Windows Server 2003 Active Directory-Betriebshandbuch

Kapitel 5: Administration von Betriebsmasterrollen

Veröffentlicht: 06. Sep 2006

In diesem Kapitel finden Sie Informationen zur Administration der Active Directory-Betriebsmasterrollen unter Microsoft Windows Server 2003.

In diesem Kapitel finden Sie die folgenden Abschnitte:

"Einführung in die Administration von Betriebsmasterrollen"

"Verwaltung von Betriebsmasterrollen"

Danksagung

Veröffentlicht: März 2005

Betrifft: Windows Server 2003

Erstellt durch: Microsoft Windows Server User Assistance Team

Autor: Shala Brandolini

Redaktion: Jim Becker

Auf dieser Seite
Einführung in die Administration von BetriebsmasterrollenEinführung in die Administration von Betriebsmasterrollen
Verwaltung von BetriebsmasterrollenVerwaltung von Betriebsmasterrollen
*

Einführung in die Administration von Betriebsmasterrollen

Betriebsmaster führen bestimmte Aufgaben durch, die von keinem anderen Domänencontroller ausgeführt werden dürfen.

Es gibt in jeder Domäne drei eindeutige Betriebsmaster:

PDC-Emulator: Wenn eine Domäne Computer ohne Windows 2000 oder Windows XP Professional-Clientsoftware oder Reservedomänencontroller (BDCs) unter Windows NT umfasst, übernimmt der PDC-Emulationsmaster die Funktion eines primären Windows NT-Domänencontrollers. Dieser Master verarbeitet Kennwortänderungen von Clients und repliziert Aktualisierungen auf die Reservedomänencontroller.

RID-Master: Der RID-Master ordnet den verschiedenen Domänencontrollern seiner Domäne Sequenzen relativer IDs (RIDs) zu.

Infrastrukturmaster: Der Infrastrukturmaster dient dazu, Objektreferenzen in seiner Domäne auf Objekte in anderen Domänen zu aktualisieren.

Zusätzlich zu den drei in jeder Domäne vorhandenen Betriebsmastern gibt es in jeder Gesamtstruktur zwei weitere Betriebsmaster:

Schemamaster: Der Domänencontroller mit der Funktion des Schemamasters überwacht alle Aktualisierungen und Änderungen am Schema.

Domänennamenmaster: Der Domänencontroller mit der Funktion des Domänennamenmasters steuert das Hinzufügen oder Entfernen von Domänen in der Gesamtstruktur.

Die Domänencontroller mit den Betriebsmasterrollen müssen durchgehend verfügbar sein. Sie müssen sich in zuverlässigen Netzwerkbereichen befinden. Wenn Sie Ihrer Gesamtstruktur Domänen und Standorte hinzufügen, wird die Platzierung von Betriebsmastern immer wichtiger.

Richtlinien zur Platzierung der Rollen

Durch das falsche Platzieren der Betriebsmaster kann es zum Beispiel dazu kommen, dass Clients nicht in der Lage sind, ihr Kennwort zu ändern oder nicht in Domänen aufgenommen werden können.

Wenn Sie Ihre Umgebung ändern, müssen Sie dafür sorgen, dass es nicht zu Problemen mit den Betriebsmasterrollen kommt. Möglicherweise müssen Sie diese daher anderen Domänencontrollern zuweisen.

Auch wenn Sie die gesamtstrukturweiten und domänenweiten Rollen jedem Domänencontroller zuweisen können, sollten Sie den unten aufgeführten Vorgaben folgen. Sie verringern so den administrativen Aufwand und verbessern die Leistung von Active Dirctory.

Belassen Sie die beiden gesamtstrukturweiten Rollen auf einem Domänencontroller der Stammdomäne.

Platzieren Sie die drei domänenweiten Rollen auf dem gleichen Domänencontroller.

Platzieren Sie die domänenweiten Rollen nicht auf einem globalen Katalog Server.

Platzieren Sie die domänenweiten Rollen auf einem Domänencontroller mit mehr Leistung.

Passen Sie - wenn notwendig - die Auslastung der Betriebsmaster an.

Wählen Sie einen weiteren Domänencontroller als Standby-Betriebsmaster für die gesamtstrukturweiten Rollen und einen Domänencontroller als Standby für die domänenweiten Rollen aus.

Platzieren der gesamtstrukturweiten Rollen in der Stammdomäne

Der erste Domänencontroller der Gesamtstruktur wird automatisch Schemamaster und Domänennamensmaster. Wenn Sie diese Rollen auf diesem Domänencontroller belassen, vereinfachen Sie die Administration und Sicherung. Die Leistung verbessert sich nicht durch das Verschieben der Rollen. Wenn Sie die Rollen trennen, sorgt dies nur für größeren administrativen Aufwand.

Im Gegensatz zu anderen Rollen sorgen die gesamtstrukturweiten Rollen nur selten für eine spürbare Auslastung des Domänencontrollers.

Platzieren der gesamtstrukturweiten Rollen auf einem globalen Katalog Server

Zusätzlich zu den beiden anderen Rollen ist der erste Domänencontroller einer Gesamtstruktur auch gleichzeitig globaler Katalog Server.

Platzieren der domänenweiten Rollen auf dem gleichen Domänencontroller

Die drei domänenweiten Rollen werden dem ersten Domänencontroller einer neuen Domäne zugewiesen. Außer in der Stammdomäne sollten Sie die Rollen auf diesem Domänencontroller belassen - es sei denn, die Auslastung des Domänencontrollers rechtfertigt ein Verschieben.

Da ältere Clients mit dem PDC-Emulator kommunizieren, benötigt der entsprechende Betriebsmaster eine größere Anzahl an RIDs. Platzieren Sie den PDC-Emulator und den RID-Master auf dem gleichen Domänencontroller.

Wenn Sie die Rollen trennen müssen, können Sie trotzdem einen Standby-Betriebsmaster für alle drei Rollen nutzen. Sie müssen allerdings in diesem Fall sicherstellen, dass dieser auch mit allen drei Rolleninhabern repliziert.

