Windows Server 2016 Grundkurs: Active Directory

FSMO-Rollen der Umgebung verwalten

LinkedIn Learning kostenlos und unverbindlich testen!

Jetzt testen Alle Abonnements anzeigen
Lassen Sie sich in diesem Video von Thomas Joos erklären, wie Sie die verschiedenen Betriebsmaster in Active Directory testen und verwalten sowie die Rollen auf unterschiedliche Domänencontroller verteilen.
15:34

Transkript

In diesem Video zeige ich Ihnen den Umgang, den Test und die Verwaltung der verschiedenen Betriebsmasterrollen in Active Directory. Die Domänenkontrollen in Active Directory umfassen verschiedene Aufgaben. Diese Aufgaben werden durch die Betriebsmasterrollen definiert, auch FSMO-Rollen genannt. Die FSMO-Rollen gibt es zum einen speziell für jede Domäne und speziell für jede Gesamtstruktur. Wenn Sie sich zum Beispiel in Active Directory-Benutzer und -Computer befinden, können Sie über das Kontextmenü sich die Betriebsmaster anzeigen lassen. Und hier sehen Sie zum einen den RID-Master, den PDC-Master und den Infrastruktur-Master. Der RID-Master ist dafür zuständig, neue Objekte in Active Directory zu erstellen. Objekte in Active Directory haben immer eine Security-ID, auch SID genannt. Die SID wird aus einer RID zusammengesetzt, also eine RID, die von der Active Directory-Umgebung stammt und eine Erweiterung durch den jeweiligen Domänencontroller das Objekt in die Umgebung aufnimmt. Ihr Domänencontroller verfügt also über einen Pool von RIDs. Diese RIDs müssen vom RID-Master zur Verfügung gestellt werden. Und wenn der RID-Master nicht mehr funktioniert, können keine neuen Objekte in Active Directory mehr angenommen werden, wenn der Pool des Servers aufgebraucht ist. Den aktuellen Betriebsmaster sehen Sie auf der Registerkarte RID. Der PDC-Master ist dafür zuständig, die Synchronisierung der Uhrzeit festzulegen, die Anpassung der Kennwörter und die Umsetzung der Gruppenrichtlinien sowie die Anmeldung. Wenn der PDC-Master nicht mehr funktioniert, gibt es also unvorhersehbare Aktionen der Arbeitsstationen, die von der fehlerhaften Anmeldung bis hin zur fehlerhaften Umsetzung von Gruppenrichtlinien gehen können. Der Infrastruktur-Master stellt wieder sicher, dass die Replikation der verschiedenen Objekte zwischen verschiedenen Domänen repliziert werden können, das heißt, wenn Sie Gruppenmitgliedschaften aus Objekten in verschiedenen Active Directory-Domänen haben, wird das durch den Infrastruktur-Master verwaltet. Diese Betriebsmaster stehen für jede Domäne zur Verfügung, das heißt, wenn Sie in einer Umgebung fünf Domänen haben, dann haben Sie jeweils in jeder Domäne einen RID-Master, einen PDC-Master und einen Infrastruktur-Master. Wollen Sie den Master verschieben, können Sie das relativ einfach durchführen. Sie müssen in diesem Fall in Active Directory-Benutzer und -Computer die Domäne mit der rechten Maustaste anklicken, dann den Domänencontroller ändern und wechseln jetzt zu dem Domänencontroller, auf den Sie die Rollen übertragen möchten. Die Umgebung baut sich jetzt neu auf. Und wenn Sie jetzt über das Kontextmenü die Betriebsmaster anzeigen lassen, sehen Sie zum einen, wer der aktuelle Betriebsmaster ist und Sie sehen, dass Sie jetzt den Betriebsmaster ändern können, da hier im unteren Feld der Domänencontroller angezeigt wird, mit dem Sie sich hier verbunden haben. Mit Ändern können Sie jetzt die Rolle eben entsprechend übertragen. Sie können sich die einzelnen Betriebsmasterrollen auch in der PowerShell anzeigen lassen. Dazu öffnen Sie die PowerShell auf dem Server und verwenden das Commandlet Get-ADDomain, können