Einführung in die Administration von DomänencontrollernAuch wenn bestehende Domänencontroller nur wenig Verwaltungsaufwand erfordern, kann es irgendwann dazu kommen, dass Sie Domänencontroller hinzufügen oder entfernen müssen. Hierbei können die folgenden Aufgaben erforderlich werden: | • | Installieren oder Entfernen von Active Directory | | • | "Umbenennen von Domänencontrollern" | | • | "Hinzufügen von Domänencontrollern an Remotestandorten" |
Installieren und Entfernen von Active DirectoryUm einen neuen Domänencontroller einzurichten, installieren Sie Active Directory auf einem Computer, der unter Windows Server 2003 oder Windows Server 2003 mit SP 1 ausgeführt wird. Weitere Informationen zu Best Practices für die Bereitstellung von Domänencontrollern finden Sie unter http://go.microsoft.com/fwlink/?LinkId=45801. Das Entfernen eines Domänencontrollers ist dem Einrichten recht ähnlich. Umbenennen von DomänencontrollernFür das Umbenennen eines Domänencontrollers sind eine Aktualisierung der DNS-Ressourceneinträge und eine Replikation der SPNs (Service Principal Names) an alle Domänencontroller der Domäne notwendig. Außerdem müssen die FRS-Objekte aktualisiert werden. Hinzufügen von Domänencontrollern an RemotestandortenWenn sich genügend Benutzer an einem Remotestandort befinden und es möglicherweise nur langsame WAN-Verbindungen gibt, kann es sinnvoll sein, einen Domänencontroller zu diesem Remotestandort hinzuzufügen. Sie können diesen entweder zentral installieren und dann an den Remotestandort überführen oder die Installation direkt vor Ort ausführen (Active Directory-Replikation über WAN-Verbindungen oder Installation über ein Sicherungsmedium). Verwaltung von DomänencontrollernZur Verwaltung von Domänencontrollern gehören die folgenden Aufgaben: | • | Erstellen von neuen Domänencontroller in bestehenden Domänen. Hierzu können Sie die folgenden Verfahren nutzen: | • | Ausführen des Active Directory-Installationsassistenten und Replikation, um eine Replik von Active Directory zu erstellen, plus FRS-Replikation, um eine Replik von SYSVOL zu erstellen. | | • | Ausführen des Active Directory-Installationsassistenten und Wiederherstellung des Systemstatus über ein Sicherungsmedium. | | • | Erstellen einer Antwortdatei und Ausführen des Active Directory-Installationsassistenten mit der Antwortdatei. |
| | • | Ausführen von Tests, um zu prüfen, ob Active Directory korrekt installiert ist und funktioniert. | | • | Hinzufügen von Domänencontrollern zu Remotestandorten. | | • | Entfernen von Active Directory von einen einwandfrei funktionierenden Domänencontroller (Dekomissionierung). | | • | Erzwingen der Entfernung eines nicht funktionierenden Domänencontrollers aus der Domäne. | | • | Umbenennen eines Domänencontrollers. |
Verwaltung von Antiviren-Software auf Domänencontrollern Da Domänencontroller kritische Dienste für die Clients anbieten, ist es extrem wichtig, die Risiken eines Ausfalls durch schädlichen Code zu minimieren. Sie können jedoch nicht einfach eine Antiviren-Software (von irgendeinem Hersteller) auf einem Domänencontroller installieren und alles scannen lassen. Stattdessen müssen Sie die Software so installieren, dass die Risiken bestmöglich beseitigt werden und sich gleichzeitig keine Auswirkungen auf die Leistung und Arbeit des Domänencontrollers ergeben. Richtlinien für die Verwaltung von Antivirus Software auf Domänencontrollern Die folgenden Empfehlungen sind allgemeiner Natur und sollten nicht wichtiger eingeschätzt werden als die Empfehlungen des Herstellers der Antiviren-Software. Anmerkung Testen Sie die Antiviren-Software sorgfältig in einer Testumgebung. | • | Idealerweise sollte auf allen Servern und Clients, die mit dem Domänencontroller interagieren, Antiviren-Software installiert sein. | | • | Nutzen Sie eine Antiviren-Software, die mit Active Directory arbeitet und die richtigen APIs für den Zugriff auf die Dateien des Servers verwendet. Ältere Versionen der meisten Programme verändern oftmals die Metadaten der gescannten Dateien - was dazu führt, dass der FRS davon ausgeht, dass die Datei geändert wurde und sie repliziert. Weitere Informationen zu diesem Thema finden Sie unter http://go.microsoft.com/fwlink/?LinkID=4441. | | • | Vermeiden Sie die Nutzung von Domänencontrollern als Arbeitsstation. Auf Domänencontrollern sollte nicht im Internet gesurft werden. | | • | Wenn möglich, nutzen Sie Domänencontroller nicht als File-Sharing-Server. |
Dateien, die nicht infiziert werden können Die unten genannten Dateien sollten Sie vom Scannvorgang ausschließen. Für diese Dateien besteht kein Risiko einer Infektion durch Viren. Das Scannen der Dateien könnte zu ernsthaften Leistungsproblemen führen. Außerdem kann es dazu führen, dass FRS nicht mehr korrekt arbeitet. Die Antiviren-Software sollte keine der unten genannten Dateien verändern. | • | NTDS-Datenbankdateien. Speicherort definiert in: HKLM\System\Services\NTDS\Parameters\DSA Database File
Standardspeicherort: %windir%\ntds.
Dateien, die auszuschließen sind: NTDS.dit (unter Windows 2000). | | • | Active Directory-Transaktionsprotokolle. Speicherort definiert in: HKLM\System\Services\NTDS\Parameters\Database Log Files Path
Standardspeicherort: %windir%\ntds.
Dateien, die auszuschließen sind: | • | EDB*.log (können mehrere Dateien sein) | | • | RES1.log | | • | RES2.log |
| | • | NTDS-Arbeitsverzeichnis. Speicherort definiert in: HKLM\System\Services\NTDS\Parameters\DSA WorkingDirectory
Dateien, die auszuschließen sind: | • | TEMP.edb | | • | EDB.chk | | • | SYSVOL files |
| | • | FRS-Arbeitsverzeichnis. Speicherort definiert in: HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\NtFrs\Parameters\Working Directory
Dateien, die auszuschließen sind: | • | FRS Working Dir\jet\sys\edb.chk | | • | FRS Working Dir\jet\ntfrs.jdb | | • | FRS Working Dir\jet\log\*.log |
| | • | FRS-Datenbankprotokolldateien. Speicherort definiert in: HKEY_LOCAL_MACHINE\system\currentcontrolset\services\NtFrs\Parameters\DB Log File Directory
Standardspeicherort: %windir%\ntds.
Dateien, die auszuschließen sind: | • | \jet\log\*.log (wenn der Registrierungsschlüssel nicht gesetzt ist) | | • | \log\*.log (wenn der Registrierungsschlüssel nicht gesetzt ist) |
| | • | FRS-Replikationsdateien. Speicherort definiert in: HKEY_LOCAL_MACHINE\system\currentcontrolset\services\NtFrs\Parameters\Replica Sets\GUID\Replica Set Root | | • | Stagingverzeichnis. Speicherort definiert in: HKEY_LOCAL_MACHINE\system\currentcontrolset\services\NtFrs\Parameters\Replica Sets\GUID\Replica Set Stage | | • | FRS-Preinstall-Verzeichnis. Speicherort definiert in: <Replica_root>\DO_NOT_REMOVE_NtFrs_PreInstall_Directory.
Wenn FRS ausgeführt wird, ist das Verzeichnis permanent exklusiv geöffnet. |
Die folgenden Aufgaben zur Verwaltung von Domänencontrollern werden in diesem Kapitel beschreiben: | • | "Vorbereiten der Active Directory-Installation" | | • | "Installieren eines Domänencontrollers in einer bestehenden Domäne" | | • | Hinzufügen von Domäencontrollern an Remotestandorten | | • | Installation eines Domänencontrollers in einer bestehenden Domäne mithilfe von Sicherungsmedien | | • | "Ausführen einer unbeaufsichtigten Installation von Active Directory" | | • | "Überprüfen der Active Directory-Installation" | | • | Umbennenen eines Domänencontrollers | | • | "Dekomissionierung eines Domänencontrollers" | | • | "Das Entfernen eines Domänencontrollers erzwingen" |
Vorbereiten der Active Directory-InstallationDie saubere Vorbereitung der Installation von Active Directory verringert die Chance auf ein Auftreten von Problemen während des Installationsprozesses. Es gibt einige Anforderungen für die Installation von Active Directory auf einem neuen Domänencontroller in einer bestehenden Domäne. In diesem Abschnitt werden die Anforderungen in Bezug auf die DNS-Konfiguration, die Platzierung des Domänencontrollers in einem Standort und die Konnektivität für den Active Directory-Installationsassistent beschrieben. Vor der Installation sollten Sie testen, ob alle notwendigen Domänencontroller verfügbar sind. DNS-Konfiguration Der DNS-Client ist immer auf einem Server unter Windows Server 2003 vorhanden. Es muss außerdem einen DNS-Server geben. Beide sollten korrekt konfiguriert sein, und die Namensauflösung sollte einwandfrei funktionieren. Weitere Informationen finden Sie unter http://go.microsoft.com/fwlink/?LinkId=25466. Platzierung in einem Standort Während der Installation versucht der Active Directory-Installationsassistent, den neuen Domänencontroller in einem entsprechenden Standort zu platzieren. Der Standort wird hierbei anhand der IP-Adresse und der Subnetzmaske ermittelt. Wenn es das entsprechende Subnetz nicht gibt, platziert der Assistent den Domänencontroller in den Standort des Domänencontrollers, der die Datenbank an den neuen Domänencontroller repliziert hat. Stellen Sie vor der Ausführung des Assistenten sicher, dass es das entsprechende Subnetz gibt. Gehen Sie hierbei folgendermaßen vor: 1. | Wenn Sie einen Standort in der Antwortdatei angeben, wird der Domänencontroller in diesem Standort platziert. | 2. | Wenn kein Standort angegeben ist, wird der Domänencontroller in den Standort platziert, der seiner IP-Adresse entspricht. | 3. | Wenn Sie einen Replikationspartner und keinen Standort in der Antwortdatei angegeben haben, wird der Domänencontroller im Standort des Partners platziert. | 4. | Wenn weder Partner noch Standort angegeben sind, wird der Domänencontroller in einen zufälligen Standort platziert. Dieser hängt dann von dem ersten Replikationspartner des neuen Domänencontrollers ab. |
Domänenkonnektivität Während der Installation muss der Active Directory-Installationsassistent mit anderen Domänencontrollern kommunizieren, um eine erste Replik der Datenbank zu erhalten. Außerdem muss er mit dem Domänennamenmaster kommunizieren, um zu Domänen hinzugefügt werden zu können. Er benötigt den RID-Master, um einen RID-Pool zu erhalten, und muss den SYSVOL-Ordner von einem anderen Domänencontroller bekommen. Mit Netdiag.exe und Dcdiag.exe können Sie die entsprechenden Verbindungen testen, bevor Sie den Active Directory-Installationsassistent starten. Anforderungen Sie benötigen Anmeldeinformationen, die über einen administrativen Zugriff auf das Verzeichnis verfügen. Die folgenden Bedingungen müssen vor der Installation gegeben sein: | • | Es muss eine Gesamtstruktur-Stammdomäne geben. | | • | Wenn Sie den neuen Domänencontroller in einer untergeordneten Domäne installieren, sollte es mindestens zwei einwandfrei arbeitende Domänencontroller in der Stammdomäne geben. | | • | DNS muss korrekt funktionieren. Wir gehen hier davon aus, dass Sie Active Directory-integrierte DNS-Zonen verwenden. Es muss mindestens einen Domänencontroller geben, der als DNS-Server konfiguriert ist. |
Das Erstellen einer Domäne oder Gesamtstruktur wird in diesem Dokument nicht besprochen. Die folgenden Informationen und Tools sind für diese Aufgabe notwendig: | • | Der Active Directory-Installationsassistent fragt die folgenden Informationen ab: | • | Namen und Kennwort des Domänenadministrators. | | • | Speicherort für die Verzeichnisdatenbank und die Protokolldateien. | | • | Speicherort für SYSVOL. | | • | Kennwort für den Verzeichnisdienstwiederherstellungsmodus. | | • | FQDN der Domäne, in die der Domänencontroller aufgenommen werden soll. |
| | • | Netzwerkumgebung | | • | Adsiedit.msc | | • | Netdiag.exe | | • | Active Directory-Standorte und -Dienste | | • | Dcdiag.exe |
Um diese Aufgabe auszuführen, sind die folgenden Schritte erforderlich: 1. | "Installation des DNS-Serverdienstes" | 2. | Kapitel 6 - Überprüfung der DNS-Registrierung und -Funktionalität" | 3. | "Überprüfen, ob eine IP-Adresse einem Subnetz entspricht, und Ermitteln der Standortzuordnung" | 4. | Kapitel 6 - Überprüfen der Kommunikation mit anderen Domänencontrollern" | 5. | Kapitel 6 - Überprüfen der Verfügbarkeit der Betriebsmaster" |
Installation des DNS-ServerdienstesWeisen Sie dem Server eine statische IP-Adresse zu. Um das folgende Verfahren durchführen zu können, muss bereits eine DNS-Infrastruktur vorhanden und als Active Directory-integrierte Zone konfiguriert sein. Dieses Verfahren beschreibt, wie ein zusätzlicher DNS-Server hinzugefügt wird. Administrative Berechtigungen Sie müssen Mitglied der Gruppe Domänen-Admins oder der Gruppe Organisations-Admins sein. "Installation des DNS-Serverdienstes" 1. | Klicken Sie mit rechts auf Netzwerkumgebung und dann auf Eigenschaften. | 2. | Klicken Sie mit rechts auf die Verbindung, mit der der Computer mit dem Netzwerk verbunden ist. Klicken Sie auf Eigenschaften. | 3. | Klicken Sie einmal auf Internet Protocol (TCP/IP), und klicken Sie dann auf Eigenschaften. | 4. | Stellen Sie sicher, dass Die folgende IP-Adresse verwenden: ausgewählt ist und eine gültige IP-Adresse, Subnetzmaske und Gatewayadresse eingetragen sind. Klicken Sie zweimal auf OK. | 5. | Klicken Sie in der Systemsteuerung auf Programme hinzufügen/entfernen. Klicken Sie auf Windows-Komponenten hinzufügen/entfernen. | 6. | Klicken sie auf Netzwerkdienste. Klicken Sie auf Details. | 7. | Aktivieren Sie die Option Domain Name System (DNS). Klicken Sie auf OK. | 8. | Klicken Sie auf Weiter. Geben Sie den Speicherort der Installationsdateien an. Klicken Sie auf Fertigstellen. |
Überprüfung der DNS-Registrierung und -FunktionalitätAdministrative Berechtigungen Um die folgenden Schritte ausführen zu können, müssen Sie Mitglied der Gruppe Domänen-Admins oder der Gruppe Organisations-Admins sein. "Überprüfung der DNS-Registrierung und -Funktionalität" 1. | Öffnen Sie eine Eingabeaufforderung. | 2. | Geben Sie den folgenden Befehl ein, und drücken Sie die EINGABETASTE:
netdiag /test:dns
Anmerkung
Mit /v erhalten Sie mehr Informationen.
Wenn DNS korrekt funktioniert, sollte die letzte Zeile so lauten: DNS Test…..: Passed. |
Überprüfen, ob eine IP-Adresse einem Subnetz entspricht, und Ermitteln der StandortzuordnungMit diesem Verfahren stellen Sie fest, zu welchem Standort ein neuer oder verschobener Server gehört. Administrative Berechtigungen Um dieses Verfahren ausführen zu können, müssen Sie Mitglied der Gruppe Domänenbenutzer sein. "Überprüfen, ob eine IP-Adresse einem Subnetz entspricht, und Ermitteln der Standortzuordnung" 1. | Melden Sie sich lokal am Domänencontroller an. | 2. | Klicken Sie mit rechts auf Netzwerkumgebung, und klicken Sie dann auf Eigenschaften. | 3. | Klicken Sie unter Netzwerkverbindungen mit rechts auf LAN Verbindung, und klicken Sie dann auf Eigenschaften. | 4. | Klicken Sie in den Eigenschaften doppelt auf Internet Protocol (TCP/IP). | 5. | Berechnen Sie die Adresse des Subnetzes mit der IP-Adresse und der Subnetzmaske, und klicken Sie dann auf OK. | 6. | Öffnen Sie Active Directory-Standorte und -Dienste. | 7. | Erweitern Sie Standorte, und klicken Sie dann auf Subnetze. | 8. | Suchen Sie das Subnetz, das der berechneten Subnetzadresse entspricht. | 9. | Stellen Sie fest, welchem Standort das Subnetz zugeordnet ist. |
Überprüfen der Kommunikation mit anderen DomänencontrollernAdministrative Berechtigungen Um die folgenden Schritte ausführen zu können, müssen Sie Mitglied der Gruppe Domänenbenutzer sein. "Überprüfen der Kommunikation mit anderen Domänencontrollern" 1. | Öffnen Sie eine Eingabeaufforderung. | 2. | Geben Sie den folgenden Befehl ein, und drücken Sie die EINGABETASTE:
netdiag /test:dsgetdc
Anmerkung
Mit /v erhalten Sie mehr Informationen.
Wenn DNS korrekt funktioniert, sollte die letzte Zeile so lauten: DC discovery test……..: Passed. |
Überprüfen der Verfügbarkeit der BetriebsmasterAdministrative Berechtigungen Um die folgenden Schritte ausführen zu können, müssen Sie Mitglied der Gruppe Domänenbenutzer sein. Anmerkung Sie können diese Tests vor und nach der Installation von Active Directory ausführen. Vor der Installation müssen Sie die Option /s zum Angeben des verwendeten Domänencontrollers nutzen. Nach der Installation ist die Option nicht mehr notwendig. "Überprüfen der Verfügbarkeit der Betriebsmaster" 1. | Öffnen Sie eine Eingabeaufforderung. | 2. | Geben Sie den folgenden Befehl ein, und drücken Sie die EINGABETASTE: dcdiag /s: Domänencontrollerr /test:knowsofroleholders /verbose
wobei Domänencontroller der Name eines Domänencontrollers der Domäne ist, zu der Sie den neuen Domänencontroller hinzufügen möchten. Am Ende der Ausgabe sollte der Test als erfolgreich angezeigt werden. | 3. | Geben Sie den folgenden Befehl ein, und drücken Sie die EINGABETASTE: dcdiag /s: Domänencontrollerr /test:fsmocheck
wobei Domänencontroller der Name eines Domänencontrollers der Domäne ist, zu der Sie den neuen Domänencontroller hinzufügen möchten. Am Ende der Ausgabe sollte der Test als erfolgreich angezeigt werden. |
Installieren eines Domänencontrollers in einer bestehenden DomäneIn diesem Abschnitt wird die Installation von Active Directory auf einem Domänencontroller für eine bestehende Domäne beschrieben. Weitere Informationen zur Planung, zum Testen und zur Bereitstellung von Active Directory finden Sie unter http://go.microsoft.com/fwlink/?LinkId=27638. Anforderungen Die folgenden Tools sind zur Ausführung dieses Verfahrens notwendig: Sie müssen die folgenden Schritte durchführen: | • | Kapitel 6 - Installieren von Active Directory" |
Sie können Active Directory unbeaufsichtigt installieren. Weitere Informationen zu diesem Thema finden Sie unter "Installation eines Domänencontrollers in eine bestehenden Domäne mithilfe von Sicherungsmedien" und Ausführen eine unbeaufsichtigten Installation von Active Directory, Installieren von Active DirectoryAdministrative Berechtigungen Um die folgenden Schritte ausführen zu können, müssen Sie Mitglied der Gruppe Domänen-Admins sein. "Installieren von Active Directory" 1. | Klicken Sie auf Start, klicken Sie auf Ausführen, geben Sie dcpromo ein, und drücken Sie die EINGABETASTE. | 2. | Klicken Sie auf Weiter. | 3. | Wählen Sie Zusätzlicher Domänencontroller für eine bestehende Domäne. Klicken Sie auf Weiter. | 4. | Geben Sie Benutzername, Kennwort und Domäne eines Kontos ein, das den neuen Domänencontroller in die Domäne aufnehmen darf. Klicken Sie auf Weiter. | 5. | Geben Sie den Namen der Domäne ein. Klicken Sie auf Weiter. | 6. | Geben Sie die Pfade für die Datenbank und die Protokolldateien ein. Für eine bessere Leistung sollten Sie die Datenbank und die Protokolle auf unterschiedlichen physischen Festplatten speichern. Klicken Sie auf Weiter. | 7. | Geben Sie den Pfad für SYSVOL ein. Klicken Sie auf Weiter. | 8. | Geben Sie ein Kennwort Verzeichnisdienstwiederherstellungsmodus ein. Klicken Sie auf Weiter. | 9. | Klicken Sie dann auf Weiter. | 10. | Klicken Sie auf Fertigstellen. | 11. | Klicken Sie auf Neustart. | 12. | Wenn Dienste nicht gestartet werden können, starten Sie den Domänencontroller ein zweites Mal. Solle das Problem weiter bestehen, überprüfen Sie das Ereignisprotokoll auf Fehler. |
Installation eines Domänencontrollers in eine bestehenden Domäne mithilfe von SicherungsmedienMit der Installation von Active Directory über ein Sicherungsmedium können Sie den notwendigen Replikationsverkehr minimieren. Dies ist besonders an Remotestandorten sehr nützlich. Wenn Sie einen Domänencontroller installieren, der auch als DNS-Server arbeitet und Sie Active Directory-integrierte Zonen verwenden, fehlen Ihnen die Partitionen DomainDNSZones und ForestDNSZones in den Sicherungen. Wenn Sie diese in die Sicherungen mit aufnehmen möchten, sind weitere Schritte notwendig. Anforderungen Stellen Sie sicher, dass die folgenden Anforderungen erfüllt sind: | • | Es muss in jeder Domäne, in der Sie neue Domänencontroller installieren, ein Domänencontroller unter Windows Server 2003 ausgeführt werden. | | • | Der gesicherte Systemstatus muss von einem Domänencontroller der gleichen Domäne stammen. | | • | Der zu installierende Domänencontroller muss unter Windows Server 2003 ausgeführt werden. Die Version muss der aus der Sicherung entsprechen. | | • | Der Prozessortyp des gesicherten Domänencontrollers muss dem des neu zu installierenden entsprechen. | | • | DCpromo prüft während der Installation, ob die Tombstone-Lebensdauer aus der Sicherung der der bestehenden Domänencontroller entspricht. Wenn Sie den Wert ändern möchten, sollten Sie dies vor der Sicherung machen. | | • | Wenn der neue Domänencontroller globaler Katalog Server sein soll, muss die Sicherung von einem globalen Katalog Server der entsprechenden Domäne stammen. |
Auf Servern unter Windows Server 2003 SP1 können Sie Sicherungen für Domänencontroller, die DNS-Server sind, wiederherstellen (DomainDNSZones und ForestDNSZones Anwendungspartitionen). Gleiches gilt auch für alle anderen Anwendungspartitionen. Stellen Sie hierzu sicher, dass die folgenden Anforderungen erfüllt sind: | • | Die Gesamtstrukturfunktionsebene muss Windows Server 2003 sein. | | • | Der Domänencontroller, auf dem Sie die Sicherung erstellt haben, wird unter Windows Server 2003 SP1 ausgeführt. | | • | Der Domänencontroller, auf dem Sie die Sicherung erstellt haben, hostet die entsprechenden Anwendungspartitionen. | | • | Sie installieren Windows Server 2003 SP1. | | • | Sie haben eine Antwortdatei erstellt, in der die DNs (oder * für alle Namen) der Anwendungspartitionen enthalten sind. |
Um die unten beschriebenen Aufgaben ausführen zu können, sind die folgenden Tools notwendig: | • | Ntbackup.exe | | • | Dcpromo.exe | | • | Ref.chm oder Unattend.txt oder beides (für die Installation von Anwendungspartitionen). |
Um das Verfahren auszuführen, gehen Sie folgendermaßen vor:: 1. | Kapitel 6 - Sicherung des Systemstatus" | 2. | Als Option können Sie die Sicherungsdateien auf eine CD, DVD oder ein anderes Speichermedium kopieren, über das Sie dann nachfolgende zur Wiederherstellung der Sicherung nutzen können. | 3. | "Wiederherstellen des Systemstatus an einem anderen Speicherort" | 4. | Installation von Active Directory über ein Sicherungsmedium. |
Siehe auchHinzufügen von Domäencontrollern an Remotestandorten Erstellen einer Antwortdatei für eine Domänencontrollerinstallation" Sicherung des SystemstatusWenn Sie den Systemstatus mit Ntbackup.exe sichern, können Sie die geschützten Systemdateien mit sichern oder nicht. Diese Dateien sind für eine Installation mithilfe einer wiederhergestellten Sicherung nicht notwendig - in diesem Fall können Sie die Option deaktivieren. Sie verkleinern so die Größe der Sicherungsdatei und verringern den notwendigen Zeitaufwand. Mit den folgenden Verfahren können Sie nur den Systemstatus sichern. Das Systemvolumen oder andere Daten auf dem Domänencontroller werden nicht berücksichtigt. Mit dem ersten Verfahren, "Sicherung des Systemstatus inklusive der geschützten Systemdateien", können Sie Routinesicherungen des Systemstatus durchführen. Mit dem zweiten Verfahren, "Sicherung des Systemstatus exklusive der geschützten Systemdateien", können Sie eine kleinere Sicherung durchführen, die zur Installation von Domänencontrollern über Sicherungsmedien verwendet werden kann. Anmerkung Um den Systemstatus sichern zu können, müssen Sie als lokaler Administrator am Domänencontroller angemeldet sein. Alternativ muss der Remotedesktop aktiviert sein. Administrative Berechtigungen Um die folgenden Verfahren ausführen zu können, müssen Sie Mitglied der Gruppe Domänen-Admins oder Sicherungsoperatoren sein. "Sicherung des Systemstatus" inklusive der geschützten Systemdateien 1. | Klicken Sie auf Start, klicken Sie auf Ausführen, geben Sie ntbackup ein, und klicken Sie dann auf OK.
