FSMO-rollen overnemen of overbrengen

Vraag:

In dit artikel wordt beschreven hoe u met het hulpprogramma Ntdsutil.exe FSMO-functies (Flexible Single Master Operations) kunt overbrengen of overnemen.

Antwoord:

Bepaalde bewerkingen in het domein of de gehele onderneming die niet geschikt zijn voor updates van meerdere masters, worden uitgevoerd door één domeincontroller in een Active Directory-domein of -forest. De domeincontrollers die zijn toegewezen om deze unieke bewerkingen uit te voeren, worden operations-masters of houders van FSMO-functies genoemd.

Hieronder volgt een beschrijving van de 5 unieke FSMO-functies in een Active Directory-forest, en van de afhankelijke bewerkingen die ze uitvoeren:

  • Schemamaster – De functie Schemamaster geldt voor het gehele forest, en elk forest heeft een eigen schemamaster. Deze functie is vereist om het schema van een Active Directory-forest uit te breiden of om de opdracht adprep /domainprep uit te voeren.
  • Domeinnaamgevingsmaster – De functie Domeinnaamgevingsmaster geldt voor het gehele forest en elk forest heeft een eigen domeinnaamgevingsmaster. Deze functie is vereist om domeinen of toepassingspartities toe te voegen aan of te verwijderen uit een forest.
  • RID-master – De functie RID-master geldt voor het gehele domein en elk domein heeft een eigen RID-master. Deze functie is vereist om de RID-pool toe te wijzen zodat nieuwe of bestaande domeincontrollers gebruikersaccounts, computeraccounts of beveiligingsgroepen kunnen maken.
  • PDC-emulator – De functie PDC-emulator geldt voor het gehele domein en elk domein heeft een eigen PDC-emulator. Deze functie is vereist voor de domeincontroller die database-updates verzendt naar Windows NT-BDC’s (back-updomeincontrollers). De domeincontroller die deze functie heeft, wordt ook gedetecteerd door bepaalde beheerprogramma’s en updates van wachtwoorden voor gebruikers- en computeraccounts.
  • Infrastructuurmaster – De functie Infrastructuurmaster geldt voor het gehele domein en elk domein heeft een eigen infrastructuurmaster. Deze functie is vereist voor domeincontrollers om de opdracht adprep /forestprep te kunnen uitvoeren en om SID-kenmerken en DN-kenmerken (Distinguished Name) te kunnen bijwerken voor objecten met interdomeinverwijzingen.

De wizard Active Directory installeren (Dcpromo.exe) kent alle 5 de FSMO-functies toe aan de eerste domeincontroller in het hoofddomein van het forest. Aan de eerste domeincontroller in elk nieuw onderliggend element of elke nieuwe structuurdomein worden de drie rollen voor het gehele domein toegewezen. Domeincontrollers behouden hun FSMO-functies totdat de functies op een van de volgende manieren opnieuw worden toegewezen:

  • Een beheerder wijst de functie opnieuw toe via een beheerprogramma met grafische gebruikersinterface.
  • Een beheerder wijst de functie opnieuw toe met behulp van de opdracht ntdsutil /roles.
  • Een beheerder degradeert een domeincontroller met een functie met behulp van de wizard Active Directory installeren. Deze wizard kent alle lokaal toegewezen functies toe aan een bestaande domeincontroller in het forest. Wanneer degradaties met de opdracht dcpromo /forceremoval worden uitgevoerd, krijgen FSMO-functies een ongeldige status totdat ze door een beheerder opnieuw worden toegewezen.

In de volgende scenario’s adviseren we u FSMO-functies over te brengen:

  • De huidige functiehouder is operationeel en kan door de nieuwe FSMO-eigenaar via het netwerk worden benaderd.
  • U degradeert een domeincontroller die op dat moment eigenaar is van FSMO-functies die u wilt toewijzen aan een specifieke domeincontroller in uw Active Directory-forest.
  • De domeincontroller die op dat moment eigenaar is van FSMO-functies, wordt offline gehaald voor gepland onderhoud, en u moet specifieke FSMO-functies toewijzen aan een ‘live’ domeincontroller. Dit kan nodig zijn om bepaalde bewerkingen uit te voeren waarbij verbinding wordt gemaakt met de FSMO-eigenaar. Dit geldt met name voor de functie PDC-emulator, maar in mindere mate voor de functies RID-master, Domeinnaamgevingsmaster en Schemamaster.

Wij raden u aan in de volgende scenario’s FSMO-functies over te nemen:

  • De huidige functiehouder heeft operationele problemen die voorkomen dat een FSMO-afhankelijke bewerking kan worden voltooid, waardoor die functie niet kan worden overgebracht.
  • Een domeincontroller die eigenaar is van een FSMO-functie, wordt gedwongen gedegradeerd met de opdracht dcpromo /forceremoval.
  • Het besturingssysteem op de computer die oorspronkelijk eigenaar was van een specifieke functie, bestaat niet meer of is opnieuw geïnstalleerd.

