Was sind die 5 FSMO-Rollen und welche muss ich uebertragen?

Die fuenf FSMO-Rollen sind: Schema Master (pro Gesamtstruktur), Domain Naming Master (pro Gesamtstruktur), PDC Emulator (pro Domaene), RID Master (pro Domaene) und Infrastructure Master (pro Domaene). Beim Ausser-Betrieb-Nehmen eines Domaenencontrollers muessen Sie alle FSMO-Rollen, die er haelt, auf einen anderen DC uebertragen, bevor Sie ihn herabstufen. Der PDC Emulator ist die zeitsensitivste Rolle, da er Passwortaenderungen, Zeitsynchronisation und Group Policy verwaltet.

Was ist der Unterschied zwischen dem Uebertragen und dem Erzwingen von FSMO-Rollen?

Die Uebertragung ist die ordnungsgemaesse Methode, bei der der aktuelle Rolleninhaber mit dem neuen Inhaber kommuniziert und die Rolle sauber uebergibt. Das Erzwingen (Seize) ist die forcierte Methode, die nur verwendet wird, wenn der aktuelle Rolleninhaber dauerhaft offline oder nicht wiederherstellbar ist. Ein Domaenencontroller, dessen Rollen erzwungen uebernommen wurden, darf niemals wieder online gebracht werden. Versuchen Sie immer zuerst die ordnungsgemaesse Uebertragung.

Muss ich auf einem modernen Windows Server dcpromo ausfuehren?

Nein. Der Befehl dcpromo wurde in Windows Server 2012 als veraltet eingestuft. Ab Server 2012 und spaeter verwenden Sie den AD DS-Installationsassistenten im Server-Manager oder das PowerShell-Cmdlet Install-ADDSDomainController, um einen Server zum Domaenencontroller heraufzustufen. Fuer die Herabstufung verwenden Sie Uninstall-ADDSDomainController.

Wie Sie Ihre AD-Domaene von einem Server auf einen anderen uebertragen

Die Migration einer Active-Directory-Domaene von einem Server auf einen anderen ist eine kritische Operation, die die Uebertragung von FSMO-Rollen (Flexible Single Master Operations), die Sicherstellung ordnungsgemaesser Replikation und die saubere Ausserbetriebnahme des alten Domaenencontrollers erfordert. Dieser Leitfaden fuehrt Sie durch den gesamten Prozess, vom Verstaendnis der FSMO-Rollen ueber die Durchfuehrung der Uebertragung bis zur anschliessenden Bereinigung.

FSMO-Rollen verstehen

Active Directory verwendet ein Multi-Master-Replikationsmodell, bei dem die meisten Aenderungen auf jedem Domaenencontroller vorgenommen werden koennen. Jedoch erfordern fuenf spezifische Operationen einen einzelnen autoritativen Server, um Konflikte zu vermeiden. Dies sind die FSMO-Rollen.

Gesamtstruktur-weite Rollen (eine pro Gesamtstruktur)

Rolle	Zweck
Schema Master	Steuert alle Schema-Aenderungen (Hinzufuegen von Attributen, Klassen). Nur ein DC kann das Schema gleichzeitig aendern.
Domain Naming Master	Steuert das Hinzufuegen und Entfernen von Domaenen in der Gesamtstruktur. Muss beim Erstellen oder Loeschen von Domaenen verfuegbar sein.

Domaenen-weite Rollen (eine pro Domaene)

Rolle	Zweck
PDC Emulator	Verwaltet Passwortaenderungen, Kontosperrungen, Zeitsynchronisation und Group-Policy-Updates. Die wichtigste Rolle fuer den taeglichen Betrieb.
RID Master	Weist Pools von Relative IDs (RIDs) an Domaenencontroller zu. Jedes Sicherheitsobjekt (Benutzer, Gruppe, Computer) benoetigt eine eindeutige RID.
Infrastructure Master	Aktualisiert domaenenuebergreifende Referenzen (z.B. wenn ein Benutzer aus einer Domaene Mitglied einer Gruppe in einer anderen Domaene ist).

Aktuelle FSMO-Rolleninhaber identifizieren

Mit PowerShell (empfohlen):

# Show all FSMO role holders for the domain
Get-ADDomain | Select-Object InfrastructureMaster, PDCEmulator, RIDMaster

# Show forest-wide role holders
Get-ADForest | Select-Object SchemaMaster, DomainNamingMaster

# Quick view of all roles
netdom query fsmo

Mit der grafischen Oberflaeche:

Schema Master: Oeffnen Sie das Schema-Snap-in (registrieren Sie schmmgmt.dll zuerst mit regsvr32 schmmgmt.dll), Rechtsklick auf “Active Directory Schema” > Operations Master
Domain Naming Master: Active Directory Domains and Trusts > Rechtsklick auf die Wurzel > Operations Master
PDC Emulator, RID Master, Infrastructure Master: Active Directory Users and Computers > Rechtsklick auf die Domaene > Operations Masters

