Die verschiedenen FSMOs (Betriebsmaster-Rollen) im AD

Hier mal in aller Kürze die Funktionen der verschiedenen Betriebsmaster-Rollen im AD erklärt:

PDC

Gibt es in jeder Domäne jeder Gesamtstuktur.
Erledigt die Anwendung und Verwaltung der Gruppenrichtlinien.
Nimmt Kennwort-Änderungen von Benutzern entgegen, repliziert dies auf andere DCs
Steuert externe Vertrauensstellungen.
Zeitserver für andere Rechner in der Domäne, synchronisiert sich mit übergeordneter Domäne, wiederrum mit deren DCs.

Wenn er ausfällt: Gruppenrichtlinien werden nicht mehr korrekt auf Clients angewendet,
GPOs können nicht mehr verändert werden

RID

Gibt es in jeder Domäne jeder Gesamtstuktur.
Nimmt neuen Objekte in die Domäne auf. Jeder DC hat bestimmte Anzahl an RIDs, diese stellt der RID-Master zur Verfügung. Daraus werden die SIDs für die Clients gebildet.
Jeder DC hat einen Pool von 500 RIDs. Sind diese aufgebraucht, wird ein neuer Pool angefordert.

Steht der RID-Master nicht zur Verfügung, können im AD keine Objekte mehr angelegt werden.

Infrastruktur-Master

Gibt es in jeder Domäne jeder Gesamtstuktur.
Er prüft, ob Benutzer von anderen Domänen auf Freigaben zugreifen dürfen, und speichert diese Infos zwischen.
Abgleich von Domänen-Daten mit denen vom Global Catalog.

Wird quasi nicht gebraucht, wenn man nur eine einzelnen Domäne hat.

Schemamaster

Nimmt Änderungen in der Gesamtstuktur vor.
Wenn er ausfällt, können keine Änderungen am AD-Schema vorgenommen werden.

Ihn gibt es nur 1x pro Gesamtstuktur. Standardmäßig ist das der zuerst installierte Domänen-Controller in einer Gesamtstuktur.

Wichtig: Ein Domänencontroller, dessen Schemamasterrolle auf einen anderen DC verschoben wurde, darf nie wieder in Betrieb genommen werden!

Domänennamen-Master

Verwaltet alle Domänen der Gesamtstruktur.
Wenn er ausfällt, können keine neuen Domänen erstellt werden. Ansonsten hat das keine großen Auswirkungen.

Existiert 1x pro Gesamtstruktur.

Global Catalog (GC)

Gehört eigentlich nicht zu den FSMOs, gehört aber irgendwie trotzdem hier dazu 😉

Index des Active Directory. Diese wissen alles, was in der Gesamstruktur abläuft, und können schnell Daten zurückgeben. Der Datenverkehr zu GCs ist aber größer, da diese mehr Daten speichern müssen als DCs, die keine GC-Rolle besitzen.

Empfehlungen zur Rollen-Verteilung:

Der Infrastuktur-Master sollte nicht auf einem DC mit globalem Katalog liegen, da ansonsten Probleme mit dem Auflösen von Gruppen auftreten können.

Domänenmaster und Schemamaster sollten auf einem DC betrieben werden.

PDC und RID sollten ebenfalls auf dem gleichen DC liegen, da diese viel miteinander kommunizieren.

Hier ist noch ein interessanter Link zu Microsoft, indem erklärt ist wie auf den Ausfall einer Betriebsmasterrolle reagiert werden sollte:

http://technet.microsoft.com/de-de/library/cc737648%28v=ws.10%29.aspx

4 Gedanken zu „Die verschiedenen FSMOs (Betriebsmaster-Rollen) im AD

  1. „Wichtig: Ein Domänencontroller, dessen Schemamasterrolle auf einen anderen DC (???) wurde, darf nie wieder in Betrieb genommen werden!“

    Das „Wichtig“ veranlasst mich dazu, hier nachzufragen, was genau mit der Schemamasterrolle geschehen ist. Wurde sie verschoben?

  2. „Infrastuktur-Master sollte nicht auf einem globalen Katalog liegen, da ansonsten Probleme mit dem Auflösen von Gruppen auftreten können.“

    Ist damit gemeint

    „Der Infrastuktur-Master sollte nicht auf einem DC mit globalen Katalog liegen, da ansonsten Probleme mit dem Auflösen von Gruppen auftreten können.“?

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

Diese Website verwendet Akismet, um Spam zu reduzieren. Erfahre mehr darüber, wie deine Kommentardaten verarbeitet werden.