FSMO Rollen eines Domänencontroller an einen anderen übertragen - der Klassiker 2003 2008 2008R2 2012 2012R2 2016 2019 2022: Unterschied zwischen den Versionen
Aus znilwiki
BLinz (Diskussion | Beiträge) KKeine Bearbeitungszusammenfassung |
BLinz (Diskussion | Beiträge) K (BLinz verschob die Seite FSMO Rollen eines Domänencontroller an einen anderen übertragen - der Klassiker 2003 2008 2008R2 2012 2012R2 2016 2019 nach FSMO Rollen eines Domänencontroller an einen anderen übertragen - der Klassiker 2003 2008 2008R2 2012 2012R2 2016 2019 2022: Textersetzung - „FSMO Rollen eines Domänencontroller an einen anderen übertragen - der Klassiker 2003 2008 2008R2 2012 2012R2 2016 2019“ durch „FSMO Rollen eines Domänencontroller an einen anderen übertragen - der Kla…) |
(kein Unterschied)
| |
Version vom 30. September 2022, 16:50 Uhr
Changelog:
- vor Urzeiten: erste Version
- 18.01.2022 zum ersten Mal in meinem Leben hatte der Benutzer nicht die Rechte um das Schema zu übergeben. Lösung hinzugefügt
Man installiert einen neuen Windows-Domänencontroller - und der alte soll weg?
Nun, alle Domänencontroller unter Windows sind gleich / gleichberechtigt ... doch einer ist gleicher als die anderen.
Dieser hät die so genannten FSMO-Rollen:
- Schemamaster - bezogen auf die Gesamtstruktur (ein Schemamaster pro Gesamtstruktur). Der Inhaber dieser Funktion ist berechtigt, das Schema einer Active Directory-Gesamtstruktur zu erweitern oder den Befehl adprep /domainprep auszuführen.
- Domänennamen-Master - bezogen auf die Gesamtstruktur (ein Domänennamen-Master pro Gesamtstruktur). Der Inhaber dieser Funktion ist berechtigt, einer Gesamtstruktur Domänen oder Anwendungspartitionen hinzuzufügen oder diese aus der Gesamtstruktur zu entfernen.
- RID-Master - für die gesamte Domäne zuständig (ein RID-Master pro Domäne). Der Inhaber dieser Funktion ist für die Zuweisung des RID-Pools zuständig, um vorhandenen Domänencontrollern die Möglichkeit einzuräumen, Benutzerkonten, Computerkonten oder Sicherheitsgruppen zu erstellen.
- PDC-Emulator - für die gesamte Domäne zuständig (ein PDC-Emulator pro Domäne). Diese Funktion muss dem Domänencontroller zugewiesen werden, der Datenbankaktualisierungen an Windows NT-Sicherungsdomänencontroller sendet. Der Domänencontroller, der Inhaber dieser Funktion ist, ist auch das Ziel bestimmter Verwaltungsprogramme und Aktualisierungen für die Kennwörter von Benutzerkonten und Computerkonten.
- Infrastrukturmaster - für die gesamte Domäne zuständig (ein Infrastrukturmaster pro Domäne). Domänencontroller müssen Inhaber dieser Funktion sein, um den Befehl adprep /forestprep erfolgreich ausführen und SID-Attribute sowie die Attribute definierter Namen für Objekte aktualisieren zu können, auf die domänenübergreifend verwiesen wird.
(Schamlos kopiert von http://support.microsoft.com/kb/255504/de)
Und diese Rollen müssen wir nun an den neuen Server übergeben.
Vorbereitung
Wir melden uns auf dem Ziel-Domänencontroller an (also dem Domänencontroller der in Zukunft alle Rollen haben soll).
1 von 5: Schemamaster (Schema Master) übertragen
Wir öffnen eine DOS Eingabeaufforderung (cmd.exe) oder drücken
- WIN + R
und führen folgenden Befehl aus:
regsvr32 schmmgmt.dll
Dann führen wir die Management Console aus:
mmc
In dieser fügen wir ein Snap-In hinzu:
Datei | +--> Snap-In hinzufügen/entfernen...
Und zwar das Snap-In Active Directory-Schema:
Wir klicken einmal auf das Kreuz vor Active Directory-Schema und warten bis er die Konfiguration geladen hat.
Dann erscheinen 2 Unterordner und oben wird in eckigen Klammern der Name des momentanen Betriebsmasters angezeigt (hier [dc.znil.local]).
Wir müssen zunächst auf unseren neuen Server wechseln. Dazu klicken wir mit der rechten Maustaste auf Active Directory-Schema und wählen gleich den ersten Eintrag
Active Directory-Domänencontroller ändern...
Im Dialog wählen wir nun Bestimmter Domänencontroller oder AD LDS-Instanz und dann unseren neuen Ziel-Server:
Es kommt eine Hinweismeldung die wir bestätigen:
Nun steht hinter Active Directory-Schema in eckigen Klammern der Name des neuen Servers.
Dann klicken wir mit der rechten Maustaste auf diese Zeile und wählen:
Betriebsmaster
Im Dialog einfach einmal auf Ändern klicken:
Und die Warnung bestätigen:
Dann sollte eine Erfolgsmeldung kommen:
Das war es schon - und das war die umständlichste Rolle von allen.
Schliesst einfach alle Fenster.
Was tun wenn wenn Ändern ausgegraut ist?
Wenn Ihr das Problem hier habt:
so kann es daran liegen das euer Benutzer (und wenn es der Domänen-Administrator ist) nicht Mitglied der Gruppe Schema-Admins ist.
Prüft das einmal, fügt den Benutzer hinzu, meldet euch ab und wieder neu an, dann sollte es klappen
2 von 5: Domänennamen-Master (Domain naming master)
Öffnet in der Verwaltung
Active Directory-Domänen und -Vertrauensstellungen
und scrollt einmal ganz nach Rechts - da steht dann warscheinlich wieder der bisherige Rolleninhaber.
Gleiches Spiel wie eben - Rechtsklick auf Active Directory-Domänen und -Vertrauensstellungen und dann den Punkt
Domänencontroller ändern...
wählen.
Im Dialog wählen wir nun Bestimmter Domänencontroller oder AD LDS-Instanz und dann unseren neuen Ziel-Server:
Nun steht hinter Active Directory-Domänen und -Vertrauensstellungen in eckigen Klammern der Name des neuen Servers.
Dann klicken wir mit der rechten Maustaste auf diese Zeile und wählen:
Betriebsmaster
Das gleiche Spiel wie eben - einmal auf Ändern... klicken und die Rolle wird übertragen:
3 von 5: RID-Master (RID master)
Nun öffnen wir
Active Directory-Benutzer und -Computer
Oben Achten wir wieder darauf das dot auch wieder in eckigen Klammern der Name des neuen Servers drin steht - sonst wieder ändern!
Markiert die Domäne(!) und per Rechtsklick kommen wir zu dem Menüpunkt
Betriebsmaster
Der Reiter RID ist bereits geöffnet so das wir nur noch auf Ändern... klicken müssen:
4 von 5: PDC-Emulator (PDC emulator)
Nur eine Registerkarte weiter wartet der PDC Emulator.
Wie einfach nur auf Ändern... klicken.
5 von 5: Infrastruktur Master (Infrastructure master)
Und die letzte Rolle wartet auf dem letzten Tab:
