Jump to content
Sign in to follow this  
firefox80

FSMO Rollen übertragen

Recommended Posts

Hallo Leute!

 

Ich bin gerade am Lernen für die 70-294.

 

Dabei bin ich über ein Verständnis-Problem gestolpert:

Es geht um die Übertragung der Rollen Schema-Master, Domain-Master und RID Master.

 

Es wird beschrieben, dass man nach einer Übertragung diese Rollen auf keinen Fall wieder an den Original DC zurück übertragen darf. Man muss den Original DC unbedingt formatieren und neu aufsetzen.

 

Auch Herr Google konnte mir leider keine Antwort geben, warum das so ist.

 

Deshalb wende ich mich vertrauensvoll an euch ;)

 

LG

FireFoX

Share this post


Link to post

das ist auch Quatsch. Die FMSO-Rollen kannst du nach Herzenslust auf einen DC hin und auf den alten DC wieder zurückschieben.

 

cu

blub

Share this post


Link to post

Ich glaube, es ist das Übernehmen (Seize) gemeint, wofür ich auch noch keine Erklärung gefunden habe. Nur dass man den Original-Holder neu installieren soll ...

Share this post


Link to post

Seize ist gemeint. Seize wird normal nurdurchgeführt, wenn der Transfer nicht mehr tut, sprich der DC ist Offline. Bei seize wird also dem "alten" Rolleninhaber nicht mitgeteilt, dass er die Rolle hergeben muss. Es wird nur dem "neuen" die Rolle verpasst.

 

Wenn der "alte" z.B. nach Hardwarereparatur wieder Online geht, glaubt er immer noch Rolleninhaber zu sein. Das macht v.A. bei RID wenig Spaß, weil dann 2 Maschinen lustig RID-Pools vergeben.

 

Daher bei "seize" immer die alte Kiste plattmachen.

 

Gruß

 

woiza

Share this post


Link to post

ok, das ist aber doch klar. Wenn der eine FSMO-Holder A sagt und der andere sagt B, dann kommts natürlich zu Trouble. FSMO's sind eben Highlander

 

cu

blub

Share this post


Link to post

Schon klar, aber das meinen die Meisten, wenn sie vor dem Verschieben Panik haben. Vielleicht wurde das mal in nem Buch oder in der KB schlampig übersetzt.

 

Auf alle Fälle hält es sich hartnäckig. ;)

Share this post


Link to post

Okay, das is klar, FSMO darf es nur einmal geben. Es wird in den Büchern immer nur Schema, Rid-Pool und Domain Naming erwähnt, die anderen beiden nicht. Was passiert denn genau, wenn ein ehemaliger Rollenhalter wieder online geht ? Verteilt der wirklich RIDs z.B. ? Die anderen DCs wissen doch durch die Replikation, wer der neue RID-Pool Master ist ...

Share this post


Link to post

Hab doch noch was gefunden ...

Using Ntdsutil.exe to transfer or seize FSMO roles to a domain controller

Zitat

"Einem Domänencontroller, dessen FSMO-Funktionen übernommen wurden, sollte die Kommunikation mit anderen Domänencontrollern in der Gesamtstruktur nicht gestattet werden. In einem solchen Szenario sollten Sie entweder die Festplatte formatieren und das Betriebssystem neu installieren oder solche Domänencontroller in einem privaten Netzwerk zwangsweise herabstufen und dann deren Metadaten auf einem noch vorhandenen Domänencontroller in der Gesamtstruktur mithilfe des Befehls ntdsutil /metadata cleanup entfernen. Das Risiko, einen früheren FSMO-Funktionsinhaber, dessen Funktion übernommen wurde, in die Gesamtstruktur einzuführen, besteht darin, dass der vorherige Funktionsinhaber möglicherweise weiter operiert wie zuvor, bevor er im Rahmen einer eingehenden Replikation Kenntnis von der Übernahme seiner Funktion erlangt. Bei zwei Domänencontrollern, die die gleiche FSMO-Funktion innehaben, können Sicherheitsprincipals mit überlappenden RID-Pools erstellt werden und auch andere Probleme auftreten."

Also so wie Du sagst, Woiza ... :)

Warum hab ich das nicht schon früher gefunden ??? :suspect:

Share this post


Link to post

Aloha,

 

Daher bei "seize" immer die alte Kiste plattmachen.

 

ja, aber... genau genommen trifft das neu installieren nur zu, wenn mindestens einer von drei Rollen geseizet wurde. Die betroffenen drei Rollen wären:

 

-Schema-Master

-Domänennamen-Master

-RID-Master

 

Die Rollen PDC-Emulator sowie Infrastrukturmaster, könnten erneut zurückverschoben werden, ohne das weiterfolgende Probleme entstehen.

 

Microsoft Corporation

Share this post


Link to post

Unter 2003 sind gegenüber 2000 einige Sicherungsmechanismen dazugekommen. Unter 2000 waren 2 RID-Master online ein Garant für einen Fullrestore der DCs, unter 2003 bekommt man einen zweiten RID nicht mehr so leicht hoch. So wurde es mir zumindest mal von einem MS-Consultanten erzählt, ausprobiert hab ichs nicht.

Share this post


Link to post

Klar, es betrifft nur die Rollen, die für neue Objekte im AD sicherstellen sollen, dass diese auch unique sind. Wenn man sich nicht sicher ist, ist plattmachen bei der falschen Rolle auch kein Beinbruch und besser als ne falsche wieder online zu nehmen. ;)

Share this post


Link to post

wobei der Schemamaster eine SonderFSMOrolle ist. Auf dem sind keine anderen Informationen oder Dienste am Laufen, als auf den anderen DCs. Einzig, dieser Rechner hat die Berechtigung am Schema etwas zu verändern

Share this post


Link to post
Klar, es betrifft nur die Rollen, die für neue Objekte im AD sicherstellen sollen, dass diese auch unique sind. Wenn man sich nicht sicher ist, ist plattmachen bei der falschen Rolle auch kein Beinbruch und besser als ne falsche wieder online zu nehmen. ;)

 

Richtig. Die "Faustformel" herauszugeben "wenn die Rollen (egal welche" geseizet wurden" den DC neu zu installieren halte ich für richtig und daran sollte sich nichts ändern.

Zumal der PDC-Emulator wenn dieser von den anderen Rollen getrennt werden sollte, sowieso mit dem RID-Master auf einem DC liegen sollte.

Share this post


Link to post
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte überlege Dir, ob es nicht sinnvoller ist ein neues Thema zu erstellen.

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Restore formatting

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

Sign in to follow this  

Werbepartner:



×
×
  • Create New...