Dieser Artikel beschreibt, wie die FSMO-Rollen auf einen zweiten DC umgezogen werden können, obwohl der primäre tot ist.
Wenn man versucht dies über die MMC zu machen (vgl. unser Artikel FSMO-Rollen umsetzen), dann erhält man folgende Fehlermeldung:
Der einzige Weg führt in diesem Fall über das DOS-basierte NTDSUTIL.exe. Mit diesem kann man das Umziehen der FSMO-Master erzwingen.
Benutzen Sie dieses Tool mit Vorsicht! Damit kann man sich ganz leicht seine Domäne zerschießen!
Geben Sie in einer Kommadozeile folgendes ein:
ntdsutil
Sie erhalten den ntdsutil-command-prompt. An diesem geben Sie folgendes ein:
roles
connections
connect to server *FQDN-Name des noch lebenden DCs*
Sie sollten nun folgende Meldung erhalten:
Bindung mit "FQDN-Name des Servers" ...Eine Verbindung mit "FQDN-Name des Servers" wurde unter Verwendung der Benutzerinformationen des lokal angemeldeten Benutzers wurde hergestellt.
q
Seize PDC
Wenn Sie nun mit "Ja" bestätigen wird die PDC-Rolle umgesetzt.
Nun sollten Sie noch folgende Rollen umsetzen:
Seize infrastructure master
Seize RID master
Seize schema master
Seize domain naming master
Anschließend sollten Sie die Domäne noch bereinigen, d.h. die Einträge des toten Servers überall entfernen.
Sollte es damit Probleme geben, so kann man sich vom NTDSUTIL helfen lassen.
ntdsutil
metadata cleanup
connections
connect to server *servername*
quit
select operation target
list domains
select domain *number*
list sites
select site *number*
list servers in site
select server *number* Hier muss die Nummer des toten Servers eingegeben werden!
quit
remove selected server
quit
Ggf. muss nun noch der cname-Record in der _msdcs.root domain im DNS gelöscht werden. Davon ausgehend, dass der Server neu installiert und wieder promoted wird, wird dann ein neues NTDS Settings Objekt mit der neuen GUID und einem passenden cname record im DNS erstellt.