Einführung in die Administration der Active Directory-Sicherung und -WiederherstellungActive Directory-Sicherungen müssen in den täglichen Betrieb mit einbezogen werden. Sie müssen festlegen, welche Domänencontroller gesichert werden sollen. Die Wiederherstellung gehört im Gegensatz zur Sicherung nicht zu den täglichen Aufgaben. Sie wird nur dann ausgeführt, wenn es zu Problemen mit Domänencontrollern kommt. Systemstatus-KomponentenActive Directory wird als Teil des Systemstatus gesichert. Der Systemstatus setzt sich aus verschiedenen Systemkomponenten, die voneinander abhängen, zusammen. Diese Komponenten müssen zusammen gesichert und wiederhergestellt werden. Auf einem Domänencontroller gehören die folgenden Komponenten zum Systemstatus: | • | Startdateien (Bootdateien): Diese Dateien sind für den Start von Windows Server 2003 erforderlich. | | • | Registrierung | | • | Klassenregistrierungsdatenbank mit Komponentendiensten. Das COM-Model (Component Object Model) ist ein binärer Standard für Komponenten in einer verteilten Systemumgebung. | | • | Systemvolumen (SYSVOL): SYSVOL ist der Standardspeicherort für Dateien, die in einer Domäne gemeinsam genutzt werden. Er enthält die folgenden Komponenten: | • | Net Logon-Freigaben: In diesen Ordnern befinden sich normalerweise die Richtlinieneinstellungen für Clients mit Betriebssystemen, die älter als Windows 2000 sind. | | • | An- und Abmeldeskripte | | • | Systemrichtlinien | | • | Gruppenrichtlinieneinstellungen | | • | FRS-Stagingverzeichnisse und –dateien, die repliziert werden müssen. |
| | • | Active Directory - umfasst die folgenden Komponenten: | • | Die Active Directory-Datenbank (Ntds.dit) | | • | Die Prüfpunktdatei (Edb.chk) | | • | Die Transaktionsprotokolle - jeweils zehn MB (Edb*.log) | | • | Reservierte Transaktionsprotokolle (Res1.log und Res2.log) |
|
Wenn Sie Cluster- oder Zertifikatsdienste auf einem Domänencontroller installieren, müssen auch diese Komponenten gesichert werden. Sinn regelmäßiger SicherungenFür die folgenden Aufgaben benötigen Sie eine aktuelle, überprüfte und zuverlässige Sicherung: | • | Wiederherstellen von Active Directory-Daten, die verloren gegangen sind. Sie können einzelne Objekte oder ganze Partitionen wiederherstellen. | | • | Wiederherstellen von Domänencontrollern, die nicht mehr gestartet werden können. | | • | Installation von Active Directory über ein Sicherungsmedium (mit dcpromo /adv). Mit diesem Verfahren können Sie Domänencontroller an Standorten mit langsamen Netzwerkverbindungen auch bei einer großen Datenbank schnell zur Domäne hinzufügen. | | • | Wiederherstellung einer Gesamtstruktur bei gesamtstrukturweiten Fehlern. |
Anforderungen und Empfehlungen für die WiederherstellungDer Tombstone-Lebensdauer-Wert einer Active Directory-Gesamtstruktur legt fest, wie lange in Tagen ein Domänencontroller gelöschte Objekte vorhält. Er definiert somit gleichzeitig den Zeitraum, über den eine Sicherung für eine Wiederherstellung brauchbar ist. Active Directory schützt sich selbst vor einer Wiederherstellung von Daten, die älter sind als die Tombstone-Lebensdauer. Wichtig Sie sollten auf keinen Fall versuchen, über eine Änderung der Systemuhr eine zu alte Sicherung wiederherzustellen. Die Wiederherstellung des Systemstatus sollte als letzte Option durchgeführt werden - nicht als Standardverfahren. Richtlinien für die SicherungDie folgenden Richtlinien stellen sicher, dass die Active Directory-Daten korrekt gesichert werden: | • | Führen Sie normale Sicherungen durch. Die normale Sicherung ist die einzige Sicherungsart, die für Active Directory möglich ist. | | • | Führen Sie eine tägliche Sicherung jeder Partition auf mindestens zwei verschiedenen Domänencontrollern durch. Achten Sie hierbei besonders auf Gesamtstrukturen mit nur einem Domänencontroller, Domänen mit nur einem Domänencontroller und leere Stammdomänen. | | • | Wenn Partitionen nur an einem Standort vorhanden sind, lagern Sie die Sicherungsdateien an einem anderen Standort. Die Sicherungsdateien und Partition sollten sich nicht beide ausschließlich an einem einzigen Standort befinden. | | • | Sorgen Sie dafür, dass sich die Sicherungen an einem sicheren Ort befinden. | • | Sichern Sie die DNS-Zonen. Wenn Sie Active Directory-integrierte Zonen verwenden, werden diese bereits zusammen mit dem Systemstatus gesichert. Andernfalls müssen Sie jede Zone auf einer ausreichenden Anzahl von DNS-Servern sichern. |
Anmerkung
DNS-Server speichern Einstellungen in der Registrierung. Daher ist für DNS-Server eine Systemstatussicherung notwendig - unabhängig davon, ob die Zonendateien in Active Directory gespeichert werden oder nicht. | | • | Wenn Sie Anwendungspartitionen nutzen, stellen Sie sicher, dass Sie die Domänencontroller mit den entsprechenden Partitionen sichern. | | • | Erstellen Sie an jedem geografischen Standort, der den folgenden Kriterien entspricht, zusätzliche Sicherungen: | • | Ausführung von geschäftskritischen Aufgaben. | | • | WAN-Ausfälle könnten die geschäftlichen Abläufe gefährden. | | • | Die folgenden Aufgaben wären aufgrund von langsamen Netzwerkverbindungen oder aufgrund einer großen Datenbank sehr kostenintensiv: Erstellen eines Domänencontrollers über das Netzwerk oder Kopieren oder Transportieren einer Systemstatussicherung von dessen Lager- oder Speicherort zu dem entsprechenden Standort, um dort eine Installation von einem Sicherungsmedium durchzuführen. |
|
Anmerkung Eine Sicherung kann nur zur Wiederherstellung auf dem Domänencontroller dienen, auf dem sie gemacht wurde. Alternativ können jedoch neue in der gleichen Domäne erstellt werden. Es ist nicht möglich, mit einer Sicherung einen anderen Domänencontroller wiederherzustellen oder einen neuen Domänencontroller auf einer anderen Hardware zu installieren. Eine Sicherung eines Domänencontrollers unter Windows 2000 Server kann natürlich nicht zur Wiederherstellung eines Domänencontrollers unter Windows Server 2003 verwendet werden. SicherungshäufigkeitDie Häufigkeit der Sicherung hängt von Kriterien ab, die von Umgebung zu Umgebung unterschiedlich sind. In den meisten Umgebungen werden täglich Änderungen an Verzeichnisobjekten vorgenommen. Computerkonten (inklusive Domänencontroller) ändern ihr Kennwort zum Beispiel standardmäßig alle 30 Tage. Dies führt dazu, dass sich wahrscheinlich jeden Tag ein paar Computerkennwörter ändern werden. Das Wiederherstellen von Computerkennworten kann sich auf die Authentifizierung und die Replikation auswirken. Ähnliches gilt zum Beispiel für die Benutzerkennwörter. Grundsätzlich kann man sagen, dass die potenziellen Probleme mit steigender Sicherungshäufigkeit abnehmen. Je mehr Active Directory-Objekte und Domänencontroller es gibt, desto häufiger sollten Sicherungen durchgeführt werden. In großen Organisationen kann es zum Beispiel sein, dass Sie nach einer Wiederherstellung einer versehentlich gelöschten OU aus einer mehrere Tage oder Wochen alten Sicherung hunderte von Benutzerkonten neu erstellen müssen. Kriterien für die SicherungshäufigkeitMit den folgenden Kriterien können Sie die Sicherungshäufigkeit bestimmen: | • | Kleine Umgebungen mit nur einen Domänencontroller oder Domänen, die sich vollständig an einen physischen Standort befinden, sollten mindestens einmal am Tag gesichert werden. | | • | Mittlere (10 bis 49 Domänencontroller) und große (50 bis 1.000 Domänencontroller) Umgebungen: Führen Sie eine tägliche Sicherung jeder Partition auf mindestens zwei verschiedenen Domänencontrollern durch. Achten Sie hierbei besonders auf Gesamtstrukturen mit nur einem Domänencontroller, Domänen mit nur einem Domänencontroller und leere Stammdomänen. |
