Transfer FSMO-Rollen ForestDNSZones und DomainDNSZones
Hallochen Gemeinde,
mit ntdsutil und powershell können fünf der sieben FSMO-Rollen verschoben werden - so weit so gut. Für die beiden Rollen Forest-/DomainDNSZones sind keine Befehle vorgesehen/dokumentiert. Hingegen ist mit samba-tool fsmo transfer auch ein Verschieben (von Windows DC auf Samba DC) dieser beiden Rollen grundsätzlich möglich. Leider scheitert dies jeweils mit der Fehlermeldung:
Als einzigen Lösungsansatz für dieses Problem habe bei meiner Recherche gefunden: Mittels des ADSIEditors jeweils die fSMORoleOwner-Eigenschaft des "CN=Infrastructure"-Elements zu editieren und dabei Angabe des die Rolle haltenden Servers zu ändern.
Der Erfolg einer solchen Änderung ist mit samba-tool fsmo show entsprechend sichtbar. Indes stellt sich mir die Frage, ob diese Änderung für ein ordnungsgemäßes Verschieben bereits ausreicht und/oder ob es eine alternative Möglichkeit gibt.
Im Voraus vielen Dank für Eure Kommentare.
HansDampf06
mit ntdsutil und powershell können fünf der sieben FSMO-Rollen verschoben werden - so weit so gut. Für die beiden Rollen Forest-/DomainDNSZones sind keine Befehle vorgesehen/dokumentiert. Hingegen ist mit samba-tool fsmo transfer auch ein Verschieben (von Windows DC auf Samba DC) dieser beiden Rollen grundsätzlich möglich. Leider scheitert dies jeweils mit der Fehlermeldung:
ERROR: Failed to add role 'forestdns': LDAP error 53 LDAP_UNWILLING_TO_PERFORM - <000020AE: SvcErr: DSID-03152965, problem 5003 (WILL_NOT_PERFORM), data 0
ERROR: Failed to add role 'domaindns': LDAP error 53 LDAP_UNWILLING_TO_PERFORM - <000020AE: SvcErr: DSID-03152965, problem 5003 (WILL_NOT_PERFORM), data 0 Als einzigen Lösungsansatz für dieses Problem habe bei meiner Recherche gefunden: Mittels des ADSIEditors jeweils die fSMORoleOwner-Eigenschaft des "CN=Infrastructure"-Elements zu editieren und dabei Angabe des die Rolle haltenden Servers zu ändern.
Der Erfolg einer solchen Änderung ist mit samba-tool fsmo show entsprechend sichtbar. Indes stellt sich mir die Frage, ob diese Änderung für ein ordnungsgemäßes Verschieben bereits ausreicht und/oder ob es eine alternative Möglichkeit gibt.
Im Voraus vielen Dank für Eure Kommentare.
HansDampf06
Comment
Share
Share on Facebook
Share on X (Twitter)
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-ID: 777757807
Url: https://administrator.de/forum/transfer-fsmo-rollen-forestdnszones-und-domaindnszones-777757807.html
Printed on: May 13, 2025 at 22:05 o'clock
4 Comments
Latest comment
Hi,
es wäre mir jetzt neu, dass ForestDNS und DomainDNS Rollen wären, welche man "verschieben" könnte.
ForestDnsZones und DomainDnsZones sind nichts weiter als AD Partitionen. Dafür gibt es keine Master, wie es bei den FSMO der Fall ist. Wenn man diese auf andere DC "übertragen" will, dann muss man einfach nur weitere Replikate dieser Partitionen auf diese anderen DC erstellen. Und das macht man eben mit NTDSUTIL, "partition management".
E.
Edit:
Siehe z.B. hier: https://docs.microsoft.com/en-us/previous-versions/windows/it-pro/window ...
Die Partitionen, um die es geht sind:
es wäre mir jetzt neu, dass ForestDNS und DomainDNS Rollen wären, welche man "verschieben" könnte.
ForestDnsZones und DomainDnsZones sind nichts weiter als AD Partitionen. Dafür gibt es keine Master, wie es bei den FSMO der Fall ist. Wenn man diese auf andere DC "übertragen" will, dann muss man einfach nur weitere Replikate dieser Partitionen auf diese anderen DC erstellen. Und das macht man eben mit NTDSUTIL, "partition management".
