FSMO Rollen übertragen

[firefox80 10]

Hallo Leute!

 

Ich bin gerade am Lernen für die 70-294.

 

Dabei bin ich über ein Verständnis-Problem gestolpert:

Es geht um die Übertragung der Rollen Schema-Master, Domain-Master und RID Master.

 

Es wird beschrieben, dass man nach einer Übertragung diese Rollen auf keinen Fall wieder an den Original DC zurück übertragen darf. Man muss den Original DC unbedingt formatieren und neu aufsetzen.

 

Auch Herr Google konnte mir leider keine Antwort geben, warum das so ist.

 

Deshalb wende ich mich vertrauensvoll an euch ;)

 

LG

FireFoX

[blub 115]

das ist auch Quatsch. Die FMSO-Rollen kannst du nach Herzenslust auf einen DC hin und auf den alten DC wieder zurückschieben.

 

cu

blub

[IThome 10]

Ich glaube, es ist das Übernehmen (Seize) gemeint, wofür ich auch noch keine Erklärung gefunden habe. Nur dass man den Original-Holder neu installieren soll ...

[woiza 10]

Seize ist gemeint. Seize wird normal nurdurchgeführt, wenn der Transfer nicht mehr tut, sprich der DC ist Offline. Bei seize wird also dem "alten" Rolleninhaber nicht mitgeteilt, dass er die Rolle hergeben muss. Es wird nur dem "neuen" die Rolle verpasst.

 

Wenn der "alte" z.B. nach Hardwarereparatur wieder Online geht, glaubt er immer noch Rolleninhaber zu sein. Das macht v.A. bei RID wenig Spaß, weil dann 2 Maschinen lustig RID-Pools vergeben.

 

Daher bei "seize" immer die alte Kiste plattmachen.

 

Gruß

 

woiza

[blub 115]

ok, das ist aber doch klar. Wenn der eine FSMO-Holder A sagt und der andere sagt B, dann kommts natürlich zu Trouble. FSMO's sind eben Highlander

 

cu

blub

[woiza 10]

Schon klar, aber das meinen die Meisten, wenn sie vor dem Verschieben Panik haben. Vielleicht wurde das mal in nem Buch oder in der KB schlampig übersetzt.

 

Auf alle Fälle hält es sich hartnäckig. ;)

[IThome 10]

Okay, das is klar, FSMO darf es nur einmal geben. Es wird in den Büchern immer nur Schema, Rid-Pool und Domain Naming erwähnt, die anderen beiden nicht. Was passiert denn genau, wenn ein ehemaliger Rollenhalter wieder online geht ? Verteilt der wirklich RIDs z.B. ? Die anderen DCs wissen doch durch die Replikation, wer der neue RID-Pool Master ist ...

[woiza 10]

Ich habs noch nicht ausprobiert, aber er selbst wird zumindest die eigenen RIDs nehmen.

[IThome 10]

Hab doch noch was gefunden ...

Using Ntdsutil.exe to transfer or seize FSMO roles to a domain controller

Zitat

"Einem Domänencontroller, dessen FSMO-Funktionen übernommen wurden, sollte die Kommunikation mit anderen Domänencontrollern in der Gesamtstruktur nicht gestattet werden. In einem solchen Szenario sollten Sie entweder die Festplatte formatieren und das Betriebssystem neu installieren oder solche Domänencontroller in einem privaten Netzwerk zwangsweise herabstufen und dann deren Metadaten auf einem noch vorhandenen Domänencontroller in der Gesamtstruktur mithilfe des Befehls ntdsutil /metadata cleanup entfernen. Das Risiko, einen früheren FSMO-Funktionsinhaber, dessen Funktion übernommen wurde, in die Gesamtstruktur einzuführen, besteht darin, dass der vorherige Funktionsinhaber möglicherweise weiter operiert wie zuvor, bevor er im Rahmen einer eingehenden Replikation Kenntnis von der Übernahme seiner Funktion erlangt. Bei zwei Domänencontrollern, die die gleiche FSMO-Funktion innehaben, können Sicherheitsprincipals mit überlappenden RID-Pools erstellt werden und auch andere Probleme auftreten."

Also so wie Du sagst, Woiza ... :)

Warum hab ich das nicht schon früher gefunden ??? :suspect:

[Daim 12]

Aloha,

 

Daher bei "seize" immer die alte Kiste plattmachen.

 

ja, aber... genau genommen trifft das neu installieren nur zu, wenn mindestens einer von drei Rollen geseizet wurde. Die betroffenen drei Rollen wären:

 

-Schema-Master

-Domänennamen-Master

-RID-Master

 

Die Rollen PDC-Emulator sowie Infrastrukturmaster, könnten erneut zurückverschoben werden, ohne das weiterfolgende Probleme entstehen.

 

Microsoft Corporation

[IThome 10]

Ja genau, davon ist in den Lehrbüchern auch immer die Rede ...

[blub 115]

Unter 2003 sind gegenüber 2000 einige Sicherungsmechanismen dazugekommen. Unter 2000 waren 2 RID-Master online ein Garant für einen Fullrestore der DCs, unter 2003 bekommt man einen zweiten RID nicht mehr so leicht hoch. So wurde es mir zumindest mal von einem MS-Consultanten erzählt, ausprobiert hab ichs nicht.

[woiza 10]

Klar, es betrifft nur die Rollen, die für neue Objekte im AD sicherstellen sollen, dass diese auch unique sind. Wenn man sich nicht sicher ist, ist plattmachen bei der falschen Rolle auch kein Beinbruch und besser als ne falsche wieder online zu nehmen. ;)

[blub 115]

wobei der Schemamaster eine SonderFSMOrolle ist. Auf dem sind keine anderen Informationen oder Dienste am Laufen, als auf den anderen DCs. Einzig, dieser Rechner hat die Berechtigung am Schema etwas zu verändern

[Daim 12]

Klar, es betrifft nur die Rollen, die für neue Objekte im AD sicherstellen sollen, dass diese auch unique sind. Wenn man sich nicht sicher ist, ist plattmachen bei der falschen Rolle auch kein Beinbruch und besser als ne falsche wieder online zu nehmen. ;)

 

Richtig. Die "Faustformel" herauszugeben "wenn die Rollen (egal welche" geseizet wurden" den DC neu zu installieren halte ich für richtig und daran sollte sich nichts ändern.

Zumal der PDC-Emulator wenn dieser von den anderen Rollen getrennt werden sollte, sowieso mit dem RID-Master auf einem DC liegen sollte.