Schritt-fuer-Schritt-Migrationsprozess

Schritt 1: Den neuen Server vorbereiten

Installieren Sie den neuen Windows Server und konfigurieren Sie:

Statische IP-Adresse und korrekte DNS-Einstellungen (auf den aktuellen DC zeigend)
Server-Hostname
Windows-Updates angewendet

Schritt 2: Den neuen Server zum Domaenencontroller heraufstufen

Windows Server 2012 und spaeter (AD DS-Installationsassistent):

Oeffnen Sie Server Manager > Add Roles and Features
Waehlen Sie Active Directory Domain Services
Klicken Sie nach der Installation auf die Benachrichtigungsflagge und waehlen Sie Promote this server to a domain controller
Waehlen Sie Add a domain controller to an existing domain
Geben Sie den Domaenennamen und die Anmeldeinformationen ein
Konfigurieren Sie DNS- und Global-Catalog-Optionen
Schliessen Sie den Assistenten ab und starten Sie neu

Mit PowerShell:

# Install the AD DS role
Install-WindowsFeature AD-Domain-Services -IncludeManagementTools

# Promote to domain controller
Install-ADDSDomainController `
    -DomainName "corp.example.com" `
    -InstallDns:$true `
    -Credential (Get-Credential) `
    -SiteName "Default-First-Site-Name" `
    -DatabasePath "C:\Windows\NTDS" `
    -LogPath "C:\Windows\NTDS" `
    -SysvolPath "C:\Windows\SYSVOL" `
    -NoGlobalCatalog:$false `
    -Force:$true

Legacy: dcpromo (Windows Server 2008 R2 und frueher):

dcpromo /ReplicaOrNewDomain:Replica /ReplicaDomainDNSName:corp.example.com /ConfirmGc:Yes /UserName:CORP\admin /Password:*

Schritt 3: Die Replikation ueberpruefen

Stellen Sie vor der Rollenuebertragung sicher, dass die AD-Replikation zwischen den alten und neuen DCs fehlerfrei ist:

# Check replication status
repadmin /replsummary

# Show replication partners
repadmin /showrepl

# Force replication
repadmin /syncall /AdeP

# Check replication with PowerShell
Get-ADReplicationPartnerMetadata -Target "newdc01.corp.example.com"

Warten Sie, bis die Replikation keine Fehler anzeigt, bevor Sie fortfahren.

Schritt 4: Die FSMO-Rollen uebertragen

Methode A: Mit PowerShell (Empfohlen)

# Transfer all five roles to the new DC
Move-ADDirectoryServerOperationMasterRole -Identity "NEWDC01" `
    -OperationMasterRole SchemaMaster, DomainNamingMaster, PDCEmulator, RIDMaster, InfrastructureMaster

# Confirm when prompted

Um Rollen einzeln zu uebertragen:

Move-ADDirectoryServerOperationMasterRole -Identity "NEWDC01" -OperationMasterRole PDCEmulator
Move-ADDirectoryServerOperationMasterRole -Identity "NEWDC01" -OperationMasterRole RIDMaster
Move-ADDirectoryServerOperationMasterRole -Identity "NEWDC01" -OperationMasterRole InfrastructureMaster
Move-ADDirectoryServerOperationMasterRole -Identity "NEWDC01" -OperationMasterRole SchemaMaster
Move-ADDirectoryServerOperationMasterRole -Identity "NEWDC01" -OperationMasterRole DomainNamingMaster

Methode B: Mit ntdsutil (Befehlszeile)

ntdsutil
roles
connections
connect to server NEWDC01.corp.example.com
quit
transfer schema master
transfer naming master
transfer pdc
transfer rid master
transfer infrastructure master
quit
quit

Jeder Uebertragungsbefehl erfordert eine Bestaetigung.

Methode C: Mit der grafischen Oberflaeche

PDC Emulator, RID Master, Infrastructure Master:
1. Oeffnen Sie Active Directory Users and Computers
2. Rechtsklick auf die Domaene > Change Domain Controller > Waehlen Sie den neuen DC
3. Rechtsklick auf die Domaene > Operations Masters
4. Uebertragen Sie jede Rolle auf der entsprechenden Registerkarte
Domain Naming Master:
1. Oeffnen Sie Active Directory Domains and Trusts
2. Aendern Sie den Fokus auf den neuen DC
3. Rechtsklick > Operations Master > Change
Schema Master:
1. Registrieren Sie das Snap-in: regsvr32 schmmgmt.dll
2. Oeffnen Sie eine MMC und fuegen Sie das Snap-in Active Directory Schema hinzu
3. Aendern Sie den Fokus auf den neuen DC
4. Rechtsklick auf Active Directory Schema > Operations Master > Change

