Transfer der FSMO Rollen in einer Active Directory

Wer eine Active Directory betreibt, betreibt auch gleichzeitig fünf Flexible Single Master Operations (FSMO)-Rollen. Diese Rollen sind einmalig in einer Domänen-Infrastruktur vorhanden und werden für den reibungslosen Betrieb benötigt. Was sich hinter diesen Rollen verbirgt und welche Aufgaben die jeweiligen Rollen übernehmen ist sehr gut in der Wikipedia erklärt, daher spare ich mir hier die weiteren Erklärungen.

Ich beschreibe im ersten Abschnitt eine Übernahme mit dem bisherigen Tool ntdsutil, das seit vielen Jahren funktionieren und zu den Bordmitteln gehört. Danach wird die gleiche Übernahme beschrieben, allerdings per Windows PowerShell.

Der bisherige Weg per ntdsutil

Seit vielen Jahren besteht die Möglichkeit, die FSMO-Rollen über die Kommandozeile mittels ntdsutil zu übernehmen. Dies funktioniert über die folgenden Befehle in einer administrativen Eingabeaufforderung (die Zeilen mit einer Raute sind Erklärungen):

# Start des ntdsutil-Programms
ntdsutil
# In das Untermenü Rollen wechseln
roles
# In das Untermenü Verbindungen wechseln
connections
# Eine Verbindung mit dem Ziel-Server, der die FMSO-Rollen halten soll, herstellen
connect to server SERVERNAME
# Eine Ebene nach oben in das Rollen-Untermenü wechseln
quit
# Geplanter Transfer der FSMO-Rollen
Transfer naming master
Transfer infrastructure master
Transfer PDC
Transfer RID master
Transfer schema master

Erzwingen einer Übernahme mit ntdsutil

Ist der bisherige Besitzer nicht mehr verfügbar (kaputt, geklaut, Fehler gemacht beim Abbau, …), kann die Übernahme auf einen neuen Server auch erzwungen werden. In diesem Fall muss in der ntdsutil-Syntax der Befehl transfer durch seize ersetzt werden. In diesem Fall wird erst eine Verfügbarkeit des aktuellen Besitzers geklärt und ist dieser nicht erreichbar, kann eine Übernahme erzwungen werden.

# Start des ntdsutil-Programms
ntdsutil
# In das Untermenü Rollen wechseln
roles
# In das Untermenü Verbindungen wechseln
connections
# Eine Verbindung mit dem Ziel-Server, der die FMSO-Rollen halten soll, herstellen
connect to server SERVERNAME
# Eine Ebene nach oben in das Rollen-Untermenü wechseln
quit
# Erzwungener Transfer der FSMO-Rollen
Seize naming master
Seize infrastructure master
Seize PDC
Seize RID master
Seize schema master

Die geplante Übernahme per Windows PowerShell

ntdsutil kann natürlich weiterhin benutzt werden, die Eingabe der Befehle und die Übernahme Rolle für Rolle ist natürlich nicht allzu sexy. Hier kommt die Windows PowerShell zum Einsatz, hier haben wir den Vorteil, dass alle Rollen in einem Befehl übernommen werden können. Weiterhin können wir per PowerShell den Vorgang auch automatisieren falls benötigt.

Move-ADDirectoryServerOperationMasterRole -Identity “SERVERNAME” –OperationMasterRole DomainNamingMaster,PDCEmulator,RIDMaster,SchemaMaster,InfrastructureMaster

Weitere Informationen und Beispiele zu diesem Befehl erhalten wir wie gewohnt über docs.microsoft.com.
Möchte man die Rollen nicht per Name ansprechen, geht dies auch über Zahlen:

• PDCEmulator == 0
• RIDMaster == 1
• InfrastructureMaster == 2
• SchemaMaster == 3
• DomainNamingMaster == 4

Dies verkürzt den Befehl deutlich:

Move-ADDirectoryServerOperationMasterRole “SERVERNAME” –OperationMasterRole 0,1,2,3,4

Die ungeplante Übernahme per Windows PowerShell

Müssen die Rollen zwangsweise übernommen werden, kann dies ebenfalls per Windows PowerShell erledigt werden. Hierzu muss lediglich ein „-force“ an den Befehl angehängt werden, dann ist die Macht auch auf unserer Seite :).

Move-ADDirectoryServerOperationMasterRole -Identity “SERVERNAME” –OperationMasterRole DomainNamingMaster,PDCEmulator,RIDMaster,SchemaMaster,InfrastructureMaster -force