Dem Armin sei Schmierzettl

Mein Kram so im Netz

FSMO Rollen umziehen

leave a comment

FSMO Rollen umziehen

Quelle: https://blog.oberhf.de/fsmo-rollen-umziehen/

Es gibt folgende FSMO-Rollen:

– PDC Emulator (0)
– RID Pool Manager (1)
– Infrastruktur Master (2)
– Domain Naming Master (3)
– Schema-Master (4)

Als erstes prüfen wir, welcher Server momentan die Rollen hat.

netdom query fsmo

Mit folgendem PowerShell-Befehl werden die Rollen am einfachsten übertragen(auf welchem DC der Befehl ausgeführt wird ist egal):

Move-ADDirectoryServerOperationMasterRole -Identity <Ziel-DC> -OperationMasterRole 0,1,2,3,4

Sollte der alte DC beschädigt oder nicht mehr vorhanden sein, kann man mit „-force“ den Befehl erzwingen.

Eine etwas ausführlichere Anleitung hier:

Quelle: https://scarymachines.de/fsmo-rollen-uebertragen-per-ntdsutil-oder-power-shell/

FSMO-Rollen Übertragen per Ntdsutil oder PowerShell

Move-ADDirectoryServerOperationMasterRole

Hier löse ich in einer meiner Testumgebungen (acme.local) den primären Domain Controller ab. Aktuell befinden sich die Flexible Single Master Operations-Rollen (FSMO) auf einem Windows Server 2008 R2, dieser wird durch einen Server 2016 abgelöst.

In freier Wildbahn verfahre ich nach dem gleichen Schema. Für die Schritte sollte entsprechend Zeit eingeplant werden. Es muss sichergestellt sein das die Replikationen zwischen den Domain Controllern vollständig und fehlerfrei funktioniert hat.

  • Windows Server incl. aller Updates installieren
  • Server in Domain aufnehmen
  • Server zum Domain Controller hochstufen
  • Replikation prüfen
  • FSMO-Rollen übertragen
  • Replikation prüfen
  • FSMO-Rollen abfragen
  • DNS am neuen DC korrigieren
  • alten DC herunterstufen
  • alten DC aus der Domain entfernen
  • Domänenfunktionsebene und Gesamtstrukturfunktionsebene  anheben

Zum Übertragen der FSMO-Rollen wird ein Benutzer benötigt der Mitglied der Gruppen Domänen-, Schema- bzw. Organisations-Admins ist. Ich verschiebe die FSMO-Rollen per (Power) Shell. Dies geht bequemer als die einzelnen Management Konsolen zu verwenden.

Der letzte Punkt kann nur ausgeführt werden wenn alle Domain Controller die neuen Funktionsebenen Unterstützen und es keine Ausschlüsse für das Anheben der Funktionsebenen gibt z.B. durch Dritthersteller-Software.

In diesem Artikel beschränke ich mich auf das Umziehen der FSMO-Rollen. Alle Schritte finden auf unserem neuen Server statt.

Betriebsmasterrollen mit ntdsutil übertragen

Replikation überprüfen

Zuerst stellen wir sicher der die Replikation zwischen den beiden Domain Controllern Fehlerfrei und Vollständig ist. Hier ist der passende Artikel dazu

Repadmin /replsummary
Abfrage der Replikation

FSMO-Rollen abfragen

Wir fragen die FSMO-Rollen in der Shell mit Netdom Query Fsmo ab. Das Ergebnis zeigt uns wer aktuell die FSMO-Rollen besitzt. In größeren Domainstrukturen können das Unterschiedliche Server sein, mir ist dies bisher nicht untergekommen.

netdom query fsmo
Abfrage wer die Betriebsmasterrollen besitzt

 

FSMO-Rollen übertragen

Das übertragen der Rollen wird mit ntdsutil und transfer durchgeführt.

In einigen Artikeln wird auch Seize verwendet. Seize dient dazu die Übernahme der Betriebsmasterrolle zu erzwingen z.B. weil der alte Domain Controller nicht mehr verfügbar ist (beschädigt, gelöscht).

Hier zeige ich den „normalen“ Weg auf wie die Rollen umgezogen werden können. Eine bestimmte Reihenfolge muss dabei nicht beachtet werden.

Ntdsutil
Roles
Connections
Connect to Server Ziel-Server
Q
transfer Infrastructure Master
transfer Naming Master
transfer PDC
transfer RID Master
transfer Schema Master
Q
Q
ntdsutil
FSMO-Rollen mit ntdsutil verschieben

Während des des verschieben der einzelnen Rollen müssen die jeweiligen Sicherheitsabfragen bestätigt werden.

Sicherheitsabfrage
Sicherheitsabfrage bei dem verschieben der FSMO-Rollen

FSMO-Rollen abfragen

Erneut Fragen wir ab wer der Besitzer der FSMO-Rollen ist, in der zweiten Abfrage sollte nun unser neuer Server angezeigt werden.

netdom query fsmo
Abfrage wer die Betriebsmasterrollen besitzt

Betriebsmasterrollen per PowerShell übertragen

Die Betriebsmasterrollen lassen sich auch per PowerShell übertragen.

Move-ADDirectoryServerOperationMasterRole -Identity ADS-2016 -OperationMasterRole DomainNamingMaster
Move-ADDirectoryServerOperationMasterRole -Identity ADS-2016 -OperationMasterRole InfrastructureMaster
Move-ADDirectoryServerOperationMasterRole -Identity ADS-2016 -OperationMasterRole PDCEmulator
Move-ADDirectoryServerOperationMasterRole -Identity ADS-2016 -OperationMasterRole RIDMaster
Move-ADDirectoryServerOperationMasterRole -Identity ADS-2016 -OperationMasterRole SchemaMaster
Move-ADDirectoryServerOperationMasterRole
FSMO per PowerShell verschieben

Im gezeigten Beispiel bezieht sich ADS-2016 auf den Zielserver der die Betriebsmasterrollen erhalten soll. Die Befehle lassen sich auch in einem Befehl zusammenfassen. Ich bevorzuge diese Variante.

Written by Armin

März 4th, 2024 at 12:02 pm

Posted in IT