Mit Active Directory können Objekterstellungen, Aktualisierungen und Löschungen für jeden autorisierenden Domänencontroller festgeschrieben werden. Dies ist möglich, da jeder Active Directory-Domänencontroller eine beschreibbare Kopie der Partition seiner eigenen Domäne verwaltet-mit Ausnahme natürlich schreibgeschützter Domänencontroller. Nachdem eine Änderung festgeschrieben wurde, wird sie über einen Prozess namens Multi-Master Replication automatisch auf andere Domänencontroller repliziert., Dieses Verhalten ermöglicht die zuverlässige Verarbeitung der meisten Vorgänge durch mehrere Domänencontroller und sorgt für ein hohes Maß an Redundanz, Verfügbarkeit und Zugänglichkeit innerhalb von Active Directory.
Eine Ausnahme von diesem Verhalten gilt für bestimmte Active Directory-Vorgänge, die so empfindlich sind, dass ihre Ausführung auf einen bestimmten Domänencontroller beschränkt ist. Active Directory adressiert diese Situationen über einen speziellen Rollensatz., Microsoft hat damit begonnen, diese Rollen als Operation-Master-Rollen zu bezeichnen, aber sie werden häufiger unter ihrem ursprünglichen Namen Flexible Single-Master Operator („FSMO“) – Rollen bezeichnet.
Was sind FSMO-Rollen?
Active Directory hat fünf FSMO-Rollen (im Allgemeinen „FIZZ-mo“ ausgesprochen), von denen zwei Enterprise-Level (dh eine pro Forest) und drei Domain-Level (dh eine pro Domain) sind. Die FSMO-Rollen auf Unternehmensebene werden als Schema-Master und Domänennamenmaster bezeichnet., Die FSMO-Rollen auf Domänenebene werden als primärer Domänencontroller-Emulator, relativer Bezeichner-Master und Infrastruktur-Master bezeichnet.
Mit den folgenden Befehlen können FSMO-Rollenbesitzer identifiziert werden. Eingabeaufforderung:
netdom query fsmo /domain:<DomainName>
PowerShell:
In einer neuen Active Directory-Gesamtstruktur werden alle fünf FSMO-Rollen dem anfänglichen Domänencontroller in der neu erstellten Gesamtstruktur rootdomain zugewiesen.,
Wenn eine neue Domäne zu einer vorhandenen Gesamtstruktur hinzugefügt wird, werden nur die drei FSMO-Rollen auf Domänenebene dem anfänglichen Domänencontroller in der neu erstellten Domäne zugewiesen; die beiden FSMO-Rollen auf Unternehmensebene sind bereits in der Waldstammdomäne vorhanden.
FSMO-Rollen bleiben häufig ihren ursprünglichen Domänencontrollern zugewiesen, können jedoch bei Bedarf übertragen werden.,
Die 5 FSMO-Rollen von Active Directory
Schema Master
Der Schema Master ist eine FSMO-Rolle auf Unternehmensebene; es gibt nur einen Schema Master in einer Active Directory-Gesamtstruktur.
Der Schema-Master-Rollenbesitzer ist der einzige Domänencontrollerin einer Active Directory-Gesamtstruktur, die eine beschreibbare Schemapartition enthält. Als Ergebnis muss der Domänencontroller, dem die Schema Master FSMO-Rolle gehört, beavailable sein, um das Schema seiner Gesamtstruktur zu ändern., Dazu gehören Aktivitäten wie Erhöhungdie funktionale Ebene der Gesamtstruktur und die Aktualisierung des Betriebssystems von adomain Controller auf eine höhere Version als derzeit in der Gesamtstruktur vorhanden,von denen eine Aktualisierung des Active Directory-Schemas einführt.
Die Schemamasterrolle hat wenig Overhead und ihr Verlust kann zu geringen bis gar keinen unmittelbaren betrieblichen Auswirkungen führen; sofern keine Schemaänderungen erforderlich sind, kann sie auf unbestimmte Zeit ohne erkennbare Wirkung offline bleiben., Die Schemamasterrolle sollte nur erfasst werden, wenn der Domaincontroller, dem die Rolle gehört, nicht wieder online gestellt werden kann. Wenn der Master-Rollenbesitzer des Schemas wieder online gestellt wird, nachdem die Rolle von ihm übernommen wurde, können schwerwiegende Dateninkonsistenzund Integritätsprobleme in den Wald gelangen.
