DetailPage-MSS-KB

Knowledge Base

Artikel-ID: 255504 - Geändert am: Freitag, 26. April 2013 - Version: 1.0

Dieser Artikel wurde zuvor veröffentlicht unter D42272

Auf dieser Seite

Zusammenfassung

Dieser Artikel beschreibt die Verwendung des Programms "Ntdsutil.exe" zum Übernehmen oder Übertragen von FSMO-Funktionen (FSMO = Flexible Single Master Operations).

Weitere Informationen

Bestimmte Operationen, die für die gesamte Domäne oder das gesamte Unternehmen gelten sollen und nicht mithilfe von Multimaster-Updates ausgeführt werden können, werden durch einen einzelnen Domänencontroller in einer Active Directory-Domäne oder -Gesamtstruktur durchgeführt. Die für die Ausführung solcher Operationen verwendeten Domänencontroller werden als "Betriebsmaster" oder "FSMO-Funktionsinhaber" bezeichnet.

Die folgende Liste beschreibt die 5 FSMO-Funktionen innerhalb einer Active Directory-Gesamtstruktur und die von ihnen jeweils ausgeführten abhängigen Operationen:
  • Schemamaster - bezogen auf die Gesamtstruktur (ein Schemamaster pro Gesamtstruktur). Der Inhaber dieser Funktion ist berechtigt, das Schema einer Active Directory-Gesamtstruktur zu erweitern oder den Befehl adprep /domainprep auszuführen.
  • Domänennamen-Master - bezogen auf die Gesamtstruktur (ein Domänennamen-Master pro Gesamtstruktur). Der Inhaber dieser Funktion ist berechtigt, einer Gesamtstruktur Domänen oder Anwendungspartitionen hinzuzufügen oder diese aus der Gesamtstruktur zu entfernen.
  • RID-Master - für die gesamte Domäne zuständig (ein RID-Master pro Domäne). Der Inhaber dieser Funktion ist für die Zuweisung des RID-Pools zuständig, um vorhandenen Domänencontrollern die Möglichkeit einzuräumen, Benutzerkonten, Computerkonten oder Sicherheitsgruppen zu erstellen.
  • PDC-Emulator - für die gesamte Domäne zuständig (ein PDC-Emulator pro Domäne). Diese Funktion muss dem Domänencontroller zugewiesen werden, der Datenbankaktualisierungen an Windows NT-Sicherungsdomänencontroller sendet. Der Domänencontroller, der Inhaber dieser Funktion ist, ist auch das Ziel bestimmter Verwaltungsprogramme und Aktualisierungen für die Kennwörter von Benutzerkonten und Computerkonten.
  • Infrastrukturmaster - für die gesamte Domäne zuständig (ein Infrastrukturmaster pro Domäne). Domänencontroller müssen Inhaber dieser Funktion sein, um den Befehl adprep /forestprep erfolgreich ausführen und SID-Attribute sowie die Attribute definierter Namen für Objekte aktualisieren zu können, auf die domänenübergreifend verwiesen wird.
Der Active Directory-Installationsassistent (Dcpromo.exe) weist dem ersten Domänencontroller in der Stammdomäne der Gesamtstruktur alle 5 FSMO-Funktionen zu. Dem ersten Domänencontroller in jeder neuen untergeordneten Domäne oder Strukturdomäne werden die drei domänenweit gültigen Funktionen übertragen. Domänencontroller haben weiterhin FSMO-Funktionen inne, bis diese mithilfe einer der folgenden Methoden neu zugewiesen werden:
  • Ein Administrator weist die Funktion mit einem GUI-Verwaltungsprogramm neu zu.
  • Ein Administrator weist die Funktion mithilfe des Befehls ntdsutil /roles neu zu.
  • Ein Administrator stuft einen Domänencontroller, der Inhaber einer der genannten Funktionen ist, mit dem Active Directory-Installationsassistenten ordnungsgemäß zurück. Dieser Assistent weist alle lokal zugewiesenen Funktionen einem vorhandenen Domänencontroller in der Gesamtstruktur zu. Nach Herabstufungen mithilfe des Befehls dcpromo /forceremoval sind FSMO-Funktionen ungültig, bis sie durch einen Administrator neu zugewiesen werden.
In den folgenden Szenarios empfehlen wir, eine Übertragung von FSMO-Funktionen durchzuführen:
  • Der gegenwärtige Funktionsinhaber ist funktionsfähig und der neue FSMO-Funktionsinhaber kann über das Netzwerk auf diesen zugreifen.
  • Sie führen eine ordnungsgemäße Herabstufung eines Domänencontrollers durch, der gegenwärtig Inhaber von FSMO-Funktionen ist, die Sie einem bestimmten Domänencontroller in Ihrer Active Directory-Gesamtstruktur zuweisen möchten.
  • Der Domänencontroller, der gegenwärtig Inhaber von FSMO-Funktionen ist, geht für eine geplante Wartung offline, und es ist erforderlich, bestimmte FSMO-Funktionen einem Domänencontroller zuzuweisen, der online ist. Dies kann für Operationen erforderlich sein, bei denen eine Verbindung zum FSMO-Funktionsinhaber hergestellt werden muss. Dies gilt in besonderem Maße für die Funktion des PDC-Emulators und weniger für die Funktionen eines RID-Masters, eines Domänennamen-Masters oder eines Schemamasters.
In den folgenden Szenarios empfehlen wir, FSMO-Funktionen zu übernehmen:
  • Der gegenwärtige Funktionsinhaber ist von einer Betriebsstörung betroffen, die den erfolgreichen Abschluss einer FSMO-abhängigen Operation verhindert, und die Funktion kann nicht übertragen werden.
  • Ein Domänencontroller, der Inhaber einer FSMO-Funktion ist, wird mit dem Befehl dcpromo /forceremoval zwangsweise herabgestuft.
  • Das Betriebssystem auf dem Computer, welcher der ursprüngliche Inhaber einer bestimmten Funktion war, existiert nicht mehr oder wurde neu installiert.
Bei einer Replikation erhalten Nicht-FSMO-Domänencontroller in der Domäne oder Gesamtstruktur vollständige Kenntnis von allen Änderungen, die von Domänencontrollern vorgenommen werden, die Inhaber von FSMO-Funktionen sind. Falls Sie eine Funktion übertragen müssen, ist ein Domänencontroller am besten als Empfänger der Funktion geeignet, der sich in der Domäne befindet, für die zuletzt eine eingehende Replikation oder kürzlich eine eingehende Replikation einer beschreibbaren Kopie der FSMO-Partition vom aktuellen Funktionsinhaber durchgeführt wurde. Der Inhaber der Funktion des Schemamasters hat zum Beispiel den definierten Namenspfad "CN=Schema,CN=Konfiguration,dc=<Stammdomäne der Gesamtstruktur>". Dies bedeutet, dass Funktonen in der Partition "CN=Schema" residieren und mit dieser repliziert werden. Bei einem Hardware- oder Softwarefehler auf dem Domänencontroller, der Inhaber der Funktion des Schemamasters ist, sollte diese Funktion möglichst auf einen Domänencontroller übertragen werden, der sich in der Stammdomäne und am selben Active Directory-Standort befindet wie der aktuelle Funktionsinhaber. Domänencontroller am selben Active Directory-Standort führen alle 5 Minuten oder alle 15 Sekunden eine eingehende Replikation durch.

