Articles

Schemamaster verwalten

Zuletzt aktualisiert am Di, 05 Jan 2021 /Active Directory

Die Schemamaster-Rolle ist keine, um die Sie sich kümmern müssen, wenn der Domänencontroller, der sie enthält, offline geht. Der Schemamaster wird immer dann verwendet, wenn Sie eine Änderung am Schema der Gesamtstruktur vornehmen müssen und wenn die Gesamtstrukturfunktionsebene erhöht wird. Andernfalls wartet der Schemamaster nur auf Änderungen durch ein Mitglied der Gruppe Schema-Administratoren oder einen Administrator, der für die Erhöhung der Gesamtstrukturfunktionsebene verantwortlich ist. Offensichtlich wird keine dieser Optionen sehr oft durchgeführt. Die Gesamtstrukturfunktionsebene kann nur einmal angehoben werden und kann nicht auf die vorherige Ebene zurückgesetzt werden.

Möglicherweise möchten Sie den Schemamaster aus verschiedenen Gründen auf ein anderes System verschieben. Eine kontrollierte Verschiebung oder Übertragung kann erforderlich sein, wenn Sie planen, den Domänencontroller, der die Schemamaster-Rolle enthält, außer Betrieb zu nehmen. Wenn dies der Fall ist, ist es viel einfacher, die Rolle an den Domänencontroller zu übertragen, der die Verantwortung für den Schemamaster übernimmt, als sie später zu übernehmen.

Ein weiterer Grund, die Rolle zu übertragen, liegt darin, wie Unternehmen ihre FSMO-Rollen beibehalten. Viele Unternehmen bevorzugen es, alle Rollen auf einem Domänencontroller zu haben. Auf diese Weise wissen sie, welcher Domänencontroller diese Funktionen ausführt, sie können die Dienste steuern, die auf dem Domänencontroller ausgeführt werden, und sie können den Domänencontroller aus Sicherheitsgründen isolieren.

Übertragen der Schemamaster-Rolle

Der Schemamaster ist mit den Standard-Verwaltungstools nicht ohne weiteres übertragbar. Tatsächlich hat Microsoft das Active Directory-Schema-Snap-In absichtlich ausgeblendet, damit die Benutzer nicht einfach darauf zugreifen können. Um darauf zugreifen zu können, müssen Sie die verwendete DLL auf dem System registrieren, auf dem Sie die Änderungen verwalten. Um die DLL zu registrieren, öffnen Sie eine Eingabeaufforderung oder geben Sie in der Befehlszeile regsvr320mgmt ein.dll.

Verwenden des Active Directory-Schema-Snap-Ins

Nachdem Sie das Snap-In registriert haben, können Sie es öffnen, indem Sie Ihre eigene Microsoft Management Console (MMC) erstellen und das Snap-In hinzufügen. Mit dem Snap-In können Sie eine Verbindung zu dem Domänencontroller herstellen, dessen Rollenverantwortung Sie übernehmen möchten, indem Sie mit der rechten Maustaste auf den Active Directory-Schemaknoten klicken und Domänencontroller ändern auswählen. Beachten Sie, dass für den Schema-Master das Dialogfeld für die Verbindung zu einem anderen Domänencontroller (Abbildung 13.16) anders ist als für die anderen Snap-Ins. Sobald Sie sich auf einen anderen Domänencontroller konzentrieren, können Sie den Operations Master ändern, indem Sie mit der rechten Maustaste auf denselben Knoten klicken und Operations Master auswählen.

Der aktuelle Rolleninhaber wird im oberen Textfeld und der Domänencontroller, auf den Sie sich konzentrieren, im unteren Abschnitt angezeigt (siehe Abbildung 13.17). Wenn Sie auf die Schaltfläche Ändern klicken, spiegelt der Eintrag im oberen Textfeld die Änderung wider und stimmt dann mit dem Namen des Domänencontrollers im unteren Abschnitt überein.