In diesem Verfahren verwenden Sie den Assistentenmodus. Standardmäßig ist die Option Immer im Assistentenmodus starten im Sicherungs- und Wiederherstellungsassistenten aktiviert. Klicken Sie andernfalls auf Assistentenmodus. | 2. | Klicken Sie auf Weiter. | 3. | Klicken Sie auf Dateien und Einstellungen sichern, und klicken Sie dann auf Weiter. | 4. | Klicken Sie auf Elemente für die Sicherung selbst auswählen, und klicken Sie dann auf Weiter. | 5. | Klicken Sie doppelt auf Arbeitsplatz. | 6. | Klicken Sie auf Systemstatus, und klicken Sie dann auf Weiter. | 7. | Wählen Sie einen Speicherort für die Sicherung aus:
Anmerkung
Sie sollten die Sicherung nicht auf einer lokalen Festplatte speichern. | 8. | Geben Sie einen Namen ein. Halten Sie sich an die Empfehlungen aus dem Abschnitt Kapitel 6 - Sichern von Active Directory-Komponenten", und klicken Sie dann auf Weiter. | 9. | Klicken Sie auf Erweitert. | 10. | Klicken Sie auf Weiter. | 11. | Aktivieren Sie Daten nach der Sicherung prüfen, und klicken Sie dann auf Weiter. | 12. | Wählen Sie eine der Optionen aus, und klicken Sie dann auf Weiter. | 13. | Wenn Sie bestehende Sicherungen ersetzen, wählen Sie die Option, mit der nur dem Besitzer und dem Administrator Zugriff auf die Sicherungsdaten gewährt wird. Klicken Sie dann auf Weiter. | 14. | Wählen Sie eine für Sie passende Option aus, und klicken Sie dann auf Weiter. | 15. | Klicken Sie auf Fertigstellen.
Anmerkung
Sie können Ntbackup auch über die Eingabeaufforderung nutzen. Weitere Informationen erhalten Sie mit dem Befehl ntbackup /?. |
"Sicherung des Systemstatus" exklusive der geschützten Systemdateien 1. | Klicken Sie auf Start, klicken Sie auf Ausführen, geben Sie ntbackup ein, und klicken Sie dann auf OK. | 2. | Klicken Sie auf Erweiterter Modus, und klicken Sie dann auf die Registerkarte Sichern. | 3. | Wählen Sie Systemstatus aus. | 4. | Geben Sie einen Namen ein. Halten Sie sich an die Empfehlungen aus dem Abschnitt Kapitel 6 - Sichern von Active Directory-Komponenten", und klicken Sie dann auf Weiter. | 5. | Klicken Sie auf Sicherung starten, und klicken Sie dann auf Erweitert. | 6. | Deaktivieren Sie Geschützte Systemdateien automatisch mit dem Systemstatus sichern, und klicken Sie dann auf OK. | 7. | Klicken Sie auf Sicherung starten. |
Siehe auchAktivieren von Remotedesktop" Erstellen einer Remotedesktopverbindung" Wiederherstellen des Systemstatus an einem anderen SpeicherortMit diesem Verfahren können Sie ein Sicherungsmedium erstellen, mit dem Sie einen Domänencontroller wiederherstellen können oder eine autorisierende Wiederherstellung von SYSVOL durchführen können. Administrative Berechtigungen Für dieses Verfahren müssen Sie Mitglied der Gruppe Sicherungsoperatoren der Domäne sein. | • | Für das Wiederherstellen auf einem Mitglieds- oder Arbeitsgruppenserver: Sicherungsoperator auf dem lokalen Computer. | | • | Für das Wiederherstellen des Systemstatus auf einem Domänencontroller: Sicherungsoperator der Domäne. |
"Wiederherstellen des Systemstatus an einem anderen Speicherort" 1. | Melden Sie sich an dem wiederzustellenden Server an. | 2. | Klicken Sie auf Start, klicken Sie auf Ausführen, geben Sie ntbackup ein, und klicken Sie dann auf OK. | 3. | Klicken Sie auf Weiter. | 4. | Klicken Sie auf Dateien und Einstellungen wiederherstellen, und klicken Sie dann auf Weiter. | 5. | Klicken Sie auf Suchen und dann nach einmal auf Suchen. | 6. | Navigieren Sie zu der .bkf-Datei. | 7. | Klicken Sie auf die .bkf, die Sie wiederherstellen möchten, und klicken Sie dann auf Öffnen. | 8. | Klicken Sie auf OK. | 9. | Klicken Sie doppelt auf Datei und dann doppelt auf die .bkf-Datei, die wiederhergestellt werden soll. | 10. | Markieren Sie Systemstatus, und klicken Sie dann auf Weiter. | 11. | Klicken Sie auf Erweitert. | 12. | Klicken Sie auf Alternativer Bereich. | 13. | Geben Sie den Pfad zu dem lokalen Ordner ein, in dem Sie die Sicherung wiederherstellen wollen. Klicken Sie dann auf Weiter. Wir empfehlen, zur Wiederherstellung einen Ordner mit dem Namen NTDSRESTORE zu verwenden. | 14. | Klicken Sie dann auf Weiter. | 15. | Klicken Sie dann auf Weiter. | 16. | Klicken Sie auf Fertigstellen. |
Installation von Active Directory mithilfe eines SicherungsmediumsAdministrative Berechtigungen Sie müssen Mitglied der Gruppe Domänen-Admins in der Domäne sein in der der Domänencontroller installiert werden soll. "Installation von Active Directory mithilfe eines Sicherungsmediums" 1. | Klicken Sie auf Start, klicken Sie auf Ausführen, geben Sie dcpromo /adv ein, und drücken Sie die EINGABETASTE. | 2. | Wählen Sie Zusätzlichen Domänencontroller für eine bestehende Domäne aus. | 3. | Wählen Sie Aus diesen wiederhergestellten Sicherungsdateien aus, und geben Sie den Speicherort der wiederhergestellten Systemdaten an. | 4. | Wenn der Domänencontroller, von dem die Sicherung stammt, ein globaler Katalog Server war, fragt Sie der Assistent, ob der neue Domänencontroller ebenfall globaler Katalog sein soll. | 5. | Stellen Sie die erforderlichen Anmeldeinformationen bereit. | 6. | Geben Sie die Domäne für den neuen Domänencontroller an. Es muss sich um die Domäne des Domänencontrollers handeln, von dem die Sicherung stammt. | 7. | Führen Sie den Assistenten weiter aus. | 8. | Nachdem die Installation erfolgreich abgeschlossen ist, können Sie die Ordner mit dem wiederhergestellten Systemstatus löschen. |
Siehe auchWiederherstellen des Systemstatus an einem anderen Speicherort" "Einbeziehen von Anwendungspartitionen in die Active Directory-Installation über ein Sicherungsmedium" Einbeziehen von Anwendungspartitionen in die Active Directory-Installation über ein SicherungsmediumMit diesem Verfahren installieren Sie Active Directory und die Anwendungspartitionen mithilfe eines Sicherungsmediums. Sie müssen hierzu bereits mit dem Verfahren "Erstellen einer Antwortdatei für eine Domänencontrollerinstallation" eine Antwortdatei erstellt haben. Administrative Berechtigungen Um dieses Verfahren ausführen zu können, müssen Sie Mitglied der Gruppe Domänen-Admins der Domäne sein, in der der neue Domänencontroller installiert werden soll. "Einbeziehen von Anwendungspartitionen in die Active Directory-Installation über ein Sicherungsmedium" 1. | Öffnen Sie die Antwortdatei, die Sie zur Installation des Domänencontrollers erstellt haben. | 2. | Fügen Sie den folgenden Eintrag zur Anwendungspartition hinzu: ApplicationPartitionsToReplicate= | 3. | Legen Sie den Wert für den Eintrag folgendermaßen fest: | • | Wenn Sie alle Anwendungspartitionen installieren möchten, geben Sie einen Stern an (*) | | • | Wenn Sie nur bestimmte Anwendungspartitionen installieren möchten, geben Sie die DNs der entsprechenden Partitionen an. Trennen Sie die DNs mit Leerzeichen, und schließen Sie die gesamte Liste in Anführungsstriche ein. Beispiel: | | • | ApplicationPartitionsToReplicate=”dc=app1,dc=contoso,dc=com dc=app2,dc=contoso,dc=com” |
| 4. | Tragen Sie den Parameter ReplicationSourcePath= mit dem Ordner mit den wiederhergestellten Sicherungsdateien ein. | 5. | Wenn Sie nicht möchten, dass Dcpromo nach dem Benutzernamen und dem Kennwort fragt, verwenden Sie den Eintrag Password= und SafeModeAdminPassword=. Speichern Sie die Datei.
Anmerkung
Die Kennwörter werden automatisch von Dcpromo aus der Antwortdatei gelöscht. | 6. | Öffnen Sie eine Eingabeaufforderung, und wechseln Sie zu dem Verzeichnis mit der Antwortdatei. | 7. | Geben Sie den folgenden Befehl ein, und drücken Sie dann die EINGABETASTE: dcpromo /adv /answer:”Laufwerk:\PfadZuAntwortdatei\Antwortdatei”. |
Hinzufügen von Domänencontrollern an RemotestandortenWenn Sie einen zusätzlichen Domänencontroller an einem Remotestandort installieren, können Sie Active Directory entweder vor der Auslieferung des Servers an den Remotestandort oder aber danach installieren. Sie haben hierbei die folgenden Möglichkeiten: | • | Liefern Sie den Computer als Arbeitsgruppencomputer aus, und installieren Sie Active Directory am Remotestandort. Aktivieren Sie vor der Auslieferung Remotedesktop auf dem Computer. Am Remotestandort haben Sie die folgenden Möglichkeiten: | • | Installieren Sie Active Directory über die wiederhergestellte Sicherung. | | • | Installieren Sie Active Directory über das Netzwerk. |
| | • | Installieren Sie Active Directory an einem zentralen Standort, und liefern Sie den installieren Domänencontroller an den Remotestandort aus. |
Beide Verfahren haben Vor- und Nachteile. Weitere Informationen hierzu finden Sie unter "Bekannte Probleme beim Hinzufügen von Domänencontrollern an Remotestandorten". Weitere Informationen zur Verwaltung von Domänencontroller an Remotestandorten finden Sie unter "Best Practices für das Hinzufügen von Domänencontrollern an Remotestandorten". In den nächsten Abschnitten werden folgende Aufgaben zur Installation von Domänencontrollern an Remotestandorten beschrieben: | • | "Vorbereiten eines Servers auf die Installation von einem Sicherungsmedium" | | • | Vorbereiten eines bestehenden Domänencontrollers auf die Ausliefung | | • | "Einen Domänencontroller wieder mit dem Netzwerk verbinden" |
Bekannte Probleme beim Hinzufügen von Domänencontrollern an RemotestandortenMit den beiden folgenden Verfahren können Sie Domänencontroller an Remotestandorten hinzufügen: | • | Liefern Sie einen Mitgliedscomputer an den Remotestandort aus, und installieren Sie Active Directory über dcpromo /adv. | | • | Installieren Sie Active Directory an einem zentralen Standort, und liefern Sie ihn an den Remotestandort aus. |
Die SYSVOL-Replikation hat potenzielle Auswirkungen auf beide Verfahren. Die entsprechenden Vor- und Nachteile werden im folgenden Abschnitt besprochen. Wichtig Versuchen Sie nicht ausschließlich nach den im folgenden Abschnitt gegebenen Empfehlungen vorzugehen. Die vollständigen Informationen zu den notwendigen Verfahrensweisen finden Sie in den jeweiligen aufgabenbezogenen Abschnitten dieses Handbuches. SYSVOL-ReplikationSYSVOL ist eine Freigabe, in der Dateien gespeichert werden, die zwischen allen Domänencontrollern synchronisiert werden. Zu diesen Dateien gehören die NETLOGON-Freigabe und FRS-Stagingdateien und -verzeichnisse. Hauptziel beider hier besprochenen Installationsverfahren ist das Vermeiden von Replikationsverkehr über WAN-Verbindungen. Dies wird mit beiden Verfahren erreicht. Abhängig von der Größe Ihres SYSVOL-Ordners kann es jedoch zusätzlich notwendig sein, sich auch mit der Replikation dieses Ordners zu befassen. Wenn Sie keine entsprechenden Maßnahmen ergreifen, wird SYSVOL ganz normal über eine Replikation auf den neuen Domänencontroller übertragen. Mit den folgenden vorbereitenden Schritten können Sie dieses Verhalten ändern: | • | "Vorbereiten eines Servers auf die Installation von einem Sicherungsmedium" | | • | Vorbereiten eines bestehenden Domänencontrollers auf die Ausliefung |
Installation von Active Directory an einem Remotestandort mithilfe eines SicherungsmediumsDie Möglichkeit, einen Domänencontroller mithilfe einer Sicherung wiederherzustellen, ist ein neues Features von Windows Server 2003. Der Verfahren setzt sich aus drei grundlegenden Schritten zusammen: 1. | Sicherung des Systemstatus auf einem Domänencontroller in der Domäne, in der sich auch der neue Domänencontroller befinden soll. Wenn es sich um einen globalen Katalog Server handeln soll, führen Sie die Sicherung auf einem globalen Katalog aus. Wenn es sich um einen DNS-Server handeln soll, wählen Sie einen DNS-Server. | 2. | Wiederherstellung der Sicherung an einem anderen Standort. Sie können die Sicherung direkt auf dem Computer wiederherstellen, den Sie als Domänencontroller installieren möchten, oder sie auf einem Wechseldatenträger speichern | 3. | Ausführen von Dcpromo mit der Option /adv. |
Dieses Verfahren hat mehrere Vorteile. Zum Beispiel reduziert es deutlich die notwendige Netzwerkbandbreite. Es gibt jedoch ein paar Probleme. Diese treten meist bei Bereitstellungen mit einer großen Anzahl von Remotestandorten auf. Wenn Sie mehr als 100 Standorte einsetzen, können zusätzliche Überlegungen notwendig werden. Mehr zu diesem Thema erfahren Sie unter http://go.microsoft.com/fwlink/?LinkId=42506. Vorteile| • | Sie können viele Domänencontroller mit einem Sicherungsmedium installieren. Weitere Informationen zu diesem Thema finden Sie unter "Vorbereiten eines Servers auf die Installation von einem Sicherungsmedium". | | • | Sie müssen den Domänencontroller nicht aus der Replikationstopologie entfernen. Daher kommt es zu keinen Ausfallzeiten. Weitere Informationen zu diesem Thema finden Sie unter Probleme. | | • | Sie vermeiden eine Replikation des gesamten Active Directory über eine WAN-Verbindung. | | • | Sie sind in der Lage, den Remotedesktop vor der Auslieferung des Computers zu aktivieren. Es muss sich am Remotestandort also kein Administrator befinden. |
Probleme im Zusammenhang mit der Installation von Active Directory über Sicherungsmedien an einem Remotestandort| • | Domänen-Admins-Rechte und die Remoteinstallation: Ein Administrator muss zur Installation von Active Directory über Domänen-Admins-Rechte verfügen. Wenn Sie keinen Administrator am Remotestandort zu Verfügung haben, muss ein Administrator der Zentrale in der Lage sein, sich mit dem Server remote zu verbinden. Daher muss der Remotedesktop aktiviert sein. | | • | Zeitaufwand für die Wiederherstellung des Systemstatus: Die Installation wird durch das Wiederherstellen des gesicherten Systemstatus an einem anderen Speicherort vorbereitet. Sie benötigen also Zeit für die Erstellung der Sicherung und für die Wiederherstellung der Sicherung. Allerdings ist die Erstellung nur einmal notwendig, und Sie haben die Möglichkeit, die Sicherung möglichst klein zu halten. Wenn Sie die Sicherung auf der selben Festplatte wiederherstellen, auf der später die Datenbank gehostet wird, verkürzt sich die benötigte Zeit weiter - in diesem Fall wird die Datenbank aus der Sicherung verschoben statt kopiert. Weitere Informationen zu diesem Thema finden Sie unter "Vorbereiten eines Servers auf die Installation von einem Sicherungsmedium". | | • | Sicherungsquelle für Anwendungspartitionen: Wenn DNS-Zonendaten in Anwendungspartitionen gespeichert werden, kann sich deren Replikation drastisch auswirken. Wenn die Sicherung unter Windows Server 2003 ohne SP durchgeführt wurde, schließt die Wiederherstellung des Systemstatus Anwendungspartitionen nicht mit ein.