Wanneer replicatie wordt uitgevoerd, krijgen niet-FSMO-domeincontrollers in het domein of forest alle informatie over wijzigingen die zijn aangebracht door FSMO-houdende domeincontrollers. De beste kandidaat voor het overbrengen van een functie is een domeincontroller in het juiste domein die het laatst vanuit de bestaande functiehouder een binnenkomende replicatie heeft uitgevoerd of onlangs een binnenkomende replicatie heeft uitgevoerd van een beschrijfbare kopie van de ‘FSMO-partitie’. Een voorbeeld. De houder van de functie Schemamaster heeft het DN-pad CN=schema,CN=configuration,dc=. Dit betekent dat hierin functies zijn opgenomen en dat deze functies worden gerepliceerd als onderdeel van de CN=schema partition. Als de domeincontroller met de functie Schemamaster hardware- of softwareproblemen ervaart, zou de domeincontroller in het hoofddomein en op dezelfde Active Directory-site als de huidige eigenaar, een geschikte kandidaat zijn als functiehouder. Domeincontrollers op dezelfde Active Directory-site voeren elke 5 minuten of 15 seconden een binnenkomende replicatie uit.

In de volgende lijst vindt u de partitie voor elke FSMO-functie:

FSMO-functie Partitie
Schema CN=Schema,CN=configuration,DC=
Domeinnaamgevingsmaster CN=configuration,DC=
PDC DC=
RID DC=
Infrastructuur DC=

Een domeincontroller waarvan de FSMO-functies zijn overgenomen, mag niet meer communiceren met bestaande domeincontrollers in het forest. In dit scenario moet u ofwel de vaste schijf formatteren en het besturingssysteem opnieuw op dergelijke domeincontrollers installeren, ofwel moet u deze domeincontrollers degraderen naar een particulier netwerk en vervolgens hun metagegevens op een overgebleven domeincontroller in het forest verwijderen. Daarvoor gebruikt u de opdracht ntdsutil /metadata cleanup. Het risico dat een voormalige houder van een FSMO-functie wordt geïntroduceerd waarvan de functie is overgenomen in het forest, is dat de oorspronkelijke functiehouder kan blijven functioneren als voorheen, totdat een binnenkomende replicatie van de informatie over de functieovername plaatsvindt. Tot de bekende risico’s van twee domeincontrollers die eigenaar zijn van dezelfde FSMO-functies, behoort onder andere het probleem dat beveiligingsprincipals met overlappende RID-pools kunnen worden gemaakt.

FSMO-functies overbrengen

Ga als volgt te werk om de FSMO-functies over te brengen met het hulpprogramma Ntdsutil:

  1. Meld u aan bij een Windows 2000 Server- of Windows Server 2003-lidcomputer of -domeincontroller die zich bevindt in het forest waar FSMO-functies worden overgebracht. U wordt geadviseerd u aan te melden bij de domeincontroller waaraan u FSMO-functies toewijst. De aangemelde gebruiker moet lid zijn van de groep Ondernemingsadministrators om de functies Schemamaster of Domeinnaamgevingsmaster te kunnen overbrengen, of moet lid zijn van de Domeinadministratorsgroep van het domein waar de functies PDC-emulator, RID-master en Infrastructuurmaster worden overgebracht.
  2. Klik op Start, klik op Uitvoeren, typ ntdsutil in het vak Openen en klik op OK.
  3. Typ roles en druk op Enter.
    Opmerking Voor een lijst met beschikbare opdrachten typt u ? bij een van de prompts in het hulpprogramma Ntdsutil en drukt u op Enter.
  4. Typ connections en druk op Enter.
  5. Typ connect to server servernaam en druk op Enter, waarbij servernaam de naam is van de domeincontroller waaraan u de FSMO-functie wilt toewijzen.
  6. Typ q bij de prompt server connections en druk op Enter.
  7. Typ transfer functie, waarbij functie de functie is die u wilt overbrengen. Voor een lijst met functies die u kunt overbrengen, typt u ? bij de prompt fsmo maintenance en drukt u op Enter, of raadpleegt u de lijst met functies aan het begin van dit artikel. Als u bijvoorbeeld de functie RID-master wilt overbrengen, typt u transfer rid master. De enige uitzondering vormt de functie PDC-emulator. De syntaxis daarvoor is transfer pdc in plaats van transfer pdc emulator.
  8. Typ bij de prompt fsmo maintenance de opdracht q en druk op Enter om toegang te krijgen tot de ntdsutil-prompt. Typ q en druk op Enter om het hulpprogramma Ntdsutil af te sluiten.

