In Microsofts Verzeichnisdienst-System Active Directory (AD) gibt es fünf grundlegende Betriebsmasterrollen, bekannt als FSMO-Rollen (Flexible Single Master Operations). Diese Rollen sind entscheidend für die grundlegende Funktionsweise und Verwaltung von AD-Domänennetzwerken. Alle AD-Domänen-Netzwerksysteme basieren im Grunde auf diesen Rollen. Nur wenn diese fünf Rollen fehlerfrei ineinandergreifen, ist die ordnungsgemäße Funktion eines AD-Verzeichnisses gewährleistet. Ich liste die 5 Rollen mit entsprechenden Erklärungen auf.
Der Schema-Master ist eine Betriebsmasterrolle, die auf einem
Domänencontroller (Domaincontroller) läuft. Es kann im gesamten Forest
nur einen Domänencontroller geben, der als Schema-Master fungiert. Diese
Rolle ist für Änderungen am Schema des Active Directory verantwortlich,
das die Definitionen von Objekttypen und deren Attributen, wie z.B.
Benutzerattribute, enthält.
Das Schema definiert, welche Objekttypen und Attribute im Verzeichnisdienst existieren und wie sie strukturiert sind. Zum Beispiel bestimmt das Schema, dass ein Benutzerobjekt Attribute wie Vorname, Nachname, E-Mail-Adresse und Passwort hat. Ebenso legt es fest, welche Arten von Objekten es im Active Directory geben kann, wie Benutzer, Computer, Gruppen und Drucker.
Wenn Änderungen am Schema vorgenommen werden müssen, wie das Hinzufügen neuer Attributtypen oder das Erstellen neuer Objekttypen, müssen diese Änderungen über den Schema-Master vorgenommen werden. Diese zentrale Verwaltung stellt sicher, dass alle Domänencontroller im Forest eine einheitliche und konsistente Definition der Objekte und Attribute haben.
Ohne den Schema-Master könnten keine Änderungen an der Struktur und den Definitionen der im Active Directory gespeicherten Daten vorgenommen werden, was die Flexibilität und Anpassungsfähigkeit des Verzeichnisses erheblich einschränken würde.
PowerShell: adsiedit.msc
Der Befehl "adsiedit.msc" öffnet den ADSI-Editor, mit dem man auf das Active Directory Service Interfaces (ADSI) zugreifen kann. Im ADSI-Editor kann man verschiedene Aspekte des Active Directory anzeigen und bearbeiten, darunter auch das Schema. Allerdings ist es wichtig zu beachten, dass das Bearbeiten des Schemas im ADSI-Editor eine sehr mächtige Funktion ist und normalerweise nur von erfahrenen Administratoren durchgeführt werden sollte, da falsche Änderungen das Active Directory beschädigen können.
PowerShell: Get-ADForest
Der Befehl Get-ADForest in PowerShell gibt Informationen über den Active Directory Forest aus, einschließlich Details wie den Schema-Master, Domain-Naming-Master, und andere wichtige Informationen über den Forest.
PowerShell: Get-ADDomain
Der PowerShell-Befehl Get-ADDomain gibt Informationen über die spezifische Domäne aus, wie z.B. den RID-Master, den PDC-Emulator, den Infrastruktur-Master, und andere domänenspezifische Details.
Kostenlose IT-Sicherheits-Bücher - Information via Newsletter
Bleiben Sie informiert, wann es meine Bücher kostenlos in einer Aktion gibt: Mit meinem Newsletter erfahren Sie viermal im Jahr von Aktionen auf Amazon und anderen Plattformen, bei denen meine IT-Sicherheits-Bücher gratis erhältlich sind. Sie verpassen keine Gelegenheit und erhalten zusätzlich hilfreiche Tipps zur IT-Sicherheit. Der Newsletter ist kostenlos und unverbindlich – einfach abonnieren und profitieren!
Hinweis: Wenn Sie auf den Button klicken, werden Sie zu MailerLite weitergeleitet. Dort werden essentielle Cookies zur Sicherung der Funktion des Newsletterformulares gespeichert. Mit Ihrem Klick erteilen Sie das Einverständnis zur Verwendung dieser Cookies.
Zur AnmeldungDer Domänennamen-Master (Domain Naming Master) überprüft, ob Domänen oder Subdomänen bereits existieren. Nur wenn der Domänennamen-Master beim Anlegen einer neuen Domäne oder Subdomäne sein OK gibt, kann diese tatsächlich angelegt werden. Dies verhindert in großen Umgebungen versehentliche Namensdoppelungen und stellt sicher, dass jede Domäne im Forest einen eindeutigen Namen hat.