Die Partitionen für die verschiedenen FSMO-Funktionen finden Sie in der folgenden Liste:

Tabelle minimierenTabelle vergrößern
FSMO-FunktionPartition
SchemaCN=Schema,CN=Konfiguration,DC=<Stammdomäne der Gesamtstruktur>
DomänennamenmasterCN=Konfiguration,DC=<Stammdomäne der Gesamtstruktur>
PDCDC=<Domäne>
RIDDC=<Domäne>
InfrastrukturDC=<Domäne>


Einem Domänencontroller, dessen FSMO-Funktionen übernommen wurden, sollte die Kommunikation mit anderen Domänencontrollern in der Gesamtstruktur nicht gestattet werden. In einem solchen Szenario sollten Sie entweder die Festplatte formatieren und das Betriebssystem neu installieren oder solche Domänencontroller in einem privaten Netzwerk zwangsweise herabstufen und dann deren Metadaten auf einem noch vorhandenen Domänencontroller in der Gesamtstruktur mithilfe des Befehls ntdsutil /metadata cleanup entfernen. Das Risiko, einen früheren FSMO-Funktionsinhaber, dessen Funktion übernommen wurde, in die Gesamtstruktur einzuführen, besteht darin, dass der vorherige Funktionsinhaber möglicherweise weiter operiert wie zuvor, bevor er im Rahmen einer eingehenden Replikation Kenntnis von der Übernahme seiner Funktion erlangt. Bei zwei Domänencontrollern, die die gleiche FSMO-Funktion innehaben, können Sicherheitsprinzipals mit überlappenden RID-Pools erstellt werden und auch andere Probleme auftreten.