Für das Einschließen von Anwendungspartitionen in die Sicherung bestehen folgende Voraussetzungen: | • | Der zu sichernde Domänencontroller und der Ziel-Domänencontroller müssen unter Windows Server 2003 Service Pack 1 (SP1) ausgeführt werden. | | • | Die Gesamtstrukturfunktionsebene muss Windows Server 2003 sein. | | • | Sie müssen eine Antwortdatei zur Installation von Active Directory verwenden. Über die Benutzeroberfläche von Dcpromo ist es nicht möglich, Anwendungspartitionen anzugeben. |
Weitere Informationen finden Sie unter "Vorbereiten eines Servers auf die Installation von einem Sicherungsmedium". | | • | Lastverteilung auf dem Bridgeheadserver: Wenn Sie die Sicherung für viele Standorte verwenden und viele Domänencontroller zur gleichen Zeit installiert werden, kann es sein, dass es zu Leistungsproblemen auf den Bridgeheadservern kommt. Anmerkung
Dieses Problem tritt nur in Situationen mit hunderten von Domänencontrollern, die zur gleichen Zeit installiert werden, auf. Weitere Informationen hierzu finden Sie unter http://go.microsoft.com/fwlink/?LinkId=42506. | • | Replikation zwischen Standorten: Sie können die Auslastung von Standortverknüpfungen durch Replikation zwischen Standorten nicht gleichmäßig verteilen. Wenn Sie mehr als 100 Domänencontroller in Remotestandorten installieren, wird möglicherweise nach der Installation eine manuelle Anpassung der Standortverknüpfungen notwendig. Weitere Informationen zu diesem Thema finden Sie unter http://go.microsoft.com/fwlink/?LinkId=42506. | | • | FRS-Replikation: Da der FRS die CPU, den Speicher und die Datenträger auf dem Quellcomputer belastet, wird empfohlen, nicht mehr als zehn Domänencontroller in Remotestandorten gleichzeitig zu installieren. Wenn nur ein Domänencontroller als Quelle für die SYSVOL-Replikation dient, kann sich dies deutlich auf dessen Leistung auswirken. Sie können den entsprechenden Domänencontroller allerdings auch im Rahmen von Dcpromo explizit festlegen. |
|
Installation von Domänencontrollern vor deren Auslieferung an einen RemotestandortWenn Sie einen Domänencontroller installieren und diesen dann für einen gewissen Zeitraum vom Netzwerk trennen, unterbinden Sie damit logischerweise auch seine Replikation. Dies führt zu Fehlern - zum Beispiel, wenn ein Domänencontroller versucht, mit dem betreffenden Domänencontroller zu replizieren. Solange Sie sich bewusst sind, was die Gründe für diese Fehler sind, stellt dies jedoch kein Problem dar. Vorteile der Installation von Domänencontrollern vor deren Auslieferung an einen RemotestandortDie Installation von Domänencontrollern vor deren Auslieferung an einen Remotestandort bringt Ihnen die folgenden Vorteile: | • | Standardisierung: Sie installieren jeden Domänencontroller automatisiert und standardisiert. Wenn Sie nach den gezeigten Anweisungen vorgehen, ist am Remotestandort so nur noch ein Neustart des Domänencontrollers notwendig. | | • | Personal am Remotestandort: Nur am zentralen Standort ist Personal mit Domänen-Admins-Rechten erforderlich. |
Probleme| • | Fehler durch nicht aktive Domänencontroller: Wenn Sie Domänencontroller vom Netzwerk trennen, versuchen andere Domänencontroller weiter, mit diesem zu replizieren. So werden Fehler generiert. | | • | Zusätzliche Vorbereitung: Damit der Domänencontroller wieder sauber mit dem Netzwerk verbunden werden kann, sind zusätzliche Vorbereitungen notwendig: | • | Vorbereiten des nicht autorisierenden Neustarts von SYSVOL. | | • | Sicherstellen einer passenden Tombstone-Lebensdauer, um das Verbleiben von permanent gelöschten Objekten auf dem Domänencontroller zu vermeiden. |
| | • | Schutz bestehender Konten und Metadaten: Sie müssen sicherstellen, dass die Computerkonten und Metadaten des Domänencontroller nicht versehentlich gelöscht oder geändert werden, während dieser nicht in Betrieb ist. | | • | Risiko von dauerhaft bestehenden Objekten: Bei solchen Objekten handelt es sich um Objekte, die auf einem Domänencontroller ohne Netzwerkverbindung nach der Löschung von allen anderen Domänencontrollern erhalten bleiben. Löschvorgänge werden als Tombstone-Objekte repliziert. Diese Objekte haben nur eine eingeschränkte Lebensdauer. Nachdem ein Tombstone permanent aus Active Directory entfernt wurde, ist es nicht mehr möglich, die Löschung zu replizieren. Daher kann es sein, dass ein Domänencontroller, den Sie nach längerer Inaktivität wieder starten, nicht erkennt, dass ein Objekt gelöscht ist. Dieses bleibt dann auf dem entsprechenden Domänencontroller bestehen (jedoch auf keinem anderen Domänencontroller). Wenn Sie einen Domänencontroller tatsächlich für einen längeren Zeitraum außer Betrieb setzen möchten (länger als die Tombstone-Lebensdauer), dann müssen Sie die Verzeichniskonsistenz über weitere Schritte sicherstellen. Mehr Informationen erhalten Sie unter Fixing Replication Lingering Object Problems (Event IDs 1388, 1988, 2042). |
Erhalten der Verzeichniskonsistenz beim Trennen von Domänencontrollern vom NetzwerkDie folgenden Punkte sollten Ihnen bekannt sein, bevor Sie Domänencontroller vom Netzwerk trennen: | • | Die Beziehung zwischen Tombstone-Lebensdauer und Active Directory-Sicherung. | | • | Schutz vor dauerhaft bestehenden Objekten. | | • | Verfügbarkeit von Betriebsmasterrollen in der Domäne und Gesamtstruktur. | | • | Aktualität der Active Directory-Replikation zum Zeitpunkt des Trennens vom Netzwerk. | | • | SYSVOL-Konsistenz beim erneuten Verbinden mit dem Netzwerk. | | • | Die folgenden Verfahren beschäftigen sich mit den oben genannten Punkten: | | • | Vorbereiten eines bestehenden Domänencontrollers auf die Ausliefung | | • | "Einen Domänencontroller wieder mit dem Netzwerk verbinden" |
Tombstone-Lebensdauer und die SicherungActive Directory Sicherungen sind nur für die Dauer der Tombstone-Lebensdauer zur Wiederherstellung von Domänencontrollern brauchbar. Wenn ein Objekt gelöscht wird, repliziert Active Directory das Objekt als Tombstone (dieser besteht aus ein paar Attributen des gelöschten Objektes). Der Tombstone verbleibt in einer Gesamtstruktur standardmäßig 60 Tage. Unter Windows Server 2003 Service Pack 1 (SP1) ändert sich dieser Wert auf 180 Tage - jedoch nur bei Gesamtstrukturen, die direkt über Domänencontroller erstellt wurden, die unter Windows Server 2003 SP1 ausgeführt werden. NTBackup.exe stellt keine Systemstatussicherung wieder her, die älter als die Tombstone-Lebensdauer ist. Die zum Zeitpunkt der Aktualisierung der Domäne auf Windows Server 2003 SP1 gültige Tombstone-Lebensdauer wird nicht verändert. Sie bleibt so lange gültig, bis sie manuell verändert wird. Sie können die Lebensdauer über das Attribut tombstoneLifetime unter CN=Directory Service,CN=Windows NT,CN=Services,CN=Configuration,DC=Stammdomäne in ADSI Edit (adsiedit.msc) ermitteln. Sollte tombstoneLifetime den Wert <Not Set> haben, gilt der Standardwert von 60 Tagen (beziehungsweise 180 Tage unter Windows Server 2003 SP1). Nach dem Ablauf der Lebensdauer wird der Tombstone dauerhaft entfernt. Sollte ein Domänencontroller länger als die Lebensdauer nicht mit dem Netzwerk verbunden sein, erfährt er somit nichts vom Löschen eines Objektes. Aus diesem Grund können Sie keine Sicherungen wiederherstellen, die älter als die Tombstone-Lebensdauer sind. In Situationen, in denen Sie nicht verhindern können, dass ein Domänencontroller länger als die Tombstone-Lebensdauer vom Netzwerk getrennt ist, sollten Sie überlegen, ob Sie die Tombstone-Lebensdauer für diesen Zeitraum vergrößern. Weitere Informationen zu diesem Thema finden Sie unter Kapitel 10 - Beheben von Fehlern im Zusammenhang mit zurückgebliebenen Objekten (Ereignis-ID 1388, 1988 und 2042)". Verhindern von Problemen durch zurückgebliebene ObjekteSollte ein gelöschtes Objekt wie oben beschrieben auf einem längerfristig von Netzwerk getrennten Domänencontroller zurückgeblieben sein, kann es passieren, dass dieses Objekt wieder auf alle Domänencontroller der Domäne repliziert wird. Dies passiert dann, wenn das Objekt auf dem veralteten Domänencontroller bearbeitet wird. In diesem Fall repliziert Active Directory die Änderung am entsprechenden Objekt an einen Domänencontroller, auf dem das Objekt aufgrund der Löschung nicht mehr vorhanden ist. Unter Windows 2000 Server Service Pack 3 (SP3) oder Service Pack 4 (SP4) und Windows Server 2003 können Sie festlegen, was in einem solchen Fall auf einem Domänencontroller passieren soll. Hierzu dient der Registrierungseintrag strict replication consistency unter HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\Parameters. Der Eintrag kann die folgenden Werte haben: | • | 1 (aktiviert): Die eingehende Replikation der entsprechenden Verzeichnispartition von dieser Quelle aus wird angehalten. Die Replikation wird auf beiden beteiligten Domänencontrollern angehalten. | | • | 0 (deaktiviert): Der Ziel-Domänencontroller fordert das vollständige Objekt vom Quell-Domänencontroller an und erstellt eine vollständige Kopie. Das gelöschte Objekt ist somit in der Domäne wieder vorhanden. |
Weitere Informationen zu diesem Thema finden Sie unter Kapitel 10 - Beheben von Fehlern im Zusammenhang mit zurückgebliebenen Objekten (Ereignis-ID 1388, 1988 und 2042)". Aktualität der Active Directory-ReplikationStellen Sie sicher, dass ein Domänencontroller vor der Trennung vom Netzwerk aktualisiert wird. Stoßen Sie direkt vorher eine Replikation an und prüfen Sie, ob alle Verzeichnispartitionen repliziert wurden. Sie maximieren so den Zeitraum, über den der Domänencontroller problemlos vom Netzwerk getrennt werden kann. SYSVOL-KonsistenzDie SYSVOL-Replikation kann nicht manuell synchronisiert werden. Aus diesem Grund ist die Aktualisierung von SYSVOL vor der Trennung vom Netzwerk schwerer durchzuführen als die Verzeichnisaktualisierung. Um sicherzustellen, dass der Domänencontroller nach der erneuten Verbindung mit dem Netzwerk eine SYSVOL-Synchronisation durchführt, bereiten Sie diesen auf einen nicht autorisierenden Neustart von SYSVOL vor - und zwar unabhängig davon, wie lange der Domänencontroller vom Netzwerk getrennt wird. Bei einem solchen Neustart findet automatisch eine SYSVOL-Synchronisation statt. Best Practices für das Hinzufügen von Domänencontrollern an RemotestandortenLesen Sie den Abschnitt "Bekannte Probleme beim Hinzufügen von Domänencontrollern an Remotestandorten". Mit diesen Informationen können Sie entscheiden, welches Verfahren in Ihrer Umgebung am besten für die Installation von Domänencontrollern an Remotestandorten geeignet ist. Wichtig Versuchen Sie nicht ausschließlich nach den in diesem Abschnitt gegebenen Empfehlungen vorzugehen. Die vollständigen Informationen zu den notwendigen Verfahrensweisen finden Sie in den jeweiligen aufgabenbezogenen Abschnitten dieses Handbuches. Installation von Active Directory an einem Remotestandort mithilfe eines SicherungsmediumsPrimärer Zweck der Installation mithilfe eines Sicherungsmediums ist es, alle Daten für die Domänen-, Konfigurations- und Schemapartition sowie, wenn notwendig, die Partitionen für den globalen Katalog und die DNS-Anwendungspartitionen lokal zur Verfügung zu stellen. Nur die seit der Sicherung durchgeführten Aktualisierungen müssen so repliziert werden. Zwar ist auch SYSVOL Teil der Sicherung des Systemstatus, aber unter bestimmten Bedingungen wird die Sicherung nicht zur Wiederherstellung von SYSVOL verwendet. Die Wiederherstellung von SYSVOL aus einer Sicherung ist komplizierter als die Wiederherstellung von Active Directory und somit möglicherweise nicht sonderlich lohnenswert. Weitere Informationen zu diesem Thema finden Sie unter "Bekannte Probleme beim Hinzufügen von Domänencontrollern an Remotestandorten". Sie haben die folgenden zwei Möglichkeiten, einen oder mehrere Domänencontroller mithilfe einer Sicherung wiederherzustellen: | • | Kopieren Sie die nicht wiederhergestellte .bkf-Datei auf einen Wechseldatenträger (CD oder DVD), den Sie zusammen mit dem Server an den Remotestandort versenden. | | • | Stellen Sie die Systemsicherung auf einem der lokalen Laufwerke des Servers wieder her, bevor Sie diesen an den Remotestandort versenden. |
Weitere Informationen zu den Vor- und Nachteilen dieser Methoden finden Sie unter "Vorbereiten eines Servers auf die Installation von einem Sicherungsmedium". Mit der Option Dcpromo /adv von Windows Server 2003 sind Sie nicht mehr dazu gezwungen, einen Server vor dem Versenden zu einem Domänencontroller zu machen oder das gesamte Verzeichnis am Remotestandort über WAN-Verbindungen replizieren zu müssen. Beim Hinzufügen von Domänencontrollern an Remotestandorten gelten die folgenden Best Practices in Bezug auf die Optimierung der Datensicherheit und -konsistenz: | • | Aktualisieren Sie auf Windows Server 2003 Service Pack 1 (SP1): Wenn Sie Active Directory-integriertes DNS verwenden oder Anwendungspartitionen mit in die Replikation einschließen möchten, aktualisieren Sie die Computer auf Windows Server 2003 SP1, bevor Sie Active Directory installieren. Anwendungspartitionen können sonst nicht berücksichtigt werden. Außerdem kann es zu deutlichen Replikationsbelastungen in Bezug auf DNS-Anwendungspartitionen kommen. | | • | Sichern Sie den Typ von Domänencontroller, den Sie hinzufügen möchten: Wenn Sie einen globalen Katalog Server hinzufügen möchten, müssen Sie auch einen globalen Katalog Server sichern. Wenn Sie einen DNS-Server hinzufügen möchten, gilt das Gleiche. | | • | Ergreifen Sie für die Versendung von Sicherungsmedien die gleichen Vorsichtsmaßnahmen, die Sie auch für die Versendung von installierten Domänencontrollern ergreifen würden: Weitere Informationen zu diesem Thema finden Sie unter http://go.microsoft.com/fwlink/?LinkId=28521. | | • | Minimieren Sie die Zeit zwischen Sicherung und Installation: Je geringer diese Zeitraum ist, desto weniger Aktualisierungen müssen nach der Installation repliziert werden. | | • | Installieren Sie das Betriebssystem, bevor der Server an den Remotestandort ausgeliefert wird: Wahrscheinlich läuft die Installation an Ihrem zentralen Standort sehr viel zuverlässiger und schneller ab. Außerdem kann es sein, dass am Remotestandort kein geeignetes Personal zu Verfügung steht. | | • | Versenden Sie den Server als Mitglied einer Arbeitsgruppe und nicht als Mitgliedsserver einer Domäne: Wenn der Server bereits einer Domäne angehört und während des Transports gestohlen wird, erhalten die Diebe Informationen zu Domänenamen, DNS-Suffixen und zur Anzahl der Domänen in der Gesamtstruktur, die sie für Angriffe nutzen können. | | • | Liefern Sie die Server mit korrekt konfigurierten TCP/IP-Einstellungen aus: Denken Sie daran, die Einstellungen an den Zielstandort anzupassen. Besonders sollten Sie darauf achten, dass der Domänencontroller nicht sich selbst als DNS-Server verwendet. | | • | Aktivieren Sie den Remotedesktop: Diesen Schritt sollten Sie ausführen, wenn sie Active Directory remote installieren und verwalten möchten. |
Installation von Domänencontrollern vor dem Ausliefern an den RemotestandortDas größte Risiko für einen Domänencontroller, der vom Netzwerk getrennt ist, besteht darin, dass dieser länger vom Netzwerk getrennt ist als die Tombstone-Lebensdauer beträgt und somit Objekte entstehen, die gelöscht wurden und dauerhaft bestehen bleiben. Solche Objekte führen zu einer Inkonsistenz des Verzeichnisses und werden in einigen Fällen sogar im gesamten Verzeichnis wiederhergestellt. Weitere Informationen finden Sie unter "Bekannte Probleme beim Hinzufügen von Domänencontrollern an Remotestandorten". Um diese Probleme zu verhindern, nutzen Sie die folgenden Best Practices: | • | Aktualisieren Sie alle Domänencontroller unter Windows 2000 Server auf Windows Server 2003: Hierzu ist
eine Änderung des Schemas der Gesamtstruktur mithilfe von adprep /forestprep notwendig.
Danach können Sie die Domänencontroller aktualisieren. Die Schemaaktualisierung kann bei großen Datenbanken unter Umständen zu Replikationsverzögerungen
führen. Daher sollten alle Domänencontroller unter Windows 2000 Server mindestens mit Windows 2000 Service Pack 2 (SP2) und allen Windows-Updates
ausgeführt werden. Dringend empfohlen wird jedoch, Windows 2000 Service Pack 3 (SP3) auf allen Domänencontrollern zu installieren. Weitere Informationen
zur Aktualisierung auf Windows Server 2003 finden Sie unter
http://go.microsoft.com/fwlink/?LinkId=46082. | | • | Aktivieren Sie die Einstellung strict
replication consistency auf allen Domänencontrollern: Sie können hierzu den Befehl Repadmin /regkey
aus den Windows Support Tools zu Windows Server 2003 SP1 verwenden. | | • | Überwachen Sie die
KCC-Topologie und -Replikation: Wenn Sie die Replikation überwachen, können Sie feststellen, ob es irgendwo zu Netzwerkfehlern,
Dienstausfällen oder Konfigurationsfehlern kommt. Nutzen Sie Active Directory Management Pack zur Überwachung. Zu den zu überwachenden Ereignissen
gehören: 1311, 1388, 1925, 1988, 2042, 2087 und 2088. | | • | Liefern Sie die Server mit korrekt
konfigurierten TCP/IP-Einstellungen aus: Denken Sie daran, die Einstellungen an den Zielstandort anzupassen. Besonders sollten Sie darauf
achten, dass der Domänencontroller nicht sich selbst als DNS-Server verwendet. | | • | Korrekte
Konfiguration der Tombstone-Lebensdauer: Die Tombstone-Lebensdauer liegt standardmäßig bei 60 Tagen. Unter Windows Server 2003 Service
Pack 1 (SP1) ändert sich dieser Wert auf 180 Tage - jedoch nur bei Gesamtstrukturen, die direkt über Domänencontroller erstellt wurden, die unter
Windows Server 2003 SP1 ausgeführt werden. Sollten Sie einen Domänencontroller für mehrere Wochen oder Monate vom Netzwerk trennen müssen, gehen Sie
folgendermaßen vor: | • | Stellen Sie fest, wie lange der Domänencontroller getrennt werden muss. | | • | Stellen Sie die aktuelle Tombstone-Lebensdauer fest: Der Wert wird unter tombstoneLifetime in CN=Directory Service,CN=Windows NT,CN=Services,CN=Configuration,DC=Stammdomäne gespeichert. | | • | Stellen Sie fest, wie lange der Domänencontroller maximal getrennt sein kann:
Ziehen Sie den zu erwartenden Zeitraum für eine vollständige Replikation von der Tombstone-Lebensdauer ab. | | • | Stellen Sie fest, ob die Tombstone-Lebensdauer der Gesamtstruktur erhöht werden muss: Wenn die Zeit, für die der Domänencontroller getrennt wird, die maximal mögliche Zeit übersteigt, müssen Sie die Tombstone-Lebensdauer erhöhen. Außerdem sollten Sie dafür sorgen, dass auf allen Domänencontrollern ausreichend Platz für die zusätzlichen Tombstones vorhanden ist und dass die Änderung an alle Domänencontroller repliziert wurde. |
| | • | Bereiten Sie die Registrierung für einen automatischen,
nicht autorisierenden Neustart von SYSVOL vor: SYSVOL kann nicht vor der Trennung manuell aktualisiert werden. Sie können jedoch eine
SYSVOL-Aktualisierung beim Neustart des Domänencontrollers konfigurieren. | | • | Stellen Sie sicher,
dass der Domänencontroller mit allen Replikationspartnern korrekt repliziert: Direkt bevor Sie den Domänencontroller trennen, stoßen Sie
eine Replikation mit allen Partnern an. Prüfen Sie, ob die Replikation erfolgreich war. | | • |
Beschriften Sie den Domänencontroller: Beschriften Sie den Domänencontroller so, dass sie Datum und Uhrzeit seiner Trennung vom Netzwerk,
seinen Zielstandort und seine TCP/IP-Einstellungen feststellen können. | | • | Stellen Sie SYSVOL
beim Verbinden des Domänencontrollers mit dem Netzwerk so schnell wie möglich wieder her: Der Domänencontroller kann seine Arbeit nicht
aufnehmen, bevor SYSVOL nicht über eine Replikation aktualisiert wurde. Wenn es andere Domänencontroller am gleichen Standort gibt, ist es egal, wann
Sie die Replikation anstoßen. Sollte es keine anderen Domänencontroller geben, müssen Sie dies zu einem Zeitpunkt erledigen, zu dem eine
standortübergreifende Replikation stattfindet. | | • | Lassen Sie nicht zu, dass ein nicht aktueller
Windows 2000 Server-Domänencontroller repliziert: Wenn ein Domänencontroller unter Windows 2000 Server für länger als die maximal mögliche
Zeit vom Netzwerk getrennt wurde, lassen Sie keine Replikation zu. Führen Sie stattdessen eine Deinstallation von Active Directory aus, bereinigen Sie die
Metadaten, und installieren Sie Active Directory neu. Weitere Informationen finden Sie unter "Einen Domänencontroller wieder mit dem Netzwerk verbinden".
