Unentbehrliches Netzwerk-Know-how (tecCHANNEL COMPACT)

Katastrophenszenarien bei Active Directory - Teil 2

Veröffentlicht: 06. Okt 2006

Von WILLIAM BOSSWELL

Bei Active Directory handelt es sich um eine komplexe Software, deren Ausfall einen Administrator gehörig ins Schwitzen bringt. Im zweiten Teil unserer Serie geht es darum die Probleme, die der Ausfall eines FSMO-Rolemasters verursacht, zu beseitigen.

Auf dieser Seite

	Ausfall eines FSMO
	Festlegung eines Rollenmasters
	Einen verlorenen PDC-Emulator wiederherstellen
	Übertragung eines FSMO-Rollenmasters
	Betrieb des Infrastrukturmasters
	Ändern eines Rollenmasters über eine MMC-Konsole
	Ändern eines Rollenmasters über Ntdsutil
	Einen Rollenmaster entziehen
	Ausblick

Active Directory ist auf eine Reihe von Diensten und Features angewiesen, um korrekt funktionieren zu können. Wenn einer dieser Dienste ausfällt, erleben Sie ungewöhnliches oder unkontrollierbares Verhalten. Unsere Serie stellt Ihnen die häufigsten Szenarien samt Lösung vor.

Ausfall eines FSMO

Es gibt ein paar Dinge, bei denen der Multimasterbetrieb nicht benutzt werden kann; diese müssen vielmehr von einem einzigen Server erledigt werden. Diese Aufgaben werden als FSMOs (Flexible Single Master Operations) bezeichnet; die Server, denen die Aufgaben zugewiesen sind, als FSMO-Rollenmaster.

•	Domänen-Naming-Master. Dieser FSMO ist für die Eindeutigkeit von Domänennamen in einem Forest verantwortlich. Es gibt einen Domänen-Naming-Master pro Forest.

•	Schemamaster. Dieser FMSO besitzt die einzige Schreib-/Lesekopie des Schemas. Es gibt einen Schemamaster pro Forest.

•	PDC-Emulator. Dieser FSMO repliziert die Aktualisierungen auf die Windows NT-BDCs in Mixed. Er dient ferner als Berufungsinstanz für Passwörter und als Zeitstandard. Es gibt einen PDC-Emulator pro Domäne.

•	RID-Master. Dieser FSMO speichert RID-Hauptliste. In Mixed werden diese RIDs der Reihenfolge nach ausgegeben. In Native bekommt jeder Domänencontroller einen Pool von RIDs vom RID-Master. Es gibt einen RID-Master pro Domäne.

•	Infrastrukturmaster. Dieser FMSO ist für die schnelle Übermittlung von Namensänderungen zuständig, die domänenübergreifende Gruppenmitgliedschaften im Forest betreffen. Es gibt einen Infrastrukturmaster pro Domäne.

Ein kurzer Ausfall eines FSMO-Rollenmasters erfordert keine speziellen Schritte, aber wenn ein Rollenmaster für längere Zeit vom Netz geht, sollten Sie seine Rolle bzw. Rollen auf einen anderen DC übertragen.

Fällt ein FSMO-Rollenmaster vollständig aus und kann nicht mehr eingesetzt werden, dann müssen Sie ihm die Rollen entziehen und sie einem anderen DC übergeben. Bei einer Übertragung muss der vorherige Rollenmaster online sein, um die Transferanfrage annehmen zu können. Beim Entzug ist der vorherige Rollenmaster nicht online, und der neue Rollenmaster nimmt sich einfach die Rolle.

Nach dem Entzug einer Rolle dürfen Sie den alten Rollenmaster nie wieder ans Netz bringen. Nur so verhindern Sie, dass der alte Rollenmaster ungültige Informationen ausgibt oder eine alternative Möglichkeit für das Update kontrollierter Strukturen wie des Schemas darstellt.

Zum Seitenanfang

Festlegung eines Rollenmasters

Was einen bestimmten Server zu einem FSMO-Rollenmaster macht, ist ein Attribut in dem Active-Directory-Objekt, das eine bestimmte FSMO kontrolliert. Beispielsweise kontrolliert das Domänen-Objekt die PDC-Emulator-Rolle. Ein FSMO-Attribut in diesem Objekt bedeutet, dass der definierte Name des Servers als PDC-Emulator festgelegt wurde. Wenn Sie eine Rolle übergeben oder entziehen, verändern Sie den definierten Namen, der diesem Rollenmaster-Attribut zugewiesen ist.