dann hier mit dem Pipe-Zeichen die Informationen auslesen, die Sie benötigen. Ich möchte hier mit Select jetzt auslesen, dass ich nur den Infrastructure-Master, den RID-Master und den PDC-Emulator meiner Domäne anzeigen möchte. Ich löse den Befehl aus, die Daten werden entsprechend ausgelesen und jetzt sehe ich hier eben die Informationen, die hier zur Verfügung stehen; kann mir die Informationen auch als formatierte Liste anzeigen lassen. Neben dem PDC-Master ist der RID-Master also besonders wichtig. Wenn der Infrastruktur-Master nicht funktioniert, wird das meistens dann bemerkt, wenn zum Beispiel Gruppenmitgliedschaften nicht funktionieren oder Berechtigungen für verschiedene Freigabe- oder Serverdienste. Den RID-Master können Sie auch gesondert mit Dcdiag testen. Dazu rufen Sie dcdiag auf und verwenden die Option verbose, also v und dann als Test den RID-Manager. Es werden jetzt entsprechende Informationen angezeigt und hier sehen Sie eben, dass der RID-Pool in der Domäne aktuell hier diesen Stand hat. Sie sehen, welcher Server der RID-Master in der Domäne ist. Sie sehen, dass die Verbindung zum RID-Master erfolgreich durchgeführt wurde, das heißt, der RID-Master funktioniert. Und Sie sehen jetzt hier eben Informationen zum Pool, das heißt, wenn neue Objekte in der Umgebung nicht aufgenommen werden können, überprüfen Sie zunächst, welcher Domänencontroller ist der RID-Master. Wenn der RID-Master identifiziert ist, testen Sie ihn mit Dcdiag und können so rechts schnell feststellen, ob das Aufnehmen von neuen Objekten in der Domäne theoretisch funktionieren kann, weil der RID-Master funktioniert. Sie können die Überprüfung auch mit dem Tool Dsquery vornehmen. Mit Dsquery können Sie zum Beispiel nach Servern suchen lassen und hier eben jetzt nach der Rolle hasfsmo rid. Und dann wird hier eben der entsprechende Domänencontroller angezeigt. Das funktioniert auch für den PDC-Master und auch für den Infrastructure-Master. Bei diesem Test wird aber keine Verbindung aufgebaut, sondern dieser Test überprüft lediglich in der Active Directory-Konfiguration, welcher Server denn hier hinterlegt ist. Wenn Sie also Probleme bezüglich der FSMO-Rollen erwarten, überprüfen Sie zunächst, welche Server hier vorhanden sind, überprüfen dann im Bereich der Active Directory-Benutzerkonsole, sind die Domänencontroller noch entsprechend verfügbar, kann der Server hier auch über die Eigenschaften aufgerufen werden, funktioniert also die Namensauflösung, funktioniert die Übertragung von Informationen, wie zum Beispiel auch das installierte Betriebssystem, dann können Sie schon recht sicher sein, dass das funktioniert. Möchten Sie eine Übertragung durchführen, rufen Sie eben hier Betriebsmasterfunktion auf und können dann schnell und einfach hiermit ändern, die Übertragung durchführen -- Sie sehen das auch hier. Wenn Sie danach -- ich lösche dazu jetzt den Bildschirm -- den RID-Master testen oder durchführen wollen, wird das überprüft. Sie können auch hier wieder mit Dsquery sicherstellen, welcher Server der RID-Master ist. Sie sehen, das wurde jetzt hier geändert auf den JOOSDC2. Der vierte Betriebsmaster, den es in der Umgebung gibt, ist der Schemamaster. Der Schemamaster wird allerdings nur dann benötigt, wenn Sie eine Schemaerweiterung durchführen. Wenn der Schemamaster nicht korrekt funktioniert, erhalten Sie eine Fehlermeldung, zum Beispiel, wenn Sie Exchange installieren oder andere Serverdienste, welche das Schema in Active Directory erweitern müssen. Den Schemamaster gibt es in jeder Gesamtstruktur nur einmal. Um