Anmerkung
Diese Empfehlungen gelten für zusätzliche Domänencontroller in einer bestehenden
Domäne. Wenn der veraltete Domänencontroller der einzige Domänencontroller der Domäne ist, sollten Sie diesen wieder mit der Domäne verbinden und nach
den Anweisungen in dem folgenden Artikel vorgehen: http://go.microsoft.com/fwlink/?LinkId=37924. | | • | Um Probleme mit der
Zeitabstimmung zu vermeiden, sollten Sie sicherstellen, dass die Systemuhr mit dem Zeitgeber der Domäne synchronisiert ist: Verwenden Sie
hierzu den folgenden Befehl:
net time /domain:Domänenname /set /y |
Siehe auchBekannte Probleme beim Hinzufügen von Domänencontrollern an Remotestandorten" Vorbereiten eines Servers auf die Installation von einem Sicherungsmedium" Vorbereiten eines bestehenden Domänencontrollers auf die Ausliefung Einen Domänencontroller wieder mit dem Netzwerk verbinden" Verwaltung von SYSVOL" Arbeitsweise des Active Direktory-Replikationsmodells Active Directory Management Pack Technical Reference for MOM 2005 (engl.) Vorbereiten eines Servers auf die Installation von einem SicherungsmediumGenaue Richtlinien zur Installation von Active Directory über ein Sicherungsmedium finden Sie unter "Installation eines Domänencontrollers in eine bestehenden Domäne mithilfe von Sicherungsmedien". Lesen Sie diesen Abschnitt, bevor Sie hier fortfahren! Wenn Sie den Active Directory am Remotestandort mithilfe von Sicherungsmedien installieren möchten, müssen Sie sich überlegen, wie Sie die Sicherung wiederherstellen möchten. Außerdem müssen Sie entscheiden, ob Sie Wechseldatenträger verwenden möchten oder die Sicherung direkt auf dem auszuliefernden Server speichern möchten. Die tatsächliche Sicherung können Sie mit den Schritten aus dem Abschnitt "Installation eines Domänencontrollers in eine bestehenden Domäne mithilfe von Sicherungsmedien" ausführen. Mit den folgenden Schritten bereiten Sie einen Computer für die Installation über die Wiederherstellung von Sicherungsmedien vor: | • | Sichern Sie den Systemstatus auf einem Domänencontroller aus der Domäne, der auch der neue Domänencontroller angehören soll. Gehen Sie hierbei nach den Empfehlungen im Abschnitt "Installation eines Domänencontrollers in eine bestehenden Domäne mithilfe von Sicherungsmedien" vor. | | • | Entscheiden Sie, ob Sie die Sicherung auf dem zu installierenden Domänencontroller oder auf einem Sicherungsmedium an den Remotestandort ausliefern wollen. | | • | Entscheiden Sie, auf welchem Volumen oder auf welchem Sicherungsmedium die Sicherung gespeichert werden soll. Eine große Ntds.dit-Datei kann sich auf die zur Installation von Active Directory notwendige Zeit auswirken. Wenn Sie einen großen SYSVOL-Ordner haben, kann sich diese Entscheidung außerdem darauf auswirken, ob während der Active Directory-Installation eine Replikation von SYSVOL stattfindet. | | • | Aktivieren Sie den Remotedesktop, bevor Sie den Server ausliefern. Sie können dies zwar auch remote über die Registrierung durchführen, aber diese Methode sollte nur angewandt werden, wenn die Aktivierung vorher vergessen wurde. | | • | Wenn Sie einen Domänencontroller unter Windows Server 2003 Service Pack 1 (SP1) in einer Gesamtstruktur mit der Funktionsebene Windows Server 2003 oder Windows Server 2003-interim installieren, können Sie Anwendungspartitionen in das Installationsmedium mit aufnehmen. Hierzu müssen Sie eine Antwortdatei erstellen. |
Wiederherstellen der Sicherung auf dem zu installierenden Domänencontroller oder Verwenden eines WechseldatenträgersSie haben die folgenden Möglichkeiten, eine Sicherung an den Remotestandort auszuliefern: | • | Kopieren Sie die nicht wiederhergestellte .bkf-Datei auf einen Wechseldatenträger (CD oder DVD), den Sie zusammen mit dem Server an den Remotestandort versenden. Der Vorteil dieser Methode ist, dass Sie sich die Möglichkeit offen halten, SYSVOL ebenfalls mit in das Sicherungsmedium aufzunehmen. | | • | Stellen Sie die Systemsicherung auf einem der lokalen Laufwerke des Servers wieder her, bevor Sie diesen an den Remotestandort versenden. Am Remotestandort sind dann keine weiteren Aktivitäten erforderlich. | | • | Stellen Sie die Systemsicherung auf einem der lokalen Laufwerke des Servers wieder her, bevor Sie diesen an den Remotestandort versenden. Am Remotestandort sind dann keine weiteren Aktivitäten erforderlich. | | • | Stellen Sie die Sicherung an irgendeinem Speicherort auf irgendeinem Server wieder her, und kopieren Sie diese dann auf einen Wechseldatenträger. Der Vorteil dieses Verfahrens ist, dass Sie die Sicherung nur einmal wiederherstellen. Der Nachteil ist, dass Sie durch das Kopieren der wieder hergestellten Dateien die SYSVOL-Daten verlieren, die Sie zur Wiederherstellung von SYSVOL aus einer Sicherung benötigen. Weitere Informationen dazu, wie Sie sicherstellen, dass SYSVOL aus einer Sicherung wieder hergestellt wird, finden Sie unter http://go.microsoft.com/fwlink/?LinkId=37924. |
Festlegen des zur Wiederherstellung dienenden VolumensUm eine schnellere Wiederherstellung zu fördern, sollten Sie die Sicherung auf dem Volumen wiederherstellen, das später auch die Ntds.dit-Datei hosten soll. Andernfalls stellen Sie die Sicherung auf einem beliebigen Volumen her, das über genügend freien Speicherplatz verfügt. Wenn Sie die Sicherung auf dem gleichen Volumen wieder herstellen, wirkt sich dies folgendermaßen aus: | • | Active Directory-Dateien: Das Volumen, auf dem Sie die Ntds.dit- und NTDS-Protokolldateien wieder herstellen, wirkt sich auf die Installationsdauer aus und auch darauf, ob Sie nach der Installation Dateien löschen müssen: | • | Wenn Sie das gleiche Volumen wählen, werden die Dateien während der Installation nur verschoben - was deutlich schneller als das Kopieren geht. | | • | Wenn Sie ein anderes Volumen wählen, werden die Dateien kopiert. Dies führt logischerweise dazu, dass Sie die Ursprungsdateien später löschen müssen. |
| | • | SYSVOL-Replikation: Durch die Auswahl des Wiederherstellungsvolumens legen Sie außerdem fest, ob der FRS die wieder hergestellten Dateien als Quelle für den SYSVOL-Ordner verwendet oder ob er diesen von einem anderen Domänencontroller repliziert. Um SYSVOL mit den Sicherungsdaten wieder herzustellen, müssen Sie die Sicherung auf dem gleichen Volumen wieder herstellen, das später SYSVOL hosten soll.
Wenn nur ein Domänencontroller in der Domäne installiert wird (SYSVOL wurde nicht oder nur einmal zwischen zwei Domänencontroller der Domäne repliziert), ist für die Wiederherstellung von SYSVOL aus einer Sicherung die Konfiguration eines „Hilfsdomänencontrollers“ notwendig. Über diesen „Hilfsdomänencontroller“ wird SYSVOL vor der Wiederherstellung der Systemstatus-Sicherung vorbereitet.
Anmerkung
Im Hinblick auf die Redundanz und die Ausfallsicherheit sollten Sie in jeder Domäne mindestens zwei Domänencontroller bereitstellen. |
Weitere Informationen dazu, wie Sie sicherstellen, dass SYSVOL aus der Sicherung wieder hergestellt wird, finden Sie unter http://go.microsoft.com/fwlink/?LinkId=37924. Aktivieren von RemotedesktopRemotedesktop ist unter Windows Server 2003 standardmäßig deaktiviert und muss daher explizit vor der Auslieferung aktiviert werden. Erstellen einer Antwortdatei zur DomänencontrollerinstallationWenn Sie Anwendungspartitionen mit in die Sicherung aufnehmen wollen, müssen Sie eine Antwortdatei zur Domänencontrollerinstallation installieren und eine unbeaufsichtigte Installation durchführen. Wenn Sie einen Domänencontroller installieren, der ebenfalls DNS-Server ist, können Sie außerdem die DNS-Anwendungspartition mit in die Sicherung aufnehmen. Um dieses Verfahren durchführen zu können, müssen die folgenden Vorraussetzungen erfüllt sein: | • | Die Gesamtstruktur muss in der Funktionsebene Windows Server 2003 oder Windows Server 2003-interim ausgeführt werden. | | • | Der Domänencontroller, der zur Sicherung dient, und der zu installierende Domänencontroller müssen unter Windows Server 2003 SP1 ausgeführt werden. | | • | Zur Erstellung eines DNS-Servers müssen Active Directory-integrierte DNS-Zonen verwendet werden. | | • | Der Domänencontroller, der zur Sicherung dient, muss die Anwendungspartitionen hosten, die in die Sicherung eingeschlossen werden sollen. |
Anforderungen Um diese Aufgabe abzuschließen, sind die folgenden Tools erforderlich: | • | Ntbackup.exe | | • | Systemsteuerung | | • | Dcpromo.exe | | • | Ref.chm von der Windows Server 2003-Installations-CD (nur für eine unbeaufsichtigte Installation) |
Um diese Aufgabe auszuführen, sind die folgenden Schritte erforderlich: 1. | Kapitel 6 - Sicherung des Systemstatus" auf einem Domänencontroller in der Domäne in dem Sie den neuen Domänencontroller installieren möchten. Hierbei gelten für beide Server die folgenden Vorgaben: | • | Der zu installierende Domänencontroller muss unter Windows Server 2003 ausgeführt werden. Die Version (inklusive der Service Packs) muss der aus der Sicherung entsprechen. | | • | Der Prozessortyp des gesicherten Domänencontrollers muss dem des neu zu installierenden entsprechen. | | • | Wenn der neue Domänencontroller globaler Katalog Server sein soll, muss die Sicherung von einem globalen Katalog Server der entsprechenden Domäne stammen. | | • | Wenn der neue Domänencontroller DNS-Server sein soll, muss die Sicherung von einem DNS-Server der entsprechenden Domäne stammen. |
| 2. | "Wiederherstellen des Systemstatus an einem anderen Speicherort". Sie können die Sicherungsdaten auf einem lokalen Laufwerk des zu installierenden Servers oder an einem anderen Speicherort wieder herstellen. Alternativ können Sie die Daten über einen Wechseldatenträger kopieren. | 3. | "Aktivieren von Remotedesktop" auf dem Zielserver. | 4. | Wenn Sie einen DNS-Server installieren, führen Sie die Aufgabe "Erstellen einer Antwortdatei für eine Domänencontrollerinstallation" aus. | 5. | Versenden Sie den Domänencontroller und alle notwendigen Sicherungsmedien und die Antwortdatei an den Remotestandort. | 6. | Wenn der Server am Remotestandort in Betrieb ist, gehen Sie folgendermaßen vor: | • | "Erstellen einer Remotedesktopverbindung" zum Remoteserver. | | • | Wenn Sie einen Domänencontroller ohne Anwendungspartitionen installieren, führen Sie die Schritte aus dem Abschnitt "Installation von Active Directory mithilfe eines Sicherungsmediums" aus. | | • | Wenn Sie einen Domänencontroller mit Anwendungspartitionen oder einen DNS-Server installieren, führen Sie die Schritte aus dem Abschnitt "Einbeziehen von Anwendungspartitionen in die Active Directory-Installation über ein Sicherungsmedium" aus. |
| 7. | Wenn es sich um einen DNS-Server handelt, führen Sie nach der Installation von Active Directory die Schritte aus dem Abschnitt "Installation des DNS-Serverdienstes" aus. |
Siehe auchInstallation eines Domänencontrollers in eine bestehenden Domäne mithilfe von Sicherungsmedien" Sicherung des SystemstatusWenn Sie den Systemstatus mit Ntbackup.exe sichern, können Sie die geschützten Systemdateien mit sichern oder nicht. Diese Dateien sind für eine Installation mithilfe einer wiederhergestellten Sicherung nicht notwendig - in diesem Fall können Sie die Option deaktivieren. Sie verkleinern so die Größe der Sicherungsdatei und verringern den notwendigen Zeitaufwand. Mit den folgenden Verfahren können Sie nur den Systemstatus sichern. Das Systemvolumen oder andere Daten auf dem Domänencontroller werden nicht berücksichtigt. Mit dem ersten Verfahren, "Sicherung des Systemstatus inklusive der geschützten Systemdateien", können Sie Routinesicherungen des Systemstatus durchführen. Mit dem zweiten Verfahren, "Sicherung des Systemstatus exklusive der geschützten Systemdateien", können Sie eine kleinere Sicherung durchführen, die zur Installation von Domänencontrollern über Sicherungsmedien verwendet werden kann. Anmerkung Um den Systemstatus sichern zu können, müssen Sie als lokaler Administrator am Domänencontroller angemeldet sein. Alternativ muss der Remotedesktop aktiviert sein. Administrative Berechtigungen Um die folgenden Verfahren ausführen zu können, müssen Sie Mitglied der Gruppe Domänen-Admins oder Sicherungsoperatoren sein. "Sicherung des Systemstatus" inklusive der geschützten Systemdateien 1. | Klicken Sie auf Start, klicken Sie auf Ausführen, geben Sie ntbackup ein, und klicken Sie dann auf OK.
In diesem Verfahren verwenden Sie den Assistentenmodus. Standardmäßig ist die Option Immer im Assistentenmodus starten im Sicherungs- und Wiederherstellungsassistenten aktiviert. Klicken Sie andernfalls auf Assistentenmodus. | 2. | Klicken Sie auf Weiter. | 3. | Klicken Sie auf Dateien und Einstellungen sichern, und klicken Sie dann auf Weiter. | 4. | Klicken Sie auf Elemente für die Sicherung selbst auswählen, und klicken Sie dann auf Weiter. | 5. | Klicken Sie doppelt auf Arbeitsplatz. | 6. | Klicken Sie auf Systemstatus, und klicken Sie dann auf Weiter. | 7. | Wählen Sie einen Speicherort für die Sicherung aus:
Anmerkung
Sie sollten die Sicherung nicht auf einer lokalen Festplatte speichern. | 8. | Geben Sie einen Namen ein. Halten Sie sich an die Empfehlungen aus dem Abschnitt Kapitel 6 - Sichern von Active Directory-Komponenten", und klicken Sie dann auf Weiter. | 9. | Klicken Sie auf Erweitert. | 10. | Klicken Sie auf Weiter. | 11. | Aktivieren Sie Daten nach der Sicherung prüfen, und klicken Sie dann auf Weiter. | 12. | Wählen Sie eine der Optionen aus, und klicken Sie dann auf Weiter. | 13. | Wenn Sie bestehende Sicherungen ersetzen, wählen Sie die Option, mit der nur dem Besitzer und dem Administrator Zugriff auf die Sicherungsdaten gewährt wird. Klicken Sie dann auf Weiter. | 14. | Wählen Sie eine für Sie passende Option aus, und klicken Sie dann auf Weiter. | 15. | Klicken Sie auf Fertigstellen.
Anmerkung
Sie können Ntbackup auch über die Eingabeaufforderung nutzen. Weitere Informationen erhalten Sie mit dem Befehl ntbackup /?. |
"Sicherung des Systemstatus exklusive der geschützten Systemdateien" 1. | Klicken Sie auf Start, klicken Sie auf Ausführen, geben Sie ntbackup ein, und klicken Sie dann auf OK. | 2. | Klicken Sie auf Erweiterter Modus, und klicken Sie dann auf die Registerkarte Sichern. | 3. | Wählen Sie Systemstatus aus. | 4. | Geben Sie einen Namen ein. Halten Sie sich an die Empfehlungen aus dem Abschnitt Kapitel 6 - Sichern von Active Directory-Komponenten", und klicken Sie dann auf Weiter. | 5. | Klicken Sie auf Sicherung starten, und klicken Sie dann auf Erweitert. | 6. | Deaktivieren Sie Geschützte Systemdateien automatisch mit dem Systemstatus sichern, und klicken Sie dann auf OK. | 7. | Klicken Sie auf Sicherung starten. |
Siehe auchAktivieren von Remotedesktop" Erstellen einer Remotedesktopverbindung" Wiederherstellen des Systemstatus an einem anderen SpeicherortMit diesem Verfahren können Sie ein Sicherungsmedium erstellen, mit dem Sie einen Domänencontroller wiederherstellen können oder eine autorisierende Wiederherstellung von SYSVOL durchführen können. Administrative Berechtigungen Für dieses Verfahren müssen Sie Mitglied der Gruppe Sicherungsoperatoren der Domäne sein. | • | Für das Wiederherstellen auf einem Mitglieds- oder Arbeitsgruppenserver: Sicherungsoperator auf dem lokalen Computer. | | • | Für das Wiederherstellen des Systemstatus auf einem Domänencontroller: Sicherungsoperator der Domäne. |
Wiederherstellen des Systemstatus an einem anderen Standort 1. | Melden Sie sich an dem wiederzustellenden Server an. | 2. | Klicken Sie auf Start, klicken Sie auf Ausführen, geben Sie ntbackup ein, und klicken Sie dann auf OK. | 3. | Klicken Sie auf Weiter. | 4. | Klicken Sie auf Dateien und Einstellungen wiederherstellen, und klicken Sie dann auf Weiter. | 5. | Klicken Sie auf Suchen und dann nach einmal auf Suchen. | 6. | Navigieren Sie zu der .bkf-Datei. | 7. | Klicken Sie auf die .bkf, die Sie wiederherstellen möchten, und klicken Sie dann auf Öffnen. | 8. | Klicken Sie auf OK. | 9. | Klicken Sie doppelt auf Datei und dann doppelt auf die .bkf-Datei, die wiederhergestellt werden soll. | 10. | Markieren Sie Systemstatus, und klicken Sie dann auf Weiter. | 11. | Klicken Sie auf Erweitert. | 12. | Klicken Sie auf Alternativer Bereich. | 13. | Geben Sie den Pfad zu dem lokalen Ordner ein, in dem Sie die Sicherung wiederherstellen wollen. Klicken Sie dann auf Weiter. Wir empfehlen, zur Wiederherstellung einen Ordner mit dem Namen NTDSRESTORE zu verwenden. | 14. | Klicken Sie dann auf Weiter. | 15. | Klicken Sie dann auf Weiter. | 16. | Klicken Sie auf Fertigstellen. |
Aktivieren von RemotedesktopMit dem folgenden Verfahren können Sie den Remotedesktop auf dem zu installierenden Domänencontroller aktivieren. Administrative Berechtigungen Um dieses Verfahren ausführen zu können, müssen Sie Mitglied der lokalen Gruppe Administratoren sein. Aktivierung von Remotedesktop 1. | Klicken Sie auf Start, Systemsteuerung, und klicken Sie dann auf System. | 2. | Klicken Sie auf der Registerkarte Remote unter RemoteDesktop auf Benutzer erlauben, eine Remotedesktopverbindung herzustellen, und klicken Sie dann auf OK.
Anmerkung
Unter Windows Server 2003 mit Service Pack 1 (SP1) aktivieren Sie die Option Remotedesktop auf diesem Computer aktivieren. |
Sollten Sie die Aktivierung vor der Auslieferung vergessen haben, können Sie den Remotedesktop remote über die Registrierung aktivieren. Administrative Berechtigungen Um dieses Verfahren ausführen zu können, müssen Sie Mitglied der lokalen Gruppe Administratoren sein. Aktivierung von Remotedesktop über die Registrierung 1. | Klicken Sie auf einem Computer unter Windows Server 2003 oder Windows XP Professional auf Start, klicken Sie auf Ausführen, geben Sie regedit ein, und klicken Sie dann auf OK. | 2. | Klicken Sie im Menü Datei auf Mit Netzwerkregistrierung verbinden. | 3. | Geben Sie den Computernamen des Remoteserver ein, und klicken Sie dann auf Check Names. | 4. | Geben Sie das Kennwort eines Domänen-Admins ein, und klicken Sie dann auf OK. | 5. | Klicken Sie auf OK. | 6. | Navigieren Sie zu HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Parameterinal Server. | 7. | Klicken Sie auf Parameterinal Server, dann rechts doppelt auf fDenyTSConnections. | 8. | Geben Sie den Wert 0, und klicken Sie dann auf OK. | 9. | Damit die Änderung aktiv wird, müssen Sie den Server neu starten:
Öffnen Sie eine Eingabeaufforderung, und geben Sie den folgenden Befehl ein:
shutdown -m \\DomänencontrollerName -r |
Erstellen einer Antwortdatei für eine DomänencontrollerinstallationMit diesem Verfahren erstellen Sie eine Antwortdatei, die Sie zur unbeaufsichtigten Installation eines Domänencontrollers verwenden können. Die Antwortdatei enthält möglicherweise sensible Informationen - speichern Sie sie daher an einem sicheren Ort. Administrative Berechtigungen Um dieses Verfahren ausführen zu können, müssen Sie Mitglied der Gruppe Authentifizierte Benutzer auf dem lokalen Computer sein. "Erstellen einer Antwortdatei für eine Domänencontrollerinstallation" 1. | Legen Sie die Windows Server 2003 CD ein, und drücken Sie dabei die HOCHSTELLTASTE, um den automatischen Start der CD zu verhindern. | 2. | Starten Sie den Windows Explorer, und öffnen Sie den Ordner Support\Tools auf der CD. | 3. | Klicken Sie auf Tools und dann rechts doppelt auf Deploy.cab. | 4. | Klicken Sie mit rechts auf Ref.chm, und klicken Sie dann auf Entpacken. | 5. | Navigieren Sie zu einem passenden Ordner oder erstellen Sie einen, und klicken Sie dann auf Extract. | 6. | Öffnen Sie die Datei Ref.chm, die Sie soeben entpackt haben. | 7. | Klicken Sie auf der Registerkarte Inhalt links doppelt auf Unattend.txt, und klicken Sie dann auf [DCInstall]. | 8. | Scrollen Sie rechts zu Sample, und kopieren Sie das ganze Beispiel (beginnend mit [DCInstall]). | 9. | Öffnen Sie Notepad, und fügen Sie das Beispiel ein. | 10. | Bearbeiten Sie die Textdatei so, dass diese mindestens die folgenden Einträge umfasst (zusätzliche Einträge können Sie Ref.chm entnehmen):
[DCINSTALL]
UserName=SAM-Kontoname mit Domänen-Admins-Rechten in der Zieldomäne.
Password=Kennwort für das Konto. Wenn Sie nichts eintragen, fragt Dcpromo das Kennwort ab. Wird nach der Installation gelöscht.
UserDomain=Domänenname für das Konto unter UserName.
DatabasePath=Speicherort der Ntds.dit-Datei (standardmäßig %systemroot%\ntds.) Wenn der Eintrag fehlt, wird der Standardpfad verwendet.
LogPath=Speicherort der Protokolldateien (standardmäßig %systemroot%\ntds.) Wenn der Eintrag fehlt, wird der Standardpfad verwendet.
SYSVOLPath=Speicherort von SYSVOL (standardmäßig %systemroot%\ntds.) Wenn der Eintrag fehlt, wird der Standardpfad verwendet. | 11. | SafeModeAdminPassword=Kennwort für den Start im Verzeichnisdienstwiederherstellungsmodus. Wenn Sie nichts eintragen, fragt Dcpromo das Kennwort ab. Wird nach der Installation gelöscht.
CriticalReplicationOnly=Yes oder no Legt fest, ob der nicht kritische Teil der Replikation übersprungen werden kann, damit Dcpromo fertig gestellt werden kann, bevor die Replikation vollständig ist.
SiteName=Name des Active Directory-Standortes.
ReplicaOrNewDomain=Entweder Replica für einen neuen Domänencontroller in einer bestehenden Domäne oder NewDomain für den ersten Domänencontroller in einer neuen Domäne.
ReplicaDomainDNSName=FQDN der Domäne.
ReplicationSourceDC=Name eines bestehenden Domänencontrollers, mit dem die erste Replikation ausgeführt wird. Diesen Eintrag können Sie zusammen mit ReplicateFromMedia verwenden um festzulegen von welchem Domänencontroller Änderungen repliziert werden.
