Er komt een moment in de carrière van elke Active Directory (AD) beheerder waarop hij of zij FSMO-rollen moet overdragen (of ze moet overnemen). Domain controllers (DC’s) komen en gaan, en de FSMO-rollen die op die DC’s worden gehost, moeten worden verplaatst.
In deze handleiding leer je stap voor stap hoe je alle AD FSMO-rollen kunt overdragen en overnemen. Je zult zien hoe je FSMO-rollen kunt verplaatsen via verschillende GUI-tools en PowerShell.
Laten we beginnen!
Vereisten
Als je wilt meedoen, zorg er dan voor dat je het volgende hebt:
- Ten minste twee DC’s – Deze handleiding maakt gebruik van Windows Server 2019 met een bosfunctioneel niveau van Windows Server 2016, hoewel er niet veel is veranderd.
- A domain-joined computer with RBAC installed or you’re on a DC’s desktop directly
Gerelateerd: Hoe de Active Directory PowerShell-module te installeren en importeren
- Windows PowerShell v5.1
- Meld je aan met een AD-account op een computer die is verbonden met het domein. Er zijn geen speciale privileges vereist om de rollen op te vragen. Extra rechten zijn echter vereist voor het overdragen of overnemen van de rollen.
FSMO-rollen overdragen met de GUI
Er zijn twee manieren om FSMO-rollen over te dragen: via de GUI en PowerShell. Laten we eerst doorlopen hoe je FSMO-rollen overdraagt via verschillende MMC-snap-ins.
RID Master, PDCe en Infrastructure Master
Laten we eerst de domeinspecifieke FSMO-rollen aanpakken.
- Open ADUC (dsa.msc), klik met de rechtermuisknop op het domein en kies Operations Masters. Hier vindt u alle FSMO-rollen die uniek zijn voor het domein (RID Master, PDCe en Infrastructure Master) vertegenwoordigd via de RID, PDC en Infrastructure tabbladen.
2. Klik op elk tabblad. U ziet de huidige FSMO-rolhouder (Operations master) en een Change knop.
3. Klik op de Change knop onder elk tabblad en selecteer de nieuwe DC om de overdrachten voor de RID Master, PDCe en Infrastructure Master FSMO-rollen uit te voeren.
Domain Naming Master
Volgende, laten we doorgaan naar de Domain Naming Master-rol. U kunt deze FSMO-rol bekijken en wijzigen in de Active Directory Domains and Trusts Console.
- Open de Active Directory Domains and Trusts Console (domain.msc).
2. Klik met de rechtermuisknop op de Active Directory Domains and Trusts bovenliggende knooppunt en klik op Operations Master. Hier ziet u de huidige DC die deze rol heeft, beschreven als Domain naming operations master.
3. Klik op de Change knop en kies de DC waarnaar u wilt overdragen.
Schema Master
Als laatste is er de Schema Master-rol. Om deze rol te wijzigen, heeft u de Active Directory Schema MMC snap-in nodig.
Begin met ervoor te zorgen dat u bent aangemeld met een account dat lid is van de Schema Administrators AD-groep.
- 1. Open een verhoogde opdrachtprompt of PowerShell-console en voer
regsvr32.exe "schmmgmt.dll"uit. Het Active Directory Schema-snap-in is niet standaard beschikbaar. Met deze opdracht wordt de benodigde DLL geregistreerd voor schema beheer.
2. Open het hulpprogramma mmc.exe.
3. Klik op Bestand —> Toevoegen/Verwijderen Snap-in.
4. Selecteer Active Directory Schema uit de Beschikbare snap-ins en klik op Toevoegen > en OK.
5. Eenmaal in het snap-in, klik met de rechtermuisknop op Active Directory Schema [<uw domeinnaam>] en kies Operations Master om de huidige Schema Master in het pop-upvenster te bekijken.
6. Klik op Wijzigen en selecteer de nieuwe DC om de rol van Schema Master over te dragen.
FSMO-rollen overdragen met PowerShell
Als je meer zin hebt in de opdrachtregel, dan staat PowerShell voor je klaar.
FSMO Rolhouders Bekijken
Laten we eerst leren hoe je de huidige FSMO-rolhouders kunt bekijken voordat je deze overdraagt met PowerShell. Om dat te doen, open een verhoogde Windows PowerShell-console en voer Get-ADDomain en Get-ADForest uit om elk van de huidige FSMO-rolhouders te vinden zoals hieronder wordt weergegeven.