Keine domänenweiten Rollen auf globalen Katalog Servern

Platzieren Sie auf einem Domänencontroller, der als globaler Katalog arbeitet, keinen Infrastrukturmaster.

Der Infrastrukturmaster aktualisiert die Namen von Sicherheitsprinzipalen. Wenn ein Benutzer aus einer Domäne zum Beispiel Mitglied in einer Gruppe in einer anderen Domäne ist und sich sein Name in der ersten Domäne ändert, dann wird die zweite Domäne nicht über diesen Vorgang in Kenntnis gesetzt. Da Domänencontroller einer Domäne nicht mit Domänencontroller in anderen Domänen replizieren, werden die Domänencontroller in der zweiten Domäne niemals über diese Änderung informiert. Der Infrastrukturmaster überwacht Gruppenmitgliedschaften und sucht nach Sicherheitsprinzipalen aus anderen Domänen. Wenn er eine solche findet, überprüft er die Domäne des Sicherheitsprinzipals und stellt fest, ob es Änderungen gegeben hat. Wenn dies der Fall ist, führt der Infrastrukturmaster die Änderung lokal durch und repliziert diese dann an die anderen Domänencontroller in der Domäne.

Es gibt zwei Ausnahmen für diese Regel. Erstens: Wenn alle Domänencontroller globale Katalog Server sind, ist es egal, welcher Domänencontroller Infrastrukturmaster ist. Globale Kataloge replizieren die betreffenden Informationen so oder so – egal, zu welcher Domäne sie gehören. Zweitens: Wenn es nur eine Domäne in der Gesamtstruktur gibt, ist kein Infrastrukturmaster nötig - es gibt ja keine Sicherheitsprinzipale aus anderen Domänen.

Platzierung der domänenweiten Rollen auf einem Domänencontroller mit mehr Leistung

Der PDC-Emulator produziert von allen Rollen am meisten Auslastung. Der PDC-Emulator hat außerdem die größten Auswirkungen auf den täglichen Betrieb des Verzeichnisdienstes. Platzieren Sie diesen daher auf einem Domänencontroller mit entsprechender Kapazität.

Sie können die Auslastung des eines Domänencontrollers über die Gewichtung des DNS-Eintrags steuern. Außerdem haben Sie die Möglichkeit, die Priorität anzupassen.

Richtlinien für das Übertragen von Rollen

Das Übertragen von Rollen ist die bevorzugte Methode, den Betriebsmaster zu wechseln. Während einer solchen Übertragung replizieren die Domänencontroller und stellen so sicher, dass keine Informationen verloren gehen. Der ursprüngliche Rolleninhaber konfiguriert sich selbst so, dass er nicht länger die Rolle ausführt. Der neue Rolleninhaber übernimmt automatisch seine Aufgaben. Durch dieses Verfahren wird verhindert, dass es möglicherweise zwei Rolleninhaber gibt.

Es gibt zwei Möglichkeiten, um Betriebsmasterrollen zu verschieben: Das Übertragen und (als letzten Ausweg) das Übernehmen.

Wichtig

Wenn Sie eine Rolle übernehmen müssen, dürfen Sie den alten Rolleninhaber niemals wieder mit dem Netzwerk verbinden, ohne dass Sie diesen über die in diesem Dokument beschriebenen Schritte neu konfiguriert haben. Andernfalls kann es zu einer Beschädigung des Active Directory kommen.

Verwaltung von Betriebsmasterrollen

In diesem Abschnitt werden die folgenden Aufgaben zur Verwaltung von Betriebsmastern beschrieben:

"Festlegen eines Standby-Betriebsmasters"

"Übertragen einer Betriebsmasterrolle"

"Übernehmen einer Betriebsmasterrolle"

"Reduzierung der Auslastung auf dem PDC-Emulator"

Festlegen eines Standby-Betriebsmasters

Ein Standby-Betriebsmaster ist ein Domänencontroller, der die Betriebsmasterrolle bei Problemen mit dem originalen Betriebsmaster übernehmen kann. Hierbei kann ein Domänencontroller als Standby für alle Rollen dienen, oder es kann für jede Rolle einen eigenen Standby geben.

Es sind keine besonderen Schritte notwendig, um einen Domänencontroller zu einem Standby zu machen. Der aktuelle Betriebsmaster und der Standby sollten jedoch über eine gute Verbindung verfügen. Das bedeutet, dass die Netzwerkverbindung zwischen beiden mindestens eine Kapazität von zehn Megabit haben und ständig verfügbar sein sollte. Außerdem sollten Sie den aktuellen Rolleninhaber und den Standby als direkte Replikationspartner konfigurieren, da dies beim Verschieben von Betriebsmasterrollen Zeit sparen kann. Bevor Sie eine Rolle übertragen, stellen Sie auf jeden Fall sicher, dass die Replikation zwischen den betreffenden Domänencontrollern korrekt arbeitet.

Wenn Sie einen Standby einrichten, minimiert dies außerdem das Risiko, dass ein Übernehmen einer Rolle notwendig wird.

Wenn Sie einen Standby auswählen, sollten Sie hierbei nach den Empfehlungen aus dem Abschnitt "Einführung in die Administration von Betriebsmasterrollen" vorgehen. Für die gesamtstrukturweiten Rollen wählen Sie einen globalen Katalog Server aus. Für die domänenweiten Rollen achten Sie darauf, dass der Domänencontroller kein globaler Katalog ist.

Anforderungen

Um die unten beschriebenen Aufgaben ausführen zu können, sind die folgenden Tools notwendig:

Active Directory-Standorte und -Dienste

Repadmin.exe. Um diese Aufgabe auszuführen, sind die folgenden Schritte erforderlich:

1.

Kapitel 4 - Feststellen, ob ein Domänencontroller ein globaler Katalogserver ist"

2.

"Erstellen eines Verbindungsobjekts auf dem aktuellen Betriebsmaster"

3.

"Erstellen eines Verbindungsobjekts auf dem Standby-Betriebsmaster"

4.