Steigern Sie die Häufigkeit der Sicherungen so lange, bis Sie sicher gehen können, dass seit der letzten Sicherung erstellte und geänderte (und somit verlorene Objekte) nicht zu schwerwiegenden Problemen des Betriebsablaufes führen. Umfangreiche Änderungen sollten daher zu einer sofortigen Sicherung führen. Anmerkung Sie sollten immer mindestens zwei Domänencontroller in jeder Domäne einsetzen. Sofortige SicherungZusätzlich zu den regelmäßigen Sicherungen sollte in den folgenden Situationen eine sofortige Sicherung durchgeführt werden: | • | Verschieben der Active Directory-Datenbank- oder -Protokolldateien. | | • | Aktualisierung eines Domänencontrollers von Windows 2000 Server auf Windows Server 2003 und jegliche andere Betriebssystemaktualisierungen. | | • | Installation eines Servicepacks. | | • | Installation eines Hotfixes, der Änderungen an der Active Directory-Datenbank durchführt. | | • | Änderung der Tombstone-Lebensdauer. |
Sicherungs-LatenzintervallAuf Domänencontrollern unter Windows Server 2003 mit Service Pack 1 (SP1) gibt es ein neues Ereignis (ID 2089), das den Sicherungsstatus eines jeder Partition anzeigt, die auf dem Domänencontroller vorhanden ist - inklusive von Anwendungspartitionen. Das Ereignis wird dann angezeigt, wenn Partitionen nicht regelmäßig genug gesichert werden. Regelmäßig bedeutet hierbei, dass die Sicherungshäufigkeit unter dem Latenzintervall liegen muss. Das Latenzintervall wird in der Registrierung unter dem Eintrag Backup Latency Threshold (days) unter HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\Parameters gespeichert. Standardmäßig ist Backup Latency Threshold (days) halb so groß wie die Tombstone-Lebensdauer. Wenn eine Partition nach der halben Lebensdauer noch nicht gesichert wurde, wird also das Ereignis 2089 angezeigt. Dies wiederholt sich täglich so lange, bis die Partition gesichert wurde. Das Ereignis soll Administratoren warnen und entsprechende Anwendungen auf das Fehlen der Sicherung hinweisen. Es wird allerdings empfohlen, Sicherungen weit häufiger durchzuführen. Siehe auchInstallation eines Domänencontrollers in einer bestehenden Domäne mithilfe von Sicherungsmedien Verwaltung der Active Directory-Sicherung und -WiederherstellungMit den folgenden Verfahren können Sie Active Directory sichern und wiederherstellen: | • | "Sichern von Active Directory-Komponenten" | | • | "Durchführen einer nicht autorisierenden Wiederherstellung eines Domänencontrollers" | | • | "Durchführen einer autorisierenden Wiederherstellung von Active Directory-Objekten" | | • | "Durchführen einer autorisierenden Wiederherstellung einer Anwendungspartition" | | • | "Durchführen einer autorisierenden Wiederherstellung eines Gruppenrichtlinienobjektes" | | • | "Wiederherstellung eines Domänencontrollers über eine Neuinstallation gefolgt von einer Wiederherstellung einer Sicherung" | | • | "Wiederherstellung eines Domänencontrollers über eine Neuinstallation" |
Sichern von Active Directory-KomponentenBenennung von SicherungsdateienUm eine korrekte Handhabung der Sicherungsdateien zu gewährleisten, sollten die .bkf-Dateien nach den folgenden Vorgaben benannt werden: | • | FQDN des Domänencontrollers, auf dem die Sicherung ausgeführt wurde. | | • | Informationen dazu, ob es sich um einen Domänencontroller oder einen globalen Katalog handelt. | | • | Informationen dazu, ob es MD5-Checksummendaten für Sysvol gibt. | • | Datum der Sicherung. Ein Name für eine Sicherungsdatei könnte also so aussehen: X:\FQDN.Build_Number.Service_Pack_Revision. [No]GC.[No]MD5.TSL.YYYYMMDD.bkf |
| | • | FQDN des Domänencontrollers. | | • | Build Number ist die Build-Nummer des Betriebssystems. | | • | Service_Pack_Revision ist die Build-Nummer des Service Packs, das installiert ist. | | • | [No]GC, um anzuzeigen, ob es sich um einen globalen Katalog handelt. | | • | [No]MD5, um anzuzeigen, ob MD5-Checksummen vorhanden sind. Weitere Informationen zu MD5-Checksummen finden Sie unter Vorbereiten eine Servers auf die Installation von einem Sicherungsmedium. | | • | TSL Wert in Tagen des Attributs tombstoneLifetime. | | • | YYYYMMDD Jahr, Monat, Tag der Sicherung. |
DC1.CONTOSO.COM.3790.SP0.GC.MD5.60.2005.07.01.BKF Eine Sicherung von DC1 vom 1.7.2005 bleibt bis zum 29.8.2005 gültig. Für die nächsten 60 Tage können Sie die Sicherung zur Werderherstellung nutzen. Anforderungen Um die unten beschriebenen Aufgaben ausführen zu können, sind die folgenden Tools notwendig: | • | Sicherungs- und Wiederherstellungsassistenten (Ntbackup) | | • | Bandlaufwerk oder ein anderes Sicherungsmedium |
Abhängig von Ihren Anforderungen müssen Sie die folgenden Schritte ausführen: | • | "Sicherung des Systemstatus" | | • | "Sicherung des Systemstatus" und des Systemvolumens |
Siehe auchInstallation eines Domänencontrollers in einer bestehenden Domäne mithilfe von Sicherungsmedien Hinzufügen von Domäencontrollern an Remotestandorten Sicherung des SystemstatusWenn Sie den Systemstatus mit Ntbackup.exe sichern, können Sie die geschützten Systemdateien mit sichern oder nicht. Diese Dateien sind für eine Installation mithilfe einer wiederhergestellten Sicherung nicht notwendig - in diesem Fall können Sie die Option deaktivieren. Sie verkleinern so die Größe der Sicherungsdatei und verringern den notwendigen Zeitaufwand. Mit den folgenden Verfahren können Sie nur den Systemstatus sichern. Das Systemvolumen oder andere Daten auf dem Domänencontroller werden nicht berücksichtigt. Mit dem ersten Verfahren, "Sicherung des Systemstatus inklusive der geschützten Systemdateien", können Sie Routinesicherungen des Systemstatus durchführen. Mit dem zweiten Verfahren, "Sicherung des Systemstatus exklusive der geschützten Systemdateien", können Sie eine kleinere Sicherung durchführen, die zur Installation von Domänencontrollern über Sicherungsmedien verwendet werden kann. Anmerkung Um den Systemstatus sichern zu können, müssen Sie als lokaler Administrator am Domänencontroller angemeldet sein. Alternativ muss der Remotedesktop aktiviert sein. Administrative Berechtigungen Um die folgenden Verfahren ausführen zu können, müssen Sie Mitglied der Gruppe Domänen-Admins oder Sicherungsoperatoren sein. "Sicherung des Systemstatus" inklusive der geschützten Systemdateien 1. | Klicken Sie auf Start, klicken Sie auf Ausführen, geben Sie ntbackup ein, und klicken Sie dann auf OK.
In diesem Verfahren verwenden Sie den Assistentenmodus. Standardmäßig ist die Option Immer im Assistentenmodus starten im Sicherungs- und Wiederherstellungsassistenten aktiviert. Klicken Sie andernfalls auf Assistentenmodus. | 2. | Klicken Sie auf Weiter. | 3. | Klicken Sie auf Dateien und Einstellungen sichern, und klicken Sie dann auf Weiter. | 4. | Klicken Sie auf Elemente für die Sicherung selbst auswählen, und klicken Sie dann auf Weiter. | 5. | Klicken Sie doppelt auf Arbeitsplatz. | 6. | Klicken Sie auf Systemstatus, und klicken Sie dann auf Weiter. | 7. | Wählen Sie einen Speicherort für die Sicherung aus:
Anmerkung
Sie sollten die Sicherung nicht auf einer lokalen Festplatte speichern. | 8. | Geben Sie einen Namen ein. Halten Sie sich an die Empfehlungen aus dem Abschnitt "Sichern von Active Directory-Komponenten", und klicken Sie dann auf Weiter. | 9. | Klicken Sie auf Erweitert. | 10. | Klicken Sie auf Weiter. | 11. | Aktivieren Sie Daten nach der Sicherung prüfen, und klicken Sie dann auf Weiter. | 12. | Wählen Sie eine der Optionen aus, und klicken Sie dann auf Weiter. | 13. | Wenn Sie bestehende Sicherungen ersetzen, wählen Sie die Option, mit der nur dem Besitzer und dem Administrator Zugriff auf die Sicherungsdaten gewährt wird. Klicken Sie dann auf Weiter. | 14. | Wählen Sie eine für Sie passende Option aus, und klicken Sie dann auf Weiter. | 15. | Klicken Sie auf Fertigstellen.
Anmerkung
Sie können Ntbackup auch über die Eingabeaufforderung nutzen. Weitere Informationen erhalten Sie mit dem Befehl ntbackup /?. |
"Sicherung des Systemstatus" exklusive der geschützten Systemdateien 1. | Klicken Sie auf Start, klicken Sie auf Ausführen, geben Sie ntbackup ein, und klicken Sie dann auf OK. | 2. | Klicken Sie auf Erweiterter Modus, und klicken Sie dann auf die Registerkarte Sichern. | 3. | Wählen Sie Systemstatus aus. | 4. | Geben Sie einen Namen ein. Halten Sie sich an die Empfehlungen aus dem Abschnitt "Sichern von Active Directory-Komponenten", und klicken Sie dann auf Weiter. | 5. | Klicken Sie auf Sicherung starten, und klicken Sie dann auf Erweitert. | 6. | Deaktivieren Sie Geschützte Systemdateien automatisch mit dem Systemstatus sichern, und klicken Sie dann auf OK. | 7. | Klicken Sie auf Sicherung starten. |
Siehe auchAktivieren von Remotedesktop" Erstellen einer Remotedesktopverbindung" Sicherung des Systemstatus" und des Systemvolumens Mit diesem Verfahren können Sie den Systemstatus und das Systemvolumen sichern. Anmerkung Sie müssen lokal am Domänencontroller angemeldet sein. Alternativ muss Remotedesktop aktiviert sein. Administrative Berechtigungen Sie müssen Mitglied der Gruppe Domänen-Admins oder der Gruppe Sicherungsoperatoren sein. "Sicherung des Systemstatus" und des Systemvolumens 1. | Klicken Sie auf Start, klicken Sie auf Ausführen, geben Sie ntbackup ein, und klicken Sie dann auf OK. | 2. | Klicken Sie auf Sicherungs-Assistent (Erweitert). | 3. | Klicken Sie auf Weiter. | 4. | Klicken Sie auf Ausgewählte Dateien, Laufwerke oder Netzwerkdateien sichern, und klicken Sie dann auf Weiter. | 5. | Klicken Sie auf Systemstatus. Markieren Sie außerdem das Laufwerk mit den Systemdateien, und klicken Sie dann auf Weiter. | 6. | Wählen Sie einen Speicherort für die Sicherung aus: Anmerkung
Sie sollten die Sicherung nicht auf einer lokalen Festplatte speichern. | 7. | Klicken Sie auf Erweitert. | 8. | Klicken Sie auf Weiter. | 9. | Aktivieren Sie Daten nach der Sicherung prüfen, und klicken Sie dann auf Weiter. | 10. | Wählen Sie eine der Optionen aus, und klicken Sie dann auf Weiter. | 11. | Wenn Sie bestehende Sicherungen ersetzen, wählen Sie die Option, mit der nur dem Besitzer und dem Administrator Zugriff auf die Sicherungsdaten gewährt wird. Klicken Sie dann auf Weiter. | 12. | Wählen Sie eine für Sie passende Option aus, und klicken Sie dann auf Weiter. | 13. | Klicken Sie auf Fertigstellen. |
Siehe auchAktivieren von Remotedesktop" Erstellen einer Remotedesktopverbindung" Durchführen einer nicht autorisierenden Wiederherstellung eines DomänencontrollersDie nicht autorisierende Wiederherstellung ist das Standardverfahren zur Wiederherstellung von Active Directory. Um sie durchführen zu können, müssen Sie in der Lage sein, den Domänencontroller im Verzeichnisdienstwiederherstellungsmodus zu starten. Nachdem Sie den Domänencontroller wiederhergestellt haben, wird das Active Directory über die normale Replikation aktualisiert. Eine nicht autorisierende Wiederherstellung versetzt den Domänencontroller in den Status, den er zum Zeitpunkt der Sicherung hatte, und überschreibt diesen Status dann mit allen seit diesem Zeitpunkt erfolgten Änderungen. Wenn Sie gelöschte Objekte wiederherstellen möchten, sollten sie hingegen eine autorisierende Wiederherstellung durchführen. Anmerkung Durch eine nicht autorisierende Wiederherstellung wird auch automatisch eine nicht autorisierende Wiederherstellung von SYSVOL durchgeführt. Anforderungen Um die unten beschriebene Aufgabe ausführen zu können, sind die folgenden Tools erforderlich: Um diese Aufgabe auszuführen, sind die folgenden Schritte erforderlich: 1. | Starten Sie den Domänencontroller mit einem der folgenden Verfahren im Verzeichnisdienstwiederherstellungsmodus: | • | "Lokaler Neustart des Domänencontrollers im Verzeichnisdienstwiederherstellungsmodus" | | • | "Neustart des Domänencontrollers im Verzeichnisdienstwiederherstellungsmodus von einem Remotestandort aus" |
Anmerkung
Wenn Sie das Betriebssystem wiederherstellen müssen, brauchen Sie keine nicht autorisierende Wiederherstellung im Verzeichnisdienstwiederherstellungsmodus durchführen. Sie können die Wiederherstellung in diesem Fall nach einem normalen Systemstart durchführen. | 2. | "Wiederherstellung mithilfe eines Sicherungsmediums" | 3. | "Überprüfen der Active Directory-Wiederherstellung" |
Siehe auchDurchführen einer autorisierenden Wiederherstellung von Active Directory-Objekten" Aktivieren von Remotedesktop" Erstellen einer Remotedesktopverbindung" Lokaler Neustart des Domänencontrollers im VerzeichnisdienstwiederherstellungsmodusWenn Sie physischen Zugriff auf den Domänecontroller haben, können Sie diesen lokal im Verzeichnisdienstwiederherstellungsmodus starten. Im Verzeichnisdienstwiederherstellungsmodus wird das lokale Administratorkonto über die Security Accounts Manager-Datenbank (SAM) überprüft. Daher benötigen Sie das Wiederherstellungskennwort - nicht das normale Administratorkennwort. Administrative Berechtigungen Um dieses Verfahren durchführen zu können, benötigen Sie das Verzeichnisdienstwiederherstellungskennwort. "Lokaler Neustart des Domänencontrollers im Verzeichnisdienstwiederherstellungsmodus" 1. | Starten Sie den Domänencontroller neu. | 2. | Wenn die Betriebssystemauswahl angezeigt wird, drücken Sie F8. | 3. | Wählen Sie unter Erweiterte Optionen die Option Verzeichnisdienstwiederherstellungsmodus. | 4. | Melden Sie sich als lokaler Administrator an. |
Siehe auch"Neustart des Domänencontrollers im Verzeichnisdienstwiederherstellungsmodus von einem Remotestandort aus" Neustart des Domänencontrollers im Verzeichnisdienstwiederherstellungsmodus von einem Remotestandort ausWenn Remotedesktop auf dem Domänencontroller aktiviert ist, können Sie eine Remotedesktopverbindung nutzen. Mit einer Remotedesktopverbindung müssen Sie zuerst die Datei Boot.ini bearbeiten, bevor Sie den Domänencontroller remote im Verzeichniswiederherstellungsmodus starten können - ansonsten verlieren Sie beim Neustart die Verbindung zum Domänencontroller. Zum Start im Verzeichnisdienstwiederherstellungsmodus sind das lokale Administratorkonto und das Wiederherstellungskennwort notwendig. Dieses wird von der lokalen SAM authentifiziert. Administrative Berechtigungen Um dieses Verfahren durchführen zu können, müssen Sie das Administratorkennwort für den Verzeichnisdienstwiederherstellungsmodus kennen. "Neustart des Domänencontrollers im Verzeichnisdienstwiederherstellungsmodus von einem Remotestandort aus" 1. | Verbinden Sie sich über eine Remotedesktopverbindung mit dem Domänencontroller. | 2. | Klicken Sie mit rechts auf Arbeitsplatz, klicken Sie auf Eigenschaften, und klicken Sie dann auf die Registerkarte Erweitert. | 3. | Klicken Sie unter Starten und Wiederherstellen auf Einstellungen. | 4. | Klicken Sie auf Bearbeiten. | 5. | Erweitern Sie den Standardeintrag um /SAFEBOOT:DSREPAIR: multi(0)disk(0)rdisk(0)partition(2)\WINNT=”IhrServerName” /fastdetect /SAFEBOOT:DSREPAIR
Anmerkung
/SAFEBOOT:DSREPAIR kann für Windows 2000 Server und Windows Server 2003 verwendet werden. | 6. | Speichern Sie die Datei. | 7. | Starten Sie den Server neu. | 8. | Verbinden Sie sich neu mit dem Server. | 9. | Melden Sie sich als lokaler Administrator an. | 10. | Klicken Sie mit rechts auf Arbeitsplatz, klicken Sie auf Eigenschaften, und klicken Sie dann auf die Registerkarte Erweitert. | 11. | Klicken Sie unter Starten und Wiederherstellen auf Einstellungen. | 12. | Klicken Sie auf Bearbeiten. | 13. | Löschen Sie die Option /SAFEBOOT:DSREPAIR wieder. |
Siehe auchAktivieren von Remotedesktop" Erstellen einer Remotedesktopverbindung" Lokaler Neustart des Domänencontrollers im Verzeichnisdienstwiederherstellungsmodus" Wiederherstellung mithilfe eines SicherungsmediumsAnmerkung Zur Wiederherstellung müssen Sie sich lokal am Domänencontroller oder über eine Remotedesktopverbindung anmelden. Administrative Berechtigungen Um dieses Verfahren durchführen zu können, müssen Sie das Administratorkennwort für den Verzeichnisdienstwiederherstellungsmodus kennen. "Wiederherstellung mithilfe eines Sicherungsmediums" 1. | Starten Sie den Computer im Verzeichnisdienstwiederherstellungsmodus. | 2. | Klicken Sie auf Start, klicken Sie auf Ausführen, geben Sie ntbackup ein, und klicken Sie dann auf OK.
In diesem Verfahren verwenden Sie den Assistentenmodus. Standardmäßig ist die Option Immer im Assistentenmodus starten im Sicherungs- und Wiederherstellungsassistenten aktiviert. Klicken Sie andernfalls auf Assistentenmodus. | 3. | Klicken Sie auf Weiter. | 4. | Klicken Sie auf Dateien und Einstellungen wiederherstellen, und klicken Sie dann auf Weiter. | 5. | Klicken Sie auf Systemstatus, und klicken Sie dann auf Weiter. | 6. | Klicken Sie auf Erweitert. | 7. | Klicken Sie auf Ursprünglicher Bereich, und klicken Sie dann auf Weiter. | 8. | Klicken Sie auf Vorhandene Dateien beibehalten (empfohlen), und klicken Sie dann auf Weiter. | 9. | Wählen Sie die folgenden Optionen aus, und klicken Sie dann auf Weiter: | • | Sicherheitseinstellungen wiederherstellen | | • | Nur Abzweigungspunkte wiederherstellen, nicht die Ordner und Dateidaten, auf die verwiesen wird | | • | Vorhandene Bereitstellungspunkte beibehalten |
| 10. | Für eine primäre Wiederherstellung von SYSVOL müssen Sie außerdem die folgende Option auswählen: Die wiederhergestellten Daten bei einer Wiederherstellung von Replikationssätzen als primäre Dateien für alle Replikate markieren.
