Windows Server 2003 Active Directory-Betriebshandbuch

Windows Server 2003 Active DirectoryBetriebshandbuch
Microsoft Corporation
Veröffentlicht: Juni 2005
Aktualisiert: Juli 2006
Zusammenfassung
In diesem Betriebshandbuch zu Microsoft® Windows Server™ 2003 Active Directory®
finden Sie Schritt-für-Schritt-Anleitungen und aufgabenorientierte Informationen zu
Technologien von Windows Server 2003 und Windows Server 2003 mit Service Pack 1
(SP1). Dieses Handbuch wurde so entwickelt, um IT-Mitarbeitern und Administratoren
Informationen und Hilfen zum Betrieb, zur Verwaltung und zur Fehlersuche in Bezug auf
Active Directory-Server zur Verfügung zu stellen.
Die Informationen in diesem Dokument, inklusive von URLs und anderen Verweisen auf
Webseiten, können sich ändern, ohne dass darauf hingewiesen wird.
Sofern nichts anderes angegeben ist, sind die in den Beispielen verwendeten Firmen,
Organisationen, Produkte, Domänennamen, E-Mail-Adressen, Logos, Personen, Orte
und Ereignisse frei erfunden. Jede Ähnlichkeit mit bestehenden Firmen, Organisationen,
Produkten, Domänennamen, E-Mail-Adressen, Logos, Personen, Orten oder Ereignissen
ist rein zufällig. Die Benutzer/innen sind verpflichtet, sich an alle anwendbaren
Urheberrechtsgesetze zu halten. Unabhängig von der Anwendbarkeit der
entsprechenden Urheberrechtsgesetze darf ohne ausdrückliche schriftliche Erlaubnis der
Microsoft Corporation kein Teil dieses Dokuments für irgendwelche Zwecke vervielfältigt
oder in einem Datenempfangssystem gespeichert oder darin eingelesen werden,
unabhängig davon, auf welche Art und Weise oder mit welchen Mitteln (elektronisch,
mechanisch, durch Fotokopieren, Aufzeichnen usw.) dies geschieht.
Es ist möglich, dass Microsoft Rechte an Patenten bzw. angemeldeten Patenten, an
Marken, Urheberrechten oder sonstigem geistigen Eigentum besitzt, die sich auf den
fachlichen Inhalt dieses Dokuments beziehen. Das Bereitstellen dieses Dokuments gibt
Ihnen jedoch keinen Anspruch auf diese Patente, Marken, Urheberrechte oder auf
sonstiges geistiges Eigentum, es sei denn, dies wird ausdrücklich in den schriftlichen
Lizenzverträgen von Microsoft eingeräumt.
© 2005 - 2006 Microsoft Corporation. Alle Rechte vorbehalten.
Microsoft, MS-DOS, Windows, Windows NT, Windows Server und Active Directory sind
eingetragene Marken oder Marken der Microsoft Corporation in den USA und/oder
anderen Ländern.
Die in diesem Dokument aufgeführten Produkt- und Firmennamen sind geschützte
Marken ihrer jeweiligen Inhaber.
Inhaltsverzeichnis
Windows Server 2003 Active Directory-Betriebshandbuch ................................................ 1
Inhaltsverzeichnis ................................................................................................................ 3
Active Directory-Betriebshandbuch ................................................................................... 26
Active Directory-Administration ......................................................................................... 26
Einführung in die Administration von Active Directory ...................................................... 27
An wen richtet sich das Handbuch? .............................................................................. 28
Wie Sie das Handbuch nutzen sollten ........................................................................... 28
Aktualisierung des Handbuches ....................................................................................... 29
Neue Inhalte .................................................................................................................. 29
Aktualisierte Inhalte ....................................................................................................... 29
Administration von Domänen- und Gesamtstrukturvertrauensstellungen ........................ 29
Einführung zum Thema Domänen- und Gesamtstrukturvertrauensstellungen ................ 30
Best Practices in Bezug auf Domänen- und Gesamtstrukturvertrauensstellungen .......... 31
Verwalten von Domänen- und Gesamtstrukturvertrauensstellungen ............................... 32
Erstellen von Domänen- und Gesamtstrukturvertrauensstellungen ................................. 32
Terminologie im Neue Vertrauensstellung-Assistent .................................................... 33
Bekannte Probleme beim Erstellen von Domänen- und
Gesamtstrukturvertrauensstellungen ............................................................................. 34
Erstellen von externen Vertrauensstellungen ................................................................... 35
Erstellen einer unidirektionalen, eingehenden, externen Vertrauensstellung auf einer
Seite ............................................................................................................................... 37
Erstellen einer unidirektionalen, eingehenden, externen Vertrauensstellung auf beiden
Seiten ............................................................................................................................. 39
Erstellen einer unidirektionalen, ausgehenden, externen Vertrauensstellung auf einer
Seite ............................................................................................................................... 40
Erstellen einer unidirektionalen, ausgehenden, externen Vertrauensstellung auf beiden
Seiten ............................................................................................................................. 42
Erstellen einer bidirektionalen, externen Vertrauensstellung auf einer Seite ................... 44
Erstellen einer bidirektionalen, externen Vertrauensstellung auf beiden Seiten .............. 46
Erstellen von Verknüpfungsvertrauensstellungen ............................................................ 47
Erstellen einer unidirektionalen, eingehenden Verknüpfungsvertrauensstellung auf einer
Seite ............................................................................................................................... 48
Erstellen einer unidirektionalen, eingehenden Verknüpfungsvertrauensstellung auf beiden
Seiten ............................................................................................................................. 50
Erstellen einer unidirektionalen, ausgehenden Verknüpfungsvertrauensstellung auf einer
Seite ............................................................................................................................... 52
Erstellen einer unidirektionalen, ausgehenden Verknüpfungsvertrauensstellung auf
beiden Seiten ................................................................................................................. 54
Erstellen einer bidirektionalen Verknüpfungsvertrauensstellung auf einer Seite ............. 55
Erstellen einer bidirektionalen Verknüpfungsvertrauensstellung auf beiden Seiten ......... 57
Erstellen von Gesamtstrukturvertrauensstellungen .......................................................... 59
Erstellen einer unidirektionalen, eingehenden Gesamtstrukturvertrauensstellung auf einer
Seite ............................................................................................................................... 61
Erstellen einer unidirektionalen, eingehenden Gesamtstrukturvertrauensstellung auf
beiden Seiten ................................................................................................................. 63
Erstellen einer unidirektionalen, ausgehenden Gesamtstrukturvertrauensstellung auf
einer Seite ...................................................................................................................... 65
Erstellen einer unidirektionalen, ausgehenden Gesamtstrukturvertrauensstellung auf
beiden Seiten ................................................................................................................. 67
Erstellen einer bidirektionalen Gesamtstrukturvertrauensstellung auf einer Seite ........... 68
Erstellen einer bidirektionalen Gesamtstrukturvertrauensstellung auf beiden Seiten ...... 71
Erstellen von Bereichsvertrauensstellung ......................................................................... 73
Erstellen einer unidirektionalen, eingehenden Bereichsvertrauensstellung ..................... 73
Erstellen einer unidirektionalen, ausgehenden Bereichsvertrauensstellung .................... 75
Erstellen einer bidirektionalen Bereichsvertrauensstellung .............................................. 76
Konfiguration von Domänen- und Gesamtstrukturvertrauensstellungen .......................... 78
Prüfen und Entfernen von Vertrauensstellungen .............................................................. 78
Prüfen einer Vertrauensstellung ....................................................................................... 78
Prüfen einer Vertrauensstellung .................................................................................... 79
Entfernen einer manuell erstellten Vertrauensstellung ..................................................... 80
Entfernen einer manuell erstellten Vertrauensstellung .................................................. 81
Ändern der Routingeinstellungen eines Namensuffixes ................................................... 82
Ändern des Routingstatus’ eines Namensuffixes ............................................................. 83
Ändern des Routingstatus eines Namensuffixes ........................................................... 83
Aktivieren oder Deaktivieren eines bestehenden Namensuffixes für das Routing ........... 84
Aktivieren oder Deaktivieren eines bestehenden Namensuffixes für das Routing........ 85
Ausschließen eines Namensuffixes vom Routing in der lokalen Gesamtstruktur ............ 85
Ausschließen eines Namensuffixes vom Routing in der lokalen Gesamtstruktur ......... 86
Absichern von Domänen- und Gesamtstrukturvertrauensstellungen ............................... 87
Konfiguration von SID-Filtereinstellungen......................................................................... 87
Deaktivieren der SID-Filterung .......................................................................................... 89
Aktivieren der SID-Filterung .............................................................................................. 90
Konfiguration von selektiven Authentifizierungseinstellungen .......................................... 91
Aktivieren der selektiven Authentifizierung über eine externe Vertrauensstellung ........... 92
Aktivieren der selektiven Authentifizierung über eine externe Vertrauensstellung ....... 92
Aktivierten der selektiven Authentifizierung über eine Gesamtstrukturvertrauensstellung
....................................................................................................................................... 93
Aktivierten der selektiven Authentifizierung über eine Gesamtstrukturvertrauensstellung
.................................................................................................................................... 94
Aktivieren der domänenweiten Authentifizierung über eine externe Vertrauensstellung . 94
Aktivieren der domänenweiten Authentifizierung über eine externe Vertrauensstellung
.................................................................................................................................... 95
Aktivieren der gesamtstrukturweiten Authentifizierung über eine
Gesamtstrukturvertrauensstellung ................................................................................. 95
Aktivieren der gesamtstrukturweiten Authentifizierung über eine
Gesamtstrukturvertrauensstellung ............................................................................. 96
Zuweisen der Berechtigung Authentifizierung zulassen auf Computern in der
vertrauenden Domäne oder Gesamtstruktur ................................................................. 97
Zuweisen der Berechtigung Authentifizierung zulassen auf Computern in der
vertrauenden Domäne oder Gesamtstruktur.............................................................. 97
Anhang: Der Neue Vertrauensstellung-Assistent ............................................................. 98
Richtung der Vertrauensstellung ................................................................................... 98
Seiten der Vertrauensstellung ..................................................................................... 101
Administration des Windows-Zeitdienstes ...................................................................... 102
Einführung in die Administration des Windows-Zeitdienstes .......................................... 103
Verwaltung des Windows-Zeitdienst ............................................................................... 103
Konfiguration eines Zeitgebers für die Gesamtstruktur .................................................. 104
Konfigurieren des Windows-Zeitdienstes auf dem PDC-Emulator ................................. 106
Ändern der Windows-Zeitdienst-Konfiguration auf dem alten PDC-Emulator ................ 107
Konfiguration eines Domänencontrollers in der übergeordneten Domäne als Zeitgeber
..................................................................................................................................... 108
Konfiguration des PDC-Emulators für eine Synchronisation mit der internen Hardwareuhr
..................................................................................................................................... 109
Deaktivieren des Windows-Zeitdienstes ......................................................................... 110
Konfiguration von Windows-Clients für die Zeitsynchronisation ..................................... 111
Konfigurieren eines manuellen Zeitgebers für einen bestimmten Clientcomputer ......... 111
Konfigurieren eines Clientcomputers für die automatische Domänen-Zeitsynchronisation
..................................................................................................................................... 113
Wiederherstellen der Standardeinstellungen des Windows-Zeitdienstes ....................... 114
Zurücksetzen des Windows-Zeitdienstes auf dem lokalen Computer auf die
Standardeinstellungen ................................................................................................. 114
SYSVOL-Administration .................................................................................................. 115
Einführung in die Administration von SYSVOL ............................................................... 116
Verwaltung von SYSVOL ................................................................................................ 120
Ändern des für den Stagingbereich reservierten Speicherplatzes ................................. 121
Anhalten des Dateireplikationsdienstes .......................................................................... 121
Ändern des vom Staging Area-Ordner belegten Speicherplatzes .................................. 122
Starten des Dateireplikationsdienstes ............................................................................. 123
Verschieben des Stagingbereichs .................................................................................. 123
Identifizieren der Replikationspartner ............................................................................. 125
Den Status der SYSVOL-Freigabe überprüfen ............................................................... 126
Überprüfen der Replikation mit anderen Domänencontrollern ....................................... 127
Zusammenstellen der SYSVOL-Pfadinformationen ....................................................... 127
Sammeln der SYSVOL-Pfadinformationen ................................................................. 128
Zurücksetzen des Dateireplikationsdienst-Stagingordners auf einem anderen logischen
Laufwerk ...................................................................................................................... 130
Manuelles Verschieben von SYSVOL ............................................................................ 133
Identifizieren der Replikationspartner ............................................................................. 134
Den Status der SYSVOL-Freigabe überprüfen ............................................................... 135
Überprüfen der Replikation mit anderen Domänencontrollern ....................................... 136
Zusammenstellen der SYSVOL-Pfadinformationen ....................................................... 137
Anhalten des Dateireplikationsdienstes .......................................................................... 138
Erstellen der SYSVOL-Ordnerstruktur ............................................................................ 138
Festlegen des SYSVOL-Pfades ...................................................................................... 139
Festlegen des Staging Area-Pfades ............................................................................... 140
Vorbereiten eines Domänencontrollers für einen nicht autorisierenden SYSVOL-Neustart
..................................................................................................................................... 141
Aktualisieren der Sicherheitseinstellungen für den neuen SYSVOL-Ordner .................. 143
Starten des Dateireplikationsdienstes ............................................................................. 144
Aktualisierung des Systemvolumen-Pfades.................................................................... 145
Zusammenstellen der SYSVOL-Pfadinformationen ....................................................... 146
Anhalten des Dateireplikationsdienstes .......................................................................... 147
Festlegen des SYSVOL-Pfades ...................................................................................... 147
Festlegen des Staging Area-Pfades ............................................................................... 148
Starten des Dateireplikationsdienstes ............................................................................. 149
Wiederherstellen und Wiederaufbauen von SYSVOL .................................................... 150
Identifizieren der Replikationspartner ............................................................................. 151
Den Status der SYSVOL-Freigabe überprüfen ............................................................... 152
Überprüfen der Replikation mit anderen Domänencontrollern ....................................... 153
Lokaler Neustart des Domänencontrollers im Verzeichnisdienstwiederherstellungsmodus
..................................................................................................................................... 154
Siehe auch ................................................................................................................... 155
Zusammenstellen der SYSVOL-Pfadinformationen ....................................................... 155
Anhalten des Dateireplikationsdienstes .......................................................................... 156
Vorbereiten eines Domänencontrollers für einen nicht autorisierenden SYSVOL-Neustart
..................................................................................................................................... 156
Import der SYSVOL-Ordnerstruktur ................................................................................ 158
Starten des Dateireplikationsdienstes ............................................................................. 160
Administration des globalen Katalogs ............................................................................. 161
Einführung in die Administration des globalen Katalogs ................................................. 161
Platzierung des globalen Katalogs .............................................................................. 161
Initiale Replikation des globalen Katalogs ................................................................... 162
Verfügbarkeit des globalen Katalogs ........................................................................... 162
Entfernen des globalen Katalogs ................................................................................. 163
Siehe auch ................................................................................................................... 163
http://go.microsoft.com/fwlink/?LinkId=44139 ............................................................. 163
Verwaltung des globalen Katalogs .................................................................................. 163
Konfiguration eines globalen Katalog Servers ................................................................ 164
Feststellen, ob ein Domänencontroller ein globaler Katalogserver ist ............................ 165
Konfigurieren eines Domänencontrollers als globaler Katalog Server ........................... 165
Überwachen des Replikationsprozesses des globalen Katalogs ................................... 166
Überprüfen der Bereitschaft des globalen Katalogs ....................................................... 167
Prüfen der Bereitschaft des globalen Katalogs ............................................................... 168
Prüfen der Bereitschaft des globalen Katalogs ........................................................... 168
Prüfen der DNS-Einträge des globalen Katalogs ........................................................... 169
Entfernen des globalen Katalogs .................................................................................... 169
Deaktivieren der globaler Katalog-Einstellung ................................................................ 170
Überwachen der Ereignisanzeige ................................................................................... 171
Administration von Betriebsmasterrollen ........................................................................ 171
Einführung in die Administration von Betriebsmasterrollen ............................................ 172
Richtlinien zur Platzierung der Rollen .......................................................................... 173
Richtlinien für das Übertragen von Rollen ................................................................... 175
Verwaltung von Betriebsmasterrollen ............................................................................. 175
Festlegen eines Standby-Betriebsmasters ..................................................................... 176
Feststellen, ob ein Domänencontroller ein globaler Katalogserver ist ............................ 177
Erstellen eines Verbindungsobjekts auf dem aktuellen Betriebsmaster ......................... 177
Erstellen eines Verbindungsobjekts auf dem Standby-Betriebsmaster .......................... 178
Überprüfen der erfolgreichen Replikation mit einem anderen Domänencontroller......... 179
Siehe auch ................................................................................................................... 181
Fehlersuche bei Active Directory-Replikationsproblemen ........................................... 181
Übertragen einer Betriebsmasterrolle ............................................................................. 181
Überprüfen der erfolgreichen Replikation mit einem anderen Domänencontroller......... 183
Siehe auch ................................................................................................................... 185
Fehlersuche bei Active Directory-Replikationsproblemen ........................................... 185
Feststellen, ob ein Domänencontroller ein globaler Katalogserver ist ............................ 185
Installation des Schema-Snap-Ins .................................................................................. 186
Übertragen der Rolle Schemamaster ............................................................................. 187
Übertragen der Rolle Domänennamensmaster .............................................................. 188
Übertragen der domänenbezogenen Betriebsmasterrollen ............................................ 189
Anzeigen der aktuellen Betriebsmaster .......................................................................... 190
Übernehmen einer Betriebsmasterrolle .......................................................................... 190
Überprüfen der erfolgreichen Replikation mit einem anderen Domänencontroller......... 191
Siehe auch ................................................................................................................... 194
Fehlersuche bei Active Directory-Replikationsproblemen ........................................... 194
Übernehmen der Betriebsmasterrolle ............................................................................. 194
Anzeigen der aktuellen Betriebsmaster .......................................................................... 195
Reduzierung der Auslastung auf dem PDC-Emulator .................................................... 196
Anpassen der Gewichtung für DNS-SRV-Einträge über die Registrierung ................. 196
Anpassen der Priorität für DNS-SRV-Einträge über die Registrierung ....................... 196
Ändern der Gewichtung von DNS-SRV-Einträgen in der Registrierung ......................... 197
Ändern der Priorität von DNS-SRV-Einträgen in der Registrierung................................ 198
Administration der Active Directory-Sicherung und -Wiederherstellung ......................... 199
Einführung in die Administration der Active Directory-Sicherung und -Wiederherstellung
..................................................................................................................................... 200
Systemstatus-Komponenten ....................................................................................... 200
Sinn regelmäßiger Sicherungen .................................................................................. 201
Anforderungen und Empfehlungen für die Wiederherstellung .................................... 201
Richtlinien für die Sicherung ........................................................................................ 202
Sicherungshäufigkeit ................................................................................................... 203
Sicherungs-Latenzintervall .......................................................................................... 204
Siehe auch ................................................................................................................... 205
Installation eines Domänencontrollers in einer bestehenden Domäne mithilfe von
Sicherungsmedien .................................................................................................... 205
Verwaltung der Active Directory-Sicherung und -Wiederherstellung .............................. 205
Sichern von Active Directory-Komponenten ................................................................... 206
Benennung von Sicherungsdateien ............................................................................. 206
Siehe auch ................................................................................................................... 207
Installation eines Domänencontrollers in einer bestehenden Domäne mithilfe von
Sicherungsmedien .................................................................................................... 207
Hinzufügen von Domäencontrollern an Remotestandorten ........................................ 207
Sicherung des Systemstatus .......................................................................................... 207
Siehe auch ................................................................................................................... 210
Aktivieren von Remotedesktop .................................................................................... 210
Erstellen einer Remotedesktopverbindung.................................................................. 210
Sicherung des Systemstatus und des Systemvolumens ................................................ 210
Siehe auch ................................................................................................................... 211
Aktivieren von Remotedesktop .................................................................................... 211
Erstellen einer Remotedesktopverbindung.................................................................. 211
Durchführen einer nicht autorisierenden Wiederherstellung eines Domänencontrollers 211
Siehe auch ................................................................................................................... 213
Durchführen einer autorisierenden Wiederherstellung von Active Directory-Objekten
.................................................................................................................................. 213
Aktivieren von Remotedesktop .................................................................................... 213
Erstellen einer Remotedesktopverbindung.................................................................. 213
Lokaler Neustart des Domänencontrollers im Verzeichnisdienstwiederherstellungsmodus
..................................................................................................................................... 213
Siehe auch ................................................................................................................... 214
Neustart des Domänencontrollers im Verzeichnisdienstwiederherstellungsmodus von
einem Remotestandort aus ......................................................................................... 214
Siehe auch ................................................................................................................... 215
Aktivieren von Remotedesktop .................................................................................... 215
Erstellen einer Remotedesktopverbindung.................................................................. 215
Lokaler Neustart des Domänencontrollers im
Verzeichnisdienstwiederherstellungsmodus ............................................................ 215
Wiederherstellung mithilfe eines Sicherungsmediums ................................................... 215
Siehe auch ................................................................................................................... 217
Lokaler Neustart des Domänencontrollers im
Verzeichnisdienstwiederherstellungsmodus ............................................................ 217
Aktivieren von Remotedesktop .................................................................................... 217
Erstellen einer Remotedesktopverbindung.................................................................. 217
Neustart des Domänencontrollers im Verzeichnisdienstwiederherstellungsmodus von
einem Remotestandort aus ...................................................................................... 217
Wiederherstellen des Systemstatus an einem anderen Speicherort .......................... 217
Durchführen einer autorisierenden Wiederherstellung von Active Directory-Objekten
.................................................................................................................................. 217
Überprüfen der Active Directory-Wiederherstellung ....................................................... 217
Durchführen einer autorisierenden Wiederherstellung von Active Directory-Objekten .. 218
Wiederherstellung von Gruppenmitgliedschaften nach einer autorisierende
Wiederherstellung .................................................................................................... 218
Verbesserung der autorisierenden Wiederherstellung unter Windows Server 2003 SP1
.................................................................................................................................. 219
Verfahren für Domänencontroller unter Windows Server 2003 SP1 ........................... 220
Verfahren für Domänencontroller unter Windows Server 2003 ohne Service Pack ... 221
Wiederherstellung mithilfe eines Sicherungsmediums ................................................... 223
Siehe auch ................................................................................................................... 225
Lokaler Neustart des Domänencontrollers im
Verzeichnisdienstwiederherstellungsmodus ............................................................ 225
Aktivieren von Remotedesktop .................................................................................... 225
Erstellen einer Remotedesktopverbindung.................................................................. 225
Neustart des Domänencontrollers im Verzeichnisdienstwiederherstellungsmodus von
einem Remotestandort aus ...................................................................................... 225
Wiederherstellen des Systemstatus an einem anderen Speicherort .......................... 225
Durchführen einer autorisierenden Wiederherstellung von Active Directory-Objekten
.................................................................................................................................. 225
Markieren von Objekten als autorisierend ...................................................................... 225
Synchronisation der Replikation mit allen Partnern ........................................................ 227
Siehe auch ................................................................................................................... 228
Überprüfen der erfolgreichen Replikation mit einem anderen Domänencontroller ..... 228
Ausführen einer LDIF-Datei zur Wiederherstellung von Back-Links .............................. 228
Siehe auch ................................................................................................................... 229
Erstellen einer LDIF-Datei zur Wiederherstellung von Back-Links ............................. 229
Lokaler Neustart des Domänencontrollers im Verzeichnisdienstwiederherstellungsmodus
..................................................................................................................................... 229
Siehe auch ................................................................................................................... 230
Erstellen einer LDIF-Datei zur Wiederherstellung von Back-Links ................................. 230
Siehe auch ................................................................................................................... 231
Wiederherstellung mithilfe eines Sicherungsmediums ................................................ 231
Ausführen eine LDIF-Datei zur Wiederherstellung von Back-Links ............................ 231
Deaktivieren der eingehenden Replikation ..................................................................... 231
Siehe auch ................................................................................................................... 232
Aktivieren der eingehenden Replikation ...................................................................... 232
Aktivieren der eingehenden Replikation ......................................................................... 232
Siehe auch ................................................................................................................... 233
Deaktivieren der eingehenden Replikation .................................................................. 233
Durchführen einer autorisierenden Wiederherstellung einer Anwendungspartition ....... 233
Wiederherstellung mithilfe eines Sicherungsmediums ................................................... 233
Siehe auch ................................................................................................................... 235
Lokaler Neustart des Domänencontrollers im
Verzeichnisdienstwiederherstellungsmodus ............................................................ 235
Aktivieren von Remotedesktop .................................................................................... 235
Erstellen einer Remotedesktopverbindung.................................................................. 235
Neustart des Domänencontrollers im Verzeichnisdienstwiederherstellungsmodus von
einem Remotestandort aus ...................................................................................... 235
Wiederherstellen des Systemstatus an einem anderen Speicherort .......................... 235
Durchführen einer autorisierenden Wiederherstellung von Active Directory-Objekten
.................................................................................................................................. 235
Markieren der Anwendungspartition als autorisierend .................................................... 235
Durchführen einer autorisierenden Wiederherstellung eines Gruppenrichtlinienobjektes
..................................................................................................................................... 236
Wiederherstellen eines GPOs ......................................................................................... 237
Wiederherstellung eines Domänencontrollers über eine Neuinstallation gefolgt von einer
Wiederherstellung einer Sicherung ............................................................................. 238
Wiederherstellung mithilfe eines Sicherungsmediums ................................................... 239
Siehe auch ................................................................................................................... 241
Lokaler Neustart des Domänencontrollers im
Verzeichnisdienstwiederherstellungsmodus ............................................................ 241
Aktivieren von Remotedesktop .................................................................................... 241
Erstellen einer Remotedesktopverbindung.................................................................. 241
Neustart des Domänencontrollers im Verzeichnisdienstwiederherstellungsmodus von
einem Remotestandort aus ...................................................................................... 241
Wiederherstellen des Systemstatus an einem anderen Speicherort .......................... 241
Durchführen einer autorisierenden Wiederherstellung von Active Directory-Objekten
.................................................................................................................................. 241
Überprüfen der Active Directory-Wiederherstellung ....................................................... 241
Wiederherstellung eines Domänencontrollers über eine Neuinstallation ....................... 242
Bereinigen der Metadaten ............................................................................................... 243
Löschen eines Serverobjektes aus einem Standort ....................................................... 246
Löschen eines Computerobjektes aus der OU Domain Controllers ............................... 246
Siehe auch ................................................................................................................... 247
Das Entfernen eines Domänencontrollers erzwingen ................................................. 247
Bereinigen der Metadaten ........................................................................................... 247
Löschen eines Serverobjektes aus einem Standort .................................................... 247
Überprüfung der DNS-Registrierung und -Funktionalität ................................................ 247
Überprüfen der Kommunikation mit anderen Domänencontrollern ................................ 248
Überprüfen der Verfügbarkeit der Betriebsmaster .......................................................... 248
Installieren von Active Directory ...................................................................................... 249
Administrieren der Replikation zwischen Standorten ..................................................... 250
6.5 ................................................................................................................................... 251
Einführung in die Administration der Replikation zwischen Standorten ......................... 251
Der KCC und die Replikationstopologie ...................................................................... 251
Verwalten der Replikation zwischen Standorten ............................................................ 252
Hinzufügen eines neuen Standortes ............................................................................... 253
Erstellen eines Standortobjektes und Hinzufügen zu einer bestehenden
Standortverknüpfung ................................................................................................... 254
Erstellen eines Subnetzobjektes und Zuweisen des Objektes zu einem neuen Standort
..................................................................................................................................... 254
Zuweisen eines bestehenden Subnetzobjektes zu einem neuen Standort .................... 255
Erstellen einer Standortverknüpfung und Hinzufügen der entsprechenden Standorte .. 256
Entfernen eines Standortes aus einer Standortverknüpfung .......................................... 257
Verknüpfen von Standorten für die Replikation .............................................................. 257
Erstellen einer Standortverknüpfung und Hinzufügen der entsprechenden Standorte .. 258
Ermitteln der ISTG-Rolle für einen Standort ................................................................... 259
Erstellen der Replikationstopologie auf dem ISTG-Server ............................................. 259
Ändern der Eigenschaften von Standortverknüpfungen ................................................. 260
Konfigurieren eines Zeitplans für eine Standortverknüpfung .......................................... 261
Konfigurieren eines Intervalls für eine Standortverknüpfung .......................................... 262
Konfigurieren der Kosten für eine Standortverknüpfung................................................. 262
Ermitteln der ISTG-Rolle für einen Standort ................................................................... 263
Erstellen der Replikationstopologie auf dem ISTG-Server ............................................. 264
Verschieben eines Domänencontrollers an einen anderen Standort ............................. 265
TCP/IP-Einstellungen .................................................................................................. 265
Status als bevorzugter Bridgeheadserver ................................................................... 265
Ändern der statischen IP-Adresse eines Domänencontrollers ....................................... 267
Erstellen einer Delegierung für einen Domänencontroller .............................................. 268
Überprüfen, ob eine IP-Adresse einem Subnetz entspricht, und Ermitteln der
Standortzuordnung ...................................................................................................... 268
Feststellen, ob ein Server ein Bridgeheadserver ist ....................................................... 269
Einen Server so konfigurieren, dass er kein bevorzugter Bridgeheadserver ist ............. 270
Verschieben eines Serverobjekts in einen neuen Standort ............................................ 271
Entfernen eines Standortes ............................................................................................ 271
Ermitteln, ob ein Serverobjekt über Unterobjekte verfügt ............................................... 273
Löschen eines Serverobjektes aus einem Standort ....................................................... 273
Löschen einer Standortverknüpfung ............................................................................... 274
Zuordnen des Subnetzes oder der Subnetze zum entsprechenden Standort................ 275
Löschen des Standortobjektes ........................................................................................ 275
Ermitteln der ISTG-Rolle für einen Standort ................................................................... 276
Erstellen der Replikationstopologie auf dem ISTG-Server ............................................. 276
Administration der Active Directory-Datenbank .............................................................. 277
Einführung in die Administration der Active Directory-Datenbank .................................. 278
Verwalten der Active Directory-Datenbank ..................................................................... 279
Verschieben der Active Directory-Datenbankdateien ..................................................... 279
Speicherplatzanforderungen für das Verschieben der Active DirectoryDatenbankdateien .................................................................................................... 280
Online feststellen, wo die Datenbank gespeichert ist und wie groß diese ist ................. 282
Offline feststellen, wo die Datenbank gespeichert ist und wie groß diese ist ................. 283
Vergleich der Größe der Verzeichnisdatenbank mit der Volumengröße ........................ 284
Sicherung des Systemstatus .......................................................................................... 284
Siehe auch ................................................................................................................... 287
Aktivieren von Remotedesktop .................................................................................... 287
Erstellen einer Remotedesktopverbindung.................................................................. 287
Lokaler Neustart des Domänencontrollers im Verzeichnisdienstwiederherstellungsmodus
..................................................................................................................................... 287
Siehe auch ................................................................................................................... 288
Neustart des Domänencontrollers im Verzeichnisdienstwiederherstellungsmodus von
einem Remotestandort aus ......................................................................................... 288
Siehe auch ................................................................................................................... 290
Aktivieren von Remotedesktop .................................................................................... 290
Erstellen einer Remotedesktopverbindung.................................................................. 290
Lokaler Neustart des Domänencontrollers im
Verzeichnisdienstwiederherstellungsmodus ............................................................ 290
Verschieben der Verzeichnisdatenbank und Protokolldateien auf ein lokales Laufwerk 290
Verschieben der Verzeichnisdatenbank und Protokolldateien auf eine Remotefreigabe
..................................................................................................................................... 292
Freigeben von ungenutztem Festplattenplatz in der Active Directory-Datenbank.......... 294
Ändern des Garbage-Collection-Protokollierungslevel auf 1 .......................................... 295
Sicherung des Systemstatus .......................................................................................... 296
Siehe auch ................................................................................................................... 298
Aktivieren von Remotedesktop .................................................................................... 298
Erstellen einer Remotedesktopverbindung.................................................................. 298
Lokaler Neustart des Domänencontrollers im Verzeichnisdienstwiederherstellungsmodus
..................................................................................................................................... 298
Siehe auch ................................................................................................................... 299
Neustart des Domänencontrollers im Verzeichnisdienstwiederherstellungsmodus von
einem Remotestandort aus ......................................................................................... 299
Siehe auch ................................................................................................................... 301
Aktivieren von Remotedesktop .................................................................................... 301
Erstellen einer Remotedesktopverbindung.................................................................. 301
Lokaler Neustart des Domänencontrollers im
Verzeichnisdienstwiederherstellungsmodus ............................................................ 301
Komprimieren der Datenbank (Offlinedefragmentierung) ............................................... 301
Durchführen einer Semantikanalyse bei einem Fehlschlag der Integritätsprüfung ........ 304
Administration von Domänencontrollern ......................................................................... 305
Einführung in die Administration von Domänencontrollern ............................................. 305
Installieren und Entfernen von Active Directory .......................................................... 305
Umbenennen von Domänencontrollern ....................................................................... 306
Hinzufügen von Domänencontrollern an Remotestandorten ...................................... 306
Verwaltung von Domänencontrollern .............................................................................. 306
Verwaltung von Antiviren-Software auf Domänencontrollern ...................................... 307
Vorbereiten der Active Directory-Installation .................................................................. 310
DNS-Konfiguration ....................................................................................................... 310
Platzierung in einem Standort ..................................................................................... 310
Domänenkonnektivität ................................................................................................. 311
Installation des DNS-Serverdienstes .............................................................................. 312
Überprüfung der DNS-Registrierung und -Funktionalität ................................................ 313
Überprüfen, ob eine IP-Adresse einem Subnetz entspricht, und Ermitteln der
Standortzuordnung ...................................................................................................... 314
Überprüfen der Kommunikation mit anderen Domänencontrollern ................................ 315
Überprüfen der Verfügbarkeit der Betriebsmaster .......................................................... 315
Installieren eines Domänencontrollers in einer bestehenden Domäne .......................... 316
Installieren von Active Directory ...................................................................................... 317
Installation eines Domänencontrollers in eine bestehenden Domäne mithilfe von
Sicherungsmedien ....................................................................................................... 318
Siehe auch ................................................................................................................... 320
Hinzufügen von Domäencontrollern an Remotestandorten ........................................ 320
Erstellen einer Antwortdatei für eine Domänencontrollerinstallation ........................... 320
Sicherung des Systemstatus .......................................................................................... 320
Siehe auch ................................................................................................................... 322
Aktivieren von Remotedesktop .................................................................................... 322
Erstellen einer Remotedesktopverbindung.................................................................. 322
Wiederherstellen des Systemstatus an einem anderen Speicherort .............................. 322
Installation von Active Directory mithilfe eines Sicherungsmediums .............................. 324
Siehe auch ................................................................................................................... 324
Wiederherstellen des Systemstatus an einem anderen Speicherort .......................... 324
Einbeziehen von Anwendungspartitionen in die Active Directory-Installation über ein
Sicherungsmedium ...................................................................................................... 325
Hinzufügen von Domänencontrollern an Remotestandorten .......................................... 326
Bekannte Probleme beim Hinzufügen von Domänencontrollern an Remotestandorten 327
SYSVOL-Replikation ................................................................................................... 327
Installation von Active Directory an einem Remotestandort mithilfe eines
Sicherungsmediums ................................................................................................. 328
Installation von Domänencontrollern vor deren Auslieferung an einen Remotestandort
.................................................................................................................................. 330
Siehe auch ................................................................................................................... 335
Vorbereiten eines Servers auf die Installation von einem Sicherungsmedium ........... 335
Vorbereiten eines bestehenden Domänencontrollers auf die Ausliefung ................... 335
Einen Domänencontroller wieder mit dem Netzwerk verbinden.................................. 335
Best Practices für das Hinzufügen von Domänencontrollern an Remotestandorten...... 335
Installation von Active Directory an einem Remotestandort mithilfe eines
Sicherungsmediums ................................................................................................. 335
Installation von Domänencontrollern vor dem Ausliefern an den Remotestandort ..... 337
Siehe auch ................................................................................................................... 340
Bekannte Probleme beim Hinzufügen von Domänencontrollern an Remotestandorten
.................................................................................................................................. 340
Vorbereiten eines Servers auf die Installation von einem Sicherungsmedium ........... 340
Vorbereiten eines bestehenden Domänencontrollers auf die Ausliefung ................... 340
Einen Domänencontroller wieder mit dem Netzwerk verbinden.................................. 340
Verwaltung von SYSVOL............................................................................................. 340
Arbeitsweise des Active Direktory-Replikationsmodells .............................................. 340
Active Directory Management Pack Technical Reference for MOM 2005 .................. 340
Vorbereiten eines Servers auf die Installation von einem Sicherungsmedium............... 340
Wiederherstellen der Sicherung auf dem zu installierenden Domänencontroller oder
Verwenden eines Wechseldatenträgers .................................................................. 341
Festlegen des zur Wiederherstellung dienenden Volumens ....................................... 342
Aktivieren von Remotedesktop .................................................................................... 343
Erstellen einer Antwortdatei zur Domänencontrollerinstallation .................................. 343
Siehe auch ................................................................................................................... 345
Installation eines Domänencontrollers in eine bestehenden Domäne mithilfe von
Sicherungsmedien .................................................................................................... 345
Sicherung des Systemstatus .......................................................................................... 345
Siehe auch ................................................................................................................... 348
Aktivieren von Remotedesktop .................................................................................... 348
Erstellen einer Remotedesktopverbindung.................................................................. 348
Wiederherstellen des Systemstatus an einem anderen Speicherort .............................. 348
Aktivieren von Remotedesktop ....................................................................................... 349
Erstellen einer Antwortdatei für eine Domänencontrollerinstallation .............................. 351
Siehe auch ................................................................................................................... 353
Erstellen einer Remotedesktopverbindung ..................................................................... 353
Siehe auch ................................................................................................................... 354
Aktivieren von Remotedesktop .................................................................................... 354
Installation von Active Directory mithilfe eines Sicherungsmediums .............................. 354
Siehe auch ................................................................................................................... 355
Wiederherstellen des Systemstatus an einem anderen Standort ............................... 355
Einbeziehen von Anwendungspartitionen in die Active Directory-Installation über ein
Sicherungsmedium ...................................................................................................... 355
Vorbereiten eines bestehenden Domänencontrollers auf die Auslieferung .................... 356
Siehe auch ................................................................................................................... 358
Bekannte Probleme beim Hinzufügen von Domänencontrollern an Remotestandorten
.................................................................................................................................. 358
Verwaltung von Betriebsmasterrollen .......................................................................... 358
Verwaltung von SYSVOL............................................................................................. 358
Einen Domänencontroller wieder mit dem Netzwerk verbinden.................................. 358
Windows Server 2003 Technical Reference ............................................................... 358
Ermitteln der Tombstone-Lebensdauer der Gesamtstruktur .......................................... 358
Anzeigen der aktuellen Betriebsmaster .......................................................................... 359
Übertragen der domänenbezogenen Betriebsmasterrollen ............................................ 360
Übertragen der Rolle Schemamaster ............................................................................. 361
Übertragen der Rolle Domänennamensmaster .............................................................. 361
Vorbereiten eines Domänencontrollers für einen nicht autorisierenden SYSVOL-Neustart
..................................................................................................................................... 362
Aktivieren der strikten Replikationskonsistenz ................................................................ 364
Synchronisation der Replikation mit allen Partnern ........................................................ 365
Siehe auch ................................................................................................................... 366
Überprüfen der erfolgreichen Replikation mit einem anderen Domänencontroller ..... 366
Überprüfen der erfolgreichen Replikation mit einem anderen Domänencontroller......... 366
Siehe auch ................................................................................................................... 369
Fehlersuche bei Active Directory-Replikationsproblemen ........................................... 369
Einen Domänencontroller wieder mit dem Netzwerk verbinden ..................................... 369
Verbinden eines veralteten Domänencontrollers ........................................................ 369
Aktualisierung von SYSVOL ........................................................................................ 370
Siehe auch ................................................................................................................... 371
Vorbereiten eines bestehenden Domänencontrollers auf die Ausliefung ................... 371
Ermitteln, wann die standortübergreifender Replikation startet ...................................... 371
Entfernen von veralteten Objekten mit Repadmin .......................................................... 372
Siehe auch ................................................................................................................... 374
Beheben von Fehlern im Zusammenhang mit zurückgebliebenen Objekten (Ereignis-ID
1388, 1988 und 2042) .............................................................................................. 374
Überprüfen der erfolgreichen Replikation mit einem anderen Domänencontroller......... 374
Siehe auch ................................................................................................................... 376
Fehlersuche bei Active Directory-Replikationsproblemen ........................................... 376
Ausführen einer unbeaufsichtigten Installation von Active Directory .............................. 376
Siehe auch ................................................................................................................... 377
Erstellen einer Antwortdatei für eine Domänencontrollerinstallation .............................. 377
Siehe auch ................................................................................................................... 379
Installation von Active Directory mithilfe eine Antwortdatei ............................................ 379
Siehe auch ................................................................................................................... 380
Erstellen einer Antwortdatei für eine Domänencontrollerinstallation ........................... 380
Überprüfen der Active Directory-Installation ................................................................ 380
Überprüfen der Active Directory-Installation ................................................................... 380
Ermitteln, ob ein Serverobjekt über Unterobjekte verfügt ............................................... 381
Überprüfen, ob eine IP-Adresse einem Subnetz entspricht, und Ermitteln der
Standortzuordnung ...................................................................................................... 382
Verschieben eines Serverobjekts in einen neuen Standort ............................................ 383
Konfiguration von DNS-Weiterleitungen ......................................................................... 383
Überprüfung der DNS-Konfiguration ............................................................................... 384
Erstellen einer Delegierung für einen Domänencontroller .............................................. 385
Erstellen einer sekundären Zone .................................................................................... 386
Konfiguration von DNS-Clienteinstellungen .................................................................... 386
Den Status der SYSVOL-Freigabe überprüfen ............................................................... 387
Überprüfung der DNS-Registrierung und -Funktionalität ................................................ 388
Überprüfen der Kommunikation mit anderen Domänencontrollern ................................ 389
Überprüfen der Replikation mit anderen Domänencontrollern ....................................... 389
Überprüfen der Verfügbarkeit der Betriebsmaster .......................................................... 390
Überprüfen der Domänenmitgliedschaft eines neuen Domänencontrollers ................... 391
Umbenennen eines Domänencontrollers........................................................................ 392
Umbenennen eines Domänencontrollers über die Systemeigenschaften ...................... 393
Siehe auch ................................................................................................................... 394
Umbenennen eines Domänencontrollers mithilfe von Netdom ................................... 394
Umbenennen eines Domänencontrollers mithilfe von Netdom ...................................... 394
Siehe auch ................................................................................................................... 395
Umbenennen eines Domänencontrollers über die Systemeigenschaften .................. 395
Aktualisieren des FRS-Mitgliedobjektes ......................................................................... 395
Dekomissionierung eines Domänencontrollers .............................................................. 396
Anzeigen der aktuellen Betriebsmaster .......................................................................... 398
Übertragen der Rolle Schemamaster ............................................................................. 398
Übertragen der Rolle Domänennamensmaster .............................................................. 399
Übertragen der domänenbezogenen Betriebsmasterrollen ............................................ 400
Feststellen, ob ein Domänencontroller ein globaler Katalog Server ist .......................... 401
Überprüfung der DNS-Registrierung und -Funktionalität ................................................ 402
Überprüfen der Kommunikation mit anderen Domänencontrollern ................................ 402
Überprüfen der Verfügbarkeit der Betriebsmaster .......................................................... 403
Deinstallation von Active Directory ................................................................................. 404
Ermitteln, ob ein Serverobjekt über Unterobjekte verfügt ............................................... 405
Löschen eines Serverobjektes aus einem Standort ....................................................... 405
Das Entfernen eines Domänencontrollers erzwingen ..................................................... 406
Identifizieren der Replikationspartner ............................................................................. 407
Erzwingen der Zurückstufung des Domänencontrollers ................................................. 408
Bereinigen der Metadaten ............................................................................................... 408
Zusätzliche Ressourcen zur Administration von Active Directory .................................. 411
Behebung von Fehlern beim Betrieb von Active Directory ............................................. 412
Konfiguration eines Computers für die Active Directory-Fehlersuche ............................ 412
Konfigurationsschritte für die Fehlersuche .................................................................. 413
Installation von Windows Server 2003 SP1................................................................. 413
Installation der Windows Support Tools ...................................................................... 413
Installation des Netzwerkmonitors ............................................................................... 413
Definieren des Protokollierungslevels ......................................................................... 413
Fehlersuche bei Active Directory-Replikationsproblemen .............................................. 416
Empfehlungen aus Ereignissen ................................................................................... 416
Ausschließen des offensichtlichen .............................................................................. 417
Richtige Reaktion für Domänencontroller unter Windows 2000 Server, die zu lange
inaktiv waren ............................................................................................................ 417
Fehlerursachen ............................................................................................................ 417
Grundsätzliche Vorgehensweise zur Behebung von Problemen ................................ 418
Überwachung der funktionierenden Replikation .......................................................... 418
Beheben von Problemen ............................................................................................. 420
Beheben von Fehlern im Zusammenhang mit zurückgebliebenen Objekten (Ereignis-ID
1388, 1988 und 2042) .............................................................................................. 425
Beheben von Sicherheitsproblemen im Zusammenhang mit der Replikation............. 425
Beheben von DNS-Lookup-Problemen (Ereignis-IDs 1925, 2087, 2088) ................... 425
Beheben von Konnektivitätsproblemen (Ereignis-ID 1925)......................................... 425
Beheben von Problemen mit der Replikationstopologie (Ereignis-ID1311) ................ 425
Beheben von Fehlern im Zusammenhang mit zurückgebliebenen Objekten (Ereignis-ID
1388, 1988 und 2042).................................................................................................. 425
Die Tombstone-Lebensdauer und die Replikation von Löschungen ........................... 425
Entstehung von veralteten Objekten ........................................................................... 426
Gründe für längerfristig vom Netzwerk getrennte Domänencontroller ........................ 426
Feststellen, ob ein Domänencontroller über veraltete Objekte verfügt ....................... 427
Tool für das Entfernen von veralteten Objekten .......................................................... 429
Siehe auch ................................................................................................................... 430
Konfiguration eines Computers für die Active Directory-Fehlersuche ......................... 430
Ereignis-ID 1388 oder 1988: Veraltete Objekte gefunden .............................................. 430
Ereignis-ID 1388 .......................................................................................................... 430
Ereignis-ID 1988 .......................................................................................................... 432
Ursache........................................................................................................................ 432
Lösung ......................................................................................................................... 433
Ein gelöschtes Konto verbleibt im Adressbuch, Emails werden nicht empfangen, oder es
bestehen doppelte Konten ........................................................................................... 438
Lösung ......................................................................................................................... 438
Ereignis-ID 2042: Zeitraum seit der letzten Replikation zu lang ..................................... 440
Lösung ......................................................................................................................... 441
Beheben von Sicherheitsproblemen im Zusammenhang mit der Replikation ................ 443
Ein "Zugriff verweigert"-Fehler oder ein anderer Sicherheitsfehler hat
Replikationsprobleme verursacht ................................................................................ 444
Ursache........................................................................................................................ 445
Lösung ......................................................................................................................... 445
Beheben von DNS-Lookup-Problemen (Ereignis-IDs 1925, 2087, 2088) ...................... 448
Verbesserungen der Domänencontroller-Namensauflösung in SP1 .......................... 448
DNS-Anforderungen für einen erfolgreichen CNAME-Lookup .................................... 450
Ereignis-ID 1925: Aufgrund eines DNS-Lookup-Problems fehlgeschlagener Versuch,
eine Replikationsverbindung aufzubauen ................................................................ 451
Ereignis-ID 2087: DNS-Lookup sorgt für einen Replikationsfehler ............................. 451
Ereignis-ID 2088: DNS-Lookup-Fehler mit erfolgreicher Replikation .......................... 451
Ereignis-ID 1925: Aufgrund eines DNS-Lookup-Problems fehlgeschlagener Versuch, eine
Replikationsverbindung aufzubauen ........................................................................... 451
Lösung ......................................................................................................................... 452
Ereignis-ID 2087: DNS-Lookup sorgt für einen Replikationsfehler ................................. 452
Ursache........................................................................................................................ 454
Lösung ......................................................................................................................... 455
Ereignis-ID 2088: DNS-Lookup-Fehler mit erfolgreicher Replikation ............................. 464
Ursache........................................................................................................................ 466
Lösung ......................................................................................................................... 466
Beheben von Konnektivitätsproblemen (Ereignis-ID 1925) ............................................ 466
Ereignis-ID 1925: Versuch, eine Replikationsverbindung aufzubauen, schlug aufgrund
von Konnektivitätsproblemen fehl ................................................................................ 467
Ursache........................................................................................................................ 468
Lösung ......................................................................................................................... 468
Beheben von Problemen mit der Replikationstopologie (Ereignis-ID1311).................... 473
Ereignis-ID 1311: Replikationskonfiguration entspricht nicht dem physischen Netzwerk
..................................................................................................................................... 474
Ursache........................................................................................................................ 475
Lösung ......................................................................................................................... 475
Zusätzliche Ressourcen zur Active Directory-Fehlersuche ............................................ 481
Active Directory-Betriebshandbuch
Das Active Directory-Betriebshandbuch stellt Informationen zur Administration und
Fehlersuche in Bezug auf Active Directory™-Technologien unter Microsoft®
Windows Server™ 2003 und Windows Server 2003 mit Service Pack 1 (SP1) bereit.
Sie können Active Directory unter Windows Server 2003 Web Edition nicht installieren.
Sie können die entsprechenden Server jedoch in eine Domäne aufnehmen. Weitere
Informationen zu Windows Server 2003 Web Edition finden Sie im Artikel Overview of
Windows Server 2003, Web Edition unter http://go.microsoft.com/fwlink/?LinkId=9253.
Anmerkung
Das Windows Server 2003 Active Directory-Betriebshandbuch steht auch als
herunterladbares Dokument bereit: http://go.microsoft.com/fwlink/?LinkId=63079.
In diesem Handbuch finden Sie die folgenden Kapitel:

