FSMO-Rollen zwangsweise übernehmen

FSMO TeaserUnter bestimmten Bedingungen muss man FSMO-Rollen von einem Server zwangsweise übernehmen, das heißt ohne ihren bisherigen Inhaber am Transfer zu beteiligen. Dieses Verfahren dient nicht als Standard- sondern als Ausnahme-Methode in den folgenden Fällen:

  • Ein DC, der Inhaber einer FSMO-Rolle ist, wurde mittels dcpromo /forceremoval zwangsweise herabgestuft,
  • ein DC, der Inhaber einer FSMO-Rolle ist, existiert nicht mehr, sein Betriebssystem wurde gelöscht oder neu installiert,
  • beim Übertragen einer FSMO-Rolle nach dem Standard-Verfahren gab es einen Fehler, so dass es nicht beendet werden kann.

ntdsutil übernimmt die Rolle

ntdsutil überträgt FSMO-Rollen zwangsweise an einen neuen ServerAuf Low-Level-Ebene werden derlei Operationen mittels des Kommandozeilentools ntdsutil.exe ausgeführt; bei Notoperationen wie der hier beschriebenen gibt es dazu oft keine Alternative.

Der Benutzer, der die Operation durchführt, muss Mitglied der Gruppe Organisationsadministratoren sein, um die FSMO-Rollen Schemamaster und Domänennamen-Master zwangsübertragen zu können, für die anderen Rollen genügt eine Mitgliedschaft in der Gruppe Domänenadministratoren. An der physischen Maschine, welche die Rolle erhalten soll, muss man sich nicht unbedingt anmelden. In einer Eingabeaufforderung gibt man ntdsutil ein, an dessen Prompt danach folgende Kommandos:

roles
connections
connect to server ‹Servername›
q
seize ‹FSMO-Rolle›

‹Servername› ist dabei derjenige Server, welcher die Rolle erhält. Die für die FSMO-Rollen verwendeten Schlüsselwörter sind

ntdsutil-Kommando übertragene FSMO-Rolle
seize infrastructure master Infrastruktur-Master
seize naming master Domänennamen-Master
seize PDC PDC-Emulator
seize RID master RID-Master
seize schema master Schemamaster

Es muss noch einmal betont werden, dass eine solche Übernahme nur erfolgen sollte, wenn der bisherige Inhaber der Rolle nicht mehr zu retten in dem Sinne ist, dass er nicht mehr funktionierend an das Netz angeschlossen hat. Erweist er sich später wieder als funktionsfähig, etwa weil ein Hardware-Schaden behoben oder das Szenario nur testweise durchgespielt wurde, darf er keinesfalls wieder ans Netzwerk.

4 Kommentare

Bild von mj
mj (Besucher) sagt:

vielen dank.
der artikel hat mir sehr geholfen :)

Bild von Tommy Sadowski
Tommy Sadowski (Besucher) sagt:

Hallo,

vielen Dank, hat gut geholfen.
Was mich kurz Zeit gekostet hatte, war "seize naming master", dies muss "seize domain naming master" sein.

Dann klappts wunderbar.

Danke nochmal.

Bild von Moritz M.
Moritz M. (Besucher) sagt:

Vielen Dank! Rettung in höchster Not! :-)

Bild von Bernhard
Bernhard (Besucher) sagt:

Hallo,

danke, für die Infos.

Kommentar hinzufügen

Der Inhalt dieses Feldes wird nicht angezeigt. Wenn mit Ihrer angegebenen Mail-Adresse ein Gravatar verknüpft ist, dann wird dieser neben Ihrem Kommentar eingeblendet.
  • Internet- und E-Mail-Adressen werden automatisch umgewandelt.
  • Zulässige HTML-Tags: <a> <em> <strong> <cite> <code> <ul> <ol> <li> <dl> <dt> <dd>
  • Zeilen und Absätze werden automatisch erzeugt.
  • Mail-Adressen werden im Seitenquelltext unkenntlich gemacht, um sie vor dem automatischen Erfassen durch Spammer zu schützen.

Weitere Informationen über Formatierungsoptionen