Windows Server 2012 Grundkurs

FSMO-Rollen verstehen

LinkedIn Learning kostenlos und unverbindlich testen!

Jetzt testen Alle Abonnements anzeigen
Fehlerbehebung und Optimierung der Betriebsmaster in AD, das sind die Inhalte in diesem Video. Ein Film mit Praxisbeispielen, umfangreich und wichtig!
10:59

Transkript

Wenn Ihnen Active Directory mehrere Domänencontroller im Einsatz sind. Sie sehen das, wenn Sie im Snap in Active Directory- Benutzer und -Computer auf "Domain Controllers" klicken, ist es wichtig, dass Sie die Betriebsmaster holen, die Domänencontroller eingehen können, optimal verteilen. Es gibt innerhalb von Gesamtstrukturen und Domänen fünf Arten von Betriebsmastern. Die meisten, nämlich die in der Domäne, sehen Sie in Active Directory-Benutzer und -Computer, wenn Sie über das Kontext-Menü der Domäne Betriebsmaster auswählen. Hier sehen Sie zum einen den RID-Master, den PDC-Master und den Infrastruktur-Master und auch, welche Domänenconrtoller diese Rolle einnehmen. Der RID-Master ist dafür zuständig, Variablen an die Domänencontroller zu verteilen, mit denen die Domänencontroller neue Objekte erstellen. Jedes Objekt, das Sie in Active Directory erstellen, also jeder Benutzer und jeder Computer, erhält eine sogenannte SID, eine Security-ID. Hierbei handelt es sich um eine eindeutige ID in der Gesamtstruktur. Diese Security-ID setzt sich aus einer RID zusammen als aus einer Relative-ID und eine Domänencontroller spezifische Nummer. Jeder Domänencontroller hat eine bestimmte Anzahl an RIDs, an denen er Benutzerobjekte anlegen kann. Wenn diese RIDs ausgehen, weil der RID-Master keine neue mehr ausstellen kann, können Sie auch keine neuen Objekte in der Domäne erstellen. Eine der wichtigsten Emulatoren ist der PDC-Betriebsmaster. Dieser stellt zum einen den Anmeldeserver zur Verfügung, zum anderen ist er für die Zeitsynchronisation im Netzwerk zuständig. Er verteilt die Gruppenrichtlinien im Netzwerk und er sorgt dafür, dass die Gruppenrichtlinien verwaltet werden können. Wenn dieser Betriebsmaster nicht mehr funktioniert, können die Benutzer nicht ordnungsgemäß arbeiten. Der Infrastruktur-Master ist dafür zuständig, wenn Sie verschiedene Benutzergruppen angelegt haben, die Benutzer aus verschiedenen Domänen enthalten, diese aufzulösen. Das heißt, wenn Sie in einer Freigabe im Netzwerk so absichern, dass verschiedene Benutzergruppen Zugriff haben und in diesen Benutzergruppen verschiedene Benutzer aus unterschiedlichen Domänen Mitglied sind, muss der Infrastruktur-Master dafür sorgen, dass die Auflösung funktioniert. Sie können diese Betriebsmaster auch auf andere Domänencontroller verteilen. Wie Sie dabei vorgehen, zeige ich Ihnen ebenfalls in diesem Video. In jeder Gesamtsturkur gibt es außerdem noch einen Domänennamenmaster. Dieser findet sich, wenn Sie die Consolle Active Directory-Domänen und -Vertrauenstellungen aufrufen über das Kontext Menü von Active Directory-Domänen und -Vertrauenstellungen wenn Sie Betriebsmaster auswählen. Der Domänenname-Betriebsmaster ist dafür zuständig, neue Domänen in einer Gesamtstruktur zu verwalten, das heißt, wenn Sie innerhalb der Gesamtstruktur "contoso.int" weitere Domänen, zum Beispiel "DN contoso.int" aufnehmen wollen, muss der Domänennamenmaster verfügbar sein, ansonsten funktioniert das Aufnehmen der Domäne nicht. Dann gibt es noch den Schema-Master. Der Schema-Master ist ebenfalls eindeutig in der Gesamtstruktur und erhält die Aufgabe, Schema-Änderung durchzuführen, das heißt, wenn Sie Serverdienste wie Xchange instalieren, wird das Schema erweitert, und das muss auf einem Schema-Master stattfinden. Wenn der entsprechende Server, auf dem Sie zum Beispiel Xchange installieren, den Schema-Master nicht erreichen kann, erhalten Sie eine Fehlermeldung. Damit Sie den Schemamaster verwalten können, müssen Sie erst eine Consolle registrieren. Ohne diese Registrierung ist die Consolle nicht verfügbar. Dazu öffnen Sie auf dem Server am besten eine Befehlszeile über die Startseiten, dem Sie "cmd" eingeben und diesen Befehl eingeben. Sie registrieren damit mit dem Befehl "regsvr32" dieses Snap in hier, das Schema