Der RID-Master (Relative Identifier Master) ist dafür verantwortlich, RID-Pools (Relative Identifier Pools) an andere Domänencontroller zu verteilen. Diese RIDs werden verwendet, um eindeutige SIDs (Security Identifiers) für neue Objekte wie Benutzer und Gruppen zu erstellen. Da SIDs zwingend eindeutig sein müssen, sorgt der RID-Master für eine domänenübergreifende Verwaltung und Verteilung der RIDs. So kann jeder Domänencontroller Objekte mit eindeutigen SIDs anlegen, ohne dass es zu Konflikten kommt.
PowerShell: dcdiag /TEST:RidManager /v | find /i "Available RID Pool for the Domain"
Der Befehl dcdiag /TEST:RidManager /v | find /i "Available RID Pool for the Domain" gibt detaillierte Informationen über den verfügbaren RID-Pool (Relative Identifier Pool) für die Domäne aus. Dies umfasst den Nummernbereich, aus dem die RIDs (Relative Identifiers) für die Erstellung eindeutiger SIDs (Security Identifiers) in der Domäne genommen werden können.
Der PDC-Emulator (Primary Domain Controller Emulator) hat mehrere wichtige Aufgaben in einer Domäne. Zum Beispiel gibt er die Zeit für alle anderen Domänencontroller in der Domäne vor und sorgt damit für eine konsistente Zeitbasis. Außerdem synchronisiert der PDC-Emulator Kennwörter: Wenn ein Benutzer sein Kennwort ändert, werden diese Änderungen prioritär auf dem PDC-Emulator aktualisiert und dann auf die anderen Domänencontroller repliziert. Der PDC-Emulator ist auch verantwortlich für die Verarbeitung von Gruppenrichtlinien und die Abwärtskompatibilität mit älteren Windows NT 4.0 Domänencontrollern. Der PDC-Emulator gibt also zentrale Einstellungen vor und spielt eine Schlüsselrolle bei der Verwaltung und Konsistenz innerhalb der Domäne.
PowerShell: w32tm /monitor
Der Befehl "w32tm /monitor" ist nicht spezifisch einer bestimmten FSMO-Rolle zugeordnet. Vielmehr handelt es sich um ein Befehlszeilentool, das verwendet wird, um die Zeitdienste und Synchronisierung in einer Windows-Domänenumgebung zu überwachen. Dem Verständnis zugute schreibe ich das aber unter PDC.
Der Infrastrukturmaster sorgt in Multidomänenumgebungen dafür, dass Verweise auf Objekte in anderen Domänen korrekt und aktuell gehalten werden. Zum Beispiel, wenn ein Benutzer aus Domäne A in eine Gruppe in Domäne B aufgenommen wird, stellt der Infrastrukturmaster sicher, dass die Änderungen ordnungsgemäß repliziert werden. Er sorgt dafür, dass alle Domänencontroller in Domäne B die aktuellsten Informationen über die Benutzer und Gruppen aus Domäne A haben. Dadurch können Benutzer aus Domäne A sich in Domäne B authentifizieren und auf Ressourcen zugreifen, wenn sie in entsprechenden Gruppen in Domäne B sind.
Wozu benötigt man das? Wenn sich die Betriebsmasterrollen auf einem Domänencontroller befinden, der aus irgendeinem Grund nicht mehr arbeitet, defekt ist, offline ist, abgebrannt ist oder aus anderen Gründen nicht verfügbar ist, können wichtige Funktionen im Active Directory beeinträchtigt werden. Ein zweiter Domänencontroller sorgt dafür, dass die Domäne weiterhin funktioniert, aber die spezifischen Aufgaben der Betriebsmasterrollen wären betroffen:
Wenn der Domänencontroller mit diesen Rollen ausfällt, ist es entscheidend, die Rollen auf einen anderen Domänencontroller zu übertragen, um den ordnungsgemäßen Betrieb des Active Directory sicherzustellen.
Das Verschieben der Betriebsmasterrollen kann über den Servermanager erfolgen: Gehen Sie zu Tools -> Active Directory-Benutzer und -Computer -> Rechtsklick auf die oberste Ebene (Active Directory-Benutzer und -Computer) -> Alle Aufgaben -> Betriebsmaster. Hier können Sie die Rollen RID, PDC und Infrastruktur verschieben.
Es ist darauf zu achten, dass die Betriebsrollen RID, PDC und Infrastruktur nicht aktiv vom innehabenden Server (Server A) auf einen anderen Server (Server B) geschoben werden, sondern dass der andere Server (Server B) die Rollen von Server A übernehmen muss. Dies bedeutet, dass der Administrator die Rollenübergabe auf Server B initiiert, sodass Server B die Rollen von Server A "holt".
