Wie man FSMO-Rollen ergreift und überträgt (GUI und PowerShell)

Tutorials

Es kommt eine Zeit in der Karriere eines Active Directory (AD)-Administrators, in der er oder sie FSMO-Rollen übertragen (oder ergreifen) muss. Domänencontroller (DCs) kommen und gehen und die auf diesen DCs gehosteten FSMO-Rollen müssen verschoben werden.

In diesem Tutorial lernen Sie, wie Sie Schritt für Schritt alle AD-FSMO-Rollen übertragen und ergreifen können. Sie werden sehen, wie Sie FSMO-Rollen über verschiedene GUI-Tools und PowerShell verschieben können.

Legen wir los!

Voraussetzungen

Um mitzumachen, stellen Sie bitte sicher, dass Sie Folgendes haben:

  • Mindestens zwei DCs – In diesem Tutorial wird Windows Server 2019 mit einer funktionalen Stufe von Windows Server 2016 verwendet, obwohl sich nicht viel geändert hat.
  • A domain-joined computer with RBAC installed or you’re on a DC’s desktop directly

Verwandt: Wie man das Active Directory PowerShell-Modul installiert und importiert

  • Windows PowerShell v5.1
  • Melden Sie sich mit einem AD-Konto an einem Computer an, der mit der Domäne verbunden ist. Zum Abfragen der Rollen sind keine besonderen Berechtigungen erforderlich. Für die Übertragung oder das Ergreifen der Rollen sind jedoch weitere Berechtigungen erforderlich.

Übertragung von FSMO-Rollen mit der GUI

Es gibt zwei Möglichkeiten, FSMO-Rollen zu übertragen: über die GUI und PowerShell. Lassen Sie uns zuerst die Übertragung von FSMO-Rollen über verschiedene MMC-Snap-Ins durchgehen.

RID-Master, PDCe und Infrastrukturmaster

Lassen Sie uns zuerst die domänenspezifischen FSMO-Rollen erledigen.

  1. Öffnen Sie den ADUC (dsa.msc), klicken Sie mit der rechten Maustaste auf die Domäne und wählen Sie Operationsmaster. Hier finden Sie alle FSMO-Rollen, die für die Domäne einzigartig sind (RID-Master, PDCe und Infrastrukturmaster), dargestellt durch die Registerkarten RID, PDC und Infrastruktur.
Domain-specific FSMO roles

2. Klicken Sie auf jede Registerkarte. Sie werden den aktuellen FSMO-Rolleninhaber (Operationsmaster) und einen Ändern-Button bemerken.

3. Klicken Sie auf die Schaltfläche Ändern unter jeder Registerkarte und wählen Sie den neuen DC aus, um Übertragungen für die RID-Master-, PDCe- und Infrastrukturmaster-FSMO-Rollen durchzuführen.

Domänennamensmaster

Wechseln Sie nun zum Domänennamensmaster. Sie können diese FSMO-Rolle in der Konsole für Active Directory-Domänen und -Vertrauensstellungen anzeigen und ändern.

  1. Öffnen Sie die Konsole für Active Directory-Domänen und -Vertrauensstellungen (domain.msc).

2. Klicken Sie mit der rechten Maustaste auf den übergeordneten Knoten Active Directory-Domänen und -Vertrauensstellungen und wählen Sie Operationsmaster. Hier sehen Sie den aktuellen DC, der diese Rolle als Domänennamens-Operationsmaster bezeichnet.

3. Klicken Sie auf die Schaltfläche Ändern und wählen Sie den DC aus, auf den Sie übertragen möchten.

Transferring the domain naming master FSMO role

Schemamaster

Zuletzt kommt die Rolle des Schemamasters. Um diese Rolle zu ändern, benötigen Sie das Active Directory Schema MMC Snap-In.

Stellen Sie sicher, dass Sie sich zu Beginn mit einem Konto angemeldet haben, das Mitglied der Gruppe Schemaadministratoren ist.

