Der erste installierte Domänencontroller des Active Directory hat eine spezielle Rolle – und zwar gilt dies für jede einzelne Domäne. Wenn er ersetzt oder deinstalliert werden soll, sind einige Dinge zu beachten, denn sonst kann man gravierende Probleme bekommen (oder deutlicher: Achtung, Datenverlust!).
Zum einen hält der erste DC standardmäßig alle Betriebsmasterrollen (FSMOs). Diese Rollen gewährleisten, dass alle Operationen im AD ohne wesentliche Konflikte ausgeführt werden können. Die Betriebsmasterrollen können grundsätzlich problemlos auf andere DCs übertragen werden. Vorzugsweise sollte ides online geschehen, d. h. wenn der ursprüngliche Rolleninhaber noch läuft. Sollte dieser allerdings ausgefallen sein, so können die Rollen auch offline übertragfen werden. In diesem Fall ist allerdings sicherzustellen, dass der ursprüngliche Rolleninhaber nicht mehr online geht (also neu installieren oder außer Betrieb nehmen).
Es gibt fünf Rollen, die mit verschiedenen Programmen verwaltet werden können:
- Schema-Master: einmal pro Forest vorhanden, verwaltet als einziger das AD-Schema (Verwaltung: Active Directory-Schema)
- DNS-Master: einmal pro Forest vorhanden, verwaltet den DNS-Namensraum des AD; ist nötig, um Domänen hinzuzufügen oder zu entfernen (Verwaltung: Active Directory-DOmänen und -Vertrauensstellungen)
- PDC-Emulator: einmal pro Domäne vorhanden, dient als (Pseudo-) PDC für NT-Rechner und verwaltet die "Urgent Replication" von Passwörtern usw. (Verwaltung: Active Directory-Benutzer und -Computer)
- RID-Master: einmal pro Domäne vorhanden, sorgt für eindeutige Sicherheitskennungen/SIDs (Verwaltung: Active Directory-Benutzer und -Computer)
- Infrastruktur-Master: einmal pro Domäne vorhanden, verwaltet domänenübergreifende Gruppenmitgliedschaften usw. (Verwaltung: Active Directory-Benutzer und -Computer)
Neben der Übertragung dieser Rollen muss auch die Funktion des Global Catalog Server berücksichtigt werden. Sie kann mit dem Programm "Active Directory-Standorte und -Dienste" bearbeitet werden.
Und dann gibt es noch den Aspekt, der gern übersehen wird, aber eigentlich der kritischste ist, weil hier wirklich Datenverluste drohen: Das EFS-Recovery-Zertifikat.
Seit Windows 2000 gibt es das Verschlüsselnde Dateisystem (EFS), das Daten auf Workstations und Computern wirklich sicher verschlüsseln kann. Jeder Benutzer kann dies standardmäßig tun. Sollte ein Benutzer seinen EFS-Schlüssel verlieren, so gibt es nur noch einen User im AD, der die Daten wieder entschlüsseln kann: Den Recovery Agent (RA). Standardmäßig ist dies der vordefinierte "Administrator" (nur das Userkonto, nicht die Gruppe!). Er kann dies, weil er ein passendes Zertifikat hat.
Und nun wird's interessant: Das Zertifikat des EFS-Recovery-Agent ist standardmäßig ausschließlich auf dem ersten installierten DC vorhanden. Wenn dieser entfernt wird, ist das Zertifikat weg – es sei denn, man sichert es vorher. Und das geht so (tunlichst macht man dies direkt nach der Installation des ersten DC!):
- Auf dem ersten DC öffnet man die "Default Domain Policy".
- Dort navigiert man nach: Computereinstellungen/Sicherheitseinstellungen/Richtlinien öffentlicher Schlüssel/Agent zum Wiederherstellen verschlüsselter Daten (oder so ähnlich).
- Hier findet man (im Regelfall) das Zertifikat des Administrators.
- Rechtsklick darauf, "Exportieren" wählen.
- Wichtig: Man exportier das Zertifikat zweimal: Einmal mit dem privaten Schlüssel, einmal ohne (in separate Dateien).
- Die exportierten Dateien kopiert man auf Disketten oder andere separate Datenträger und verwahrt diese gut. Die Dateien müssen vom DC gelöscht werden, sie haben dort nichts zu suchen!
Wenn man nun später Daten für andere Benutzuer als RA entschlüsseln muss, so nutzt man die Diskette mit dem privaten Schlüssel. Falls einmal der Original-RA in der Default Domain Policy oder anderswo wieder importiert werden muss, nutzt man die Dateio ohne privaten Schlüssel.
Achtung: Das EFS-Zertifikat ist nicht nur dann zu sichern, wenn man EFS bereits einsetzt, sondern immer. Denn in einer Domäne gibt es nur genau einen vordefinierten Recovery Agent, und dessen persönlicher Schlüssel ist genau auf dem einen DC vorhanden, der zuerst installiert wurde. Auch dann, wenn erst in drei Jahren zum ersten Mal jemand EFS verwendet, wird das EFS-Zertifikat des RA verwendet – nur hat dann vielleicht niemand mehr den privaten Schlüssel!
http://faq-o-matic.net/?p=581