Domänennamenmaster
Der Domänennamenmaster ist eine Rolle auf Unternehmensebene; Es gibt nur einen Domänennamenmaster in einer Active Directory-Gesamtstruktur.,
Der Domain Naming Master Role Owner ist der einzige Domaincontroller in einer Active Directory-Gesamtstruktur, der in der Lage ist, der Gesamtstruktur neue Domänen und Anwendungspartitionen hinzuzufügen. Seine Verfügbarkeit ist auch notwendig, um zu entfernenexistierende Domänen und Anwendungspartitionen aus der Gesamtstruktur.
Die Domain Naming Master Rolle hat wenig Overhead und itsloss kann erwartet werden, dass in wenig bis keine operativen Auswirkungen führen, da diedition und Entfernung von Domains und Partitionen werden selten durchgeführt undsind selten zeitkritische Operationen., Folglich muss die Domain Naming Master roleshould nur dann beschlagnahmt werden, wenn der Domänencontroller, dem die rolecannot gehört, nicht wieder online gestellt wird.
RID Master
Der relative Bezeichner Master („RID Master“) ist eine Rolle auf Domänenebene; In jeder Domäne befindet sich ein RID Master in einer ActiveDirectory-Gesamtstruktur.
Der RID – Master-Rollenbesitzer ist für die Zuweisung von Aktiv-und Standby-relativen Bezeichnerpools („RID“) an Domänencontroller in itsdomain verantwortlich. RID-pools bestehen aus einem einzigartigen, zusammenhängenden Bereich von RIDs., Diese RIDs werden während der Objekterstellung verwendet, um die eindeutige Sicherheitskennung des neuen Objekts(„SID“) zu generieren. Der RID-Master ist auch dafür verantwortlich, Objekte von einer Domäne in eine andere innerhalb eines Waldes zu verschieben.
In reifen Domänen ist der vom RID-Master generierte Overhead vernachlässigbar. Da die PDC in einer Domäne in der Regel die meiste Aufmerksamkeit Vonadministratoren erhält, hilft das Verlassen dieser Rolle, die der Domäne zugewiesen ist, PDC ensurereliable availability., Es ist auch wichtig sicherzustellen, dass vorhandene Domaincontroller und neu beworbene Domänencontroller, insbesondere solche, die Inremote-oder Staging-Sites beworben werden, eine Netzwerkverbindung zum RID-Master haben und zuverlässig aktive und Standby-RID-Pools erhalten können.
Der Verlust des RID-Masters einer Domäne führt schließlich dazu, dass keine neuen Objekte innerhalb der Domäne erstellt werden können, da die RID-Pools der verbleibenden Domaincontroller erschöpft sind., Während die Nichtverfügbarkeit des Domaincontrollers, der die RID-Master-Rolle besitzt, so aussehen kann, als würde dies eine erhebliche Betriebsstörung verursachen, führt das relativ geringe Volumen von Objectcreation-Ereignissen in einer ausgereiften Umgebung dazu, dass die Auswirkungen eines solchen Ereignisses für eine beträchtliche Zeit tolerierbar sind. Ein RIDMaster wieder online zu bringen, nachdem er seine Rolle ergriffen hat, kann potenziell eingeführtduplicate RIDs in die Domain. Folglich sollte diese Rolle nur dann von einem Domänencontroller übernommen werden, wenn der Domänencontroller, dem die Rolle gehört, nicht wieder online gestellt werden kann.,
Infrastructure Master
Der Infrastructure Master ist eine Rolle auf Domänenebene; In jeder Domäne befindet sich ein Infrastrukturmaster in einer Active Directory-Gesamtstruktur.
Der Infrastructure Master Role Owner ist der Domaincontroller in jeder Domäne, der für die Verwaltung von Phantomobjekten verantwortlich ist.Phantomobjekte werden verwendet, um persistente Verweise auf deletedobjects und Link-valued Attribute zu verfolgen und zu verwalten, die auf Objekte in einer anderen Domainwithin der Gesamtstruktur verweisen (z. B. eine lokale Domänensicherheitsgruppe mit einem Mitgliedsbenutzer aus einer anderen Domäne).,
Der Infrastruktur-Master kann auf jedem Domaincontroller in einer Domäne platziert werden, es sei denn, die Active Directory-Gesamtstruktur enthält Domaincontroller, die keine globalen Kataloghosts sind. In diesem Fall muss der InfrastructureMaster auf einem Domänencontroller platziert werden, der kein globaler Kataloghost ist.
