none
Mögliche Folgen wenn ehemalige Inhaber von FSMO-Rollen am Netz bleiben RRS feed

  • Allgemeine Diskussion

  • Hallo werte Gemeinde,

    hat jemand Erfahrungswerte oder kann beschreiben was passiert, wenn ein DC, der zuvor alle FSMO-Rollen inne hatte, nach dem Übertragen der Rollen auf einen anderen DC am Netz bleibt.

    Die ehemaligen Inhaber der Rollen Schemamaster, Domänennamenmaster und RID-Master sollen ja zwingend außer Betrieb genommen werden.

    mfG K. Richter


    Freitag, 17. Oktober 2014 12:02

Alle Antworten

  • Hi,

    Am 17.10.2014 um 14:02 schrieb "Kay Richter":

    hat jemand Erfahrungswerte oder kann beschreiben was passiert, wenn
    ein DC, der zuvor alle FSMO-Rollen inne hatte, nach dem Übertragen
    der Rollen auf einen anderen DC am Netz bleibt.

    Nichts. Wenn alle DCs das mitbekommen haben, passiert nicht.

    Tschö
    Mark


    Mark Heitbrink - MVP Windows Server - Group Policy

    Homepage: http://www.gruppenrichtlinien.de - deutsch
    GPO Tool: http://www.reg2xml.com - Registry Export File Converter

    Freitag, 17. Oktober 2014 12:10
  • Hallo und danke für die schnelle Antwort,

    in dem von mir angesprochenen Szenario existieren nur zwei DC´s, der, der die Rollen inne hatte und jener, welcher die Rollen von diesem DC übernommen hat. Hintergrund der Frage sind Verhaltensauffälligkeiten unseres Exchange 2013, an dem sich selbst der Microsoft-Support die Zähne auszubeißen scheint. Es existiert hierbei die Vermutung, dass es dem Exchange stellenweise nicht gelingt die DC´s richtig zu kontaktieren beziehungsweise die entsprechenden Benutzer zu authentifizieren. Das Verhalten ist allerdings so diffus und schwammig, dass man es kaum exakt beschreiben kann. Symptome sind, dass Frei/Gebucht-Informationen zeitweise nicht verfügbar sind, Stellvertreterregelungen im Outlook 2010 nicht konfiguriert werden können bzw. das Anklicken der Schaltfläche damit mit der Fehlermeldung quittiert wird, dass die Registerkarte nicht verfügbar wäre. Im Eventlog erscheinen die Events 2080 (MS Exchange AD Access) und 2095 (MS Exchange AD Topology) insgesamt um die zehn mal pro Sekunde, wobei ersteres in einer "gesunden" Umgebung nur ca. aller 15 Minuten auftreten sollte und bei 2095 ist zu entnehmen, dass der Exchange quasi permanent zwischen den beiden DC´s hin und her springt.

    Vielleicht hat ja jemand solche Verhaltensweisen schon einmal irgendwo gesehen und weiß eine lösung oder einen Ansatz zur Problembehebung.

    mit freundlichen Grüßen

    K. Richter

    Freitag, 17. Oktober 2014 12:38
  • Hi
    Wie Mark schon richtig gesagt hat, sobald alle DC's, in Deinem Fall der eine, mitbekommen hat das "er" nun alle Rollen hat passiert nichts.
    Anhand von Deiner Beschreibung denke ich auch nicht, dass sich um ein "Rollen" Problem handelt.
    Anhand von Deinen Aussagen muss ich annehmen, dass die Verbindungen einmal funktionieren und einmal nicht. Setzt Ihr Firewalls ein? Windows Firewalls? Falls ja überprüfe mal das Regelset. Schau Dir mal die Berechtigungen auf den OU's an, haben sämmtliche Exchange Server zugriff auf diese?

    Wir hatten ein solchen Problem. Haben dann alle OU's überprüft und z.T. haben Berechtigungen gefehlt resp. wurden nicht vererbt. Welche Berechtigungen benötigt werden findest Du bei Dr. Goole.

    Gruss Dani

    Freitag, 17. Oktober 2014 14:56
  • Hi,

    Am 17.10.2014 um 14:38 schrieb "Kay Richter":

    Hintergrund der Frage sind Verhaltensauffälligkeiten
    unseres Exchange 2013,

    Sind beide DCs auch GC?

    Schon beim Ex2003 war es so, daß er sich den GC nicht dynamisch raussucht, sondern diesen manuell zugeweisen bekommt.

    Generell konfiguriert man heutzutage:
    Jeder DC ist auch GC und ein DC allein hat alle 5 FSMOs

    Die Aufteilung das GC und InfrastrukturMaster nicht auf einer Büchse sein darf gilt immer noch, allerdings nur, wenn NICHT alle DCs auch GC sind. Das ist dem alten Windows 2000 AD Design geschuldet, als der GC nur komplett repliziert werden konnte und deswegen nicht jeder DC auch GC war. Das Thema hat sich heutzutage erledigt.

    Tschö
    Mark


    Mark Heitbrink - MVP Windows Server - Group Policy

    Homepage: http://www.gruppenrichtlinien.de - deutsch
    GPO Tool: http://www.reg2xml.com - Registry Export File Converter

    Freitag, 17. Oktober 2014 15:07
  • Hallo,

    danke erst einmal für die Antworten. 2 x DC und beide als GC sowie alle FSMO-Rollen auf dem ersten DC ist grundsätzlich der Fall. Es hat sich über das Wochenende ein neuer Ansatz ergeben, welcher die FSMO-Rollenverteilung als Ursache weitgehend ausschließt.

    mit freundlichen Grüßen

    K. Richter

    Montag, 20. Oktober 2014 05:43
  • Hallo,

    Ist die Thematik noch aktuell?

    Danke und Gruß

    Michaela


    Bitte haben Sie Verständnis dafür, dass im Rahmen dieses Forums, welches auf dem Community-Prinzip „IT-Pros helfen IT-Pros“ beruht, kein technischer Support geleistet werden kann oder sonst welche garantierten Maßnahmen seitens Microsoft zugesichert werden können.

    Montag, 27. Oktober 2014 08:47
    Moderator