Eine primäre Wiederherstellung ist dann notwendig, wenn der Domänencontroller der einzige Domänencontroller der Domäne ist. | 11. | Klicken Sie auf Fertigstellen. | 12. | Führen Sie nach der Wiederherstellung eine der folgenden Aufgaben aus: | • | Wenn Sie keine Objekte autorisierend wiederherstellen möchten, klicken Sie auf Ja und starten Sie den Computer neu. | | • | Wenn sie Objekte autorisierend wiederherstellen möchten, klicken Sie auf Nein und führen Sie die Aufgabe "Durchführen einer autorisierenden Wiederherstellung von Active Directory-Objekten" aus. |
|
Siehe auchLokaler Neustart des Domänencontrollers im Verzeichnisdienstwiederherstellungsmodus" Aktivieren von Remotedesktop" Erstellen einer Remotedesktopverbindung" Neustart des Domänencontrollers im Verzeichnisdienstwiederherstellungsmodus von einem Remotestandort aus" Wiederherstellen des Systemstatus an einem anderen Speicherort" Durchführen einer autorisierenden Wiederherstellung von Active Directory-Objekten" Überprüfen der Active Directory-WiederherstellungNach einer Wiederherstellung sollten Sie diese überprüfen. Administrative Berechtigungen Um dieses Verfahren ausführen zu können, müssen Sie Mitglied der Gruppe Domänen-Admins sein. "Überprüfen der Active Directory-Wiederherstellung" 1. | Starten Sie den Domänencontroller im normalen Modus. Es wird daraufhin automatisch eine Integritätsprüfung und eine Neuindizierung der Datenbank durchgeführt. | 2. | Prüfen Sie nach der Anmeldung, ob alle Objekte in Active Directory vorhanden sind. |
Durchführen einer autorisierenden Wiederherstellung von Active Directory-ObjektenEine autorisierende Wiederherstellung versetzt die entsprechenden Objekte oder Container in den Status, den diese zum Zeitpunkt der Sicherung gehabt haben. Sie können eine autorisierende Wiederherstellung zum Beispiel dann durchführen, wenn versehentlich eine OU und eine größere Anzahl von Benutzern gelöscht wurden. Mit einer nicht autorisierenden Wiederherstellung ist keine Wiederherstellung von gelöschten Objekten möglich. Dies liegt daran, dass die wiederhergestellten Objekte in diesem Fall nach der Wiederherstellung mit den seit der Sicherung aufgetretenen Änderungen (zum Beispiel der Löschung) aktualisiert wurden. Wenn Sie Objekte für eine autorisierende Wiederherstellung markieren, wird deren Versionsnummer so weit erhöht, dass diese größer ist als die Versionsnummer des aktuellen (gelöschten) Objektes. Diese Änderung führt dazu, dass die so wiederhergestellten Daten repliziert und die vorhandenen Daten überschrieben werden. Eine autorisierende Wiederherstellung sollte nicht zur Wiederherstellung eines ganzen Domänencontrollers oder als Teil einer Änderung der Infrastruktur verwendet werden. Wiederherstellung von Gruppenmitgliedschaften nach einer autorisierende WiederherstellungWenn ein Benutzerobjekt versehentlich gelöscht wurde, können Sie es mit einer autorisierenden Wiederherstellung wiederherstellen. Es kann allerdings sein, dass die Gruppenmitgliedschaften des Benutzers mit diesem Verfahren nicht wiederhergestellt werden - dies hängt von der Funktionsebene der Gesamtstruktur und vom Zeitpunkt der Erstellung der Gruppe, der der Benutzer angehört, ab. LVR und die Wiederherstellung von GruppenmitgliedschaftenDie Wiederherstellung von Gruppenmitgliedschaften hängt davon ab, ob die Gruppe vor oder nach der Implementierung einer Windows Server 2003-Funktionalität mit dem Namen LVR (Linked-Value Replication) erstellt wurde. LVR ist ein Feature, das erst zur Verfügung steht, wenn die Funktionsebene der Gesamtstruktur Windows Server 2003-interim oder Windows Server 2003 ist. Bei Gruppen, die vorher erstellt wurden, wird das Mitglieder-Attribut als Einzelwert repliziert. Daher führt jede Änderung der Gruppenmitgliedschaften zu einer Replikation des gesamten Attributes. In den Gruppen, die mit LVR erstellt wurden, werden Aktualisierungen des Gruppenmitglieder-Attributes einzeln repliziert. Dies führt dazu, dass bei einer autorisierenden Wiederherstellung auch die Gruppenmitgliedschaften wiederhergestellt werden. Das Attribut memberOf (forward-link) verweist nur auf das member-Attribut (backward-link). Daher ist es für eine Wiederherstellung der Gruppenmitgliedschaften notwendig, das member-Attribut der jeweiligen Gruppe zu aktualisieren. Anmerkung Nur forward-link-Attributwerte können aktualisiert und repliziert werden. Back-link-Attributwerte werden nur generiert, wenn auf sie zugegriffen wird. Sie werden nicht gespeichert. Die Version von Ntdsutil, die mit Windows Server 2003 Service Pack 1 (SP1) zur Verfügung stellt wird verfügt über weiter verfeinerte Möglichkeiten zur Wiederherstellung von Gruppenmitgliedschaften, die vor der Nutzung von LVR erstellt wurden. Verbesserung der autorisierenden Wiederherstellung unter Windows Server 2003 SP1Unter Windows Server 2003 mit SP1 erstellt Ntdsutil jetzt eine Textdatei mit den autorisierend wiederhergestellten Objekten und nutzt diese Datei, um eine LDIF-Datei zu erstellen. Diese Datei kann dann dazu genutzt werden, alle back-links der wiederhergestellten Objekte zu erneuern. Sie müssen diesen Vorgang in jeder Domäne Ihrer Gesamtstruktur durchführen. Sie beginnen eine autorisierende Wiederherstellung immer mit einer nicht autorisierenden Wiederherstellung von einem Sicherungsmedium. Dann führen Sie die zusätzlich für die autorisierende Wiederherstellung erforderlichen Schritte aus und stellen, wenn notwendig, die Gruppenmitgliedschaften wieder her. Verfahren für Domänencontroller unter Windows Server 2003 SP1Dieses Verfahren schließt das Erstellen eine LDIF-Datei zur Wiederherstellung von Gruppenmitgliedschaften mit ein. Anforderungen Um die unten beschriebenen Aufgaben ausführen zu können, sind die folgenden Tools notwendig: | • | Ntbackup.exe | | • | Ntdsutil.exe | | • | Repadmin.exe |
1. | "Wiederherstellung mithilfe eines Sicherungsmediums"
Stellen Sie den Systemstatus wieder her. Damit keine Replikation durchgeführt wird, klicken Sie zum Schluss auf Nein und vermeiden den Neustart. | 2. | "Markieren von Objekten als autorisierend"
Markieren Sie die entsprechenden Objekte so, dass diese nicht von der Replikation überschrieben werden. | 3. | Starten Sie den Domänencontroller neu. | 4. | "Synchronisation der Replikation mit allen Partnern"
Damit die wiederhergestellten Objekte für alle Domänencontroller zur Verfügung stehen, muss eine Replikation durchgeführt werden.
Stellen Sie sicher, dass alle Domänencontroller der Domäne und alle globalen Katalog Server der Gesamtstruktur die wiederhergestellten Objekte erhalten haben. | 5. | Mit dem folgenden Verfahren führen Sie die in Schritt zwei erstellte LDIF-Datei auf dem Domänencontroller aus und fügen die fehlenden Gruppenmitgliedschaften für diese Domäne hinzu.
Ausführen eine LDIF-Datei zur Wiederherstellung von Back-Links | 6. | Wenn Sie Benutzer- oder Gruppenobjekte in einer Gesamtstruktur mit mehr als einer Domäne wiederherstellen, führen Sie die folgenden Schritte auf einem Domänencontroller einer anderen Domäne aus: 1. | "Lokaler Neustart des Domänencontrollers im Verzeichnisdienstwiederherstellungsmodus" | 2. | "Wiederherstellung mithilfe eines Sicherungsmediums" | 3. | Im Verzeichnisdienstwiederherstellungsmodus nutzen Sie Ntdsutil, um das Verfahren "Erstellen einer LDIF-Datei zur Wiederherstellung von Back-Links" auszuführen. | 4. | Starten Sie den Domänencontroller normal. | 5. | Führen Sie die Aufgabe Ausführen eine LDIF-Datei zur Wiederherstellung von Back-Links auf einem anderen Domänencontroller als dem, auf dem Sie die LDIF-Datei erstellt haben, aus. |
| 7. | Wiederholen Sie Schritt 6 für jede weitere Domäne. |
Verfahren für Domänencontroller unter Windows Server 2003 ohne Service PackAnmerkung Wenn zu den gelöschten Objekten keine Gruppen gehören, können Sie die Schritte 3 bis 10 überspringen. Sollte es in den gelöschten Gruppen nur Objekte geben, die ebenfalls gelöscht wurden, können Sie die Schritte ebenfalls überspringen. 1. | "Wiederherstellung mithilfe eines Sicherungsmediums"
Stellen Sie den Systemstatus wieder her. Damit keine Replikation durchgeführt wird, klicken Sie zum Schluss auf Nein und vermeiden den Neustart. | 2. | "Markieren von Objekten als autorisierend"
Markieren Sie die entsprechenden Objekte so, dass diese nicht von der Replikation überschrieben werden. | 3. | Starten Sie den Computer normal, aber isoliert. Sie haben so die Möglichkeit, die Replikation so zu steuern, dass die wiederhergestellten Objekte nicht durch eine eingehende Replikation aktualisiert werden, bevor eine ausgehende Replikation durchgeführt werden konnte.
Am einfachsten ist es, den Domänencontroller physisch vom Netzwerk zu trennen.