PowerShell: netdom query fsmo
Hat man die Betriebsmasterrollen mit Servermanager -> Tools -> Active Directory-Benutzer und -Computer -> Rechtsklick auf die oberste Ebene (Active Directory-Benutzer und -Computer) -> Alle Aufgaben -> Betriebsmaster vom Server A auf Server B geholt, kann man dies durch den Befehl netdom query fsmo überprüfen.
Es werden nur die Rollen RID, PDC und Infrastruktur in Active Directory-Benutzer und -Computer in dem oben angegebenen Pfad angeboten, weil diese jeweils für die Domäne gelten. In einem Forest gibt es jeweils einen RID-Master, PDC-Emulator und Infrastruktur-Master pro Domäne. Die anderen FSMO-Rollen (Schema-Master und Domain Naming Master) gelten für den gesamten Forest und werden über andere Tools wie Active Directory-Schema und Active Directory-Domänen und -Vertrauensstellungen verwaltet.
Wichtige Info für Active Directory
Der Schema-Master und der Domain-Naming-Master sind forestweite Rollen, die es nur einmal pro Forest gibt. Die Rollen RID-Master, PDC-Emulator und Infrastruktur-Master gibt es jeweils einmal pro Domäne.
Es ist daher extrem wichtig, ein ständig überprüftes Backup des Betriebsmaster-Servers zu besitzen, um im Fehlerfall die Rollen auf einen anderen Server übertragen zu können. Dieses Backup stellt sicher, dass die notwendigen Rollen im Falle eines Serverausfalls schnell und korrekt auf einen anderen Domänencontroller verschoben werden können, um die ordnungsgemäße Funktion des Active Directory zu gewährleisten.
Sollte der Domänencontroller, der die Betriebsmasterrollen innehat (zum Beispiel "dc01"), nicht mehr erreichbar sein (aufgrund von Fehlern, Ausfall, Brand etc.), dann kann dieser Domänencontroller auch die Erlaubnis zum Übertragen der Rollen nicht geben. In solchen Fällen kann ein anderer Domänencontroller im Notfall die Betriebsmasterrollen "gewaltsam" übernehmen. Dazu verwendet man die folgenden PowerShell-Befehle:
Move-ADDirectoryServerOperationMasterRole -OperationMasterRole RIDMaster -Identity dc02 -Force
Move-ADDirectoryServerOperationMasterRole -OperationMasterRole PDC -Identity dc02 -Force
Move-ADDirectoryServerOperationMasterRole -OperationMasterRole InfrastructureMaster -Identity dc02 -Force
Hier ist "dc02" der Domänencontroller, der die Betriebsmasterrollen gewaltsam übernimmt, wenn "dc01" nicht erreichbar ist. Diese PowerShell-Befehle müssen mit den englischen Bezeichnungen auf dem Server, der sich die Rollen gewaltsam holen soll, ausgeführt werden. Die Option -Force sollte nur dann verwendet werden, wenn der aktuelle Inhaber der Rollen nicht mehr erreichbar oder funktionsfähig ist. Ansonsten sollten die Rollen nur mit der Zustimmung des ursprünglichen Servers (dc01) übertragen werden.
Überprüfung der aktuellen Betriebsmasterrollen:
netdom query fsmo
Öffnen des ADSI-Editors:
adsiedit.msc
Überwachung des PDC-Emulators:
w32tm /monitor
Überprüfung des verfügbaren RID-Pools:
dcdiag /TEST:RidManager /v | find /i "Available RID Pool for the Domain"
Anzeigen von Informationen über den Forest:
Get-ADForest
Anzeigen von Informationen über die Domäne:
Get-ADDomain
Verschieben von Betriebsmasterrollen (gewaltsam, forced):
Move-ADDirectoryServerOperationMasterRole -OperationMasterRole RIDMaster -Identity Ziel-DC -Force
Move-ADDirectoryServerOperationMasterRole -OperationMasterRole PDC -Identity Ziel-DC -Force
Move-ADDirectoryServerOperationMasterRole -OperationMasterRole InfrastructureMaster -Identity Ziel-DC -Force
Über den Autor: Ralf-Peter Kleinert
Über 30 Jahre Erfahrung in der IT legen meinen Fokus auf die Computer- und IT-Sicherheit. Auf meiner Website biete ich detaillierte Informationen zu aktuellen IT-Themen. Mein Ziel ist es, komplexe Konzepte verständlich zu vermitteln und meine Leserinnen und Leser für die Herausforderungen und Lösungen in der IT-Sicherheit zu sensibilisieren.
Aktualisiert: Ralf-Peter Kleinert 27.05.2024