Active Directory-Administration

Active Directory-Fehlersuche
Active Directory-Administration
In diesem Kapitel finden Sie Informationen zur Administration von Active Directory unter
Microsoft Windows Server 2003 und Windows Server 2003 mit Service Pack 1 (SP1).
In diesem Kapitel finden Sie die folgenden Abschnitte

Einführung in die Administration von Active Directory

Aktualisierung des Handbuches

Administration von Domänen- und Gesamtstrukturvertrauensstellungen

Administration des Windows-Zeitdienstes

Administration von SYSVOL

Administration des globalen Katalogs

Administration von Betriebsmasterrollen

Administration der Active Directory-Sicherung und -Wiederherstellung

Administration der standortübergreifenden Replikation

Administration der Active Directory-Datenbank

Administration von Domänencontrollern

Zusätzliche Ressourcen zur Administration von Active Directory
Anmerkung
Sie können Active Directory unter Windows Server 2003 Web Edition nicht
installieren. Sie können die entsprechenden Server jedoch in eine Domäne
aufnehmen. Weitere Informationen zu Windows Server 2003 Web Edition finden
Sie im Artikel Overview of Windows Server 2003, Web Edition unter
http://go.microsoft.com/fwlink/?LinkId=9253.
Danksagung
Technisches Review:
Chris Macaulay, Nigel Cain, Arren Conner, Dmitry Dukat, Levon Esibov, Khushru Irani,
Kamal Janardhan, Gregory Johnson, William Lees, Andreas Luther, Kevin Sims, Jeromy
Statia, Eric Kool-Brown, J. K. Jaganathan, Mike Resnick, Michael Snyder, Nathan Muggli,
Yi Zhao, Christopher Westpoint, Robert Powalka, Rob Kochman
Review durch MVPs:
Joseph Shook, Thomas Bittner, Nuo Yan, Al Mulnick, Tony Murray, Guido Grillenmeier,
M. Rajesh, Todd Myrick
Einführung in die Administration von
Active Directory
In diesem Handbuch erfahren Sie, wie Sie Microsoft Active Directory administrieren.
Wenn Ihnen das Handbuch noch nicht bekannt ist, sollten Sie die folgenden Abschnitte
unbedingt lesen.
An wen richtet sich das Handbuch?
Sie sollten das Handbuch unter den folgenden Umständen verwenden:

Wenn Sie häufig auftretende Active Directory-Probleme, die durch
Fehlerkonfigurationen auftreten, beseitigen möchten.

Wenn Sie Active Directory so konfigurieren möchten, dass die Netzwerkverfügbarkeit
verbessert wird.
Das Handbuch setzt ein grundlegendes Verständnis dazu voraus, was Active Directory
ist, wie es arbeitet und wie Ihre Organisation es zum Zugriff, zur Verwaltung und zur
Absicherung von freigegebenen Ressourcen nutzen kann. Sie sollten außerdem über ein
gutes Verständnis der Bereitstellung und Verwaltung von Active Directory in
Organisationen verfügen. Hierzu gehören Kenntnisse zu den Mechanismen, die in Ihrer
Organisation zur Konfiguration und Verwaltung von Active Directory eingesetzt werden.
Das Handbuch kann von Organisationen verwendet werden, die Windows Server 2003
und Windows Server 2003 mit Service Pack 1 (SP1) einsetzen. Es enthält Informationen,
die für verschiedene Rollen in einer IT-Organisation relevant sind (inklusive des ITBetriebs und der Administratoren). Außerdem finden Sie abstraktere Informationen, die
zur Planung des Active Directory-Betriebs notwendig sind.
Zusätzlich enthält das Handbuch Verfahren, die sich an die für den Betrieb zuständigen
Administratoren wenden. Zwar stellen die Verfahren vollständige Arbeitsanweisungen zur
Verfügung, aber trotzdem ist ein grundlegendes Verständnis der Arbeit mit Snap-Ins, mit
administrativen Programmen und mit der Kommandozeile erforderlich.
Wie Sie das Handbuch nutzen sollten
Der Betrieb von Active Directory kann in verschiedene Bereiche aufgeteilt werden:

Ziele sind abstraktere Ziele, die für die Verwaltung, Überwachung, Optimierung und
Absicherung von Active Directory erreicht werden sollen. Jedes Ziel setzt sich aus
einer oder mehreren Aufgaben zusammen.

Aufgaben sind gruppenbezogene Verfahren und stellen grundlegende Informationen
zur Verfügung, die zum Erreichen eines Zieles erforderlich sind.

Verfahren stellen Schritt-für-Schritt-Anwendungen zur Durchführung von Aufgaben
zur Verfügung.
Wenn Sie IT-Verantwortlicher sind und Aufgaben an Mitarbeiter delegieren, gehen Sie
folgendermaßen vor:

Lesen Sie sich die Aufgaben und Verfahren durch, um Berechtigungen delegieren zu
können.

Bevor Sie Aufgaben an einzelne Mitarbeiter zuweisen, stellen Sie sicher, dass diese
über alle erforderlichen Tools verfügen.

Wenn notwendig, erstellen Sie "Aufgabenbeschreibungen" für jede Aufgabe, die ein
Mitarbeiter ausführen muss.
Aktualisierung des Handbuches
Dieses Handbuch wird regelmäßig aktualisiert. In den folgenden Abschnitten finden Sie
Informationen zu den Teilen des Handbuches, die sich geändert haben.
Neue Inhalte

August 2005: Durchführen einer autorisierenden Wiederherstellung von Active
Directory-Objekten.

Februar 2006: Aktivieren von Remotedesktop.
 Februar 2006: Bekannte Probleme beim Hinzufügen von Domänencontrollern an
Remotestandorten.
Aktualisierte Inhalte

April 2006: Durchführen einer autorisierenden Wiederherstellung von Active
Directory-Objekten.
Administration von Domänen- und
Gesamtstrukturvertrauensstellungen
In diesem Kapitel finden Sie Schritt-für-Schritt-Anleitungen zur Verwaltung und
Absicherung von Windows Server 2003-Domänen und -Vertrauensstellungen. Durch die
Konfiguration von Domänen und Gesamtstrukturvertrauensstellungen bestimmen Sie den
Umfang der Netzwerkkommunikation innerhalb von Gesamtstrukturen und zwischen
Gesamtstrukturen. Die Konfiguration von bestehenden Vertrauensstellungen spielt eine
wichtige Rolle für den Betrieb und die Absicherung Ihrer Netzwerkinfrastruktur.
Anmerkung
Sie können Active Directory unter Windows Server 2003 Web Edition nicht
installieren. Sie können die entsprechenden Server jedoch in eine Domäne
aufnehmen. Weitere Informationen zu Windows Server 2003 Web Edition finden
Sie im Artikel Overview of Windows Server 2003, Web Edition unter
http://go.microsoft.com/fwlink/?LinkId=9253.
In diesem Kapitel

Einführung zum Thema Domänen- und Gesamtstrukturvertrauensstellungen

Best Practices in Bezug auf Domänen- und Gesamtstrukturvertrauensstellungen

Verwalten von Domänen- und Gesamtstrukturvertrauensstellungen

Absichern von Domänen- und Gesamtstrukturvertrauensstellungen

Anhang: Der neue Vertrauensstellung-Assistent
Danksagung
Erstellt durch: Microsoft Windows Server Security and Directory Services User
Assistance Team
Autor: Nick Pierson
Lektor: Jim Becker
Einführung zum Thema Domänen- und
Gesamtstrukturvertrauensstellungen
Mithilfe von Windows Server 2003-Domänen- und -Gesamtstrukturvertrauensstellungen
können Dienstadministratoren Beziehungen zwischen einer oder mehreren Domänen
oder Gesamtstrukturen festlegen. Windows Server 2003-Domänen und Gesamtstrukturen können auch über Vertrauensstellungen zu Kerberos-Realms und zu
anderen Windows Server 2003-Gesamtstrukturen verfügen. Auch Vertrauensstellungen
mit Microsoft Windows® 2000- Windows NT® 4.0-Domänen sind möglich.
Bei einer Vertrauensstellung zwischen zwei Domänen vertraut jede Domäne den
Authentifizierungsmechanismen der anderen Domäne. Vertrauensstellungen
unterstützen den kontrollierten Zugriff auf Ressourcen in einer Ressourcendomäne (der
vertrauenden Domäne), indem sie eingehende Authentifizierungsanfragen mithilfe einer
vertrauenswürdigen Stelle (der vertrauenswürdigen Domäne) überprüfen.
Vertrauensstellungen funktionieren so als Brücken, über die Authentifizierungsanfragen
zwischen Domänen weitergeleitet werden können.
Wie eine Vertrauensstellung Authentifizierungsanfragen weiterleitet, hängt davon ab, wie
sie konfiguriert ist. Vertrauensbeziehungen können einseitig (Zugriff aus der
vertrauenswürdigen Domäne auf Ressourcen der vertrauenden Domäne) oder
bidirektional (Zugriff von jeder Domäne auf die jeweils andere Domäne) sein.
Vertrauensstellungen sind entweder transitiv (die Vertrauensstellung gilt nur für die
beiden Partnerdomänen) oder nicht transitiv (die Vertrauensstellung gilt auch für alle
anderen Domänen, denen einer der beiden Partner vertraut) sein.
In einigen Fällen werden Vertrauensstellungen automatisch beim Erstellen von Domänen
eingerichtet. In anderen Fällen muss der Administrator die Art der Vertrauensstellung
bestimmen und die entsprechenden Beziehungen explizit einrichten.
Best Practices in Bezug auf Domänenund Gesamtstrukturvertrauensstellungen
Die folgenden Best Practices steigern erwiesenermaßen die Verfügbarkeit, stellen einen
störungsfreien Betrieb sicher oder vereinfachen die Administration.
Wenn sich in Ihrer Gesamtstruktur Domänenbäume mit vielen Unterdomänen
befinden und es zu spürbaren Verzögerungen bei der Benutzerauthentifizierung in
untergeordneten Domänen kommt, dann können Sie den
Authentifizierungsprozess optimieren, indem Sie
Verknüpfungsvertrauensstellungen zwischen Domänen erstellen.
Weitere Informationen finden Sie unter When to create a shortcut trust.
Pflegen Sie eine aktuelle Liste der Vertrauensstellungen.
Mit Nltest.exe können Sie eine Liste der Vertrauensstellungen erstellen und speichern.
Weitere Informationen finden Sie im Abschnitt "Nltest.exe: NLTest Overview" der
technischen Referenz zu Windows Server 2003.
Führen Sie regelmäßige Sicherungen der Domänencontroller durch.
Weitere Informationen hierzu finden Sie im Abschnitt Sicherung des Systemstatus’.
Verwalten von Domänen- und
Gesamtstrukturvertrauensstellungen
Wenn Ihre Organisation mit Benutzern oder Ressourcen in anderen Domänen, Realms
oder Gesamtstrukturen zusammenarbeiten muss, ist es notwendig, die Domänen- und
Gesamtstrukturvertrauensstellungen zu verwalten. Als erstes müssen Sie die
entsprechenden Vertrauensstellungen erstellen und konfigurieren.
Mehr zu diesem Thema erfahren Sie in den folgenden beiden Abschnitten:

Erstellen von Domänen- und Gesamtstrukturvertrauensstellungen

Konfiguration von Domänen- und Gesamtstrukturvertrauensstellungen
Erstellen von Domänen- und
Gesamtstrukturvertrauensstellungen
Unter Windows Server 2003 gibt es vier Arten von Vertrauensstellungen, die manuell
erstellt werden müssen. Externe Vertrauensstellungen, Bereichsvertrauensstellungen
und Gesamtstrukturvertrauensstellungen unterstützen die Interoperabilität mit Domänen,
die sich nicht in Ihrer Gesamtstruktur befinden, und mit anderen Realms.
Verknüpfungsvertrauensstellungen optimieren den Zugriff auf Ressourcen und
Anmeldevorgänge zwischen Strukturen in der gleichen Gesamtstruktur
In den nächsten Abschnitten werden die folgenden Aufgaben beschrieben:

Erstellen von externen Vertrauensstellungen

Erstellen von Verknüpfungsvertrauensstellungen

Erstellen von Gesamtstrukturvertrauensstellungen

Erstellen von Bereichsvertrauensstellungen
Anmerkung
Eine Vertrauensstellung ermöglicht Benutzern in einer vertrauenswürdigen
Domäne nicht ohne weiteres den Zugriff auf eine Domäne, der vertraut wird.
Die Benutzer benötigen die entsprechenden Zugriffsrechte. In einigen Fällen
können Benutzer jedoch automatisch Zugriff auf Ressourcen haben, die der
Gruppe Authentifizierte Benutzer zugewiesen wurde.
Terminologie im Neue VertrauensstellungAssistent
Neue Vertrauensstellungen werden unter Windows Server 2003 mit dem Neue
Vertrauensstellungs-Assistenten erstellt. Bevor Sie diesen Assistenten nutzen, sollten Sie
mit der entsprechenden Terminologie vertraut sein:

Diese Domäne: Die Domäne, in der Sie den Assistenten gestartet haben. Wenn Sie
den Assistenten starten, überprüft dieser sofort Ihre administrativen Berechtigungen
für die Domäne. Der Begriff "Diese Domäne" beschreibt daher die Domäne, an der
Sie im Moment angemeldet sind.

Lokale Domäne/Lokale Gesamtstruktur: Die Domäne oder Gesamtstruktur, in der
Sie den Assistenten gestartet haben.

Bidirektional: Eine Vertrauensstellung zwischen zwei Domänen, in denen jede
Domäne der anderen vertraut. Vertrauensstellungen zwischen über- und
untergeordneten Domänen sind grundsätzlich bidirektional.

