Um die fünf FSMO-Rollen in einer Domäne von einem auf einen anderen Domain Controller zu verschieben hab ich früher immer das ntdsutil verwendet – aber das geht natürlich auch mit der Powershell 🙂
Zuerst zeigen wir uns am besten alle Rolleninhaber an. Dazu die AD-Powershell am Domain Controller öffnen oder die Module mit
Import-Module ActiveDirectory
importieren.
Die Rollen des Forest:
Get-ADForest domain.local | ft DomainNamingMaster, SchemaMaster
Und die Rollen der Domäne
Get-ADDomain domain.local | ft InfrastructureMaster, PDCEmulator, RIDMaster
Um eine Rolle zu verschieben muss man jetzt nur das Move-ADDirectoryServerOperationMasterRole Module im folgenden Schema verwenden:
Move-ADDirectoryServerOperationMasterRole -Identity „Ziel-DC“ Role
Also z. B. :
Move-ADDirectoryServerOperationMasterRole -Identity „dc-02“ PDCEmulator
Tipp: Man kann die Rollen auch super mit 0 – 4 abkürzen:
0 : PDCEmulator
1 : RIDMaster
2 : InfrastructureMaster
3 : SchemaMaster
4 : DomainNamingMaster
So kann man nämlich den Befehl schön verkürzen 🙂
Es reicht so z.B. ein
Move-ADDirectoryServerOperationMasterRole -Identity „dc-02“ –OperationMasterRole 0,1
Wenn mann z.B. alle Rollen auf einmal verschieben will lohnt sich das abkürzen richtig – so reicht ein
Move-ADDirectoryServerOperationMasterRole -Identity „dc-02“ –OperationMasterRole 0,1,2,3,4
statt
Move-ADDirectoryServerOperationMasterRole -Identity „dc-02“ –OperationMasterRole PDCEmulator, RIDMaster, InfrastructureMaster, SchemaMaster, DomainNamingMaster
Danach nochmal überprüfen:
Get-ADForest domain.local | ft DomainNamingMaster, SchemaMaster
und
Get-ADDomain domain.local | ft InfrastructureMaster, PDCEmulator, RIDMaster
Falls eine der Rollen nicht verschoben werden kann – weil z.B. der alte Inhaber der Rolle nicht mehr erreichbar ist – kann mit dem Parameter -force die Übertragung erzwungen werden (wie unter ntdsutil mit seize).
Move-ADDirectoryServerOperationMasterRole -Identity “dc-02” –OperationMasterRole, DomainNamingMaster,PDCEmulator,RIDMaster,SchemaMaster,InfrastructureMaster –Force
Selbstverständlich sollte der alte Domain Controller von dem wir die Rollen mit -Force verschoben haben nie wieder angeschaltet werden!