Das ist alles. Die Übertragung der Rolle ist in der Regel ein sehr schneller Prozess. Ein Domänencontroller wird angewiesen, das Token zu verwenden, das ihn als dasjenige identifiziert, das Schemaaktualisierungen durchführen kann, und dem anderen wird das Token entnommen. Wenn der ursprüngliche Rolleninhaber nicht verfügbar ist, kann es ein oder zwei Minuten dauern, bis ein Dialogfeld angezeigt wird, in dem angegeben wird, dass der ursprüngliche Rolleninhaber nicht kontaktiert werden konnte. Wenn der ursprüngliche Rolleninhaber ausgefallen ist, müssen Sie die Rolle auf dem neuen Domänencontroller übernehmen. Andernfalls müssen Sie, wenn es noch aktiv ist, Fehler beheben, um zu erfahren, warum der ursprüngliche Rolleninhaber vom potenziellen Rolleninhaber nicht kontaktiert werden konnte.

Abbildung 13.16

Verbindung zum

Schema Master

Abbildung 13.17

Schema Master Operations Master

Mit NTDSUtil

Sie können die Rolle auch mit NTDSUtil übertragen. Mit diesem Befehlszeilendienstprogramm können Sie viele Funktionen in Active Directory ausführen, einschließlich der Übertragung und Beschlagnahme der FSMO-Rollen, falls erforderlich. Nachdem Sie eine Eingabeaufforderung geöffnet und NTDSUtil eingegeben haben, führen Sie die folgenden Schritte aus, um den Schemamaster zu übertragen:

1. Geben Sie an der Eingabeaufforderung ntdsutil: roles ein, um fsmo maintenance einzugeben.

2. Geben Sie an der Eingabeaufforderung fsmo maintenance: connections ein, um Serververbindungen einzugeben.

3. Geben Sie an der Eingabeaufforderung Serververbindungen: connect to server domain_controller ein, wobei domain_controller der Name des Domänencontrollers ist, auf den Sie die Rolle übertragen möchten.

4. Geben Sie an der Eingabeaufforderung Serververbindungen: quit ein, um fsmo maintenance aufzurufen.

5. Geben Sie an der Eingabeaufforderung fsmo maintenance: schema master übertragen ein.

Nachdem Sie die Rolle übertragen haben, geben Sie zweimal quit ein, um NTDSUtil zu beenden. Sie können dann eines der zuvor aufgeführten Dienstprogramme verwenden, um zu überprüfen, ob die Rolle auf den entsprechenden Domänencontroller übertragen wurde.

Schemamaster-Rolle übernehmen

Wenn Sie den ursprünglichen Schemamaster verloren haben und einen anderen Domänencontroller als Schemamaster festlegen möchten, müssen Sie NTDSUtil verwenden. Auf diese Weise können Sie den neuen Domänencontroller zwingen, die Verantwortung zu übernehmen. Öffnen Sie eine Eingabeaufforderung und geben Sie NTDSUtil ein. dann folge diesen Schritten:

1. Geben Sie an der Eingabeaufforderung ntdsutil: roles ein, um fsmo maintenance einzugeben.

2. Geben Sie an der Eingabeaufforderung fsmo maintenance: connections ein, um Serververbindungen einzugeben.

3. Bei den Serververbindungen: geben Sie connect to server domain_controller ein, wobei domain_controller der Name des Domänencontrollers ist, auf den Sie die Rolle übertragen möchten.

4. Geben Sie an der Eingabeaufforderung Serververbindungen: quit ein, um fsmo maintenance aufzurufen.

5. Geben Sie an der Eingabeaufforderung fsmo maintenance: schema master ein.

Nachdem Sie die Rolle übertragen haben, geben Sie zweimal quit ein, um NTDSUtil zu beenden. Sie können dann eines der zuvor aufgeführten Dienstprogramme verwenden, um zu überprüfen, ob die Rolle auf den entsprechenden Domänencontroller übertragen wurde.

Lesen Sie hier weiter: Maintenance the Domain Naming Master

War dieser Artikel hilfreich?

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht.