FSMO-Rollen zwangsweise übernehmen

    FSMO TeaserUnter bestimmten Bedingungen muss man FSMO-Rollen von einem Server zwangsweise übernehmen, das heißt ohne ihren bisherigen Inhaber am Transfer zu beteiligen. Dieses Verfahren dient nicht als Standard- sondern als Ausnahme-Methode in den folgenden Fällen:

    • Ein DC, der Inhaber einer FSMO-Rolle ist, wurde mittels dcpromo /forceremoval zwangsweise herabgestuft,
    • ein DC, der Inhaber einer FSMO-Rolle ist, existiert nicht mehr, sein Betriebssystem wurde gelöscht oder neu installiert,
    • beim Übertragen einer FSMO-Rolle nach dem Standard-Verfahren gab es einen Fehler, so dass es nicht beendet werden kann.

    ntdsutil übernimmt die Rolle

    ntdsutil überträgt FSMO-Rollen zwangsweise an einen neuen ServerAuf Low-Level-Ebene werden derlei Operationen mittels des Kommandozeilentools ntdsutil.exe ausgeführt; bei Notoperationen wie der hier beschriebenen gibt es dazu oft keine Alternative.

    Der Benutzer, der die Operation durchführt, muss Mitglied der Gruppe Organisationsadministratoren sein, um die FSMO-Rollen Schemamaster und Domänennamen-Master zwangsübertragen zu können, für die anderen Rollen genügt eine Mitgliedschaft in der Gruppe Domänenadministratoren. An der physischen Maschine, welche die Rolle erhalten soll, muss man sich nicht unbedingt anmelden. In einer Eingabeaufforderung gibt man ntdsutil ein, an dessen Prompt danach folgende Kommandos:

    roles
    connections
    connect to server ‹Servername›
    q
    seize ‹FSMO-Rolle›

    ‹Servername› ist dabei derjenige Server, welcher die Rolle erhält. Die für die FSMO-Rollen verwendeten Schlüsselwörter sind

    ntdsutil-Kommando übertragene FSMO-Rolle
    seize infrastructure master Infrastruktur-Master
    seize naming master Domänennamen-Master
    seize PDC PDC-Emulator
    seize RID master RID-Master
    seize schema master Schemamaster

    Es muss noch einmal betont werden, dass eine solche Übernahme nur erfolgen sollte, wenn der bisherige Inhaber der Rolle nicht mehr zu retten in dem Sinne ist, dass er nicht mehr funktionierend an das Netz angeschlossen hat. Erweist er sich später wieder als funktionsfähig, etwa weil ein Hardware-Schaden behoben oder das Szenario nur testweise durchgespielt wurde, darf er keinesfalls wieder ans Netzwerk.

    4 Kommentare

    Bild von mj
    mj sagt:
    17. Oktober 2011 - 10:42

    vielen dank.
    der artikel hat mir sehr geholfen :)

    Bild von Tommy Sadowski
    7. Mai 2013 - 7:55

    Hallo,

    vielen Dank, hat gut geholfen.
    Was mich kurz Zeit gekostet hatte, war "seize naming master", dies muss "seize domain naming master" sein.

    Dann klappts wunderbar.

    Danke nochmal.

    Bild von Moritz M.
    Moritz M. sagt:
    24. Juli 2014 - 9:17

    Vielen Dank! Rettung in höchster Not! :-)

    Bild von Bernhard
    Bernhard sagt:
    13. Mai 2015 - 18:11

    Hallo,

    danke, für die Infos.