Der Verlust des Domänencontrollers, dem die InfrastructureMaster-Rolle gehört, ist nur für Administratoren spürbar und kann über einen längeren Zeitraum interoperiert werden., Während seine Abwesenheit dazu führt, dass die Namen von domänenübergreifenden Objektverknüpfungen nicht korrekt aufgelöst werden, ist die Möglichkeit, domänenübergreifende Gruppenmitgliedschaften zu verwenden, nicht betroffen.
PDC-Emulator
Der primäre Domänencontroller-Emulator („PDC-Emulator“oder“ PDCE“) ist eine Rolle auf Domänenebene; In jeder Domäne befindet sich eine PDCE in einer ActiveDirectory-Gesamtstruktur.
Der PDCE-Rollenbesitzer ist für mehrere entscheidende Vorgänge verantwortlich:
- Abwärtskompatibilität. Die PDCE ahmt das Single-Master-Verhalten eines primären Windows NT-Domänencontrollers nach., Um Abwärtskompatibilitätsprobleme zu beheben, registriert sich PDCE als Zieldomänen-Controller für ältere Anwendungen, die beschreibbare Vorgänge ausführen, und bestimmte Verwaltungstools, die das Multi-Master-Verhalten von Active Directory-Domänencontrollern nicht kennen.
- Zeitsynchronisation. Jede PDCE dient als Hauptzeitquelle innerhalb ihrer Domäne. Die PDCE in der Forest-Stammdomäne dient als bevorzugter Network Time Protocol („NTP“) – Server in der Gesamtstruktur., Die PDCE in jeder anderen Domäne innerhalb der Gesamtstruktur synchronisiert ihre Uhr mit der Gesamtstamm-PDCE, Nicht-PDCE-Domänencontroller synchronisieren ihre Uhren mit der PDCE ihrer Domäne, und domänenbasierte Hosts synchronisieren ihre Uhren mit ihrem bevorzugten Domänencontroller.
HINWEIS: Das Kerberos-Authentifizierungsprotokoll enthält Zeitstempelinformationen und ist ein Beispiel für die Bedeutung der Zeitsynchronisation innerhalb einer Active Directory-Gesamtstruktur., Die Kerberos-Authentifizierung schlägt fehl, wenn der Unterschied zwischen der Uhr eines anfragenden Hosts und der Uhr des authentifizierenden Domänencontrollers 5 Minuten überschreitet (diese Toleranz ist konfigurierbar, aber die Best Practice-Empfehlung von Microsoft besteht darin, den Standardwert für 5 Minuten beizubehalten Maximale Toleranz für die Computertaktsynchronisationseinstellung). Dieses Verhalten soll bestimmten böswilligen Aktivitäten wie „Replay-Angriffen“entgegenwirken. - Passwort Update Verarbeitung., Wenn Computer-und Benutzerkennwörter von einem Nicht-PDCE-Domänencontroller geändert oder zurückgesetzt werden, wird das festgeschriebene Update sofort in die PDCE der Domäne repliziert. Wenn ein Konto versucht, sich bei einem Domänencontroller zu authentifizieren, der noch keine letzte Kennwortänderung durch geplante Replikation erhalten hat, wird die Anforderung an die Domäne PDCE weitergeleitet. Die PDCE versucht, die Authentifizierungsanforderung zu verarbeiten, und weist den anfordernden Domänencontroller an, die Authentifizierungsanforderung entweder zu akzeptieren oder abzulehnen., Dieses Verhalten stellt sicher, dass Kennwörter auch dann zuverlässig verarbeitet werden können, wenn die letzten Änderungen durch geplante Replikation nicht vollständig weitergegeben wurden. Die PDCE ist auch für die Verarbeitung von Kontosperrungen verantwortlich, da alle fehlgeschlagenen Kennwortauthentifizierungen an die PDCE weitergegeben werden.
- Gruppenrichtlinien-Updates. Alle Aktualisierungen des Gruppenrichtlinienobjekts („GPO“) werden an die Domäne PDCE übergeben. Dies verhindert das Potenzial für Versionskonflikte, die auftreten könnten, wenn ein GPO auf zwei Domänencontrollern ungefähr zur gleichen Zeit geändert wurde.
- Verteiltes Dateisystem., Standardmäßig fordern Stammserver des verteilten Dateisystems („DFS“) regelmäßig aktualisierte DFS-Namespace-Informationen von der PDCE an. Während dieses Verhalten zu Ressourcen-Flaschenhals führen kann, ermöglicht die Dfsutil.mit dem Parameter Root Scalability können DFS-Root-Server Updates vom nächstgelegenen Domänencontroller anfordern (siehe https://docs.microsoft.com/en-us/previous-versions/windows/it-pro/windows-server-2008-R2-and-2008/hh341472(v=ws.10) für weitere Informationen).
