====== Rollen im Active Directory  ======

> https://learn.microsoft.com/de-de/troubleshoot/windows-server/active-directory/view-transfer-fsmo-roles
===== Welche gibt es? =====

**1. FSMO / Betriebsmaster:**
  * Schemamaster
  * Domänennamen-Master
  * RID-Master
  * PDC-Emulator
  * Infrastrukturmaster

**2. Globaler Katalog**

===== Verteilung =====
Es gelten folgende Regeln

  - RID-Master und PDC-Emulator sollten zusammen auf einem DC sein.
  - Der Infrastrukturmaster darf kein GC sein.
  - Schemamaster- und Domänennamen-Master sollten auf einem DC sein.
  - Der Domänennamenmaster-FSMO soll auch ein globaler Katalogserver sein.

Beispiel mit einer Domäne:

**DC1:** Schemamaster, Domänennamenmaster und globaler Katalog \\ 
**DC2:** Infrastrukturmaster, RID-Master und PDC-Emulator

===== Abfrage der vorhandenen Rollen =====

**NETDOM** - Support Tools müssen installiert sein:

<code>
C:\Programme\Support Tools>netdom /query fsmo
Schema owner                ADAM.hetzel-netz.lan

Domain role owner           ADAM.hetzel-netz.lan

PDC role                    atom.hetzel-netz.lan

RID pool manager            atom.hetzel-netz.lan

Infrastructure owner        atom.hetzel-netz.lan

The command completed successfully.
</code>

**DSQUERY**
<code>
dsquery server -hasfsmo schema
dsquery server -hasfsmo name
dsquery server -hasfsmo rid
dsquery server -hasfsmo pdc
dsquery server -hasfsmo infr
</code>

==== Alle Global Catalog abfragen ====

<code>
nslookup gc._msdcs.%userdnsdomain%
</code>

==== Alle Bridgeheads abfragen ====

<code>
repadmin /bridgeheads
</code>

===== Rollen auf andere DC's übertragen =====

Manchmal kommt man in den Genuss die FSMO's auf andere Systeme zu übertragen, wenn beispielsweise ein alter Server vom Netz genommen wird. Und so geht's...


==== Vorbereitungen ====

Zunächst einen Überblick verschaffen!
  - Welche Server haben welche Rolle inne? - Abfrage mit oben erwähnten Befehlen!
  - Ist der Server, der abgeschaltet werden soll, ein Global Catalog?

==== RID-Master, PDC-Emulator und Infrastrukturmaster ====

Man öffne das Snapin "Active Directory Users and Computers":

{{:win_server:betriebsmaster.png|}}

Ein Rechtsklick auf die Stammdomäne öffnet die Karteireiter der Betriebsmaster.

{{:win_server:betriebsmaster_2.jpg|}}

Wir befinden uns auf dem Server, der auch gleichzeitig der Rolleninhaber ist. Mit einem Klick auf "Ändern" können wir den RID-Master nun auf einen anderen Server übertragen. Dies geht aber nicht!

{{:win_server:rolle_schubsen.jpg|}}


Wir bedienen uns eines Tricks und verbinden uns mit dem zukünftigen Rolleninhaber:

{{:win_server:verbindung_herstellen.jpg|}}

Nun können wir uns mit einem Klick auf "Ändern" die Rolle ziehen:

{{:win_server:rolle_ziehen.jpg|}}

Selbiges führen wir für den PDC-Emulator und den Infrastrukturmaster durch!

==== Globalen Katalog umziehen ====

Bei oben aufgeführter Prozedur könnte es zu folgendem Hinweis gekommen sein:

{{:win_server:warnung_gc.jpg|}}

Wo kann ich das einstellen, welcher Server GC ist?
Das Snapin lautet "Active Directory Sites and Services":

{{:win_server:gc_setting.jpg|}}

==== Schema-Master übertragen ====

Zunächst muss das MMC-Snapin freigeschaltet werden. Dazu muss die DLL registriert werden.

{{:win_server:schema_mmc_register.jpg|}}

War der Vorgang erfolgreich, erscheint folgende Meldung.

{{:win_server:schema_register.jpg|}}

Nun kann man über Start - Ausführen den MMC aufrufen und darin das Snapin für das AD-Schema laden.

{{:win_server:mmc.jpg|}}

Mit Rechtsklick auf das Schema erscheint ein Kontextmenü, wo "Betriebsmaster" ausgewählt werden kann.

{{:win_server:mmc_ad_schema.jpg|}}

Dort kann man die Rolle übertragen.

{{:win_server:schemamaster.jpg|}}

==== Domänennamen-Master übertragen ====

{{:win_server:move_domain_namingmaster_1.jpg|}}

Hier "Betriebsmaster" anwählen und es erscheint folgendes Menü:

{{:win_server:move_domain_namingmaster_2.jpg|}}