Snap in. Wenn das erfolgreich durchgeführt wurde, können Sie auf den Schema-Master zugreifen. Dazu starten Sie am schnellsten über die Startseite eine Management-Consolle über "mmc.exe", fügen das Snap in Active Directory Schema hinzu und finden auch hier, wie in den anderen Verwaltungsfunktionen über das Kontext-Menü den Betriebsmaster. Sie sehen auch hier handelt es sich um den entsprechenden Domänencontroller. Sie können jetzt diese Schema-Master, wenn der ensprechende aktuelle Schema-Master online ist, auf einen anderen Schema-Master übertragen im laufenden Betrieb, ohne dass die verschiedenen Betriebsmaster davon beeinflusst werden. Microsoft gibt auch Empfehlungen aus für das Verteilen der Betriebsmaster. Generell ist es so, dass der erste Domänencontroller, dem Sie eine Gesamtstruktur installieren, immer alle fünf Betriebsmaster erhält, das heißt, der Server erhält den Schema-Master, den Domänennamen-Master, den RID-Master, den PDC-Master und den Infrastruktur-Master. Microsoft empfiehlt, den Infrastruktur-Master nicht auf einem globalen Katalog abzulegen, ansonsten können DS in größeren Domänen Probleme bei der Namensauflösung geben. Den Domänennamen-Master und Schema-Master sollen Sie möglichst auf einem einzelnen, gemeinsamen Domänencontroller installieren, der auch globaler Katalog ist, denn diese Betriebsmaster müssen auf die gesamte Struktur Zugriff haben, und da ist ein globarer Katalog am besten geeignet. Der PDC-Emulator und der RID-Master wiederum sollten ebenfalls zusammen auf einem Domänancontroller liegen, und dieser sollte ebenfalls globaler Katalog sein. Wenn Sie einen Master verschieben wollen, ist das eigentlich relativ einfach. Ich zeige Ihnen das am Beispiel des Schema-Masters. Zunächst können Sie über das Kontext-Menü der entsprechenden Consoller, also hier am Beispiel von Active Directory Schema einen anderen Domänencontroller auswähle. Ich will jetzt hier mal den Domänencontroller "lulu.contoso.int" aus. Anschließend kann ich Betriebsmaster aufrufen, und ich sehe jetzt, hier unten wird der von mir verbundene Betriebsmaster angezeigt. Klicke ich jetzt hier auf "Ändern", wird der Betriebsmaster von diesem Server auf diesen Server übertragen. Ich erhalte hier dazu noch eine Meldung. Wenn Sie eine Fehlermeldung erhalten, versuchen Sie den Vorgang einfach nochmal. Es kann in eben größeren Netwerken durchaus passieren, dass temporär ein Server nicht aufgelöst werden kann. Parallel dazu können Sie im Hintergrund eine Befehlszeile aufmachen und mit "ns lookup" zunächst überprüfen, ob die Namensauflösung funktioniert, also ob sich jeder lokale Server auflöst. Ich gebe hier nochmal den Servernamen ein, und ob sich der andere Server auflösen kann. Ist die Namensauflösung sicher gestellt, können Sie noch mit PIN testen, das heißt, die Übertragung soll jetzt funktionieren. Der Betriebsmaster würde jetzt fehlerfrei übertragen. Sie sehen, der Domänennamen-Master ist jetzt "lulu.contoso.int". Ich kann das Ganze auch wieder umgekehrt machen. Ich kann sagen hier "Betriebsmaster" "lulu.contoso.int". Ich möchte aber einen anderen Domänencontroller. Ich verbinde mich jetzt wieder mit "dc01". Wenn ich jetzt hier wieder sage "Betriebsmaster, sehe ich hier, der Domänennamen-Master ist aktuell - "lulu.contoso.int". Ich möchte aber hier "dc01" wieder haben, und sage hier wieder eben dann. Sie können das mit dem Schema-Master machen. Sie können das mit dem Betriebsmaster machen für den Domänennamen. Sie können das für RID- , PDC- und auch für den Infrastrukturmaster machen. Wenn Sie sich in der Befehlszeile eine Liste der aller aktuell verfügbaren Betriebsmaster anzeigen lassen, geben Sie einfach ein "netdom query fsmo". Hier wird zwar kein großartige Verbindung hergestellt mit einem Betriebsmaster, aber Sie sehen, welche Betriebsmaster es gibt. Und soll in Ihrem Netzwerk irgendwelcher Fehler erscheinen, überprüfen, ob alle diese Domänencontroller auch funktionieren. Es kann auch passieren, dass zum Beispiel hier ein bestimmter Betriebsmaster überhaupt nicht mehr im Netzwerk verfügbar ist, weil Sie den Domänencontroller aus dem Netzwerk entfernt habe oder