Get-ADDomain
Get-ADForestFSMO-rollen overdragen
Eenmaal je weet welke DC’s de huidige FSMO-rollen vasthouden, kan je ze overdragen. Doe dit in Windows PowerShell met het Move-ADDirectoryServerOperationMasterRole-commando, gebruikmakend van de Identity-parameter voor de DC waarnaar je de FSMO-rol wilt overdragen (ChildDC1 in dit geval), gevolgd door de naam van de FSMO-rol. Het onderstaande voorbeeld betreft het overdragen van de RID Master-rol.
Voor de naam van de FSMO-rol kan je
PDCEmulator,RIDMaster,InfrastructureMaster,SchemaMasterenDomainNamingMastergebruiken.
Je kan ook meerdere rollen tegelijk overdragen door elke rol apart te definiëren, gescheiden door een komma, bijvoorbeeld
Move-ADDirectoryServerOperationMasterRole -Identity "ChildDC1" PDCEmulator,InfrastructureMaster.
Misschien ben je echt lui en wil je die lange namen niet typen. In dat geval kan je ook gewoon getallen gebruiken, waarbij elke FSMO-rol overeenkomt met een specifiek nummer.
| Role Name | Number |
| PDCEmulator | 0 |
| RIDMaster | 1 |
| InfrastructureMaster | 2 |
| SchemaMaster | 3 |
| DomainNamingMaster | 4 |
Door de identificatoren te gebruiken in plaats van de rolnamen, is het commando om de PDCE-rol over te dragen zo kort als Move-ADDirectoryServerOperationMasterRole ChildDc2 0
Je krijgt een melding over het overdragen van de FSMO-rolnaam, gewoon om zeker te zijn dat je weet wat je doet. Aangezien dit geen frequente taak is, overweeg om de volledige naam(s) van de rol(len) te gebruiken die je wilt overdragen. Vooral als je het commando gebruikt in een script dat iemand anders zal gebruiken; het is makkelijker te begrijpen.
FSMO-rollen overnemen met de GUI
Als u een FSMO-rol van de ene DC naar een andere moet verplaatsen, is het overdragen van rollen altijd de beste optie. Overdracht zorgt ervoor dat de FSMO-rol volledig wordt verwijderd van de oude DC en overgebracht naar de nieuwe DC. Maar dingen gaan niet altijd zoals gepland.
Als een DC niet meer online is of op een of andere manier is mislukt, kunt u FSMO-rollen overnemen, wat in feite een nieuwe FSMO-rol op een nieuwe DC opbouwt zonder de oude te verwijderen.
Neem alleen een FSMO-rol over als u zeker weet dat u de huidige rolhouder niet online kunt brengen. Zodra de rol is overgenomen, zorg ervoor dat de oude FSMO-rolhouder nooit meer wordt teruggebracht.
Het overnemen van rollen met de GUI wordt gedaan door een DC-computeraccount te verwijderen binnen de Active Directory-gebruikers en computers (ADUC)-console. Om dit te doen:
- Ten eerste, verbind ADUC met de DC waarnaar u de FSMO-rol wilt overdragen. Doe dit door in ADUC met de rechtermuisknop te klikken op de hoofdmap Active Directory-gebruikers en computers en te klikken op Van domeincontroller wijzigen.
2. Zoek naar de DC waarmee u verbinding wilt maken en maak er verbinding mee.
3. Klik op de OU Domeincontrollers.
4. Klik met de rechtermuisknop op de DC waarvan u de FSMO-rol wilt overnemen en klik op Verwijderen.
5. Klik vervolgens Ja door de eerste twee meldingen heen.
6. Uiteindelijk krijg je een prompt die je meldt dat de DC een FSMO-rolhouder was en dat de rol(len) naar een andere DC zullen worden verplaatst. Dit zal de DC zijn waarmee je ADUC-console is verbonden. Klik op OK en het computeraccount van de offline DC wordt verwijderd en de rollen worden overgenomen en verplaatst naar de nieuwe DC.
FSMO-rollen overnemen met PowerShell
Om FSMO-rollen over te nemen met PowerShell, zorg ervoor dat je Windows PowerShell hebt geopend en voer Move-ADDirectoryServerOperationMasterRole uit, waarbij je de naam van de nieuwe DC opgeeft als de waarde van de parameter Identity samen met de parameter Force.
Het onderstaande voorbeeld neemt bijvoorbeeld de RID Master-rol over en wijst deze toe aan de DC NewDC3.
Dezelfde FSMO-rolnamen die worden gebruikt voor overdracht zijn ook van toepassing op de
Move-ADDirectoryServerOperationMasterRole-cmdlet.
Conclusie
FSMO-rollen verplaatsen is geen dagelijkse taak, maar wanneer je nieuwe DC’s promoot, oude DC’s demoteert en servers buitengebruik stelt, moet je wel weten over FSMO-rollen.
Volg de stappen in deze tutorial om je te helpen deze taak van je lijst af te vinken!