Unidirektional: eingehend: Eine unidirektionale Vertrauensstellung zwischen zwei
Domänen, bei der die Vertrauensrichtung zu der Domäne führt, in der Sie den
Assistenten gestartet haben. Wenn die Vertrauensrichtung zu Ihrer Domäne geht,
dann bedeutet dies, dass die Benutzer Ihrer Domäne auf Ressourcen der anderen
Domäne zugreifen können.

Unidirektional: ausgehend: Eine unidirektionale Vertrauensstellung zwischen zwei
Domänen, bei der die Vertrauensrichtung zu der Domäne führt, die Sie im
Assistenten angegeben haben. Wenn die Vertrauensrichtung zu einer anderen
Domäne führt, dann bedeutet dies, dass die Benutzer dieser Domäne auf
Ressourcen Ihrer Domäne zugreifen können.

Beide Seiten der Vertrauensstellung: Wenn Sie eine externe Vertrauensstellung,
eine Verknüpfungsvertrauensstellung oder eine Gesamtstrukturvertrauensstellung
erstellen, haben Sie die Möglichkeit, beide Seiten der jeweiligen Vertrauensstellung
getrennt zu erstellen oder dies gleichzeitig durchzuführen. Wenn Sie sich für eine
separate Erstellung entscheiden, müssen Sie den Assistenten zwei Mal ausführen einmal in jeder der beiden Domänen. In diesem Fall ist es wichtig, dass Sie auf
beiden Seiten das gleiche Vertrauensstellungskennwort angeben. Aus Gründen der
Sicherheit sollte es sich bei diesen Kennwörtern um möglichst starke Kennwörter
handeln.

Domänenweite Authentifizierung: Eine Authentifizierungseinstellung, die einen
uneingeschränkten Zugriff durch jeden Benutzer der angegebenen Domäne auf alle
Ressourcen der lokalen Domäne ermöglicht. Für externe Vertrauensstellungen ist
dies die Standardeinstellung.

Gesamtstrukturweite Authentifizierung: Eine Authentifizierungseinstellung, die
einen uneingeschränkten Zugriff durch jeden Benutzer der angegebenen
Gesamtstruktur auf alle Ressourcen der lokalen Gesamtstruktur ermöglicht. Für
Gesamtstrukturvertrauensstellungen ist dies die Standardeinstellung.

Selektive Authentifizierung: Eine Authentifizierungseinstellung, die den Zugriff über
eine externe Vertrauensstellung oder eine Gesamtstrukturvertrauensstellung auf die
Benutzer einer Domäne oder Gesamtstruktur einschränkt, denen explizit
Authentifizierungsrechte für Computerobjekte (Resscourcencomputer) gewährt
wurden.

Vertrauensstellungskennwort: Eine Option, bei der beide Domänen einer
Vertrauensstellung ein gemeinsames Kennwort verwenden, das im Trusted Domain
Object (TDO) in Active Directory gespeichert ist. Bei dieser Option wird automatisch
ein starkes Kennwort erstellt. Sie müssen in beiden Domänen einer
Vertrauensstellung das gleiche Kennwort verwenden.
Bekannte Probleme beim Erstellen von
Domänen- und
Gesamtstrukturvertrauensstellungen
Bevor Sie mit dem Erstellen von Domänen- und Gesamtstrukturvertrauensstellungen
unter Windows Server 2003 beginnen, sollten Sie sich über die folgenden bekannten
Probleme informieren:

Sie können die Erstellung von Vertrauensstellungen nicht an Benutzer delegieren,
die nicht Mitglied der Gruppe Domänen-Admins oder Organisations-Admins sind.
Dies liegt daran, das Netlogon und die Tools zur Erstellung von Vertrauensstellungen
(Active Directory-Domänen und -Vertrauensstellungen und Netdom) so entworfen
wurden, dass nur Mitglieder dieser beiden Gruppen Vertrauensstellungen erstellen
dürfen. Jeder Benutzer, der Mitglied der Gruppe "Erstellung eingehender
Gesamtstrukturvertrauensstellung" ist, kann jedoch unidirektionale, eingehende
Gesamtstrukturvertrauensstellungen erstellen. Weitere Informationen zur Gruppe
"Erstellung eingehender Gesamtstrukturvertrauensstellung" finden Sie im Abschnitt
"How Domain and Forest Trusts Work" unter Windows Server 2003 Technical
Reference.

Wenn Sie lokal an einem Domänencontroller angemeldet sind und versuchen, eine
neue Vertrauensstellung über das Snap-In Active Directory-Domänen und Vertrauensstellungen zu erstellen, dann kann es sein, dass dies nicht funktioniert
und Sie die Fehlermeldung “Zugriff verweigert” erhalten. Dieses Problem tritt nur
dann auf, wenn Sie als normaler Benutzer am Domänencontroller angemeldet sind
(also nicht als Administrator oder Mitglied einer administrativen Gruppe).
Standardmäßig ist es normalen Benutzern jedoch verboten, sich lokal an einem
Domänencontroller anzumelden.

Wenn Sie über Active Directory-Domänen und -Vertrauensstellungen eine
Vertrauensstellung erstellen, erhalten Sie möglicherweise die Fehlermeldung
"Operation fehlgeschlagen. Parameter inkorrekt". Dies Problem kann dann auftreten,
wenn Sie versuchen, eine Vertrauensstellung zwischen Domänen zu erstellen, bei
denen eine oder mehrere der folgenden Komponenten gleich sind:

SID

DNS-Name

NetBIOS-Name
Um das Problem zu beheben, führen Sie vor der Erstellung der Vertrauensstellung
eine der folgenden Aktionen aus:

Benennen Sie die entsprechende(n) SID(s) um.

Verwenden Sie den FQDN im Fall eines NetBIOS-Konfliktes.

Im Assistenten wird die Option für das Erstellen einer neuen
Gesamtstrukturvertrauensstellung nicht angezeigt. Dies tritt typischerweise dann auf,
wenn eine oder beide der Windows Server 2003-Gesamtstrukturen nicht in der
Funktionsebene Windows Server 2003 arbeiten. Weitere Informationen hierzu finden
Sie unter http://go.microsoft.com/fwlink/?LinkId=41698.

In einer Microsoft Windows Small Business Server 2003-Domäne sind Anzahl und
Art der möglichen Vertrauensstellungen gewissen Einschränkungen unterlegen.
Erstellen von externen
Vertrauensstellungen
Um eine unidirektionale oder bidirektionale nicht transitive Vertrauensstellung mit
Domänen außerhalb Ihrer Gesamtstruktur einzurichten, können Sie eine externe
Vertrauensstellung erstellen. Externe Vertrauensstellungen sind manchmal dann
notwendig, wenn Benutzer Zugriff auf Ressourcen benötigen, die sich in einer
Windows NT 4.0-Domäne oder einer Domäne in einem anderen Namespace in einer
anderen Active Directory-Gesamtstruktur befinden, die nicht durch eine
Gesamtstrukturvertrauensstellung verbunden ist.
Weitere Informationen zu externen Vertrauensstellungen finden Sie im Abschnitt "How
Domain and Forest Trusts Work" unter http://go.microsoft.com/fwlink/?LinkId=35356.
Anmerkung
Vertrauensstellungen, die zwischen Windows NT 4.0- und Active DirectoryDomänen erstellt werden, sind unidirektional und nicht transitiv. Sie benötigen
eine NetBIOS-Namensauflösung.
Anforderungen
Die nachfolgenden Aufgaben können Sie mit den folgenden Tools ausführen:

Active Directory-Domänen und -Vertrauensstellungen

Netdom.exe
Weitere Informationen zum Kommandozeilentool Netdom finden Sie in der Technischen
Referenz zu Windows Server 2003 unter http://go.microsoft.com/fwlink/?LinkId=41700.
Anmerkung
Wenn Sie über die entsprechenden administrativen Anmeldeinformationen für
beide Domänen verfügen, können Sie beide Seiten einer externen
Vertrauensstellung in einem Schritt erstellen. Hierzu gehen Sie nach den unten
beschriebenen Schritten vor. Mit dem Verfahren “Erstellen einer unidirektionalen,
eingehenden, externen Vertrauensstellung auf beiden Seiten” erstellen Sie zum
Beispiel beide Seiten einer Vertrauensstellung in einem Schritt. Weitere
Informationen finden Sie im Abschnitt Anhang: Der Neue VertrauensstellungAssistent.
Mit den folgenden Verfahren können Sie externe Vertrauensstellungen erstellen:

Erstellen einer unidirektionalen, eingehenden, externen Vertrauensstellung auf einer
Seite

Erstellen einer unidirektionalen, eingehenden, externen Vertrauensstellung auf
beiden Seiten

Erstellen einer unidirektionalen, ausgehenden, externen Vertrauensstellung auf einer
Seite

Erstellen einer unidirektionalen, ausgehenden, externen Vertrauensstellung auf
beiden Seiten

Erstellen einer bidirektionalen, externen Vertrauensstellung auf einer Seite

Erstellen einer bidirektionalen, externen Vertrauensstellung auf beiden Seiten
Erstellen einer unidirektionalen,
eingehenden, externen
Vertrauensstellung auf einer Seite
Mit diesem Verfahren erstellen Sie eine unidirektionale, eingehende, externe
Vertrauensstellung. Die neue Vertrauensstellung ist nicht funktionsfähig, bevor der
Administrator der anderen Domäne eine entgegengesetzte Vertrauensstellung erstellt
hat. Wenn Sie über administrative Berechtigungen für beide Domänen verfügen, können
Sie beide Vertrauensstellungen in einem Schritt erstellen. Führen Sie hierzu den Schritt
Erstellen einer unidirektionalen, eingehenden, externen Vertrauensstellung auf beiden
Seiten aus.
Eine unidirektionale, eingehende, externe Vertrauensstellung ermöglicht es den
Benutzern Ihrer Domäne, auf die Ressourcen einer anderen Active Directory-Domäne (in
einer anderen Gesamtstruktur) oder in einer Windows NT 4.0-Domäne zuzugreifen.
Sie können eine solche Vertrauensstellung über den Neue VertrauensstellungAssistenten im Snap-In Active Directory-Domänen und -Vertrauensstellungen oder über
das Kommandozeilentool Netdom erstellen. Weitere Informationen zum
Kommandozeilentool Netdom finden Sie in der Technischen Referenz zu Windows
Server 2003 unter http://go.microsoft.com/fwlink/?LinkId=41700.
Administrative Berechtigungen
Um dieses Verfahren ausführen zu können, müssen Sie Mitglied der Gruppe DomänenAdmins oder der Gruppe Organisations-Admins sein.
1. Öffnen Sie das Snap-In Active Directory-Domänen und -Vertrauensstellungen.
2. Klicken Sie im Konsolenbereich mit rechts auf die Domäne, für die Sie eine
Vertrauensstellung erstellen wollen, und klicken Sie dann auf Eigenschaften.
3. Klicken Sie auf der Registerkarte Vertrauensstellungen auf Neue
Vertrauensstellung, und klicken Sie dann auf Weiter.
4. Geben Sie auf der Seite Vertrauensstellungsname den DNS-Namen (oder den
NetBIOS-Namen) der Domäne ein, und klicken Sie dann auf Weiter
5. Klicken Sie auf der Seite Vertrauenstyp auf Externe Vertrauensstellung, und
klicken Sie dann auf Weiter.
6. Klicken Sie auf der Seite Richtung der Vertrauensstellung auf Unidirektional:
eingehend, und klicken Sie dann auf Weiter.
Weitere Informationen zu den möglichen Richtungen finden Sie im Abschnitt
"Richtung der Vertrauensstellung" im Kapitel Anhang: Der Neue
Vertrauensstellung-Assistent.
7. Klicken Sie auf der Seite Seiten der Vertrauensstellung auf Nur diese
Domäne, und klicken Sie dann auf Weiter.
8. Geben Sie das Kennwort für die Vertrauensstellung ein.
9. Klicken Sie auf Weiter.
10. Klicken Sie auf Weiter.
11. Führen Sie auf der Seite Eingehende Vertrauensstellung bestätigen eine der
folgenden Aktionen aus:

Bestätigen Sie die Vertrauensstellung nicht. In diesem Fall wird kein sicherer
Kanal eingerichtet, bevor die Vertrauensstellung nicht zum ersten Mal durch
einen Benutzer verwendet wird.

Bestätigen Sie die Vertrauensstellung, und geben Sie entsprechende
administrative Anmeldeinformationen an.
12. Klicken Sie auf Fertigstellen.
Anmerkung:
Damit die Vertrauensstellung korrekt funktioniert, muss der Administrator der
Gegenseite das Verfahren Erstellen einer unidirektionalen, ausgehenden,
externen Vertrauensstellung auf einer Seite mit dem gleichen Kennwort
durchführen, das hier verwendet wurde.
Erstellen einer unidirektionalen,
eingehenden, externen
Vertrauensstellung auf beiden Seiten
Mit diesem Verfahren erstellen Sie beide Seiten einer unidirektionalen, eingehenden,
externen Vertrauensstellung. Sie benötigen administrative Berechtigungen für beide
Domänen.
Eine unidirektionale, eingehende, externe Vertrauensstellung ermöglicht es den
Benutzern Ihrer Domäne, auf die Ressourcen einer anderen Active Directory-Domäne (in
einer anderen Gesamtstruktur) oder in einer Windows NT 4.0-Domäne zuzugreifen.
Sie können eine solche Vertrauensstellung über den Neue VertrauensstellungAssistenten im Snap-In Active Directory-Domänen und -Vertrauensstellungen oder über
das Kommandozeilentool Netdom erstellen. Weitere Informationen zum
Kommandozeilentool Netdom finden Sie in der Technischen Referenz zu Windows
Server 2003 unter http://go.microsoft.com/fwlink/?LinkId=41700.
Administrative Berechtigungen
Um dieses Verfahren ausführen zu können, müssen Sie Mitglied der Gruppe DomänenAdmins oder der Gruppe Organisations-Admins sein.
1. Öffnen Sie das Snap-In Active Directory-Domänen und -Vertrauensstellungen.
2. Klicken Sie im Konsolenbereich mit rechts auf die Domäne, für die Sie eine
Vertrauensstellung erstellen wollen, und klicken Sie dann auf Eigenschaften.
3. Klicken Sie auf der Registerkarte Vertrauensstellungen auf Neue
Vertrauensstellung, und klicken Sie dann auf Weiter.
4. Geben Sie auf der Seite Vertrauensstellungsname den DNS-Namen (oder den
NetBIOS-Namen) der Domäne ein, und klicken Sie dann auf Weiter.
5. Klicken Sie auf der Seite Vertrauenstyp auf Externe Vertrauensstellung, und
klicken Sie dann auf Weiter.
6. Klicken Sie auf der Seite Richtung der Vertrauensstellung auf Unidirektional:
eingehend, und klicken Sie dann auf Weiter.
Weitere Informationen zu den möglichen Richtungen finden Sie im Abschnitt
"Richtung der Vertrauensstellung" im Kapitel Anhang: Der Neue
Vertrauensstellung-Assistent.
7. Klicken Sie auf der Seite Seiten der Vertrauensstellung auf Beide, diese
Domäne und die angegebene Domäne, und klicken Sie dann auf Weiter.
8. Geben Sie auf der Seite Benutzername und Kennwort den Benutzernamen
und das Kennwort des entsprechenden Administrators für die Domäne an.
9. Führen Sie auf der folgenden Seite eine der folgenden Aktionen aus, und klicken
Sie dann auf Weiter:

Klicken Sie auf Domänenweite Authentifizierung.

Klicken Sie auf Selektive Authentifizierung.
10. Klicken Sie auf Weiter.
11. Klicken Sie auf Weiter.
12. Führen Sie auf der Seite Eingehende Vertrauensstellung bestätigen eine der
folgenden Aktionen aus:

Bestätigen Sie die Vertrauensstellung nicht. In diesem Fall wird kein sicherer
Kanal eingerichtet, bevor die Vertrauensstellung nicht zum ersten Mal durch
einen Benutzer verwendet wird.

Bestätigen Sie die Vertrauensstellung, und geben Sie entsprechende
administrative Anmeldeinformationen an.
13. Klicken Sie auf Fertigstellen.
Erstellen einer unidirektionalen,
ausgehenden, externen
Vertrauensstellung auf einer Seite
Mit diesem Verfahren erstellen Sie eine unidirektionale, ausgehende, externe
Vertrauensstellung. Die neue Vertrauensstellung ist nicht funktionsfähig, bevor der
Administrator der anderen Domäne eine entgegengesetzte Vertrauensstellung erstellt
hat. Wenn Sie über administrative Berechtigungen für beide Domänen verfügen, können
Sie beide Vertrauensstellungen in einem Schritt erstellen. Führen Sie hierzu den Schritt
Erstellen einer unidirektionalen, ausgehenden, externen Vertrauensstellung auf beiden
Seiten aus.
Eine unidirektionale, ausgehende, externe Vertrauensstellung ermöglicht es den
Benutzern einer anderen Active Directory-Domäne (in einer anderen Gesamtstruktur)
oder in einer Windows NT 4.0-Domäne, auf die Ressourcen Ihrer Domäne zuzugreifen.
Sie können eine solche Vertrauensstellung über den Neue VertrauensstellungAssistenten im Snap-In Active Directory-Domänen und -Vertrauensstellungen oder über
das Kommandozeilentool Netdom erstellen. Weitere Informationen zum
Kommandozeilentool Netdom finden Sie in der Technischen Referenz zu Windows
Server 2003 unter http://go.microsoft.com/fwlink/?LinkId=41700.
Administrative Berechtigungen
Um dieses Verfahren ausführen zu können, müssen Sie Mitglied der Gruppe DomänenAdmins oder der Gruppe Organisations-Admins sein.
1. Öffnen Sie das Snap-In Active Directory-Domänen und -Vertrauensstellungen.
2. Klicken Sie im Konsolenbereich mit rechts auf die Domäne, für die Sie eine
Vertrauensstellung erstellen wollen und klicken Sie dann auf Eigenschaften.
3. Klicken Sie auf der Registerkarte Vertrauensstellungen auf Neue
Vertrauensstellung, und klicken Sie dann auf Weiter.
4. Geben Sie auf der Seite Vertrauensstellungsname den DNS-Namen (oder den
NetBIOS-Namen) der Domäne ein, und klicken Sie dann auf Weiter.
5. Klicken Sie auf der Seite Vertrauenstyp auf Externe Vertrauensstellung, und
klicken Sie dann auf Weiter.
6. Klicken Sie auf der Seite Richtung der Vertrauensstellung auf Unidirektional:
ausgehend, und klicken Sie dann auf Weiter.
Weitere Informationen zu den möglichen Richtungen finden Sie im Abschnitt
"Richtung der Vertrauensstellung" im Kapitel Anhang: Der Neue
Vertrauensstellung-Assistent.
7. Klicken Sie auf der Seite Seiten der Vertrauensstellung auf Nur diese
Domäne, und klicken Sie dann auf Weiter.
8. Führen Sie auf der folgenden Seite eine der folgenden Aktionen aus, und klicken
Sie dann auf Weiter:

Klicken Sie auf Domänenweite Authentifizierung.

Klicken Sie auf Selektive Authentifizierung.
9. Geben Sie das Kennwort für die Vertrauensstellung ein.
10. Klicken Sie auf Weiter.
11. Klicken Sie auf Weiter.
12. Führen Sie auf der Seite Ausgehende Vertrauensstellung bestätigen eine der
folgenden Aktionen aus:

Bestätigen Sie die Vertrauensstellung nicht. In diesem Fall wird kein sicherer
Kanal eingerichtet, bevor die Vertrauensstellung nicht zum ersten Mal durch
einen Benutzer verwendet wird.

Bestätigen Sie die Vertrauensstellung, und geben Sie entsprechende
administrative Anmeldeinformationen an.
13. Klicken Sie auf Fertigstellen.
Anmerkung:
Damit die Vertrauensstellung korrekt funktioniert, muss der Administrator der
Gegenseite das Verfahren Erstellen einer unidirektionalen, eingehenden,
externen Vertrauensstellung auf einer Seite mit dem gleichen Kennwort
durchführen, das hier verwendet wurde.
Erstellen einer unidirektionalen,
ausgehenden, externen
Vertrauensstellung auf beiden Seiten
Mit diesem Verfahren erstellen Sie beide Seiten einer unidirektionalen, ausgehenden,
externen Vertrauensstellung. Sie benötigen administrative Berechtigungen für beide
Domänen.
Eine unidirektionale, ausgehende, externe Vertrauensstellung ermöglicht es den
Benutzern einer anderen Active Directory-Domäne (in einer anderen Gesamtstruktur)
oder einer Windows NT 4.0-Domäne, auf die Ressourcen Ihrer Domäne zuzugreifen.
Sie können eine solche Vertrauensstellung über den Neue VertrauensstellungAssistenten im Snap-In Active Directory-Domänen und -Vertrauensstellungen oder über
das Kommandozeilentool Netdom erstellen. Weitere Informationen zum
Kommandozeilentool Netdom finden Sie in der Technischen Referenz zu Windows
Server 2003 unter http://go.microsoft.com/fwlink/?LinkId=41700.
Administrative Berechtigungen
Um dieses Verfahren ausführen zu können, müssen Sie Mitglied der Gruppe DomänenAdmins oder der Gruppe Organisations-Admins sein.
1. Öffnen Sie das Snap-In Active Directory-Domänen und -Vertrauensstellungen.
2. Klicken Sie im Konsolenbereich mit rechts auf die Domäne, für die Sie eine
Vertrauensstellung erstellen wollen, und klicken Sie dann auf Eigenschaften.
3. Klicken Sie auf der Registerkarte Vertrauensstellungen auf Neue
Vertrauensstellung, und klicken Sie dann auf Weiter.
4. Geben Sie auf der Seite Vertrauensstellungsname den DNS-Namen (oder den
NetBIOS-Namen) der Domäne ein, und klicken Sie dann auf Weiter.
5. Klicken Sie auf der Seite Vertrauenstyp auf Externe Vertrauensstellung, und
klicken Sie dann auf Weiter.
6. Klicken Sie auf der Seite Richtung der Vertrauensstellung auf Unidirektional:
ausgehend, und klicken Sie dann auf Weiter.
Weitere Informationen zu den möglichen Richtungen finden Sie im Abschnitt
"Richtung der Vertrauensstellung" im Kapitel Anhang: Der Neue
Vertrauensstellung-Assistent.
7. Klicken Sie auf der Seite Seiten der Vertrauensstellung auf Beide, diese
Domäne und die angegebene Domäne, und klicken Sie dann auf Weiter.
8. Geben Sie auf der Seite Benutzername und Kennwort den Benutzernamen
und das Kennwort des entsprechenden Administrators für die Domäne an.
9. Führen Sie auf der folgenden Seite eine der folgenden Aktionen aus, und klicken
Sie dann auf Weiter:

Klicken Sie auf Domänenweite Authentifizierung.

Klicken Sie auf Selektive Authentifizierung.
10. Klicken Sie auf Weiter.
11. Klicken Sie auf Weiter.
12. Führen Sie auf der Seite Ausgehende Vertrauensstellung bestätigen eine der
folgenden Aktionen aus:

Bestätigen Sie die Vertrauensstellung nicht. In diesem Fall wird kein sicherer
Kanal eingerichtet, bevor die Vertrauensstellung nicht zum ersten Mal durch
einen Benutzer verwendet wird.

Bestätigen Sie die Vertrauensstellung, und geben Sie entsprechende
administrative Anmeldeinformationen an.
13. Klicken Sie auf Fertigstellen.
Erstellen einer bidirektionalen, externen
Vertrauensstellung auf einer Seite
Mit diesem Verfahren erstellen Sie eine bidirektionale, externe Vertrauensstellung. Die
neue Vertrauensstellung ist nicht funktionsfähig, bevor der Administrator der anderen
Domäne eine entgegengesetzte Vertrauensstellung erstellt hat. Wenn Sie über
administrative Berechtigungen für beide Domänen verfügen, können Sie beide
Vertrauensstellungen in einem Schritt erstellen. Führen Sie hierzu den Schritt Erstellen
einer unidirektionalen, eingehenden, externen Vertrauensstellung auf beiden Seiten aus.
Eine bidirektionale, externe Vertrauensstellung ermöglicht den Benutzern beider
Domänen einen gegenseitigen Zugriff auf die Ressourcen der anderen Domäne.
Sie können eine solche Vertrauensstellung über den Neue VertrauensstellungAssistenten im Snap-In Active Directory-Domänen und -Vertrauensstellungen oder über
das Kommandozeilentool Netdom erstellen. Weitere Informationen zum
Kommandozeilentool Netdom finden Sie in der Technischen Referenz zu Windows
Server 2003 unter http://go.microsoft.com/fwlink/?LinkId=41700.
Administrative Berechtigungen
Um dieses Verfahren ausführen zu können, müssen Sie Mitglied der Gruppe DomänenAdmins oder der Gruppe Organisations-Admins sein.
1. Öffnen Sie das Snap-In Active Directory-Domänen und -Vertrauensstellungen.
2. Klicken Sie im Konsolenbereich mit rechts auf die Domäne, für die Sie eine
Vertrauensstellung erstellen wollen, und klicken Sie dann auf Eigenschaften.
3. Klicken Sie auf der Registerkarte Vertrauensstellungen auf Neue
Vertrauensstellung, und klicken Sie dann auf Weiter.
4. Geben Sie auf der Seite Vertrauensstellungsname den DNS-Namen (oder den
NetBIOS-Namen) der Domäne ein, und klicken Sie dann auf Weiter.
5. Klicken Sie auf der Seite Vertrauenstyp auf Externe Vertrauensstellung, und
klicken Sie dann auf Weiter.
6. Klicken Sie auf der Seite Richtung der Vertrauensstellung auf Bidirektional,
und klicken Sie dann auf Weiter.
Weitere Informationen zu den möglichen Richtungen finden Sie im Abschnitt
"Richtung der Vertrauensstellung" im Kapitel Anhang: Der Neue
Vertrauensstellung-Assistent.
7. Klicken Sie auf der Seite Seiten der Vertrauensstellung auf Nur diese
Domäne, und klicken Sie dann auf Weiter.
8. Führen Sie auf der folgenden Seite eine der folgenden Aktionen aus, und klicken
Sie dann auf Weiter:

Klicken Sie auf Domänenweite Authentifizierung.

Klicken Sie auf Selektive Authentifizierung.
9. Geben Sie das Kennwort für die Vertrauensstellung ein.
10. Klicken Sie auf Weiter.
11. Klicken Sie auf Weiter.
12. Führen Sie auf der Seite Ausgehende Vertrauensstellung bestätigen eine der
folgenden Aktionen aus:

Bestätigen Sie die Vertrauensstellung nicht. In diesem Fall wird kein sicherer
Kanal eingerichtet, bevor die Vertrauensstellung nicht zum ersten Mal durch
einen Benutzer verwendet wird.

Bestätigen Sie die Vertrauensstellung, und geben Sie entsprechende
administrative Anmeldeinformationen an.
13. Führen Sie auf der Seite Eingehende Vertrauensstellung bestätigen eine der
folgenden Aktionen aus:

Bestätigen Sie die Vertrauensstellung nicht.

Bestätigen Sie die Vertrauensstellung, und geben Sie entsprechende
administrative Anmeldeinformationen an.
14. Klicken Sie auf Fertigstellen.
Anmerkung:
Damit die Vertrauensstellung korrekt funktioniert, muss der Administrator der
Gegenseite das Verfahren mit dem gleichen Kennwort durchführen, das hier
verwendet wurde.
Erstellen einer bidirektionalen, externen
Vertrauensstellung auf beiden Seiten
Mit diesem Verfahren erstellen Sie beide Seiten einer bidirektionalen, externen
Vertrauensstellung. Sie benötigen administrative Berechtigungen für beide Domänen.
Eine bidirektionale, externe Vertrauensstellung ermöglicht den Benutzern beider
Domänen einen gegenseitigen Zugriff auf die Ressourcen der anderen Domäne.
Sie können eine solche Vertrauensstellung über den Neue VertrauensstellungAssistenten im Snap-In Active Directory-Domänen und -Vertrauensstellungen oder über
das Kommandozeilentool Netdom erstellen. Weitere Informationen zum
Kommandozeilentool Netdom finden Sie in der Technischen Referenz zu Windows
Server 2003 unter http://go.microsoft.com/fwlink/?LinkId=41700.
Administrative Berechtigungen
Um dieses Verfahren ausführen zu können, müssen Sie Mitglied der Gruppe DomänenAdmins oder der Gruppe Organisations-Admins sein.
1. Öffnen Sie das Snap-In Active Directory-Domänen und -Vertrauensstellungen.
2. Klicken Sie im Konsolenbereich mit rechts auf die Domäne, für die Sie eine
Vertrauensstellung erstellen wollen, und klicken Sie dann auf Eigenschaften.
3. Klicken Sie auf der Registerkarte Vertrauensstellungen auf Neue
Vertrauensstellung, und klicken Sie dann auf Weiter.
4. Geben Sie auf der Seite Vertrauensstellungsname den DNS-Namen (oder den
NetBIOS-Namen) der Domäne ein, und klicken Sie dann auf Weiter.
5. Klicken Sie auf der Seite Vertrauenstyp auf Externe Vertrauensstellung, und
klicken Sie dann auf Weiter.
6. Klicken Sie auf der Seite Richtung der Vertrauensstellung auf Bidirektional,
und klicken Sie dann auf Weiter.
Weitere Informationen zu den möglichen Richtungen finden Sie im Abschnitt
"Richtung der Vertrauensstellung" im Kapitel Anhang: Der Neue
Vertrauensstellung-Assistent.
7. Klicken Sie auf der Seite Seiten der Vertrauensstellung auf Beide, diese
Domäne und die angegebene Domäne, und klicken Sie dann auf Weiter.
8. Geben Sie auf der Seite Benutzername und Kennwort den Benutzernamen
und das Kennwort des entsprechenden Administrators für die Domäne an.
9. Führen Sie auf der folgenden Seite eine der folgenden Aktionen aus, und klicken
Sie dann auf Weiter:

Klicken Sie auf Domänenweite Authentifizierung.

Klicken Sie auf Selektive Authentifizierung.
10. Führen Sie auf der folgenden Seite eine der folgenden Aktionen aus, und klicken
Sie dann auf Weiter:

Klicken Sie auf Domänenweite Authentifizierung.

Klicken Sie auf Selektive Authentifizierung.
11. Klicken Sie auf Weiter.
12. Klicken Sie auf Weiter.
13. Führen Sie auf der Seite Ausgehende Vertrauensstellung bestätigen eine der
folgenden Aktionen aus:

Bestätigen Sie die Vertrauensstellung nicht. In diesem Fall wird kein sicherer
Kanal eingerichtet, bevor die Vertrauensstellung nicht zum ersten Mal durch
einen Benutzer verwendet wird.

Bestätigen Sie die Vertrauensstellung, und geben Sie entsprechende
administrative Anmeldeinformationen an.
14. Führen Sie auf der Seite Eingehende Vertrauensstellung bestätigen eine der
folgenden Aktionen aus:

Bestätigen Sie die Vertrauensstellung nicht.

