Verständnisfrage "Schemamaster, Domänennamenmaster"

[Cosi 10]

Hallo zusammen,

 

Ich habe mal eine Verständnisfrage. Ich höre immer das der Schemamaster und der Domänennamenmaster sowie der GC auf einen DC liegen sollten.

Mir stellt sich die Frage nach dem warum?

Nehmen wir an ich habe 2 DC's und auf DC1 liegen der Schemamaster sowie der GC.

Auf DC2 liegt der Domänennamenmaster.

Fällt ein Server Hardwaretechnisch aus muss ich doch eh mit NTDSUTIL arbeiten und die Rollen verschieben, egal wo die Rollen auch liegen mögen. Also was für einen Vorteil habe ich, wenn alle Rollen nur auf einem DC liegen?

Oder bin ich einfach nur Blond? --< Darauf bitte nicht antworten :)

 

MfG Cosi

[woiza 10]

WIe groß ist deine Umgebung? Wie viele Domänen/DCs? Wenn sie eher klein ist, würde ich alles auf einer Kiste lassen.

 

Edit:

Um auf deine Frage zu antworten: Der DNS-Master muss GC sein, wenn er neue Domänen erstellen soll. Da Schema und DNS nur einmal pro Forest exisitieren und man für die Verwendung auch gesonderte Rechte benötigt (Schemaadmin, bzw. Org.admin), sollte man die möglichst zusammen auf einer Kiste lassen. Sonst bringt das keine Vorteile.

 

RID und PDC kann man davon trennen. Dies kann zum einen aus Perfomancegründen passieren, weil beide ressourecenintensiver sind, als die anderen FSMOs. Das schlägt aber nur bei sehr massiven Umgebungen zu Buche.

 

Auch organisatorisch könnte man eine Trennung begründen, weil die beiden (+Infrastruktur) ja nicht nur in der Root, sondern in allen Domänen vorkommen. Somit hätte man dann die Enterprise Rollen von den Domänenrollen getrennt.

 

Zusätzlich wird der Schemamaster in großen Umgebungen manchmal sogar in ne eigene Site separiert, die sog. Lakesite.

 

Auch der IS gehört zu den Domänenrollen, spielt aber ne Sonderrolle, weil er nicht mit dem GC zusammenlaufen darf, AUSSER alle DCs sind GC.

[HPrass 10]

Hallo,

 

folgendes sagt MS selbst:

FSMO-Platzierung und -Optimierung auf Active Directory-Domänencontrollern

 

Zumindest die Domänenmaster+GC-Gründe werden angeführt, die Begründung für Domänenmaster+Schemamaster ist wohl eher dürftig ("..selten verwendet und engmaschig kontrolliert...").

[Daim 12]

Salut,

 

Ich höre immer das der Schemamaster und der Domänennamenmaster sowie der GC auf einen DC liegen sollten.

 

in 99% der Fälle, ist es sogar empfehlenswert, dass alle FSMO-Rollen (so wie woiza bereits schrieb) auf einem DC liegen. Somit ist es "leichter" zu administrieren.

Es gibt keinen technischen Grund.

 

Manche Rollen arbeiten eben mit anderen Rollen engmaschig zusammen und "sollten" halt zusammenbleiben.

Wenn man die Rollen trennt, sollte man einiges dabei beachten.

Wie gesagt, dass sind alles Empfehlungen von Microsoft und sind kein muss.

Man sollte sich aber an den Empfehlungen halten.

Yusuf`s Directory - Blog - Die FSMO-Rollen verschieben

 

FSMO-Platzierung und -Optimierung auf Active Directory-Domänencontrollern

[gysinma1 13]

Hallo Zusammen

 

Die einzige "Diffusheit" liegt in der InfrastructureMaster Funktion und Globalkatalog in Zusammenhang mit den "PhantomObjects" (wie diese von John Craddock genannt werden). Ich selbst propagiere in einer grösseren Umgebung mit Childs Forestweite Funktionen und Domain weite Funktionen zu trennen.

 

MS empfiehlt (jedenfalls bei unserem PremiumAudit) entweder GlobalCatalog auf allen Domaincontroller oder in Grossumgebungen den Globalcatalog auf dem Inframaster zu disablen (für das Disasterszenario sind jedoch 2 GC ein Muss).

 

Gruss,

Matthias

[woiza 10]

Oh,

 

da war die Edith zu langsam ;). Wir haben es bei uns so gelöst, dass alle DCs GC sind. Somit sind in den Subdomains auch alle Rollen auf einem DC (inkl. IS Master). In der Root sind die beiden Forestrollen separat. Wir haben auch alle Server zu DNS gemacht, das spart in großen Umgebungen viel Ärger.

 

Wichtiger als die Verteilung der FSMOs ist aber, zu wissen, wofür sie gut sind. Also, wenndu z.B. keine Objekte mehr anlegen kannst, dann hat der RID ein Problem usw.

 

Gruß

 

woiza

[gysinma1 13]

Also, wenndu z.B. keine Objekte mehr anlegen kannst, dann hat der RID ein Problem usw.

 

:D ... Alles schon angetrofen. Unglaublich was Kunden, Firewalls und RIDMAster zusammen fertigbringen :D

 

Auch die Abtrennung des Schemamasters von den "bösen" Exchangeservern habe ich schon erlebt, war spassig v.a. der Upgrade auf Exchange 2003 :cool:

 

Gruss,

Matthias

[woiza 10]

Ja, so Helden hatten wir auch schon. "Wieso müssen alle drei DCs laufen? Wir haben einen runtergefahren."

[gysinma1 13]

:D D D D D D D D D D D D D D D D D D D

Ja natürlich Strom ist eine wertvolle Resource. Alles mal abschalten was nit nötig is :cool:

[Cosi 10]

Danke für die vielen Antworten.

Auf alle Fälle bin ich nun ein wenig schlauer. Ich habe grade in einer neuen Firma angefangen und kämpfe mich durch das vorherschende Caos.

Dabei viel mir halt auch auf, das Schema und GC auf einen alten Windows 2000 Server liegen, der durch sporadische Ausfälle glänzt und demnächst durch mindestens einen neuen DC ersetzt wird. Die Rollen werde ich aber vorsorglich eher exportieren.

Zur Zeit haben wir nur 2 DC's, wobei der DC1 im mom noch alles bereitstellt. Er dient auch als File,Printserver und Backupserver der arme. Neue Server sind aber Gott sei dank geplant.Ohne diese könnte ich auch nicht für eine kurze Ausfallzeit garantieren, falls es den zum Crash des DC1 kommen sollte.

 

 

Vielen Dank

Cosi

[woiza 10]

Bei einer Domäne mit zwei DCs ist die Platzierung der Rollen völlig Rille. Da langweilen sich die DCs sowieso. Bei ner Single Domain Umgebung ist auch egal, ob der IS Master GC ist, weil der da eh nix zu tun hat.

[Daim 12]

Die Rollen werde ich aber vorsorglich eher exportieren.

 

Nicht "exportieren", sondern online verschieben.

Entweder über die GUI oder mit NTDSUTIL - TRANSFER.

Links hast du ja ausreichend erhalten ;)