Es ist wichtig, die Kommunikation mit allen anderen Domänencontrollern zu unterbinden. Außerdem sollte der Domänencontroller von allen Clients isoliert werden, die möglicherweise Änderungen an Objekten vornehmen könnten. | 4. | "Deaktivieren der eingehenden Replikation"
Dieser Schritt ist nur dann notwendig, wenn die Domäne oder Gesamtstruktur in der Funktionsebene Windows 2000-pur oder einer untergeordneten Funktionsebene arbeitet. | 5. | Verbinden Sie den Computer wieder mit dem Netzwerk. | 6. | "Synchronisation der Replikation mit allen Partnern"
Damit die wiederhergestellten Objekte auf allen Domänencontroller zur Verfügung stehen, muss eine Replikation stattfinden. | 7. | "Lokaler Neustart des Domänencontrollers im Verzeichnisdienstwiederherstellungsmodus" | 8. | "Markieren von Objekten als autorisierend"
Eines der Probleme beim Wiederherstellen von Objekten und den Gruppenmitgliedschaften ist die Tatsache, dass Mitgliedschaften und Objekte in unterschiedlicher Reihenfolge repliziert werden können. Wenn eine Mitgliedschaft vor dem wiederhergestellten Benutzer repliziert wird, aktualisiert der Domänencontroller diese nicht - denn der Benutzer ist ja nicht vorhanden. Um diesen Effekt zu beheben ist es notwendig, die wiederhergestellten Objekte nach der Replikation ein zweites Mal als autorisierend zu markieren. | 9. | Starten sie den Computer normal. | 10. | "Aktivieren der eingehenden Replikation" |
Wiederherstellung mithilfe eines SicherungsmediumsAnmerkung Zur Wiederherstellung müssen Sie sich lokal am Domänencontroller oder über eine Remotedesktopverbindung anmelden. Administrative Berechtigungen Um dieses Verfahren durchführen zu können, müssen Sie das Administratorkennwort für den Verzeichnisdienstwiederherstellungsmodus kennen. "Wiederherstellung mithilfe eines Sicherungsmediums" 1. | Starten Sie den Computer im Verzeichnisdienstwiederherstellungsmodus. | 2. | Klicken Sie auf Start, klicken Sie auf Ausführen, geben Sie ntbackup ein, und klicken Sie dann auf OK.
In diesem Verfahren verwenden Sie den Assistentenmodus. Standardmäßig ist die Option Immer im Assistentenmodus starten im Sicherungs- und Wiederherstellungsassistenten aktiviert. Klicken Sie andernfalls auf Assistentenmodus. | 3. | Klicken Sie auf Weiter. | 4. | Klicken Sie auf Dateien und Einstellungen wiederherstellen, und klicken Sie dann auf Weiter. | 5. | Klicken Sie auf Systemstatus, und klicken Sie dann auf Weiter. | 6. | Klicken Sie auf Erweitert. | 7. | Klicken Sie auf Ursprünglicher Bereich, und klicken Sie dann auf Weiter. | 8. | Klicken Sie auf Vorhandene Dateien beibehalten (empfohlen), und klicken Sie dann auf Weiter. | 9. | Wählen Sie die folgenden Optionen aus, und klicken Sie dann auf Weiter: | • | Sicherheitseinstellungen wiederherstellen | | • | Nur Abzweigungspunkte wiederherstellen, nicht die Ordner und Dateidaten, auf die verwiesen wird | | • | Vorhandene Bereitstellungspunkte beibehalten |
| 10. | Für eine primäre Wiederherstellung von SYSVOL müssen Sie außerdem die folgende Option auswählen: Die wiederhergestellten Daten bei einer Wiederherstellung von Replikationssätzen als primäre Dateien für alle Replikate markieren.
Eine primäre Wiederherstellung ist dann notwendig, wenn der Domänencontroller der einzige Domänencontroller der Domäne ist. | 11. | Klicken Sie auf Fertigstellen. | 12. | Führen Sie nach der Wiederherstellung eine der folgenden Aufgaben aus: | • | Wenn Sie keine Objekte autorisierend wiederherstellen möchten, klicken Sie auf Ja und starten Sie den Computer neu. | | • | Wenn sie Objekte autorisierend wiederherstellen möchten, klicken Sie auf Nein und führen Sie die Aufgabe "Durchführen einer autorisierenden Wiederherstellung von Active Directory-Objekten" aus |
|
Siehe auchLokaler Neustart des Domänencontrollers im Verzeichnisdienstwiederherstellungsmodus" Aktivieren von Remotedesktop" Erstellen einer Remotedesktopverbindung" Neustart des Domänencontrollers im Verzeichnisdienstwiederherstellungsmodus von einem Remotestandort aus" Wiederherstellen des Systemstatus an einem anderen Speicherort" Durchführen einer autorisierenden Wiederherstellung von Active Directory-Objekten" Markieren von Objekten als autorisierendMit diesem Verfahren wählen Sie aus, welche Objekte als autorisierend markiert werden. Administrative Berechtigungen Um dieses Verfahren durchführen zu können, müssen Sie das Administratorkennwort für den Verzeichnisdienstwiederherstellungsmodus kennen. "Markieren von Objekten als autorisierend" 1. | Klicken Sie im Verzeichnisdienstwiederherstellungsmodus auf Start, klicken Sie auf Ausführen, geben Sie ntdsutil ein, und drücken Sie die EINGABETASTE. | 2. | Geben Sie authoritative restore ein, und drücken Sie die EINGABETASTE. | 3. | Geben Sie einen der folgenden Befehle ein, und drücken Sie die EINGABETASTE:
Um einen Container und die Untercontainer wiederherzustellen (zum Beispiel eine OU und alle Objekte in der OU): restore subtree DistinguishedName
Um ein einzelnes Objekte wiederherzustellen: restore object DistinguishedName | 4. | Klicken Sie auf Ja.
Wenn Sie zum Beispiel eine gelöschte OU mit dem Namen Marketing NorthAm in der Domäne corp.contoso.com wiederherstellen möchten, lautet der Befehl: restore subtree “OU=Marketing NorthAm,DC=corp,DC=contoso,DC=com”
Ntdsutil versucht, die Objekte zu markieren. Wenn Fehler auftreten, liegt dies meistens an einem falsch geschriebenen DN.
Unter Windows Server 2003 Service Pack 1 (SP1) zeigt Ntdsutil an, ob es wiederherzustellende Back-Links gibt. Wenn dies der Fall ist, erstellt Ntdsutil Dateien, mit denen diese wiederhergestellt werden können.
Die entsprechende Ausgabe unter Windows Server 2003 SP1 sieht zum Beispiel so aus:
Successfully updated 3 records.
The following text file with a list of authoritatively restored
objects has been created in the current working directory:
ar_20050209-091249_objects.txt
One or more specified objects have back-links in this domain. The
following LDIF files with link restore operations have been created
in the current working directory:
ar_20050209-091249_links_Test1.com.ldf
Authoritative Restore completed successfully. | 5. | Merken Sie sich die Speicherorte der Daten. Sie benötigen sie zur Wiederherstellung der Back-Links. Mit der txt-Datei können Sie LDIF-Dateien erstellen, mit denen Sie die Back-Links für andere Domänen wiederherstellen können. | 6. | Geben Sie zweimal quit ein. | 7. | Starten Sie den Domänencontroller im normalen Modus: | • | Bei einem Domänencontroller unter Windows Server 2003 ohne Service Pack trennen Sie diesen vom Netzwerk, und starten Sie ihn normal. Gehen Sie nach den Anweisungen aus dem Abschnitt "Durchführen einer autorisierenden Wiederherstellung von Active Directory-Objekten" vor. | | • | bBei einem Domänencontroller unter Windows Server 2003 mit SP1 starten Sie diesen normal, und gehen Sie nach den Anweisungen im Abschnitt "Durchführen einer autorisierenden Wiederherstellung von Active Directory-Objekten" vor |
|
Synchronisation der Replikation mit allen PartnernAdministrative Berechtigungen Um dieses Verfahrung durchführen zu können, müssen Sie Mitglied der Gruppe Domänen-Admins in der Domäne des entsprechenden Domänencontrollers oder der Gruppe Organisations-Admins sein. Wenn Sie die Schema- und Konfigurationspartition synchronisieren möchten, müssen Sie Domänen-Admin in der Stammdomäne oder Organisations-Admin sein. "Synchronisation der Replikation mit allen Partnern" 1. | Geben Sie den folgenden Befehl ein, und drücken Sie dann die EINGABETASTE: | 2. | repadmin /syncall DCName /e /d /A /P /q DCName | DNS-Name des Domänencontrollers, der mit allen Partnern synchronisiert werden soll. | /e | Alle Partner | /d | Identifiziert Server über DNs. | /A | Alle. Synchronisiert alle Partitionen auf dem Server. | /P | Repliziert Änderungen vom Server. | /q | Stiller Modus. Ausführen ohne Rückmeldungen. |
| 3. | Prüfen Sie, ob es Replikationsfehler gibt. |
Siehe auchÜberprüfen der erfolgreichen Replikation mit einem anderen Domänencontroller" Ausführen einer LDIF-Datei zur Wiederherstellung von Back-LinksMit der autorisierenden Wiederherstellung wird mit SP1 eine LDIF-Datei ausgegeben, mit der die Back-Links aktualisiert werden können. Sie müssen für jedes wiederherzustellende Objekt die LDIF-Datei auf einem Domänencontroller in jeder Domäne, in denen es Gruppen gibt in denen das Objekt Mitglied ist ausführen. Anmerkung Dieses Verfahren ist nur für Benutzer-, Gruppen- und Computerobjekte wichtig - trotzdem wirkt es sich auf alle wiederhergestellten Objekte aus, die über Back-Link-Attribute verfügen. Administrative Berechtigungen Um dieses Verfahrung durchführen zu können, müssen Sie Mitglied der Gruppe Domänen-Admins in der Domäne des Domänencontrollers sein, auf dem Sie die Befehle ausführen. "Ausführen einer LDIF-Datei zur Wiederherstellung von Back-Links" 1. | Öffnen Sie eine Eingabeaufforderung, und wechseln Sie in das Verzeichnis mit der LDIF-Datei. | 2. | Geben Sie den folgenden Befehl ein, und drücken Sie dann die EINGABETASTE: ldifde -i -k -f Dateiname Dateiname
