblich verbraucht (auch als RID-Verbrennung bezeichnet). Ergreifen Sie also den Rid Master nur, wenn Sie sicher sind, dass der aktuelle Rid Master nicht wieder in den Dienst gebracht werden kann.

Wenn Sie die RID-Masterrolle übernehmen müssen, berücksichtigen Sie die folgenden Details:

• Das Cmdlet Move-ADDirectoryServerOperationMasterRole erhöht den nächsten Rid-Pool um 30.000 von dem, was es in Active Directory findet.
• Wenn Sie das hilfsprogramm Ntdsutil.exe mit den roles Kategoriebefehlen verwenden, erhöht es den nächsten Rid-Pool um 10.000.

Führen Sie die folgenden Schritte aus, um die Rollen des Vorgangsmasters mithilfe des Dienstprogramms Ntdsutil zu übernehmen oder zu übertragen:

1. Melden Sie sich bei einem Mitgliedscomputer an, auf dem die AD RSAT-Tools installiert sind, oder bei einem DC, der sich in der Gesamtstruktur befindet, auf dem Die Rollen des Vorgangsmaster übertragen werden.

   Notiz

   • Es wird empfohlen, sich bei dem DC anzumelden, dem Sie Vorgangsmasterrollen zuweisen.
   • Der angemeldete Benutzer sollte Mitglied der Gruppe "Unternehmensadministratoren" sein, um Schemamaster- oder Domänenbenennungsmasterrollen zu übertragen, oder ein Mitglied der Gruppe "Domänenadministratoren" der Domäne, in der der PDC-Emulator, der RID-Master- und die Infrastrukturmasterrollen übertragen werden.

2. Wählen Sie Start>Ausführen, geben Sie ntdsutil in das Feld Öffnen ein, und wählen Sie dann OK.

3. Geben Sie roles ein, und drücken Sie die Eingabetaste.

   Notiz

   Um eine Liste der verfügbaren Befehle in einer beliebigen Eingabeaufforderung im Ntdsutil-Hilfsprogramm anzuzeigen, geben Sie ? ein, und drücken Sie die Eingabetaste.

4. Geben Sie connections ein, und drücken Sie dann die Eingabetaste.

5. Geben Sie eine Verbindung mit dem Serverservernamen <>ein, und drücken Sie dann die EINGABETASTE.

   Notiz

   In diesem Befehl <ist der Servername> der Name des DC, dem Sie die Rolle "Operation Master" zuweisen möchten.

6. Geben Sie an der Eingabeaufforderung server connections q ein, und drücken Sie dann die Eingabetaste.

7. Führen Sie eine der folgenden Aktionen aus:

   • Um die Rolle zu übertragen: Geben Sie die Übertragungsrolle <>ein, und drücken Sie dann die EINGABETASTE.

     Notiz

     In diesem Befehl <ist die Rolle> die Rolle, die Sie übertragen möchten.

   • Um die Rolle zu übernehmen: Geben Sie die Rolle> ein<, und drücken Sie dann die EINGABETASTE.

     Notiz

     In diesem Befehl <ist die Rolle> die Rolle, die Sie ergreifen möchten.

   Geben Sie beispielsweise seize rid master ein, um die RID-Master-Funktion zu übernehmen. Ausnahmen sind die PDC-Emulatorrolle, deren Syntax seize pdc lautet, und der Domänennamenmaster, dessen Syntax seize naming master lautet.

   Wenn Sie eine Liste der Rollen anzeigen möchten, die Sie übertragen oder übernehmen können, geben Sie an der Fsmo-Wartungsaufforderung die EINGABETASTE ein, oder sehen Sie sich die Liste der Rollen am Anfang dieses Artikels an.

8. Geben Sie an der fsmo maintenance-Eingabeaufforderung q ein, und drücken Sie die Eingabetaste, um die ntdsutil-Eingabeaufforderung aufzurufen. Geben Sie q ein, und drücken Sie die Eingabetaste, um das Hilfsprogramm „Ntdsutil“ zu beenden.

Überlegungen beim Reparieren oder Entfernen vorheriger Rolleninhaber

Wenn dies möglich ist und Sie die Rollen übertragen können, anstatt sie zu übernehmen, korrigieren Sie den vorherigen Rolleninhaber. Wenn Sie den vorherigen Rolleninhaber nicht beheben können oder wenn Sie die Rollen genutzt haben, entfernen Sie den vorherigen Rolleninhaber aus der Domäne.

Wichtig

Wenn Sie planen, den reparierten Computer als DC zu verwenden, empfehlen wir, den Computer von Grund auf als DC neu zu installieren, anstatt den DC von einer Sicherung wiederherzustellen. Der Wiederherstellungsprozess baut den DC wieder als Rolleninhaber auf.

• So geben Sie den reparierten Computer als DC in die Gesamtstruktur zurück:

  1. Führen Sie eine der folgenden Aktionen aus:

     • Formatieren Sie die Festplatte des ehemaligen Rolleninhabers, und installieren Sie dann auf dem Computer Windows neu.
     • Stufen Sie den ehemaligen Rolleninhaber zwangsweise zu einem Mitgliedsserver herab.