Zum Seitenanfang

Einen verlorenen PDC-Emulator wiederherstellen

Die einzige Ausnahme, in der man alte Rollenmaster wieder in Betrieb nehmen darf, bildet der PDC-Emulator. Wenn man einen früheren PDC-Emulator wieder online nimmt, erfährt er via Replikation den Namen des neuen PDC-Emulators und stellt anstandslos all seine Rollenmaster-Aktivitäten ein.

Allerdings liegt in der Praxis der RID-Master normalerweise auf demselben Server wie der PDC-Emulator, sodass Sie den Server doch nicht wieder einsetzen können. Wenn Sie einen ehemaligen RID-Master wieder einsetzen, kann es passieren, dass zwei Objekte dieselbe RID erhalten, was die Sicherheit und Datenbankkonsistenz gefährden würde. Wenn sich RID-Master und PDC-Emulator auf demselben Server befinden und ihm diese Rollen entzogen und einem anderen Server übertragen wurden, dann formatieren Sie die Platten des ursprünglichen Servers und installieren das Betriebssystem neu.

Zum Seitenanfang

Übertragung eines FSMO-Rollenmasters

Für den Transfer eine FSMO auf einen neuen Rollenmaster können Sie wahlweise eine MMC-Konsole oder ein Befehlszeilenutility verwenden. Die Auswahl der Konsole hängt von der zu übertragenden Rolle ab. In der Tabelle finden Sie eine Liste der FSMO-Rollen und der benötigten MMC-Konsolen sowie geeignete Sicherheitshinweise:

Informationen zur Übertragung von FSMO-Rollmastern

Zum Seitenanfang

Betrieb des Infrastrukturmasters

Wenn Sie einen Sicherheitsprincipal (Benutzer, Gruppe oder Computer) in eine Gruppe aufnehmen, dann wird der DN des Sicherheitsprincipals einem Attribut namens Members des Gruppenobjekts in Active Directory hinzugefügt. Active Directory erhält die interne Konsistenz, indem es einen Back-Link auf das Objekt erzeugt, das den Sicherheitsprincipal repräsentiert. So kann das Member-Attribut aktualisiert werden, wenn sich der Objektname ändert.

Setzen Sie nun als Administrator einer Domäne in einem Forest einen Sicherheitsprincipal aus einer anderen Domäne in eine Gruppe Ihrer Domäne, steht Active Directory vor einem Dilemma. Es kann keinen Back-Link auf ein Objekt in einem anderen Domänen-Namenskontext erzeugen. Es löst dieses Problem, indem es ein Phantomobjekt erzeugt, was nichts weiter als eine Struktur in seinem Domänen-Namenskontext ist, die aus dem DN des Objekts, seinem GUID und seiner SID besteht.

Der Infrastrukturmaster in einer Domäne entdeckt Namensänderungen an Sicherheitsprincipals, die von Phantomeinträgen in seiner eigenen Domäne repräsentiert werden. Ohne diesen Dienst würden die Namen, die bei Gruppenmitgliedschaftslisten angezeigt werden, nicht den evtl. geänderten Namen in den Quelldomänen entsprechen. Das betrifft nicht den Zugang zu Ressouren, weil die SID nicht verändert wurde.

Der Infrastrukturmaster erledigt diese Aufgabe, indem er regelmäßig die Liste der Phantomeinträge durchgeht und die Namen gegen die Namen im GC prüft. Falls er einen Unterschied feststellt, aktualisiert er den Phantomeintrag so, dass er den neuen Namen repräsentiert. Diese Veränderung wird dann an die anderen DCs in der Domäne repliziert, die eine Kopie des Phantomeintrags besitzen.

GC-Server verfügen bereits über eine Kopie der Objekte von anderen Domänen und speichern deswegen keine Phantomeinträge. Deswegen dürfen Sie den Infrastrukturmaster keinem GC-Server zuweisen.