Name der LDIF-Datei. Beispiel: ar_20050609-174604_links_corp.contoso.com.ldf |
Siehe auchErstellen einer LDIF-Datei zur Wiederherstellung von Back-Links" Lokaler Neustart des Domänencontrollers im VerzeichnisdienstwiederherstellungsmodusWenn Sie physischen Zugriff auf den Domänecontroller haben, können Sie diesen lokal im Verzeichnisdienstwiederherstellungsmodus starten. Im Verzeichnisdienstwiederherstellungsmodus wird das lokale Administratorkonto über die Security Accounts Manager-Datenbank (SAM) überprüft. Daher benötigen Sie das Wiederherstellungskennwort - nicht das normale Administratorkennwort. Administrative Berechtigungen Um dieses Verfahren durchführen zu können, benötigen Sie das Verzeichnisdienstwiederherstellungskennwort. "Lokaler Neustart des Domänencontrollers im Verzeichnisdienstwiederherstellungsmodus" 1. | Starten Sie den Domänencontroller neu. | 2. | Wenn die Betriebssystemauswahl angezeigt wird, drücken Sie F8. | 3. | Wählen Sie unter Erweiterte Optionen die Option Verzeichnisdienstwiederherstellungsmodus. | 4. | Melden Sie sich als lokaler Administrator an. |
Siehe auch"Neustart des Domänencontrollers im Verzeichnisdienstwiederherstellungsmodus von einem Remotestandort aus" Erstellen einer LDIF-Datei zur Wiederherstellung von Back-LinksMit dem folgenden Verfahren können Sie eine LDIF-Datei zur Wiederherstellung der Back-Links erstellen. Führen Sie das Verfahren auf einem Domänencontroller der Domäne mit den Back-Links aus. Bevor Sie das Verfahren ausführen, muss folgendes erledigt sein: | • | Kopieren Sie die txt-Datei, die Ntdsutil erstellt hat, auf diesen Domänencontroller oder in eine Freigabe. | | • | Stellen Sie den Domänencontroller vom Sicherungsmedium wieder her. |
Führen Sie dieses Verfahren aus, wenn der Domänencontroller noch im Verzeichnisdienstwiederherstellungsmodus ist. Administrative Berechtigungen Sie benötigen das Administratorkennwort für den Verzeichnisdienstwiederherstellungsmodus. "Erstellen einer LDIF-Datei zur Wiederherstellung von Back-Links" 1. | Im Verzeichnisdienstwiederherstellungsmodus klicken Sie auf Start, klicken Sie auf Ausführen, geben Sie ntdsutil ein, und drücken Sie die EINGABETASTE. | 2. | Geben Sie authoritative restore ein, und drücken Sie die EINGABETASTE. | 3. | Geben Sie den folgenden Befehl ein, und drücken Sie dann die EINGABETASTE: create ldif files from TextFilePath
TextFilePath ist der Speicherort der txt-Datei, die von Ntdsutil erstellt wurde. | 4. | Geben Sie quit ein. |
Siehe auchWiederherstellung mithilfe eines Sicherungsmediums" Ausführen eine LDIF-Datei zur Wiederherstellung von Back-Links Deaktivieren der eingehenden ReplikationAdministrative Berechtigungen Um dieses Verfahrung durchführen zu können, müssen Sie Mitglied der Gruppe Domänen-Admins in der Domäne des Domänencontroller sein, dessen Replikation Sie deaktivieren möchten, oder der Gruppe Organisations-Admins sein. "Deaktivieren der eingehenden Replikation" 1. | Öffnen Sie eine Eingabeaufforderung. | 2. | Geben Sie den folgenden Befehl ein, und drücken Sie dann die EINGABETASTE: repadmin /options ServerName +DISABLE_INBOUND_REPL
ServerName ist der NetBIOS des Domänencontrollers. | 3. | Prüfen Sie, ob die Option aktiviert ist. Es muss die folgende Ausgabe angezeigt werden: New DC Options: DISABLE_INBOUND_REPL |
Siehe auchAktivieren der eingehenden Replikation" Aktivieren der eingehenden ReplikationAdministrative Berechtigungen Um dieses Verfahrung durchführen zu können, müssen Sie Mitglied der Gruppe Domänen-Admins in der Domäne des Domänencontroller sein, dessen Replikation Sie aktivieren möchten, oder der Gruppe Organisations-Admins sein. "Aktivieren der eingehenden Replikation" 1. | Öffnen Sie eine Eingabeaufforderung. | 2. | Geben Sie den folgenden Befehl ein, und drücken Sie dann die EINGABETASTE: repadmin /options ServerName -DISABLE_INBOUND_REPL
ServerName ist der NetBIOS des Domänencontrollers. | 3. | Prüfen Sie, ob die Option aktiviert ist. Es muss die folgende Ausgabe angezeigt werden: Current DC options: DISABLE_INBOUND_REPL
New DC Options: <none |
Siehe auchDeaktivieren der eingehenden Replikation" Durchführen einer autorisierenden Wiederherstellung einer AnwendungspartitionMit diesem Verfahren markieren Sie alle Daten in der Anwendungspartition als autorisierend. Die entsprechenden Daten werden auf alle Domänencontroller repliziert, die die Anwendungspartition hosten. Anforderungen Um die unten beschriebenen Aufgaben ausführen zu können, sind die folgenden Tools notwendig: Um diese Aufgabe auszuführen, sind die folgenden Schritte erforderlich: 1. | "Wiederherstellung mithilfe eines Sicherungsmediums" | 2. | "Markieren der Anwendungspartition als autorisierend" | 3. | Starten Sie den Computer neu. |
Wiederherstellung mithilfe eines SicherungsmediumsAnmerkung Zur Wiederherstellung müssen Sie sich lokal am Domänencontroller oder über eine Remotedesktopverbindung anmelden. Administrative Berechtigungen Um dieses Verfahren durchführen zu können, müssen Sie das Administratorkennwort für den Verzeichnisdienstwiederherstellungsmodus kennen. "Wiederherstellung mithilfe eines Sicherungsmediums" 1. | Starten Sie den Computer im Verzeichnisdienstwiederherstellungsmodus. | 2. | Klicken Sie auf Start, klicken Sie auf Ausführen, geben Sie ntbackup ein, und klicken Sie dann auf OK.
In diesem Verfahren verwenden Sie den Assistentenmodus. Standardmäßig ist die Option Immer im Assistentenmodus starten im Sicherungs- und Wiederherstellungsassistenten aktiviert. Klicken Sie andernfalls auf Assistentenmodus. | 3. | Klicken Sie auf Weiter. | 4. | Klicken Sie auf Dateien und Einstellungen wiederherstellen, und klicken Sie dann auf Weiter. | 5. | Klicken Sie auf Systemstatus, und klicken Sie dann auf Weiter. | 6. | Klicken Sie auf Erweitert. | 7. | Klicken Sie auf Ursprünglicher Bereich, und klicken Sie dann auf Weiter. | 8. | Klicken Sie auf Vorhandene Dateien beibehalten (empfohlen), und klicken Sie dann auf Weiter. | 9. | Wählen Sie die folgenden Optionen aus, und klicken Sie dann auf Weiter: | • | Sicherheitseinstellungen wiederherstellen | | • | Nur Abzweigungspunkte wiederherstellen, nicht die Ordner und Dateidaten, auf die verwiesen wird | | • | Vorhandene Bereitstellungspunkte beibehalten |
| 10. | Für eine primäre Wiederherstellung von SYSVOL müssen Sie außerdem die folgende Option auswählen: Die wiederhergestellten Daten bei einer Wiederherstellung von Replikationssätzen als primäre Dateien für alle Replikate markieren.
Eine primäre Wiederherstellung ist dann notwendig, wenn der Domänencontroller der einzige Domänencontroller der Domäne ist. | 11. | Klicken Sie auf Fertigstellen. | 12. | Führen Sie nach der Wiederherstellung eine der folgenden Aufgaben aus: | • | Wenn Sie keine Objekte autorisierend wiederherstellen möchten, klicken Sie auf Ja und starten Sie den Computer neu. | | • | Wenn sie Objekte autorisierend wiederherstellen möchten, klicken Sie auf Nein und führen Sie die Aufgabe "Durchführen einer autorisierenden Wiederherstellung von Active Directory-Objekten" aus. |
|
Siehe auchLokaler Neustart des Domänencontrollers im Verzeichnisdienstwiederherstellungsmodus" Aktivieren von Remotedesktop" Erstellen einer Remotedesktopverbindung" Neustart des Domänencontrollers im Verzeichnisdienstwiederherstellungsmodus von einem Remotestandort aus" Wiederherstellen des Systemstatus an einem anderen Speicherort" Durchführen einer autorisierenden Wiederherstellung von Active Directory-Objekten" Markieren der Anwendungspartition als autorisierendVor diesem Verfahren müssen Sie eine nicht autorisierende Wiederherstellung abgeschlossen haben. Der Domänencontroller darf jedoch nicht neu gestartet werden, sondern muss im Verzeichnisdienstwiederherstellungsmodus verbleiben. Administrative Berechtigungen Sie benötigen das Administratorkennwort für den Verzeichnisdienstwiederherstellungsmodus. "Markieren der Anwendungspartition als autorisierend" 1. | Öffnen Sie im Verzeichnisdienstwiederherstellungsmodus eine Eingabeaufforderung. | 2. | Geben Sie den folgenden Befehl ein, und drücken Sie dann die EINGABETASTE: ntdsutil | 3. | Geben Sie authoritative restore ein, und drücken Sie die EINGABETASTE. | 4. | Geben Sie List NC CRs, und drücken Sie die EINGABETASTE.