Als Konsequenz aus seiner Verantwortung sollte die PDCE auf einem gut zugänglichen, gut vernetzten, leistungsstarken Domaincontroller platziert werden., Zusätzlich sollte der Forest Root Domain PDC Emulator mit einer zuverlässigen externen Zeitquelle konfiguriert werden.
Während der Verlust des Domänencontrollers, dem die PDCEmulator-Rolle gehört, unmittelbare und signifikante Auswirkungen auf die Operationen haben kann, führt die Art seiner Verantwortlichkeiten dazu, dass die Beschlagnahme der PDCCE-Rolle weniger Auswirkungen auf die Domäne hat als die Beschlagnahme anderer Rollen. Die Beschlagnahme der PDCE-Rolle wird als empfohlene Best Practice angesehen, falls ein Domänencontroller, der die PDCE-Rolle besitzt, aufgrund eines außerplanmäßigen Ausfalls nicht verfügbar wird.,
Übertragen von FSMO-Rollen
Wie bereits in diesem Beitrag erwähnt, sind FSMO-Rollen notwendigum bestimmte wichtige Vorgänge auszuführen, sind sie nicht redundant. Als Ergebnis kann es entweder wünschenswert oder notwendig sein, FSMO-Rollen von Onedomain-Controller zu einem anderen zu verschieben.
Eine Methode zum Übertragen von FSMO-Rollen besteht darin, den Domain-Controller zu degradieren, dem die Rollen gehören. Wenn ein Domänencontroller degradiert wird, versucht er, alle FSMO-Rollen, die er besitzt, an geeignete Domänencontroller auf derselben Site zu übertragen., Rollen auf Domänenebene können nur an Domänencontroller in derselben Domäne übertragen werden, Rollen auf Unternehmensebene können jedoch an jeden geeigneten Domänencontroller in der Gesamtstruktur übertragen werden. Zwar gibt es Regeln, die Regeln, wie der Domain-Controller, der degradiert wird, entscheiden wird, wo er seine FSMO-Rollen übertragen soll, aber es gibt keine Möglichkeit, direkt zu kontrollieren, wo seine FSMO-Rollen übertragen werden.
Die ideale Methode zum Verschieben einer FSMO-Rolle besteht darin, sie entweder über die Verwaltungskonsole, PowerShell oder ntdsutil aktiv zu übertragen.exe., Während der Amanual-Übertragung synchronisiert sich der Quell-Domänencontroller mit dem Targetdomain-Controller, bevor die Rolle übertragen wird.
Das Konto, das eine Schemamasterrolle ausführt, muss Mitglied der Gruppe Schema Admins und Enterprise Admins sein. Die Mitgliedschaft in der Enterprise Admins-Gruppe ist erforderlich, um die Domain Naming Master-Rolle zu übertragen. Die Rollen PDCE, RID Master und Infrastructure Master können von einem Konto mit Mitgliedschaft in der Gruppe Domänenadministratoren der Domäne übertragen werden, in die die Rollen übertragen werden.,
Management Console
Die Übertragung von FSMO-Rollen über die Management Console kann die Verwendung von bis zu drei verschiedenen Snap-In-Modulen erfordern.
Schema-Master-Rolle übertragen
Die Schema-Master-Rolle kann über das ActiveDirectory Schema Management Snap-In übertragen werden.