E.
Edit:
Siehe z.B. hier: https://docs.microsoft.com/en-us/previous-versions/windows/it-pro/window ...
Die Partitionen, um die es geht sind:
3 DC=DomainDnsZones,DC=Contoso,DC=com
4 DC=ForestDnsZones,DC=Contoso,DC=com
Wobei Du "DC=Contoso,DC=com" natürlich mit Deiner realen Domäne ersetzen musst, ist klar.4 DC=ForestDnsZones,DC=Contoso,DC=com
Besten Dank!
Mich hatte es schon sehr gewundert, dass sowohl ntdsutil als auch powershell für diese beiden DNSZonen keinen Transfer-Parameter boten, wenn es aus Samba-Sicht FSMO-Rollen sein sollen. Dann scheint es in diesem Punkt zwischen Windows AD und Samba einen Unterschied zu geben, der bei mir - auch verstärkt durch die beschriebene fSMORoleOwner-Eigenschaft - für Verwirrung sorgte.
In jedem Fall werden zwischen den DC's die beiden DNSZones-Partitionen ordnungsgemäß repliziert. Mithin dürfte der beschriebene Lösungsansatz der Editierung der fSMORoleOwner-Eigenschaft völlig ausreichend sein, um die Zuordnung der beiden DNSZones-Partitionen von einem DC auf einen anderen DC zu "verschieben". Diesbezüglich wollte ich sichergehen, wobei Du mir geholfen hast.
Viele Grüße
HansDampf06
Mich hatte es schon sehr gewundert, dass sowohl ntdsutil als auch powershell für diese beiden DNSZonen keinen Transfer-Parameter boten, wenn es aus Samba-Sicht FSMO-Rollen sein sollen. Dann scheint es in diesem Punkt zwischen Windows AD und Samba einen Unterschied zu geben, der bei mir - auch verstärkt durch die beschriebene fSMORoleOwner-Eigenschaft - für Verwirrung sorgte.
In jedem Fall werden zwischen den DC's die beiden DNSZones-Partitionen ordnungsgemäß repliziert. Mithin dürfte der beschriebene Lösungsansatz der Editierung der fSMORoleOwner-Eigenschaft völlig ausreichend sein, um die Zuordnung der beiden DNSZones-Partitionen von einem DC auf einen anderen DC zu "verschieben". Diesbezüglich wollte ich sichergehen, wobei Du mir geholfen hast.
Viele Grüße
HansDampf06
Na das ist doch die Faust aufs Auge!
Bereits Dein erster Link beschreibt genau das Problem und auch noch einmal den händischen Lösungsvorgang, wie ich ihn bereits angewendet haben. Damit ist jetzt alles restlos klar - praktisch wie theoretisch.
Zudem kann konstatiert werden, dass die beiden von Microsoft "vergessenen" DNSZones-Partitionen jeweils einen Infrastrukturmaster haben (müssen) und deshalb auch insoweit FSMO-Rollen sind. Samba macht demnach wohl alles richtig. Schade ist lediglich, dass der Transferbefehl von samba-tool die benannten Fehlermeldungen liefert. Aber mit der händischen Lösung ist das nicht weiter schlimm.
Die also auch noch besten Dank für die vertiefende Aufklärung.
Viele Grüße
HansDampf06
Bereits Dein erster Link beschreibt genau das Problem und auch noch einmal den händischen Lösungsvorgang, wie ich ihn bereits angewendet haben. Damit ist jetzt alles restlos klar - praktisch wie theoretisch.
Zudem kann konstatiert werden, dass die beiden von Microsoft "vergessenen" DNSZones-Partitionen jeweils einen Infrastrukturmaster haben (müssen) und deshalb auch insoweit FSMO-Rollen sind. Samba macht demnach wohl alles richtig. Schade ist lediglich, dass der Transferbefehl von samba-tool die benannten Fehlermeldungen liefert. Aber mit der händischen Lösung ist das nicht weiter schlimm.
Die also auch noch besten Dank für die vertiefende Aufklärung.
Viele Grüße
HansDampf06