"Überprüfen der erfolgreichen Replikation mit einem anderen Domänencontroller"

Feststellen, ob ein Domänencontroller ein globaler Katalogserver ist

Mit dem NTDS-Settings-Objekt können Sie festlegen, ob ein Domänencontroller ein globaler Katalog ist oder nicht.

Administrative Berechtigungen

Um dieses Verfahren durchführen zu können, müssen Sie Mitglied der Gruppe Domänen-Admins sein.

"Feststellen, ob ein Domänencontroller ein globaler Katalogserver ist"

1.

Öffnen Sie Active Directory-Standorte und -Dienste.

2.

Erweitern Sie den Container Standorte und den Standort, in dem sich der betreffende Domänencontroller befindet. Erweitern Sie den Container Servers und das Server-Objekt.

3.

Klicken Sie mit rechts auf das NTDS-Settings-Objekt und dann auf Eigenschaften.

4.

Wenn auf der Registerkarte Allgemein das Feld Globaler Katalog ausgewählt ist, arbeitet der Domänencontroller als globaler Katalog Server.

Erstellen eines Verbindungsobjekts auf dem aktuellen Betriebsmaster

Um die Replikation mit den Standby sicherzustellen, erstellen Sie auf beiden Domänencontrollern manuell ein Verbindungsobjekt. Dies sollten Sie auch dann machen, wenn automatisch ein Verbindungsobjekt erstellt wurde. Es kann vorkommen, dass automatisch erstellte Verbindungsobjekte vom System verändert werden. Die passiert bei manuell erstellten Objekten nicht.

Um das folgende Verfahren ausführen zu können, muss Ihnen der aktuelle Betriebsmaster bekannt sein. Um zu ermitteln, welcher Domänencontroller Betriebsmaster ist, führen Sie die Aufgabe "Anzeigen der aktuellen Betriebsmaster" aus.

Administrative Berechtigungen

Um die folgenden Schritte ausführen zu können, müssen Sie Mitglied der Gruppe Domänen-Admins oder der Gruppe Organisations-Admins sein.

"Erstellen eines Verbindungsobjekts auf dem aktuellen Betriebsmaster"

1.

Öffnen Sie Active Directory-Standorte und -Dienste.

2.

Erweitern Sie den Container Standorte und den Standort, in dem sich der Standby-Domänencontroller befindet. Erweitern Sie den Container Servers und das Server-Objekt.

3.

Erweitern Sie den Namen des Servers, der im Moment Betriebsmaster ist.

4.

Klicken Sie mit rechts auf das NTDS-Settings-Objekt und dann auf Neu und auf Verbindung.

5.

Wählen Sie den Namen des Standby-Servers aus, und klicken Sie dann auf OK.

6.

Geben Sie einen Namen für das neue Verbindungsobjekt ein, und klicken Sie auf OK.

Erstellen eines Verbindungsobjekts auf dem Standby-Betriebsmaster

Administrative Berechtigungen

Um die folgenden Schritte ausführen zu können, müssen Sie Mitglied der Gruppe Domänen-Admins oder der Gruppe Organisations-Admins sein.

"Erstellen eines Verbindungsobjekts auf dem Standby-Betriebsmaster"

1.

Öffnen Sie Active Directory-Standorte und -Dienste.

2.

Erweitern Sie den Container Standorte und den Standort, in dem sich der Standby-Domänencontroller befindet. Erweitern Sie den Container Servers und das Server-Objekt.

3.

Erweitern Sie den Namen des Servers, der Standby-Betriebsmaster werden soll.

4.

Klicken Sie mit rechts auf das NTDS-Settings-Objekt und dann auf Neu und auf Verbindung.

5.

Wählen Sie den Namen des aktuellen Betriebsmasters aus, und klicken Sie dann auf OK.

6.

Geben Sie einen Namen für das neue Verbindungsobjekt ein, und klicken Sie auf OK.

Überprüfen der erfolgreichen Replikation mit einem anderen Domänencontroller

Mit dem Befehl repadmin /showrepl können Sie feststellen, ob die Replikation mit einem bestimmten Domänencontroller erfolgreich war. Wenn Sie den Befehl nicht auf dem Domänencontroller ausführen, dessen Replikation Sie testen möchten, können Sie auch einen Ziel-Domänencontroller angeben. Repadmin zeigt unter INBOUND NEIGHBORS die DNs aller Verzeichnispartitionen auf, für die eine eingehende Verzeichnisreplikation versucht wurde - zusammen mit dem Standort und Namen des Quell-Domänencontrollers und dem Erfolg oder Misserfolg der Replikation. Die Ausgabe sieht zum Beispiel so aus:

Last attempt @ YYYY-MM-DD HH:MM.SS was successful.

Last attempt @ [Never] was successful.

Wenn @ [Never] angezeigt wird, heißt dies, dass die Partition noch nie erfolgreich repliziert wurde.

Administrative Berechtigungen

Um das folgende Verfahren ausführen zu können, müssen Sie Mitglied der Gruppe Domänen-Admins auf dem Ziel-Domänencontroller sein.

"Überprüfen der erfolgreichen Replikation mit einem anderen Domänencontroller"

1.

Öffnen Sie eine Eingabeaufforderung.

2.

Geben Sie den folgenden Befehl ein, und drücken Sie dann die EINGABETASTE:

3.

repadmin /showrepl servername /u:domänenname\benutzername /pw:*

ParameterBeschreibung

servername

Name des Ziel-Domänencontrollers.

domänenname

NetBIOS-Name der Domäne des Ziel-Domänencontrollers (es ist kein FQDN notwendig).

Benutzername

Der Name eines administrativen Kontos in der Domäne

4.

Wenn Sie zur Eingabe eines Kennwortes aufgefordert werden, geben Sie das Kennwort des Benutzerkontos ein.

Repadmin kann außerdem Detailinformationen zur Replikation mit allen Replikationspartnern anzeigen. Die entsprechende Ausgabe sieht so aus:

Showrepl_COLUMNS

Destination DC Site

Destination DC

Naming Context

Source DC Site

Source DC

Transport Type

Number of Failures

Last Failure Time

Last Success Time

Last Failure Status

Mit dem folgenden Verfahren können Sie eine solche Ausgabe generieren:

Erweiterte Ausgabe mit repadmin /showrepl

1.