ReplicateFromMedia=Yes zur Installation über ein Sicherungsmedium, no zur Installation mit Replikation.
ReplicationSourcePath=Wenn Installation mit Replikation, ist dies der Pfad zur Installations-CD oder -Freigabe. Wenn Installation mit Sicherungsmedium, ist dies der Pfad zur Sicherung.
RebootOnSuccess=Yes Wenn der Domänencontroller nach der Installation neu gestartet werden soll. no wenn nicht. Alternativ können Sie NoAndNoPromptEither für einen Neustart ohne Rückfrage verwenden.
ApplicationPartitionsToReplicate=Kommangetrennte DNs der Anwendungspartitionen. (* für alle Partitionen). Weitere Informationen finden Sie unter "Einbeziehen von Anwendungspartitionen in die Active Directory-Installation über ein Sicherungsmedium". | 12. | Speichern Sie die Antwortdatei. |
Siehe auch"Einbeziehen von Anwendungspartitionen in die Active Directory-Installation über ein Sicherungsmedium" Erstellen einer RemotedesktopverbindungWenn Remotedesktop auf einem Server aktiviert ist, können Sie den Server so von einem zentralen Standort aus verwalten. Administrative Berechtigungen Um dieses Verfahren durchführen zu können, müssen Sie der Gruppe Remotedesktopbenutzer oder der lokalen Gruppe Administratoren angehören. Wenn der Computer Domänencontroller ist, müssen Sie außerdem über das Privileg Lokal anmelden zulassen in der Default Domain Controllers Policy verfügen. "Erstellen einer Remotedesktopverbindung" 1. | Klicken Sie auf Start, Programme, Alle Programme, Zubehör, Kommunikation, und klicken Sie dann auf Remotedesktopverbindung. | 2. | Geben Sie einen Computernamen oder eine IP-Adresse ein, und klicken Sie auf Verbinden. | 3. | Geben Sie Ihren Benutzernamen, das Kennwort und die Domäne ein, und klicken Sie dann auf OK. |
Siehe auchAktivieren von Remotedesktop" Installation von Active Directory mithilfe eines SicherungsmediumsAdministrative Berechtigungen Sie müssen Mitglied der Gruppe Domänen-Admins in der Domäne sein in der der Domänencontroller installiert werden soll. "Installation von Active Directory mithilfe eines Sicherungsmediums" 1. | Klicken Sie auf Start, klicken Sie auf Ausführen, geben Sie dcpromo /adv ein, und drücken Sie die EINGABETASTE. | 2. | Wählen Sie Zusätzlichen Domänencontroller für eine bestehende Domäne aus. | 3. | Wählen Sie Aus diesen wiederhergestellten Sicherungsdateien aus, und geben Sie den Speicherort der wiederhergestellten Systemdaten an. | 4. | Wenn der Domänencontroller, von dem die Sicherung stammt, ein globaler Katalog Server war, fragt Sie der Assistent, ob der neue Domänencontroller ebenfall globaler Katalog sein soll. | 5. | Stellen Sie die erforderlichen Anmeldeinformationen bereit. | 6. | Geben Sie die Domäne für den neuen Domänencontroller an. Es muss sich um die Domäne des Domänencontrollers handeln, von dem die Sicherung stammt. | 7. | Führen Sie den Assistenten weiter aus. | 8. | Nachdem die Installation erfolgreich abgeschlossen ist, können Sie die Ordner mit dem wiederhergestellten Systemstatus löschen. |
Siehe auchWiederherstellen des Systemstatus an einem anderen Standort "Einbeziehen von Anwendungspartitionen in die Active Directory-Installation über ein Sicherungsmedium" Einbeziehen von Anwendungspartitionen in die Active Directory-Installation über ein SicherungsmediumMit diesem Verfahren können Sie eine oder mehrere Anwendungspartitionen in die Installation von Active Directory mithilfe einer Sicherung mit einbeziehen. Sie müssen vorher bereits mit den Schritten in "Erstellen einer Antwortdatei für eine Domänencontrollerinstallation" eine Antwortdatei erstellt haben. Administrative Berechtigungen Um dieses Verfahren ausführen zu können, müssen Sie Mitglied der Gruppe Domänen-Admins in der Domäne sein, in der der zusätzliche Domänencontroller installiert werden soll. "Einbeziehen von Anwendungspartitionen in die Active Directory-Installation über ein Sicherungsmedium" 1. | Öffnen Sie die Antwortdatei, die Sie erstellt haben. | 2. | Mit dem folgenden Eintrag können Sie Anwendungspartitionen mit in die Installation einbeziehen:
ApplicationPartitionsToReplicate= | 3. | Der Wert von ApplicationPartitionsToReplicate muss folgendermaßen aussehen: | • | Mit * können Sie alle Anwendungspartitionen einbeziehen. | | • | Wenn Sie nur bestimmte Partitionen einbeziehen möchten, müssen Sie deren DNs getrennt durch Leerzeichen angeben. In diesem Fall muss die Liste der DNs in Anführungsstriche eingeschlossen sein. Beispiel:
ApplicationPartitionsToReplicate=”dc=app1,dc=contoso,dc=com dc=app2,dc=contoso,dc=com” |
| 4. | Geben Sie unter ReplicationSourcePath= den Ordner mit den wiederhergestellten Sicherungsdaten an. | 5. | Öffnen Sie eine Eingabeaufforderung, und wechseln Sie zu dem Verzeichnis mit der Antwortdatei. | 6. | Geben Sie den folgenden Befehl ein, und drücken Sie dann die EINGABETASTE:
dcpromo /adv /answer:”Laufwerk:\pfad\DateiNameDerAntwortdatei” |
Vorbereiten eines bestehenden Domänencontrollers auf die AuslieferungWenn Sie einen Domänencontroller an einem Remotestandort bereitstellen, müssen Sie diesem vom Netzwerk und somit logischerweise auch aus der Replikationstopologie entfernen. Wenn dies für länger als die Tombstone-Lebensdauer passieren muss, müssen Sie einige vorbereitende Schritte durchführen. Ansonsten kann es zur Entstehung verbleibender Objekte kommen. Weitere Informationen zu diesem Thema finden Sie unter "Bekannte Probleme beim Hinzufügen von Domänencontrollern an Remotestandorten". Um diese Aufgabe auszuführen, sind die folgenden Schritte erforderlich: 1. | Ermitteln Sie, wie lange der Domänencontroller vom Netzwerk getrennt werden muss. | 2. | Ermitteln Sie die Tombstone-Lebensdauer der Gesamtstruktur. | 3. | Stellen Sie fest, wie lange der Domänencontroller maximal getrennt sein kann: Ziehen Sie den zu erwartenden Zeitraum für eine vollständige Replikation von der Tombstone-Lebensdauer ab. | • | Stellen Sie fest, ob die Tombstone-Lebensdauer der Gesamtstruktur erhöht werden muss: Wenn die Zeit, für die der Domänencontroller getrennt wird, die maximal mögliche Zeit übersteigt, müssen Sie die Tombstone-Lebensdauer erhöhen. Außerdem sollten Sie dafür sorgen, dass auf allen Domänencontrollern ausreichend Platz für die zusätzlichen Tombstones vorhanden ist und dass die Änderung an alle Domänencontroller repliziert wurde. |
| 4. | Stellen Sie fest, ob der Domänencontroller ein Betriebsmaster ist | 5. | Kapitel 5 - Übertragen der domänenbezogenen Betriebsmasterrollen" (wenn notwendig) | 6. | Kapitel 5 - Übertragen der Rolle Schemamaster" (wenn notwendig). | 7. | Kapitel 5 - Übertragen der Rolle Domänennamensmaster" (wenn notwendig). | 8. | Kapitel 3 - Vorbereiten eines Domänencontrollers für einen nicht autorisierenden SYSVOL-Neustart" auf dem Domänencontroller, den Sie vom Netzwerk trennen. Dieses Verfahren stellt sicher, dass SYSVOL aktuell ist. Weitere Informationen finden Sie unter http://go.microsoft.com/fwlink/?LinkId=37924. | 9. | "Aktivieren der strikten Replikationskonsistenz" weiterer Domänencontroller oder auf allen Domänencontrollern in der Gesamtstruktur. | 10. | Kapitel 6 - Synchronisation der Replikation mit allen Partnern". | 11. | Kapitel 5 - Überprüfen der erfolgreichen Replikation mit einem anderen Domänencontroller" auf dem zu trennenden Domänencontroller. | 12. | Beschriften des Domänencontrollers mit dem Datum und der Uhrzeit sowie der maximalen Zeit, die er offline bleiben darf. |
Siehe auch Bekannte Probleme beim Hinzufügen von Domänencontrollern an Remotestandorten" Verwaltung von Betriebsmasterrollen" Verwaltung von SYSVOL" Einen Domänencontroller wieder mit dem Netzwerk verbinden" Windows Server 2003 Technical Reference (engl.) Ermitteln der Tombstone-Lebensdauer der GesamtstrukturAdministrative Berechtigungen Um dieses Verfahren durchführen zu können, müssen Sie Mitglied der Gruppe Domänenbenutzer sein. "Ermitteln der Tombstone-Lebensdauer der Gesamtstruktur" 1. | Klicken Sie auf Start, klicken Sie auf Ausführen, geben Sie adsiedit.msc ein, und klicken Sie dann auf OK. | 2. | Klicken Sie doppelt auf Configuration [Domänencontrollername], CN=Configuration,DC=[Stammdomäne], CN=Services und auf CN=Windows NT. | 3. | Klicken Sie mit rechts auf CN=Directory Service, und klicken Sie dann auf Eigenschaften. | 4. | Klicken Sie in der Spalte Attribute auf tombstoneLifetime. | 5. | Prüfen Sie den Wert von tombstoneLifetime. Wenn er nicht gesetzt ist, gilt der folgende Standardwert: | • | Auf einem Domänencontroller in einer Gesamtstruktur, die auf einem Domänencontroller unter Windows Server 2003 Service Pack 1 (SP1) erstellt wurde: 180 Tage. | | • | Auf einem Domänencontroller in einer Gesamtstruktur, die auf einem Domänencontroller unter Windows 2000 Server oder Windows Server 2003 erstellt wurde: 60 Tage. |
|
Anzeigen der aktuellen BetriebsmasterNachdem Sie Rollen übertragen haben, sollten Sie überprüfen, dass dies funktioniert hat. Die Änderung muss auf alle relevanten Domänenmitglieder repliziert werden, damit sie tatsächlich effektiv wird. Sie können die aktuellen Betriebsmaster mit Ntdsutil.exe anzeigen. Administrative Berechtigungen Um die folgenden Schritte ausführen zu können, müssen Sie als Benutzer oder Administrator angemeldet sein. "Anzeigen der aktuellen Betriebsmaster" 1. | Öffnen Sie die Eingabeaufforderung. | 2. | Geben Sie Folgendes ein: ntdsutil | 3. | Geben Sie Folgendes an der ntdsutil-Eingabeaufforderung ein: roles | 4. | Geben Sie Folgendes an der fsmo maintenance-Eingabeaufforderung ein: connections | 5. | Geben Sie Folgendes an der server connections-Eingabeaufforderung ein: connect to server Domänencontroller. Wobei Domänencontroller ein Domänencontroller ist, der zu der Domäne mit den gesuchten Betriebsmastern gehört. | 6. | Geben Sie Folgendes an der server connections-Eingabeaufforderung ein: quit | 7. | Geben Sie Folgendes ein: select operation target | 8. | Geben Sie Folgendes ein: list roles for connected server
Es wird eine Liste mit den aktuellen Rollen und dem LDAP-Namen ausgegeben. |
Übertragen der domänenbezogenen BetriebsmasterrollenMit diesem Verfahren übertragen Sie die Rollen PDC-Emulator, RID-Master und Infrastrukturmaster. Anmerkung Dieses Verfahren beschreibt die Verwendung der MMC. Es kann jedoch auch mithilfe von Ntdsutil.exe ausgeführt werden. Weitere Informationen dazu erhalten Sie, wenn Sie ? in der Ntdsutil.exe-Eingabeaufforderung eingeben. Administrative Berechtigungen Um die folgenden Schritte ausführen zu können, müssen Sie Mitglied der Gruppe Domänen-Admins oder der Gruppe Organisations-Admins sein. "Übertragen der domänenbezogenen Betriebsmasterrollen" 1. | Öffnen Sie Active Directory-Benutzer und -Computer. | 2. | Klicken Sie in der Konsolenstruktur mit der rechten Maustaste auf Active Directory-Benutzer und -Computer, und klicken Sie dann auf Verbindung mit Domänencontroller herstellen. | 3. | Geben Sie in das Feld Geben Sie den Namen eines weiteren Domänencontrollers ein den Namen des Domänencontrollers ein, der die Rolle des RID-Masters haben soll.
Oder klicken Sie in der Liste mit den verfügbaren Domänencontrollern auf den gewünschten Domänencontroller. | 4. | Klicken Sie in der Konsolenstruktur mit der rechten Maustaste auf Alle Tasks, und klicken Sie dann auf Betriebsmaster. | 5. | Klicken Sie auf die Rolle, die übertragen werden soll, und dann auf Ändern. |
Übertragen der Rolle SchemamasterWenn das Schema-Snap-In noch nicht installiert ist, führen Sie erst die Schritte aus dem Abschnitt Kapitel 5 - Installation des Schema-Snap-Ins" aus. Anmerkung Dieses Verfahren beschreibt die Verwendung der MMC. Es kann jedoch auch mithilfe von Ntdsutil.exe ausgeführt werden. Weitere Informationen dazu erhalten Sie, wenn Sie ? in der Ntdsutil.exe-Eingabeaufforderung eingeben. Administrative Berechtigungen Um dieses Verfahren ausführen zu können, müssen Sie Mitglied der Gruppe Schema-Admins sein. "Übertragen der Rolle Schemamaster" 1. | Öffnen Sie das Active Directory-Schema-Snap-In. | 2. | Klicken Sie in der Konsolenstruktur mit der rechten Maustaste auf Active Directory-Schema, und klicken Sie dann auf Domänencontroller ändern. | 3. | Klicken Sie auf Namen angeben, und geben Sie den Namen des Domänencontrollers ein, der die Rolle des Schemamasters haben soll. | 4. | Klicken Sie in der Konsolenstruktur mit der rechten Maustaste auf Active Directory-Schema und dann auf Betriebsmaster. | 5. | Klicken Sie auf Ändern. |
Übertragen der Rolle DomänennamensmasterAnmerkung Dieses Verfahren beschreibt die Verwendung der MMC. Es kann jedoch auch mithilfe von Ntdsutil.exe ausgeführt werden. Weitere Informationen dazu erhalten Sie, wenn Sie ? in der Ntdsutil.exe-Eingabeaufforderung eingeben. Administrative Berechtigungen Um dieses Verfahren ausführen zu können, müssen Sie Mitglied der Gruppe Organisations-Admins sein. "Übertragen der Rolle Domänennamensmaster" 1. | Öffnen Sie Active Directory-Domänen und -Vertrauensstellungen. | 2. | Klicken Sie in der Konsolenstruktur mit der rechten Maustaste auf Active Directory-Domänen und -Vertrauensstellungen, und klicken Sie dann auf Verbindung mit Domänencontroller herstellen. | 3. | Geben Sie in das Feld Geben Sie den Namen eines weiteren Domänencontrollers ein den Namen des Domänencontrollers ein, der die Rolle des Domänennamenmasters haben soll.
Oder klicken Sie in der Liste mit den verfügbaren Domänencontrollern auf den gewünschten Domänencontroller. | 4. | Klicken Sie in der Konsolenstruktur mit der rechten Maustaste auf Active Directory-Domänen und -Vertrauensstellungen, und klicken Sie dann auf Betriebsmaster. | 5. | Klicken Sie auf Ändern. |
Vorbereiten eines Domänencontrollers für einen nicht autorisierenden SYSVOL-NeustartDurch das Bearbeiten der BurFlags-Registrierungseinträge (Backup/Restore-Flags) können Sie einen nicht autorisierenden SYSVOL-Neustart initiieren. Setzen Sie den Wert auf D2 (Hexadecimal) oder 210 (Dezimal), und beim nächsten Start des Domänencontrollers wird der SYSVOL-Neustart durchgeführt. Es gibt die folgenden Einträge: | • | Um einen SYSVOL-Neustart zu erreichen, wenn es nur diesen einen Replikationssatz für den Domänencontroller gibt, verwenden Sie den Wert unter
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\NtFrs\Parameters\Backup/Restore\Process at Startup | | • | Wenn es andere Replikationssätze gibt und Sie SYSVOL nur aktualisieren möchten, verwenden Sie den Wert unter
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\NtFrs\Parameters\Cumulative Replica Sets\SYSVOL GUID |
Vorsicht Der Registrierungseditor umgeht die normalen Sicherheitsfunktionen. Sie können so Einstellungen vornehmen, die das System beschädigen können oder sogar dafür sorgen können, dass Windows neu installiert werden muss. Sichern Sie vor einer Bearbeitung der Registrierung den Systemstatus. Weitere Informationen hierzu finden Sie unter: "Active Directory-Sicherung und -Wiederherstellung". Administrative Berechtigungen Um die folgenden Schritte ausführen zu können, müssen Sie Mitglied der Gruppe Domänen-Admins oder der Gruppe Organisations-Admins sein. Vorbereiten eines Domänencontrollers auf einen nicht autorisierenden SYSVOL-Neustart 1. | Klicken Sie auf Start und Ausführen. Geben Sie regedit ein, und klicken auf OK. | 2. | Navigieren Sie zu
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\NtFrs\Parameters | 3. | Erweitern Sie Parameters. | 4. | Bearbeiten Sie einen der BurFlags-Einträge wie folgt: 1. | Erweitern Sie Backup/Restore, und klicken Sie auf Process at Startup. | 2. | Klicken Sie rechts auf BurFlags und dann auf Bearbeiten. | 3. | Geben Sie D2 als Hexadezimalwert oder 210 als Dezimalwert ein. | 4. | Klicken Sie auf OK. |
oder 1. | Erweitern Sie Cumulative Replica Sets und Replica Sets. | 2. | Suchen Sie nach der GUID unter Replica Sets, die der GUID unter Cumulative Replica Sets entspricht, und klicken Sie auf die entsprechende GUID unter Cumulative Replica Sets. | 3. | Klicken Sie rechts auf BurFlags und dann auf Bearbeiten. | 4. | Geben Sie D2 als Hexadezimalwert oder 210 als Dezimalwert ein. | 5. | Klicken Sie auf OK |
| 5. | . |
Aktivieren der strikten ReplikationskonsistenzDiese Einstellung ist im Eintrag Strict Replication Consistency unter HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\Parameters gespeichert. Die folgenden Werte sind möglich: | • | Wert: 1 (0 = deaktiviert) | | • | Standardwert: 1 bei einer neuen Windows Server 2003-Gesamtstruktur - andernfalls 0. | | • | Datentyp: REG_DWORD |
Unter Windows Server 2003 Service Pack 1 (SP1) müssen Sie den Wert nicht direkt bearbeiten. Sie können stattdessen das Tool Repadmin verwenden. Dies ist jedoch nur mit der Repadmin-Version aus den Support Tools von Windows Server 2003 SP1 möglich und kann nur auf Domänencontrollern unter Windows Server 2003 SP1 ausgeführt werden. Administrative Berechtigungen | • | Für einen einzelnen Domänencontroller müssen Sie Mitglied der Gruppe Domänen-Admins sein. | | • | Für alle Domänencontroller müssen Sie Mitglied der Gruppe Organisations-Admins sein. |
Anforderungen: | • | Betriebssystem: Windows Server 2003 SP1 |
"Aktivieren der strikten Replikationskonsistenz" 1. | Öffnen Sie eine Eingabeaufforderung, geben Sie den folgenden Befehl ein, und drücken Sie dann die EINGABETASTE:
repadmin /regkey DC_LISTE {+|-}key DC_LIST | Name (DNS oder DN) eines einzelnen Domänencontrollers (* für alle Domänencontroller der Gesamtstruktur). | {+|-}key | + aktivieren, - deaktivieren
key = strict.
