Active Directory kennt 5 Betriebsmasterrollen. Die Rollen Schemamaster und Domainmaster sind Rollen, die es nur ein einziges mal in der Domänen-Gesamtstruktur gibt. Die Rollen PDC, RID und Infrastruktur hingegen gibt es mehrfach, aber nur ein mal je (Sub)Domäne.
Schemamaster
Er verwaltet die Schema-Gesamtstruktur und erhält Masterliste aller Objekt- und Attributklassen. Er repliziert auf allen DomainControllern im Forest und ist einmalig in der Gesamtstruktur. Mitarbeiter, die daran arbeiten müssen der Gruppe Schema-Admins angehören. Es ist dringend angeraten das Schema nicht zu verändern. Ein mal Änderungen hinzugefügt und sie sind dann für immer im Schema. Löschen ist nicht möglich! Falls es dennoch nötig ist das Schema zu ändern, dann muss zunächst das Snap-in freigeschaltet werden. Microsoft hat es deaktiviert, da das Schema eigentlich nicht geändert werden darf. Die Aktivierung geschieht mit einem Consolenbefehl: regsvr32 schmmgmt.dll
Domänenmaster
Er dient zur Domänenverwaltung - Steuerung des Hinzufügens und Entfernen in der Gesamtstruktur - und auch er repliziert auf alle DCs im Forest. Wie der Schemamaster ist auch der Domänenmaster einmalig in der Gesamtstruktur.
Infrastrukturmaster
Er ist einmalig in jeder Domäne (nicht Gesamtstruktur wie der Schemamaster bspw). Er aktualisiert Referenzen (GUID und SID) auf Objekte in seiner Domäne, benötigt aber dafür einen Global Catalog.
PDC-Emulator
Ist wie der Infrastrukturmaster einmalig in der Domäne, aber durchaus mehrfach in der Gesamtstruktur vorhanden. Er dient zur Synchronisierung der Zeit und ist für die Kennwortänderungen von Computer und Benutzern zuständig. Obendrein verwaltet er die Gruppenrichtlinien. Die Verbindung Zeitsynchronisierung und Kennwortverwaltung ist dem Authentifizierungsmechanismus Kerberos geschuldet, da Kerberos sehr zeitkritisch ist und Abweichungen default von maximal 5 Minuten erlaubt. Größere Zeitabweichungen können kritische Fehler auslösen. Alle PDCs müssen sich beim DC für die Stammdomäne synchronisieren, dass alle Server gleich sind.
RID-Master
Der Relativ IDentifier verwaltet einen Pool von RID-Werten, die an alle DCs in der Domäne vergeben werden. So wird sichergestellt, dass innerhalb der Domäne keine Konflikte auftreten. da die RID-Werte von nur einer Stelle an die DCs vergeben werden. Gehen einem DC mal die RID aus, so fordert er vom RID-Master einen neuen Block an. Es werden Blöcke von 500 RIDs vergeben. Außerdem kontrolliert und steuert er das Verschieben von Objekten.
Ausfall eines Domänen- oder/und Schemamasters
Es kann passieren, dass ein Domänenmaster ausfällt oder ausgemustert werden muss und es wird nötig die Rolle des Domänenmasters auf einen anderen Server zu übertragen. Dabei gibt es zwei Szenarien.
Fall 1: Der Domänenmaster ist ausgefallen und kann nicht wiederhergestellt werden. Ein anderer Server muss die Rolle übernehmen und Domänenmaster werden. Der springende Punkt ist, dass der ausgefallene Server nicht weiss, dass ein anderer Server die Rolle bekommt (gewaltsame Übernahme der Rolle quasi). Würde er wieder online kommen, dann hätten wir ein Problem.
Darum ganz, ganz, wichtig: Nicht wieder in Betrieb nehmen!!!
Fall 2: Der Domänenmaster ist eine alte Maschine, die vom Netz genommen werden muss. Der neue DC, der Domänenmaster werden soll ist bereits online und arbeitet im Netz auch als DC. Mit dem neuen Server übernimmt man dann die Rolle des Domänenmasters. Der alte Server weiss davon und gibt die Rolle ab. Er könnte weiterhin online bleiben, hat aber die Rolle des Domainmasters nicht mehr.
Das Gleiche wie für den Domänenmaster gilt auch für den Schemamaster. Beide Server dürfen nur ein einziges Mal in der Gesamtstruktur vorhanden sein!
Wie macht man die Übernahme?
Bei einem Schemamaster und Domänenmaster kann ein Ausfall lange Zeit unentdeckt bleiben. Das liegt daran, weil Änderungen am Schema bzw. an Domänen nur selten vorkommen. Ein Schemamaster kann problemlos jahrelang ausfallen ohne dass es auffällt. Ein Ausfall des Domänenmaster fällt auch erst bei einer Änderung der Domäne auf.
Der Ausfall eines PDC-Emulators hingegen merkt man sofort weil sich niemand mehr in der Domäne anmelden kann
Beim RID-Master fällt erst nach einigen Tagen/Wochen auf, wenn den DCs die RID-Blöcke ausgehen und eine Anfrage an den RID-Master gestellt wird für weitere Blöcke.