Wenn das nicht zu den verfügbaren Management Console Snap-Ins gehört, muss es registriert werden. Um die Active Directory Schema Management Console zu registrieren, öffnen Sie eine erhöhte Eingabeaufforderung und geben Sie regsvr32 schmmgmt ein.,und drücken Sie die Eingabetaste:
Sobald die DLL registriert wurde, führen Sie die Verwaltungskonsole als Benutzer aus, der Mitglied der Gruppe Schema Admins ist, und fügen Sie das Active Directory-Schema-Snap-In zur Verwaltungskonsole hinzu:
Klicken Sie mit der rechten Maustaste auf den Active Directory-Schemaknoten und wählen Sie „Active Directory-Domänencontroller ändern“.,div id=“51e1a53e4d“>
Klicken Sie erneut mit der rechten Maustaste auf den Active Directory-Schemaknoten und wählen Sie „Operations Master“:
Klicken Sie auf die Schaltfläche „Ändern“, um die Übertragung der Schemamasterrolle an den Zieldomänen-Controller zu beginnen:
Übertragung der Domain Naming Master Role
Die Domain Naming Master role kann mit dem Active Directory Domains und Trusts Management Console Snap-in übertragen werden.,
Führen Sie die Verwaltungskonsole als Benutzer aus, der Mitglied der Enterprise Admins-Gruppe ist, und fügen Sie das Active Directory-Domänen-und Trusts-Snap-In der Verwaltungskonsole hinzu:
Klicken Sie mit der rechten Maustaste auf den Knoten Active Directory-Domänen und Trusts und wählen Sie „Active Directory-Domänencontroller ändern“., knoten Sie erneut und wählen Sie „Operations Master“:
Klicken Sie auf die Schaltfläche „Ändern“, um mit der Übertragung der Domänennamen-Master-Rolle an den Zieldomänen-Controller zu beginnen:
Übertragen der RID-Master -, Infrastruktur-Master-oder PDC-Emulatorrollen
Die RID-Master -, Infrastruktur-Master-und PDC-Emulatorrollen können alle mit dem Active Directory-Benutzer-und Computermanagement-Konsolen-Snap-In übertragen werden.,
Führen Sie die Verwaltungskonsole als Benutzer aus, der Mitglied der Gruppe Domänenadministratoren in der Domäne ist, in die die FSMO-Rollen übertragen werden, und fügen Sie das Snap-In für Active Directory-Benutzer und-Computer zur Verwaltungskonsole hinzu:
Klicken Sie mit der rechten Maustaste entweder auf den Domänenknoten oder Active Directory-Benutzer und-Computer Knoten und wählen Sie „Active Directory-Domänencontroller ändern“.,v id=“0c7ce01ed8″>
Klicken Sie mit der rechten Maustaste auf den Knoten Active Directory-Benutzer und-Computer und klicken Sie auf „Operations Masters“:
Wählen Sie die entsprechende Registerkarte klicken Sie auf die Schaltfläche „Ändern“, um mit der Übertragung der FSMO-Rolle an den Zieldomänen-Controller zu beginnen:
PowerShell
Mit dem Move-ADDirectoryServerOperationMasterRole PowerShell-Cmdlet kann FSMO auf den Zieldomänen-Controller übertragen werden.rollen., Die übertragenen Rollen werden mit dem Parameter-OperationMasterRole angegeben:
Move-ADDirectoryServerOperationMasterRole -Identity TargetDC -OperationMasterRole pdcemulator, ridmaster, infrastructuremaster, schemamaster, domainnamingmaster
ntdsutil.exe
ndtsutil.exe ist ein leichtes Befehlszeilentool, das kannführen Sie eine Reihe nützlicher Funktionen aus, einschließlich der Übertragung von FSMO-Rollen.
FSMO-Rollen können mit den folgenden Schritten übertragen werden:
- Öffnen Sie eine erhöhte Eingabeaufforderung.
- Geben Sie ntdsutil ein, und drücken Sie die EINGABETASTE. Ein neues Fenster wird geöffnet.
- Geben Sie an der Eingabeaufforderung ntdsutil Rollen ein und drücken Sie die Eingabetaste.
- Geben Sie an der Eingabeaufforderung fsmo maintenance connections ein und drücken Sie die Eingabetaste.,
- Geben Sie an der Eingabeaufforderung für Serververbindungen connect to server ein <DC> (Ersetzen Sie <DC> durch den Hostnamen des Domänencontrollers, an den die FSMO-Rollen übertragen werden) und drücken Sie die Eingabetaste. Dadurch wird ntdsutil an den Zieldomänencontroller gebunden.
- Geben Sie quit ein und drücken Sie Enter.
- Geben Sie an der Eingabeaufforderung fsmo maintenance die entsprechenden Befehle für jede übertragene FSMO-Rolle ein:
- Um die FSMO-Rolle Schema Master zu übertragen, geben Sie transfer schema master ein und drücken Sie die Eingabetaste.,
- Um die Rolle Domain Naming Master FSMO zu übertragen, geben Sie transfer naming master ein und drücken Sie die Eingabetaste.
- Um die Rolle RID Master FSMO zu übertragen, geben Sie rid Master übertragen ein und drücken Sie die Eingabetaste.
- Um die FSMO-Rolle Infrastructure Master zu übertragen, geben Sie transfer infrastructure Master ein und drücken Sie die Eingabetaste.
- Um die Rolle PDC Emulator FSMO zu übertragen, geben Sie transfer pdc ein und drücken Sie die Eingabetaste.