Ntdsutil zeigt eine Liste mit Partionen an, die nach der Wiederherstellung verfügbar sind, und die entsprechenden Kreuzreferenzen an. Notieren Sie sich die DNs der Kreuzreferenzen und Anwendungspartitionen, die der Partition entsprechen, die wiederhergestellt werden soll. | 5. | Geben Sie den Befehl restore subtree App Partition DN an (wobei App Partition DN der DN der wiederherzustellenden Anwendungspartition ist). | 6. | Klicken Sie auf Yes. | 7. | Geben Sie den Befehl restore object Cross Ref DN ein (wobei Cross Ref DN der DN der Anwendungspartition-Kreuzreferenz ist, die wiederhergestellt werden soll), und drücken Sie die EINGABETASTE. | 8. | Klicken Sie auf Yes. |
Durchführen einer autorisierenden Wiederherstellung eines GruppenrichtlinienobjektesSie können sowohl gelöschte GPOs wiederherstellen als auch geänderte GPOs. Die ursprüngliche GPO GUID bleibt auch dann erhalten, wenn das GPO gelöscht wurde. Wenn Sie GPOs importieren, ist dies nicht der Fall (dieses Verfahren wird weiter unten besprochen). Eine Wiederherstellung ersetzt die folgenden Komponenten eines GPOs: | • | GPO-Einstellungen | | • | ACLs des GPOs | | • | WMI-Filterlinks (jedoch nicht die Filter selbst) |
Es werden keine SOM-Links wiederhergestellt (Scope of Management). Alle vorhandenen Links werden weiterhin verwendet. Wenn ein GPO jedoch gelöscht wurde, müssen die Links nach der Wiederherstellung neu erstellt werden. Weitere Informationen finden Sie im Dokument Administering Group Policy with the GPMC unter http://go.microsoft.com/fwlink/?LinkId=17528 (engl.). Anforderungen Um die unten beschriebene Aufgabe ausführen zu können, sind die folgenden Tools erforderlich: | • | Gruppenrichtlinienverwaltungskonsole |
Um diese Aufgabe auszuführen, sind die folgenden Schritte erforderlich: | • | "Wiederherstellen eines GPOs" |
Wiederherstellen eines GPOsAdministrative Berechtigungen Sie benötigen die Rechte Bearbeiten, Löschen und Ändern für das GPO. "Wiederherstellen eines GPOs" 1. | Öffnen Sie die Gruppenrichtlinienverwaltungskonsole (GPMC). | 2. | Klicken Sie doppelt auf Domänen. | 3. | Klicken sie doppelt auf die entsprechende Domäne. | 4. | Klicken Sie mit rechts auf Gruppenrichtlinienobjekte und auf Sicherungen verwalten. | 5. | Klicken Sie mit rechts auf das wiederherzustellende Objekt und dann auf Aus Sicherung wiederherstellen. | 6. | Wählen Sie den Speicherort der Sicherung aus, und klicken Sie auf die wiederherzustellende Sicherung. Klicken Sie dann auf Wiederherstellen. | 7. | Klicken Sie auf OK. |
Wiederherstellung eines Domänencontrollers über eine Neuinstallation" gefolgt von einer Wiederherstellung einer SicherungWenn Sie den Domänencontroller nicht im Wiederherstellungsmodus starten können, haben Sie noch die Möglichkeit, diesen über eine Neuinstallation des Betriebssystems und einer nachfolgenden Wiederherstellung von Active Directory aus einer Sicherung wiederherzustellen. Führen Sie nach der Installation von Windows Server 2003 eine nicht autorisierende Wiederherstellung des Systemstatus und des Systemvolumens durch. Ein solches Verfahren kann zum Beispiel in den folgenden Situationen notwendig werden: | • | Ein Domänencontroller ist ausgefallen und kann nicht im Wiederherstellungsmodus gestartet werden. | | • | Sie verfügen über eine Sicherung des Domänencontrollers, die nicht älter als die Tombstone-Lebensdauer ist. | | • | Der Domänencontroller führt andere Dienste wie zum Beispiel Exchange aus oder hostet Daten, die aus der Sicherung wiederhergestellt werden müssen. | | • | Sie verfügen über die folgenden Informationen zum ausgefallenen Domänencontroller: | • | Festplattenkonfiguration: Sie müssen wissen, welche Volumen und Festplattenpartitionen vorhanden sind. Windows Server 2003 muss unter dem gleichen Laufwerksbuchstaben wie vorher installiert werden. Sie müssen vor der Wiederherstellung des Systemstatus die gesamte Festplattenkonfiguration wiederherstellen. | | • | Computername: Sie müssen wissen, wie der Computername lautete. | | • | Kennwort des lokalen Administratorkontos. Sie müssen das Kennwort kennen, das bei der Erstellung der Sicherung verwendet wurde. |
|
Anforderungen Um die unten beschriebene Aufgabe ausführen zu können, sind die folgenden Tools erforderlich: Um diese Aufgabe auszuführen, sind die folgenden Schritte erforderlich: 1. | Installation von Windows Server 2003.
Anmerkung
In diesem Handbuch erhalten Sie keine Informationen zur Installation von Windows Server 2003. | 2. | "Wiederherstellung mithilfe eines Sicherungsmediums" | • | Beginnen Sie mit Schritt 2. | | • | Sie müssen sich als lokaler Administrator anmelden - nicht als Administrator für den Verzeichnisdienstwiederherstellungsmodus. | | • | Stellen Sie den Systemstatus wieder her - jedoch im normalen Modus. | | • | Starten Sie den Server nach der Wiederherstellung im normalen Modus. |
| 3. | "Überprüfen der Active Directory-Wiederherstellung" |
Wiederherstellung mithilfe eines SicherungsmediumsAnmerkung Zur Wiederherstellung müssen Sie sich lokal am Domänencontroller oder über eine Remotedesktopverbindung anmelden. Administrative Berechtigungen Um dieses Verfahren durchführen zu können, müssen Sie das Administratorkennwort für den Verzeichnisdienstwiederherstellungsmodus kennen. "Wiederherstellung mithilfe eines Sicherungsmediums" 1. | Starten Sie den Computer im Verzeichnisdienstwiederherstellungsmodus. | 2. | Klicken Sie auf Start, klicken Sie auf Ausführen, geben Sie ntbackup ein, und klicken Sie dann auf OK. | 3. | In diesem Verfahren verwenden Sie den Assistentenmodus. Standardmäßig ist die Option Immer im Assistentenmodus starten im Sicherungs- und Wiederherstellungsassistenten aktiviert. Klicken Sie andernfalls auf Assistentenmodus. | 4. | Klicken Sie auf Weiter. | 5. | Klicken Sie auf Dateien und Einstellungen wiederherstellen, und klicken Sie dann auf Weiter. | 6. | Klicken Sie auf Systemstatus, und klicken Sie dann auf Weiter. | 7. | Klicken Sie auf Erweitert. | 8. | Klicken Sie auf Ursprünglicher Bereich, und klicken Sie dann auf Weiter. | 9. | Klicken Sie auf Vorhandene Dateien beibehalten (empfohlen), und klicken Sie dann auf Weiter. | 10. | Wählen Sie die folgenden Optionen aus, und klicken Sie dann auf Weiter: | • | Sicherheitseinstellungen wiederherstellen | | • | Nur Abzweigungspunkte wiederherstellen, nicht die Ordner und Dateidaten, auf die verwiesen wird | | • | Vorhandene Bereitstellungspunkte beibehalten |
| 11. | Für eine primäre Wiederherstellung von SYSVOL müssen Sie außerdem die folgende Option auswählen: Die wiederhergestellten Daten bei einer Wiederherstellung von Replikationssätzen als primäre Dateien für alle Replikate markieren.
Eine primäre Wiederherstellung ist dann notwendig, wenn der Domänencontroller der einzige Domänencontroller der Domäne ist. | 12. | Klicken Sie auf Fertigstellen. | 13. | Führen Sie nach der Wiederherstellung eine der folgenden Aufgaben aus: | • | Wenn Sie keine Objekte autorisierend wiederherstellen möchten, klicken Sie auf Ja und starten Sie den Computer neu. | | • | Wenn sie Objekte autorisierend wiederherstellen möchten, klicken Sie auf Nein und führen Sie die Aufgabe "Durchführen einer autorisierenden Wiederherstellung von Active Directory-Objekten" aus. |
|
Siehe auchLokaler Neustart des Domänencontrollers im Verzeichnisdienstwiederherstellungsmodus" Aktivieren von Remotedesktop" Erstellen einer Remotedesktopverbindung" Neustart des Domänencontrollers im Verzeichnisdienstwiederherstellungsmodus von einem Remotestandort aus" Wiederherstellen des Systemstatus an einem anderen Speicherort" Durchführen einer autorisierenden Wiederherstellung von Active Directory-Objekten" Überprüfen der Active Directory-WiederherstellungNach einer Wiederherstellung sollten Sie diese überprüfen. Administrative Berechtigungen Um dieses Verfahren ausführen zu können, müssen Sie Mitglied der Gruppe Domänen-Admins sein. "Überprüfen der Active Directory-Wiederherstellung" 1. | Starten Sie den Domänencontroller im normalen Modus. Es wird daraufhin automatisch eine Integritätsprüfung und eine Neuindizierung der Datenbank durchgeführt. | 2. | Prüfen Sie nach der Anmeldung, ob alle Objekte in Active Directory vorhanden sind. |
Wiederherstellung eines Domänencontrollers über eine NeuinstallationDieser Prozess entspricht der Neuinstallation eines Domänencontrollers. Damit der Domänencontroller in einen funktionierenden Zustand versetzt werden kann, ist eine Replikation notwendig. Das Verfahren kann nur durchgeführt werden, wenn es noch mindestens einen zweiten Domänencontroller in der Domäne gibt. Es wird normalerweise dann angewendet, wenn der Computer ausschließlich als Domänencontroller arbeitet. Wenn der Domänencontroller nicht gesichert wurde, ist dieses Verfahren die einzige Möglichkeit einer Wiederherstellung. Es sollte jedoch nicht als Ersatz für eine regelmäßige Sicherung angesehen werden. Einer der wichtigsten Faktoren für dieses Verfahren ist die verfügbare Bandbreite. Die erforderliche Bandbreite steht im direkten Verhältnis mit der Größe der Active Directory-Datenbank. Im Idealfall sollte sich der replizierende Domänencontroller am gleichen Standort wie der neue Domänencontroller befinden. Anforderungen Um die unten beschriebenen Aufgaben ausführen zu können, sind die folgenden Tools notwendig: | • | Ntdsutil.exe | | • | Netdiag.exe | | • | Dcdiag.exe | | • | Dcpromo.exe |
