Active Directory – FSMO Rollen und Funktionen

Im Active Directory gibt es sogenannte FSMO (Flexible Single Master Operations oder Operations Master – Betriebsmaster) Rollen. Diese Rollen werden von DCs übernommen. Es gibt folgende fünf FSMO Funktionen, die über das entsprechende MMC SnapIn verwaltet werden können:

Schema-Master:

Der Schemamaster steuert alle Änderungen oder Aktualisierungen am AD Schema. In einem Forest kann es diese Rolle nur einmal geben. Besonderheit ist hierbei, dass das Schemamaster SnapIn im Standard nicht verfügbar ist und erst per regsvr32 schmmgmt.dll registriert werden muss 🙁

Verwaltung über “Active Directory Schema” MMC SnapIn

Domain Naming Master:

Der Domainnamemaster regelt das Hinzufügen oder Entfernen von Domänen zu einem Forest. In einem Forest kann es diese Rolle nur einmal geben.

Verwaltung über “Active Directory Domänen und Vertrauensstellungen” MMC SnapIn

Infrastructure-Master:

Der Infrastructure-Master ist verantwortlich für die Integrität von verlinkten Objekten. Beispiel wäre das “Members” Attribut einer Gruppe. Er stellt sicher, dass bei einer Änderung das jeweils verlinkte Objekt auch angepasst wird. Das Ganze funktioniert Domänenübergreifend. Diese Rolle kann es in einer Domäne nur einmal geben. Der Infratructure-Master sollte nie mit der Global Catalog Funktion auf einem DC liegen, es sei denn alle DCs einer Domäne sind Global Catalog Server. Ansonsten können Replikationsfehler auftreten, die am Event 1419 im Eventlog erkennbar sind.

Verwaltung über “Active Directory Benutzer und Computer” MMC SnapIn

RID-Master:

Der RID (Relative Identifier) übernimmt die Verteilung von RID Pools an die anderen DCs. Daraus resultieren die SIDs, die den Objekten zugewiesen werden. Da diese eineindeutig sein müssen, kann es diese Rolle nur einmal in einer Domäne geben.

Verwaltung über “Active Directory Benutzer und Computer” MMC SnapIn

PDC-Emulator:

Diese Rolle gibt sich als die veraltete NT4 PDC Rolle aus (sollte diese noch irgendwo erforderlich sein). Des Weiteren übernimmt der PDC Emulator die  Steuerung von Kennwortänderungen, übernimmt die Zeitgeberrolle (wenn kein anderer angegeben ist) und die Hauptsuchdienstfunktion der Domäne. Um Kennwortänderungen schneller aktiv zu haben, prüft ein DC bei einer fehlerhaften Anmeldung vor der Zurückweisung erst noch gegen den PDC-Emulator. So wird sichergestellt, dass diese im Prinzip sofort greifen entgegen “anderen” Objektänderungen.

Verwaltung über “Active Directory Benutzer und Computer” MMC SnapIn

PowerShell Abfrage:

Um über PowerShell die Funktionsmaster abzufragen, verwenden Sie folgende Befehle:

Get-ADDomain |Select *Master*,PDC*
Get-ADForest |Select *Master*

FSMO Rollen über Powershell verschieben

Move-ADDirectoryServerOperationMasterRole -Identity “DCName” -OperationMasterRole DomainNamingMaster,PDCEmulator,RIDMaster,SchemaMaster,InfrastructureMaster –Force