Beispiel: +strict zum Aktivieren. |
|
Anmerkung Weitere Optionen von und Informationen zum DC_LISTE-Parameter erhalten Sie mit repadmin /listhelp. Synchronisation der Replikation mit allen PartnernAdministrative Berechtigungen Um dieses Verfahrung durchführen zu können, müssen Sie Mitglied der Gruppe Domänen-Admins in der Domäne des entsprechenden Domänencontrollers oder der Gruppe Organisations-Admins sein. Wenn Sie die Schema- und Konfigurationspartition synchronisieren möchten, müssen Sie Domänen-Admin in der Stammdomäne oder Organisations-Admin sein. "Synchronisation der Replikation mit allen Partnern" 1. | Geben Sie den folgenden Befehl ein, und drücken Sie dann die EINGABETASTE:
repadmin /syncall DCName /e /d /A /P /q DCName | DNS-Name des Domänencontrollers, der mit allen Partnern synchronisiert werden soll. | /e | Alle Partner | /d | Identifiziert Server über DNs. | /A | Alle. Synchronisiert alle Partitionen auf dem Server. | /P | Repliziert Änderungen vom Server. | /q | Stiller Modus. Ausführen ohne Rückmeldungen. |
| 2. | Prüfen Sie, ob es Replikationsfehler gibt. |
Siehe auchÜberprüfen der erfolgreichen Replikation mit einem anderen Domänencontroller" Überprüfen der erfolgreichen Replikation mit einem anderen DomänencontrollerMit dem Befehl repadmin /showrepl können Sie feststellen, ob die Replikation mit einem bestimmten Domänencontroller erfolgreich war. Wenn Sie den Befehl nicht auf dem Domänencontroller ausführen, dessen Replikation Sie testen möchten, können Sie auch einen Ziel-Domänencontroller angeben. Repadmin zeigt unter INBOUND NEIGHBORS die DNs aller Verzeichnispartitionen auf, für die eine eingehende Verzeichnisreplikation versucht wurde - zusammen mit dem Standort und Namen des Quell-Domänencontrollers und dem Erfolg oder Misserfolg der Replikation. Die Ausgabe sieht zum Beispiel so aus: | • | Last attempt @ YYYY-MM-DD HH:MM.SS was successful. | | • | Last attempt @ [Never] was successful. |
Wenn @ [Never] angezeigt wird, heißt dies, dass die Partition noch nie erfolgreich repliziert wurde. Administrative Berechtigungen Um das folgende Verfahren ausführen zu können, müssen Sie Mitglied der Gruppe Domänen-Admins auf dem Ziel-Domänencontroller sein. "Überprüfen der erfolgreichen Replikation mit einem anderen Domänencontroller" 1. | Öffnen Sie eine Eingabeaufforderung. | 2. | Geben Sie den folgenden Befehl ein, und drücken Sie dann die EINGABETASTE:
repadmin /showrepl servername /u:domänenname\benutzername /pw:* servername | Name des Ziel-Domänencontrollers. | domänenname | NetBIOS-Name der Domäne des Ziel-Domänencontrollers (es ist kein FQDN notwendig). | Benutzername | Der Name eines administrativen Kontos in der Domäne |
| 3. | Wenn Sie zur Eingabe eines Kennwortes aufgefordert werden, geben Sie das Kennwort des Benutzerkontos ein. |
Repadmin kann außerdem Detailinformationen zur Replikation mit allen Replikationspartnern anzeigen. Die entsprechende Ausgabe sieht so aus: Showrepl_COLUMNS Destination DC Site Destination DC Naming Context Source DC Site Source DC Transport Type Number of Failures Last Failure Time Last Success Time Last Failure Status Mit dem folgenden Verfahren können Sie eine solche Ausgabe generieren: Erweiterte Ausgabe mit repadmin /showrepl 1. | Öffnen Sie eine Eingabeaufforderung. | 2. | Geben Sie den folgenden Befehl ein, und drücken Sie dann die EINGABETASTE:
repadmin /showrepl * /csv >showrepl.csv | 3. | Öffnen Sie Microsoft Excel. | 4. | Klicken Sie im Menü Datei auf Öffnen, und öffnen Sie die Datei showrepl.csv. |
Die letzte erfolgreiche Replikation sollte mit dem Zeitplan für die Replikation zwischen Standorten übereinstimmen. Wenn Repadmin eine der folgenden Informationen ausgibt, fahren Sie mit dem Abschnitt Kapitel 10 - "Fehlersuche bei Active Directory-Replikationsproblemen" fort: | • | Die letzte erfolgreiche Replikation zwischen Standorten war vor der letzten geplanten Replikation. | | • | Die letzte Replikation zwischen Standorten ist länger als eine Stunde her. | | • | Es gab keine erfolgreiche Replikation. |
Siehe auchKapitel 10 - Fehlersuche bei Active Directory-Replikationsproblemen" Einen Domänencontroller wieder mit dem Netzwerk verbindenWenn der Domänencontroller nicht für länger als dem maximal möglichen Zeitraum vom Netzwerk getrennt war (Tombstone-Lebensdauer minus
Replikationsdauer), ist keine weitere Aktion notwendig. Standardmäßig wird der KCC fünf Minuten nach dem Start des Domänencontrollers ausgeführt.
Er integriert den Domänencontroller automatisch in die Replikationstopologie. Verbinden eines veralteten DomänencontrollersWenn Sie einen veralteten Domänencontroller mit dem Netzwerk verbinden möchten, gehen Sie folgendermaßen vor: | • | Wenn es sich um einen Domänencontroller unter Windows Server 2003 handelt und ein autorisierender Domänencontroller
unter Windows Server 2003 am Standort oder einem Nachbarstandort verfügbar ist, führen Sie die Schritte aus dem Abschnitt Entfernen von veralten
Objekten mithilfe von Repadmin aus. | | • | Wenn es sich um einen Domänencontroller unter Windows Server 2003 handelt und ein
autorisierender Domänencontroller unter Windows Server 2003 verfügbar ist, verbinden Sie den Domänencontroller mit dem Netzwerk und führen Sie die
Schritte aus dem Knowledge Base-Artikel 314282 unter
http://go.microsoft.com/fwlink/?LinkId=37924 aus. | | • | Wenn es sich um einen Domänencontroller unter
Windows 2000 Server handelt und ein anderer Domänencontroller verfügbar ist, verbinden Sie den Domänencontroller nicht mit dem Netzwerk.
Entfernen Sie Active Directory von diesem Domänencontroller, führen Sie eine Bereinigung der Metadaten aus, und installieren Sie Active Directory
neu. ("Das Entfernen eines Domänencontrollers erzwingen" und "Installieren eines Domänencontrollers in einer bestehenden Domäne"). | | • | Wenn es sich um einen Domänencontroller unter Windows 2000 Server handelt und kein anderer Domänencontroller verfügbar ist, führen Sie
die Schritte aus dem Knowledge Base-Artikel 314282 unter
http://go.microsoft.com/fwlink/?LinkId=37924 aus. |
Aktualisierung von SYSVOLWie im Abschnitt Vorbereiten eines bestehenden Domänencontrollers auf die Ausliefung beschrieben, ist es am besten, die Konsistenz von SYSVOL durch eine Änderung in der Registrierung zu erhalten. In diesem Fall wird SYSVOL beim Neustart automatisch aktualisiert. Wenn Sie eine vollständige Synchronisation von SYSVOL über eine standortübergreifende Replikation vermeiden wollen, müssen Sie vor dem Trennen vom Netzwerk einige vorbereitende Schritte durchführen. Mehr dazu, wie Sie SYSVOL lokal aktualisieren und dafür sorgen, dass nur Änderungen repliziert werden, erfahren Sie im Artikel unter http://go.microsoft.com/fwlink/?LinkId=37924. Damit SYSVOL nach dem Verbinden mit dem Netzwerk so schnell wie möglich repliziert wird, planen Sie die Replikation folgendermaßen: | • | Wenn sich der nächste Replikationspartner für die Domäne an einem anderen Standort befindet, ermitteln Sie den entsprechenden Replikationszeitplan über die Standortverknüpfung. Starten Sie den Domänencontroller dann direkt nach dem Beginn des Replikationszeitraumes. | | • | Wenn sich der Partner am Standort befindet überprüfen Sie, ob die Replikation mit dem Partner erfolgreich ist, bevor Sie den Domänencontroller neu starten. |
Wichtig Kopieren Sie einen veralteten SYSVOL-Ordner nicht mit Tools wie Xcopy oder Robocopy. Dies wird dazu führen, dass die Daten nicht mehr repliziert werden können. Weitere Informationen zu diesem Thema finden Sie unter Kapitel 3 - Wiederherstellen und Wiederaufbauen von SYSVOL". Um diese Aufgabe auszuführen, sind die folgenden Schritte erforderlich: 1. | "Ermitteln der Tombstone-Lebensdauer der Gesamtstruktur". | 2. | Stellen Sie fest, ob der maximale Zeitraum für die Trennung vom Netzwerk überschritten wurde oder nicht. | 3. | Wenn dies nicht der Fall ist, gehen Sie folgendermaßen vor: | • | Wenn es am Standort einen oder mehrere andere autorisierende Domänencontroller für die Domäne gibt, starten Sie den Domänencontroller zu einem beliebigen Zeitpunkt. | | • | Wenn es am Standort keine anderen autorisierenden Domänencontroller für die Domäne gibt, gehen sie folgendermaßen vor:
"Ermitteln, wann die standortübergreifender Replikation startet": Fragen Sie die Replikationseigenschaften der Standortverknüpfung ab, die den Standort mit dem nächsten Standort verbindet, der über einen autorisierenden Domänencontroller für die Domäne verfügt.
Starten Sie den Domänencontroller dann direkt nach dem Beginn des Replikationszeitraumes. |
Wenn der Zeitraum überschritten ist, gehen Sie nach den Schritten im Abschnitt “Verbinden eines veralteten Domänencontrollers” weiter oben vor. | 4. | Führen Sie nach Abschluss der Replikation die Aufgabe Kapitel 5 - Überprüfen der erfolgreichen Replikation mit einem anderen Domänencontroller" aus. Prüfen Sie die Replikation der Domänen-, Konfigurations- und Schemapartition. Wenn es sich um einen globalen Katalog Server handelt, prüfen Sie auch die Replikation aller weiteren Partitionen. |
Siehe auchVorbereiten eines bestehenden Domänencontrollers auf die Ausliefung Ermitteln, wann die standortübergreifender Replikation startetAdministrative Berechtigungen Um dieses Verfahren durchführen zu können, müssen Sie Mitglied der Gruppe Domänenbenutzer sein. "Ermitteln, wann die standortübergreifender Replikation startet" 1. | Öffnen Sie Active Directory-Standorte und -Dienste. | 2. | Klicken Sie doppelt auf Sites, doppelt auf Inter-Site Transports und klicken Sie dann auf IP. | 3. | Klicken Sie mit rechts auf das Standortobjekt, das Sie abfragen möchten, und klicken Sie dann auf Eigenschaften. | 4. | Klicken Sie auf Zeitplan ändern. Notieren Sie sich den Zeitplan, und klicken Sie dann auf OK. | 5. | Notieren Sie sich den Wert im Feld Replizieren alle _____ Minuten, und klicken Sie dann auf OK. |
Entfernen von veralteten Objekten mit RepadminDieses Verfahren können Sie ebenfalls ausführen, wenn die Ereignisse 1388 oder 1988 auf einem Domänencontroller aufgetreten sind. Die erforderlichen Informationen finden Sie in den Beschreibungen der Ereignisse. Weitere Informationen zu den Ereignissen finden Sie unter Beheben von Fehlern im Zusammenhang mit zurückgebliebenen Objekten (Ereignis-ID 1388, 1988 und 2042. Wenn Sie dieses Verfahren präventiv durchführen, müssen Sie vorher die folgenden Informationen sammeln: | • | Name des Servers, der möglicherweise über veraltete Objekte verfügt (DNS-Name, DN oder NetBIOS-Name). | | • | Die GUID des NTDS Settings-Objekts des Domänencontrollers, der autorisierend für die Domäne ist. |
Wenn nötig, können Sie mit dem folgenden Verfahren die GUID eines Domänencontrollers ermitteln: Administrative Berechtigungen Um dieses Verfahren ausführen zu können, müssen Sie Mitglied der Gruppe Domänenbenutzer sein. Ermitteln der GUID eines Domänencontrollers 1. | Geben Sie den folgenden Befehl ein, und drücken Sie dann die EINGABETASTE:
repadmin /showreplDomänencontrollerName
Wobei DomänencontrollerName ein NetBIOS-Name sein muss. | 2. | Ganz am Anfang der Ausgabe finden Sie den Eintrag DC objekt GUID: |
Administrative Berechtigungen Um dieses Verfahren ausführen zu können, müssen Sie Mitglied der Gruppe Domänen-Admins der Domäne Verzeichnispartition sein. "Entfernen von veralteten Objekten mit Repadmin" 1. | Geben Sie den folgenden Befehl ein, und drücken Sie dann die EINGABETASTE: repadmin /removelingeringobjects ServerName ServerGUID Verzeichnispartition/advisory_mode ServerName | DNS-Name oder DN des Domänencontrollers mit den veralteten Objekten. | ServerGUID | GUID eines Domänencontrollers, der über eine aktuelle beschreibbare Kopie der Verzeichnispartition verfügt. | Verzeichnispartition | DN der Domänen-Verzeichnispartition mit veralteten Objekten. Beispiel, DC=RegionalDomänenname,DC=Stammdomäne,DC=com. Führen Sie den Befehl ebenfall gegen die Konfigurationspartition (CN=configuration,DC=Stammdomäne,DC=com) und die Schemapartition (CN=schema,CN=configuration,DC=Stammdomäne) aus. |
/advisory_mode protokolliert die entfernten Objekte, aber entfernt sie nicht. | 2. | Wenn Objekte gefunden werden, wiederholen Sie Schritt 1 ohne /advisory_mode und löschen Sie die Objekte. | 3. | Wiederholen Sie die Schritte 1 und 2 für jeden Domänencontroller, der möglicherweise veraltete Objekte hat. |
Anmerkung Der Parameter ServerName verwendet die DC_LIST-Syntax für repadmin. Sie können somit * für alle Domänencontroller in der Gesamtstruktur und gc: für alle globalen Katalog Server angeben. Siehe auchBeheben von Fehlern im Zusammenhang mit zurückgebliebenen Objekten (Ereignis-ID 1388, 1988 und 2042)" Überprüfen der erfolgreichen Replikation mit einem anderen DomänencontrollerMit dem Befehl repadmin /showrepl können Sie feststellen, ob die Replikation mit einem bestimmten Domänencontroller erfolgreich war. Wenn Sie den Befehl nicht auf dem Domänencontroller ausführen, dessen Replikation Sie testen möchten, können Sie auch einen Ziel-Domänencontroller angeben. Repadmin zeigt unter INBOUND NEIGHBORS die DNs aller Verzeichnispartitionen auf, für die eine eingehende Verzeichnisreplikation versucht wurde - zusammen mit dem Standort und Namen des Quell-Domänencontrollers und dem Erfolg oder Misserfolg der Replikation. Die Ausgabe sieht zum Beispiel so aus: | • | Last attempt @ YYYY-MM-DD HH:MM.SS was successful. | | • | Last attempt @ [Never] was successful. |
Wenn @ [Never] angezeigt wird, heißt dies, dass die Partition noch nie erfolgreich repliziert wurde. Administrative Berechtigungen Um das folgende Verfahren ausführen zu können, müssen Sie Mitglied der Gruppe Domänen-Admins auf dem Ziel-Domänencontroller sein. "Überprüfen der erfolgreichen Replikation mit einem anderen Domänencontroller" 1. | Öffnen Sie eine Eingabeaufforderung. | 2. | Geben Sie den folgenden Befehl ein, und drücken Sie dann die EINGABETASTE: repadmin /showrepl servername /u:domänenname\benutzername /pw:* servername | Name des Ziel-Domänencontrollers. | domänenname | NetBIOS-Name der Domäne des Ziel-Domänencontrollers (es ist kein FQDN notwendig). | Benutzername | Der Name eines administrativen Kontos in der Domäne |
| 3. | Wenn Sie zur Eingabe eines Kennwortes aufgefordert werden, geben Sie das Kennwort des Benutzerkontos ein. |
Repadmin kann außerdem Detailinformationen zur Replikation mit allen Replikationspartnern anzeigen. Die entsprechende Ausgabe sieht so aus: Showrepl_COLUMNS Destination DC Site Destination DC Naming Context Source DC Site Source DC Transport Type Number of Failures Last Failure Time Last Success Time Last Failure Status Mit dem folgenden Verfahren können Sie eine solche Ausgabe generieren: Erweiterte Ausgabe mit repadmin /showrepl 1. | Öffnen Sie eine Eingabeaufforderung. | 2. | Geben Sie den folgenden Befehl ein, und drücken Sie dann die EINGABETASTE:
repadmin /showrepl * /csv >showrepl.csv | 3. | Öffnen Sie Microsoft Excel. | 4. | Klicken Sie im Menü Datei auf Öffnen, und öffnen Sie die Datei showrepl.csv. |
Die letzte erfolgreiche Replikation sollte mit dem Zeitplan für die Replikation zwischen Standorten übereinstimmen. Wenn Repadmin eine der folgenden Informationen ausgibt, fahren Sie mit dem Abschnitt Kapitel 10 - "Fehlersuche bei Active Directory-Replikationsproblemen" fort: | • | Die letzte erfolgreiche Replikation zwischen Standorten war vor der letzten geplanten Replikation. | | • | Die letzte Replikation zwischen Standorten ist länger als eine Stunde her. | | • | Es gab keine erfolgreiche Replikation. |
Siehe auchKapitel 10 - Fehlersuche bei Active Directory-Replikationsproblemen" Ausführen einer unbeaufsichtigten Installation von Active DirectoryAnforderungen Für dieses Verfahren sind die folgenden Tools notwendig: | • | Dcpromo.exe Für dieses Verfahren sind die folgenden Dateien notwendig: | | • | Ref.chm (im Ordner Support\Tools der Windows Server 2003-CD) | | • | Unattend.txt | | • | Antwortdatei. |
Um diese Aufgabe auszuführen, sind die folgenden Schritte erforderlich: 1. | "Erstellen einer Antwortdatei für eine Domänencontrollerinstallation" | 2. | "Installation von Active Directory mithilfe eine Antwortdatei" |
Siehe auch"Einbeziehen von Anwendungspartitionen in die Active Directory-Installation über ein Sicherungsmedium" Erstellen einer Antwortdatei für eine DomänencontrollerinstallationMit diesem Verfahren erstellen Sie eine Antwortdatei, die Sie zur unbeaufsichtigten Installation eines Domänencontrollers verwenden können. Die Antwortdatei enthält möglicherweise sensible Informationen - speichern Sie sie daher an einem sicheren Ort. Administrative Berechtigungen Um dieses Verfahren ausführen zu können, müssen Sie Mitglied der Gruppe Authentifizierte Benutzer auf dem lokalen Computer sein. "Erstellen einer Antwortdatei für eine Domänencontrollerinstallation" 1. | Legen Sie die Windows Server 2003 CD ein, und drücken Sie dabei die HOCHSTELLTASTE, um den automatischen Start der CD zu verhindern. | 2. | Starten Sie den Windows Explorer, und öffnen Sie den Ordner Support\Tools auf der CD. | 3. | Klicken Sie auf Tools und dann rechts doppelt auf Deploy.cab. | 4. | Klicken Sie mit rechts auf Ref.chm, und klicken Sie dann auf Entpacken. | 5. | Navigieren Sie zu einem passenden Ordner, oder erstellen Sie einen, und klicken Sie dann auf Extract. | 6. | Öffnen Sie die Datei Ref.chm, die Sie soeben entpackt haben. | 7. | Klicken Sie auf der Registerkarte Inhalt links doppelt auf Unattend.txt, und klicken Sie dann auf [DCInstall]. | 8. | Scrollen Sie rechts zu Sample, und kopieren Sie das ganze Beispiel (beginnend mit [DCInstall]). | 9. | Öffnen Sie Notepad, und fügen Sie das Beispiel ein. | 10. | Bearbeiten Sie die Textdatei so, dass diese mindestens die folgenden Einträge umfasst (zusätzliche Einträge können Sie Ref.chm entnehmen):
[DCINSTALL]
UserName=SAM-Kontoname mit Domänen-Admins-Rechten in der Zieldomäne.
Password=Kennwort für das Konto. Wenn Sie nichts eintragen, fragt Dcpromo das Kennwort ab. Wird nach der Installation gelöscht.
UserDomain=Domänenname für das Konto unter UserName.
DatabasePath=Speicherort der Ntds.dit-Datei (standardmäßig %systemroot%\ntds.) Wenn der Eintrag fehlt, wird der Standardpfad verwendet.
LogPath=Speicherort der Protokolldateien (standardmäßig %systemroot%\ntds.) Wenn der Eintrag fehlt, wird der Standardpfad verwendet.
SYSVOLPath=Speicherort von SYSVOL (standardmäßig %systemroot%\ntds.) Wenn der Eintrag fehlt, wird der Standardpfad verwendet.
SafeModeAdminPassword=Kennwort für den Start im Verzeichnisdienstwiederherstellungsmodus. Wenn Sie nichts eintragen, fragt Dcpromo das Kennwort ab. Wird nach der Installation gelöscht.
CriticalReplicationOnly=Yes oder no Legt fest, ob der nicht kritische Teil der Replikation übersprungen werden kann, damit Dcpromo fertig gestellt werden kann, bevor die Replikation vollständig ist.
SiteName=Name des Active Directory-Standortes.
ReplicaOrNewDomain=Entweder Replica für einen neuen Domänencontroller in einer bestehenden Domäne oder NewDomain für den ersten Domänencontroller in einer neuen Domäne.
ReplicaDomainDNSName=FQDN der Domäne.
ReplicationSourceDC=Name eines bestehend Domänencontrollers, mit dem die erste Replikation ausgeführt wird. Diesen Eintrag können Sie zusammen mit ReplicateFromMedia verwenden, um festzulegen, von welchem Domänencontroller Änderungen repliziert werden.
ReplicateFromMedia=Yes zur Installation über ein Sicherungsmedium, no zur Installation mit Replikation.
ReplicationSourcePath=Wenn Installation mit Replikation, ist dies der Pfad zur Installations-CD oder -Freigabe. Wenn Installation mit Sicherungsmedium, ist dies der Pfad zur Sicherung.
RebootOnSuccess=Yes Wenn der Domänencontroller nach der Installation neu gestartet werden soll. no wenn nicht. Alternativ können Sie NoAndNoPromptEither für einen Neustart ohne Rückfrage verwenden.
ApplicationPartitionsToReplicate=Kommangetrennte DNs der Anwendungspartitionen. (* für alle Partitionen). Weitere Informationen finden Sie unter "Einbeziehen von Anwendungspartitionen in die Active Directory-Installation über ein Sicherungsmedium". | 11. | Speichern Sie die Antwortdatei. |
Siehe auch"Einbeziehen von Anwendungspartitionen in die Active Directory-Installation über ein Sicherungsmedium" Installation von Active Directory mithilfe eine AntwortdateiAdministrative Berechtigungen Um dieses Verfahren ausführen zu können, müssen Sie Mitglied der Gruppe Domänen-Admins der Domäne des zu installierenden Domänencontrollers sein. "Installation von Active Directory mithilfe eine Antwortdatei" 1. | Klicken Sie auf Start, klicken Sie auf Ausführen. Geben Sie dcpromo /answer:antwortdatei ein.
Antwortdatei: Pfad zur Antwortdatei inklusive Dateiname. | 2. | Klicken Sie auf OK. |
Siehe auchErstellen einer Antwortdatei für eine Domänencontrollerinstallation" "Einbeziehen von Anwendungspartitionen in die Active Directory-Installation über ein Sicherungsmedium" Überprüfen der Active Directory-Installation" Überprüfen der Active Directory-InstallationEs gibt mehrere Überprüfungen, die Sie auf einem Computer mit neu installiertem Active Directory ausführen können. Wenn alle Überprüfungen erfolgreich abgeschlossen werden, können Sie davon ausgehen, dass der neue Domänencontroller korrekt funktioniert. Anforderungen Die folgenden Tools werden für die entsprechenden Aufgaben empfohlen: | • | Active Directory-Standorte und -Dienste | | • | DNS-Verwaltung | | • | Ereignisanzeige | | • | Netdiag.exe | | • | Dcdiag.exe | | • | Ntdsutil.exe |
Um diese Aufgabe auszuführen, sind die folgenden Schritte erforderlich: 1. | Kapitel 7 - Ermitteln, ob ein Serverobjekt über Unterobjekte verfügt" | 2. | Kapitel 7 - Überprüfen, ob eine IP-Adresse einem Subnetz entspricht, und Ermitteln der Standortzuordnung"
Sie müssen prüfen, ob sich der Domänencontroller am richtigen Standort befindet. Sollte dies nicht der Fall sein, können Sie ihn mit dem Snap-In Active Directory-Standorte und -Dienste an einen anderen Standort verschieben.
