Die „FSMO“ Rollen (flexible single master operations) sind spezielle Aufgaben, die je ein einzelner Domain Controller innerhalb der Active Directory Domain bzw. ein einzelner Domain Controller im gesamten AD Domain Forest übernimmt. Der Global Catalog (GC) kann auf mehreren Domain Controllern eingerichtet sein.
Ermitteln der FSMO Rollen und des GC per GUI
PDC Emulator, RID Master und Infrastructure Master
SnapIn „Active Directory-Benutzer und -Computer“ hinzufügen. Das SnapIn aufklappen (es wird eine Verbindung zu einem DC aufgebaut), mit der rechten Maustaste auf eine Domain klicken und im Menü „Betriebsmaster…“ anwählen.
Schema Master
Um das Schema Snapin in eine MMC hinzufügen zu können, muss zunächst die entsprechende DLL registriert werden:
regsvr32 schmmgmt.dll
Anschließend das SnapIn „Active Directory-Schema“ hinzufügen, (dabei wird eine Verbindung zu einem DC aufgebaut) und mit der rechten Maustaste direkt auf das SnapIn klicken. Aus dem Menü „Betriebsmaster…“ anwählen.
Domain Naming Master
SnapIn „Active Directory-Domänen und -Vertrauensstellungen“ hinzufügen, einmal anklicken/ aufklappen lassen (dabei wird eine Verbindung zu einem DC aufgebaut) und mit der rechten Maustaste direkt auf das SnapIn klicken. Aus dem Menü „Betriebsmaster…“ anwählen.
Global Catalog (GC)
Der GC ist keine FSMO Rolle – er kann auf mehreren Servern eingerichtet sein.
In der GUI wird er mit einer Checkbox aktiviert:
Ermitteln der FSMO Rollen mit NTDSUtil
Mit NTDSUtil baut man eine Verbindung zu einem Domain Controller auf und kann diesen „fragen“, welche Rollen er zu kennen glaubt.
Die Kommandos sind teils recht kryptisch; mit „?“ kann man sich im NTDSUtil die jeweils verfügbaren Befehle anzeigen lassen. Die NTDSUtil-Kommandos lassen sich auf ein Minimum abkürzen, z.B. kann man statt „list roles for connected server“ auch „li ro fo co se“ schreiben.
C:\ntdsutil ntdsutil: roles fsmo maintenance: connections server connections: connect to server srv01 Eine Verbindung mit "srv01" wurde unter Verwendung der Benutzerinformationen des lokal angemeldeten Benutzers hergestellt. server connections: quit fsmo maintenance: select operation target select operation target: list roles for connected server Server "srv01" kennt 5 Funktionen. Schema - CN=NTDS Settings,CN=SRV01,CN=Servers,CN=meinStandort, CN=Sites,CN=Configuration,DC=example,DC=com Domäne - CN=NTDS Settings,CN=SRV01,CN=Servers,CN=meinStandort, CN=Sites,CN=Configuration,DC=example,DC=com PDC - CN=NTDS Settings,CN=SRV01,CN=Servers,CN=meinStandort, CN=Sites,CN=Configuration,DC=example,DC=com RID - CN=NTDS Settings,CN=SRV01,CN=Servers,CN=meinStandort, CN=Sites,CN=Configuration,DC=example,DC=com Infrastruktur - CN=NTDS Settings,CN=SRV01,CN=Servers,CN=meinStandort, CN=Sites,CN=Configuration,DC=example,DC=com elect operation target: quit fsmo maintenance: quit ntdsutil: quit Die Verbindung mit "srv01" wird getrennt... C:\
NTDSUtil kann geskriptet werden – die Kommandos müssen dann als Parameter angegeben werden.
Beispiel: Abfrage des DC „srv01“ (vgl. Beispiel oben)
ntdsutil rol con "co to se srv01" q "sel op ta" "li ro fo co se" q q q
Ermitteln der FSMO Rollen und der GCs mit einem .vbs Skript
Beispiel: Ermitteln der FSMO Rollen sowie des GC-Status von Domain Controllern und Anzeige im IE.