Bestätigen Sie die Vertrauensstellung, und geben Sie entsprechende
administrative Anmeldeinformationen an.
15. Klicken Sie auf Fertigstellen.
Erstellen von
Verknüpfungsvertrauensstellungen
Eine Verknüpfungsvertrauensstellung ist eine manuell erstellte Vertrauensstellung, die
den Vertrauenspfad verkürzt und so die Authentifizierungsgeschwindigkeit erhöht. Dies
kann zu schnelleren Anmeldevorgängen und einem schnelleren Ressourcenzugriff
führen. Ein Vertrauenspfad ist eine Kette von mehreren Vertrauensstellungen, die eine
Vertrauensstellung zwischen Domänen ermöglicht, die nicht direkt aneinander grenzen.
Weitere Informationen finden Sie unter http://go.microsoft.com/fwlink/?LinkId=35356.
Anforderungen
Die nachfolgenden Aufgaben können Sie mit den folgenden Tools ausführen:

Active Directory-Domänen und -Vertrauensstellungen

Netdom.exe
Weitere Informationen zum Kommandozeilentool Netdom finden Sie in der Technischen
Referenz zu Windows Server 2003 unter http://go.microsoft.com/fwlink/?LinkId=41700.
Anmerkung
Wenn Sie über die entsprechenden administrativen Anmeldeinformationen für beide
Domänen verfügen, können Sie beide Seiten einer Verknüpfungsvertrauensstellung in
einem Schritt erstellen. Hierzu gehen Sie nach den unten beschriebenen Schritten vor.
Weitere Informationen finden Sie im Abschnitt Anhang: Der Neue VertrauensstellungAssistent.
Mit den folgenden Verfahren können Sie Verknüpfungsvertrauensstellungen erstellen:

Erstellen einer unidirektionalen, eingehenden Verknüpfungsvertrauensstellung auf
einer Seite

Erstellen einer unidirektionalen, eingehenden Verknüpfungsvertrauensstellung auf
beiden Seiten

Erstellen einer unidirektionalen, ausgehenden Verknüpfungsvertrauensstellung auf
einer Seite

Erstellen einer unidirektionalen, ausgehenden Verknüpfungsvertrauensstellung auf
beiden Seiten

Erstellen einer bidirektionalen Verknüpfungsvertrauensstellung auf einer Seite

Erstellen einer bidirektionalen Verknüpfungsvertrauensstellung auf beiden Seiten
Erstellen einer unidirektionalen,
eingehenden
Verknüpfungsvertrauensstellung auf
einer Seite
Mit diesem Verfahren erstellen Sie eine unidirektionale, eingehende,
Verknüpfungsvertrauensstellung. Die neue Vertrauensstellung ist nicht funktionsfähig,
bevor der Administrator der anderen Domäne eine entgegengesetzte Vertrauensstellung
erstellt hat. Wenn Sie über administrative Berechtigungen für beide Domänen verfügen,
können Sie beide Vertrauensstellungen in einem Schritt erstellen. Führen Sie hierzu den
Schritt Erstellen einer unidirektionalen, eingehenden, externen Vertrauensstellung auf
beiden Seiten aus.
Eine unidirektionale, eingehende Verknüpfungsvertrauensstellung ermöglicht den
Benutzern aus Ihrer Windows Server 2003-Domäne (der Domäne, an der Sie beim
Ausführen des Assistenten für neue Vertrauensstellungen angemeldet sind) einen
schnelleren Zugriff auf die Ressourcen einer anderen Domäne, die sich in der gleichen
Gesamtstruktur, jedoch in einer anderen Struktur befindet.
Sie können eine solche Vertrauensstellung über den Neue VertrauensstellungAssistenten im Snap-In Active Directory-Domänen und -Vertrauensstellungen oder über
das Kommandozeilentool Netdom erstellen. Weitere Informationen zum
Kommandozeilentool Netdom finden Sie in der Technischen Referenz zu Windows
Server 2003 unter Windows Server 2003 Technical Reference.
Administrative Berechtigungen
Um dieses Verfahren ausführen zu können, müssen Sie Mitglied der Gruppe DomänenAdmins oder der Gruppe Organisations-Admins sein.
1. Öffnen Sie das Snap-In Active Directory-Domänen und -Vertrauensstellungen.
2. Klicken Sie im Konsolenbereich mit rechts auf die Domäne, für die Sie eine
Vertrauensstellung erstellen wollen, und klicken Sie dann auf Eigenschaften.
3. Klicken Sie auf der Registerkarte Vertrauensstellungen auf Neue
Vertrauensstellung, und klicken Sie dann auf Weiter.
4. Geben Sie auf der Seite Vertrauensstellungsname den DNS-Namen (oder den
NetBIOS-Namen) der Domäne ein, und klicken Sie dann auf Weiter.
5. Klicken Sie auf der Seite Vertrauenstyp auf Externe Vertrauensstellung, und
klicken Sie dann auf Weiter.
6. Klicken Sie auf der Seite Richtung der Vertrauensstellung auf Unidirektional:
eingehend, und klicken Sie dann auf Weiter.
Weitere Informationen zu den möglichen Richtungen finden Sie im Abschnitt
"Richtung der Vertrauensstellung" im Kapitel Anhang: Der Neue
Vertrauensstellung-Assistent.
7. Klicken Sie auf der Seite Seiten der Vertrauensstellung auf Nur diese
Domäne, und klicken Sie dann auf Weiter.
8. Geben Sie das Kennwort für die Vertrauensstellung ein.
9. Klicken Sie auf Weiter.
10. Klicken Sie auf Weiter.
11. Führen Sie auf der Seite Eingehende Vertrauensstellung bestätigen eine der
folgenden Aktionen aus:

Bestätigen Sie die Vertrauensstellung nicht. In diesem Fall wird kein sicherer
Kanal eingerichtet, bevor die Vertrauensstellung nicht zum ersten Mal durch
einen Benutzer verwendet wird.

Bestätigen Sie die Vertrauensstellung, und geben Sie entsprechende
administrative Anmeldeinformationen an.
12. Klicken Sie auf Fertigstellen.
Anmerkung:
Damit die Vertrauensstellung korrekt funktioniert, muss der Administrator der
Gegenseite das Verfahren Erstellen einer unidirektionalen, ausgehenden
Verknüpfungsvertrauensstellung auf einer Seite mit dem gleichen Kennwort
durchführen, das hier verwendet wurde.
Erstellen einer unidirektionalen,
eingehenden
Verknüpfungsvertrauensstellung auf
beiden Seiten
Mit diesem Verfahren erstellen Sie beide Seiten einer unidirektionalen, eingehenden
Verknüpfungsvertrauensstellung. Sie benötigen administrative Berechtigungen für beide
Domänen.
Eine unidirektionale, eingehende Verknüpfungsvertrauensstellung ermöglicht den
Benutzern aus Ihrer Windows Server 2003-Domäne (der Domäne, an der Sie beim
Ausführen des Assistenten für neue Vertrauensstellungen angemeldet sind) einen
schnelleren Zugriff auf die Ressourcen einer anderen Domäne, die sich in der gleichen
Gesamtstruktur, jedoch in einer anderen Struktur befindet.
Sie können eine solche Vertrauensstellung über den Neue VertrauensstellungAssistenten im Snap-In Active Directory-Domänen und -Vertrauensstellungen oder über
das Kommandozeilentool Netdom erstellen. Weitere Informationen zum
Kommandozeilentool Netdom finden Sie in der Technischen Referenz zu Windows
Server 2003 unter Windows Server 2003 Technical Reference.
Administrative Berechtigungen
Um dieses Verfahren ausführen zu können, müssen Sie Mitglied der Gruppe DomänenAdmins oder der Gruppe Organisations-Admins sein.
1. Öffnen Sie das Snap-In Active Directory-Domänen und -Vertrauensstellungen.
2. Klicken Sie im Konsolenbereich mit rechts auf die Domäne, für die Sie eine
Vertrauensstellung erstellen wollen, und klicken Sie dann auf Eigenschaften.
3. Klicken Sie auf der Registerkarte Vertrauensstellungen auf Neue
Vertrauensstellung, und klicken Sie dann auf Weiter.
4. Geben Sie auf der Seite Vertrauensstellungsname den DNS-Namen (oder den
NetBIOS-Namen) der Domäne ein, und klicken Sie dann auf Weiter.
5. Klicken Sie auf der Seite Vertrauenstyp auf Externe Vertrauensstellung, und
klicken Sie dann auf Weiter.
6. Klicken Sie auf der Seite Richtung der Vertrauensstellung auf Unidirektional:
eingehend, und klicken Sie dann auf Weiter.
Weitere Informationen zu den möglichen Richtungen finden Sie im Abschnitt
"Richtung der Vertrauensstellung" im Kapitel Anhang: Der Neue
Vertrauensstellung-Assistent.
7. Klicken Sie auf der Seite Seiten der Vertrauensstellung auf Beide, diese
Domäne und die angegebene Domäne, und klicken Sie dann auf Weiter.
8. Geben Sie auf der Seite Benutzername und Kennwort den Benutzernamen
und das Kennwort des entsprechenden Administrators für die Domäne an.
9. Klicken Sie auf Weiter.
10. Klicken Sie auf Weiter.
11. Führen Sie auf der Seite Eingehende Vertrauensstellung bestätigen eine der
folgenden Aktionen aus:

Bestätigen Sie die Vertrauensstellung nicht. In diesem Fall wird kein sicherer
Kanal eingerichtet, bevor die Vertrauensstellung nicht zum ersten Mal durch
einen Benutzer verwendet wird.

Bestätigen Sie die Vertrauensstellung, und geben Sie entsprechende
administrative Anmeldeinformationen an.
12. Klicken Sie auf Fertigstellen.
Erstellen einer unidirektionalen,
ausgehenden
Verknüpfungsvertrauensstellung auf
einer Seite
Mit diesem Verfahren erstellen Sie eine unidirektionale, ausgehende, externe
Vertrauensstellung. Die neue Vertrauensstellung ist nicht funktionsfähig, bevor der
Administrator der anderen Domäne eine entgegengesetzte Vertrauensstellung erstellt
hat. Wenn Sie über administrative Berechtigungen für beide Domänen verfügen, können
Sie beide Vertrauensstellungen in einem Schritt erstellen. Führen Sie hierzu den Schritt
Erstellen einer unidirektionalen, ausgehenden Verknüpfungsvertrauensstellung auf
beiden Seiten aus.
Eine unidirektionale, ausgehende Verknüpfungsvertrauensstellung ermöglicht den
Benutzern einer anderen Domäne, die sich in der gleichen Gesamtstruktur, jedoch in
einer anderen Struktur befindet, einen schnelleren Zugriff auf die Ressourcen in Ihrer
Windows Server 2003-Domäne
Sie können eine solche Vertrauensstellung über den Neue VertrauensstellungAssistenten im Snap-In Active Directory-Domänen und -Vertrauensstellungen oder über
das Kommandozeilentool Netdom erstellen. Weitere Informationen zum
Kommandozeilentool Netdom finden Sie in der Technischen Referenz zu Windows
Server 2003 unter Windows Server 2003 Technical Reference.
Administrative Berechtigungen
Um dieses Verfahren ausführen zu können, müssen Sie Mitglied der Gruppe DomänenAdmins oder der Gruppe Organisations-Admins sein.
1. Öffnen Sie das Snap-In Active Directory-Domänen und -Vertrauensstellungen.
2. Klicken Sie im Konsolenbereich mit rechts auf die Domäne, für die Sie eine
Vertrauensstellung erstellen wollen, und klicken Sie dann auf Eigenschaften.
3. Klicken Sie auf der Registerkarte Vertrauensstellungen auf Neue
Vertrauensstellung, und klicken Sie dann auf Weiter.
4. Geben Sie auf der Seite Vertrauensstellungsname den DNS-Namen (oder den
NetBIOS-Namen) der Domäne ein, und klicken Sie dann auf Weiter.
5. Klicken Sie auf der Seite Vertrauenstyp auf Externe Vertrauensstellung, und
klicken Sie dann auf Weiter.
6. Klicken Sie auf der Seite Richtung der Vertrauensstellung auf Unidirektional:
Ausgehend, und klicken Sie dann auf Weiter.
Weitere Informationen zu den möglichen Richtungen finden Sie im Abschnitt
"Richtung der Vertrauensstellung" im Kapitel Anhang: Der Neue
Vertrauensstellung-Assistent.
7. Klicken Sie auf der Seite Seiten der Vertrauensstellung auf Nur diese
Domäne, und klicken Sie dann auf Weiter.
8. Geben Sie das Kennwort für die Vertrauensstellung ein.
9. Klicken Sie auf Weiter.
10. Klicken Sie auf Weiter.
11. Führen Sie auf der Seite Ausgehende Vertrauensstellung bestätigen eine der
folgenden Aktionen aus:

Bestätigen Sie die Vertrauensstellung nicht. In diesem Fall wird kein sicherer
Kanal eingerichtet, bevor die Vertrauensstellung nicht zum ersten Mal durch
einen Benutzer verwendet wird.

Bestätigen Sie die Vertrauensstellung, und geben Sie entsprechende
administrative Anmeldeinformationen an.
12. Klicken Sie auf Fertigstellen.
Anmerkung:
Damit die Vertrauensstellung korrekt funktioniert, muss der Administrator der
Gegenseite das Verfahren Erstellen einer unidirektionalen, eingehenden
Verknüpfungsvertrauensstellung auf einer Seite mit dem gleichen Kennwort
durchführen, das hier verwendet wurde.
Erstellen einer unidirektionalen,
ausgehenden
Verknüpfungsvertrauensstellung auf
beiden Seiten
Mit diesem Verfahren erstellen Sie beide Seiten einer unidirektionalen, ausgehenden
Verknüpfungsvertrauensstellung. Sie benötigen administrative Berechtigungen für beide
Domänen.
Eine unidirektionale, ausgehende Verknüpfungsvertrauensstellung ermöglicht den
Benutzern einer anderen Domäne, die sich in der gleichen Gesamtstruktur, jedoch in
einer anderen Struktur befindet, einen schnelleren Zugriff auf die Ressourcen in Ihrer
Windows Server 2003-Domäne
Sie können eine solche Vertrauensstellung über den Neue VertrauensstellungAssistenten im Snap-In Active Directory-Domänen und -Vertrauensstellungen oder über
das Kommandozeilentool Netdom erstellen. Weitere Informationen zum
Kommandozeilentool Netdom finden Sie in der Technischen Referenz zu Windows
Server 2003 unter Windows Server 2003 Technical Reference.
Administrative Berechtigungen
Um dieses Verfahren ausführen zu können, müssen Sie Mitglied der Gruppe DomänenAdmins oder der Gruppe Organisations-Admins sein.
1. Öffnen Sie das Snap-In Active Directory-Domänen und -Vertrauensstellungen.
2. Klicken Sie im Konsolenbereich mit rechts auf die Domäne, für die Sie eine
Vertrauensstellung erstellen wollen, und klicken Sie dann auf Eigenschaften.
3. Klicken Sie auf der Registerkarte Vertrauensstellungen auf Neue
Vertrauensstellung, und klicken Sie dann auf Weiter.
4. Geben Sie auf der Seite Vertrauensstellungsname den DNS-Namen (oder den
NetBIOS-Namen) der Domäne ein, und klicken Sie dann auf Weiter.
5. Klicken Sie auf der Seite Vertrauenstyp auf Externe Vertrauensstellung, und
klicken Sie dann auf Weiter.
6. Klicken Sie auf der Seite Richtung der Vertrauensstellung auf Unidirektional:
ausgehend, und klicken Sie dann auf Weiter.
Weitere Informationen zu den möglichen Richtungen finden Sie im Abschnitt
"Richtung der Vertrauensstellung" im Kapitel Anhang: Der Neue
Vertrauensstellung-Assistent.
7. Klicken Sie auf der Seite Seiten der Vertrauensstellung auf Beide, diese
Domäne und die angegebene Domäne, und klicken Sie dann auf Weiter.
8. Geben Sie auf der Seite Benutzername und Kennwort den Benutzernamen
und das Kennwort des entsprechenden Administrators für die Domäne an.
9. Klicken Sie auf Weiter.
10. Klicken Sie auf Weiter.
11. Führen Sie auf der Seite Ausgehende Vertrauensstellung bestätigen eine der
folgenden Aktionen aus:

Bestätigen Sie die Vertrauensstellung nicht. In diesem Fall wird kein sicherer
Kanal eingerichtet, bevor die Vertrauensstellung nicht zum ersten Mal durch
einen Benutzer verwendet wird.

Bestätigen Sie die Vertrauensstellung, und geben Sie entsprechende
administrative Anmeldeinformationen an.
12. Klicken Sie auf Fertigstellen.
Erstellen einer bidirektionalen
Verknüpfungsvertrauensstellung auf
einer Seite
Mit diesem Verfahren erstellen Sie eine bidirektionale Verknüpfungsvertrauensstellung.
Die neue Vertrauensstellung ist nicht funktionsfähig, bevor der Administrator der anderen
Domäne eine entgegengesetzte Vertrauensstellung erstellt hat. Wenn Sie über
administrative Berechtigungen für beide Domänen verfügen, können Sie beide
Vertrauensstellungen in einem Schritt erstellen. Führen Sie hierzu den Schritt Erstellen
einer bidirektionalen Verknüpfungsvertrauensstellung auf beiden Seiten aus.
Eine bidirektionale Verknüpfungsvertrauensstellung ermöglicht den Benutzern beider
Domänen einen schnelleren Zugriff auf die Ressourcen der jeweiligen anderen Domäne.
Sie können eine solche Vertrauensstellung über den Neue VertrauensstellungAssistenten im Snap-In Active Directory-Domänen und -Vertrauensstellungen oder über
das Kommandozeilentool Netdom erstellen. Weitere Informationen zum
Kommandozeilentool Netdom finden Sie in der Technischen Referenz zu Windows
Server 2003 unter Windows Server 2003 Technical Reference.
Administrative Berechtigungen
Um dieses Verfahren ausführen zu können, müssen Sie Mitglied der Gruppe DomänenAdmins oder der Gruppe Organisations-Admins sein.
1. Öffnen Sie das Snap-In Active Directory-Domänen und -Vertrauensstellungen.
2. Klicken Sie im Konsolenbereich mit rechts auf die Domäne, für die Sie eine
Vertrauensstellung erstellen wollen, und klicken Sie dann auf Eigenschaften.
3. Klicken Sie auf der Registerkarte Vertrauensstellungen auf Neue
Vertrauensstellung, und klicken Sie dann auf Weiter.
4. Geben Sie auf der Seite Vertrauensstellungsname den DNS-Namen (oder den
NetBIOS-Namen) der Domäne ein, und klicken Sie dann auf Weiter.
5. Klicken Sie auf der Seite Vertrauenstyp auf Externe Vertrauensstellung, und
klicken Sie dann auf Weiter.
6. Klicken Sie auf der Seite Richtung der Vertrauensstellung auf Bidirektional,
und klicken Sie dann auf Weiter.
Weitere Informationen zu den möglichen Richtungen finden Sie im Abschnitt
"Richtung der Vertrauensstellung" im Kapitel Anhang: Der Neue
Vertrauensstellung-Assistent.
7. Klicken Sie auf der Seite Seiten der Vertrauensstellung auf Nur diese
Domäne, und klicken Sie dann auf Weiter.
8. Geben Sie das Kennwort für die Vertrauensstellung ein.
9. Klicken Sie auf Weiter.
10. Klicken Sie auf Weiter.
11. Führen Sie auf der Seite Ausgehende Vertrauensstellung bestätigen eine der
folgenden Aktionen aus:

Bestätigen Sie die Vertrauensstellung nicht. In diesem Fall wird kein sicherer
Kanal eingerichtet, bevor die Vertrauensstellung nicht zum ersten Mal durch
einen Benutzer verwendet wird.

Bestätigen Sie die Vertrauensstellung, und geben Sie entsprechende
administrative Anmeldeinformationen an.
12. Führen Sie auf der Seite Eingehende Vertrauensstellung bestätigen eine der
folgenden Aktionen aus:

Bestätigen Sie die Vertrauensstellung nicht.

Bestätigen Sie die Vertrauensstellung, und geben Sie entsprechende
administrative Anmeldeinformationen an.
13. Klicken Sie auf Fertigstellen.
Anmerkung:
Damit die Vertrauensstellung korrekt funktioniert, muss der Administrator der
Gegenseite das Verfahren mit dem gleichen Kennwort durchführen, das hier
verwendet wurde.
Erstellen einer bidirektionalen
Verknüpfungsvertrauensstellung auf
beiden Seiten
Mit diesem Verfahren erstellen Sie beide Seiten einer bidirektionalen
Verknüpfungsvertrauensstellung. Sie benötigen administrative Berechtigungen für beide
Domänen.
Eine bidirektionale Verknüpfungsvertrauensstellung ermöglicht den Benutzern beider
Domänen einen schnelleren Zugriff auf die Ressourcen der jeweiligen anderen Domäne.
Sie können eine solche Vertrauensstellung über den Neue VertrauensstellungAssistenten im Snap-In Active Directory-Domänen und -Vertrauensstellungen oder über
das Kommandozeilentool Netdom erstellen. Weitere Informationen zum
Kommandozeilentool Netdom finden Sie in der Technischen Referenz zu Windows
Server 2003 unter Windows Server 2003 Technical Reference.
Administrative Berechtigungen
Um dieses Verfahren ausführen zu können, müssen Sie Mitglied der Gruppe DomänenAdmins oder der Gruppe Organisations-Admins sein.
1. Öffnen Sie das Snap-In Active Directory-Domänen und -Vertrauensstellungen.
2. Klicken Sie im Konsolenbereich mit rechts auf die Domäne, für die Sie eine
Vertrauensstellung erstellen wollen, und klicken Sie dann auf Eigenschaften.
3. Klicken Sie auf der Registerkarte Vertrauensstellungen auf Neue
Vertrauensstellung, und klicken Sie dann auf Weiter.
4. Geben Sie auf der Seite Vertrauensstellungsname den DNS-Namen (oder den
NetBIOS-Namen) der Domäne ein, und klicken Sie dann auf Weiter.
5. Klicken Sie auf der Seite Vertrauenstyp auf Externe Vertrauensstellung, und
klicken Sie dann auf Weiter.
6. Klicken Sie auf der Seite Richtung der Vertrauensstellung auf Bidirektional,
und klicken Sie dann auf Weiter.
Weitere Informationen zu den möglichen Richtungen finden Sie im Abschnitt
"Richtung der Vertrauensstellung" im Kapitel Anhang: Der Neue
Vertrauensstellung-Assistent.
7. Klicken Sie auf der Seite Seiten der Vertrauensstellung auf Nur diese
Domäne, und klicken Sie dann auf Weiter.
8. Geben Sie auf der Seite Benutzername und Kennwort den Benutzernamen
und das Kennwort des entsprechenden Administrators für die Domäne an.
9. Klicken Sie auf Weiter.
10. Klicken Sie auf Weiter.
11. Führen Sie auf der Seite Ausgehende Vertrauensstellung bestätigen eine der
folgenden Aktionen aus:

Bestätigen Sie die Vertrauensstellung nicht. In diesem Fall wird kein sicherer
Kanal eingerichtet, bevor die Vertrauensstellung nicht zum ersten Mal durch
einen Benutzer verwendet wird.

Bestätigen Sie die Vertrauensstellung, und geben Sie entsprechende
administrative Anmeldeinformationen an.
12. Führen Sie auf der Seite Eingehende Vertrauensstellung bestätigen eine der
folgenden Aktionen aus:

Bestätigen Sie die Vertrauensstellung nicht.

Bestätigen Sie die Vertrauensstellung, und geben Sie entsprechende
administrative Anmeldeinformationen an.
13. Klicken Sie auf Fertigstellen.
Erstellen von
Gesamtstrukturvertrauensstellungen
In einer Windows Server 2003-Gesamtstruktur können Sie zwei nicht verbundene
Windows Server 2003-Gesamtstrukturen mit einer unidirektionalen oder bidirektionalen
transitiven Gesamtstrukturvertrauensstellung verknüpfen. Jede Domäne beider
Gesamtstrukturen vertraut so jeder Domäne der anderen Gesamtstruktur.
Weitere Informationen zu Gesamtstrukturvertrauensstellungen finden Sie unter
http://go.microsoft.com/fwlink/?LinkId=35356.
Anforderungen
Die folgenden Anforderungen bestehen für das Erstellen von
Gesamtstrukturvertrauensstellungen:

Sie können eine Gesamtstrukturvertrauensstellung nur zwischen zwei
Windows Server 2003-Gesamtstrukturen erstellen.
Gesamtstrukturvertrauensstellungen können nicht auf eine dritte Gesamtstruktur
ausgeweitet werden.

Um eine Gesamtstrukturvertrauensstellung zu erstellen, müssen beide
Gesamtstrukturen in der Funktionsebene Windows Server 2003 ausgeführt werden.
Weitere Informationen zu Funktionsebenen finden Sie unter
http://go.microsoft.com/fwlink/?LinkId=41698.

Um eine Gesamtstrukturvertrauensstellung erstellen zu können, muss die DNSUmgebung entsprechend eingerichtet sein. Falls ein Stamm-DNS-Server vorhanden
ist, der als Stamm-DNS-Server für beide Gesamtstruktur-DNS-Namespaces
konfiguriert werden kann, richten Sie diesen als Stammserver ein, und stellen Sie
sicher, dass die Stammzone Delegierungen für jeden DNS-Namespace enthält.
Aktualisieren Sie außerdem die Stammhinweise aller DNS-Server mit dem neuen
Stamm-DNS-Server.

Falls kein freigegebener Stamm-DNS-Server vorhanden ist und die Stamm-DNSServer für jeden Gesamtstruktur-DNS-Namespace unter einem Produkt der
Windows Server 2003-Produktfamilie ausgeführt werden, konfigurieren Sie in jedem
DNS-Namespace DNS-Weiterleitungen mit Bedingungen, um Abfragen nach Namen
im anderen Namespace weiterzuleiten.

Falls kein freigegebener Stamm-DNS-Server vorhanden ist und die Stamm-DNSServer für jeden Gesamtstruktur-DNS-Namespace nicht unter einem Produkt der
Windows Server 2003-Produktfamilie ausgeführt werden, konfigurieren Sie in jedem
DNS-Namespace sekundäre DNS-Zonen, um Abfragen nach Namen im anderen
Namespace weiterzuleiten. Weitere Informationen zur Konfiguration von DNS finden
Sie unter http://go.microsoft.com/fwlink/?LinkId=41699.
Die nachfolgenden Aufgaben können Sie mit den folgenden Tools ausführen:

Active Directory-Domänen und -Vertrauensstellungen

Netdom.exe
Weitere Informationen zum Kommandozeilentool Netdom finden Sie in der Technischen
Referenz zu Windows Server 2003 unter http://go.microsoft.com/fwlink/?LinkId=41700.
Anmerkung
Wenn Sie über die entsprechenden administrativen Anmeldeinformationen für beide
Gesamtstrukturen verfügen, können Sie beide Seiten einer
Gesamtstrukturvertrauensstellung in einem Schritt erstellen. Hierzu gehen Sie nach den
unten beschriebenen Schritten vor. Weiter Informationen finden Sie im Abschnitt Anhang:
Der Neue Vertrauensstellung-Assistent
Mit den folgenden Verfahren können Sie Gesamtstrukturvertrauensstellungen erstellen:

Erstellen einer unidirektionalen, eingehenden Gesamtstrukturvertrauensstellung auf
einer Seite

Erstellen einer unidirektionalen, eingehenden Gesamtstrukturvertrauensstellung auf
beiden Seiten

Erstellen einer unidirektionalen, ausgehenden Gesamtstrukturvertrauensstellung auf
einer Seite

Erstellen einer unidirektionalen, ausgehenden Gesamtstrukturvertrauensstellung auf
beiden Seiten

Erstellen einer bidirektionalen Gesamtstrukturvertrauensstellung auf einer Seite

Erstellen einer bidirektionalen Gesamtstrukturvertrauensstellung auf beiden Seiten
Erstellen einer unidirektionalen,
eingehenden
Gesamtstrukturvertrauensstellung auf
einer Seite
Mit diesem Verfahren erstellen Sie eine unidirektionale, eingehende
Gesamtstrukturvertrauensstellung. Die neue Vertrauensstellung ist nicht funktionsfähig,
bevor der Administrator der anderen Gesamtstruktur eine entgegengesetzte
Vertrauensstellung erstellt hat. Wenn Sie über administrative Berechtigungen für beide
Gesamtstrukturen verfügen, können Sie beide Vertrauensstellungen in einem Schritt
erstellen. Führen Sie hierzu den Schritt Erstellen einer unidirektionalen, eingehenden
Gesamtstrukturvertrauensstellung auf beiden Seiten aus.
Sie können eine solche Vertrauensstellung über den Neue VertrauensstellungAssistenten im Snap-In Active Directory-Domänen und -Vertrauensstellungen oder über
das Kommandozeilentool Netdom erstellen. Weitere Informationen zum
Kommandozeilentool Netdom finden Sie in der Technischen Referenz zu Windows
Server 2003 unter Windows Server 2003 Technical Reference.
Administrative Berechtigungen
Um dieses Verfahren ausführen zu können, müssen Sie Mitglied der Gruppe DomänenAdmins oder der Gruppe Organisations-Admins in der Stammdomäne der
Gesamtstruktur sein. Wenn Sie Mitglied der Gruppe "Erstellung eingehender
Gesamtstrukturvertrauensstellung" sind, können Sie eine unidirektionale, eingehende
Gesamtstrukturvertrauensstellung erstellen. Weitere Informationen zur Gruppe
"Erstellung eingehender Gesamtstrukturvertrauensstellung" finden Sie im Artikel "How
Domain and Forest Trusts Work" unter: Windows Server 2003 Technical Reference.
1. Öffnen Sie das Snap-In Active Directory-Domänen und -Vertrauensstellungen.
2. Klicken Sie im Konsolenbereich mit rechts auf die Domäne, für die Sie eine
Vertrauensstellung erstellen wollen, und klicken Sie dann auf Eigenschaften.
3. Klicken Sie auf der Registerkarte Vertrauensstellungen auf Neue
Vertrauensstellung, und klicken Sie dann auf Weiter.
4. Geben Sie auf der Seite Vertrauensstellungsname den DNS-Namen (oder den
NetBIOS-Namen) der Domäne ein, und klicken Sie dann auf Weiter.
5. Klicken Sie auf der Seite Vertrauenstyp auf
Gesamtstrukturvertrauensstellung, und klicken Sie dann auf Weiter.
6. Klicken Sie auf der Seite Richtung der Vertrauensstellung auf Unidirektional:
eingehend, und klicken Sie dann auf Weiter.
Weitere Informationen zu den möglichen Richtungen finden Sie im Abschnitt
"Richtung der Vertrauensstellung" im Kapitel Anhang: Der Neue
Vertrauensstellung-Assistent.
7. Klicken Sie auf der Seite Seiten der Vertrauensstellung auf Nur diese
Domäne, und klicken Sie dann auf Weiter.
8. Geben Sie das Kennwort für die Vertrauensstellung ein, und klicken Sie auf
Weiter.
9. Klicken Sie auf Weiter.
10. Klicken Sie auf Weiter.
11. Führen Sie auf der Seite Ausgehende Vertrauensstellung bestätigen eine der
folgenden Aktionen aus:

Bestätigen Sie die Vertrauensstellung nicht. In diesem Fall wird kein sicherer
Kanal eingerichtet, bevor die Vertrauensstellung nicht zum ersten Mal durch
einen Benutzer verwendet wird.