Zum Seitenanfang

Ändern eines Rollenmasters über eine MMC-Konsole

1.	Öffnen Sie die Konsole, die Sie für die Übertragung des FSMO benötigen.
2.	Wenn Sie sich nicht beim DC befinden, der der neue Rollenmaster werden soll, gehen Sie folgendermaßen vor: Klicken Sie mit der rechten Maustaste auf das oberste Symbol im Verzeichnisbaum (das denselben Namen wie die Konsole hat) und wählen Sie aus dem Kontextmenü den Eintrag VERBINDUNG MIT DOMÄNENCONTROLLER HERSTELLEN.
3.	Wählen Sie den Namen des DC aus, der neuer Rollenmaster sein soll. Dadurch wird die Anforderung seitens LDAP erfüllt, die Bindung an den Server herzustellen, damit Sie sich authentifizieren können.
4.	Klicken Sie auf OK, um sich mit dem Domänencontroller zu verbinden.
5.	Klicken Sie mit der rechten Maustaste auf das oberste Symbol (Domänen und Vertrauensstellungen, Schema) bzw. die Domäne (Benutzer und Computer) und wählen Sie diesmal BETRIEBSMASTER aus dem Kontextmenü. Das Fenster BETRIEBSMASTER wird angezeigt.
6.	Wählen Sie die Registerkarte, die der zu übertragenden Rolle zugeordnet ist.
7.	Überprüfen Sie, ob der angezeigte DC dem Server entspricht, auf den Sie die Rolle übertragen wollen.
8.	Klicken Sie auf ÄNDERN. Sie werden nun zur Bestätigung aufgefordert.
9.	Klicken Sie auf OK. Nach kurzer Zeit werden Sie darüber informiert, dass der Betriebsmaster erfolgreich übertragen wurde. Auf der Registerkarte BETRIEBSMASTER erscheint der neue Name nun unter BETRIEBSMASTER.
10.	Klicken Sie auf OK, um das Fenster zu schließen.

Jetzt müssen Sie warten, bis die Replikation volle Konvergenz erreicht hat, damit alle Domänencontroller über den neuen Rollenmaster Bescheid wissen. Sie können die Konsole ACTIVE DIRECTORY-STANDORTE UND -DIENSTE oder den Replikationsmonitor Replmon aus den Support-Tools verwenden, um die Replikation zu erzwingen.

Zum Seitenanfang

Ändern eines Rollenmasters über Ntdsutil

Mögen Sie grafische Tools nicht (oder verwalten Sie Ihre Server mit Telnet oder SSH), dann können Sie auch das Utility Ntdsutil zur Übertragung von Rollenmastern zwischen DCs verwenden. Sowohl ursprünglicher als auch künftiger Rollenmaster müssen online sein. Gehen Sie wie folgt vor:

1.	Melden Sie sich über ein Konto mit Administratorrechten an der Domäne an. Bezieht sich die Rollenänderung auf den Schema- oder Domänen-Naming-Master, dann benötigen Sie auch Administratorrechte für den Konfigurationsnamenskontext.
2.	Starten Sie Ntdsutil.
3.	Geben Sie roles an der Eingabeaufforderung ntdsutil: ein. Dadurch wird die Eingabeaufforderung FSMO maintenance: geöffnet.
4.	Geben Sie ? ein. Die Optionsliste wird angezeigt.
5.	Geben Sie connections ein. Die Eingabeaufforderung server connections wird angezeigt.
6.	Geben Sie ? ein. Die Optionsliste wird angezeigt.
7.	Geben Sie Connect to Server %s ein, wobei %s der vollqualifizierte DNS-Name des DCs ist, auf den Sie die Rolle übertragen wollen. Geben Sie beispielsweise Connect to Server srv01.firma.de ein. Falls erfolgreich, erhalten Sie den folgenden Statusbericht: server connections: connect to server srv01.firma.de. Bindung mit "srv01.firma.de" ... Eine Verbindung mit "srv01.firma.de" unter Verwendung der Benutzerinformationen des lokal angemeldeten Benutzers wurde hergestellt.
8.	Wenn Sie ein anderes Konto verwenden wollen, benutzen Sie den Befehl Set Creds vor der Eingabe des Befehls Connect to Server.
9.	Geben Sie q ein, um das Modul zu verlassen und wieder zur Eingabeaufforderung FSMO Maintenance zu wechseln.
10.	Wählen Sie eine zu übertragende Rolle und geben Sie das entsprechende Kommando. Wollen Sie etwa den PDC-Emulator übertragen, so geben Sie Transfer PDC ein.
11.	Es erscheint ein Fenster, in dem Sie den Vorgang bestätigen müssen. Klicken Sie auf OK, um den Rollentransfer zu starten.
12.	Falls der Übertragungsvorgang nicht funktioniert, erhalten Sie eine Fehlermeldung, und die Rolle verbleibt beim ursprünglichen Master. Wäre beispielsweise der Zielserver bereits Rollenmaster, dann wird Ihnen dies mitgeteilt. Verläuft die Übertragung problemlos, dann zeigt Ntdsutil eine aktuelle Rollenmasterliste, die die erfolgreiche Ausführung des Vorgangs anzeigt.