Anmerkung
Im letzten Dialogfenster des Active Directory-Installationsassistent wird der Standort des Domänencontrollers angezeigt. | 3. | Kapitel 7 - Verschieben eines Serverobjekts in einen neuen Standort" | 4. | "Konfiguration von DNS-Weiterleitungen" | 5. | Führen Sie alle Aufgaben aus dem Abschnitt "Überprüfung der DNS-Konfiguration" aus. | 6. | Kapitel 3 - Den Status der SYSVOL-Freigabe überprüfen" | 7. | Kapitel 6 - Überprüfung der DNS-Registrierung und -Funktionalität" | 8. | "Überprüfen der Domänenmitgliedschaft eines neuen Domänencontrollers" | 9. | Kapitel 6 - Überprüfen der Kommunikation mit anderen Domänencontrollern" | 10. | Kapitel 3 - Überprüfen der Replikation mit anderen Domänencontrollern" | 11. | Kapitel 6 - Überprüfen der Verfügbarkeit der Betriebsmaster" |
Ermitteln, ob ein Serverobjekt über Unterobjekte verfügtAdministrative Berechtigungen Um dieses Verfahren ausführen zu können, müssen Sie Mitglied der Gruppe Domänenbenutzer sein. "Ermitteln, ob ein Serverobjekt über Unterobjekte verfügt" 1. | Öffnen Sie Active Directory-Standorte und -Dienste. | 2. | Erweitern Sie Standorte und den entsprechenden Standort. | 3. | Erweitern Sie Servers und das entsprechende Serverobjekt. |
Überprüfen, ob eine IP-Adresse einem Subnetz entspricht, und Ermitteln der StandortzuordnungMit diesem Verfahren stellen Sie fest, zu welchem Standort ein neuer oder verschobener Server gehört. Administrative Berechtigungen Um dieses Verfahren ausführen zu können, müssen Sie Mitglied der Gruppe Domänenbenutzer sein. "Überprüfen, ob eine IP-Adresse einem Subnetz entspricht, und Ermitteln der Standortzuordnung" 1. | Melden Sie sich lokal am Domänencontroller an. | 2. | Klicken Sie mit rechts auf Netzwerkumgebung, und klicken Sie dann auf Eigenschaften. | 3. | Klicken Sie unter Netzwerkverbindungen mit rechts auf LAN Verbindung, und klicken Sie dann auf Eigenschaften. | 4. | Klicken Sie in den Eigenschaften doppelt auf Internet Protocol (TCP/IP). | 5. | Berechnen Sie die Adresse des Subnetzes mit der IP-Adresse und der Subnetzmaske, und klicken Sie dann auf OK. | 6. | Öffnen Sie Active Directory-Standorte und -Dienste. | 7. | Erweitern Sie Standorte, und klicken Sie dann auf Subnetze. | 8. | Suchen Sie das Subnetz, das der berechneten Subnetzadresse entspricht. | 9. | Stellen Sie fest, welchem Standort das Subnetz zugeordnet ist. |
Verschieben eines Serverobjekts in einen neuen StandortAdministrative Berechtigungen Um dieses Verfahren ausführen zu können, müssen Sie Mitglied der Gruppe Organisations-Admins sein. "Verschieben eines Serverobjekts in einen neuen Standort" 1. | Öffnen Sie Active Directory-Standorte und -Dienste. | 2. | Erweitern Sie Standorte und dann den Standort mit dem Bridgeheadserver. | 3. | Erweitern Sie Servers. | 4. | Klicken Sie mit rechts auf den Server, den Sie verschieben möchten, und klicken Sie dann auf Verschieben. | 5. | Klicken Sie auf den Zielstandort, und klicken Sie dann auf OK. | 6. | Erweitern Sie das Standortobjekt, an den Sie den Server verschoben haben, und dann den Container Servers. | 7. | Prüfen Sie, ob der Server hier angezeigt wird. | 8. | Erweitern Sie das Serverobjekt und prüfen Sie, ob das NTDS-Settings-Objekt vorhanden ist. |
Der NetLogon-Dienst auf dem Domänencontroller sollte die neuen Informationen innerhalb einer Stunde auf dem DNS registriert haben. Warten Sie eine Stunde, und öffnen Sie dann die Ereignisanzeige auf dem verschobenen Domänencontroller. Prüfen Sie das Verzeichnisprotokoll auf Fehler. NetLogon-Ereignis ID 5774 zeigt an, dass die DNS-Registrierung fehlgeschlagen ist. Konfiguration von DNS-WeiterleitungenAdministrative Berechtigungen Um dieses Verfahren ausführen zu können, müssen Sie Mitglied der Gruppe Domänen-Admins sein. "Konfiguration von DNS-Weiterleitungen" 1. | Wenn in Ihrem Netzwerk Stammhinweise als Weiterleitungsmethode verwendet werden, müssen Sie keine weiteren Aktionen ausführen. Stammhinweise werden bei der Installation automatisch konfiguriert. Führen Sie die Aufgabe nicht weiter aus. | 2. | Öffnen Sie das DNS-Snap-In. | 3. | Klicken Sie im Konsolenbereich mit rechts auf ComputerName (wobei ComputerName der Name des Domänencontrollers ist), und klicken Sie dann auf Eigenschaften. | 4. | Klicken Sie auf die Registerkarte Weiterleitungen, und aktivieren Sie Weiterleitungen aktivieren. | 5. | Geben Sie unter IP-Adresse die IP-Adresse des DNS-Server oder des nächsten Replikationspartners ein, von dem die Domäne delegiert ist. Klicken Sie auf Hinzufügen, und klicken Sie dann auf OK. |
Überprüfung der DNS-KonfigurationAnforderungen Um die unten beschriebenen Aufgaben ausführen zu können, sind die folgenden Tools notwendig: | • | DNS Snap-In | | • | Netzwerkumgebung |
Um diese Aufgabe auszuführen, sind die folgenden Schritte erforderlich: 1. | Kapitel 7 - Erstellen einer Delegierung für einen Domänencontroller"
Wenn die übergeordnete DNS-Zone einer von diesem DNS-Server gehosteten Zone eine Delegierung für diesen DNS-Server enthält, aktualisieren Sie die IP-Adressen aller Delegierungen mit diesem Verfahren.
Wenn die Stammdomäne eine übergeordnete DNS-Domäne hat, führen Sie dieses Verfahren auf einem DNS-Server der übergeordneten Domäne aus. Wenn Sie gerade einen neuen Domänencontroller zu einer untergeordneten Domäne hinzugefügt haben, führen Sie das Verfahren auf einem DNS-Server der übergeordneten Domäne aus. | 2. | "Konfiguration von DNS-Clienteinstellungen" | 3. | "Erstellen einer sekundären Zone" |
Erstellen einer Delegierung für einen DomänencontrollerMit diesem Verfahren erstellen Sie in der übergeordneten DNS-Domäne eine Delegierung für einen neuen Domänencontroller, der außerdem DNS-Server ist. Administrative Berechtigungen Um dieses Verfahren ausführen zu können, müssen Sie Mitglied der Gruppe Domänen-Admins sein. "Erstellen einer Delegierung für einen Domänencontroller" 1. | Öffnen Sie das DNS-Snap-In. | 2. | Navigieren Sie zu UntergeordneteDomäne (wobei UntergeordneteDomäne der Name der untergeordneten Domäne ist). | 3. | Klicken Sie im Konsolenbereich mit rechts auf UntergeordneteDomäne, und klicken Sie dann auf Eigenschaften. | 4. | Klicken Sie auf der Registerkarte Nameserver auf Hinzufügen. | 5. | Geben Sie UntergeordneterDC.UntergeordneteDomäne.ÜbergeordneteDomäne ein. | 6. | Geben Sie die IP-Adresse ein. Klicken Sie auf Hinzufügen, und klicken Sie dann auf OK. |
Erstellen einer sekundären ZoneFühren Sie dieses Verfahren nur auf neuen Domänencontrollern aus, die gleichzeitig DNS-Server sind und sich nicht in der Stammdomäne der Gesamtstruktur befinden. Administrative Berechtigungen Um dieses Verfahren ausführen zu können, müssen Sie Mitglied der Gruppe Domänen-Admins sein. "Erstellen einer sekundären Zone" 1. | Öffnen Sie das DNS-Snap-In. | 2. | Klicken Sie im Konsolenbereich mit rechts auf den neuen Domänencontroller und auf Neue Zone. | 3. | klicken Sie auf Weiter. | 4. | Wählen Sie Sekundäre Zone, und klicken Sie auf Weiter. | 5. | Wählen Sie Forward lookup Zone, und klicken Sie auf Weiter. | 6. | Geben Sie als Zonenname _msdcs.FQDNDerStammdomäne ein, und klicken Sie auf Weiter. | 7. | Geben Sie die IP-Adressen von mindesten zwei DNS-Servern der Stammdomäne ein, und klicken Sie auf Weiter. | 8. | Klicken Sie auf Fertig stellen. |
Konfiguration von DNS-ClienteinstellungenAdministrative Berechtigungen Um dieses Verfahren ausführen zu können, müssen Sie Mitglied der Gruppe Domänen-Admins sein. "Konfiguration von DNS-Clienteinstellungen" 1. | Klicken Sie mit rechts auf Netzwerkumgebung und auf Eigenschaften. | 2. | Klicken Sie mit rechts auf die Verbindung, mit der der Domänencontroller mit dem Netzwerk verbunden ist. Klicken Sie auf Eigenschaften. | 3. | Klicken Sie einmal auf Internet Protocol (TCP/IP) und dann auf Eigenschaften. | 4. | Prüfen Sie, ob Die folgenden DNS-Serveradressen verwenden: aktiviert ist. | 5. | Wenn sich der neue Domänencontroller in der Stammdomäne befindet, tragen Sie unter Primärer DNS-Server die IP-Adresse eines anderen DNS-Servers der Stammdomäne ein. Versuchen Sie einen Server zu wählen, der sich in der Nähe dieses Servers befindet. Tragen Sie unter Sekundärer DNS-Server die IP-Adresse dieses Domänencontrollers ein (so dass er auf sich selbst verweist).
Wenn sich der neue Domänencontroller in einer Unterdomäne befindet, tragen Sie unter Primärer DNS-Server die IP-Adresse dieses Domänencontrollers ein (so dass er auf sich selbst verweist). Tragen Sie unter Sekundärer DNS-Server die IP-Adresse eines andern Domänencontrollers in der gleichen Domäne ein. Versuchen Sie einen Server zu wählen, der sich in der Nähe dieses Servers befindet. | 6. | Klicken Sie auf OK. |
Den Status der SYSVOL-Freigabe überprüfenAnmerkung Sie müssen dieses Verfahren nicht auf jedem Partner ausführen. Führen Sie jedoch genügend Tests aus, um sicherzustellen, dass die Systemvolumen auf den Partnern nicht beschädigt sind. Administrative Berechtigungen Um die folgenden Schritte ausführen zu können, müssen Sie Mitglied der Gruppe Domänen-Admins oder der Gruppe Organisations-Admins sein. Prüfen des Status der SYSVOL-Freigabe 1. | Öffnen Sie die Ereignisanzeige. | 2. | Klicken Sie auf Dateireplikationsdienst. | 3. | Suchen Sie nach Ereignis 13516 mit einem Datum und Zeitstempel, der dem Zeitpunkt des Neustarts entspricht. Es kann bis zu 15 Minuten oder mehr dauern, bis das Ereignis angezeigt wird. Ereignis 13508 zeigt an, dass der FRS den Dienst gerade startet. 13509 zeigt an, dass der Dienst erfolgreich gestartet wurde. | 4. | Prüfen Sie, ob die Freigabe erstellt wurde, indem Sie sich mit net share eine Liste der freigegebenen Ordner anzeigen lassen. | 5. | Geben Sie den Befehl dcdiag /test:netlogons ein. | 6. | Suchen Sie nach einem Eintrag, der computername passed test NetLogons lautet. Wenn dieser Eintrag nicht angezeigt wird, gibt es ein Problem mit der Replikation. Der Test überprüft, ob die für die Replikation notwendigen Anmeldeprivilegien vorhanden sind. Wenn der Test fehlschlägt, überprüfen Sie die Berechtigungen für die Freigaben Net Logon und SYSVOL. |
Überprüfung der DNS-Registrierung und -FunktionalitätAdministrative Berechtigungen Um die folgenden Schritte ausführen zu können, müssen Sie Mitglied der Gruppe Domänen-Admins oder der Gruppe Organisations-Admins sein. "Überprüfung der DNS-Registrierung und -Funktionalität" 1. | Öffnen Sie eine Eingabeaufforderung. | 2. | Geben Sie den folgenden Befehl ein, und drücken Sie die EINGABETASTE:
netdiag /test:dns
Anmerkung
Mit /v erhalten Sie mehr Informationen.
Wenn DNS korrekt funktioniert, sollte die letzte Zeile so lauten: DNS Test…..: Passed. |
Überprüfen der Kommunikation mit anderen DomänencontrollernAdministrative Berechtigungen Um die folgenden Schritte ausführen zu können, müssen Sie Mitglied der Gruppe Domänenbenutzer sein. "Überprüfen der Kommunikation mit anderen Domänencontrollern" 1. | Öffnen Sie eine Eingabeaufforderung. | 2. | Geben Sie den folgenden Befehl ein, und drücken Sie die EINGABETASTE:
netdiag /test:dsgetdc | 3. | Anmerkung
Mit /v erhalten Sie mehr Informationen.
Wenn DNS korrekt funktioniert, sollte die letzte Zeile so lauten: DC discovery test……..: Passed. |
Überprüfen der Replikation mit anderen DomänencontrollernDiese Tests prüfen verschiedene Aspekte der Replikationstopologie. Außerdem prüfen Sie, ob Objekte repliziert werden und ob die korrekten Anmeldeberechtigungen für die Replikation vorhanden sind. Administrative Berechtigungen Um die folgenden Schritte ausführen zu können, müssen Sie Mitglied der Gruppe Domänen-Admins oder der Gruppe Organisations-Admins sein. Prüfen der Replikation mit anderen Domänencontrollern 1. | Öffnen Sie eine Eingabeaufforderung. | 2. | Geben Sie den folgenden Befehl ein, und drücken Sie dann die EINGABETASTE:
dcdiag /test:replications
Anmerkung
Es steht zusätzlich die Option /v zur Verfügung. Sie zeigt jedoch keine wichtigen Informationen an. | 3. | Mit dem folgenden Verfahren prüfen Sie, ob die korrekten Berechtigungen für die Replikation vorhanden sind:
dcdiag /test:netlogons
Alle Tests sollten als erfolgreich angezeigt werden. |
Überprüfen der Verfügbarkeit der BetriebsmasterAdministrative Berechtigungen Um die folgenden Schritte ausführen zu können, müssen Sie Mitglied der Gruppe Domänenbenutzer sein. Anmerkung Sie können diese Tests vor und nach der Installation von Active Directory ausführen. Vor der Installation müssen Sie die Option /s zum Angeben des verwendeten Domänencontrollers nutzen. Nach der Installation ist die Option nicht mehr notwendig. "Überprüfen der Verfügbarkeit der Betriebsmaster" 1. | Öffnen Sie eine Eingabeaufforderung. | 2. | Geben Sie den folgenden Befehl ein, und drücken Sie die EINGABETASTE:
dcdiag /s: Domänencontrollerr /test:knowsofroleholders /verbose
wobei Domänencontroller der Name eines Domänencontrollers der Domäne ist, zu der Sie den neuen Domänencontroller hinzufügen möchten. Am Ende der Ausgabe sollte der Test als erfolgreich angezeigt werden. | 3. | Geben Sie den folgenden Befehl ein, und drücken Sie die EINGABETASTE:
dcdiag /s: Domänencontrollerr /test:fsmocheck
wobei Domänencontroller der Name eines Domänencontrollers der Domäne ist, zu der Sie den neuen Domänencontroller hinzufügen möchten. Am Ende der Ausgabe sollte der Test als erfolgreich angezeigt werden. |
Überprüfen der Domänenmitgliedschaft eines neuen DomänencontrollersAnmerkung Mit der Option /v to erhalten Sie eine detailliertere Ausgabe. Administrative Berechtigungen Um dieses Verfahren ausführen zu können, müssen Sie Mitglied der Gruppe Domänenbenutzer sein. "Überprüfen der Domänenmitgliedschaft eines neuen Domänencontrollers" 1. | Öffnen Sie eine Eingabeaufforderung. | 2. | Geben Sie den folgenden Befehl ein, und drücken Sie die EINGABETASTE:
netdiag /test:member | 3. | Wenn der Test erfolgreich ist, sollte die folgende Ausgabe angezeigt werden: Domain membership test Passed. |
Umbenennen eines Domänencontrollers Unter Windows Server 2003 haben Sie im Gegensatz zu Windows 2000 Server die Möglichkeit, einen Domänencontroller umzubenennen. Ihnen stehen somit die folgenden Optionen offen: | • | Restrukturierung Ihres Netzwerkes. | | • | Einfachere Verwaltung und administrative Kontrolle. |
Das Umbenennen von Domänencontrollern ist in vielen Organisationen eine häufig genutzte Praxis. Es geschieht zum Beispiel in den folgenden Situationen: | • | Bestehende Hardware eines Domänencontrollers wird durch neue ersetzt. | | • | Domänencontroller werden außer Betrieb gestellt oder entsprechen nicht mehr den Namenskonventionen. | | • | Domänencontroller werden an andere Standorte verschoben. |
Anmerkung Das Umbenennen von Domänencontrollern hat primär Auswirkungen auf die Administration - nicht auf den Zugriff durch Clients. Sie können einen Domänencontroller zwar wie jeden anderen Computer auch über die Systemeigenschaften umbenennen, aber mit diesem Verfahren kann es durch die Active Directory- und DNS-Replikationslatenz zu einem temporären Ausfall des entsprechenden Domänencontrollers für die Benutzer kommen. Wenn Sie das Tool Netdom für diesen Vorgang verwenden, vermeiden Sie einen solchen Ausfall. Anforderungen Um die unten beschriebenen Aufgaben ausführen zu können, sind die folgenden Tools notwendig: | • | Systemeigenschaften oder Netdom.exe | | • | Ldp.exe oder Adsiedit.msc |
Wenn Sie Netdom nutzen möchten, muss die Funktionsebene der Domäne Windows Server 2003 sein. Die folgenden Aufgaben sind für dieses Verfahren notwendig: 1. | "Umbenennen eines Domänencontrollers über die Systemeigenschaften" | 2. | "Aktualisieren des FRS-Mitgliedobjektes" |
oder 1. | "Umbenennen eines Domänencontrollers mithilfe von Netdom" | 2. | "Aktualisieren des FRS-Mitgliedobjektes" |
Umbenennen eines Domänencontrollers über die SystemeigenschaftenAdministrative Berechtigungen Um dieses Verfahren ausführen zu können, müssen Sie Mitglied der Gruppe Domänen-Admins oder der Gruppe Organisations-Admins sein. "Umbenennen eines Domänencontrollers über die Systemeigenschaften" 1. | Klicken Sie auf Start, und klicken Sie dann auf Systemsteuerung. | 2. | Klicken Sie doppelt auf Systemeigenschaften. | 3. | Klicken Sie auf Ändern. | 4. | Klicken Sie auf OK. | 5. | Geben Sie den neuen Namen ein. | 6. | Klicken Sie auf OK. | 7. | Wenn Sie dazu aufgefordert werden, geben Sie den Benutzernamen und das Kennwort eines Administrators an, der Mitglied der Gruppe Domänen-Admins oder Unternehmens-Admins ist. |
Siehe auchUmbenennen eines Domänencontrollers mithilfe von Netdom" Umbenennen eines Domänencontrollers mithilfe von NetdomNetdom aktualisiert die SPN-Attribute des Computerkontos in Active Directory und registriert DNS-Ressourceneinträge für den neuen Computernamen. Der SPN-Wert muss an alle Domänencontroller der Domäne repliziert werden, und die DNS-Einträge müssen an alle autorisierenden DNS-Server der DNS-Domäne übermittelt werden. Administrative Berechtigungen Um dieses Verfahren ausführen zu können, müssen Sie Mitglied der Gruppe Domänen-Admins oder Organisations-Admins sein "Umbenennen eines Domänencontrollers mithilfe von Netdom" 1. | Öffnen Sie die Eingabeaufforderung. | 2. | Geben Sie Folgendes ein:
netdom computername AktuellerComputername /add:NeuerComputername
Dieser Befehl aktualisiert die Attribute für den Dienstprinzipalnamen (Service Principal Name, SPN) in Active Directory für dieses Computerkonto und registriert DNS-Ressourceneinträge für den neuen Computernamen. Der SPN-Wert des Computerkontos muss auf alle Domänencontroller für die Domäne repliziert werden, und die DNS-Ressourceneinträge für den neuen Computernamen müssen an alle autorisierenden DNS-Server für den Domänennamen verteilt werden. Falls die Updates und Registrierungen nicht vor dem Löschen des alten Computernamens vorgenommen werden, können manche Clients diesen Computer unter Verwendung des neuen oder alten Namens möglicherweise nicht mehr auffinden. | 3. | Vergewissern Sie sich, dass die Updates der Computerkonten und die DNS-Registrierungen abgeschlossen sind, und geben Sie dann Folgendes ein: netdom computername AktuellerComputername /makeprimary:NeuerComputername | 4. | Starten Sie den Computer neu. | 5. | Geben Sie Folgendes an der Eingabeaufforderung ein: netdom computername NeuerComputername /remove:AlterComputername AktuellerComputername | Der aktuelle oder primäre Computername bzw. die IP-Adresse des Computers, den Sie umbenennen. | NeuerComputername | Der neue Name für den Computer. NeuerComputername muss ein voll qualifizierter Domänenname (Fully Qualified Domain Name, FQDN) sein. Das primäre DNS-Suffix, das im FQDN für NeuerComputername angegeben wird, muss mit dem primären DNS-Suffix von AktuellerComputername identisch sein, oder es muss in der Liste der zulässigen DNS-Suffixe, die für das domainDns-Objekt im msDS-AllowedDNSSuffixes-Attribut definiert sind, vorhanden sein. | AlterComputername | Der alte Name des umbenannten Computers. |
|
Siehe auchUmbenennen eines Domänencontrollers über die Systemeigenschaften" Aktualisieren des FRS-MitgliedobjektesAdministrative Berechtigungen Um dieses Verfahren ausführen zu können, müssen Sie Mitglied der Gruppe Domänen-Admins oder der Gruppe Organisations-Admins sein. "Aktualisieren des FRS-Mitgliedobjektes" 1. | Suchen Sie das Computerobjekte des umbenannten Domänencontrollers mithilfe von Ldp.exe (oder ADSI-Edit). | 2. | Führen Sie eine rekursive Suche nach dem Objekttyp nTFRSSubscriber und dem Computernamen “Domain System Volume (SYSVOL share)” unter dem Computerobjekt aus. | 3. | Der Suchfilter lautet: “(&((cn=Domain System Volume (SYSVOL share))(objectclass=ntfrssubscriber)))”. | 4. | Suchen Sie das Attribut fRSMemberReference des von der Suche zurückgegebenen Objektes. | 5. | Suchen Sie das Objekt, dessen Domänenname im Attribut fRSMemberReference hinterlegt ist - dieses Objekt gehört zum umbenannten Domänencontroller. | 6. | Ändern Sie den Computernamen des Ntfrsmember-Objektes auf den neuen Namen des Domänencontrollers. |
Dekomissionierung eines DomänencontrollersAnforderungen Um die unten beschriebenen Aufgaben ausführen zu können, sind die folgenden Tools notwendig: | • | Ntdsutil.exe | | • | Active Directory-Domänen und -Vertrauensstellungen | | • | Active Directory-Benutzer und -Computer | | • | Active Directory-Standorte und -Dienste | | • | Netdiag.exe | | • | Dcdiag.exe |
Um diese Aufgabe auszuführen, sind die folgenden Schritte erforderlich: 1. | Kapitel 5 - Anzeigen der aktuellen Betriebsmaster"
Übertragen Sie alle Betriebsmasterrollen auf einen anderen Domänencontroller, bevor Sie den Active Directory-Installationsassistent ausführen und den Domänencontroller zurückstufen.