Bestätigen Sie die Vertrauensstellung, und geben Sie entsprechende
administrative Anmeldeinformationen an.
12. Klicken Sie auf Fertigstellen.
Anmerkung:
Damit die Vertrauensstellung korrekt funktioniert, muss der Administrator der
Gegenseite das Verfahren Erstellen einer unidirektionalen, ausgehenden
Gesamtstrukturvertrauensstellung auf einer Seite mit dem gleichen Kennwort
erstellen, das hier verwendet wurde.
Erstellen einer unidirektionalen,
eingehenden
Gesamtstrukturvertrauensstellung auf
beiden Seiten
Mit diesem Verfahren erstellen Sie beide Seiten einer unidirektionalen, eingehenden
Gesamtstrukturvertrauensstellung. Sie benötigen administrative Berechtigungen für beide
Gesamtstrukturen.
Eine unidirektionale, eingehende Gesamtstrukturvertrauensstellung ermöglicht es
Benutzern, aus Ihrer Windows Server 2003-Gesamtstruktur auf die Ressourcen einer
anderen Windows Server 2003-Gesamstruktur zuzugreifen.
Sie können eine solche Vertrauensstellung über den Neue VertrauensstellungAssistenten im Snap-In Active Directory-Domänen und -Vertrauensstellungen oder über
das Kommandozeilentool Netdom erstellen. Weitere Informationen zum
Kommandozeilentool Netdom finden Sie in der Technischen Referenz zu Windows
Server 2003 unter Windows Server 2003 Technical Reference.
Administrative Berechtigungen
Um dieses Verfahren ausführen zu können, müssen Sie Mitglied der Gruppe DomänenAdmins oder der Gruppe Organisations-Admins in der Stammdomäne der
Gesamtstruktur sein. Wenn Sie Mitglied der Gruppe "Erstellung eingehender
Gesamtstrukturvertrauensstellung" sind, können Sie eine unidirektionale, eingehende
Gesamtstrukturvertrauensstellung erstellen. Weitere Informationen zur Gruppe
"Erstellung eingehender Gesamtstrukturvertrauensstellung" finden Sie im Artikel "How
Domain and Forest Trusts Work" unter: Windows Server 2003 Technical Reference.
1. Öffnen Sie das Snap-In Active Directory-Domänen und -Vertrauensstellungen.
2. Klicken Sie im Konsolenbereich mit rechts auf die Domäne, für die Sie eine
Vertrauensstellung erstellen wollen, und klicken Sie dann auf Eigenschaften.
3. Klicken Sie auf der Registerkarte Vertrauensstellungen auf Neue
Vertrauensstellung, und klicken Sie dann auf Weiter.
4. Geben Sie auf der Seite Vertrauensstellungsname den DNS-Namen (oder den
NetBIOS-Namen) der Domäne ein, und klicken Sie dann auf Weiter.
5. Klicken Sie auf der Seite Vertrauenstyp auf
Gesamtstrukturvertrauensstellung, und klicken Sie dann auf Weiter.
6. Klicken Sie auf der Seite Richtung der Vertrauensstellung auf Unidirektional:
eingehend, und klicken Sie dann auf Weiter.
Weitere Informationen zu den möglichen Richtungen finden Sie im Abschnitt
"Richtung der Vertrauensstellung" im Kapitel Anhang: Der Neue
Vertrauensstellung-Assistent.
7. Klicken Sie auf der Seite Seiten der Vertrauensstellung auf Beide, diese
Domäne und die angegebene Domäne, und klicken Sie dann auf Weiter.
8. Geben Sie auf der Seite Benutzername und Kennwort den Benutzernamen
und das Kennwort des entsprechenden Administrators für die Domäne an.
9. Führen Sie auf der folgenden Seite eine der folgenden Aktionen aus, und klicken
Sie dann auf Weiter:

Klicken Sie auf Gesamtstrukturweite Authentifizierung.

Klicken Sie auf Selektive Authentifizierung.
10. Klicken Sie auf Weiter.
11. Klicken Sie auf Weiter.
12. Führen Sie auf der Seite Ausgehende Vertrauensstellung bestätigen eine der
folgenden Aktionen aus:

Bestätigen Sie die Vertrauensstellung nicht. In diesem Fall wird kein sicherer
Kanal eingerichtet, bevor die Vertrauensstellung nicht zum ersten Mal durch
einen Benutzer verwendet wird.

Bestätigen Sie die Vertrauensstellung, und geben Sie entsprechende
administrative Anmeldeinformationen an.
13. Klicken Sie auf Fertigstellen.
Erstellen einer unidirektionalen,
ausgehenden
Gesamtstrukturvertrauensstellung auf
einer Seite
Mit diesem Verfahren erstellen Sie eine unidirektionale, ausgehende
Gesamtstrukturvertrauensstellung. Die neue Vertrauensstellung ist nicht funktionsfähig,
bevor der Administrator der anderen Gesamtstruktur eine entgegengesetzte
Vertrauensstellung erstellt hat. Wenn Sie über administrative Berechtigungen für beide
Gesamtstrukturen verfügen, können Sie beide Vertrauensstellung in einem Schritt
erstellen. Führen Sie hierzu den Schritt Erstellen einer unidirektionalen, ausgehenden
Gesamtstrukturvertrauensstellung auf beiden Seiten aus.
Eine unidirektionale, ausgehende Gesamtstrukturvertrauensstellung ermöglicht es
Benutzern einer anderen Windows Server 2003-Gesamtstruktur, auf die Ressourcen
Ihrer Windows Server 2003-Gesamstruktur zuzugreifen.
Sie können eine solche Vertrauensstellung über den Neue VertrauensstellungAssistenten im Snap-In Active Directory-Domänen und -Vertrauensstellungen oder über
das Kommandozeilentool Netdom erstellen. Weitere Informationen zum
Kommandozeilentool Netdom finden Sie in der Technischen Referenz zu Windows
Server 2003 unter Windows Server 2003 Technical Reference.
Administrative Berechtigungen
Um dieses Verfahren ausführen zu können, müssen Sie Mitglied der Gruppe DomänenAdmins oder der Gruppe Organisations-Admins in der Stammdomäne der
Gesamtstruktur sein. Wenn Sie Mitglied der Gruppe "Erstellung eingehender
Gesamtstrukturvertrauensstellung" sind, können Sie eine unidirektionale, eingehende
Gesamtstrukturvertrauensstellung erstellen. Weitere Informationen zur Gruppe
"Erstellung eingehender Gesamtstrukturvertrauensstellung" finden Sie im Artikel "How
Domain and Forest Trusts Work" unter: Windows Server 2003 Technical Reference.
1. Öffnen Sie das Snap-In Active Directory-Domänen und -Vertrauensstellungen.
2. Klicken Sie im Konsolenbereich mit rechts auf die Domäne, für die Sie eine
Vertrauensstellung erstellen wollen, und klicken Sie dann auf Eigenschaften.
3. Klicken Sie auf der Registerkarte Vertrauensstellungen auf Neue
Vertrauensstellung, und klicken Sie dann auf Weiter.
4. Geben Sie auf der Seite Vertrauensstellungsname den DNS-Namen (oder den
NetBIOS-Namen) der Domäne ein, und klicken Sie dann auf Weiter.
5. Klicken Sie auf der Seite Vertrauenstyp auf
Gesamtstrukturvertrauensstellung, und klicken Sie dann auf Weiter.
6. Klicken Sie auf der Seite Richtung der Vertrauensstellung auf Unidirektional:
ausgehend, und klicken Sie dann auf Weiter.
Weitere Informationen zu den möglichen Richtungen finden Sie im Abschnitt
"Richtung der Vertrauensstellung" im Kapitel Anhang: Der Neue
Vertrauensstellung-Assistent.
7. Klicken Sie auf der Seite Seiten der Vertrauensstellung auf Nur diese
Domäne, und klicken Sie dann auf Weiter.
8. Führen Sie auf der folgenden Seite eine der folgenden Aktionen aus, und klicken
Sie dann auf Weiter:

Klicken Sie auf Gesamtstrukturweite Authentifizierung.

Klicken Sie auf Selektive Authentifizierung.
9. Geben Sie das Kennwort für die Vertrauensstellung ein, und klicken Sie auf
Weiter.
10. Klicken Sie auf Weiter.
11. Klicken Sie auf Weiter.
12. Führen Sie auf der Seite Ausgehende Vertrauensstellung bestätigen eine der
folgenden Aktionen aus:

Bestätigen Sie die Vertrauensstellung nicht. In diesem Fall wird kein sicherer
Kanal eingerichtet, bevor die Vertrauensstellung nicht zum ersten Mal durch
einen Benutzer verwendet wird.

Bestätigen Sie die Vertrauensstellung, und geben Sie entsprechende
administrative Anmeldeinformationen an.
13. Klicken Sie auf Fertigstellen.
Anmerkung:
Damit die Vertrauensstellung korrekt funktioniert, muss der Administrator der
Gegenseite das Verfahren Erstellen einer unidirektionalen, eingehenden
Gesamtstrukturvertrauensstellung auf einer Seite mit dem gleichen Kennwort
erstellen, das hier verwendet wurde.
Erstellen einer unidirektionalen,
ausgehenden
Gesamtstrukturvertrauensstellung auf
beiden Seiten
Mit diesem Verfahren erstellen Sie beide Seiten einer unidirektionalen, ausgehenden
Gesamtstrukturvertrauensstellung. Sie benötigen administrative Berechtigungen für beide
Gesamtstrukturen.
Eine unidirektionale, ausgehende Gesamtstrukturvertrauensstellung ermöglicht es
Benutzern, aus Ihrer Windows Server 2003-Gesamtstruktur auf die Ressourcen einer
anderen Windows Server 2003-Gesamstruktur zuzugreifen.
Sie können eine solche Vertrauensstellung über den Neue VertrauensstellungAssistenten im Snap-In Active Directory-Domänen und -Vertrauensstellungen oder über
das Kommandozeilentool Netdom erstellen. Weitere Informationen zum
Kommandozeilentool Netdom finden Sie in der Technischen Referenz zu Windows
Server 2003 unter Windows Server 2003 Technical Reference.
Administrative Berechtigungen
Um dieses Verfahren ausführen zu können müssen, Sie Mitglied der Gruppe DomänenAdmins oder der Gruppe Organisations-Admins in der Stammdomäne der
Gesamtstruktur sein. Wenn Sie Mitglied der Gruppe "Erstellung eingehender
Gesamtstrukturvertrauensstellung" sind, können Sie eine unidirektionale, eingehende
Gesamtstrukturvertrauensstellung erstellen. Weitere Informationen zur Gruppe
"Erstellung eingehender Gesamtstrukturvertrauensstellung" finden Sie im Artikel "How
Domain and Forest Trusts Work" unter: Windows Server 2003 Technical Reference.
1. Öffnen Sie das Snap-In Active Directory-Domänen und -Vertrauensstellungen.
2. Klicken Sie im Konsolenbereich mit rechts auf die Domäne, für die Sie eine
Vertrauensstellung erstellen wollen, und klicken Sie dann auf Eigenschaften.
3. Klicken Sie auf der Registerkarte Vertrauensstellungen auf Neue
Vertrauensstellung, und klicken Sie dann auf Weiter.
4. Geben Sie auf der Seite Vertrauensstellungsname den DNS-Namen (oder den
NetBIOS-Namen) der Domäne ein, und klicken Sie dann auf Weiter.
5. Klicken Sie auf der Seite Vertrauenstyp auf
Gesamtstrukturvertrauensstellung, und klicken Sie dann auf Weiter.
6. Klicken Sie auf der Seite Richtung der Vertrauensstellung auf Unidirektional:
ausgehend, und klicken Sie dann auf Weiter.
Weitere Informationen zu den möglichen Richtungen finden Sie im Abschnitt
"Richtung der Vertrauensstellung" im Kapitel Anhang: Der Neue
Vertrauensstellung-Assistent.
7. Klicken Sie auf der Seite Seiten der Vertrauensstellung auf Beide, diese
Domäne und die angegebene Domäne, und klicken Sie dann auf Weiter.
8. Geben Sie auf der Seite Benutzername und Kennwort den Benutzernamen
und das Kennwort des entsprechenden Administrators für die Domäne an.
9. Führen Sie auf der folgenden Seite eine der folgenden Aktionen aus und klicken
Sie dann auf Weiter:

Klicken Sie auf Gesamtstrukturweite Authentifizierung.

Klicken Sie auf Selektive Authentifizierung.
10. Klicken Sie auf Weiter.
11. Klicken Sie auf Weiter.
12. Führen Sie auf der Seite Ausgehende Vertrauensstellung bestätigen eine der
folgenden Aktionen aus:

Bestätigen Sie die Vertrauensstellung nicht. In diesem Fall wird kein sicherer
Kanal eingerichtet, bevor die Vertrauensstellung nicht zum ersten Mal durch
einen Benutzer verwendet wird.

Bestätigen Sie die Vertrauensstellung, und geben Sie entsprechende
administrative Anmeldeinformationen an.
13. Klicken Sie auf Fertigstellen.
Erstellen einer bidirektionalen
Gesamtstrukturvertrauensstellung auf
einer Seite
Mit diesem Verfahren erstellen Sie eine bidirektionale Gesamtstrukturvertrauensstellung.
Die neue Vertrauensstellung ist nicht funktionsfähig, bevor der Administrator der anderen
Gesamtstruktur eine entgegengesetzte Vertrauensstellung erstellt hat. Wenn Sie über
administrative Berechtigungen für beide Gesamtstrukturen verfügen, können Sie beide
Vertrauensstellungen in einem Schritt erstellen. Führen Sie hierzu den Schritt Erstellen
einer bidirektionalen Gesamtstrukturvertrauensstellung auf beiden Seiten aus.
Eine bidirektionale Gesamtstrukturvertrauensstellung ermöglicht es den Benutzern, aus
beiden Gesamtstrukturen auf die Ressourcen der jeweils anderen Gesamtstruktur
zuzugreifen.
Sie können eine solche Vertrauensstellung über den Neue VertrauensstellungAssistenten im Snap-In Active Directory-Domänen und -Vertrauensstellungen oder über
das Kommandozeilentool Netdom erstellen. Weitere Informationen zum
Kommandozeilentool Netdom finden Sie in der Technischen Referenz zu Windows
Server 2003 unter Windows Server 2003 Technical Reference.
Administrative Berechtigungen
Um dieses Verfahren ausführen zu können, müssen Sie Mitglied der Gruppe DomänenAdmins oder der Gruppe Organisations-Admins in der Stammdomäne der
Gesamtstruktur sein. Wenn Sie Mitglied der Gruppe "Erstellung eingehender
Gesamtstrukturvertrauensstellung" sind, können Sie eine unidirektionale, eingehende
Gesamtstrukturvertrauensstellung erstellen. Weitere Informationen zur Gruppe
"Erstellung eingehender Gesamtstrukturvertrauensstellung" finden Sie im Artikel "How
Domain and Forest Trusts Work" unter: Windows Server 2003 Technical Reference.
1. Öffnen Sie das Snap-In Active Directory-Domänen und -Vertrauensstellungen.
2. Klicken Sie im Konsolenbereich mit rechts auf die Domäne, für die Sie eine
Vertrauensstellung erstellen wollen, und klicken Sie dann auf Eigenschaften.
3. Klicken Sie auf der Registerkarte Vertrauensstellungen auf Neue
Vertrauensstellung, und klicken Sie dann auf Weiter.
4. Geben Sie auf der Seite Vertrauensstellungsname den DNS-Namen (oder den
NetBIOS-Namen) der Domäne ein, und klicken Sie dann auf Weiter.
5. Klicken Sie auf der Seite Vertrauenstyp auf
Gesamtstrukturvertrauensstellung, und klicken Sie dann auf Weiter.
6. Klicken Sie auf der Seite Richtung der Vertrauensstellung auf Bidirektional,
und klicken Sie dann auf Weiter.
Weitere Informationen zu den möglichen Richtungen finden Sie im Abschnitt
"Richtung der Vertrauensstellung" im Kapitel Anhang: Der Neue
Vertrauensstellung-Assistent.
7. Klicken Sie auf der Seite Seiten der Vertrauensstellung auf Nur diese
Domäne, und klicken Sie dann auf Weiter.
8. Führen Sie auf der folgenden Seite eine der folgenden Aktionen aus, und klicken
Sie dann auf Weiter:

Klicken Sie auf Gesamtstrukturweite Authentifizierung.

Klicken Sie auf Selektive Authentifizierung.
9. Geben Sie das Kennwort für die Vertrauensstellung ein, und klicken Sie auf
Weiter.
10. Klicken Sie auf Weiter.
11. Klicken Sie auf Weiter.
12. Führen Sie auf der Seite Ausgehende Vertrauensstellung bestätigen eine der
folgenden Aktionen aus:

Bestätigen Sie die Vertrauensstellung nicht. In diesem Fall wird kein sicherer
Kanal eingerichtet, bevor die Vertrauensstellung nicht zum ersten Mal durch
einen Benutzer verwendet wird.

Bestätigen Sie die Vertrauensstellung, und geben Sie entsprechende
administrative Anmeldeinformationen an.
13. Führen Sie auf der Seite Eingehende Vertrauensstellung bestätigen eine der
folgenden Aktionen aus:

Bestätigen Sie die Vertrauensstellung nicht.

Bestätigen Sie die Vertrauensstellung, und geben Sie entsprechende
administrative Anmeldeinformationen an.
14. Klicken Sie auf Fertigstellen.
Anmerkung:
Damit die Vertrauensstellung korrekt funktioniert, muss der Administrator der
Gegenseite ebenfalls eine Vertrauensstellung mit dem gleichen Kennwort
erstellen, das hier verwendet wurde.
Erstellen einer bidirektionalen
Gesamtstrukturvertrauensstellung auf
beiden Seiten
Mit diesem Verfahren erstellen Sie beide Seiten einer bidirektionalen
Gesamtstrukturvertrauensstellung. Sie benötigen administrative Berechtigungen für beide
Gesamtstrukturen.
Eine bidirektionale Gesamtstrukturvertrauensstellung ermöglicht es den Benutzern, aus
beiden Gesamtstrukturen auf die Ressourcen der jeweils anderen Gesamtstruktur
zuzugreifen.
Sie können eine solche Vertrauensstellung über den Neue VertrauensstellungAssistenten im Snap-In Active Directory-Domänen und -Vertrauensstellungen oder über
das Kommandozeilentool Netdom erstellen. Weitere Informationen zum
Kommandozeilentool Netdom finden Sie in der Technischen Referenz zu Windows
Server 2003 unter Windows Server 2003 Technical Reference.
Administrative Berechtigungen
Um dieses Verfahren ausführen zu können, müssen Sie Mitglied der Gruppe DomänenAdmins oder der Gruppe Organisations-Admins in der Stammdomäne der
Gesamtstruktur sein. Wenn Sie Mitglied der Gruppe "Erstellung eingehender
Gesamtstrukturvertrauensstellung" sind, können Sie eine unidirektionale, eingehende
Gesamtstrukturvertrauensstellung erstellen. Weitere Informationen zur Gruppe
"Erstellung eingehender Gesamtstrukturvertrauensstellung" finden Sie im Artikel "How
Domain and Forest Trusts Work" unter: Windows Server 2003 Technical Reference.
1. Öffnen Sie das Snap-In Active Directory-Domänen und -Vertrauensstellungen.
2. Klicken Sie im Konsolenbereich mit rechts auf die Domäne, für die Sie eine
Vertrauensstellung erstellen wollen, und klicken Sie dann auf Eigenschaften.
3. Klicken Sie auf der Registerkarte Vertrauensstellungen auf Neue
Vertrauensstellung, und klicken Sie dann auf Weiter.
4. Geben Sie auf der Seite Vertrauensstellungsname den DNS-Namen (oder den
NetBIOS-Namen) der Domäne ein, und klicken Sie dann auf Weiter.
5. Klicken Sie auf der Seite Vertrauenstyp auf
Gesamtstrukturvertrauensstellung, und klicken Sie dann auf Weiter.
6. Klicken Sie auf der Seite Richtung der Vertrauensstellung auf Bidirektional,
und klicken Sie dann auf Weiter.
Weitere Informationen zu den möglichen Richtungen finden Sie im Abschnitt
"Richtung der Vertrauensstellung" im Kapitel Anhang: Der Neue
Vertrauensstellung-Assistent.
7. Klicken Sie auf der Seite Seiten der Vertrauensstellung auf Beide, diese
Domäne und die angegebene Domäne, und klicken Sie dann auf Weiter.
8. Geben Sie auf der Seite Benutzername und Kennwort den Benutzernamen
und das Kennwort des entsprechenden Administrators für die Domäne an.
9. Führen Sie auf der folgenden Seite eine der folgenden Aktionen aus, und klicken
Sie dann auf Weiter:

Klicken Sie auf Gesamtstrukturweite Authentifizierung.

Klicken Sie auf Selektive Authentifizierung.
10. Führen Sie auf der folgenden Seite eine der folgenden Aktionen aus, und klicken
Sie dann auf Weiter:

Klicken Sie auf Gesamtstrukturweite Authentifizierung.

Klicken Sie auf Selektive Authentifizierung.
11. Klicken Sie auf Weiter.
12. Klicken Sie auf Weiter.
13. Führen Sie auf der Seite Ausgehende Vertrauensstellung bestätigen eine der
folgenden Aktionen aus:

Bestätigen Sie die Vertrauensstellung nicht. In diesem Fall wird kein sicherer
Kanal eingerichtet, bevor die Vertrauensstellung nicht zum ersten Mal durch
einen Benutzer verwendet wird.

Bestätigen Sie die Vertrauensstellung, und geben Sie entsprechende
administrative Anmeldeinformationen an.
14. Führen Sie auf der Seite Eingehende Vertrauensstellung bestätigen eine der
folgenden Aktionen aus:

Bestätigen Sie die Vertrauensstellung nicht.

Bestätigen Sie die Vertrauensstellung, und geben Sie entsprechende
administrative Anmeldeinformationen an.
15. Klicken Sie auf Fertigstellen.
Erstellen von Bereichsvertrauensstellung
Mit einer Bereichsvertrauensstellung können Sie eine unidirektionale oder bidirektionale
nicht transitive Vertrauensstellung zwischen einem Nicht-Windows Kerberos-Realm und
Ihrer Organisation herstellen.
Weitere Informationen zu Bereichsvertrauensstellungen finden Sie unter
http://go.microsoft.com/fwlink/?LinkId=35356.
Anforderungen
Die nachfolgenden Aufgaben können Sie mit den folgenden Tools ausführen:

Active Directory-Domänen und -Vertrauensstellungen

Netdom.exe
Weitere Informationen zum Kommandozeilentool Netdom finden Sie in der Technischen
Referenz zu Windows Server 2003 unter http://go.microsoft.com/fwlink/?LinkId=41700.
Anmerkung
Der neue Assistent ist nicht in der Lage, beide Seiten einer Bereichsvertrauensstellung
gleichzeitig zu erstellen. Weiter Informationen finden Sie im Abschnitt Anhang: Der Neue
Vertrauensstellung-Assistent
Mit den folgenden Verfahren können Sie Bereichsvertrauensstellungen erstellen:

Erstellen einer unidirektionalen, eingehenden Bereichsvertrauensstellung

Erstellen einer unidirektionalen, ausgehenden Bereichsvertrauensstellung

Erstellen einer bidirektionalen Bereichsvertrauensstellung
Erstellen einer unidirektionalen,
eingehenden Bereichsvertrauensstellung
Eine unidirektionale, eingehende Bereichsvertrauensstellung ermöglicht es Benutzern,
aus Ihrer Windows Server 2003-Domäne (der Domäne, an der Sie beim Ausführen des
Assistenten für neue Vertrauensstellungen angemeldet sind) auf den anderen KerberosBereich zuzugreifen. Wenn Sie beispielsweise Administrator der Domäne
sales.wingtiptoys.com sind und ihre Benutzer Zugriff auf die Ressourcen eines anderen
Kerberos-Bereichs benötigen, dann können Sie dies mit dem folgenden Verfahren
ermöglichen.
Sie können eine solche Vertrauensstellung über den Neue VertrauensstellungAssistenten im Snap-In Active Directory-Domänen und -Vertrauensstellungen oder über
das Kommandozeilentool Netdom erstellen. Weitere Informationen zum
Kommandozeilentool Netdom finden Sie in der Technischen Referenz zu Windows
Server 2003 unter Windows Server 2003 Technical Reference.
Administrative Berechtigungen
Um dieses Verfahren ausführen zu können, müssen Sie Mitglied der Gruppe DomänenAdmins oder der Gruppe Organisations-Admins sein.
1. Öffnen Sie das Snap-In Active Directory-Domänen und -Vertrauensstellungen.
2. Klicken Sie im Konsolenbereich mit rechts auf die Domäne, für die Sie eine
Vertrauensstellung erstellen wollen, und klicken Sie dann auf Eigenschaften.
3. Klicken Sie auf der Registerkarte Vertrauensstellungen auf Neue
Vertrauensstellung, und klicken Sie dann auf Weiter.
4. Geben Sie auf der Seite Vertrauensstellungsname den DNS-Namen (oder den
NetBIOS-Namen) der Domäne ein, und klicken Sie dann auf Weiter.
5. Klicken Sie auf der Seite Vertrauenstyp auf Bereichsvertrauensstellung, und
klicken Sie dann auf Weiter.
6. Führen Sie auf der Seite Transitivität der Vertrauensstellung eine der
folgenden Aktionen aus:

Um eine Vertrauensstellung mit der Domäne und dem angegebenen Bereich
einzurichten, klicken Sie auf Nicht transitiv und dann auf Weiter.

Um eine Vertrauensstellung mit der Domäne und dem angegebenen Bereich
und allen vertrauenswürdigen Bereichen einzurichten, klicken Sie auf
Transitiv und dann auf Weiter.
7. Klicken Sie auf der Seite Richtung der Vertrauensstellung auf Unidirektional,
eingehend, und klicken Sie dann auf Weiter.
Weitere Informationen zu den möglichen Richtungen finden Sie im Abschnitt
"Richtung der Vertrauensstellung" im Kapitel Anhang: Der Neue
Vertrauensstellung-Assistent.
8. Geben Sie auf der Seite Vertrauenskennwort das Kennwort ein, und klicken Sie
auf Weiter.
9. Klicken Sie auf Weiter.
10. Klicken Sie auf Fertigstellen.
Anmerkung:
Damit die Vertrauensstellung korrekt funktioniert, muss der Administrator der
Gegenseite ebenfalls eine Vertrauensstellung mit dem gleichen Kennwort
erstellen, das hier verwendet wurde.
Erstellen einer unidirektionalen,
ausgehenden
Bereichsvertrauensstellung
Eine unidirektionale, ausgehende Bereichsvertrauensstellung ermöglicht es Benutzern
eines anderen Kerberos-Bereichs, auf Ressourcen Ihrer Windows Server 2003-Domäne
zuzugreifen. Wenn Sie beispielsweise Administrator der Domäne sales.wingtiptoys.com
sind und die Benutzer eines anderen Kerberos-Bereichs Zugriff auf die Ressourcen der
Domäne benötigen, dann können Sie dies mit dem folgenden Verfahren ermöglichen.
Sie können eine solche Vertrauensstellung über den Neue VertrauensstellungAssistenten im Snap-In Active Directory-Domänen und -Vertrauensstellungen oder über
das Kommandozeilentool Netdom erstellen. Weitere Informationen zum
Kommandozeilentool Netdom finden Sie in der Technischen Referenz zu Windows
Server 2003 unter Windows Server 2003 Technical Reference.
Administrative Berechtigungen
Um dieses Verfahren ausführen zu können, müssen Sie Mitglied der Gruppe DomänenAdmins oder der Gruppe Organisations-Admins sein.
1. Öffnen Sie das Snap-In Active Directory-Domänen und -Vertrauensstellungen.
2. Klicken Sie im Konsolenbereich mit rechts auf die Domäne, für die Sie eine
Vertrauensstellung erstellen wollen, und klicken Sie dann auf Eigenschaften.
3. Klicken Sie auf der Registerkarte Vertrauensstellungen auf Neue
Vertrauensstellung, und klicken Sie dann auf Weiter.
4. Geben Sie auf der Seite Vertrauensstellungsname den DNS-Namen (oder den
NetBIOS-Namen) der Domäne ein, und klicken Sie dann auf Weiter.
5. Klicken Sie auf der Seite Vertrauenstyp auf Bereichsvertrauensstellung, und
klicken Sie dann auf Weiter.
6. Führen Sie auf der Seite Transitivität der Vertrauensstellung eine der
folgenden Aktionen aus:

Um eine Vertrauensstellung mit der Domäne und dem angegebenen Bereich
einzurichten, klicken Sie auf Nicht transitiv und dann auf Weiter.

Um eine Vertrauensstellung mit der Domäne und dem angegebenen Bereich
und allen vertrauenswürdigen Bereichen einzurichten, klicken Sie auf
Transitiv und dann auf Weiter.
7. Klicken Sie auf der Seite Richtung der Vertrauensstellung auf Unidirektional,
ausgehend, und klicken Sie dann auf Weiter.
Weitere Informationen zu den möglichen Richtungen finden Sie im Abschnitt
"Richtung der Vertrauensstellung" im Kapitel Anhang: Der Neue
Vertrauensstellung-Assistent.
8. Geben Sie auf der Seite Vertrauenskennwort das Kennwort ein, und klicken Sie
auf Weiter.
9. Klicken Sie auf Weiter.
10. Klicken Sie auf Fertigstellen.
Anmerkung:
Damit die Vertrauensstellung korrekt funktioniert, muss der Administrator der
Gegenseite ebenfalls eine Vertrauensstellung mit dem gleichen Kennwort
erstellen, das hier verwendet wurde.
Erstellen einer bidirektionalen
Bereichsvertrauensstellung
Eine bidirektionale Bereichsvertrauensstellung ermöglicht den Benutzern der Windows
Server 2003-Domäne und den Benutzern eines anderen Kerberos-Bereichs einen
gegenseitigen Zugriff auf Ressourcen.
Sie können eine solche Vertrauensstellung über den Neue VertrauensstellungAssistenten im Snap-In Active Directory-Domänen und -Vertrauensstellungen oder über
das Kommandozeilentool Netdom erstellen. Weitere Informationen zum
Kommandozeilentool Netdom finden Sie in der Technischen Referenz zu Windows
Server 2003 unter Windows Server 2003 Technical Reference.
Administrative Berechtigungen
Um dieses Verfahren ausführen zu können, müssen Sie Mitglied der Gruppe DomänenAdmins oder der Gruppe Organisations-Admins sein.
1. Öffnen Sie das Snap-In Active Directory-Domänen und -Vertrauensstellungen.
2. Klicken Sie im Konsolenbereich mit rechts auf die Domäne, für die Sie eine
Vertrauensstellung erstellen wollen, und klicken Sie dann auf Eigenschaften.
3. Klicken Sie auf der Registerkarte Vertrauensstellungen auf Neue
Vertrauensstellung, und klicken Sie dann auf Weiter.
4. Geben Sie auf der Seite Vertrauensstellungsname den DNS-Namen (oder den
NetBIOS-Namen) der Domäne ein, und klicken Sie dann auf Weiter
5. Klicken Sie auf der Seite Vertrauenstyp auf Bereichsvertrauensstellung, und
klicken Sie dann auf Weiter.
6. Führen Sie auf der Seite Transitivität der Vertrauensstellung eine der
folgenden Aktionen aus:

Um eine Vertrauensstellung mit der Domäne und dem angegebenen Bereich
einzurichten, klicken Sie auf Nicht transitiv und dann auf Weiter.

