Die „FSMO“ Rollen (flexible single master operations) sind spezielle Aufgaben, die je ein einzelner Domain Controller innerhalb der Active Directory Domain bzw. ein einzelner Domain Controller im gesamten AD Domain Forest übernimmt. Der Global Catalog (GC) kann auf mehreren Domain Controllern eingerichtet sein.
Ermitteln der FSMO Rollen und des GC per GUI
PDC Emulator, RID Master und Infrastructure Master
SnapIn „Active Directory-Benutzer und -Computer“ hinzufügen. Das SnapIn aufklappen (es wird eine Verbindung zu einem DC aufgebaut), mit der rechten Maustaste auf eine Domain klicken und im Menü „Betriebsmaster…“ anwählen.
Schema Master
Um das Schema Snapin in eine MMC hinzufügen zu können, muss zunächst die entsprechende DLL registriert werden:
regsvr32 schmmgmt.dll
Anschließend das SnapIn „Active Directory-Schema“ hinzufügen, (dabei wird eine Verbindung zu einem DC aufgebaut) und mit der rechten Maustaste direkt auf das SnapIn klicken. Aus dem Menü „Betriebsmaster…“ anwählen.
Domain Naming Master
SnapIn „Active Directory-Domänen und -Vertrauensstellungen“ hinzufügen, einmal anklicken/ aufklappen lassen (dabei wird eine Verbindung zu einem DC aufgebaut) und mit der rechten Maustaste direkt auf das SnapIn klicken. Aus dem Menü „Betriebsmaster…“ anwählen.
Global Catalog (GC)
Der GC ist keine FSMO Rolle – er kann auf mehreren Servern eingerichtet sein.
In der GUI wird er mit einer Checkbox aktiviert:
Ermitteln der FSMO Rollen mit NTDSUtil
Mit NTDSUtil baut man eine Verbindung zu einem Domain Controller auf und kann diesen „fragen“, welche Rollen er zu kennen glaubt.
Die Kommandos sind teils recht kryptisch; mit „?“ kann man sich im NTDSUtil die jeweils verfügbaren Befehle anzeigen lassen. Die NTDSUtil-Kommandos lassen sich auf ein Minimum abkürzen, z.B. kann man statt „list roles for connected server“ auch „li ro fo co se“ schreiben.
ntdsutil: roles
fsmo maintenance: connections
server connections: connect to server srv01
Eine Verbindung mit „srv01“ wurde unter Verwendung der
Benutzerinformationen des lokal angemeldeten Benutzers hergestellt.
server connections: quit
fsmo maintenance: select operation target
select operation target: list roles for connected server
Server „srv01“ kennt 5 Funktionen.
Schema – CN=NTDS Settings,CN=SRV01,CN=Servers,CN=meinStandort,
CN=Sites,CN=Configuration,DC=example,DC=com
Domäne – CN=NTDS Settings,CN=SRV01,CN=Servers,CN=meinStandort,
CN=Sites,CN=Configuration,DC=example,DC=com
PDC – CN=NTDS Settings,CN=SRV01,CN=Servers,CN=meinStandort,
CN=Sites,CN=Configuration,DC=example,DC=com
RID – CN=NTDS Settings,CN=SRV01,CN=Servers,CN=meinStandort,
CN=Sites,CN=Configuration,DC=example,DC=com
Infrastruktur – CN=NTDS Settings,CN=SRV01,CN=Servers,CN=meinStandort,
CN=Sites,CN=Configuration,DC=example,DC=com
elect operation target: quit
fsmo maintenance: quit
ntdsutil: quit
Die Verbindung mit „srv01“ wird getrennt…
C:\
[/code]
NTDSUtil kann geskriptet werden – die Kommandos müssen dann als Parameter angegeben werden.
Beispiel: Abfrage des DC „srv01“ (vgl. Beispiel oben)
ntdsutil rol con "co to se srv01" q "sel op ta" "li ro fo co se" q q q
Ermitteln der FSMO Rollen und der GCs mit einem .vbs Skript
Beispiel: Ermitteln der FSMO Rollen sowie des GC-Status von Domain Controllern und Anzeige im IE.