gilldex
Goto Top

Neuer DC in bestehende Domäne (FSMO Frage)

Hallo zusammen,

ich habe einen neuen Job in einem mittleren Unternehmen angefangen, welches ca. 180 Clients aufweist.
Als Domänencontroller haben wir 2 x Win 2008 Server im Einsatz.

Jetzt ist allerdings der Betriebsmaster (der leider alle FSMO Rollen hatte) ausgefallen und wird in der Form nie mehr ans Netz gehen.
Die Anmeldungen und Gruppenrichtlinien laufen noch über den zweiten DC.
Ich möchte nun den einen neuen DC erstellen und diesen wieder als Betriebsmaster einsetzen. Anschliessend, wenn ich wieder etwas mehr Zeit habe, ist mein Plan dass ich die FSMO Rollen auf 3 DC's verteile.

Nun meine Frage:

Sollte ich die FSMO Rollen auf den zweiten DC im Moment zwanghaft übernehmen und anschliessend wenn der zukünftige Betriebsmaster wieder online ist, die Rollen wieder übernehmen?
Oder was passiert wenn ich die Rollen vorher nicht dem zweiten DC zuordne und einfach den neuen Server in die Domäne einbinde, wird dieser die FSMO Rollen übernehmen?

Wie sieht da die korrekte vorgehensweise aus?

Vielen Dank für eure Hilfe.

Content-ID: 146106

Url: https://administrator.de/forum/neuer-dc-in-bestehende-domaene-fsmo-frage-146106.html

Ausgedruckt am: 27.12.2024 um 18:12 Uhr

2hard4you
2hard4you 02.07.2010 um 11:23:34 Uhr
Goto Top
Moin,


der 2. DC muß die Rollen halten, sonst gibt es keine Kerberostickets etc. mehr - danach kannste noch nen DC hinzufügen und neu verteilen.

Gruß

24
Yusuf-Dikmenoglu
Yusuf-Dikmenoglu 02.07.2010 um 11:42:49 Uhr
Goto Top
Moin,

Zitat von @2hard4you:
der 2. DC muß die Rollen halten, sonst gibt es keine Kerberostickets etc. mehr

aha... das ist ja was ganz neues was ich erfahre. Und ich dachte all die Jahre immer, dass die FSMO-Rollen mit der Benutzerauthentisierung rein garnichts zu tun haben
und es für das Ausstellen der Tickets, der KDC (Key Distribution Center) der standardmäßig auf jedem DC läuft zuständig ist und mit den FSMO-Rollen überhaupt nichts zu tun hat.

Dann lag ich wohl immer falsch.


Viele Grüße

/ > Yusuf Dikmenoglu
Yusuf-Dikmenoglu
Yusuf-Dikmenoglu 02.07.2010 um 11:48:19 Uhr
Goto Top
Servus,

Zitat von @gilldex:
Jetzt ist allerdings der Betriebsmaster (der leider alle FSMO Rollen hatte) ausgefallen und wird in der Form nie mehr ans Netz
gehen.

wenn der DC nicht ordnungsgemäß mit DCPROMO heruntergestuft werden konnte, solltest du den DC zwingend aus den Metadaten des AD entfernen.
Wie das geht, steht hier:

[LDAP:Yusufs.Directory.Blog/ - Die Metadaten des Active Directory unter Windows Server 2008 bereinigen]
http://blog.dikmenoglu.de/Die+Metadaten+Des+Active+Directory+Unter+Wind ...

Ich möchte nun den einen neuen DC erstellen und diesen wieder als Betriebsmaster einsetzen. Anschliessend, wenn ich wieder
etwas mehr Zeit habe, ist mein Plan dass ich die FSMO Rollen auf 3 DC's verteile.

Kannst du zwar machen, aber in den meisten Umgebungen ist es sinnvoll alle Rollen auf EINEM DC zu belassen.

Sollte ich die FSMO Rollen auf den zweiten DC im Moment zwanghaft übernehmen und anschliessend wenn der zukünftige
Betriebsmaster wieder online ist, die Rollen wieder übernehmen?

Wann installierst du denn den neuen DC? Ein paar (wenige) Tage kommt eine Domäne auch wunderbar ohne die FSMO-Rollen aus.
Spätestens wenn der DC keine RIDs mehr hat und somit keine neuen Objekte mehr erstellt werden können, wirds höchste Zeit die Rollen auf einen DC zu "seizen".

[LDAP:
Yusufs.Directory.Blog/ - Die FSMO-Rollen verschieben]
http://blog.dikmenoglu.de/Die+FSMORollen+Verschieben.aspx

Oder was passiert wenn ich die Rollen vorher nicht dem zweiten DC zuordne und einfach den neuen Server in die Domäne
einbinde, wird dieser die FSMO Rollen übernehmen?

Wenn du das zeitnah durchfühst, sollte nichts passieren. Du kannst dann die Rollen direkt dem dritten DC zuordnen.
Warum eigentlich drei DCs?


Viele Grüße

/ > Yusuf Dikmenoglu
gilldex
gilldex 05.07.2010 um 10:59:27 Uhr
Goto Top
Erstmal möchte ich danke sagen für die guten Antworten.

Das mit den Metadaten wusste ich noch nicht, bei genauerem überlegen macht das aber durchaus Sinn.
Ich werde dann also die Metadaten bereinigen gemäss der Anleitung und anschliessend den neuen DC hinzufügen.