Um eine Vertrauensstellung mit der Domäne und dem angegebenen Bereich
und allen vertrauenswürdigen Bereichen einzurichten, klicken Sie auf
Transitiv und dann auf Weiter.
7. Klicken Sie auf der Seite Richtung der Vertrauensstellung auf Bidirektional,
und klicken Sie dann auf Weiter.
Weitere Informationen zu den möglichen Richtungen finden Sie im Abschnitt
"Richtung der Vertrauensstellung" im Kapitel Anhang: Der Neue
Vertrauensstellung-Assistent.
8. Geben Sie auf der Seite Vertrauenskennwort das Kennwort ein, und klicken Sie
auf Weiter.
9. Klicken Sie auf Weiter.
10. Klicken Sie auf Fertigstellen.
Anmerkung:
Damit die Vertrauensstellung korrekt funktioniert, muss der Administrator der
Gegenseite ebenfalls eine Vertrauensstellung mit dem gleichen Kennwort
erstellen, das hier verwendet wurde.
Konfiguration von Domänen- und
Gesamtstrukturvertrauensstellungen
Sie können nur manuelle erstelle Vertrauensstellungen entfernen. Standardmäßige
bidirektionale transitive Vertrauensstellungen können nicht entfernt werden.
Führen Sie zum Entfernen von Vertrauensstellungen die folgenden Aufgaben aus:

Prüfen und Entfernen von Vertrauensstellungen

Bearbeiten der Namenssuffix-Einstellungen
Prüfen und Entfernen von
Vertrauensstellungen
Nachdem eine Vertrauensstellung erstellt wurde möchten Sie möglicherweise prüfen ob
diese wie gewünscht arbeitet oder das die Kommunikation über die Vertrauensstellung
funktioniert.
Anforderungen
Die nachfolgenden Aufgaben können Sie mit den folgenden Tools ausführen:

Active Directory-Domänen und -Vertrauensstellungen

Netdom.exe
Weitere Informationen zum Kommandozeilentool Netdom finden Sie in der Technischen
Referenz zu Windows Server 2003 unter http://go.microsoft.com/fwlink/?LinkId=41700.
Um diese Aufgabe auszuführen, sind die folgenden Schritte erforderlich:

Prüfen einer Vertrauensstellung

Entfernen einer manuell erstellten Vertrauensstellung
Prüfen einer Vertrauensstellung
Sie können alle Vertrauensstellungen zwischen Domänen überprüfen Vertrauensstellungen zwischen Realms jedoch nicht. Hierzu können Sie den Assistenten
oder Netdom verwenden.
Weitere Informationen zum Kommandozeilentool Netdom finden Sie in der Technischen
Referenz zu Windows Server 2003 unter http://go.microsoft.com/fwlink/?LinkId=41700.
Administrative Berechtigungen
Um diese Schritte ausführen zu können, müssen Sie Mitglied der Gruppe DomänenAdmins oder der Gruppe Organisations-Admins sein.
Prüfen einer Vertrauensstellung

Mithilfe der Windows-Oberfläche

Mithilfe der Eingabeaufforderung
Mithilfe der Windows-Oberfläche
1. Öffnen Sie Active Directory-Domänen und -Vertrauensstellungen.
2. Klicken Sie in der Konsolenstruktur mit der rechten Maustaste auf die Domäne
mit der Vertrauensstellung, die Sie prüfen möchten, und klicken Sie dann auf
Eigenschaften.
3. Klicken Sie auf der Registerkarte Vertrauensstellungen unter Domänen,
denen diese Domäne vertraut (ausgehende Vertrauensstellungen) oder
Domänen, die dieser Domäne vertrauen (eingehende
Vertrauensstellungen), auf die Vertrauensstellung, die Sie prüfen möchten,
und klicken Sie dann auf Eigenschaften.
4. Klicken Sie auf Überprüfen.
5. Führen Sie eine der folgenden Aktionen aus, und klicken Sie dann auf OK:
 Klicken Sie auf Nein, eingehende Vertrauensstellung nicht überprüfen.
Wenn Sie diese Option auswählen, sollten Sie diesen Schritt für die
reziproke Domäne wiederholen.
 Klicken Sie auf Ja, eingehende Vertrauensstellung überprüfen.
Wenn Sie diese Option auswählen, müssen Sie ein Benutzerkonto und ein
Kennwort mit administrativen Anmeldeinformationen für die reziproke
Domäne eingeben.
Mithilfe der Eingabeaufforderung
1. Öffnen Sie eine Eingabeaufforderung.
2. Geben Sie den folgenden Befehl ein, und drücken Sie dann die
EINGABETASTE:
netdom trust NameDerVertrauendenDomäne
/d:NameDerVertrauenswürdigenDomäne /verify
Term
Definition
NameDerVertrauendenDomäne
Der DNS- oder NetBIOS-Name
der vertrauenden Domäne in der
Vertrauensstellung, die geprüft
wird.
NameDerVertrauenswürdigenDomäne
Der DNS- oder NetBIOS-Name
der vertrauenswürdigen Domäne
in der Vertrauensstellung, die
geprüft wird.
Entfernen einer manuell erstellten
Vertrauensstellung
Sie können manuell erstellte Verknüpfungsvertrauensstellungen, externe
Vertrauensstellungen, Bereichsvertrauensstellungen und
Gesamtstrukturvertrauensstellungen entfernen. Standardmäßige Vertrauensstellungen
und bidirektionale, transitive Vertrauensstellungen zwischen Domänen eine
Gesamtstruktur können nicht entfernt werden. Wenn Sie planen, diese neu zu erstellen,
ist es besonders wichtig, das erfolgreiche Entfernen der Vertrauensstellung zu
überprüfen. Sie können zum Entfernen von Vertrauensstellungen den Assistenten oder
Netdom verwenden.
Weitere Informationen zum Kommandozeilentool Netdom finden Sie in der Technischen
Referenz zu Windows Server 2003 unter http://go.microsoft.com/fwlink/?LinkId=41700.
Administrative Berechtigungen
Um diese Schritte ausführen zu können, müssen Sie Mitglied der Gruppe DomänenAdmins oder der Gruppe Organisations-Admins sein.
Entfernen einer manuell erstellten
Vertrauensstellung

Mithilfe der Windows-Oberfläche

Mithilfe der Eingabeaufforderung
Mithilfe der Windows-Oberfläche
1. Öffnen Sie Active Directory-Domänen und -Vertrauensstellungen.
2.
Klicken Sie in der Konsolenstruktur mit der rechten Maustaste auf die Domäne
mit der Vertrauensstellung, die Sie entfernen möchten, und klicken Sie dann
auf Eigenschaften.
3.
Klicken Sie auf der Registerkarte Vertrauensstellungen unter Domänen,
denen diese Domäne vertraut (ausgehende Vertrauensstellungen) oder
Domänen, die dieser Domäne vertrauen (eingehende
Vertrauensstellungen), auf die Vertrauensstellung, die Sie entfernen
möchten, und klicken Sie dann auf Entfernen.
4.
Führen Sie eine der folgenden Aktionen aus, und klicken Sie dann auf OK:
 Klicken Sie auf Nein, die Vertrauensstellung nur aus der lokalen
Domäne entfernen. Wenn Sie diese Option auswählen, sollten Sie diesen
Schritt für die reziproke Domäne wiederholen.
 Klicken Sie auf Ja, die Vertrauensstellung aus der lokalen und der
anderen Domäne entfernen. Wenn Sie diese Option auswählen, müssen
Sie ein Benutzerkonto und ein Kennwort mit administrativen
Anmeldeinformationen für die reziproke Domäne eingeben.
Mithilfe der Eingabeaufforderung
1. Öffnen Sie eine Eingabeaufforderung.
2. Geben Sie den folgenden Befehl ein, und drücken Sie dann die
EINGABETASTE:
netdom trust NameDerVertrauendenDomäne
/d:NameDerVertrauenswürdigenDomäne /remove /UserD:Benutzer
/PasswordD: *
Term
Definition
NameDerVertrauendenDomäne
Der DNS- oder NetBIOS-Name
der vertrauenden Domäne in der
Vertrauensstellung, die geprüft
wird.
NameDerVertrauenswürdigenDomäne
Der DNS- oder NetBIOS-Name
der vertrauenswürdigen Domäne
in der Vertrauensstellung, die
geprüft wird.
Anmerkung
Wenn Sie Netdom verwenden, müssen Sie die Option /force am Ende anfügen
(hinter /remove).
Ändern der Routingeinstellungen eines
Namensuffixes
Namensuffixrouting ist ein Mechanismus, der zum Routen von
Authentifizierungsanfragen in durch Gesamtstrukturvertrauensstellungen verbundenen
Windows Server 2003-Gesamtstrukturen genutzt wird. Um die Administration von
Authentifizierungsanfragen zu vereinfachen, werden alle eindeutigen Namensuffixes
standardmäßig geroutet. Ein eindeutiger Namensuffix ist ein Namensuffix in einer
Gesamtstruktur, der keinem anderen Namensuffix untergeordnet ist (zum Beispiel ein
UPN-Suffix, SPN-Suffix oder ein DNS-Gesamtstruktur- oder -Strukturname. Der DNSGesamtstrukturname fabrikam.com ist zum Beispiel in der Gesamtstruktur fabrikam.com
ein eindeutiger Namensuffix. Weitere Informationen zu Namensuffixes finden Sie unter
http://go.microsoft.com/fwlink/?LinkId=35414.
Anmerkung
Ein Namensuffix, das Konflikte hervorruft, kann nicht aktiviert werden. Falls der
Konflikt mit einem lokalen Benutzerprinzipalnamen-Suffix besteht, müssen Sie
das lokale Benutzerprinzipalnamen-Suffix löschen, bevor Sie den Routingnamen
aktivieren können. Falls der Konflikt mit einem Namen besteht, der von einem
anderen Vertrauensstellungspartner beansprucht wird, müssen Sie den Namen
in der anderen Vertrauensstellung deaktivieren, bevor Sie ihn für diese
Vertrauensstellung aktivieren können.
Anforderungen
Die nachfolgenden Aufgaben können Sie mit den folgenden Tools ausführen:

Active Directory-Domänen und -Vertrauensstellungen

Netdom.exe
Weitere Informationen zum Kommandozeilentool Netdom finden Sie in der Technischen
Referenz zu Windows Server 2003 unter http://go.microsoft.com/fwlink/?LinkId=41700.
Diese Aufgabe können Sie mithilfe der folgenden Schritte ausführen:

Ändern des Routingstatus’ eines Namensuffixes

Aktivieren oder Deaktivieren eines bestehenden Namensuffixes für das Routing

Ausschließen eines Namensuffixes vom Routing in der lokalen Gesamtstruktur
Ändern des Routingstatus’ eines
Namensuffixes
Sie können den Routingstatus mit dem Assistenten oder mithilfe von Netdom aktivieren
und deaktivieren.
Weitere Informationen zum Kommandozeilentool Netdom finden Sie in der Technischen
Referenz zu Windows Server 2003 unter http://go.microsoft.com/fwlink/?LinkId=41700.
Administrative Berechtigungen
Um dieses Verfahren ausführen zu können, müssen Sie Mitglied der Gruppe DomänenAdmins oder der Gruppe Organisations-Admins sein.
Ändern des Routingstatus eines
Namensuffixes
Mithilfe der Windows-Oberfläche
1. Öffnen Sie Active Directory-Domänen und -Vertrauensstellungen.
2. Klicken Sie in der Konsolenstruktur mit der rechten Maustaste auf den
Domänenknoten der zu verwaltenden Domäne, und klicken Sie dann auf
Eigenschaften.
3. Klicken Sie auf der Registerkarte Vertrauensstellungen unter Domänen, denen
diese Domäne vertraut (ausgehende Vertrauensstellungen), oder Domänen,
die dieser Domäne vertrauen (eingehende Vertrauensstellungen), auf die
Gesamtstrukturvertrauensstellung, die Sie verwalten möchten, und klicken Sie
dann auf Eigenschaften.
4. Klicken Sie auf der Registerkarte Namensuffixrouting unter Namensuffixe in
der Gesamtstruktur x.x auf das Namensuffix, für das Sie den Routingstatus
ändern möchten, und klicken Sie dann auf Bearbeiten.
5. Klicken Sie unter Bestehende Namensuffixe in x.x auf das Suffix, das Sie
ändern möchten, und klicken Sie dann auf Aktivieren oder Deaktivieren.
Aktivieren oder Deaktivieren eines
bestehenden Namensuffixes für das
Routing
Mit diesem Verfahren können Sie verhindern, dass Authentifizierungsanfragen für
bestimmte Namensuffixe an eine Gesamtstruktur geroutet werden.
Weitere Informationen zum Kommandozeilentool Netdom finden Sie in der Technischen
Referenz zu Windows Server 2003 unter http://go.microsoft.com/fwlink/?LinkId=41700.
Anmerkung
Wenn Sie ein Namensuffix deaktivieren, werden alle untergeordneten Objekte
dieses DNS-Namens ebenfalls deaktiviert.
Administrative Berechtigungen
Um dieses Verfahren ausführen zu können, müssen Sie Mitglied der Gruppe DomänenAdmins oder der Gruppe Organisations-Admins sein.
Aktivieren oder Deaktivieren eines
bestehenden Namensuffixes für das Routing
Mithilfe der Windows-Oberfläche
1. Öffnen Sie Active Directory-Domänen und -Vertrauensstellungen.
2. Klicken Sie in der Konsolenstruktur mit der rechten Maustaste auf den
Domänenknoten der zu verwaltenden Domäne, und klicken Sie dann auf
Eigenschaften.
3. Klicken Sie auf der Registerkarte Vertrauensstellungen unter Domänen, denen
diese Domäne vertraut (ausgehende Vertrauensstellungen), oder Domänen,
die dieser Domäne vertrauen (eingehende Vertrauensstellungen), auf die
Gesamtstrukturvertrauensstellung, die Sie verwalten möchten, und klicken Sie
dann auf Eigenschaften.
4. Führen Sie auf der Registerkarte Namensuffixrouting unter Namensuffixe in
der Gesamtstruktur x.x eine der folgenden Aktionen aus:

Um ein Namensuffix zu aktivieren, klicken Sie auf das Suffix, das Sie
aktivieren möchten, und klicken Sie dann auf Aktivieren. Falls die
Schaltfläche Aktivieren abgeblendet dargestellt ist, ist das Namensuffix
bereits aktiviert.

Um ein Namensuffix zu deaktivieren, klicken Sie auf das Suffix, das Sie
deaktivieren möchten, und klicken Sie dann auf Deaktivieren. Falls die
Schaltfläche Deaktivieren abgeblendet dargestellt ist, ist das Namensuffix
bereits deaktiviert.
Ausschließen eines Namensuffixes vom
Routing in der lokalen Gesamtstruktur
Mit diesem Verfahren können Sie verhindern, dass Authentifizierungsanfragen für
bestimmte Namensuffixe an eine Gesamtstruktur geroutet werden.
Weitere Informationen zum Kommandozeilentool Netdom finden Sie in der Technischen
Referenz zu Windows Server 2003 unter http://go.microsoft.com/fwlink/?LinkId=41700.
Anmerkung
Wenn Sie ein Namensuffix deaktivieren, werden alle untergeordneten Objekte
dieses DNS-Namens ebenfalls deaktiviert.
Administrative Berechtigungen
Um dieses Verfahren ausführen zu können, müssen Sie Mitglied der Gruppe DomänenAdmins oder der Gruppe Organisations-Admins sein.
Ausschließen eines Namensuffixes vom
Routing in der lokalen Gesamtstruktur
Mithilfe der Windows-Oberfläche
1. Öffnen Sie Active Directory-Domänen und -Vertrauensstellungen.
2. Klicken Sie in der Konsolenstruktur mit der rechten Maustaste auf den
Domänenknoten der zu verwaltenden Domäne, und klicken Sie dann auf
Eigenschaften.
3. Klicken Sie auf der Registerkarte Vertrauensstellungen unter Domänen, denen
diese Domäne vertraut (ausgehende Vertrauensstellungen), oder Domänen,
die dieser Domäne vertrauen (eingehende Vertrauensstellungen), auf die
Gesamtstrukturvertrauensstellung, die Sie verwalten möchten, und klicken Sie
dann auf Eigenschaften.
4. Klicken Sie auf der Registerkarte Namensuffixrouting unter Namensuffixe in
der Gesamtstruktur x.x auf das eindeutige Namensuffix, das Sie vom Routing
ausschließen möchten, und klicken Sie dann auf Bearbeiten.
5. Klicken Sie unter Vom Weiterleiten nach x.x auszuschließende Namensuffixe
auf Hinzufügen, geben Sie ein DNS-Namensuffix (Domain Name System) ein,
das dem eindeutigen Namensuffix untergeordnet ist, und klicken Sie dann auf
OK.
Absichern von Domänen- und
Gesamtstrukturvertrauensstellungen
Beim Erstellen von Sicherheitsprinzipalen in einer Domäne wird die Domänen-SID in die
Sicherheitsprinzipal-SID eingeschlossen, um die Domäne zu identifizieren, in der das
Sicherheitsprinzipal erstellt wurde. Die Domänen-SID ist ein wichtiges Merkmal eines
Sicherheitsprinzipals, weil sie vom Sicherheits-Subsystem von Windows zum Überprüfen
der Authentizität des Sicherheitsprinzipals verwendet wird.
Ähnlich wird bei ausgehenden externen Vertrauensstellungen, die von der vertrauenden
Domäne aus erstellt werden, mithilfe der SID-Filterung überprüft, ob eingehende
Authentifizierungsanforderungen von Sicherheitsprinzipalen in der vertrauenswürdigen
Domäne nur SIDs von Sicherheitsprinzipalen in der vertrauenswürdigen Domäne
enthalten. Dazu werden die SIDs des eingehenden Sicherheitsprinzipals mit der
Domänen-SID der vertrauenswürdigen Domäne verglichen. Wenn eine der
Sicherheitsprinzipal-SIDs eine Domänen-SID enthält, die nicht die der
vertrauenswürdigen Domäne ist, wird diese SID von der Vertrauensstellung entfernt.
In diesem Kapitel werden folgenden Aufgaben beschreiben:

Konfiguration von SID-Filtereinstellungen

Konfiguration von selektiven Authentifizierungseinstellungen
Weitere Informationen finden Sie unter http://go.microsoft.com/fwlink/?LinkId=35413.
Konfiguration von SID-Filtereinstellungen
Sicherheitsprinzipale in Active Directory haben ein Attribut mit dem Namen SIDHistory.
In diesem Attribut können Administratoren alte SIDs des Benutzers eintragen. Dies ist bei
Active Directory-Migrationen sehr praktisch - der Administrator muss nämlich so keine
ACLs bearbeiten, und der Benutzer kann mit seiner alten SID auf die Ressourcen
zugreifen. Unter bestimmten Umständen ist es jedoch für Domänenadministratoren
möglich, das SIDHistory-Attribut zu nutzen, um SIDs neuen Benutzerkonten zuzuweisen
und sich selbst Rechte zu verschaffen die er nicht haben sollte. Um einen solchen Angriff
zu verhindern, aktiviert Windows Server 2003 die SID-Filterung automatisch für alle
externen Vertrauensstellungen und Gesamtstrukturvertrauensstellungen, die unter
Windows Server 2003 erstellt wurden. Bei externen Vertrauensstellungen, die unter
Windows 2000 Server mit Service Pack 3 (SP3) oder früher erstellt wurden, muss die
SID-Filterung manuell aktiviert werden.
Anmerkung
Sie können nicht das Standardverhalten deaktivieren, mit dem die SID-Filterung
für neu erstellte externe Vertrauensstellungen aktiviert wird.
Sie können die SID-Filterung nutzen, um migrierte SIDs aus bestimmten Domänen zu
filtern. Wenn es zum Beispiel eine externe Vertrauensstellung gibt, durch die die Domäne
Noam (unter Windows 2000 Server) der Domäne Acquired vertraut (ebenfalls unter
Windows 2000 Server), dann kann ein Administrator der Domäne Noam manuell eine
SID-Filterung für die Domäne Acquired einrichten, mit der alle SIDs mit einer DomänenSID der Domäne Acquired erlaubt und alle anderen SIDs (zum Beispiel die migrierten, in
SIDHistory gespeicherten SIDs) verboten sind.
Anmerkung
Wenden Sie die SID-Filterung nicht auf Domänen innerhalb einer Gesamtstruktur
an. In diesem Fall würden SIDs entfernt, die für die Active Directory-Replikation
notwendig sind. Außerdem wird es zu Authentifizierungsfehlern bei Benutzer
kommen, die sich in Domänen befinden, denen transitiv über die isolierte
Domäne vertraut wird.
Zur weiteren Erhöhung der Gesamtstruktursicherheit sollten Sie möglicherweise die SIDFilterung für alle vorhandenen externen Vertrauensstellungen aktivieren, die mit
Domänencontrollern unter Windows 2000 Service Pack 3 (oder früher) erstellt wurden.
Sie können dazu mit Netdom.exe die SID-Filterung für vorhandene externe
Vertrauensstellungen aktivieren, oder Sie können diese externen Vertrauensstellungen
von einem Domänencontroller unter einem Betriebssystem der Windows Server 2003Produktfamilie oder Windows 2000 Service Pack 4 (oder höher) neu erstellen. Weitere
Informationen zur Aktivierung der SID-Filterung für Vertrauensstellungen, die unter
Windows 2000 Server erstellt wurden, finden Sie unter
http://go.microsoft.com/fwlink/?LinkId=18545.
Weitere Informationen zur SID-Filterung finden Sie unter
http://go.microsoft.com/fwlink/?LinkId=35413.
Anforderungen
Die nachfolgenden Aufgaben können Sie mit den folgenden Tools ausführen:

Active Directory-Domänen und -Vertrauensstellungen

Netdom.exe
Weitere Informationen zum Kommandozeilentool Netdom finden Sie in der Technischen
Referenz zu Windows Server 2003 unter http://go.microsoft.com/fwlink/?LinkId=41700.
Um diese Aufgabe auszuführen, sind die folgenden Schritte erforderlich:

Deaktivieren der SID-Filterung

Aktivieren der SID-Filterung
Deaktivieren der SID-Filterung
Sie können die SID-Filterung für eine externe Vertrauensstellung mit dem Tool
Netdom.exe deaktivieren; dies wird jedoch nicht empfohlen. Sie sollten das Deaktivieren
der SID-Filterung nur in den folgenden Situationen in Betracht ziehen:

Sie vertrauen allen Administratoren, die über physikalischen Zugriff auf
Domänencontroller in der vertrauenswürdigen Domäne verfügen, genauso sehr wie
den Administratoren der vertrauenden Domäne.

Es ist unumgänglich, universelle Gruppen zu Ressourcen in der vertrauenden
Domäne zuzuweisen, die nicht in der vertrauenswürdigen Domäne erstellt wurden.

Beim Migrieren von Benutzern in die vertrauenswürdige Domäne wurden ihre SIDVerläufe beibehalten, und Sie möchten ihnen Zugriff auf Ressourcen in der
vertrauenden Domäne basierend auf dem SIDHistory-Attribut gewähren.
Weitere Informationen zur Arbeitsweise der SID-Filterung finden Sie unter
http://go.microsoft.com/fwlink/?LinkId=35413.
Weitere Informationen zum Kommandozeilentool Netdom finden Sie in der Technischen
Referenz zu Windows Server 2003 unter http://go.microsoft.com/fwlink/?LinkId=41700.
Administrative Berechtigungen
Um diese Schritte ausführen zu können, müssen Sie Mitglied der Gruppe DomänenAdmins oder der Gruppe Organisations-Admins sein.
Deaktivieren der SID-Filterung
1. Öffnen Sie eine Eingabeaufforderung.
2. Geben Sie den folgenden Befehl ein, und drücken Sie dann die EINGABETASTE:
Netdom trust NameDerVertrauendenDomäne /domain:
NameDerVertrauenswürdigenDomäne /quarantine:No
/userD:Domänenadministratorkonto/passwordD:Domänenadministratorkennwort
Anmerkung
Sie können die SID-Filterung nur von der vertrauenden Seite der Vertrauensstellung
aus aktivieren oder deaktivieren. Bei einer bidirektionalen Vertrauensstellung können
Sie die SID-Filterung in der vertrauenswürdigen Domäne außerdem mithilfe der
Domänenadministrator-Anmeldeinformationen für die vertrauenswürdige Domäne
deaktivieren. Vertauschen Sie dazu die Werte für NameDerVertrauendenDomäne und
NameDerVertrauenswürdigenDomäne in der Befehlszeilensyntax.
Aktivieren der SID-Filterung
Administrative Berechtigungen
Um diese Schritte ausführen zu können, müssen Sie Mitglied der Gruppe DomänenAdmins oder der Gruppe Organisations-Admins sein.
Aktivieren der SID-Filterung
1. Öffnen Sie eine Eingabeaufforderung.
2. Geben Sie den folgenden Befehl ein, und drücken Sie dann die EINGABETASTE:
Netdom trust NameDerVertrauendenDomäne /domain:
NameDerVertrauenswürdigenDomäne /quarantine:Yes
/userD:Domänenadministratorkonto/passwordD:Domänenadministratorkennwort
Konfiguration von selektiven
Authentifizierungseinstellungen
Trusts that are created between Windows Server 2003 forests can use legacy
authentication settings (settings that were used in Windows 2000 Server) or selective
authentication. Selective authentication is a security setting that can be enabled on
external trusts and forest trusts between Windows Server 2003 forests. Selective
authentication provides Active Directory administrators who manage a trusting forest
more control over which groups of users in a trusted forest can access shared resources
in the trusting forest. Because creating an external trust or forest trust provides a pathway
for all authentication requests between the forests, this increased control is especially
important when administrators need to grant access to shared resources in their
organization’s forest to a limited set of users in another organization’s forest.
For more information about how selective authentication settings work, see “Security
Considerations for Trusts” in the Windows Server 2003 Technical Reference on the
Microsoft Web site (http://go.microsoft.com/fwlink/?LinkId=35413). Alles ENGLISCH!!!!!
Anforderungen
Die nachfolgenden Aufgaben können Sie mit den folgenden Tools ausführen:

Active Directory-Domänen und -Vertrauensstellungen

Netdom.exe
Weitere Informationen zum Kommandozeilentool Netdom finden Sie in der Technischen
Referenz zu Windows Server 2003 unter http://go.microsoft.com/fwlink/?LinkId=41700.
Um diese Aufgabe auszuführen, sind die folgenden Schritte erforderlich:

Aktivieren der selektiven Authentifizierung über eine externe Vertrauensstellung

Aktivierten der selektiven Authentifizierung über eine
Gesamtstrukturvertrauensstellung

Aktivieren der domänenweiten Authentifizierung über eine externe
Vertrauensstellung

Aktivieren der gesamtstrukturweiten Authentifizierung über eine
Gesamtstrukturvertrauensstellung

Zuweisen der Berechtigung „Authentifizierung zulassen“ auf Computern in der
vertrauenden Domäne oder Gesamtstruktur
Aktivieren der selektiven
Authentifizierung über eine externe
Vertrauensstellung
Die selektive Authentifizierung über eine externe Vertrauensstellung schränkt den Zugriff
auf die Benutzer der vertrauten Domäne ein, denen explizit Authentifizierungsrechte für
Computerobjekte (Ressourcencomputer) in der vertrauenden Domäne zugewiesen
wurden. Um diese Rechte zuzuweisen, muss der Administrator diesen Benutzern das
Recht Authentifizierung zulassen in Active Directory zuweisen. Weitere Informationen
finden Sie im Artikel Zuweisen der Berechtigung „Authentifizierung zulassen“ auf
Computern in der vertrauenden Domäne oder Gesamtstruktur. Weitere Informationen zur
selektiven Authentifizierung finden Sie unter
http://go.microsoft.com/fwlink/?LinkId=35413.
Administrative Berechtigungen
Um diese Schritte ausführen zu können, müssen Sie Mitglied der Gruppe DomänenAdmins oder der Gruppe Organisations-Admins sein.
Aktivieren der selektiven Authentifizierung
über eine externe Vertrauensstellung
Mithilfe der Windows-Oberfläche
1. Öffnen Sie das Snap-In Active Directory-Domänen und -Vertrauensstellungen.
2. Klicken Sie im Konsolenbereich mit rechts auf entsprechende Domäne und dann
auf Eigenschaften.
3. Klicken Sie auf der Registerkarte Vertrauensstellungen unter Domänen, denen
diese Domäne vertraut (ausgehende Vertrauensstellungen), oder unter
Domänen, die dieser Domäne vertrauen (eingehende
Vertrauensstellungen), auf die ausgehenden Vertrauensstellungen, die Sie
bearbeiten möchten. Klicken Sie dann auf Eigenschaften.
4. Klicken Sie auf der Registerkarte Authentifizierung auf Selektive
Authentifizierung und dann auf OK.
Anmerkung
Wenn Sie auf Eigenschaften und dann auf die Registerkarte Authentifizierung
klicken, werden nur Authentifizierungseinstellungen für ausgehende
Vertrauensstellungen angezeigt. Um die Einstellungen für eingehende
Vertrauensstellungen zu sehen, müssen Sie sich mit dem entsprechenden
Domänencontroller verbinden.
Aktivierten der selektiven
Authentifizierung über eine
Gesamtstrukturvertrauensstellung
Die selektive Authentifizierung über eine Gesamtstrukturvertrauensstellung schränkt den
Zugriff auf die Benutzer der vertrauten Gesamtstruktur ein, denen explizit
Authentifizierungsrechte für Computerobjekte (Ressourcencomputer) in der vertrauenden
Gesamtstruktur zugewiesen wurden. Um diese Rechte zuzuweisen, muss der
Administrator diesen Benutzern das Recht Authentifizierung zulassen in
Active Directory zuweisen. Weitere Informationen finden Sie im Artikel Zuweisen der
Berechtigung „Authentifizierung zulassen“ auf Computern in der vertrauenden Domäne
oder Gesamtstruktur. Weitere Informationen zur selektiven Authentifizierung finden Sie
unter http://go.microsoft.com/fwlink/?LinkId=35413.
Administrative Berechtigungen
Um diese Schritte ausführen zu können, müssen Sie Mitglied der Gruppe DomänenAdmins (in der Stammdomäne der Gesamtstruktur) oder der Gruppe OrganisationsAdmins sein.
Aktivierten der selektiven Authentifizierung
über eine Gesamtstrukturvertrauensstellung
Mithilfe der Windows-Oberfläche
1. Öffnen Sie das Snap-In Active Directory-Domänen und -Vertrauensstellungen.
2. Klicken Sie im Konsolenbereich mit rechts auf die Stammdomäne und dann auf
Eigenschaften.
3. Klicken Sie auf der Registerkarte Vertrauensstellungen unter Domänen, denen
diese Domäne vertraut (ausgehende Vertrauensstellungen), oder unter
Domänen, die dieser Domäne vertrauen (eingehende
Vertrauensstellungen), auf die ausgehenden Vertrauensstellungen, die Sie
bearbeiten möchten. Klicken Sie dann auf Eigenschaften.
4. Klicken Sie auf der Registerkarte Authentifizierung auf Selektive
Authentifizierung und dann auf OK.
Anmerkung
Wenn Sie auf Eigenschaften und dann auf die Registerkarte Authentifizierung
klicken, werden nur Authentifizierungseinstellungen für ausgehende
Vertrauensstellungen angezeigt. Um die Einstellungen für eingehende
Vertrauensstellungen zu sehen, müssen Sie sich mit dem entsprechenden
Domänencontroller verbinden.
Aktivieren der domänenweiten
Authentifizierung über eine externe
Vertrauensstellung
Die domänenweite Authentifizierung ermöglicht allen Benutzern der vertrauten Domäne
einen uneingeschränkten Zugriff auf Ressourcen der vertrauenden Domäne. Diese
Einstellung ist die Standardeinstellung für externe Vertrauensstellungen. Weitere
Informationen zur domänenweiten Authentifizierung finden Sie unter
http://go.microsoft.com/fwlink/?LinkId=35413.
Administrative Berechtigungen
Um diese Schritte ausführen zu können, müssen Sie Mitglied der Gruppe DomänenAdmins oder der Gruppe Organisations-Admins sein.
Aktivieren der domänenweiten
Authentifizierung über eine externe
Vertrauensstellung
Mithilfe der Windows-Oberfläche
1. Öffnen Sie das Snap-In Active Directory-Domänen und -Vertrauensstellungen.
2. Klicken Sie im Konsolenbereich mit rechts auf die entsprechende Domäne und
dann auf Eigenschaften.
3. Klicken Sie auf der Registerkarte Vertrauensstellungen unter Domänen, denen
diese Domäne vertraut (ausgehende Vertrauensstellungen), oder unter
Domänen, die dieser Domäne vertrauen (eingehende
Vertrauensstellungen), auf die ausgehenden Vertrauensstellungen, die Sie
bearbeiten möchten. Klicken Sie dann auf Eigenschaften.
4. Klicken Sie auf der Registerkarte Authentifizierung auf Domänenweite
Authentifizierung und dann auf OK.
Anmerkung
Wenn Sie auf Eigenschaften und dann auf die Registerkarte Authentifizierung
klicken, werden nur Authentifizierungseinstellungen für ausgehende
Vertrauensstellungen angezeigt. Um die Einstellungen für eingehende
Vertrauensstellungen zu sehen, müssen Sie sich mit dem entsprechenden
Domänencontroller verbinden.
Aktivieren der gesamtstrukturweiten
Authentifizierung über eine
Gesamtstrukturvertrauensstellung
Die gesamtstrukturweite Authentifizierung ermöglicht allen Benutzern der vertrauten
Gesamtstruktur einen uneingeschränkten Zugriff auf Ressourcen der vertrauenden
Gesamtstruktur. Diese Einstellung ist die Standardeinstellung für
Gesamtstrukturvertrauensstellungen. Weitere Informationen hierzu finden Sie unter
http://go.microsoft.com/fwlink/?LinkId=35413.
Administrative Berechtigungen
Um diese Schritte ausführen zu können, müssen Sie Mitglied der Gruppe DomänenAdmins oder der Gruppe Organisations-Admins sein.
Aktivieren der gesamtstrukturweiten
Authentifizierung über eine
Gesamtstrukturvertrauensstellung
Mithilfe der Windows-Oberfläche
1. Öffnen Sie das Snap-In Active Directory-Domänen und -Vertrauensstellungen.
2. Klicken Sie im Konsolenbereich mit rechts auf die Stammdomäne und dann auf
Eigenschaften.
3. Klicken Sie auf der Registerkarte Vertrauensstellungen unter Domänen, denen
diese Domäne vertraut (ausgehende Vertrauensstellungen), oder unter
Domänen, die dieser Domäne vertrauen (eingehende
Vertrauensstellungen), auf die ausgehenden Vertrauensstellungen, die Sie
bearbeiten möchten. Klicken Sie dann auf Eigenschaften.
4. Klicken Sie auf der Registerkarte Authentifizierung auf Gesamtstrukturweite
Authentifizierung und dann auf OK.
Anmerkung
Wenn Sie auf Eigenschaften und dann auf die Registerkarte Authentifizierung
klicken, werden nur Authentifizierungseinstellungen für ausgehende
Vertrauensstellungen angezeigt. Um die Einstellungen für eingehende
Vertrauensstellungen zu sehen, müssen Sie sich mit dem entsprechenden
Domänencontroller verbinden.
Zuweisen der Berechtigung
Authentifizierung zulassen auf
Computern in der vertrauenden Domäne
oder Gesamtstruktur
Damit Benutzer in vertrauten Windows Server 2003-Domänen oder -Gesamtstrukturen in
der Lage sind, auf Ressourcen zuzugreifen, muss diesen das Recht Authentifizierung
zulassen in Active Directory explizit zugewiesen werden. Weitere Informationen finden
Sie unter http://go.microsoft.com/fwlink/?LinkId=35413.
Anmerkung
Die Berechtigung Authentifizierung zulassen kann für Computerobjekte von
Servern unter Windows NT Server 4.0, Windows 2000 Server und
Windows Server 2003 verwendet werden.
Anmerkung
Standardmäßig können nur Mitglieder der Gruppen Kontenoperatoren,
Administratoren, Domänen-Admins, Organisations-Admins und SYSTEM die
Einstellung bearbeiten.
Die folgenden Verfahren müssen von der vertrauenden Domäne aus durchgeführt
werden.
Administrative Berechtigungen
Um dieses Verfahren ausführen zu können, müssen Sie Mitglied der Gruppe DomänenAdmins oder der Gruppe Organisations-Admins sein.
Zuweisen der Berechtigung Authentifizierung
zulassen auf Computern in der vertrauenden
Domäne oder Gesamtstruktur
Mithilfe der Windows-Oberfläche
1. Öffnen Sie Active Directory-Benutzer und -Computer.
2. Klicken Sie im Konsolenbereich auf den Container Computer oder auf den
Container, in dem sich die Computerobjekte befinden.
3. Klicken Sie mit rechts auf das Computerobjekte, auf das Sie den Benutzern der
vertrauten Domäne Zugriff gewähren möchten. Klicken Sie auf Eigenschaften.
4. Klicken Sie auf der Registerkarte Sicherheit auf eine der folgenden
Einstellungen:

Klicken Sie unter Gruppen- oder Benutzernamen auf die Gruppen oder
Benutzer, denen ein Zugriff gewährt werden soll. Klicken Sie auf das
Kontrollkästchen Zulassen neben Authentifizierung zulassen, und klicken
Sie dann auf OK.

