Die verschiedenen FSMOs (Betriebsmaster-Rollen) im AD
Hier mal in aller Kürze die Funktionen der verschiedenen Betriebsmaster-Rollen im AD erklärt:
PDC
Gibt es in jeder Domäne jeder Gesamtstuktur.
Erledigt die Anwendung und Verwaltung der Gruppenrichtlinien.
Nimmt Kennwort-Änderungen von Benutzern entgegen, repliziert dies auf andere DCs
Steuert externe Vertrauensstellungen.
Zeitserver für andere Rechner in der Domäne, synchronisiert sich mit übergeordneter Domäne, wiederrum mit deren DCs.
Wenn er ausfällt: Gruppenrichtlinien werden nicht mehr korrekt auf Clients angewendet,
GPOs können nicht mehr verändert werden
RID
Gibt es in jeder Domäne jeder Gesamtstuktur.
Nimmt neuen Objekte in die Domäne auf. Jeder DC hat bestimmte Anzahl an RIDs, diese stellt der RID-Master zur Verfügung. Daraus werden die SIDs für die Clients gebildet.
Jeder DC hat einen Pool von 500 RIDs. Sind diese aufgebraucht, wird ein neuer Pool angefordert.
Steht der RID-Master nicht zur Verfügung, können im AD keine Objekte mehr angelegt werden.
Infrastruktur-Master
Gibt es in jeder Domäne jeder Gesamtstuktur.
Er prüft, ob Benutzer von anderen Domänen auf Freigaben zugreifen dürfen, und speichert diese Infos zwischen.
Abgleich von Domänen-Daten mit denen vom Global Catalog.
Wird quasi nicht gebraucht, wenn man nur eine einzelnen Domäne hat.
Schemamaster
Nimmt Änderungen in der Gesamtstuktur vor.
Wenn er ausfällt, können keine Änderungen am AD-Schema vorgenommen werden.
Ihn gibt es nur 1x pro Gesamtstuktur. Standardmäßig ist das der zuerst installierte Domänen-Controller in einer Gesamtstuktur.
Wichtig: Ein Domänencontroller, dessen Schemamasterrolle auf einen anderen DC verschoben wurde, darf nie wieder in Betrieb genommen werden!
Domänennamen-Master
Verwaltet alle Domänen der Gesamtstruktur.
Wenn er ausfällt, können keine neuen Domänen erstellt werden. Ansonsten hat das keine großen Auswirkungen.
Existiert 1x pro Gesamtstruktur.
Global Catalog (GC)
Gehört eigentlich nicht zu den FSMOs, gehört aber irgendwie trotzdem hier dazu 😉
Index des Active Directory. Diese wissen alles, was in der Gesamstruktur abläuft, und können schnell Daten zurückgeben. Der Datenverkehr zu GCs ist aber größer, da diese mehr Daten speichern müssen als DCs, die keine GC-Rolle besitzen.
Empfehlungen zur Rollen-Verteilung:
Der Infrastuktur-Master sollte nicht auf einem DC mit globalem Katalog liegen, da ansonsten Probleme mit dem Auflösen von Gruppen auftreten können.
Domänenmaster und Schemamaster sollten auf einem DC betrieben werden.
PDC und RID sollten ebenfalls auf dem gleichen DC liegen, da diese viel miteinander kommunizieren.
Hier ist noch ein interessanter Link zu Microsoft, indem erklärt ist wie auf den Ausfall einer Betriebsmasterrolle reagiert werden sollte:
http://technet.microsoft.com/de-de/library/cc737648%28v=ws.10%29.aspx