  2. Verwenden Sie auf einem anderen DC in der Gesamtstruktur Ntdsutil, um die Metadaten des ehemaligen Rolleninhaber zu entfernen. Weitere Informationen finden Sie unter Bereinigen von Servermetadaten mithilfe von Ntdsutil.

  3. Nachdem Sie die Metadaten bereinigt haben, können Sie den Computer erneut zu einem DC heraufstufen und ihm eine Rolle zurückübertragen.

• So entfernen Sie den Computer nach dem Aufheben der Rollen aus der Gesamtstruktur:

  1. Entfernen Sie den Computer aus der Domäne.
  2. Verwenden Sie auf einem anderen DC in der Gesamtstruktur Ntdsutil, um die Metadaten des ehemaligen Rolleninhaber zu entfernen. Weitere Informationen finden Sie unter Bereinigen von Servermetadaten mithilfe von Ntdsutil.

Überlegungen bei der Wiedereingliederung von Replikationsinseln

Wenn ein Teil einer Domäne oder Gesamtstruktur nicht länger mit der restlichen Domäne oder Gesamtstruktur kommunizieren kann, werden die isolierten Abschnitte der Domäne oder Der Gesamtstruktur als Replikationsinseln bezeichnet. DCs auf einer Insel können nicht mit den DCs auf anderen Inseln repliziert werden. Bei mehreren Replikationszyklen fallen die Replikationsinseln aus der Synchronisierung heraus. Wenn jede Insel über eine eigene Operation Master-Rollenhalter verfügt, haben Sie möglicherweise Probleme, wenn Sie die Kommunikation zwischen den Inseln wiederherstellen.

Wichtig

In den meisten Fällen können Sie den Vorteil der anfänglichen Replikationsanforderung (wie in diesem Artikel beschrieben) nutzen, um doppelte Rolleninhaber auszusortieren. Ein neu gestarteter Rolleninhaber sollte die Rolle aufgeben, wenn er einen doppelten Rolleninhaber entdeckt.
Es kann vorkommen, dass sich dieses Verhalten nicht beheben lässt. In solchen Fällen können die Informationen in diesem Abschnitt hilfreich sein.

In der folgenden Tabelle sind die Vorgangsmasterrollen aufgeführt, die Probleme verursachen können, wenn eine Gesamtstruktur oder Domäne über mehrere Rollenhalter für diese Rolle verfügt:

Role	Mögliche Konflikte zwischen mehreren Rolleninhabern?
Schemamaster	Ja
Domänennamenmaster	Ja
RID-Master	Ja
PDC-Emulator	No
Infrastrukturmaster	No

Dieses Problem wirkt sich nicht auf den PDC-Emulatormaster oder den Infrastrukturmaster aus. Diese Rolleninhaber speichern keine Betriebsdaten. Darüber hinaus ändert sich der Infrastrukturmaster nicht häufig. Wenn also mehrere Inseln diese Rolleninhaber aufweisen, können Sie die Inseln erneut integrieren, ohne dass dies langfristige Probleme verursacht.

Der Schemamaster, der Domänennamenmaster und der RID-Master können Objekte erstellen und Änderungen in Active Directory speichern. Jede Insel, die über einen dieser Rolleninhaber verfügt, kann bis zum Zeitpunkt der Wiederherstellung der Replikation über doppelte und in Konflikt stehende Schemaobjekte, Domänen oder RID-Pools verfügen. Bestimmen Sie, bevor Sie Inseln erneut integrieren, welche Rolleninhaber beibehalten werden sollen. Entfernen Sie alle doppelten Schemamaster, Domänennamenmaster und RID-Master, indem Sie die in diesem Artikel erwähnten Reparatur-, Entfernungs- und Bereinigungsverfahren befolgen.

References

Weitere Informationen finden Sie unter:

• Active Directory-FSMO-Rollen in Windows
• FSMO-Platzierung und -Optimierung auf Active Directory-Domänencontrollern
• Übertragung und Übernahme von FSMO
• Anleitung: Verwenden von Ntdsutil zum Auffinden und Bereinigen doppelter Sicherheitskennungen in Windows Server
• Phantome, Grabsteine und der Infrastrukturmeister
• Problembehandlung bei DNS-Ereignis mit ID 4013: Der DNS-Server konnte integrierte AD-DNS-Zonen nicht laden
• DCPROMO-Herabstufung schlägt fehl, wenn der DNS-Infrastrukturmaster nicht kontaktiert werden kann
• FSMO-Rollen
• Durchführen der ersten Wiederherstellung
• Wiederherstellung der AD-Gesamtstruktur – Übernahme der Betriebsmasterfunktion
• So bereinigen Sie Servermetadaten mithilfe von Ntdsutil
• Planen der Platzierung der Rolle „Betriebsmaster“
• Move-ADDirectoryServerOperationMasterRole