Schritt 5: Die Uebertragung ueberpruefen

# Confirm new role holders
netdom query fsmo

# Should show NEWDC01 for all roles
Get-ADDomain | Select-Object PDCEmulator, RIDMaster, InfrastructureMaster
Get-ADForest | Select-Object SchemaMaster, DomainNamingMaster

Erzwungene Uebernahme von FSMO-Rollen (Nur im Notfall)

Wenn der alte DC dauerhaft offline ist und nicht wiederhergestellt werden kann, muessen Sie die Rollen erzwungen uebernehmen anstatt sie zu uebertragen:

ntdsutil
roles
connections
connect to server NEWDC01.corp.example.com
quit
seize schema master
seize naming master
seize pdc
seize rid master
seize infrastructure master
quit
quit

Oder mit PowerShell:

Move-ADDirectoryServerOperationMasterRole -Identity "NEWDC01" `
    -OperationMasterRole SchemaMaster, DomainNamingMaster, PDCEmulator, RIDMaster, InfrastructureMaster `
    -Force

Warnung: Ein Domaenencontroller, dessen Rollen erzwungen uebernommen wurden, darf niemals wieder mit dem Netzwerk verbunden werden. Dies wuerde Konflikte im Verzeichnis verursachen.

Herabstufung des alten Domaenencontrollers

Sobald alle Rollen uebertragen und verifiziert sind:

Windows Server 2012 und spaeter:

# Demote the old DC
Uninstall-ADDSDomainController -DemoteOperationMasterRole:$true -Force

# After reboot, remove the AD DS role
Uninstall-WindowsFeature AD-Domain-Services -IncludeManagementTools

Legacy (Windows Server 2008 R2 und frueher):

dcpromo /forceremoval

Nach der Herabstufung

Ueberpruefen Sie, dass der alte DC nicht mehr in Active Directory Sites and Services erscheint
Entfernen Sie alle DNS-Eintraege, die auf den alten DC zeigen
Ueberpruefen Sie, dass die SYSVOL- und NETLOGON-Freigaben auf dem neuen DC funktionieren

Metadatenbereinigung

Wenn der alte DC nicht ordnungsgemaess herabgestuft wurde (Absturz, erzwungene Entfernung), bereinigen Sie seine Metadaten:

ntdsutil
metadata cleanup
connections
connect to server NEWDC01.corp.example.com
quit
select operation target
list domains
select domain 0
list sites
select site 0
list servers in site
select server [number of old DC]
quit
remove selected server
quit
quit

Oder verwenden Sie PowerShell, um das Computerkonto und die DNS-Eintraege zu entfernen:

# Remove the old DC's computer object
Get-ADDomainController -Identity "OLDDC01" | Remove-ADDomainController -Force

# Clean up DNS records manually
# Open DNS Manager and remove A, CNAME, SRV records for the old DC

DNS-Ueberlegungen

DNS ist eng mit Active Directory integriert. Waehrend der Migration:

Stellen Sie sicher, dass der neue DC ein DNS-Server ist — Installieren Sie die DNS-Rolle waehrend der DC-Heraufstufung.
Ueberpruefen Sie, ob die AD-integrierten DNS-Zonen auf den neuen DC repliziert werden.
Aktualisieren Sie DHCP — Wenn DHCP DNS-Serveradressen verteilt, aktualisieren Sie diese, um auf den neuen DC zu zeigen.
Aktualisieren Sie die DNS-Einstellungen der Clients — Maschinen, die die IP des alten DC fuer DNS verwenden, muessen aktualisiert werden.
Ueberpruefen Sie die SRV-Eintraege — Stellen Sie sicher, dass _ldap._tcp, _kerberos._tcp und andere SRV-Eintraege auf den neuen DC zeigen:
```
nslookup -type=srv _ldap._tcp.dc._msdcs.corp.example.com
```

Zusammenfassung

Die Uebertragung einer AD-Domaene von einem Server auf einen anderen umfasst das Heraufstufen eines neuen DC, die Ueberpruefung der Replikation, die Uebertragung aller fuenf FSMO-Rollen und die saubere Herabstufung des alten DC. Verwenden Sie PowerShells Move-ADDirectoryServerOperationMasterRole fuer die einfachste Rollenuebertragung und ueberpruefen Sie immer mit netdom query fsmo danach. Wenn der alte DC nicht wiederherstellbar ist, erzwingen Sie die Rollenuebernahme und fuehren Sie eine Metadatenbereinigung durch. Achten Sie waehrend des gesamten Prozesses genau auf DNS, da AD vollstaendig von einer korrekten DNS-Konfiguration abhaengt.