Übertragen von FSMO-Funktionen

Um die FSMO-Funktionen mit dem Dienstprogramm "Ntdsutil" zu übertragen, gehen Sie wie folgt vor:
  1. Melden Sie sich bei einem Mitgliedsserver oder Domänencontroller mit dem Betriebssystem Windows 2000 Server oder Windows Server 2003 an, der zu der Gesamtstruktur gehört, in der die FSMO-Funktionen übertragen werden sollen. Empfohlen wird, sich bei dem Domänencontroller anzumelden, dem Sie die FSMO-Funktionen zuweisen möchten. Der angemeldete Benutzer sollte eine Mitglied der Gruppe "Organisationsadministratoren" sein, um die Funktionen "Schemamaster" oder "Domänennamen-Master" zu übertragen, bzw. ein Mitglied der Gruppe "Domänenadministratoren" in der Domäne, in der die Funktionen "PDC-Emulator", "RID-Master" und "Infrastrukturmaster" übertragen werden sollen.
  2. Klicken Sie auf Start und dann auf Ausführen, geben Sie ntdsutil in das Feld Öffnen ein, und klicken Sie anschließend auf OK.
  3. Geben Sie roles ein, und drücken Sie die EINGABETASTE.

    Hinweis Um die Liste der an einer beliebigen Eingabeaufforderung im Dienstprogramm "Ntdsutils" verfügbaren Befehle anzuzeigen, geben Sie ? ein, und drücken Sie dann die EINGABETASTE.
  4. Geben Sie connections ein, und drücken Sie die EINGABETASTE.
  5. Geben Sie connect to server Servername ein (wobei Servername für den Namen des Domänencontrollers steht, dem Sie die FSMO-Funktion zuweisen möchten), und drücken Sie dann die EINGABETASTE.
  6. Geben Sie in die Eingabeaufforderung server connections den Befehl q ein, und drücken Sie dann die EINGABETASTE.
  7. Geben Sie transfer Funktion ein, wobei Funktion für die Funktion steht, die Sie übertragen möchten. Um eine Liste der übertragbaren Funktionen angezeigt zu bekommen, geben Sie in der Eingabeaufforderung fsmo maintenance: den Befehl ? ein, und drücken Sie dann die EINGABETASTE, oder sehen Sie sich die Liste am Anfang dieses Artikels an. Geben Sie beispielsweise transfer rid master ein, um die RID-Master-Funktion zu übertragen. Eine Ausnahme gilt für die Funktion des PDC-Emulators. Hier lautet die Syntax transfer pdc und nicht transfer pdc emulator.
  8. Geben Sie in die Eingabeaufforderung fsmo maintenance den Befehl q ein, und drücken Sie dann die EINGABETASTE, um Zugriff auf die Eingabeaufforderung ntdsutil zu erhalten. Geben Sie q ein, und drücken Sie dann die EINGABETASTE, um das Hilfsprogramm "Ntdsutil" zu beenden.

