Move-ADDirectoryServerOperationMasterRole

FSMO-Rollen Übertragen per Ntdsutil oder PowerShell

Hier löse ich in einer meiner Testumgebungen (acme.local) den primären Domain Controller ab. Aktuell befinden sich die Flexible Single Master Operations-Rollen (FSMO) auf einem Windows Server 2008 R2, dieser wird durch einen Server 2016 abgelöst.

In freier Wildbahn verfahre ich nach dem gleichen Schema. Für die Schritte sollte entsprechend Zeit eingeplant werden. Es muss sichergestellt sein das die Replikationen zwischen den Domain Controllern vollständig und fehlerfrei funktioniert hat.

  • Windows Server incl. aller Updates installieren
  • Server in Domain aufnehmen
  • Server zum Domain Controller hochstufen
  • Replikation prüfen
  • FSMO-Rollen übertragen
  • Replikation prüfen
  • FSMO-Rollen abfragen
  • DNS am neuen DC korrigieren
  • alten DC herunterstufen
  • alten DC aus der Domain entfernen
  • Domänenfunktionsebene und Gesamtstrukturfunktionsebene  anheben

Zum Übertragen der FSMO-Rollen wird ein Benutzer benötigt der Mitglied der Gruppen Domänen-, Schema- bzw. Organisations-Admins ist. Ich verschiebe die FSMO-Rollen per (Power) Shell. Dies geht bequemer als die einzelnen Management Konsolen zu verwenden.

Der letzte Punkt kann nur ausgeführt werden wenn alle Domain Controller die neuen Funktionsebenen Unterstützen und es keine Ausschlüsse für das Anheben der Funktionsebenen gibt z.B. durch Dritthersteller-Software.

In diesem Artikel beschränke ich mich auf das Umziehen der FSMO-Rollen. Alle Schritte finden auf unserem neuen Server statt.

Betriebsmasterrollen mit ntdsutil übertragen

Replikation überprüfen

Zuerst stellen wir sicher der die Replikation zwischen den beiden Domain Controllern Fehlerfrei und Vollständig ist. Hier ist der passende Artikel dazu

Repadmin /replsummary
Abfrage der Replikation

FSMO-Rollen abfragen

Wir fragen die FSMO-Rollen in der Shell mit Netdom Query Fsmo ab. Das Ergebnis zeigt uns wer aktuell die FSMO-Rollen besitzt. In größeren Domainstrukturen können das Unterschiedliche Server sein, mir ist dies bisher nicht untergekommen.

netdom query fsmo
Abfrage wer die Betriebsmasterrollen besitzt

FSMO-Rollen übertragen

Das übertragen der Rollen wird mit ntdsutil und transfer durchgeführt.

In einigen Artikeln wird auch Seize verwendet. Seize dient dazu die Übernahme der Betriebsmasterrolle zu erzwingen z.B. weil der alte Domain Controller nicht mehr verfügbar ist (beschädigt, gelöscht).

Hier zeige ich den „normalen“ Weg auf wie die Rollen umgezogen werden können. Eine bestimmte Reihenfolge muss dabei nicht beachtet werden.

ntdsutil
FSMO-Rollen mit ntdsutil verschieben

Während des des verschieben der einzelnen Rollen müssen die jeweiligen Sicherheitsabfragen bestätigt werden.

Sicherheitsabfrage
Sicherheitsabfrage bei dem verschieben der FSMO-Rollen

FSMO-Rollen abfragen

Erneut Fragen wir ab wer der Besitzer der FSMO-Rollen ist, in der zweiten Abfrage sollte nun unser neuer Server angezeigt werden.

netdom query fsmo
Abfrage wer die Betriebsmasterrollen besitzt

Betriebsmasterrollen per PowerShell übertragen

Die Betriebsmasterrollen lassen sich auch per PowerShell übertragen.

Move-ADDirectoryServerOperationMasterRole
FSMO per PowerShell verschieben

Im gezeigten Beispiel bezieht sich ADS-2016 auf den Zielserver der die Betriebsmasterrollen erhalten soll. Die Befehle lassen sich auch in einem Befehl zusammenfassen. Ich bevorzuge diese Variante.

Kai

Kai ist CIO bei einem Mittelständischen Unternehmen. Hat fast 10 Jahre Erfahrung im Systemhausgeschäft und zahlreiche Microsoft Zertifizierungen. Daneben ist er passionierter MTB-Fahrer

2 Gedanken zu „FSMO-Rollen Übertragen per Ntdsutil oder PowerShell“

  1. Wenn man mehrere DC betreibt, sollte man auch die FSMO Rollen auf mehrer DC verteilen, ist nämlich nicht schön wenn genau der DC in die Binsen geht, auf dem alle FSMOs waren und man nur noch GC rumstehn hat. Bei nur 2 DCs würde ich das so machen:
    DC01: PDC, RID
    DC02: Schemamaster, Domänennamenmaster, Infrastrukturmaster (hat in einer single domain sowieso nix zu tun). Wenn auf dem DC 2 auch noch ein GC läuft, muss auch jeder andere DC der Domäne auch ein GC sein, wenn der Infrastrukturmaster der Domain auch auf einem DC mit GC liegt.
    Aber das ist eigentlich nur in etwas grösseren Umgebungen nötig 🙂

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.