Öffnen Sie eine Eingabeaufforderung.

2.

Geben Sie den folgenden Befehl ein, und drücken Sie dann die EINGABETASTE: repadmin /showrepl * /csv >showrepl.csv

3.

Öffnen Sie Microsoft Excel.

4.

Klicken Sie im Menü Datei auf Öffnen, und öffnen Sie die Datei showrepl.csv.

Die letzte erfolgreiche Replikation sollte mit dem Zeitplan für die Replikation zwischen Standorten übereinstimmen.

Wenn Repadmin eine der folgenden Informationen ausgibt, fahren Sie mit dem Abschnitt Kapitel 10 - "Fehlersuche bei Active Directory-Replikationsproblemen" fort:

Die letzte erfolgreiche Replikation zwischen Standorten war vor der letzten geplanten Replikation.

Die letzte Replikation zwischen Standorten ist länger als eine Stunde her.

Es gab keine erfolgreiche Replikation.

Siehe auch

Kapitel 10 - Fehlersuche bei Active Directory-Replikationsproblemen"

Übertragen einer Betriebsmasterrolle

Ändern Sie nicht unbedacht die Konfiguration des globalen Katalogs auf einem Domänencontroller, der eine Betriebsmasterrolle ausführen soll. Eine solche Änderung kann mehrere Tage benötigen, bis sie vollständig ausgeführt wurde - und der Domänencontroller steht während dieses Zeitraumes möglicherweise nicht zur Verfügung. Übertragen Sie die Betriebsmasterrollen stattdessen auf einen anderen Domänencontroller, der bereits passend konfiguriert ist.

Übertragen an einen Standby-Betriebsmaster

Wenn Sie den Empfehlungen gefolgt sind, ist der Standby-Betriebsmaster ein direkter Replikationspartner des aktuellen Betriebsmasters. Er ist somit bereit, die Rolle zu übernehmen. Denken Sie daran, außerdem einen neuen Standby auszuwählen.

Übertragen der Betriebsmasterrollen, wenn kein Standby bereit ist

Wenn Sie den Empfehlungen nicht gefolgt sind und keinen Standby-Betriebsmaster eingerichtet haben, müssen Sie einen Domänencontroller entsprechend vorbereiten. Dieser Prozess entspricht der Einrichtung eines Standbys.

Anforderungen

Um die unten beschriebenen Aufgaben ausführen zu können, sind die folgenden Tools notwendig:

Repadmin.exe

Active Directory-Standorte und -Dienste

Active Directory-Domänen und -Vertrauensstellungen

Active Directory Schema Snap-In

Active Directory-Benutzer und -Computer

Ntdsutil.exe

Um diese Aufgabe auszuführen, sind die folgenden Schritte erforderlich:

1.

"Überprüfen der erfolgreichen Replikation mit einem anderen Domänencontroller"

2.

Kapitel 4 - Feststellen, ob ein Domänencontroller ein globaler Katalogserver ist"

3.

"Installation des Schema-Snap-Ins"

4.

"Übertragen der Rolle Schemamaster"

5.

"Übertragen der Rolle Domänennamensmaster"

6.

"Übertragen der domänenbezogenen Betriebsmasterrollen"

7.

"Anzeigen der aktuellen Betriebsmaster"

Überprüfen der erfolgreichen Replikation mit einem anderen Domänencontroller

Mit dem Befehl repadmin /showrepl können Sie feststellen, ob die Replikation mit einem bestimmten Domänencontroller erfolgreich war. Wenn Sie den Befehl nicht auf dem Domänencontroller ausführen, dessen Replikation Sie testen möchten, können Sie auch einen Ziel-Domänencontroller angeben. Repadmin zeigt unter INBOUND NEIGHBORS die DNs aller Verzeichnispartitionen auf, für die eine eingehende Verzeichnisreplikation versucht wurde - zusammen mit dem Standort und Namen des Quell-Domänencontrollers und dem Erfolg oder Misserfolg der Replikation. Die Ausgabe sieht zum Beispiel so aus:

Last attempt @ YYYY-MM-DD HH:MM.SS was successful.

Last attempt @ [Never] was successful.

Wenn @ [Never] angezeigt wird, heißt dies, dass die Partition noch nie erfolgreich repliziert wurde.

Administrative Berechtigungen

Um das folgende Verfahren ausführen zu können, müssen Sie Mitglied der Gruppe Domänen-Admins auf dem Ziel-Domänencontroller sein.

"Überprüfen der erfolgreichen Replikation mit einem anderen Domänencontroller"

1.

Öffnen Sie eine Eingabeaufforderung.

2.

Geben Sie den folgenden Befehl ein, und drücken Sie dann die EINGABETASTE:

repadmin /showrepl servername /u:domänenname\benutzername /pw:*

ParameterBeschreibung

servername

Name des Ziel-Domänencontrollers.

domänenname

NetBIOS-Name der Domäne des Ziel-Domänencontrollers (es ist kein FQDN notwendig).

Benutzername

Der Name eines administrativen Kontos in der Domäne

3.

Wenn Sie zur Eingabe eines Kennwortes aufgefordert werden, geben Sie das Kennwort des Benutzerkontos ein.

Repadmin kann außerdem Detailinformationen zur Replikation mit allen Replikationspartnern anzeigen. Die entsprechende Ausgabe sieht so aus:

Showrepl_COLUMNS

Destination DC Site

Destination DC

Naming Context

Source DC Site

Source DC

Transport Type

Number of Failures

Last Failure Time

Last Success Time

Last Failure Status

Mit dem folgenden Verfahren können Sie eine solche Ausgabe generieren:

Erweiterte Ausgabe mit repadmin /showrepl

1.

Öffnen Sie eine Eingabeaufforderung.

2.

Geben Sie den folgenden Befehl ein, und drücken Sie dann die EINGABETASTE: repadmin /showrepl * /csv >showrepl.csv

3.

Öffnen Sie Microsoft Excel.

4.

Klicken Sie im Menü Datei auf Öffnen, und öffnen Sie die Datei showrepl.csv.