Vorsicht
Der Active Directory-Installationsassistent versucht, alle verbliebenen Betriebsmasterrollen ohne einen Eingriff des Benutzers zu übertragen. Wenn dies fehlschlägt, fährt er trotzdem mit der Zurückstufung des Domänencontrollers fort. Sie haben außerdem keine Kontrolle darüber, an welchen Domänencontroller die Rollen übertragen werden, und der Assistent informiert Sie auch nicht darüber, wer neuer Betriebsmaster ist. | 2. | Kapitel 5 - Übertragen der Rolle Schemamaster" | 3. | Kapitel 5 - Übertragen der Rolle Domänennamensmaster" | 4. | Kapitel 5 - Übertragen der domänenbezogenen Betriebsmasterrollen" | 5. | Kapitel 4 - Feststellen, ob ein Domänencontroller ein globaler Katalogserver ist"
Wenn Sie einen Domänencontroller zurückstufen, der globaler Katalog ist, weist der Active Directory-Installationsassistent Sie darauf hin, und Sie müssen diesen Vorgang explizit bestätigen. Entfernen Sie nicht den einzigen globalen Katalog einer Umgebung. Ohne globalen Katalog Server können sich keine Benutzer anmelden. | 6. | Kapitel 6 - Überprüfung der DNS-Registrierung und -Funktionalität" | 7. | Kapitel 6 - Überprüfen der Kommunikation mit anderen Domänencontrollern"
Während der Zurückstufung ist es notwendig, dass eine Kommunikation mit anderen Domänencontrollern möglich ist: | • | Alle noch nicht replizierten Änderungen müssen repliziert werden. | | • | Der Domänencontroller muss aus dem Verzeichnis entfernt werden. | | • | Betriebsmasterrollen müssen übertragen werden. |
Wenn der Domänencontroller nicht mit anderen Domänencontrollern kommunizieren kann, schlägt der Vorgang fehl. | 8. | Kapitel 6 - Überprüfen der Verfügbarkeit der Betriebsmaster" | 9. | "Deinstallation von Active Directory" | 10. | Kapitel 7 - Ermitteln, ob ein Serverobjekt über Unterobjekte verfügt" | 11. | Kapitel 6 - Löschen eines Serverobjektes aus einem Standort"
Anmerkung
Sollte der Server andere Anwendungen hosten (zum Beispiel Microsoft Exchange), kann es sein, dass das Serverobjekt bestehen bleiben muss. |
Anzeigen der aktuellen BetriebsmasterNachdem Sie Rollen übertragen haben, sollten Sie überprüfen, dass dies funktioniert hat. Die Änderung muss auf alle relevanten Domänenmitglieder repliziert werden, damit sie tatsächlich effektiv wird. Sie können die aktuellen Betriebsmaster mit Ntdsutil.exe anzeigen. Administrative Berechtigungen Um die folgenden Schritte ausführen zu können, müssen Sie als Benutzer oder Administrator angemeldet sein. "Anzeigen der aktuellen Betriebsmaster" 1. | Öffnen Sie die Eingabeaufforderung. | 2. | Geben Sie Folgendes ein: ntdsutil | 3. | Geben Sie Folgendes an der ntdsutil-Eingabeaufforderung ein: roles | 4. | Geben Sie Folgendes an der fsmo maintenance-Eingabeaufforderung ein: connections | 5. | Geben Sie Folgendes an der server connections-Eingabeaufforderung ein: connect to server Domänencontroller. Wobei Domänencontroller ein Domänencontroller ist, der zu der Domäne mit den gesuchten Betriebsmastern gehört. | 6. | Geben Sie Folgendes an der server connections-Eingabeaufforderung ein: quit | 7. | Geben Sie Folgendes ein: select operation target | 8. | Geben Sie Folgendes ein: list roles for connected server
Es wird eine Liste mit den aktuellen Rollen und dem LDAP-Namen ausgegeben. |
Übertragen der Rolle SchemamasterWenn das Schema-Snap-In noch nicht installiert ist, führen Sie erst die Schritte aus dem Abschnitt Kapitel 5 - Installation des Schema-Snap-Ins" aus. Anmerkung Dieses Verfahren beschreibt die Verwendung der MMC. Es kann jedoch auch mithilfe von Ntdsutil.exe ausgeführt werden. Weitere Informationen dazu erhalten Sie, wenn Sie ? in der Ntdsutil.exe-Eingabeaufforderung eingeben. Administrative Berechtigungen Um dieses Verfahren ausführen zu können, müssen Sie Mitglied der Gruppe Schema-Admins sein. "Übertragen der Rolle Schemamaster" 1. | Öffnen Sie das Active Directory-Schema-Snap-In. | 2. | Klicken Sie in der Konsolenstruktur mit der rechten Maustaste auf Active Directory-Schema, und klicken Sie dann auf Domänencontroller ändern. | 3. | Klicken Sie auf Namen angeben, und geben Sie den Namen des Domänencontrollers ein, der die Rolle des Schemamasters haben soll. | 4. | Klicken Sie in der Konsolenstruktur mit der rechten Maustaste auf Active Directory-Schema und dann auf Betriebsmaster. | 5. | Klicken Sie auf Ändern. |
Übertragen der Rolle DomänennamensmasterAnmerkung Dieses Verfahren beschreibt die Verwendung der MMC. Es kann jedoch auch mithilfe von Ntdsutil.exe ausgeführt werden. Weitere Informationen dazu erhalten Sie, wenn Sie ? in der Ntdsutil.exe-Eingabeaufforderung eingeben. Administrative Berechtigungen Um dieses Verfahren ausführen zu können, müssen Sie Mitglied der Gruppe Organisations-Admins sein. "Übertragen der Rolle Domänennamensmaster" 1. | Öffnen Sie Active Directory-Domänen und -Vertrauensstellungen. | 2. | Klicken Sie in der Konsolenstruktur mit der rechten Maustaste auf Active Directory-Domänen und -Vertrauensstellungen, und klicken Sie dann auf Verbindung mit Domänencontroller herstellen. | 3. | Geben Sie in das Feld Geben Sie den Namen eines weiteren Domänencontrollers ein den Namen des Domänencontrollers ein, der die Rolle des Domänennamenmasters haben soll. | 4. | Oder klicken Sie in der Liste mit den verfügbaren Domänencontrollern auf den gewünschten Domänencontroller. | 5. | Klicken Sie in der Konsolenstruktur mit der rechten Maustaste auf Active Directory-Domänen und -Vertrauensstellungen, und klicken Sie dann auf Betriebsmaster. | 6. | Klicken Sie auf Ändern. |
Übertragen der domänenbezogenen BetriebsmasterrollenMit diesem Verfahren übertragen Sie die Rollen PDC-Emulator, RID-Master und Infrastrukturmaster. Anmerkung Dieses Verfahren beschreibt die Verwendung der MMC. Es kann jedoch auch mithilfe von Ntdsutil.exe ausgeführt werden. Weitere Informationen dazu erhalten Sie, wenn Sie ? in der Ntdsutil.exe-Eingabeaufforderung eingeben. Administrative Berechtigungen Um die folgenden Schritte ausführen zu können, müssen Sie Mitglied der Gruppe Domänen-Admins oder der Gruppe Organisations-Admins sein. "Übertragen der domänenbezogenen Betriebsmasterrollen" 1. | Öffnen Sie Active Directory-Benutzer und -Computer. | 2. | Klicken Sie in der Konsolenstruktur mit der rechten Maustaste auf Active Directory-Benutzer und -Computer, und klicken Sie dann auf Verbindung mit Domänencontroller herstellen. | 3. | Geben Sie in das Feld Geben Sie den Namen eines weiteren Domänencontrollers ein den Namen des Domänencontrollers ein, der die Rolle des RID-Masters haben soll.
Oder klicken Sie in der Liste mit den verfügbaren Domänencontrollern auf den gewünschten Domänencontroller. | 4. | Klicken Sie in der Konsolenstruktur mit der rechten Maustaste auf Alle Tasks, und klicken Sie dann auf Betriebsmaster. | 5. | Klicken Sie auf die Rolle, die übertragen werden soll, und dann auf Ändern. |
Feststellen, ob ein Domänencontroller ein globaler Katalog Server istMit dem NTDS-Settings-Objekt können Sie festlegen, ob ein Domänencontroller ein globaler Katalog ist oder nicht. Administrative Berechtigungen Um dieses Verfahren durchführen zu können, müssen Sie Mitglied der Gruppe Domänen-Admins sein. "Feststellen, ob ein Domänencontroller ein globaler Katalogserver ist" 1. | Öffnen Sie Active Directory-Standorte und -Dienste. | 2. | Erweitern Sie den Container Standorte und den Standort, in dem sich der betreffende Domänencontroller befindet. Erweitern Sie den Container Servers und das Server-Objekt. | 3. | Klicken Sie mit rechts auf das NTDS-Settings-Objekt und dann auf Eigenschaften. | 4. | Wenn auf der Registerkarte Allgemein das Feld Globaler Katalog ausgewählt ist, arbeitet der Domänencontroller als globaler Katalog Server. |
Überprüfung der DNS-Registrierung und -FunktionalitätAdministrative Berechtigungen Um die folgenden Schritte ausführen zu können, müssen Sie Mitglied der Gruppe Domänen-Admins oder der Gruppe Organisations-Admins sein. "Überprüfung der DNS-Registrierung und -Funktionalität" 1. | Öffnen Sie eine Eingabeaufforderung. | 2. | Geben Sie den folgenden Befehl ein, und drücken Sie die EINGABETASTE:
netdiag /test:dns
Anmerkung
Mit /v erhalten Sie mehr Informationen.
Wenn DNS korrekt funktioniert, sollte die letzte Zeile so lauten: DNS Test…..: Passed. |
Überprüfen der Kommunikation mit anderen DomänencontrollernAdministrative Berechtigungen Um die folgenden Schritte ausführen zu können, müssen Sie Mitglied der Gruppe Domänenbenutzer sein. "Überprüfen der Kommunikation mit anderen Domänencontrollern" 1. | Öffnen Sie eine Eingabeaufforderung. | 2. | Geben Sie den folgenden Befehl ein, und drücken Sie die EINGABETASTE:
netdiag /test:dsgetdc
Anmerkung
Mit /v erhalten Sie mehr Informationen.
Wenn DNS korrekt funktioniert, sollte die letzte Zeile so lauten: DC discovery test……..: Passed. |
Überprüfen der Verfügbarkeit der BetriebsmasterAdministrative Berechtigungen Um die folgenden Schritte ausführen zu können, müssen Sie Mitglied der Gruppe Domänenbenutzer sein. Anmerkung Sie können diese Tests vor und nach der Installation von Active Directory ausführen. Vor der Installation müssen Sie die Option /s zum Angeben des verwendeten Domänencontrollers nutzen. Nach der Installation ist die Option nicht mehr notwendig. "Überprüfen der Verfügbarkeit der Betriebsmaster" 1. | Öffnen Sie eine Eingabeaufforderung. | 2. | Geben Sie den folgenden Befehl ein, und drücken Sie die EINGABETASTE:
dcdiag /s: Domänencontrollerr /test:knowsofroleholders /verbose
wobei Domänencontroller der Name eines Domänencontrollers der Domäne ist, zu der Sie den neuen Domänencontroller hinzufügen möchten. Am Ende der Ausgabe sollte der Test als erfolgreich angezeigt werden. | 3. | Geben Sie den folgenden Befehl ein, und drücken Sie die EINGABETASTE:
dcdiag /s: Domänencontrollerr /test:fsmocheck
wobei Domänencontroller der Name eines Domänencontrollers der Domäne ist, zu der Sie den neuen Domänencontroller hinzufügen möchten. Am Ende der Ausgabe sollte der Test als erfolgreich angezeigt werden. |
Deinstallation von Active DirectoryUm Active Directory über den Active Directory-Installationsassistent zu entfernen, müssen Sie das Kennwort des lokalen Administratorkontos kennen. Administrative Berechtigungen Um dieses Verfahren ausführen zu können, müssen Sie Mitglied der Gruppe Domänen-Admins sein. "Deinstallation von Active Directory" 1. | Klicken Sie auf Start, klicken Sie auf Ausführen, geben Sie dcpromo ein, und klicken Sie dann auf OK. | 2. | Klicken Sie auf Weiter. | 3. | Wenn Sie Dieses Server ist der letzte Domänencontroller der Domäne auswählen, versucht der Assistent, die Domäne aus der Gesamtstruktur zu entfernen. Deaktivieren Sie die Option. Klicken Sie auf Weiter. | 4. | Geben Sie das Kennwort für das lokale Administratorkonto ein. Klicken Sie auf Weiter. | 5. | Klicken Sie dann auf Weiter. | 6. | Klicken Sie auf Finish. | 7. | Klicken Sie auf Neustart. |
Ermitteln, ob ein Serverobjekt über Unterobjekte verfügtAdministrative Berechtigungen Um dieses Verfahren ausführen zu können, müssen Sie Mitglied der Gruppe Domänenbenutzer sein. "Ermitteln, ob ein Serverobjekt über Unterobjekte verfügt" 1. | Öffnen Sie Active Directory-Standorte und -Dienste. | 2. | Erweitern Sie Standorte und den entsprechenden Standort. | 3. | Erweitern Sie Servers und das entsprechende Serverobjekt. |
Löschen eines Serverobjektes aus einem StandortWenn es unter dem Server in Active Directory-Standorte und -Dienste keine Unterobjekte mehr gibt, können Sie das Serverobjekt entfernen. Administrative Berechtigungen Um dieses Verfahrung durchführen zu können, müssen Sie Mitglied der Gruppe Domänen-Admins sein. "Löschen eines Serverobjektes aus einem Standort" 1. | Öffnen Sie Active Directory-Standorte und -Dienste. | 2. | Erweitern Sie Standorte und den Standort, aus dem Sie den Server löschen möchten. | 3. | Wenn es keine Objekte unter dem Server gibt, klicken Sie mit rechts auf den Server, und klicken Sie dann auf Löschen.
Wichtig
Löschen Sie keinen Server mit untergeordneten Objekten. | 4. | Klicken Sie auf Ja. |
Das Entfernen eines Domänencontrollers erzwingenDas Erzwingen der Entfernung eines Domänencontrollers ist die letzte Möglichkeit, mit der Sie eine Neuinstallation des Betriebssystems auf dem nicht wieder herstellbaren Domänencontroller vermeiden können. Wenn ein Domänencontroller nicht in Betrieb ist, können Sie Active Directory nicht auf die normale Art und Weise entfernen. Hierzu wäre eine Verbindung mit der Domäne notwendig. Active Directory speichert einige Metadaten zu Domänencontrollern. Während der normalen Zurückstufung eines Domänencontrollers werden diese Metadaten mithilfe anderer Domänencontroller der gleichen Domäne entfernt. Wenn Sie das Zurückstufen jedoch erzwingen, wird dieser Schritt nicht durchgeführt. Daher sollten Sie nach einem solchen Schritt immer eine Bereinigung der Metadaten durchführen. Auf dem letzten Domänencontroller einer Domäne sollten Sie die Zurückstufung auf keinen Fall erzwingen. Anforderungen Um die unten beschriebenen Aufgaben ausführen zu können, sind die folgenden Tools notwendig: | • | Active Directory-Standorte und -Dienste | | • | Dcpromo.exe | | • | Ntdsutil.exe |
Um diese Aufgabe auszuführen, sind die folgenden Schritte erforderlich: 1. | Kapitel 3 - Identifizieren der Replikationspartner". Sie müssen in Schritt 3 zum Bereinigen der Metadaten auf einen dieser Domänencontroller zugreifen. | 2. | "Erzwingen der Zurückstufung des Domänencontrollers" | 3. | Kapitel 6 - Bereinigen der Metadaten" |
Identifizieren der ReplikationspartnerMit diesem Verfahren überprüfen Sie die Verbindungsobjekte eines Domänencontrollers und ermitteln seine Replikationspartner fest. Administrative Berechtigungen Damit Sie dieses Verfahren durchführen können, müssen Sie Mitglied der Gruppe Domänen-Admins sein. Identifizieren von Replikationspartnern 1. | Öffnen Sie Active Directory-Standorte und -Dienste. | 2. | Erweitern Sie den Container Standorte. | 3. | Klicken Sie doppelt auf den Standort, in dem sich der Domänencontroller befindet.
Anmerkung
Wenn Sie nicht wissen, wo sich der Domänencontroller befindet, geben Sie in einer Eingabeaufforderung den Befehl ipconfig ein und fragen so die IP-Adresse des Domänencontrollers ab. Vergleichen Sie die IP-Adresse mit den Subnetzen, und ermitteln Sie so den Standort. | 4. | Erweitern Sie den Ordner Server. | 5. | Erweitern Sie den Namen des Domänencontrollers. | 6. | Klicken Sie doppelt auf NTDSSettings, um die Verbindungsobjekte anzuzeigen (angezeigt werden die für die Replikation verwendeten eingehenden Verbindungen). In der Spalte Von Server finden Sie die Namen der Replikationspartner. |
Erzwingen der Zurückstufung des DomänencontrollersAdministrative Berechtigungen Um dieses Verfahren ausführen zu können, müssen Sie Mitglied der Gruppe Domänen-Admins sein. "Erzwingen der Zurückstufung des Domänencontrollers" 1. | Klicken Sie auf Start, klicken Sie auf Ausführen, geben Sie den folgenden Befehl ein, und drücken Sie die EINGABETASTE:
Dcpromo /forceremoval | 2. | Klicken Sie auf Weiter. | 3. | Klicken Sie auf Weiter. | 4. | Geben Sie das Kennwort für das lokale Administratorkonto an. Klicken Sie dann auf Weiter. | 5. | Klicken Sie auf Weiter. |
Bereinigen der MetadatenDie Bereinigung der Metadaten wird mit Ntdsutil.exe durchgeführt. Es entfernt alle Daten aus Active Directory, die einen Domänencontroller identifizieren. Unter Windows Server 2003 Service Pack 1 (SP1) entfern das Verfahren außerdem automatisch FRS-Verbindungen und versucht, alle Betriebsmasterrollen, die der alte Domänencontroller innehatte, zu übertragen oder zu übernehmen. Administrative Berechtigungen Um das Verfahren durchführen zu können, müssen Sie Mitglied der Gruppe Organisations-Admins sein. "Bereinigen der Metadaten" 1. | Öffnen Sie eine Eingabeaufforderung. | 2. | Geben Sie den folgenden Befehl ein, und drücken Sie dann die EINGABETASTE:
ntdsutil | 3. | Führen Sie den folgenden Befehl aus: metadata cleanup | • | Wenn Sie Ntdsutil.exe unter Windows Server 2003 SP1 nutzen, führen Sie den folgenden Befehl aus: remove selected server ServerName oder remove selected server ServerName1 on ServerName2 ServerName, ServerName1 | DNs der Domänencontroller, dessen Metadaten Sie löschen wollen. (cn=ServerName,cn=Servers,cn=Standortname, cn=Sites,cn=Configuration,dc=Stammdomäne | ServerName2 | DNS-Name des Domänencontrollers, von dem Sie die Metadaten entfernen möchten. |
| | • | Wenn Sie Ntdsutil.exe unter Windows Server 2003 ohne SP ausführen, gehen Sie folgendermaßen vor: | • | Geben Sie den folgenden Befehl ein: connection | | • | Geben Sie den folgenden Befehl ein: connect to server Server | | • | Geben Sie den folgenden Befehl ein: quit | | • | Geben Sie den folgenden Befehl ein: select operation target | | • | Geben Sie den folgenden Befehl ein: list sites
Eine Liste mit Standorten wird angezeigt. | | • | Geben Sie den folgenden Befehl ein: select site Standortnummer | | • | Geben Sie den folgenden Befehl ein: list domains in site
Es sollte eine Liste mit den Domänen am ausgewählten Standort angezeigt werden. | | • | Geben Sie den folgenden Befehl ein: select domain Domänennummer | | • | Geben Sie den folgenden Befehl ein: list servers in site
Eine Liste mit Servern wird angezeigt. | | • | Geben Sie den folgenden Befehl ein: select server ServerNummer | | • | Geben Sie den folgenden Befehl ein: quit | | • | Geben Sie den folgenden Befehl ein: remove selected server |
Nun sollte Active Directory bestätigen, dass der Domänencontroller entfernt wurde. |
| 4. | Geben Sie quit ein. |
| |
