Jump to content

FSMO übertragen/drastischer Schritt?


Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Empfohlene Beiträge

Hallo,

bin gerade am lesen wegen den FSMO Rollen. Dabei ist gerade das Kapitel dran, wenn ein DC, der die FSMO Rollen hält, komplett ausfällt. Klar lassen sich die Rollen mit NTDSUTIL übertragen. Auf der Microsoft Webseite steht beispielseise für den RID-Master folgendes:

 

Übernehmen Sie die RID-Masterrolle nicht, wenn sie stattdessen übertragen werden kann. Die Übernahme des RID-Masters ist ein drastischer Schritt, der nur in Betracht gezogen werden sollte, wenn ein neuerlicher Betrieb des aktuellen Betriebsmasters vollständig ausgeschlossen wird. Weitere Informationen zum Übertragen von Betriebsmasterfunktionen finden Sie unter "Verwandte Themen".

 

Was dort aber nicht steht, weshalb es ein drastischer Schritt ist und welche Nebeneffekte könnten auftreten. Klar, der alte DC darf nicht mehr ins Domänennetz aber ansonsten?

Vielleicht kann mir dies jemand etwas näher erklären?

Link zu diesem Kommentar

Moin,

 

das ist ein Übersetzungsproblem. Beim "Übertragen" (= "transfer") stimmen sich alter und neuer Rolleninhaber ab. Beide können weiterarbeiten, weil sie sich einig sind. Beim "Übernehmen" (= "seize") stimmen sie sich nicht ab, der neue Inhaber übernimmt die Rolle einfach und kümmert sich nicht mehr um den alten. Der alte darf dann nie wieder in der Domäne aktiv werden. Gedacht ist das ausschließlich für Situationen, in denen der "alte" Rolleninhaber dauerhaft ausgefallen ist (z.B. irreparabler Hardwaredefekt).

 

Käme der alte Inhaber nach einem "Seize" wieder, könnten kritische Situationen entstehen (z.B. doppelte Vergabe von SIDs).

 

Gruß, Nils

Link zu diesem Kommentar

Diesbezüglich noch eine weitere Frage. Angenommen in einer Domäne mit mehreren DCs fällt derjenige aus der alle FSMO Rollen hält über einen längeren Zeitraum unbemerkt aus. Laut Microsoft Seite bemerken die Mitarbeiter und die Admins zuerst nichts.

Mich würde nun interessieren, wie sich der Ausfall nun bemerkbar machen kann. Funktionieren dann Anmeldungen nicht mehr, doch ist ein Anlegen neuer Mitarbeiter nicht mehr möglich, etc.

 

Da hier doch einige Forenmitglieder viel mit dem AD zu tun haben, vielleicht kann der eine oder andere etwas darüber schreiben?

Link zu diesem Kommentar

Wenn man einen Ausfall eines DC nicht merkt hat man sicher andere Probleme. ;)

 

Aber zur Theorie. Die FSMO Rollen sind so konzipiert, dass es nicht sofort merklich ist, wenn eine Rolle nicht erreichbar ist. Nach einer gewissen Zeit treten aber schwirigkeiten aus (Es lassen sich nach einer bestimmten Zeit keine neuen Objekte im AD anlegen, es können keinen neuen Domänen im Forest angelegt werden, ...)

 

Schau dir die funktionen an und überlege, was passiert wenn diese nicht verfügbar ist. Gerade bei Beispiel RID Master: Dieser gibt immer Pakete von x (waren das 500 Stück?) SID's aus und das reicht für einige Objekte, irgendwann sind diese aber auch aufgebraucht.

Link zu diesem Kommentar
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Schreibe einen Kommentar

Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.

Gast
Auf dieses Thema antworten...

×   Du hast formatierten Text eingefügt.   Formatierung jetzt entfernen

  Only 75 emoji are allowed.

×   Dein Link wurde automatisch eingebettet.   Einbetten rückgängig machen und als Link darstellen

×   Dein vorheriger Inhalt wurde wiederhergestellt.   Editor-Fenster leeren

×   Du kannst Bilder nicht direkt einfügen. Lade Bilder hoch oder lade sie von einer URL.

×
×
  • Neu erstellen...