Die letzte erfolgreiche Replikation sollte mit dem Zeitplan für die Replikation zwischen Standorten übereinstimmen.

Wenn Repadmin eine der folgenden Informationen ausgibt, fahren Sie mit dem Abschnitt Kapitel 10 - "Fehlersuche bei Active Directory-Replikationsproblemen" fort:

Die letzte erfolgreiche Replikation zwischen Standorten war vor der letzten geplanten Replikation.

Die letzte Replikation zwischen Standorten ist länger als eine Stunde her.

Es gab keine erfolgreiche Replikation.

Siehe auch

Kapitel 10 - Fehlersuche bei Active Directory-Replikationsproblemen"

Feststellen, ob ein Domänencontroller ein globaler Katalogserver ist

Mit dem NTDS-Settings-Objekt können Sie festlegen, ob ein Domänencontroller ein globaler Katalog ist oder nicht.

Administrative Berechtigungen

Um dieses Verfahren durchführen zu können, müssen Sie Mitglied der Gruppe Domänen-Admins sein.

"Feststellen, ob ein Domänencontroller ein globaler Katalogserver ist"

1.

Öffnen Sie Active Directory-Standorte und -Dienste.

2.

Erweitern Sie den Container Standorte und den Standort, in dem sich der betreffende Domänencontroller befindet. Erweitern Sie den Container Servers und das Server-Objekt.

3.

Klicken Sie mit rechts auf das NTDS-Settings-Objekt und dann auf Eigenschaften.

4.

Wenn auf der Registerkarte Allgemein das Feld Globaler Katalog ausgewählt ist, arbeitet der Domänencontroller als globaler Katalog Server.

Installation des Schema-Snap-Ins

Administrative Berechtigungen

Um dieses Verfahren ausführen zu können, müssen Sie Mitglied der Gruppe Domänen-Admins oder der Gruppe Organisations-Admins sein.

"Installation des Schema-Snap-Ins"

1.

Öffnen Sie die Eingabeaufforderung.

2.

Geben Sie Folgendes ein: regsvr32 schmmgmt.dll

3.

Dieser Befehl registriert schmmgmt.dll auf Ihrem Computer. Weitere Informationen zum Verwenden von regsvr32 finden Sie unter "Verwandte Themen".

4.

Klicken Sie im Startmenü auf Ausführen, geben Sie mmc/a ein, und klicken Sie anschließend auf OK.

5.

Klicken Sie im Menü Datei auf Snap-In hinzufügen/entfernen und dann auf Hinzufügen.

6.

Doppelklicken Sie unter Verfügbare eigenständige Snap-Ins auf Active Directory-Schema, klicken Sie auf Schließen, und klicken Sie dann auf OK.

7.

Zum Speichern dieser Konsole klicken Sie im Menü Datei auf Speichern.

8.

Zeigen Sie unter Speichern in auf das Verzeichnis systemroot\system32.

9.

Geben Sie schmmgmt.msc in das Feld Dateiname ein, und klicken Sie auf Speichern.

10.

Führen Sie die folgenden Schritte aus, um eine Verknüpfung im Startmenü einzurichten:

Klicken Sie mit der rechten Maustaste im Startmenü auf Öffnen – Alle Benutzer, doppelklicken Sie auf den Ordner Programme, und doppelklicken Sie dann auf den Ordner Verwaltung.

Zeigen Sie im Menü Datei auf Neu, und klicken Sie dann auf Verknüpfung.

Geben Sie im Assistenten zum Erstellen von Verknüpfungen in das Feld Geben Sie den Speicherort des Elements ein die Zeichenfolge schmmgmt.msc ein, und klicken Sie dann auf Weiter.

Geben Sie auf der Seite Programmbezeichnung auswählen in das Feld Geben Sie den Namen für die Verknüpfung ein den Namen Active Directory-Schema ein, und klicken Sie dann auf Fertig stellen.

Vorsicht

Das Ändern des Active Directory-Schemas ist eine schwierige Aufgabe, die am besten von erfahrenen Programmierern und Systemadministratoren durchgeführt wird. Ausführliche Informationen zum Ändern des Active Directory-Schemas finden Sie im Active Directory Programmer's Guide auf der Microsoft-Website (engl.).

Übertragen der Rolle Schemamaster

Wenn das Schema-Snap-In noch nicht installiert ist, führen Sie erst die Schritte aus dem Abschnitt "Installation des Schema-Snap-Ins" aus.

Anmerkung

Dieses Verfahren beschreibt die Verwendung der MMC. Es kann jedoch auch mithilfe von Ntdsutil.exe ausgeführt werden. Weitere Informationen dazu erhalten Sie, wenn Sie ? in der Ntdsutil.exe-Eingabeaufforderung eingeben.

Administrative Berechtigungen

Um dieses Verfahren ausführen zu können, müssen Sie Mitglied der Gruppe Schema-Admins sein.

"Übertragen der Rolle Schemamaster"

1.

Öffnen Sie das Active Directory-Schema-Snap-In.

2.

Klicken Sie in der Konsolenstruktur mit der rechten Maustaste auf Active Directory-Schema, und klicken Sie dann auf Domänencontroller ändern.

3.

Klicken Sie auf Namen angeben, und geben Sie den Namen des Domänencontrollers ein, der die Rolle des Schemamasters haben soll.

4.

Klicken Sie in der Konsolenstruktur mit der rechten Maustaste auf Active Directory-Schema und dann auf Betriebsmaster.

5.

Klicken Sie auf Ändern.

Übertragen der Rolle Domänennamensmaster

Anmerkung

Dieses Verfahren beschreibt die Verwendung der MMC. Es kann jedoch auch mithilfe von Ntdsutil.exe ausgeführt werden. Weitere Informationen dazu erhalten Sie, wenn Sie ? in der Ntdsutil.exe-Eingabeaufforderung eingeben.

Administrative Berechtigungen

Um dieses Verfahren ausführen zu können, müssen Sie Mitglied der Gruppe Organisations-Admins sein.

"Übertragen der Rolle Domänennamensmaster"

1.