Klicken Sie auf Hinzufügen. Geben Sie den Namen des Benutzers ein, dem
Sie Zugriff gewähren möchten. Klicken Sie dann auf OK. Klicken Sie auf das
Kontrollkästchen Zulassen neben Authentifizierung zulassen, und klicken
Sie dann auf OK.
Anhang: Der Neue VertrauensstellungAssistent
Dieses Kapitel beschäftigt sich mit den zwei komplexesten Seiten im Neue
Vertrauensstellung-Assisten:

Richtung der Vertrauensstellung

Seite der Vertrauensstellung
Richtung der Vertrauensstellung
Auf dieser Seite konfiguriert der Administrator, ob Authentifizierungsanfragen von dieser
Domäne zu einer anderen Domäne oder von einer anderen Domäne zu dieser Domäne
oder frei zwischen beiden Domänen geroutet werden sollen. Die folgenden Optionen
stehen zur Verfügung:

Bidirektional: Eine bidirektionale Vertrauensstellung ermöglicht die Authentifizierung
von beiden Domänen oder Gesamtstrukturen aus in der jeweils anderen Domäne
oder Gesamtstruktur.

Unidirektional: eingehend: Eine solche Vertrauensstellung ermöglicht
Authentifizierungsanfragen von Benutzern aus Ihrer Domäne oder Gesamtstruktur für
Ressourcen in der anderen Domäne oder Gesamtstruktur.

Unidirektional: ausgehend: Eine solche Vertrauensstellung ermöglicht
Authentifizierungsanfragen von Benutzern in der anderen Domäne oder
Gesamtstruktur für Ressourcen aus Ihrer Domäne oder Gesamtstruktur.
Bidirektional
Mit dieser Option können alle Benutzer Ressourcen in zwei Domänen oder
Gesamtstrukturen gemeinsam nutzen.
Anmerkung
In der Dokumentation zur Domänen- und Gesamtstrukturvertrauensstellungen
werden seit langem die Begriffe "Vertraut" und "Vertrauend" verwendet. Sie
helfen dem Administrator dabei, die Richtung einer Vertrauensstellung
festzulegen. Diese Terminologie wird zwar weiterhin zur Definition und
Betrachtung von Vertrauensstellungen genutzt, sie weicht jedoch von der im
Assistenten verwendeten Terminologie ab.
Unidirektional: eingehend
Mit dieser Option lassen Sie Authentifizierungsanfragen von Ihrer Domäne oder
Gesamtstruktur für Ressourcen in einer anderen Domäne oder Gesamtstruktur zu.
"Unidirektional" bedeutet hierbei, dass mit dieser Auswahl eine neue unidirektionale
Vertrauensstellung erstellt wird, die Authentifizierungsanfragen nur in eine Richtung
routet (der Zugriff der Benutzer auf die Ressourcen findet in der entgegen gesetzten
Richtung statt). "Eingehend" bezeichnet die Richtung der Vertrauensstellung selbst nicht die Richtung der Authentifizierungsanfragen. Mit anderen Worten: Eine
unidirektionale, eingehende Vertrauensstellung bedeutet, dass Ihre Domäne oder
Gesamtstruktur die Domäne oder Gesamtstruktur ist, die Zugriff auf Ressourcen aus der
anderen Domäne empfängt.
Unidirektional: ausgehend
Mit dieser Option lassen Sie Authentifizierungsanfragen der Benutzer einer anderen
Domäne oder Gesamtstruktur für Ressourcen in Ihrer Domäne oder Gesamtstruktur zu.
"Unidirektional: ausgehend" bedeutet hierbei, dass mit dieser Auswahl eine neue
unidirektionale Vertrauensstellung erstellt wird, die Authentifizierungsanfragen nur in eine
Richtung routet (der Zugriff der Benutzer auf die Ressourcen findet in der entgegen
gesetzten Richtung statt). "Ausgehend" bezeichnet die Richtung der Vertrauensstellung
selbst - nicht die Richtung der Authentifizierungsanfragen. Mit anderen Worten: Eine
unidirektionale, ausgehende Vertrauensstellung bedeutet, dass Ihre Domäne oder
Gesamtstruktur die Domäne oder Gesamtstruktur ist, die Benutzern aus einer anderen
Domäne oder Gesamtstruktur Zugriff auf Ressourcen der eigenen Domäne oder
Gesamtstruktur gewährt.
Seiten der Vertrauensstellung
Unter Windows NT 4.0 und Windows 2000 gab es über die Windows-Oberfläche nur die
Möglichkeit, pro Schritt jeweils eine Seite einer neuen Vertrauensstellung einzurichten.
Unter Windows Server 2003 haben Sie nun auch die Möglichkeit, beide Seiten simultan
einzurichten.
Nur diese Domäne
Mit dieser Option müssen Sie beide Seiten separat erstellen. Das heißt, sie müssen den
Assistenten zweimal ausführen - einmal in jeder Domäne, die Teil der Vertrauensstellung
ist. In diesem Fall müssen Sie auf beiden Seiten das gleiche
Vertrauensstellungskennwort angeben.
Diese Domäne und die angegebene Domäne
Bei dieser Option muss der Administrator entsprechende administrative
Anmeldeinformationen für beide Domänen der Vertrauensbeziehung angeben. Sie
erstellt in einem Schritt beide Seiten der Vertrauensstellung. Das Kennwort wird
automatisch erstellt.
Administration des WindowsZeitdienstes
Die Zeitsynchronisation ist ein kritischer Faktor für den fehlerfreien Betrieb vieler
Windows-Dienste und Anwendungen. Der Windows-Zeitdienst nutzt das NTP-Protokoll
(Network Time Protocol) zur Synchronisation der Computeruhren im Netzwerk. In diesem
Kapitel erfahren Sie mehr zur Administration des Windows-Zeitdienstes unter Microsoft
Windows Server 2003.

Einführung in die Administration des Windows-Zeitdienstes

Verwaltung des Windows-Zeitdienstes
Danksagung
Veröffentlicht: März 2005
Betrifft: Windows Server 2003
Erstellt durch: Microsoft Windows Server User Assistance Team
Autor: Shala Brandolini
Redaktion: Justin Hall
Einführung in die Administration des
Windows-Zeitdienstes
Der Microsoft® Windows Server™ 2003 Windows-Zeitdienst, auch W32Time genannt,
synchronisiert das Datum und die Uhrzeit aller Computer in einem Windows Server 2003Netzwerk.
Zweck des Zeitdienstes ist es, sicherzustellen, dass alle Computer unter Windows 2000
oder neueren Versionen innerhalb einer Organisation die gleiche Zeit verwenden. Um
dies zu garantieren, nutzt der Zeitdienst eine Hierarchie, über die eine Autorität festgelegt
ist und Schleifen verhindert werden.
Standardmäßig nutzen Windows-Computer die folgenden Hierarchien:

Alle Clientcomputer nominieren den authentifizierenden Domänencontroller als
eingehenden Zeitpartner.

Alle Mitgliedserver gehen wie Clientcomputer vor.

Domänencontroller nominieren den PDC-Betriebsmaster oder den übergeordneten
Domänencontroller als eingehenden Zeitpartner.

Alle PDC-Betriebsmaster folgen bei der Auswahl ihrer eingehenden Zeitpartner der
Domänenhierarchie.
Durch diese Hierarchie ist der PDC in der Stammdomäne der Gesamtstruktur der
autorisierende Zeitgeber der Organisation. Dieser kann die genaue Zeit über einen
externen NTP-Server ermitteln (zum Beispiel über ein Hardwaregerät oder über das
Internet).
Wenn Sie eine äußerst genaue Zeitsynchronisation benötigen, jedoch keine Verbindung
zu einem externen Zeitgeber aufbauen können, dann empfehlen wir, entsprechende
Hardware (zum Beispiel einen GPS-Empfänger) zu verwenden.
Weitere Informationen zum Windows-Zeitdienst und eine vollständige Dokumentation
zum w32tm-Tool finden Sie unter http://go.microsoft.com/fwlink/?LinkId=40648.
Verwaltung des Windows-Zeitdienst
Die erste Konfiguration des Windows 2003-Zeitdienstes (W32Time) wird bei der
Bereitstellung der Stammdomäne der Active Directory-Gesamtstruktur durchgeführt.
Danach sind nur wenige tägliche Verwaltungsaufgaben notwendig. Wenn Sie jedoch
Änderungen am Netzwerk vorgenommen haben, zum Beispiel das Hinzufügen von
Clients, das Verschieben des PDC-Emulators oder das Ändern des Zeitgebers, kann es
notwendig werden, eine oder mehrere der folgenden Aufgaben auszuführen.

Konfiguration eines Zeitgebers für die Gesamtstruktur

Konfiguration von Windows-Clients für die Zeitsynchronisation

Wiederherstellen der Standardeinstellungen des Windows-Zeitdienstes
Konfiguration eines Zeitgebers für die
Gesamtstruktur
Es gibt normalerweise zwei Situationen, in denen eine Neukonfiguration des Zeitdienstes
auf dem PDC-Emulator notwendig wird:

Nach dem Verschieben der Rolle auf einen anderen Computer. In diesem Fall
müssen Sie den Zeitdienst auf dem neuen Computer konfigurieren.

Nach einer Änderung des Zeitgebers des PDC-Emulators. Zum Beispiel, wenn Sie
von einem externen Zeitgeber zu einem Hardwaregerät wechseln.
Gehen Sie bei der Konfiguration des Zeitgebers für den PDC-Emulator der
Stammdomäne Ihrer Gesamtstruktur nach den folgenden Best Practices und in dieser
Reihenfolge vor:

Installieren Sie das Hardwaregerät (zum Beispiel einen GPS-Empfänger) als
Zeitgeber für den PDC.

Konfigurieren Sie den Zeitdienst für eine Synchronisation mit einem externen
Zeitgeber.
Der Zeitserver von Microsoft (time.windows.com) nutzt das NIST (National Institute of
Standards and Technology in Boulder, Colorado) als externen Zeitgeber. Das NIST
stellt den Automated Computer Time Service (ACTS) zur Verfügung, mit dem eine
Computeruhr mit einer Abweichung von nicht mehr als zehn Millisekunden
konfiguriert werden kann.
Anmerkung
Da die Synchronisation mit einem externen Zeitgeber nicht authentifiziert wird, ist
sie als nicht sehr sicher zu betrachten.
Üblicherweise ist der PDC der Stammdomäne der autorisierende Zeitgeber für die
Gesamtstruktur. Er nutzt normalerweise einen externen Zeitgeber. Sollte dies nicht der
Fall sein, konfigurieren Sie ihn für eine Synchronisation mit der internen Hardwareuhr.
Die Rolle des PDC-Emulators kann auf andere Computer verschoben werden. Bei jedem
Verschieben muss auf dem neuen PDC eine Neukonfiguration des Zeitdienstes
durchgeführt werden. Auf dem alten PDC muss die Konfiguration entfernt werden. Um
diesen Aufwand zu vermeiden, konfigurieren Sie einen Domänencontroller in der
Stammdomäne, der nicht als PDC-Emulator arbeitet, als Zeitgeber. In diesem Fall spielt
es keine Rolle, welcher Computer als PDC-Emulator arbeitet.
Wenn Sie sich für die Implementierung einer anderen Zeitsynchronisation, die ebenfalls
mit NTP arbeitet, entscheiden, müssen Sie den Windows-Zeitdienst deaktivieren. Alle
NTP-Server verwenden UDP-Port 123. Wenn W32Time ausgeführt wird, ist dieser Port
belegt.
Anforderungen
Um die unten beschriebenen Aufgaben ausführen zu können, sind die folgenden Tools
notwendig:

W32tm.exe

Snap-In Dienste: Wenn Sie den Zeitdienst deaktivieren müssen.
Mit den folgenden Verfahren können Sie einen Zeitgeber für Ihre Gesamtstruktur
konfigurieren:
1. Konfigurieren des Windows-Zeitdienstes auf dem PDC-Emulator
2. Wenn Sie den PDC-Emulator auf einen anderen Domänencontroller verschieben,
führen Sie die Aufgabe Ändern der Windows-Zeitdienst-Konfiguration auf dem alten
PDC-Emulator aus.
3. Wenn Sie davon ausgehen, dass der PDC-Emulator irgendwann auf einen anderen
Computer verschoben wird und Sie keine Neukonfiguration des Zeitdienstes
durchführen möchten, führen Sie die Aufgabe Konfiguration eines
Domänencontrollers in der übergeordneten Domäne als Zeitgeber aus.
4. Wenn der PDC-Emulator nicht zur Verwendung eines anderen Zeitgebers
konfiguriert ist und als Zeitgeber für die Domäne arbeitet, führen Sie die Aufgabe
Konfiguration des PDC-Emulators für eine Synchronisation mit der internen
Hardwareuhr aus.
5. Wenn Sie ein anderes Produkt zur Zeitsynchronisation verwenden, das ebenfalls mit
NTP arbeitet, dann führen Sie die Aufgabe Deaktivieren des Windows-Zeitdienstes
aus.
Konfigurieren des Windows-Zeitdienstes
auf dem PDC-Emulator
Wenn Sie eine neue Stammdomäne für die Gesamtstruktur erstellen oder den PDCEmulator verschieben, müssen Sie den Windows-Zeitdienst auf dem PDC-Emulator
konfigurieren. Wenn Sie den PDC-Emulator verschieben, müssen Sie außerdem die
Aufgabe Ändern der Windows-Zeitdienst-Konfiguration auf dem alten PDC-Emulator
ausführen.
Bevor Sie den Zeitdienst konfigurieren können, sollten Sie zum Testen der NTPKommunikation die Differenz zwischen der lokalen Zeit und dem Zeitgeber ermitteln.
Überwachen Sie nach der Konfiguration des Zeitdienstes das Systemprotokoll auf
W32Time-Fehler.
Anmerkung
Weitere Informationen zum Befehl w32tm erhalten Sie mit dem Befehl w32tm /?
oder unter http://go.microsoft.com/fwlink/?LinkId=42984.
Administrative Berechtigungen
Um dieses Verfahren lokal auf dem PDC-Emulator ausführen zu können, müssen Sie
Mitglied der Gruppe Administratoren sein. Um das Verfahren von einem
Remotecomputer ausführen zu können, müssen Sie Mitglied der Gruppe DomänenAdmins sein.
Konfigurieren des Windows-Zeitdienstes auf dem PDC-Emulator
1. Öffnen Sie eine Eingabeaufforderung.
2. Mit dem folgenden Befehl zeigen Sie die Differenz zwischen der lokalen Zeit und
der des Zeitgebers an:
w32tm /stripchart /computer:ziel /samples:n/dataonly
Value
Definition
Ziel
DNS-Name oder IP-Adresse des NTPServers, der als Zeitgeber arbeiten soll
(zum Beispiel time.windows.com).
n
Anzahl der Zeitwerte, die vom Zeitgeber
zurückgegeben werden sollen.
3. Öffnen Sie UDP-Port 123 für ausgehenden Netzwerkverkehr.
4. Öffnen Sie UDP-Port 123 (oder einen anderen Port, wenn ein anderer Port
konfiguriert wurde) für eingehenden NTP-Netzwerkverkehr.
5. Mit dem folgenden Befehl konfigurieren Sie den Zeitdienst:
w32tm /config /manualpeerlist:peers /syncfromflags:manual /reliable:yes
/update
Peers ist eine Liste mit DNS-Namen oder IP-Adressen der NTP-Zeitgeber, mit
denen sich der PDC-Emulator synchronisiert. Wenn Sie mehrere Zeitgeber
angeben, trennen Sie diese mit Leerzeichen und schließen Sie die Namen in
Anführungszeichen ein.
Ändern der Windows-ZeitdienstKonfiguration auf dem alten PDCEmulator
Mit dem folgenden Verfahren ändern Sie die Windows-Zeitdienst-Konfiguration auf dem
alten PDC-Emulator nach dem Verschieben der Rolle auf einen neuen
Domänencontroller. Der alte PDC-Emulator synchronisiert seine Zeit automatisch über
die Domänenhierarchie.
Anmerkung
Weitere Informationen zum Befehl w32tm erhalten Sie mit dem Befehl w32tm /?
oder unter http://go.microsoft.com/fwlink/?LinkId=42984.
Administrative Berechtigungen
Um dieses Verfahren lokal auf dem PDC-Emulator ausführen zu können, müssen Sie
Mitglied der Gruppe Administratoren sein. Um das Verfahren von einem
Remotecomputer ausführen zu können, müssen Sie Mitglied der Gruppe DomänenAdmins sein.
Ändern der Windows-Zeitdienst-Konfiguration auf dem alten PDC-Emulator
1. Öffnen Sie eine Eingabeaufforderung.
2. Geben Sie den folgenden Befehl ein, und drücken Sie die EINGABETASTE:
w32tm /config /syncfromflags:domhier /reliable:no /update
3. Geben Sie den folgenden Befehl ein, und drücken Sie die EINGABETASTE:
net stop w32time
4. Geben Sie den folgenden Befehl ein, und drücken Sie die EINGABETASTE:
net start w32time
Konfiguration eines Domänencontrollers
in der übergeordneten Domäne als
Zeitgeber
Verwenden Sie dieses Verfahren, wenn Sie davon ausgehen, dass der PDC-Emulator
irgendwann auf einen anderen Computer verschoben wird und Sie keine
Neukonfiguration des Zeitdienstes durchführen möchten. Wenn Sie den
Domänencontroller als Zeitgeber für die Stammdomäne konfigurieren, führen Sie
zusätzlich das Verfahren Ändern der Windows-Zeitdienst-Konfiguration auf dem alten
PDC-Emulator aus. Auch wenn Sie den PDC nicht verschoben haben, müssen Sie den
bestehenden PDC so konfigurieren, dass er nicht weiterhin als Zeitgeber für die Domäne
arbeitet.
Anmerkung
Weitere Informationen zum Befehl w32tm erhalten Sie mit dem Befehl w32tm /?
oder unter http://go.microsoft.com/fwlink/?LinkId=42984.
Administrative Berechtigungen
Um dieses Verfahren lokal auf dem Domänencontroller ausführen zu können, müssen
Sie Mitglied der Gruppe Administratoren sein. Um das Verfahren von einem
Remotecomputer ausführen zu können, müssen Sie Mitglied der Gruppe DomänenAdmins sein.
Konfiguration eines Domänencontrollers in der übergeordneten Domäne als
Zeitgeber
1. Öffnen Sie eine Eingabeaufforderung.
2. Geben Sie den folgenden Befehl ein, und drücken Sie die EINGABETASTE:
W32tm /config /reliable:yes /update
Konfiguration des PDC-Emulators für
eine Synchronisation mit der internen
Hardwareuhr
Mit dem folgenden Verfahren konfigurieren Sie den PDC in der Stammdomäne für eine
Synchronisation mit der internen Hardwareuhr und als Zeitgeber der Stammdomäne der
Gesamtstruktur.
Anmerkung
Weitere Informationen zum Befehl w32tm erhalten Sie mit dem Befehl w32tm /?
oder unter http://go.microsoft.com/fwlink/?LinkId=42984.
Administrative Berechtigungen
Um dieses Verfahren lokal auf dem PDC-Emulator ausführen zu können, müssen Sie
Mitglied der Gruppe Administratoren sein. Um das Verfahren von einem
Remotecomputer ausführen zu können, müssen Sie Mitglied der Gruppe DomänenAdmins sein.
Konfiguration des PDC-Emulators für eine Synchronisation mit der internen
Hardwareuhr
1. Öffnen Sie eine Eingabeaufforderung.
2. Geben Sie den folgenden Befehl ein, und drücken Sie die EINGABETASTE:
w32tm /config /syncfromflags:domhier /reliable:yes /update
3. Geben Sie den folgenden Befehl ein, und drücken Sie die EINGABETASTE:
net stop w32time
4. Geben Sie den folgenden Befehl ein, und drücken Sie die EINGABETASTE:
net start w32time
Deaktivieren des Windows-Zeitdienstes
Mit diesem Verfahren deaktivieren Sie den Windows-Zeitdienst (zum Beispiel, wenn Sie
sich für die Implementierung eines anderen Zeitdienstes entscheiden).
Administrative Berechtigungen
Um dieses Verfahren auf dem lokalen Computer ausführen zu können, müssen Sie
Mitglied der Gruppe Administratoren auf dem PDC-Emulator sein. Um das Verfahren von
einem Remotecomputer ausführen zu können, müssen Sie Mitglied der Gruppe
Domänen-Admins sein.
To Deaktivieren des Windows-Zeitdienst
1. Öffnen Sie das Snap-In Dienste.
2. Klicken Sie mit recht auf Windows-Zeitgeber und dann auf Eigenschaften.
3. Wählen Sie im Feld Starttyp den Wert Deaktiviert aus.
4. Klicken Sie auf OK.
Konfiguration von Windows-Clients für
die Zeitsynchronisation
Es gibt mehrere Windows-Clients, die keine automatische Synchronisation mit der Active
Directory-Domäne durchführen:

Clientcomputer, die in einer Pre-Windows 2000-Domänenumgebung ausgeführt
werden.

Clientcomputer, die in einer UNIX-Umgebung ausgeführt werden.

Computer, die keiner Domäne angehören.
Diese Computer müssen so konfiguriert werden, dass Sie ihre Zeit von einem
bestimmten Zeitgeber beziehen - zum Beispiel dem Domänencontroller der Domäne.
Wenn Sie keinen Zeitgeber konfigurieren, synchronisieren sich diese Computer mit der
internen Hardwareuhr.
Anforderungen
Um die unten beschriebene Aufgabe ausführen zu können, sind die folgenden Tools
erforderlich:

W32tm
Mit den folgenden Verfahren können Sie die Zeit von Windows-Clients synchronisieren:

Konfigurieren eines manuellen Zeitgebers für einen bestimmten Clientcomputer
•

oder
Konfigurieren eines Clientcomputers für die automatische DomänenZeitsynchronisation
Konfigurieren eines manuellen
Zeitgebers für einen bestimmten
Clientcomputer
Bevor Sie den Zeitdienst konfigurieren können, sollten Sie zum Testen der NTPKommunikation die Differenz zwischen der lokalen Zeit und dem Zeitgeber ermitteln.
Überwachen Sie nach der Konfiguration des Zeitdienstes das Systemprotokoll auf
W32Time-Fehler.
Anmerkung
Weitere Informationen zum Befehl w32tm erhalten Sie mit dem Befehl w32tm /?
oder unter http://go.microsoft.com/fwlink/?LinkId=42984.
Administrative Berechtigungen
Um dieses Verfahren ausführen zu können, müssen Sie Mitglied der Gruppe
Administratoren auf dem lokalen Computer sein. Um das Verfahren von einem
Remotecomputer ausführen zu können, müssen Sie Mitglied der Gruppe DomänenAdmins sein.
Konfigurieren eines manuellen Zeitgebers für einen bestimmten
Clientcomputers
1. Öffnen Sie eine Eingabeaufforderung.
2. Mit dem folgenden Befehl zeigen Sie die Differenz zwischen der lokalen Zeit und
der des Zeitgebers an:
w32tm /stripchart /computer:ziel /samples:n/dataonly
Value
Definition
Ziel
DNS-Name oder IP-Adresse des NTPServers, der als Zeitgeber arbeiten soll
(zum Beispiel time.windows.com).
n
Anzahl der Zeitwerte, die vom Zeitgeber
zurückgegeben werden sollen.
3. Öffnen Sie UDP-Port 123 für ausgehenden Netzwerkverkehr.
4. Öffnen Sie UDP-Port 123 (oder einen anderen Port, wenn ein anderer Port
konfiguriert wurde) für eingehenden NTP-Netzwerkverkehr.
5. Mit dem folgenden Befehl konfigurieren Sie den Zeitdienst:
w32tm /config /manualpeerlist:peers /syncfromflags:manual /reliable:yes
/update
Peers ist eine Liste mit DNS-Namen oder IP-Adressen der NTP-Zeitgeber, mit
denen sich der PDC-Emulator synchronisiert. Wenn Sie mehrere Zeitgeber
angeben, trennen Sie diese mit Leerzeichen und schließen Sie die Namen in
Anführungszeichen ein.
Konfigurieren eines Clientcomputers für
die automatische DomänenZeitsynchronisation
Einige Computer, die einer Domäne beitreten, können mit einem manuellen Zeitgeber
konfiguriert sein. Mit dem folgenden Verfahren konfigurieren Sie diese Computer zur
Synchronisation mit der Domäne.
Anmerkung
Weitere Informationen zum Befehl w32tm erhalten Sie mit dem Befehl w32tm /?
oder unter http://go.microsoft.com/fwlink/?LinkId=42984.
Administrative Berechtigungen
Um dieses Verfahren ausführen zu können, müssen Sie Mitglied der Gruppe
Administratoren auf dem lokalen Computer sein. Um das Verfahren von einem
Remotecomputer ausführen zu können, müssen Sie Mitglied der Gruppe DomänenAdmins sein.
Konfigurieren eines Clientcomputers für die automatische DomänenZeitsynchronisation
1. Öffnen Sie eine Eingabeaufforderung.
2. Geben Sie den folgenden Befehl ein, und drücken Sie die EINGABETASTE:
w32tm /config /syncfromflags:domhier /update
3. Geben Sie den folgenden Befehl ein, und drücken Sie die EINGABETASTE:
net stop w32time
4. Geben Sie den folgenden Befehl ein, und drücken Sie die EINGABETASTE:
net start w32time
Wiederherstellen der
Standardeinstellungen des WindowsZeitdienstes
Wenn die Einstellungen des Zeitdienstes fehlerhaft konfiguriert sind, können Sie diese
auf die Standardeinstellungen zurücksetzen.
Anforderungen
Um die unten beschriebenen Aufgaben ausführen zu können, sind die folgenden Tools
notwendig:

W32tm.exe
Mit dem folgenden Verfahren können Sie den Windows-Zeitdienst lokal auf die
Standardeinstellungen zurücksetzen:

Zurücksetzen des Windows-Zeitdienstes auf dem lokalen Computer auf die
Standardeinstellungen
Zurücksetzen des Windows-Zeitdienstes
auf dem lokalen Computer auf die
Standardeinstellungen
Anmerkung
Weitere Informationen zum Befehl w32tm erhalten Sie mit dem Befehl w32tm /?
oder unter http://go.microsoft.com/fwlink/?LinkId=42984.
Administrative Berechtigungen
Um dieses Verfahren ausführen zu können, müssen Sie Mitglied der Gruppe
Administratoren auf dem lokalen Computer sein. Um das Verfahren von einem
Remotecomputer ausführen zu können, müssen Sie Mitglied der Gruppe DomänenAdmins sein.
Zurücksetzen des Windows-Zeitdienstes auf dem lokalen Computer auf die
Standardeinstellungen
1. Öffnen Sie eine Eingabeaufforderung.
2. Geben Sie den folgenden Befehl ein, und drücken Sie die EINGABETASTE:
net stop w32time
3. Geben Sie den folgenden Befehl ein, und drücken Sie die EINGABETASTE:
w32tm /unregister
4. Geben Sie den folgenden Befehl ein, und drücken Sie die EINGABETASTE:
w32tm /register
5. Geben Sie den folgenden Befehl ein, und drücken Sie die EINGABETASTE:
net start w32time
SYSVOL-Administration
In diesem Kapitel finden Sie Informationen zur Administration der SYSVOL-Freigabe von
Active Directory unter Microsoft Windows Server 2003.
Das Kapitel ist in die folgenden Abschnitte aufgeteilt:

Einführung in die Administration von SYSVOL

Verwaltung von SYSVOL
Danksagung
Veröffentlicht: März2005
Betrifft: Windows Server 2003
Erstellt durch: Microsoft Windows Server User Assistance Team
Autor: Mary Hillman
Redaktion: Jim Becker
Einführung in die Administration von
SYSVOL
Das Windows Server 2003 System Volume (SYSVOL) ist eine Sammlung von Ordnern
und Bereitstellungspunkten im Dateisystem, die es auf jedem Domänencontroller einer
Domäne gibt. SYSVOL ist der Standardspeicherort für wichtige Elemente aus
Gruppenrichtlinienobjekten und Scripts. Der Dateireplikationsdienst (File Replication
Service - FRS) kann sie über diesen Weg auf die anderen Domänencontroller der
Domäne verteilen.
Anmerkung
Nur die Gruppenrichtlinienvorlage (Group Policy Template - GPT) wird über
SYSVOL repliziert. Der Gruppenrichtliniencontainer (Group Policy Container GPC) wird über die Active Directory-Replikation repliziert. Damit die
Gruppenrichtlinieneinstellungen effektiv werden, müssen sich beide
Komponenten auf einem Domänencontroller befinden.
Der FRS überwacht SYSVOL. Wenn eine Änderung an einer in SYSVOL gespeicherten
Datei auftritt, repliziert FRS diese automatisch an die SYSVOL-Ordner auf den anderen
Domänencontrollern.
Im täglichen Betrieb läuft dies automatisch ab. Es ist normalerweise kein Eingriff durch
den Administrator notwendig. Gelegentlich kann es jedoch sein, dass bei
Netzwerkänderungen einige Wartungsarbeiten ausgeführt werden sollten.
In diesem Kapitel werden die grundlegenden Aufgaben beschrieben, die zur Verwaltung
von SYSVOL gehören.
Grundlegende Überlegungen zur Administration von SYSVOL
Stellen Sie sicher, dass der FRS die SYSVOL-Daten korrekt repliziert und es genügend
Speicherplatz gibt. Implementieren Sie eine Überwachung, mit der Situationen mit zu
wenig verfügbarem Speicherplatz erkannt werden. Ein praktisches Tool hierzu ist
Ultrasound (Sie können das bei www.microsoft.com herunterladen - suchen Sie einfach
nach dem Betriff Ultrasound).
Weitere Schlüsselfaktoren für die Verwaltung von SYSVOL:

Kapazität
Abhängig von der Konfiguration Ihrer Domäne kann SYSVOL eine große Menge an
Festplattenplatz benötigen. Während der ersten Bereitstellung kann SYSVOL zwar den
benötigten Speicherplatz reservieren, aber trotzdem kann es sein, dass durch ein
Anwachsen Ihres Active Directory irgendwann nicht mehr genügend Speicherplatz zur
Verfügung steht.
Wenn das passiert, ermitteln Sie den Grund für diesen Zustand. Liegt es an zu wenig
physischen Speicherplatz auf dem Datenträger, oder schränkt eine
Registrierungseinstellung die Größe des Stagingbereiches ein? Statt SYSVOL zu
verschieben, können Sie zum Beispiel den Stagingbereich vergrößern, indem Sie die
entsprechende Einstellung ändern. Dieses Verfahren ist weit weniger aufwendig als das
Verschieben von SYSVOL.
 Leistung
Jede Änderung an SYSVOL wird automatisch an die anderen Domänencontroller
repliziert. Wenn sich die in SYSVOL gespeicherten Dateien regelmäßig ändern, steigt
auch der Replikationsaufwand. Hostet das Volumen auch andere Systemdateien (zum
Beispiel die Verzeichnisdatenbank oder die Auslagerungsdatei), dann kann sich dies
zusammen mit dem erhöhten Replikationsaufwand auf die Leistung des Servers
auswirken.