Um diese Aufgabe auszuführen, sind die folgenden Schritte erforderlich: 1. | Wenn Sie planen, dem neuen Domänencontroller den gleichen Namen wie dem alten Domänencontroller zu geben, bereinigen Sie mit dem folgenden Verfahren die Metadaten:
"Bereinigen der Metadaten"
Wenn Sie dem neuen Server einen neuen Namen geben, sind zusätzlich die folgenden Verfahren notwendig:
"Löschen eines Serverobjektes aus einem Standort"
"Löschen eines Computerobjektes aus der OU Domain Controllers" | 2. | Installieren Sie Windows Server 2003 | 3. | "Überprüfung der DNS-Registrierung und -Funktionalität" | 4. | "Überprüfen der Kommunikation mit anderen Domänencontrollern" | 5. | "Überprüfen der Verfügbarkeit der Betriebsmaster" | 6. | "Installieren von Active Directory"
Wenn Sie den Domänencontroller unter einem neuen Namen installieren möchten, führen Sie die Schritte aus dem Abschnitt Kapitel 9 - "Installieren eines Domänencontrollers in einer bestehenden Domäne" aus. | 7. | Kapitel 9 - Überprüfen der Active Directory-Installation" |
Bereinigen der MetadatenDie Bereinigung der Metadaten wird mit Ntdsutil.exe durchgeführt. Es entfernt alle Daten aus Active Directory, die einen Domänencontroller identifizieren. Unter Windows Server 2003 Service Pack 1 (SP1) entfern das Verfahren außerdem automatisch FRS-Verbindungen und versucht, alle Betriebsmasterrollen, die der alte Domänencontroller innehatte, zu übertragen oder zu übernehmen. Administrative Berechtigungen Um das Verfahren durchführen zu können, müssen Sie Mitglied der Gruppe Organisations-Admins sein. "Bereinigen der Metadaten" 1. | Öffnen Sie eine Eingabeaufforderung. | 2. | Geben Sie den folgenden Befehl ein, und drücken Sie dann die EINGABETASTE: ntdsutil | 3. | Führen Sie den folgenden Befehl aus: metadata cleanup | • | Wenn Sie Ntdsutil.exe unter Windows Server 2003 SP1 nutzen, führen Sie den folgenden Befehl aus: remove selected server ServerName oder remove selected server ServerName1 on ServerName2 ServerName, ServerName1 | DNs der Domänencontroller, dessen Metadaten Sie löschen wollen. (cn=ServerName,cn=Servers,cn=Standortname, cn=Sites,cn=Configuration,dc=Stammdomäne | ServerName2 | DNS-Name des Domänencontrollers, von dem Sie die Metadaten entfernen möchten. |
| | • | Wenn Sie Ntdsutil.exe unter Windows Server 2003 ohne SP ausführen, gehen Sie folgendermaßen vor: | • | Geben Sie den folgenden Befehl ein: connection | | • | Geben Sie den folgenden Befehl ein: connect to server Server | | • | Geben Sie den folgenden Befehl ein: quit | | • | Geben Sie den folgenden Befehl ein: select operation target | | • | Geben Sie den folgenden Befehl ein: list sites
Eine Liste mit Standorten wird angezeigt. | | • | Geben Sie den folgenden Befehl ein: select site Standortnummer | | • | Geben Sie den folgenden Befehl ein: list domains in site
Es sollte eine Liste mit den Domänen am ausgewählten Standort angezeigt werden. | | • | Geben Sie den folgenden Befehl ein: select domain Domänennummer | | • | Geben Sie den folgenden Befehl ein: list servers in site
Eine Liste mit Servern wird angezeigt. | | • | Geben Sie den folgenden Befehl ein: select server ServerNummer | | • | Geben Sie den folgenden Befehl ein: quit | | • | Geben Sie den folgenden Befehl ein: remove selected server
Nun sollte Active Directory bestätigen, dass der Domänencontroller entfernt wurde. |
|
| 4. | Geben Sie quit ein. |
Löschen eines Serverobjektes aus einem StandortWenn es unter dem Server in Active Directory-Standorte und -Dienste keine Unterobjekte mehr gibt, können Sie das Serverobjekt entfernen. Administrative Berechtigungen Um dieses Verfahrung durchführen zu können, müssen Sie Mitglied der Gruppe Domänen-Admins sein. "Löschen eines Serverobjektes aus einem Standort" 1. | Öffnen Sie Active Directory-Standorte und -Dienste. | 2. | Erweitern Sie Standorte und den Standort, aus dem Sie den Server löschen möchten. | 3. | Wenn es keine Objekte unter dem Server gibt, klicken Sie mit rechts auf den Server, und klicken Sie dann auf Löschen.
Wichtig
Löschen Sie keinen Server mit untergeordneten Objekten. | 4. | Klicken Sie auf Ja. |
Löschen eines Computerobjektes aus der OU Domain ControllersAdministrative Berechtigungen Um dieses Verfahrung durchführen zu können, müssen Sie Mitglied der Gruppe Domänen-Admins sein. "Löschen eines Computerobjektes aus der OU Domain Controllers" 1. | Öffnen Sie Active Directory-Benutzer und -Computer. | 2. | Klicken Sie auf die OU Domain Controllers. | 3. | Klicken Sie mit rechts auf das Computerobjekt, das gelöscht werden soll, und dann auf Löschen. Klicken Sie dann auf Ja. |
Siehe auchDas Entfernen eines Domänencontrollers erzwingen" Bereinigen der Metadaten" Löschen eines Serverobjektes aus einem Standort" Überprüfung der DNS-Registrierung und -FunktionalitätAdministrative Berechtigungen Um die folgenden Schritte ausführen zu können, müssen Sie Mitglied der Gruppe Domänen-Admins oder der Gruppe Organisations-Admins sein. "Überprüfung der DNS-Registrierung und -Funktionalität" 1. | Öffnen Sie eine Eingabeaufforderung. | 2. | Geben Sie den folgenden Befehl ein, und drücken Sie die EINGABETASTE:
netdiag /test:dns
Anmerkung
Mit /v erhalten Sie mehr Informationen.
Wenn DNS korrekt funktioniert, sollte die letzte Zeile so lauten: DNS Test…..: Passed. |
Überprüfen der Kommunikation mit anderen DomänencontrollernAdministrative Berechtigungen Um die folgenden Schritte ausführen zu können, müssen Sie Mitglied der Gruppe Domänenbenutzer sein. "Überprüfen der Kommunikation mit anderen Domänencontrollern" 1. | Öffnen Sie eine Eingabeaufforderung. | 2. | Geben Sie den folgenden Befehl ein, und drücken Sie die EINGABETASTE:
netdiag /test:dsgetdc
Anmerkung
Mit /v erhalten Sie mehr Informationen.
Wenn DNS korrekt funktioniert, sollte die letzte Zeile so lauten: DC discovery test……..: Passed. |
Überprüfen der Verfügbarkeit der BetriebsmasterAdministrative Berechtigungen Um die folgenden Schritte ausführen zu können, müssen Sie Mitglied der Gruppe Domänenbenutzer sein. Anmerkung Sie können diese Tests vor und nach der Installation von Active Directory ausführen. Vor der Installation müssen Sie die Option /s zum Angeben des verwendeten Domänencontrollers nutzen. Nach der Installation ist die Option nicht mehr notwendig. "Überprüfen der Verfügbarkeit der Betriebsmaster" 1. | Öffnen Sie eine Eingabeaufforderung. | 2. | Geben Sie den folgenden Befehl ein, und drücken Sie die EINGABETASTE: cdiag /s: Domänencontrollerr /test:knowsofroleholders /verbose
Wobei Domänencontroller der Name eines Domänencontrollers der Domäne ist, zu der Sie den neuen Domänencontroller hinzufügen möchten. Am Ende der Ausgabe sollte der Test als erfolgreich angezeigt werden. | 3. | Geben Sie den folgenden Befehl ein, und drücken Sie die EINGABETASTE: dcdiag /s: Domänencontrollerr /test:fsmocheck
Wobei Domänencontroller der Name eines Domänencontrollers der Domäne ist, zu der Sie den neuen Domänencontroller hinzufügen möchten. Am Ende der Ausgabe sollte der Test als erfolgreich angezeigt werden. |
Installieren von Active DirectoryAdministrative Berechtigungen Um die folgenden Schritte ausführen zu können, müssen Sie Mitglied der Gruppe Domänen-Admins sein. "Installieren von Active Directory" 1. | Klicken Sie auf Start, klicken Sie auf Ausführen, geben Sie dcpromo ein, und drücken Sie die EINGABETASTE. | 2. | Klicken Sie auf Weiter. | 3. | Wählen Sie Zusätzlicher Domänencontroller für eine bestehende Domäne. Klicken Sie auf Weiter. | 4. | Geben Sie Benutzername, Kennwort und Domäne eines Kontos ein, das den neuen Domänencontroller in die Domäne aufnehmen darf. Klicken Sie auf Weiter. | 5. | Geben Sie den Namen der Domäne ein. Klicken Sie auf Weiter. | 6. | Geben Sie die Pfade für die Datenbank und die Protokolldateien ein. Für eine bessere Leistung sollten Sie die Datenbank und die Protokolle auf unterschiedlichen physischen Festplatten speichern. Klicken Sie auf Weiter. | 7. | Geben Sie den Pfad für SYSVOL ein. Klicken Sie auf Weiter. | 8. | Geben Sie ein Kennwort Verzeichnisdienstwiederherstellungsmodus ein. Klicken Sie auf Weiter. | 9. | Klicken Sie dann auf Weiter. | 10. | Klicken Sie auf Fertigstellen. | 11. | Klicken Sie auf Neustart. | 12. | Wenn Dienste nicht gestartet werden können, starten Sie den Domänencontroller ein zweites Mal. Solle das Problem weiter bestehen, überprüfen Sie das Ereignisprotokoll auf Fehler. |
| 