sich den Schemamaster anzuzeigen, können Sie entweder wieder dsquery verwenden und die Option schema. Sie können sich den Schemamaster aber auch in der Schemaverwaltungskonsole anzeigen lassen. Diese müssen Sie aber zuvor im System registrieren, denn aus Sicherheitsgründen blendet Windows Server 2016 diese aus. Dazu verwenden Sie zum Beispiel die Ausführen-Schaltfläche im Startmenü, registrieren mit regsvr32 die Datei schmmgmt.dll. Sobald das durchgeführt wurde, können Sie jetzt zum Beispiel mit mmc eine neue Konsole öffnen, können als Snap-in hinzufügen, das Active Directory-Schema auswählen -- dieses Schema ist vorher nicht verfügbar -- und wenn Sie jetzt hier auf Schema klicken, findet bereits eine Verbindung zum Schemamaster statt. Sie sehen, das ist hier joosdc1. Über das Kontextmenü können Sie sich den Betriebsmaster anzeigen lassen. Und auch hier können Sie eine Änderung durchführen. In diesem Fall müssen Sie eine Verbindung zu einem anderen Domänencontroller herstellen, verwenden hier wieder den Domänencontroller joosdc2. Sie sehen, wir sind jetzt hier mit diesem Domänencontroller verbunden. Und jetzt könnten Sie den Betriebsmaster eben wieder übertragen. Der letzte Betriebsmaster, der eine wichtige Rolle spielt, ist der DNS-Master. Der DNS-Master dient aber nicht der Namensauflösung, sondern dient der Verwaltung Ihrer verschiedenen Domänen in Active Directory. Funktioniert der DNS-Master nicht, können Sie keine neuen Domänen, also keine neuen Strukturdomänen und keine neuen, untergeordneten Domänen, in Ihrer Umgebung installieren. Sie finden den Master über Active Directory-Domänen und -Vertrauensstellungen. Wenn Sie hier Ihre Struktur entsprechend öffnen, also über das Kontextmenü, können Sie hier über Betriebsmaster auch den Domänennamenmaster anzeigen lassen. Auch hier können Sie den Domänennamenmaster eben entsprechend im Netzwerk verteilen. Sie haben also im Netzwerk fünf Betriebsmaster, die eine wichtige Rolle spielen für den Betrieb Ihrer Umgebung. Den Domain Naming Master können Sie ebenfalls in der Befehlszeile anzeigen mit dsquery. Auch hier verwenden Sie wieder die Option server und die Option hasfsmo und verwenden als Option name. Dann wird Ihnen der DNS-Name angezeigt. Eine weitere wichtige Rolle in Active Directory sind die globalen Kataloge. In den globalen Katalogen sind alle Informationen und alle Gruppenmitgliedschaften sowie alle Daten von Active Directory aller Domänen gespeichert. Das heißt Domänencontroller, welche die globale Katalogrolle einnehmen, benötigen wesentlich mehr Bandbreite bezüglich der Replikation, da einfach mehr Objekte auf diese Domänencontroller repliziert werden. Welche Domänencontroller globale Kataloge sind, legen Sie über Active Directory-Standorte und -Dienste fest. Wenn Sie die Konsole aufrufen, sehen Sie zum einen alle Ihre Standorte im Netzwerk und Sie sehen auch die einzelnen Domänencontroller sowie die Replikationsverbindungen. Wenn Sie sich für einen Domänencontroller die NTDS-Settings aufrufen, sehen Sie hier die Option Globaler Katalog und erkennen dadurch, ob es sich bei diesem Server um einen globalen Katalog handelt. Sie sollten an jedem Standort von Active Directory mindestens einen globalen Katalog betreiben, besser zwei, einfach weil dadurch sichergestellt ist, dass die Namensauflösung funktioniert, dass die Anmeldung funktioniert, dass die Auflösung von Gruppenmitgliedschaften funktioniert und dass dadurch eben sichergestellt ist, dass eben die Umgebung optimal funktioniert. Achten Sie aber darauf, dass vor allem bei der Erstinstallation