- Um die Eingabeaufforderung fsmo maintenance zu verlassen, geben Sie quit ein und drücken die Eingabetaste.
- Um die ntdsutil-Eingabeaufforderung zu beenden, geben Sie quit ein und drücken Sie die Eingabetaste.,
- Öffnen Sie eine erhöhte Eingabeaufforderung.
- Geben Sie ntdsutil ein, und drücken Sie die EINGABETASTE. Ein neues Fenster wird geöffnet.
- Geben Sie an der Eingabeaufforderung ntdsutil Rollen ein und drücken Sie die Eingabetaste.
- Geben Sie an der Eingabeaufforderung fsmo maintenance connections ein und drücken Sie die Eingabetaste.
- Geben Sie an der Eingabeaufforderung für Serververbindungen connect to server ein <DC> (Ersetzen Sie <DC> durch den Hostnamen des Domänencontrollers, an den die FSMO-Rollen übergeben werden) und drücken Sie die Eingabetaste., Dadurch wird ntdsutil an den Zieldomänencontroller gebunden.
- Geben Sie quit ein und drücken Sie Enter.
- Geben Sie an der Eingabeaufforderung fsmo maintenance die entsprechenden Befehle für jede übertragene FSMO-Rolle ein:
- Um die FSMO-Rolle Schema Master zu übertragen, geben Sie seize schema master ein und drücken Sie die Eingabetaste.
- Um die Rolle Domain Naming Master FSMO zu übertragen, geben Sie seize naming master ein und drücken Sie die Eingabetaste.
- Um die Rolle RID Master FSMO zu übertragen, geben Sie ergreifen rid Master und drücken Sie die Eingabetaste.
- Um die FSMO-Rolle des Infrastruktur-Masters zu übertragen, geben Sie Infrastruktur-Master ergreifen ein und drücken Sie die Eingabetaste.,
- Um die PDC Emulator FSMO Rolle zu übertragen, geben Sie ergreifen pdc und drücken Sie die Eingabetaste.
- Um die Eingabeaufforderung fsmo maintenance zu verlassen, geben Sie quit ein und drücken die Eingabetaste.
- Um die ntdsutil-Eingabeaufforderung zu beenden, geben Sie quit ein und drücken Sie die Eingabetaste.
FSMO-Rollen ergreifen
Die Übertragung von FSMO-Rollen erfordert, dass sowohl der Quell-Domaincontroller als auch die Zieldomänen-Controller online und funktionsfähig sind. Wenn ein Adomain-Controller, der eine oder mehrere FSMO-Rollen besitzt, verloren geht oder für einen signifikanten Zeitraum nicht verfügbar ist, können seine FSMO-Rollen an einen anderen ADOMAIN-Controller „übergeben“ werden.
In den meisten Fällen sollten FSMO-Rollen nur dann beschlagnahmt werden, wenn der ursprüngliche FSMO-Rollenbesitzer nicht in die Umgebung zurückgebracht werden kann., Die Wiedereinführung eines FSMO-Rollenbesitzers nach der Übernahme seiner Rollen kann erhebliche Schäden für die Domäne oder den Wald verursachen. Dies gilt insbesondere für die Rollen SchemaMaster und RID Master.
Das Cmdlet Move-ADDirectoryServerOperationMasterRole erlaubt die Verwendung des Parameters a-Force, mit dem FSMO-Rollen erfasst werden können. Wenn Sie den Parameter-Force verwenden, wird das Cmdlet angewiesen, eine FSMO-Rollenübertragung zu versuchen, und dann die Rollen zu übernehmen, wenn der Übertragungsversuch fehlschlägt.
Die folgenden Anweisungen können verwendet werden, um FSMO-Rollen mit dem ntdsutil zu erfassen.,exe-Dienstprogramm:
Zusammenfassung
Da jede Rolle nur einmal in einer Gesamtstruktur oder Domäne vorhanden ist, ist es wichtig, nicht nur den Standort jedes FSMO-Rolleninhabers und die Verantwortlichkeiten jeder FSMO-Rolle zu verstehen, sondern auch die betrieblichen Auswirkungen, die durch die Nichtverfügbarkeit eines FSMO-rolleninhabenden Domänencontrollers verursacht werden., Solche Informationen sind wertvoll in Situationen, in denen ein Domänencontroller nicht verfügbar ist, sei es aufgrund unvorhergesehener Ereignisse oder während der Planung und Durchführung geplanter Upgrades und Wartungsarbeiten.