FSMO-functies overnemen

Ga als volgt te werk om de FSMO-functies over te nemen met het hulpprogramma Ntdsutil:

  1. Meld u aan bij een Windows 2000 Server- of Windows Server 2003-lidcomputer of -domeincontroller die zich bevindt in het forest waar FSMO-functies worden overgenomen. U wordt geadviseerd u aan te melden bij de domeincontroller waaraan u FSMO-functies toewijst. De aangemelde gebruiker moet lid zijn van de groep Ondernemingsadministrators om de functies Schemamaster of Domeinnaamgevingsmaster te kunnen overbrengen, of moet lid zijn van de Domeinadministratorsgroep van het domein waar de functies PDC-emulator, RID-master en Infrastructuurmaster worden overgebracht.
  2. Klik op Start, klik op Uitvoeren, typ ntdsutil in het vak Openen en klik op OK.
  3. Typ roles en druk op Enter.
  4. Typ connections en druk op Enter.
  5. Typ connect to server servernaam en druk op Enter, waarbij servernaam de naam is van de domeincontroller waaraan u de FSMO-functie wilt toewijzen.
  6. Typ q bij de prompt server connections en druk op Enter.
  7. Typ seize functie, waarbij functie de functie is die u wilt overnemen. Voor een lijst met functies die u kunt overnemen, typt u ? bij de prompt fsmo maintenance en drukt u op Enter, of raadpleegt u de lijst met functies aan het begin van dit artikel. Als u bijvoorbeeld de functie RID-master wilt overnemen, typt u seize rid master. De enige uitzondering vormt de functie PDC-emulator. De syntaxis daarvoor is seize pdc in plaats van seize pdc emulator.
  8. Typ bij de prompt fsmo maintenance de opdracht q en druk op Enter om toegang te krijgen tot de ntdsutil-prompt. Typ q en druk op Enter om het hulpprogramma Ntdsutil af te sluiten.

Opmerkingen

  • Onder doorsnee omstandigheden moeten alle vijf de functies worden toegewezen aan ‘live’ domeincontrollers in het forest. Als een domeincontroller die eigenaar is van een FSMO-functie, wordt uitgeschakeld voordat de functies zijn overgebracht, moet u alle functies overnemen op een geschikte en goed functionerende domeincontroller. U wordt geadviseerd alle functies alleen over te nemen wanneer de andere domeincontroller niet terugkeert naar het domein. Als dat niet mogelijk is, repareert u de toegewezen beschadigde domeincontroller waaraan de FSMO-functies zijn toegewezen. U moet bepalen welke functies bij welke resterende domeincontrollers behoren zodat alle vijf de functies aan één domeincontroller worden toegewezen. Voor meer informatie over de plaatsing van FSMO-functies klikt u op het volgende artikelnummer in de Microsoft Knowledge Base:
    223346 (http://support.microsoft.com/kb/223346/ ) FSMO-plaatsing en optimalisatie op Windows 2000-domeincontrollers
  • Als de domeincontroller die eerder een FSMO-functie bevatte, niet aanwezig is in het domein, en als deze zijn functies heeft overgenomen door het uitvoeren van de stappen in dit artikel, verwijdert u de domeincontroller uit de Active Directory middels de procedure die in het volgende Microsoft Knowledge Base-artikel wordt beschreven:
    216498 (http://support.microsoft.com/kb/216498/ ) Het verwijderen van gegevens in Active Directory bij een mislukte degradatie van domeincontrollers
  • Door de metagegevens van de domeincontroller te verwijderen met de Windows 2000-versie of de Windows Server 2003 build 3790-versie van de opdracht ntdsutil /metadata cleanup, worden FSMO-functies niet opnieuw toegewezen aan live domeincontrollers. De Windows Server 2003 SP1-versie van het hulpprogramma Ntdsutil automatiseert deze taak en verwijdert extra elementen van metagegevens voor domeincontrollers.
  • Sommige klanten geven er de voorkeur aan om systeemstatusback-ups van FSMO-functies niet te herstellen voor het geval de functie opnieuw wordt toegewezen na het maken van de back-up.
  • Plaats de functie Infrastructuurmaster niet op dezelfde domeincontroller als de GC-server (Global Catalog). Als de Infrastructuurmaster wordt uitgevoerd op een GC-server, wordt objectinformatie niet meer bijgewerkt omdat deze geen verwijzingen bevat naar objecten die deze niet bevat. Dat komt omdat een GC-server een gedeeltelijke replica bevat van elk object in het forest.

Ga als volgt te werk om te testen of een domeincontroller ook een GC-server is:

  1. Klik op Start, wijs Programma’s aan, wijs Systeembeheer aan en klik op Active Directory-sites en services.
  2. Dubbelklik in het linkerdeelvenster op Sites en zoek de juiste site of klik op Standaard-eerste-site als er geen andere sites beschikbaar zijn.
  3. Open de map Servers en klik op de domeincontroller.
  4. Dubbelklik in de map van de domeincontroller op NTDS-instellingen.
  5. Open het menu Actie en klik op Eigenschappen.
  6. Open het tabblad Algemeen en kijk of het selectievakje Globale catalogus is ingeschakeld.