eines neuen Domänencontrollers der globale Katalog eine sehr große Menge an Daten übertragen wird. Das gilt vor allem dann, wenn Sie in der Umgebung mit vielen untergeordneten Domänen arbeiten, das heißt, Sie sollten nicht unbedingt jeden Domänencontroller zu einem globalen Katalog machen. Insgesamt stehen Ihnen also in Active Directory fünf verschiedene Rollen für Domänencontroller zur Verfügung. Zum einen gibt es den PDC-, den RID- und den Infrastruktur-Master, jeweils in jeder Domäne, zum einen gibt es den DNS-Master und den Schemamaster in jeder Gesamtstruktur und zum anderen haben Sie noch den globalen Katalog, den generell jeder Domänencontroller einnehmen kann. Microsoft empfiehlt, dass der Infrastruktur-Master möglichst nicht auf einem globalen Katalog gespeichert wird, da es dadurch zu Problemen bei der Auflösung von Gruppen kommen kann, die Mitglieder aus verschiedenen Domänen enthalten. Der Domänennamenmaster und der Schemamaster sollten idealerweise auf einem gemeinsamen Domänencontroller liegen. Dieser Domänencontroller sollte wiederum auch globaler Katalog sein. Generell ist der erste installierte Domänencontroller einer Umgebung auch der Schema-Master und der Domänennamenmaster. Da PDC-Emulator und RID-Master viel miteinander kommunizieren, sollten diese auch auf einem gemeinsamen Server liegen. Generell können Sie sich alle FSMO-Rollen auch in der Befehlszeile anzeigen lassen, indem Sie den Befehl Netdom verwenden. Ich rufe dazu die Befehlszeile auf und mit netdom query fsmo können Sie sich alle FSMO-Rollen Ihrer Umgebung anzeigen lassen und sehen auch, auf welchen Domänencontrollern aktuell die Rollen entsprechend positioniert sind. Die Betriebsmasterrollen können Sie also in der entsprechenden grafischen Oberfläche übertragen, also zum einen im Snap-in Active Directory-Benutzer und -Computer, im Snap-in Active Directory-Schema und im Snap-in Active Directory-Standorte und -Dienste. Sie können aber auch das Commandlet Move-ADDirectoryServerOperationMasterRole verwenden und mit get-help lassen Sie sich eben die Hilfe dazu anzeigen. Dazu müssen Sie allerdings vorher in die PowerShell wechseln und erhalten dann Informationen zum Übertragen der verschiedenen Rollen. Sie können das also in der grafischen Oberfläche machen oder in der PowerShell. Ich fasse noch einmal zusammen: Die Betriebsmaster spielen in Active Directory eine wichtige Rolle. Sie sollten überprüfen, ob die einzelnen Betriebsmaster funktionieren, zum einem mit Dcdiag, zum anderen in den Tools der grafischen Oberfläche und Sie sollten die Betriebsmaster möglichst ideal im Netzwerk verteilen.

Windows Server 2016 Grundkurs: Active Directory

Lernen Sie die Arbeit mit dem Active Directory in Windows Server 2016 kennen.

2 Std. 6 min (15 Videos)
Derzeit sind keine Feedbacks vorhanden...
Hersteller:
Exklusiv für Abo-Kunden
Erscheinungsdatum:21.08.2017

Dieser Online-Kurs ist als Download und als Streaming-Video verfügbar. Die gute Nachricht: Sie müssen sich nicht entscheiden - sobald Sie das Training erwerben, erhalten Sie Zugang zu beiden Optionen!

Der Download ermöglicht Ihnen die Offline-Nutzung des Trainings und bietet die Vorteile einer benutzerfreundlichen Abspielumgebung. Wenn Sie an verschiedenen Computern arbeiten, oder nicht den ganzen Kurs auf einmal herunterladen möchten, loggen Sie sich auf dieser Seite ein, um alle Videos des Trainings als Streaming-Video anzusehen.

Wir hoffen, dass Sie viel Freude und Erfolg mit diesem Video-Training haben werden. Falls Sie irgendwelche Fragen haben, zögern Sie nicht uns zu kontaktieren!