neu installiert haben. In diesem Fall haben Sie aber die Möglichkeit, einen Betriebsmaster auf einen anderen Domänencontroller gezwungenermaßen zu übertragen. In diesem Fall darf der ursprüngliche Domänencontroller aber nicht mehr mit dem Netzwerk verbunden werden. Sie müssen diesen Domänencontroller dann neu installieren, können dazu aber auch den gleichen Namen verwenden. Wenn Sie Betreibsmaster auf einen Server übertragen wollen, ohne dass der Quellbetriebsmaster noch verfügbar ist, also den Transfer gezwungenermaßen vornehmen wollen, verbinden Sie sich zunächst eine Eingabeaufforderung mit dem Domänencontroller, auf dem Sie die Besitzübernahme des Betriebsmasters machen wollen, und rufen das Tool "ntdsutil" auf. Anschließend geben Sie "roles" ein. Hier liegen Sie dann fest, dass Sie die "fsmo"-Rollen verwalten wollen. Anschließend geben Sie "connections" ein. Sie müssen jetzt eine Verbindung mit einem Domänencontroller herstellen, und zwar mit dem Domänencontroller, der zukünftig diese Daten übernehmen soll. Dazu geben Sie ein "connect to server". Ich verwende jetzt hier einfach mal den Domänencontroller, den ich auch hier bereits verwendet habe. Wenn Sie einen anderen Domänencontroller bei sich verwenden wollen, geben Sie hier einfach einen anderen Namen ein. Sie sehen jetzt, wir erhalten hier die Meldung, eine Verbindung wurde hergestellt mit den Benutzer-Informationen des Benutzers, mit dem Sie aktuell angemeldet sind, das heißt, es soll sich hierbei auch um einen Administrator auf Organisationsebene handeln. Ist die Verbindung hergestellt, geben Sie "quit" ein. Sie sehen jetzt wieder in der Verwaltung der "fsmo"-Rollen. Anschließend haben Sie jetzt die Möglichkeit, durch den Befehl "seize" den entsprechenden Betriebsmaster auf diesem hier verbundenen Domänencontroller zu übertragen. Hier gibt es verschiedene Abkürzungen für die Rollen. Den PDC-Master übertragen Sie mit "seize pdc". Den RID-Master übertrage Sie mit "seize rid". Den Schema-Master übertragen Sie mit "seize schema". den Infrastruktur-Master übertragen Sie mit "infrastructur master" und den Domänennamenmaster mit "domain naming master". Sie können Ihre Eingäbe auch nicht falsch machen. Wenn Sie jeweils falsch eingeben, geht das Active Directory nicht kaputt oder es findet keine fehlerhafte Übertragung statt, sondern Sie halten hier entsprechende Fehler. Hier ist "ntdsutil" auch sehr mitteilsam. Wenn Sie jetzt zum Beispiel hier aus "domain naming master" nur noch den "naming master" machen, sehen Sie, auch hier wird die Übertragung nicht sofort stattfinden, sondern Sie müssen die Übertragung erst hier bestätigen. Wichtig bei der Übertragung dieser Rollen ist, dass Sie, wenn Sie eine Besitzübernahme durchführen, also den Befehl "seize" verwenden, der Quellmaster nicht mehr verfügbar sein darf, das heißt, dass der Hörer darf im Netzwerk nicht mehr verfügbar sein, und Sie müssen den Server danach neu installieren, das heißt, Sie können auf diesem Weg Probleme mit den Funktionsmastern beheben, indem Sie Funktionieren und Domänencontrollern diese Rollen übertragen.

Windows Server 2012 Grundkurs

Lernen Sie den Umgang mit Windows Server 2012 kennen und lassen Sie sich Schritt für Schritt am Live-System zeigen, wie Sie Ihre Administrationsaufgaben optimal erledigen können.

7 Std. 32 min (78 Videos)
Derzeit sind keine Feedbacks vorhanden...
 
Hersteller:
Exklusiv für Abo-Kunden
Erscheinungsdatum:18.03.2013

Dieser Online-Kurs ist als Download und als Streaming-Video verfügbar. Die gute Nachricht: Sie müssen sich nicht entscheiden - sobald Sie das Training erwerben, erhalten Sie Zugang zu beiden Optionen!

Der Download ermöglicht Ihnen die Offline-Nutzung des Trainings und bietet die Vorteile einer benutzerfreundlichen Abspielumgebung. Wenn Sie an verschiedenen Computern arbeiten, oder nicht den ganzen Kurs auf einmal herunterladen möchten, loggen Sie sich auf dieser Seite ein, um alle Videos des Trainings als Streaming-Video anzusehen.

Wir hoffen, dass Sie viel Freude und Erfolg mit diesem Video-Training haben werden. Falls Sie irgendwelche Fragen haben, zögern Sie nicht uns zu kontaktieren!