In diesem Dokument finden Sie eine Erläuterung der einzelnen FSMO-Funktionen oder -Rollen, die unsere Domänencontroller haben werden. Wir werden uns auch ansehen, wie diese Funktionen zwischen Domänencontrollern übertragen werden können, und welche Empfehlungen zu beachten sind.

Forest Operations Master

Es handelt sich um einzigartige Funktionen im Wald. Daher kann es im Wald nur einen Schema-Master und einen Domain-Namen-Master geben.

Schema-Master oder Schema Master:
Er ist verantwortlich für die Änderung des Active Directory-Schemas, Das Schema des Active Directory wird auf allen Domänencontrollern repliziert, Nur der Domänencontroller mit der Rolle 'Schema Master' kann es ändern.

Domain-Namen-Master oder Domain Naming Master:
Verantwortlich für die Pflege des Domänennamenschemas innerhalb des Waldes sowie für das Hinzufügen und Entfernen von Domänen.

Domänenoperations-Master
Es handelt sich um einzigartige Funktionen in jeder Domäne. Daher kann in jeder Domäne des Waldes nur ein PDC-Emulator-Master existieren, ein RID-Master und ein Infrastruktur-Master

PDC-Emulator oder PDC-Emulator:
Verantwortlich für die Synchronisation der Eigenschaften von Benutzer- und Gruppenkonten mit NT-Domänencontrollern 4 (Emuliert den PDC in einer NT-Domäne 4) Außerdem ist er verantwortlich für die Zeitsynchronisation zwischen den Wäldern.

Der PDC-Emulator in der primären Domäne sollte so konfiguriert werden, dass er sich mit einer externen Zeitquelle synchronisiert. Wir können einen externen Server gemäß diesem Dokument konfigurieren: HTTP (Englisch)://www.bujarra.com/?p=1070. Es ist empfehlenswert, die Funktion des PDC-Emulators mit der des RID-Masters zu kombinieren.

RID-Master oder Relative ID-Master oder RID-Master:
Weist ID-Sequenzen oder IDs zu. Relativ (RID) an jeden der verschiedenen Domänencontroller. Zu jedem Zeitpunkt kann es nur einen Domänencontroller geben, der als RID-Master in jeder Domäne des Waldes fungiert. Immer wenn ein Domänencontroller ein Objekt erstellt (Benutzer, Gruppe, Computer…) weist eine eindeutige Sicherheits-ID (oder SID) dem erstellten Objekt zu. Diese SID besteht aus einer Domänen-SID, die für alle im Domänen erstellten SIDs gleich ist, und einer RID, die für jede der im Domänen erstellten SIDs einzigartig ist. Es wird empfohlen, diese Rolle vom Globalen Katalog oder Global Catalog zu trennen. Es wird empfohlen, die Rolle des RID-Masters mit der des PDC-Emulators zu kombinieren.

Infrastruktur-Master oder Infrastructure Master:
Verantwortlich für die Überprüfung der Mitgliedschaft in universellen Gruppen in multidomänen-Umgebungen. Verantwortlich für die Aktualisierung von Objektreferenzen von seiner Domäne zu anderen Domänen es sei denn, es gibt nur einen einzigen DC in der Domäne, Die Infrastruktur-Master-Rolle sollte nicht dem Domänencontroller zugewiesen werden, der den globalen Katalog hostet.

Rollen zwischen den Domänencontrollern übertragen:

Um eine FSMO-Rolle auf andere Domänencontroller zu übertragen, können wir dies mit den Verwaltungstools tun “Active Directory-Standorte und -Dienste”, “Active Directory-Benutzer und -Computer” und “Active Directory-Schema”. Oder besser direkt über die Befehlszeile dank NTDSUTIL. Um dies zu tun,, über die Befehlszeile oder “Eingabeaufforderung”, Laufen “ntdsutil”, Drücken wir Enter; der nächste Befehl, der geschrieben werden muss, ist “roles”, Drücken wir Enter. Dann schreiben wir “connections” und drücken erneut Enter. Nach, wir verbinden uns mit dem Server, der die zu migrierende Rolle bzw. die zu migrierenden Rollen haben soll, Stellen “connect to server SERVER_NAME”, Drücken wir Enter; einmal verbunden verlassen wir, indem wir eingeben “q” und drücken erneut Enter. Jetzt schreiben wir die Rolle, die wir auf diesen Server verschieben möchten, immer vorangestellt von dem Wort “transfer”, und die fünf Rollen wären: “naming master”, “Infrastrukturexperte”, “PDC”, “RID-Master” und “Schema-Master”. Habría que ejecutar el comando con todos los roles que querramos transferir o migrar, nos preguntará cada vez que movamos el rol entre los DC's si estamos seguros, y confirmamos con “Ja”.

Si por el contrario, nos falla la transferencia de roles entre los controladores de dominio, o directamente tenemos algún rol desaparecido, perdido o con algún error, ya sea por que nos falta un controlador de dominio… podremos siempre recuperar el rol y realizar una transferencia forzosa mediante el comando “seize”, de igual forma que migraríamos los roles, deberíamos tomar posesión del rol que tengamos dañado/perdido.

Una vez dichas transferencias sean correctas, podremos confirmarlo en el visor de sucesos de cualquier controlador de dominio.

Para más información: http://support.microsoft.com/kb/223346.