  1. Öffnen Sie eine erhöhte Eingabeaufforderung oder PowerShell-Konsole und führen Sie regsvr32.exe "schmmgmt.dll" aus. Das Active Directory-Schema-Snap-In ist standardmäßig nicht verfügbar. Dieser Befehl registriert die erforderliche DLL für das Schemamanagement.

2. Öffnen Sie das Dienstprogramm mmc.exe.

3. Klicken Sie auf Datei —> Snap-In hinzufügen/entfernen.

4. Wählen Sie Active Directory-Schema aus den Verfügbaren Snap-Ins aus und klicken Sie auf Hinzufügen > und OK.

Add the Active Directory Schema in the MMC console

5. Klicken Sie im Snap-In mit der rechten Maustaste auf Active Directory-Schema [<Ihr Domänenname>] und wählen Sie Operations Master, um den aktuellen Schema-Master im Popup-Fenster anzuzeigen.

6. Klicken Sie auf Ändern und wählen Sie den neuen DC aus, um die Rolle des Schema-Masters zu übertragen.

Transferring the Schema Master role

Übertragung von FSMO-Rollen mit PowerShell

Wenn Sie eher auf der Kommandozeile unterwegs sind, steht Ihnen PowerShell zur Verfügung.

Aktuelle FSMO-Rolleninhaber anzeigen

Lassen Sie uns zunächst lernen, wie Sie die aktuellen FSMO-Rolleninhaber anzeigen, bevor Sie mit PowerShell übertragen. Öffnen Sie dazu eine erhöhte Windows PowerShell-Konsole und führen Sie Get-ADDomain und Get-ADForest aus, um jeden der aktuellen FSMO-Rolleninhaber wie unten gezeigt zu finden.

Get-ADDomain
Get-ADForest
Running Get-ADDomain
Running Get-ADForest

Übertragung der FSMO-Rollen

Sobald Sie wissen, welche DCs die aktuellen FSMO-Rollen innehaben, können Sie sie auch übertragen. Führen Sie dazu in Windows PowerShell den Befehl Move-ADDirectoryServerOperationMasterRole mit dem Identity-Parameter für den DC aus, an den die FSMO-Rolle übertragen werden soll (ChildDC1 in diesem Fall), gefolgt vom Namen der FSMO-Rolle. Das folgende Beispiel überträgt die RID-Master-Rolle.

Move-ADDirectoryServerOperationMasterRole -Identity "ChildDC1" RidMaster

Für den FSMO-Rollennamen können Sie PDCEmulator, RIDMaster, InfrastructureMaster, SchemaMaster und DomainNamingMaster verwenden.

Transferring FSMO roles with PowerShell

Sie können auch mehr als eine Rolle gleichzeitig übertragen, indem Sie jeden Rollennamen durch ein Komma getrennt definieren, z.B. Move-ADDirectoryServerOperationMasterRole -Identity "ChildDC1" PDCEmulator,InfrastructureMaster.

Vielleicht sind Sie wirklich faul und möchten diese langen Namen nicht eingeben. In diesem Fall können Sie auch einfach Zahlen verwenden, wobei jeder FSMO-Rolle eine bestimmte Zahl entspricht.

Role Name Number
PDCEmulator 0
RIDMaster 1
InfrastructureMaster 2
SchemaMaster 3
DomainNamingMaster 4

Bei Verwendung der Identifikatoren anstelle der Rollennamen ist der Befehl zum Übertragen der PDCE-Rolle so kurz wie Move-ADDirectoryServerOperationMasterRole ChildDc2 0

Sie werden aufgefordert, den FSMO-Rollennamen zu bestätigen, um sicherzustellen, dass Sie wissen, was Sie tun. Da dies keine häufige Aufgabe ist, sollten Sie möglicherweise in Betracht ziehen, die vollen Namen der Rollen zu verwenden, die Sie übertragen möchten. Besonders wenn Sie den Befehl in einem Skript verwenden, das jemand anderes nutzen wird; es ist leichter zu verstehen.