Zum Seitenanfang

Einen Rollenmaster entziehen

Wenn ein Domänencontroller, der einen FSMO-Rollenmaster hostet, komplett ausfällt, lassen sich die Rollen nicht mit den MMC-Konsolen übertragen – Sie müssen sie mithilfe von Ntdsutil entziehen.

Zur Erinnerung: Wenn Sie einem Rollenmaster seine Rolle entziehen, darf dieser nie wieder online gehen. Das heißt im Klartext: Festplatte formatieren und neu installieren.

Stellen Sie sicher, dass der Domain Controller, der als neuer Rollenmaster vorgesehen ist, online ist, und gehen Sie wie folgt vor:

1.	Melden Sie sich über ein Konto mit Administratorrechten an der Domäne an. Bezieht sich die Rollenänderung auf den Schema- oder Domänen-Naming-Master, dann benötigen Sie auch Administratorrechte für den Konfigurationsnamenskontext.
2.	Starten Sie Ntdsutil.
3.	Geben Sie Roles an der Eingabeaufforderung Ntdsutil ein. Dadurch wird die Eingabeaufforderung FSMO Maintenance: geöffnet.
4.	Geben Sie Connections ein. Die Eingabeaufforderung Server Connections wird angezeigt.
5.	Geben Sie Connect to Server, gefolgt vom vollqualifizierten DNS-Namen des DC, auf den Sie die Rolle übertragen wollen, ein. Falls erfolgreich, erhalten Sie den folgenden Statusbericht:

server connections: connect to server srv01.firma.de.
		
Bindung mit "srv02.firma.de" ...
		
Eine Verbindung mit "srv01.firma.de" unter Verwendung der Benutzerinformationen des lokal angemeldeten Benutzers wurde (sic!) hergestellt.

Geben Sie q ein, um das Modul zu verlassen und wieder zur Eingabeaufforderung FSMO Maintenance zu wechseln.

Wählen Sie eine zu übertragende Rolle. In diesem Beispiel soll der RID-Master übertragen werden. Geben Sie etwa Seize RID Master ein. Es erscheint ein Fenster, in dem Sie den Vorgang bestätigen müssen. Klicken Sie auf OK, um den Rollentransfer zu starten. (Falls der derzeitige Rollenmaster online ist, nimmt Ntdsutil einfach eine normale Übertragung vor.)

Falls der Übertragungsvorgang nicht funktioniert, erhalten Sie eine Fehlermeldung und die Rolle verbleibt beim ursprünglichen Master. Verläuft die Übertragung problemlos, dann zeigt Ntdsutil eine aktuelle Rollenmasterliste.

Zum Seitenanfang

Ausblick

Im nächsten Teil der Artikelserie geht es um den Ausfall von zentralen Replikationskomponenten und den entsprechenden Gegenmaßnahmen.

Zum Seitenanfang

13 von 18

In diesem Beitrag

•	Grundlagen zu Routing und Subnetzbildung, Teil 1
•	Grundlagen zu Routing und Subnetzbildung, Teil 2
•	Grundlagen zu Routing und Subnetzbildung, Teil 3
•	Einführung in VLANs, Teil 1
•	Einführung in VLANs, Teil 2
•	Konfiguration und Betrieb eines Nameservers, Teil 1
•	Konfiguration und Betrieb eines Nameservers, Teil 2
•	Konfiguration und Betrieb eines Nameservers, Teil 3
•	LDAP, Teil 1
•	LDAP, Teil 2
•	LDAP, Teil 3
•	Katastrophenszenarien bei Active Directory - Teil 1
•	Katastrophenszenarien bei Active Directory - Teil 2
•	Katastrophenszenarien bei Active Directory - Teil 3
•	Katastrophenszenarien bei Active Directory - Teil 4
•	Katastrophenszenarien bei Active Directory - Teil 5
•	Zugriffskontrolle bei Samba und *nix - Teil 1
•	Zugriffskontrolle bei Samba und *nix - Teil 2