Öffnen Sie Active Directory-Domänen und -Vertrauensstellungen.

2.

Klicken Sie in der Konsolenstruktur mit der rechten Maustaste auf Active Directory-Domänen und -Vertrauensstellungen, und klicken Sie dann auf Verbindung mit Domänencontroller herstellen.

3.

Geben Sie in das Feld Geben Sie den Namen eines weiteren Domänencontrollers ein den Namen des Domänencontrollers ein, der die Rolle des Domänennamenmasters haben soll.

4.

Oder klicken Sie in der Liste mit den verfügbaren Domänencontrollern auf den gewünschten Domänencontroller.

5.

Klicken Sie in der Konsolenstruktur mit der rechten Maustaste auf Active Directory-Domänen und -Vertrauensstellungen, und klicken Sie dann auf Betriebsmaster.

6.

Klicken Sie auf Ändern.

Übertragen der domänenbezogenen Betriebsmasterrollen

Mit diesem Verfahren übertragen Sie die Rollen PDC-Emulator, RID-Master und Infrastrukturmaster.

Anmerkung

Dieses Verfahren beschreibt die Verwendung der MMC. Es kann jedoch auch mithilfe von Ntdsutil.exe ausgeführt werden. Weitere Informationen dazu erhalten Sie, wenn Sie ? in der Ntdsutil.exe-Eingabeaufforderung eingeben.

Administrative Berechtigungen

Um die folgenden Schritte ausführen zu können, müssen Sie Mitglied der Gruppe Domänen-Admins oder der Gruppe Organisations-Admins sein.

"Übertragen der domänenbezogenen Betriebsmasterrollen"

1.

Öffnen Sie Active Directory-Benutzer und -Computer.

2.

Klicken Sie in der Konsolenstruktur mit der rechten Maustaste auf Active Directory-Benutzer und -Computer, und klicken Sie dann auf Verbindung mit Domänencontroller herstellen.

3.

Geben Sie in das Feld Geben Sie den Namen eines weiteren Domänencontrollers ein den Namen des Domänencontrollers ein, der die Rolle des RID-Masters haben soll. Oder klicken Sie in der Liste mit den verfügbaren Domänencontrollern auf den gewünschten Domänencontroller.

4.

Klicken Sie in der Konsolenstruktur mit der rechten Maustaste auf Alle Tasks, und klicken Sie dann auf Betriebsmaster.

5.

Klicken Sie auf die Rolle, die übertragen werden soll, und dann auf Ändern.

Anzeigen der aktuellen Betriebsmaster

Nachdem Sie Rollen übertragen haben, sollten Sie überprüfen, dass dies funktioniert hat. Die Änderung muss auf alle relevanten Domänenmitglieder repliziert werden, damit sie tatsächlich effektiv wird.

Sie können die aktuellen Betriebsmaster mit Ntdsutil.exe anzeigen.

Administrative Berechtigungen

Um die folgenden Schritte ausführen zu können, müssen Sie als Benutzer oder Administrator angemeldet sein.

"Anzeigen der aktuellen Betriebsmaster"

1.

Öffnen Sie die Eingabeaufforderung.

2.

Geben Sie Folgendes ein: ntdsutil

3.

Geben Sie Folgendes an der ntdsutil-Eingabeaufforderung ein: roles

4.

Geben Sie Folgendes an der fsmo maintenance-Eingabeaufforderung ein: connections

5.

Geben Sie Folgendes an der server connections-Eingabeaufforderung ein: connect to server Domänencontroller. Wobei Domänencontroller ein Domänencontroller ist, der zu der Domäne mit den gesuchten Betriebsmastern gehört.

6.

Geben Sie Folgendes an der server connections-Eingabeaufforderung ein: quit

7.

Geben Sie Folgendes ein: select operation target

8.

Geben Sie Folgendes ein: list roles for connected server
Es wird eine Liste mit den aktuellen Rollen und dem LDAP-Namen ausgegeben.

Übernehmen einer Betriebsmasterrolle

Beim Übernehmen von Betriebsmasterrollen weisen Sie die Rolle einem neuen Domänencontroller zu, ohne dass der alte Rolleninhaber an diesem Vorgang beteiligt ist (Normalerweise geschieht das, weil dieser offline ist).

Hierbei kann es unter zwei Umständen zu Problemen kommen. Daher sollte das Übernehmen nur als letzter Ausweg durchgeführt werden. Erstens beginnt der neue Rolleninhaber mit den Daten, die er in seiner aktuellen Verzeichnispartition findet. Es kann aber sein, dass er schlicht noch nicht alle Informationen vom alten Rolleninhaber erhalten hatte. Die kann zu Inkonsistenzen der Verzeichnisdatenbank führen.

Um dieses Risiko zu minimieren, sollten Sie keine Rolle übernehmen, bevor nicht genügend Zeit für eine vollständige Replikation im gesamten Netzwerk vergangen ist.

Zweitens wird der alte Rolleninhaber nicht über den Wechsel informiert. Dies ist kein Problem, solange er offline bleibt. Sollte er jedoch jemals wieder online sein (zum Beispiel, weil er repariert wurde), so wird er seine Arbeit als Betriebsmaster wieder aufnehmen. Dies kann dazu führen, dass es zwei gleiche Betriebsmaster gibt.

Anforderungen

Repadmin.exe

Ntdsutil.exe

Um diese Aufgabe auszuführen, sind die folgenden Schritte erforderlich:

1.

"Überprüfen der erfolgreichen Replikation mit einem anderen Domänencontroller"
Auf dem Domänencontroller, der die Rolle übernehmen soll.

2.

"Übernehmen der Betriebsmasterrolle"

3.