The short, lazy way to transfer the PDCE role

Übernahme von FSMO-Rollen mit der GUI

Wenn Sie einen FSMO-Rollenträger von einem DC auf einen anderen verschieben müssen, ist das Übertragen der Rollen immer die beste Option. Die Übertragung stellt sicher, dass die FSMO-Rolle vollständig vom alten DC entfernt und auf den neuen DC übertragen wird. Aber nicht immer läuft alles wie geplant.

Wenn ein DC nicht mehr online ist oder auf irgendeine Weise fehlgeschlagen ist, können Sie FSMO-Rollen ergreifen, was im Wesentlichen eine neue FSMO-Rolle auf einem neuen DC erstellt, ohne die alte zu entfernen.

Ergreifen Sie eine FSMO-Rolle nur dann, wenn Sie sicher sind, dass Sie den aktuellen Rollenträger nicht wieder online bringen können. Sobald die Rolle ergriffen ist, stellen Sie sicher, dass der alte FSMO-Rollenträger nie wieder hochgefahren wird.

Das Ergreifen von Rollen mit der GUI erfolgt durch Entfernen eines DC-Computerkontos innerhalb der Active Directory-Benutzer und -Computer-Konsole. So geht’s:

  1. 1. Verbinden Sie ADUC mit dem DC, zu dem Sie die FSMO-Rolle übertragen möchten. Klicken Sie dazu in ADUC mit der rechten Maustaste auf den Stammknoten von Active Directory-Benutzer und -Computer und wählen Sie Domänencontroller ändern.

2. Suchen Sie nach dem DC, mit dem Sie sich verbinden möchten, und stellen Sie eine Verbindung dazu her.

3. Klicken Sie auf die Domänencontroller-OU.

4. Klicken Sie mit der rechten Maustaste auf den DC, von dem Sie die FSMO-Rolle ergreifen möchten, und klicken Sie auf Löschen.

Right-click the offline DC account and select Delete

5. Klicken Sie anschließend Ja in den ersten beiden Meldungen durch.

Click OK to continue with the deletion process.
Confirm that you want to delete a DC that is a GC

6. Schließlich erhalten Sie eine Aufforderung, die besagt, dass der DC ein FSMO-Rolleninhaber war und die Rolle(n) auf einen anderen DC verschoben werden. Dies wird der DC sein, mit dem Ihre ADUC-Konsole verbunden ist. Klicken Sie auf OK und das Computerkonto des offline gegangenen DC wird gelöscht und die Rollen werden übernommen und auf den neuen DC verschoben.

You get a final prompt that the FSMO role(s) will be transferred to another DC. Click OK to seize the role(s) and to complete the deletion wizard

Übernahme von FSMO-Rollen mit PowerShell

Um FSMO-Rollen mit PowerShell zu übernehmen, stellen Sie sicher, dass Sie Windows PowerShell geöffnet haben und führen Sie Move-ADDirectoryServerOperationMasterRole aus, wobei der Name des neuen DC als Wert für den Identity-Parameter und der Force-Parameter angegeben werden müssen.

Das folgende Beispiel übernimmt die RID-Master-Rolle und weist sie dem DC NewDC3 zu.

Move-ADDirectoryServerOperationMasterRole -Identity "NewDC3" RidMaster -Force

Die gleichen FSMO-Rollennamen, die für die Übertragung verwendet werden, gelten auch für das Cmdlet Move-ADDirectoryServerOperationMasterRole.

Zusammenfassung

Das Verschieben von FSMO-Rollen ist keine tägliche Aufgabe, aber wenn Sie neue DCs befördern, alte DCs degradieren und Server außer Betrieb nehmen, müssen Sie über FSMO-Rollen Bescheid wissen.

Befolgen Sie die Schritte in diesem Tutorial, um Ihnen bei der Erledigung dieser Aufgabe zu helfen!

Source:
https://adamtheautomator.com/transfer-fsmo-roles/