Des weiteren habe ich mich nochmals um das Konzept bemüht und habe mich in das Thema FSMO Rollen nochmals weiter eingelesen. Ich werde es so wie bis jetzt auf 2 DC's beruhen lassen.
Warum 3 DC's? Das war ein Konzept was ich mir von meiner alten Firma gewohnt war. Der Grund dafür? Nun ja, ich arbeite nicht mehr da, aber nachdem was ich gelesen habe ist das eine berechtigte Frage bei dieser Grösser der Struktur.
Ich muss dazu sagen dass ich meine Ausbildung vor kurzem abgeschlossen habe und in den ersten Monaten danach mit vielen Neuerungen konfrontiert wurde. Es ist schon interessant wie verschiedenen einzelne Konzepte doch ausfallen können.

Noch kurz etwas zu dem KDC, laut Microsoft läuft das aber auf jedem Server mit AD installiert:
http://msdn.microsoft.com/en-us/library/aa378170%28VS.85%29.aspx

Es gibt allerdings zwischen den FSMO Rollen und dem KDC den Zusammenhang, dass Kerberos vom Zeitdienst abhängig ist, welcher ja wiederum vom PDC-Emulator abhängig ist. Es könnte dann doch zu Konstellationen kommen, bei welchen es Probleme gibt, wenn man neue Kerberos Tickets "anfordert". Das kann nach meiner Auffassungsgabe aber nur gesehenen wenn ein Zeit Problem vorhanden ist.

Vielen Dank nochmals für eure Hilfe.
Yusuf-Dikmenoglu
Yusuf-Dikmenoglu 05.07.2010 um 14:12:43 Uhr
Goto Top
Zitat von @gilldex:
Das mit den Metadaten wusste ich noch nicht, bei genauerem überlegen macht das aber durchaus Sinn.

Das meine ich aber auch. face-wink

Ich werde dann also die Metadaten bereinigen gemäss der Anleitung und anschliessend den neuen DC hinzufügen.

Genau.

Des weiteren habe ich mich nochmals um das Konzept bemüht und habe mich in das Thema FSMO Rollen nochmals weiter eingelesen.
Ich werde es so wie bis jetzt auf 2 DC's beruhen lassen.

Kannst du zwar, aber wozu? In einem Netz mit 180 Clients müssen die FSMO-Rollen nicht verteilt werden.
Die Rollen verteilt man eher in größeren Umgebungen wo die Rollen unter Last stehen. Ich der genannten Umgebung ist das keineswegs notwendig.
Aber wenn du die Rollen schon trennst, achte darauf weldhe Rolleb besser zusammen bleiben sollten:

[LDAP://Yusufs.Directory.Blog/ - Die FSMO-Rollen verschieben]
http://blog.dikmenoglu.de/Die+FSMORollen+Verschieben.aspx

Warum 3 DC's? Das war ein Konzept was ich mir von meiner alten Firma gewohnt war. Der Grund dafür?

Naja, mit der Zeit sollte man "neue Erkenntnisse" gewinnen. face-wink

nicht mehr da, aber nachdem was ich gelesen habe ist das eine berechtigte Frage bei dieser Grösser der Struktur.

Als "reine" DCs würden in deiner Größe zwei DCs völlig ausreichen. Denn weitere DC kosten mehr Ressourcen und vor allem
ist eine weitere Serverlizenz notwendig und das müsste eben nicht sein.

Es gibt allerdings zwischen den FSMO Rollen und dem KDC den Zusammenhang, dass Kerberos vom Zeitdienst abhängig ist, welcher
ja wiederum vom PDC-Emulator abhängig ist. Es könnte dann doch zu Konstellationen kommen, bei welchen es Probleme gibt,
wenn man neue Kerberos Tickets "anfordert". Das kann nach meiner Auffassungsgabe aber nur gesehenen wenn ein Zeit
Problem vorhanden ist.

Genau, es gibt Probleme mit Kerberos wenn die Zeit mehr als 5 Minuten abweicht. Der PDC-Emulator ist der Zeitgeber für die Domäne und hat schon
Einfluss auf die Zeit und somit auf die Tickets. Aber die Clients müssten dann erstmal mehr als 5 Minuten abweichen.

Die Aussage ist ja, wenn der Rolleninhaber "jetzt" crashen würde, müsste dieser nicht die nächsten 2 Minuten wieder online gehen damit sich die Clients weiterhin anmelden können.
Die Clients können sich weiterhin auch nach dem Crash des Rolleninhabers anmelden. Wenn natürlich der Rolleninhaber zwei Wochen offline wäre, ja dann gäbe es sicherlich Probleme.

Aber ich denke mal wenn der Rolleninaher crasht, leitet man direkt alle weiteren Maßnahmen ein, in dem man entweder einen neuen DC installiert und die Rollen direkt auf den neuen DC "seizet"
oder man übernimmt die Rollen auf einen anderen DC.


Gruß, Yusuf Dikmenoglu
gilldex
gilldex 05.07.2010 um 16:30:51 Uhr
Goto Top
Kannst du zwar, aber wozu? In einem Netz mit 180 Clients müssen die FSMO-Rollen nicht verteilt werden.

Entschuldigung, da habe ich mich evtl. falsch ausgedrückt. Ich meinte damit eigentlich dass ich das Konzept mit den 2 DC's so belasse und auch die FSMO Rollen weiterhin auf einem der beiden lasse.

Jetzt ist auf jedenfall klar wie die Sache angegangen wird.

Danke nochmals.