Einziehen von FSMO-Funktionen

Um die FSMO-Funktionen mit dem Dienstprogramm "Ntdsutil" einzuziehen, gehen Sie wie folgt vor:
  1. Melden Sie sich bei einem Mitgliedsserver oder Domänencontroller mit dem Betriebssystem Windows 2000 Server oder Windows Server 2003 an, der zu der Gesamtstruktur gehört, in der die FSMO-Funktionen übernommen werden sollen. Empfohlen wird, sich bei dem Domänencontroller anzumelden, dem Sie die FSMO-Funktionen zuweisen möchten. Der angemeldete Benutzer sollte eine Mitglied der Gruppe "Organisationsadministratoren" sein, um die Funktionen "Schemamaster" oder "Domänennamen-Master" zu übertragen, bzw. ein Mitglied der Gruppe "Domänenadministratoren" in der Domäne, in der die Funktionen "PDC-Emulator", "RID-Master" und "Infrastrukturmaster" übertragen werden sollen.
  2. Klicken Sie auf Start und dann auf Ausführen, geben Sie ntdsutil in das Feld Öffnen ein, und klicken Sie anschließend auf OK.
  3. Geben Sie roles ein, und drücken Sie die EINGABETASTE.
  4. Geben Sie connections ein, und drücken Sie die EINGABETASTE.
  5. Geben Sie connect to server Servername ein (wobei Servername für den Namen des Domänencontrollers steht, dem Sie die FSMO-Funktion zuweisen möchten), und drücken Sie dann die EINGABETASTE.
  6. Geben Sie in die Eingabeaufforderung server connections den Befehl q ein, und drücken Sie dann die EINGABETASTE.
  7. Geben Sie seize Funktion ein, wobei Funktion für die Funktion steht, die Sie übernehmen möchten. Um eine Liste der übernehmbaren Funktionen angezeigt zu bekommen, geben Sie in der Eingabeaufforderung fsmo maintenance den Befehl ? ein, und drücken Sie dann die EINGABETASTE, oder sehen Sie sich die Liste am Anfang dieses Artikels an. Geben Sie beispielsweise seize rid master ein, um die RID-Master-Funktion zu übernehmen. Eine Ausnahme gilt für die Funktion des PDC-Emulators. Hier lautet die Syntax seize pdc und nicht seize pdc emulator.
  8. Geben Sie in die Eingabeaufforderung fsmo maintenance den Befehl q ein, und drücken Sie dann die EINGABETASTE, um Zugriff auf die Eingabeaufforderung ntdsutil zu erhalten. Geben Sie q ein, und drücken Sie dann die EINGABETASTE, um das Hilfsprogramm "Ntdsutil" zu beenden.

    Hinweise
    • Unter typischen Bedingungen müssen alle fünf Funktionen aktiven Domänencontrollern in der Gesamtstruktur zugewiesen werden. Wird ein Domänencontroller, der Inhaber von FSMO-Funktionen ist, vor der Übertragung seiner Funktionen außer Betrieb genommen, müssen dessen Funktionen durch einen geeigneten und fehlerfreien Domänencontroller übernommen werden. Microsoft empfiehlt, nur dann alle Funktionen zu übernehmen, wenn der ursprüngliche Domänencontroller nicht zu einem späteren Zeitpunkt wieder Mitglied der Domäne werden wird. Sofern möglich, beheben Sie die Fehlfunktion des Domänencontrollers, dem die FSMO-Funktionen zugewiesen sind. Legen Sie fest, welche Funktion von welchem der verbleibenden Domänencontroller ausgeübt werden soll, damit alle fünf Funktionen jeweils einem Domänencontroller zugewiesen werden. Weitere Informationen zur Verteilung von FSMO-Funktionen finden Sie im folgenden Artikel der Microsoft Knowledge Base:
      223346  (http://support.microsoft.com/kb/223346/de/ ) FSMO-Platzierung und -Optimierung auf Windows 2000-Domänen
    • Wenn der Domänencontroller, der zuvor Inhaber von FSMO-Funktionen war, nicht mehr in der Domäne vorhanden ist und seine Funktionen mittels der oben in diesem Artikel beschriebenen Schritte übernommen wurden, entfernen Sie ihn aus Active Directory. Gehen Sie hierzu gemäß den Anweisungen im folgenden Artikel der Microsoft Knowledge Base vor:
      216498  (http://support.microsoft.com/kb/216498/de/ ) Entfernen von Daten aus Active Directory nach fehlgeschlagener Domänencontroller-Herabstufung
    • Durch das Entfernen der Metadaten eines Domänencontrollers mit der Windows 2000-Version oder der Windows Server 2003-Version (Build 3790) des Befehls ntdsutil /metadata cleanup werden keine FSMO-Funktionen neu zugewiesen, die aktiven Domänencontrollern zugewiesen sind. Die in Windows Server 2003 Service Pack 1 (SP1) enthaltene Version des Hilfsprogramms "Ntdsutil" automatisiert diesen Vorgang und entfernt zusätzliche Elemente der Metadaten von Domänencontrollern.
    • Einige Kunden ziehen es vor, Systemstatus-Sicherungskopien von FSMO-Rolleninhabern nicht wiederherzustellen, wenn die Funktion seit der Erstellung der Sicherungskopie neu zugewiesen worden ist.
    • Weisen Sie die Funktion des Infrastrukturmasters und den globalen Katalog nicht demselben Domänencontroller zu. Wenn der Infrastrukturmaster auf einem Server für den globalen Katalog ausgeführt wird, werden die Objektinformationen nicht mehr aktualisiert, da der Infrastrukturmaster keine Verweise auf Objekte speichert, die er nicht enthält. Das liegt daran, dass der Server für den globalen Katalog eine partielle Kopie von jedem Objekt der Gesamtstruktur gespeichert hat.
So testen Sie, ob ein Domänencontroller auch als Server für den globalen Katalog fungiert:
  1. Klicken Sie auf Start, zeigen Sie auf Programme, zeigen Sie auf Verwaltung, und klicken Sie anschließend auf Active Directory-Standorte und -Dienste.
  2. Doppelklicken Sie im linken Fensterbereich auf Standorte, und suchen Sie dann den entsprechenden Standort, oder klicken Sie auf Standardname-des-ersten-Standorts, falls keine anderen Standorte verfügbar sind.
  3. Öffen Sie den Ordner "Server", und klicken Sie dann auf den Domänencontroller.
  4. Doppelklicken Sie im Ordner des Domänencontrollers auf NTDS-Einstellungen.
  5. Klicken Sie im Menü Vorgang auf Eigenschaften.
  6. Überprüfen Sie auf der Registerkarte Allgemein, ob das Kontrollkästchen Globaler Katalog aktiviert ist.
Weitere Informationen zu FSMO-Funktionen finden Sie in den folgenden Artikeln der Microsoft Knowledge Base:
197132  (http://support.microsoft.com/kb/197132/de/ ) Windows 2000 Active Directory - FSMO-Funktionen
223787  (http://support.microsoft.com/kb/223787/de/ ) Übertragung und Übernahme von FSMO