"Anzeigen der aktuellen Betriebsmaster"

Überprüfen der erfolgreichen Replikation mit einem anderen Domänencontroller

Mit dem Befehl repadmin /showrepl können Sie feststellen, ob die Replikation mit einem bestimmten Domänencontroller erfolgreich war. Wenn Sie den Befehl nicht auf dem Domänencontroller ausführen, dessen Replikation Sie testen möchten, können Sie auch einen Ziel-Domänencontroller angeben. Repadmin zeigt unter INBOUND NEIGHBORS die DNs aller Verzeichnispartitionen auf, für die eine eingehende Verzeichnisreplikation versucht wurde - zusammen mit dem Standort und Namen des Quell-Domänencontrollers und dem Erfolg oder Misserfolg der Replikation. Die Ausgabe sieht zum Beispiel so aus:

Last attempt @ YYYY-MM-DD HH:MM.SS was successful.

Last attempt @ [Never] was successful.

Wenn @ [Never] angezeigt wird, heißt dies, dass die Partition noch nie erfolgreich repliziert wurde.

Administrative Berechtigungen

Um das folgende Verfahren ausführen zu können, müssen Sie Mitglied der Gruppe Domänen-Admins auf dem Ziel-Domänencontroller sein.

"Überprüfen der erfolgreichen Replikation mit einem anderen Domänencontroller"

1.

Öffnen Sie eine Eingabeaufforderung.

2.

Geben Sie den folgenden Befehl ein, und drücken Sie dann die EINGABETASTE:

repadmin /showrepl servername /u:domänenname\benutzername /pw:*

ParameterBeschreibung

servername

Name des Ziel-Domänencontrollers.

domänenname

NetBIOS-Name der Domäne des Ziel-Domänencontrollers (es ist kein FQDN notwendig).

Benutzername

Der Name eines administrativen Kontos in der Domäne

3.

Wenn Sie zur Eingabe eines Kennwortes aufgefordert werden, geben Sie das Kennwort des Benutzerkontos ein.

Repadmin kann außerdem Detailinformationen zur Replikation mit allen Replikationspartnern anzeigen. Die entsprechende Ausgabe sieht so aus:

Showrepl_COLUMNS

Destination DC Site

Destination DC

Naming Context

Source DC Site

Source DC

Transport Type

Number of Failures

Last Failure Time

Last Success Time

Last Failure Status

Mit dem folgenden Verfahren können Sie eine solche Ausgabe generieren:

Erweiterte Ausgabe mit repadmin /showrepl

1.

Öffnen Sie eine Eingabeaufforderung.

2.

Geben Sie den folgenden Befehl ein, und drücken Sie dann die EINGABETASTE: repadmin /showrepl * /csv >showrepl.csv

3.

Öffnen Sie Microsoft Excel.

4.

Klicken Sie im Menü Datei auf Öffnen, und öffnen Sie die Datei showrepl.csv.

Die letzte erfolgreiche Replikation sollte mit dem Zeitplan für die Replikation zwischen Standorten übereinstimmen.

Wenn Repadmin eine der folgenden Informationen ausgibt, fahren Sie mit dem Abschnitt Kapitel 10 - "Fehlersuche bei Active Directory-Replikationsproblemen" fort:

Die letzte erfolgreiche Replikation zwischen Standorten war vor der letzten geplanten Replikation.

Die letzte Replikation zwischen Standorten ist länger als eine Stunde her.

Es gab keine erfolgreiche Replikation.

Siehe auch

Kapitel 10 - Fehlersuche bei Active Directory-Replikationsproblemen"

Übernehmen der Betriebsmasterrolle

Sie können eine Betriebsmasterrolle mit Ntdsutil.exe übernehmen. Ntdsutil.exe versucht hierbei zuerst, die Rolle normal zu übertragen. Wenn dies fehlschlägt, wird die Rolle übernommen. Das Verfahren ist für alle Rollen nahezu identisch.

Administrative Berechtigungen

Um dieses Verfahren ausführen zu können, müssen Sie Mitglied der Gruppe Domänen-Admins oder der Gruppe Organisations-Admins sein.

"Übernehmen der Betriebsmasterrolle"

1.

Öffnen Sie die Eingabeaufforderung.

2.

Geben Sie Folgendes ein: ntdsutil

3.

Geben Sie Folgendes an der ntdsutil-Eingabeaufforderung ein: roles

4.

Geben Sie Folgendes an der fsmo maintenance-Eingabeaufforderung ein: connections

5.

Geben Sie Folgendes an der server connections-Eingabeaufforderung ein: connect to server Domänencontroller. Wobei Domänencontroller der Domänencontroller ist, der die Betriebsmasterrolle übernehmen soll. Geben Sie quit ein.

6.

Abhängig von der zu übernehmenden Rolle geben Sie folgendes ein:

RolleNotwendige BerechtigungenBefehl

Domänennamenmaster

Organisations-Admins

Seize domain naming master

Schemamaster

Organisations-Admins

Seize schema master

Infrastrukturmaster

Domänen-Admins

Seize infrastructure master

PDC-Emulator

Domänen-Admins

Seize pdc

RID-Master

Domänen-Admins

Seize rid master

7.

Wenn eine Warnung angezeigt wird, klicken Sie zum Fortfahren auf Yes.

Anzeigen der aktuellen Betriebsmaster

Nachdem Sie Rollen übertragen haben, sollten Sie überprüfen, dass dies funktioniert hat. Die Änderung muss auf alle relevanten Domänenmitglieder repliziert werden, damit sie tatsächlich effektiv wird.

Sie können die aktuellen Betriebsmaster mit Ntdsutil.exe anzeigen.

Administrative Berechtigungen

Um die folgenden Schritte ausführen zu können, müssen Sie als Benutzer oder Administrator angemeldet sein.

"Anzeigen der aktuellen Betriebsmaster"

1.

Öffnen Sie die Eingabeaufforderung.

2.

Geben Sie Folgendes ein: ntdsutil

3.

Geben Sie Folgendes an der ntdsutil-Eingabeaufforderung ein: roles

4.

Geben Sie Folgendes an der fsmo maintenance-Eingabeaufforderung ein: connections

5.

Geben Sie Folgendes an der server connections-Eingabeaufforderung ein: connect to server Domänencontroller. Wobei Domänencontroller ein Domänencontroller ist, der zu der Domäne mit den gesuchten Betriebsmastern gehört.

6.

Geben Sie Folgendes an der server connections-Eingabeaufforderung ein: quit

7.

