Hier löse ich in einer meiner Testumgebungen (acme.local) den primären Domain Controller ab. Aktuell befinden sich die Flexible Single Master Operations-Rollen (FSMO) auf einem Windows Server 2008 R2, dieser wird durch einen Server 2016 abgelöst.

In freier Wildbahn verfahre ich nach dem gleichen Schema. Für die Schritte sollte entsprechend Zeit eingeplant werden. Es muss sichergestellt sein das die Replikationen zwischen den Domain Controllern vollständig und fehlerfrei funktioniert hat.

• Windows Server incl. aller Updates installieren
• Server in Domain aufnehmen
• Server zum Domain Controller hochstufen
• Replikation prüfen
• FSMO-Rollen übertragen
• Replikation prüfen
• FSMO-Rollen abfragen
• DNS am neuen DC korrigieren
• alten DC herunterstufen
• alten DC aus der Domain entfernen
• Domänenfunktionsebene und Gesamtstrukturfunktionsebene  anheben

Zum Übertragen der FSMO-Rollen wird ein Benutzer benötigt der Mitglied der Gruppen Domänen-, Schema- bzw. Organisations-Admins ist. Ich verschiebe die FSMO-Rollen per (Power) Shell. Dies geht bequemer als die einzelnen Management Konsolen zu verwenden.

Der letzte Punkt kann nur ausgeführt werden wenn alle Domain Controller die neuen Funktionsebenen Unterstützen und es keine Ausschlüsse für das Anheben der Funktionsebenen gibt z.B. durch Dritthersteller-Software.

In diesem Artikel beschränke ich mich auf das Umziehen der FSMO-Rollen. Alle Schritte finden auf unserem neuen Server statt.

Betriebsmasterrollen mit ntdsutil übertragen

Replikation überprüfen

Zuerst stellen wir sicher der die Replikation zwischen den beiden Domain Controllern Fehlerfrei und Vollständig ist. Hier ist der passende Artikel dazu

FSMO-Rollen abfragen

Wir fragen die FSMO-Rollen in der Shell mit Netdom Query Fsmo ab. Das Ergebnis zeigt uns wer aktuell die FSMO-Rollen besitzt. In größeren Domainstrukturen können das Unterschiedliche Server sein, mir ist dies bisher nicht untergekommen.

FSMO-Rollen übertragen

Das übertragen der Rollen wird mit ntdsutil und transfer durchgeführt.

In einigen Artikeln wird auch Seize verwendet. Seize dient dazu die Übernahme der Betriebsmasterrolle zu erzwingen z.B. weil der alte Domain Controller nicht mehr verfügbar ist (beschädigt, gelöscht).

Hier zeige ich den „normalen“ Weg auf wie die Rollen umgezogen werden können. Eine bestimmte Reihenfolge muss dabei nicht beachtet werden.

Ntdsutil
Roles
Connections
Connect to Server Ziel-Server
Q
transfer Infrastructure Master
transfer Naming Master
transfer PDC
transfer RID Master
transfer Schema Master
Q
Q

Während des des verschieben der einzelnen Rollen müssen die jeweiligen Sicherheitsabfragen bestätigt werden.

FSMO-Rollen abfragen

Erneut Fragen wir ab wer der Besitzer der FSMO-Rollen ist, in der zweiten Abfrage sollte nun unser neuer Server angezeigt werden.

Betriebsmasterrollen per PowerShell übertragen

Die Betriebsmasterrollen lassen sich auch per PowerShell übertragen.

Move-ADDirectoryServerOperationMasterRole -Identity ADS-2016 -OperationMasterRole DomainNamingMaster
Move-ADDirectoryServerOperationMasterRole -Identity ADS-2016 -OperationMasterRole InfrastructureMaster
Move-ADDirectoryServerOperationMasterRole -Identity ADS-2016 -OperationMasterRole PDCEmulator
Move-ADDirectoryServerOperationMasterRole -Identity ADS-2016 -OperationMasterRole RIDMaster
Move-ADDirectoryServerOperationMasterRole -Identity ADS-2016 -OperationMasterRole SchemaMaster

Im gezeigten Beispiel bezieht sich ADS-2016 auf den Zielserver der die Betriebsmasterrollen erhalten soll. Die Befehle lassen sich auch in einem Befehl zusammenfassen. Ich bevorzuge diese Variante.