Schritte zum Reproduzieren des Problems

Führen Sie DCPROMO auf einem Computer mit Windows Server 2008 aus, um einer Domäne beizutreten, deren RID-Master offline ist. Es wird eine Warnung angezeigt, die darauf hinweist, dass ein aktiver RID-Master vorhanden sein muss. Anschließend wird ein Verweis auf KB-Artikel 255504 angezeigt.
Hinweis Dies ist ein Artikel, der im Schnellverfahren direkt von der Microsoft-Supportorganisation erstellt wurde. Die hierin enthaltenen Informationen werden als Reaktion auf neue Probleme wie besehen bereitgestellt. Da dieser Artikel im Schnellverfahren erstellt wurde, kann er Tippfehler enthalten und zu einem späteren Zeitpunkt ohne vorherige Ankündigung überarbeitet werden. Weitere zu berücksichtigende Informationen finden Sie in den Nutzungsbedingungen (http://go.microsoft.com/fwlink/?LinkId=151500) .

Die Informationen in diesem Artikel beziehen sich auf:
  • Microsoft Windows Server 2003, Standard Edition (32-bit x86)
  • Microsoft Windows Server 2003, Enterprise Edition (32-bit x86)
  • Microsoft Windows Server 2003, Datacenter Edition (32-bit x86)
  • Microsoft Windows 2000 Server
  • Microsoft Windows 2000 Advanced Server
  • Windows Server 2008 Datacenter
  • Windows Server 2008 Enterprise
  • Windows Server 2008 Standard
Keywords: 
kbhowto KB255504
Microsoft stellt Ihnen die in der Knowledge Base angebotenen Artikel und Informationen als Service-Leistung zur Verfügung. Microsoft übernimmt keinerlei Gewährleistung dafür, dass die angebotenen Artikel und Informationen auch in Ihrer Einsatzumgebung die erwünschten Ergebnisse erzielen. Die Entscheidung darüber, ob und in welcher Form Sie die angebotenen Artikel und Informationen nutzen, liegt daher allein bei Ihnen. Mit Ausnahme der gesetzlichen Haftung für Vorsatz ist jede Haftung von Microsoft im Zusammenhang mit Ihrer Nutzung dieser Artikel oder Informationen ausgeschlossen.
Freigeben
Weitere Supportoptionen
Microsoft Community-Supportforen
Kontaktieren Sie uns direkt
Zertifizierten Partner finden
Microsoft Store