Geben Sie Folgendes ein: select operation target

8.

Geben Sie Folgendes ein: list roles for connected server
Es wird eine Liste mit den aktuellen Rollen und dem LDAP-Namen ausgegeben.

Reduzierung der Auslastung auf dem PDC-Emulator

Zusätzlich zu seinen normalen Aufgaben muss sich der PDC-Emulator noch um Kennwortänderungen kümmern. Sie können jedoch dafür sorgen, dass sich die normale Auslastung des PDCs verringert.

Sie können den DNS so konfigurieren, dass der Domänencontroller weniger häufig als andere abgefragt wird. Die Clients ermitteln die Domänencontroller über den DNS. Standardmäßig verteilt der DNS hierbei die Last auf alle Domänencontroller. Durch die Gewichtung und die Priorität können Sie dieses Verhalten anpassen.

Anpassen der Gewichtung für DNS-SRV-Einträge über die Registrierung

Wenn Sie die Gewichtung für einen Domänencontroller unter den Wert der anderen Domänencontroller setzen, verringert das die Anzahl der Anfragen an den entsprechenden Domänencontroller. Die Gewichtung wird im Registrierungseintrag LdapSrvWeight gespeichert. Der Standardwert ist 100 und kann auf Werte zwischen 0 und 65535 geändert werden. Wenn Sie die Auslastung für einen Domänencontroller verringern wollen, können Sie den Wert zum Beispiel auf 50 setzen. Dies führt dazu, dass die anderen Domänencontroller (100) doppelt so oft abgefragt werden wie der geänderte Domänencontroller (50).

Anpassen der Priorität für DNS-SRV-Einträge über die Registrierung

Die Priorität sorgt nicht für eine Umverteilung der Auslastung. Stattdessen werden immer erst die Domänencontroller mit der niedrigsten Priorität abgefragt. Die Domänencontroller mit hoher Priorität werden erst dann abgefragt, wenn Domänencontroller mit geringerer Priorität nicht zur Verfügung stehen. Haben zwei oder mehr Domänencontroller den gleichen Wert, wird einer von diesen per Zufall ausgewählt.

Die Priorität wird in der Registrierung gespeichert. Der NetLogon-Dienst führt beim Start des Domänencontrollers eine Registrierung im DNS durch. Zu dieser Registrierung gehört auch der Prioritätswert. Der Wert wird im Registrierungseintrag LdapSrvPriority gespeichert und hat den Standardwert 0. Er kann Werte zwischen 0 und 65535 annehmen.

Anmerkung

Ein kleinerer Wert für LdapSrvPriority steht für eine höhere Priorität. Ein Domänencontroller mit dem Wert 100 hat eine kleinere Priorität als ein Domänencontroller mit dem Wert 10. Clients werden also zuerst versuchen, den Domänencontroller mit der Priorität 10 abzufragen.

Anforderungen

Um die unten beschriebene Aufgabe ausführen zu können, sind die folgenden Tools erforderlich:

Regedit.exe.

Um diese Aufgabe auszuführen, sind die folgenden Schritte erforderlich:

1.

"Ändern der Gewichtung von DNS-SRV-Einträgen in der Registrierung"

2.

"Ändern der Priorität von DNS-SRV-Einträgen in der Registrierung"

Ändern der Gewichtung von DNS-SRV-Einträgen in der Registrierung

Vorsicht

Der Registrierungseditor umgeht die normalen Sicherheitsfunktionen. Sie können so Einstellungen vornehmen, die das System beschädigen können oder sogar dafür sorgen können, dass Windows neu installiert werden muss. Sichern Sie vor einer Bearbeitung der Registrierung den Systemstatus. Weitere Informationen hierzu finden Sie unter: Active Directory-Sicherung und -Wiederherstellung.

Administrative Berechtigungen

Um die folgenden Schritte ausführen zu können, müssen Sie Mitglied der Gruppe Domänen-Admins oder der Gruppe Organisations-Admins sein.

"Ändern der Gewichtung von DNS-SRV-Einträgen in der Registrierung"

1.

Klicken Sie auf Start, klicken Sie auf Ausführen, geben Sie regedit ein, und drücken Sie die EINGABETASTE.

2.

Navigieren Sie im Registrierungseditor zu HKLM\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters

3.

Klicken Sie auf Bearbeiten, klicken Sie auf Neu, und klicken Sie dann auf DWORD.

4.

Geben Sie als Name LdapSrvWeight ein.

5.

Klicken Sie doppelt auf den neu erstellten Wert.

6.

Geben Sie einen Wert zwischen 0 und 65535 ein. Der Standardwert ist 100.

7.

Klicken Sie auf Dezimal und dann auf OK.

Ändern der Priorität von DNS-SRV-Einträgen in der Registrierung

Vorsicht

Der Registrierungseditor umgeht die normalen Sicherheitsfunktionen. Sie können so Einstellungen vornehmen, die das System beschädigen können oder sogar dafür sorgen können, dass Windows neu installiert werden muss. Sichern Sie vor einer Bearbeitung der Registrierung den Systemstatus. Weitere Informationen hierzu finden Sie unter: Active Directory-Sicherung und -Wiederherstellung.

Administrative Berechtigungen

Um die folgenden Schritte ausführen zu können, müssen Sie Mitglied der Gruppe Domänen-Admins oder der Gruppe Organisations-Admins sein.

"Ändern der Priorität von DNS-SRV-Einträgen in der Registrierung"

1.

Klicken Sie auf Start, klicken Sie auf Ausführen, geben Sie regedit ein, und drücken Sie die EINGABETASTE.

2.

Navigieren Sie im Registrierungseditor zu HKLM\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters

3.

Klicken Sie auf Bearbeiten, klicken Sie auf Neu, und klicken Sie dann auf DWORD.

4.

Geben Sie als Name LdapSrvPriority ein.

5.

Klicken Sie doppelt auf den neu erstellten Wert.

6.

Geben Sie einen Wert zwischen 0 und 65535 ein. Der Standardwert ist 0.

7.

Klicken Sie auf Dezimal und dann auf OK.


**
**