Hardwarewartung
Systemarbeiten, wie zum Beispiel das Entfernen einer Festplatte, können dazu führen,
dass Sie SYSVOL verschieben müssen. Selbst wenn sich solche Arbeiten auf andere
Festplatten beziehen, sollten Sie auf jeden Fall sicherstellen, dass das Systemvolumen
nicht ebenfalls betroffen ist (zum Beispiel könnten sich die Laufwerksbuchstaben
ändern). Der FRS findet SYSVOL mithilfe von Zeigern, die im Verzeichnis und in der
Registrierung gespeichert sind. Wenn sich der Laufwerksbuchstabe ändert oder
Festplatten entfernt oder hinzugefügt werden, werden diese Zeiger nicht automatisch
aktualisiert.

Sicherung von Gruppenrichtlinienobjekten (Group Policy Objects - GPOs)
Der erfolgreiche Betrieb von Gruppenrichtlinien hängt in hohem Maße vom zuverlässigen
Betrieb von SYSVOL ab. Einige Schlüsselkomponenten von GPOs werden in SYSVOL
gespeichert (im Unterverzeichnis Policies). Es ist grundlegend wichtig, dass diese mit
den entsprechenden Komponenten in Active Directory synchronisiert bleiben. Daher ist
die Sicherung der SYSVOL-Komponenten nicht als vollständige Sicherung von GPOs
anzusehen. Über die Gruppenrichtlinienverwaltungskonsole (Group Policy Management
Console - GPMC) stehen grafische und scriptbasierende Verfahren zur Sicherung von
GPOs zur Verfügung. Direkt nachdem Sie eine neue Domäne eingerichtet haben, sollten
die GPOs Default Domain Policy und Default Domain Controller Policy gesichert werden.
Dies sollte außerdem nach jeder Änderung geschehen.
Die SYSVOL-Ordnerstruktur
Bevor Sie versuchen, einen Teil oder das gesamte Systemvolumen zu verschieben,
sollten Sie über ein klares Verständnis der Ordnerstruktur und der Beziehungen der
Ordner und den in der Registrierung und dem Verzeichnis gespeicherten
Pfadinformationen verfügen. Wenn Ordner verschoben werden, muss auch jeder
entsprechende gespeicherte Parameter geändert werden. Außerdem gibt es in der
Ordnerstruktur Bereitstellungspunkte, die ebenfalls aktualisiert werden müssen.
Das Pflegen der Beziehungen zwischen Ordnern, Bereitstellungspunkten und
gespeicherten Parametern ist beim Verschieben von SYSVOL also sehr wichtig. Wenn
Sie dies nicht durchführen, kann das dazu führen, dass Dateien nicht oder fehlerhaft
repliziert werden (ohne dass der FRS Fehler anzeigt, weil er zum Beispiel einfach am
falschen Speicherort nach zu replizierenden Dateien sucht).
Die vom Systemvolumen verwendete Ordnerstruktur nutzt Bereitstellungspunkte.
Bereitstellungspunkte sehen wie normale Ordner aus und verhalten sich auch so (im
Windows Explorer sind sie nicht von normalen Ordnern zu unterscheiden) - es sind
jedoch keine Ordner. Ein Bereitstellungspunkt ist eine Verknüpfung mit einem anderen
Ordner. Wenn er von einem Programm geöffnet wird, leitet er das Programm an den
Ordner, auf den er verweist, um. Dieser Vorgang ist für Benutzer und Anwendungen
vollständig transparent.
Wenn Sie zum Beispiel zwei Ordner erstellen (C:\Folder1 und C:\Folder2) und dann
einen Bereitstellungspunkt mit dem Namen C:\Folder3 erstellen, der auf Folder1
verweist, dann werden im Windows Explorer die folgenden drei Ordner angezeigt:
\Folder1
\Folder2
\Folder3
Wenn Sie Folder3 öffnen, wird der Windows Explorer direkt an Folder1 umgeleitet und
zeigt dessen Inhalte. Sie werden nicht über diesen Vorgang benachrichtigt. Wenn Sie
sich den Inhalt von Folder1 ansehen, finden Sie exakt die gleichen Inhalte wie unter
Folder3. Wenn Sie die Verzeichnisse in einer Eingabeaufforderung auflisten, werden alle
drei angezeigt. Die ersten beiden sind vom Typ <DIR>, und Folder3 ist vom Typ
<JUNCTION>.
Anmerkung
Zum Erstellen von Bereitstellungspunkten benötigen Sie das Tool Linkd.exe aus
dem Windows 2000 Server Resource Kit.
Standardmäßig befindet sich das Systemvolumen im Ordner %systemroot%\SYSVOL. In
diesem Ordner kann sich eine Vielzahl von Unterordnern befinden - abhängig davon, wie
der FRS in Ihrem Netzwerk genutzt wird. Wenn Sie Ordner verschieben, stellen Sie
sicher, dass alle Ordner verschoben werden (inklusive der versteckten Ordner). Beim
Verschieben müssen Sie die ersten drei Unterebenen in SYSVOL besonders beachten.
Dort befinden sich Bereitstellungspunkte und Einstellungen. Zu diesen drei Unterebenen
gehören:

%systemroot%\SYSVOL

%systemroot%\SYSVOL\Domäne

%systemroot%\SYSVOL\Domäne\DO_NOT_REMOVE_Ntfrs_ Preinstalled_Directory

%systemroot%\SYSVOL\Domäne\Policies

%systemroot%\SYSVOL\Domäne\Scripts

%systemroot%\SYSVOL\Staging

%systemroot%\SYSVOL\Staging\Domäne

%systemroot%\SYSVOL\Staging Areas

%systemroot%\SYSVOL\Staging Areas FQDN

%systemroot%\SYSVOL\Sysvol

%systemroot%\SYSVOL\Sysvol FQDN
(Wobei FQDN der voll qualifizierte Domänenname der Domäne ist, die der
Domänencontroller hostet)
Anmerkung
Wenn Ordner nicht angezeigt werden, klicken Sie auf Extras, Ordneroptionen
und dann auf die Registerkarte Ansicht. Aktivieren Sie die Option Versteckte
Dateien und Ordner anzeigen.
Wenn Sie die Ordner mit dem Windows Explorer betrachten, werden sie als normale
Ordner angezeigt. In der Eingabeaufforderung werden jedoch zwei spezielle Ordner
angezeigt (vom Typ <JUNCTION>). Diese beiden Ordner sind Bereitstellungspunkte. Der
Bereitstellungspunkt in %systemroot%\SYSVOL\Sysvol verweist auf
%systemroot%\SYSVOL\Domäne. Der Bereitstellungspunkt in
%systemroot%\SYSVOL\Staging Areas verweist auf
%systemroot%\SYSVOL\Staging\Domäne. Wenn Sie den Pfad, auf den die
Bereitstellungspunkte verweisen, ändern, müssen Sie die Bereitstellungspunkt ebenfalls
ändern.
Neben diesen Bereitstellungspunkten gibt es auch in der Registrierung und im
Verzeichnis Verweise auf Ordner. Diese Verweise enthalten zum Beispiel Pfade, die
ebenfalls geändert werden müssen. Der FRS verwendet zwei Werte aus dem
Verzeichnis. Der erste Wert, fRSRootPath, verweist auf den Speicherort der Richtlinien
und Scripte. Standardmäßig ist dies %systemroot%\SYSVOL\Domäne. Der zweite Wert,
fRSStagingPath, verweist auf die Ordner, die als Stagingbereich genutzt werden.
Standardmäßig ist dies %systemroot%\SYSVOL\Staging\Domäne. Der NetLogon-Dienst
verwendet Parameter aus der Registrierung, um den Speicherort der Ordner zu finden,
die zur Erstellung der SYSVOL- und NETLOGON-Freigabepunkte notwendig sind.
Standardmäßig ist die %systemroot%\SYSVOL\Sysvol. Wenn Sie die Pfade dieser
Ordner ändern, müssen die entsprechenden Werte ebenfalls geändert werden.
Wenn Sie SYSVOL verschieben, dann verschieben Sie erst die gesamte Ordnerstruktur
an einen neuen Speicherort. Aktualisieren Sie dann alle Bereitstellungspunkte und
Parameter. Optional können Sie den Stagingbereich verschieben und den Rest des
Systemvolumens am alten Speicherort belassen. In diesem Fall müssen Sie den
Parameter fRSStagingPath im Verzeichnis und den Bereitstellungspunkt unter
%systemroot%\SYSVOL\staging areas ändern.
Verwaltung von SYSVOL
Im diesem Abschnitt werden die folgenden Verwaltungsaufgaben für SYSVOL
beschrieben:

Ändern des für den Stagingbereich reservierten Speicherplatzes

Verschieben des Stagingbereichs

Manuelles Verschieben von SYSVOL

Aktualisierung des Systemvolumen-Pfades

Wiederherstellen und Wiederaufbauen von SYSVOL
Ändern des für den Stagingbereich
reservierten Speicherplatzes
Der Stagingbereich speichert Dateien, bevor diese repliziert werden, und gerade über
eine Replikation empfangene Dateien. Auch wenn der FRS die Daten und Attribute von
replizierten Dateien komprimiert, kann es sein, dass eine relativ große Menge an
Festplattenplatz für den Stagingbereich notwendig ist.
Standardmäßig ist der Stagingbereich 660 MB groß. Seine Minimalgröße beträgt zehn
MB, und die Maximalgröße zwei TB Sie können die Größe in Kilobyte (KB) über den
Registrierungseintrag
HKEY_Local_Machine\System\CurrentControlSet\Services\NtFrs\Parameters definieren.
Weitere Informationen hierzu finden Sie im Artikel 329491 in der Microsoft Knowledge
Base.
Anforderungen
Um die unten beschriebenen Aufgaben ausführen zu können, sind die folgenden Tools
notwendig:

Net.exe

Regedit.exe

Ereignisanzeige
Um die Aufgabe auszuführen, sind die folgenden Verfahren in der unten genannten
Reihenfolge notwendig:
1. Anhalten des Dateireplikationsdienstes
2. Ändern des vom Staging Area-Ordner belegten Speicherplatzes
3. Starten des Dateireplikationsdienstes
Anhalten des Dateireplikationsdienstes
Mit diesem Verfahren können Sie den Dateireplikationsdienst anhalten.
Administrative Berechtigungen
Um die Aufgabe durchführen zu können, müssen Sie Mitglied der Gruppe DomänenAdmins sein.
Anhalten des Dateireplikationsdienstes
1. Öffnen Sie eine Eingabeaufforderung.
2. Führen Sie den folgenden Befehl aus:
net stop ntfrs
Ändern des vom Staging Area-Ordner
belegten Speicherplatzes
Vorsicht
Der Registrierungseditor umgeht die normalen Sicherheitsfunktionen. Sie können
so Einstellungen vornehmen, die das System beschädigen können oder sogar
dafür sorgen können, dass Windows neu installiert werden muss. Sichern Sie vor
einer Bearbeitung der Registrierung den Systemstatus. Weitere Informationen
hierzu finden Sie unter: Administering Active Directory Backup and Restore.
Administrative Berechtigungen
Um dieses Verfahren ausführen zu können, müssen Sie Mitglied der Gruppe DomänenAdmins oder der Gruppe Organisations-Admins sein.
Ändern des vom Staging Area-Ordner belegten Speicherplatzes
1. Klicken Sie auf Start und dann auf Ausführen.
2. Geben Sie den Befehl regedit ein, und drücken Sie Enter.
3. Navigieren Sie zu
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NtFrs\Parame
ters.
4. Klicken Sie doppelt auf Staging Space Limit in KB.
5. Wählen Sie unter Basis auf Dezimal.
6. Geben Sie unter Wert: einen Wert zwischen 10000 und 2000000000 ein.
Verwenden Sie keine Kommas. Klicken Sie auf OK.
7. Schließen Sie den Registrierungseditor.
Starten des Dateireplikationsdienstes
Administrative Berechtigungen
Um das unten aufgeführte Verfahren ausführen zu können, müssen Sie Mitglied der
Gruppe Domänen-Admins sein.
Starten des Dateireplikationsdienstes
1. Öffnen Sie eine Eingabeaufforderung.
2. Führen Sie den folgenden Befehl aus:
net start ntfrs
3. Mit der Ereignisanzeige können Sie überprüfen, ob NTFRS korrekt gestartet
wurde. Ereignis-ID 13501 zeigt an, dass der Dienst neu gestartet wurde. Mit
Ereignis-ID 13516 wird angezeigt, dass der Domänencontroller ausgeführt wird
und bereit ist. Ereignis-IDs 13553 und 13556 zeigen ein erfolgreiches
Verschieben an.
Verschieben des Stagingbereichs
Standardmäßig wird der Staging Area-Ordner in SYSVOL installiert. Der Active DirectoryInstallationsassistent erstellt zwei Ordner - Staging und Staging Area. Dies nutzt der FRS
für das Staging.
Es gibt zwei Parameter, die den Speicherort des Stagingbereiches definieren.
fRSStagingPath wird im Verzeichnis gespeichert und enthält den Pfad zu dem
Speicherort, den der FRS zum Staging von Dateien nutzt. Der andere Parameter ist ein
Bereitstellungspunkt, der sich im Ordner Staging Area in SYSVOL befindet und auf den
Speicherort verweist, den FRS für das Staging von Dateien nutzt. Wenn Sie den
Stagingbereich verschieben, müssen beide Parameter geändert werden.
Wenn nicht anders angegeben, führen Sie die genannten Schritte auf dem
Domänencontroller aus, auf dem sich der zu verschiebende Staging Area-Ordner
befindet.
Anforderungen
Damit Sie diese Aufgabe korrekt ausführen können, sollten Sie über ein Verständnis der
Ordnerstruktur des Systemvolumens verfügen. Lesen Sie hierzu den Abschnitt
Einführung in die Administration von SYSVOL.
Um die unten beschriebenen Aufgaben ausführen zu können, sind die folgenden Tools
notwendig:

Active Directory-Standorte und -Dienste (Administrative Tool)

Ereignisanzeige

Net.exe

Dcdiag.exe (Windows Support Tools)

Regedit.exe

ADSI Edit.msc (Windows Support Tools)

Linkd.exe (Windows Server 2003 Resource Kit Tools)
Anmerkung
Zum Erstellen von Bereitstellungspunkten benötigen Sie das Tool Linkd.exe, das
Sie unter http://go.microsoft.com/fwlink/?LinkId=16544 finden.
Um diese Aufgabe auszuführen, sind die folgenden Verfahren in der unten genannten
Reihenfolge notwendig.
1. Identifizieren der Replikationspartner
2. Den Status der SYSVOL-Freigabe überprüfen
Sie müssen den Test nicht auf jedem Partner ausführen. Führen Sie jedoch
genügend Tests aus, um sicherzustellen, dass die Systemvolumen auf den Partnern
nicht beschädigt sind.
3. Überprüfen der Replikation mit anderen Domänencontrollern
4. Zusammenstellen der SYSVOL-Pfadinformationen
5. Zurücksetzen des Dateireplikationsdienst-Stagingordners auf einem anderen
logischen Laufwerk
Identifizieren der Replikationspartner
Mit diesem Verfahren überprüfen Sie die Verbindungsobjekte eines Domänencontrollers
und ermitteln seine Replikationspartner fest.
Administrative Berechtigungen
Damit Sie dieses Verfahren durchführen können, müssen Sie Mitglied der Gruppe
Domänen-Admins sein.
Identifizieren von Replikationspartnern
1. Öffnen Sie Active Directory-Standorte und -Dienste.
2. Erweitern Sie den Container Standorte.
3. Klicken Sie doppelt auf den Standort, in dem sich der Domänencontroller
befindet.
Anmerkung
Wenn Sie nicht wissen, wo sich der Domänencontroller befindet, geben
Sie in einer Eingabeaufforderung den Befehl ipconfig ein und fragen so
die IP-Adresse des Domänencontrollers ab. Vergleichen Sie die IPAdresse mit den Subnetzen, und ermitteln Sie so den Standort.
4. Erweitern Sie den Ordner Server.
5. Erweitern Sie den Namen des Domänencontrollers.
6. Klicken Sie doppelt auf NTDSSettings, um die Verbindungsobjekte anzuzeigen
(angezeigt werden die für die Replikation verwendeten eingehenden
Verbindungen). In der Spalte Von Server finden Sie die Namen der
Replikationspartner.
Den Status der SYSVOL-Freigabe
überprüfen
Anmerkung
Sie müssen dieses Verfahren nicht auf jedem Partner ausführen. Führen Sie jedoch
genügend Tests aus, um sicherzustellen, dass die Systemvolumen auf den Partnern
nicht beschädigt sind.
Administrative Berechtigungen
Um die folgenden Schritte ausführen zu können, müssen Sie Mitglied der Gruppe
Domänen-Admins oder der Gruppe Organisations-Admins sein.
Prüfen des Status der SYSVOL-Freigabe
1. Öffnen Sie die Ereignisanzeige.
2. Klicken Sie auf Dateireplikationsdienst.
3. Suchen Sie nach Ereignis 13516 mit einem Datum und Zeitstempel, der dem
Zeitpunkt des Neustarts entspricht. Es kann bis zu 15 Minuten oder mehr dauern,
bis das Ereignis angezeigt wird. Ereignis 13508 zeigt an, dass der FRS den
Dienst gerade startet. 13509 zeigt an, dass der Dienst erfolgreich gestartet
wurde.
4. Prüfen Sie, ob die Freigabe erstellt wurde, indem Sie sich mit net share eine
Liste der freigegebenen Ordner anzeigen lassen.
5. Geben Sie den Befehl dcdiag /test:netlogons ein.
6. Suchen Sie nach einem Eintrag, der computername passed test NetLogons
lautet. Wenn dieser Eintrag nicht angezeigt wird, gibt es ein Problem mit der
Replikation. Der Test überprüft, ob die für die Replikation notwendigen
Anmeldeprivilegien vorhanden sind. Wenn der Test fehlschlägt, überprüfen Sie
die Berechtigungen für die Freigaben Net Logon und SYSVOL.
Überprüfen der Replikation mit anderen
Domänencontrollern
Diese Tests prüfen verschiedene Aspekte der Replikationstopologie. Außerdem prüfen
Sie, ob Objekte repliziert werden und ob die korrekten Anmeldeberechtigungen für die
Replikation vorhanden sind.
Administrative Berechtigungen
Um die folgenden Schritte ausführen zu können, müssen Sie Mitglied der Gruppe
Domänen-Admins oder der Gruppe Organisations-Admins sein.
Prüfen der Replikation mit anderen Domänencontrollern
1. Öffnen Sie eine Eingabeaufforderung.
2. Geben Sie den folgenden Befehl ein, und drücken Sie dann die
EINGABETASTE:
dcdiag /test:replications
Anmerkung
Es steht zusätzlich die Option /v zur Verfügung. Sie zeigt jedoch keine
wichtigen Informationen an.
3. Mit dem folgenden Verfahren prüfen Sie, ob die korrekten Berechtigungen für die
Replikation vorhanden sind:
dcdiag /test:netlogons
Alle Tests sollten als erfolgreich angezeigt werden.
Zusammenstellen der SYSVOLPfadinformationen
Wenn Sie SYSVOL verschieben, dann verschieben Sie erst die gesamte Ordnerstruktur
an einen neuen Speicherort. Aktualisieren Sie dann alle Bereitstellungspunkte und
Parameter. Optional können Sie den Stagingbereich verschieben und den Rest des
Systemvolumens am alten Speicherort belassen. In diesem Fall müssen Sie den
Parameter fRSStagingPath im Verzeichnis und den Bereitstellungspunkt unter
%systemroot%\SYSVOL\staging areas ändern.
Administrative Berechtigungen
Um die folgenden Schritte ausführen zu können, müssen Sie Mitglied der Gruppe
Domänen-Admins oder der Gruppe Organisations-Admins sein.
Rufen Sie die Pfadinformationen mit den unten angegebenen Verfahren ab, und halten
Sie die Werte in der folgenden Tabelle fest.
Um den Stagingbereich zu verschieben, benötigen Sie die Informationen aus Zeile 2 und
5.
Anmerkung
Zum Wiederherstellen von SYSVOL benötigen Sie Informationen zum
Domänencontroller, die in den Zeilen 1, 2 und 3 festgehalten werden. In den
Zeilen 4 und 5 halten Sie Informationen zu den Bereitstellungspunkten fest.
Parameter
1
fRSRootPath
2
fRSStagingPath
3
Sysvol parameter in
registry
4
Sysvol junction
5
Staging junction
Aktueller Wert
Neuer Wert
Sammeln der SYSVOL-Pfadinformationen
fRSRootPath und fRSStagingPath
1. Klicken Sie auf Start, klicken Sie auf Ausführen, geben Sie adsiedit.msc ein,
und drücken Sie die EINGABETASTE.
2. Klicken Sie doppelt auf Domain [computername] (wobei computername der
Name des Domänencontrollers ist). Stellen Sie sicher, dass die Domäne bis zum
Ordner DC= erweitert wird.
3. Klicken Sie auf DC, um die Container und OUs anzuzeigen.
4. Klicken Sie doppelt auf OU=Domain Controllers.
5. Klicken Sie doppelt auf den Container, der dem Domänencontroller entspricht
(CN=computername).
6. Klicken Sie auf den Container CN=NTFRS Subscriptions.
7. Klicken Sie mit rechts auf CN=Domain System Volume und dann auf
Eigenschaften.
8. Stellen Sie sicher, dass Verpflichtende Attribute anzeigen ausgewählt ist.
9. Suchen Sie unter Attribute nach fRSRootPath und fRSStagingPath, und
halten Sie die Werte in der oben gezeigten Tabelle fest.
10. Tragen Sie die neuen Pfade in die Tabelle ein.
11. Klicken Sie auf Abbrechen.
SYSVOL-Parameter aus der Registrierung
1. Klicken Sie auf Start und auf Ausführen. Geben Sie regedit ein, und drücken Sie die
EINGABETASTE.
2. Navigieren Sie zu
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netlogon\Parame
ters.
3. Rechts wird Sysvol angezeigt. Der aktuelle Wert wird in der Spalte Daten angezeigt.
4. Tragen Sie den Wert in die Tabelle ein. Tragen Sie den vorgesehenen neuen Wert in
die Tabelle ein.
SYSVOL-Bereitstellungspunkt
1. Öffnen Sie eine Eingabeaufforderung.
2. Wechseln Sie zum Verzeichnis %systemroot%\SYSVOL\Sysvol.
Anmerkung
Es wird davon ausgegangen, dass sich SYSVOL noch am
Standardspeicherort befindet.
3. Geben Sie dir ein. Prüfen Sie, ob der FQDN als <JUNCTION> angezeigt wird.
4. Geben Sie linkd fqdn ein (wobei fqdn der Domänenname aus der Ausgabe von
Dir ist).
5. Tragen Sie den Wert in die Tabelle ein. Tragen Sie den vorgesehenen neuen
Wert in die Tabelle ein.
Staging-Bereitstellungspunkt
1. Öffnen Sie eine Eingabeaufforderung.
2. Wechseln Sie zum Verzeichnis %systemroot%\SYSVOL\Staging Areas.
Anmerkung
Es wird davon ausgegangen, dass sich Staging Areas noch am
Standardspeicherort befindet.
3. Geben Sie dir ein. Prüfen Sie, ob der FQDN als <JUNCTION> angezeigt wird.
4. Geben Sie linkd fqdn ein (wobei fqdn der Domänenname aus der Ausgabe von
Dir ist).
5. Tragen Sie den Wert in die Tabelle ein. Tragen Sie den vorgesehenen neuen
Wert in die Tabelle ein.
Zurücksetzen des
Dateireplikationsdienst-Stagingordners
auf einem anderen logischen Laufwerk
Administrative Berechtigungen
Um die folgenden Schritte ausführen zu können, müssen Sie Mitglied der Gruppe
Domänen-Admins oder der Gruppe Organisations-Admins sein.
Zurücksetzen des Dateireplikationsdienst-Stagingordners auf einem anderen
logischen Laufwerk
1. Klicken Sie auf Start und Ausführen. Geben Sie adsiedit.msc ein, und drücken Sie die
EINGABETASTE.
2. Suchen Sie unter Domain [computername] das NtFrs Subscriber-Objekt unter dem
Hostcomputerkonto in Active Directory. Der Pfad für dieses Attribut ist: CN=Name des
Replikationssatzes,CN=NTFRS
Subscriptions,CN=Computername,DC=Domänenname,DC=COM.
Um den Stagingpfad für den SYSVOL-Replikationsatz von Domänencontroller \\DC1 in
contoso.com zurückzusetzen, ist der DN-Pfad für FrsStagingPath zum Beispiel:
CN=Domain System Volume (SYSVOL share), CN=NTFRS
Subscriptions,CN=DC1,DC=CONTOSO,DC=COM
3. Klicken Sie mit rechts auf CN=Domain System Volume und dann auf Eigenschaften.
4. Stellen Sie sicher, dass Verpflichtende Attribute anzeigen ausgewählt ist.
5. Klicken Sie unter Attribute auf fRSStagingPath und dann auf Bearbeiten.
6. Geben Sie den Pfad für den neuen Speicherort des FRS-Stagingordners ein, und klicken Sie auf
OK.
7. Klicken Sie auf OK.
8. Stellen Sie sicher, dass der Stagingpfad in der Registrierung aktualisiert wurde:
a. Klicken Sie auf Start und auf Ausführen. Geben Sie regedit ein, und drücken Sie die
EINGABETASTE.
b. Navigieren Sie zu
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\NtFrs\Parameters\Replica
Sets
c.
Klicken Sie doppelt auf Replica Sets.
d. Suchen Sie den Replikationssatz, den Sie geändert haben. Klicken Sie auf eine GUID, und
suchen Sie im Detailbereich nach Replica Set Name. Wiederholen Sie dies, bis Sie den
richtigen Satz gefunden haben.
e. Klicken Sie mit rechts auf Replica Set Stage und dann auf Bearbeiten.
f.
Geben Sie unter Daten den neuen Pfad ein, und klicken Sie auf OK.
Wenn der Dienst eine Änderung am Stagingpfad erkennt, wird Ereignis 13563 zusammen mit
Anweisungen für die weiteren durchzuführenden Schritte protokolliert:
Typ: Warnung
Quelle: NtFrs
Kategorie: keine
ID: 13563
Datum: 3/6/2005
Zeit: 7:13:01 PM
Benutzer: N/A
Computer: <Computername>
Beschreibung: Der Dateireplikationsdienst hat festgestellt, dass das Stagingverzeichnis für
den Replikatsatz %1 geändert wurde.
Aktuelles Stagingverzeichnis = %2
Neues Stagingverzeichnis = %3
Nach dem Neustart beginnt der Dienst, das neue Stagingverzeichnis zu verwenden. Der
Dienst ist so konfiguriert, dass er nach jedem Neustart des Computers ebenfalls neu gestartet
wird. Es wird empfohlen, den Dienst manuell neu zu starten, um Datenverluste im
Stagingverzeichnis zu vermeiden. Gehen Sie folgendermaßen vor, um den Dienst manuell
neu zu starten:
[1] Führen Sie den Befehl "net stop ntfrs" aus, oder verwenden Sie das Snap-In "Dienste", um
den Dateireplikationsdienst (FRS) anzuhalten.
[2] Verschieben Sie alle Stagingdateien, die zu Replikatsatz %1 gehören, in den neuen
Stagingbereich. Wenn das aktuelle Stagingverzeichnis von mehr als einem Replikatsatz
verwendet wird, ist es sicherer, die Stagingdateien in das neue Stagingverzeichnis zu
verschieben.
[3] Führen Sie den Befehl "net stop ntfrs" aus, oder verwenden Sie das Snap-In "Dienste", um
den Dateireplikationsdienst zu starten. .
9. Führen Sie die Schritte 1 bis 3 aus dem Ereignis aus:
10. Geben Sie den folgenden Befehl ein, und drücken Sie die EINGABETASTE:
net stop ntfrs
11. Verschieben Sie alle Stagingdateien des Replikationssatzes an den neuen Speicherort. Sollte
mehr als ein Replikationssatz den aktuellen Stagingordner verwenden, ist es sicherer, die Dateien
zu kopieren statt sie zu verschieben.
12. Geben Sie den folgenden Befehl ein, und drücken Sie die EINGABETASTE:
net start ntfrs
Manuelles Verschieben von SYSVOL
Wenn Sie den gesamten SYSVOL-Ordner verschieben müssen und nicht nur den
Staging Area-Ordner, dann können Sie dies nur manuell machen. Es gibt kein Tool, mit
dem dieser Prozess automatisiert werden kann.
Sie können SYSVOL zwar auch über den Active Directory-Assistenten verschieben,
hierzu ist es jedoch erforderlich, dass Sie Active Directory entfernen und neu installieren.
Vorsicht
Dieses Verfahren kann zur Veränderung von Sicherheitseinstellungen führen.
Nach dem Durchführen des Verfahrens sind die Sicherheitseinstellungen des
neuen Systemvolumens so, wie sie nach der Installation von Active Directory
konfiguriert sind. Sie müssen die alten Sicherheitseinstellungen auf das neue
Systemvolumen übertragen. Dies führt zu zusätzlichem Replikationsaufwand.
Anforderungen
Um die unten beschriebenen Aufgaben ausführen zu können, sind die folgenden Tools
notwendig:

Active Directory-Standorte und -Dienste

Ereignisanzeige

Windows Explorer

Dcdiag.exe (Windows Support Tools)

Regedit.exe

ADSI Edit.msc (Windows Support Tools)

Linkd.exe (Windows Server 2003 Resource Kit Tools)

Net.exe

Secedit.exe

Notepad.exe
Um diese Aufgabe auszuführen, sind die folgenden Schritte erforderlich:
1. Identifizieren der Replikationspartner
2. Den Status der SYSVOL-Freigabe überprüfen
3. Überprüfen der Replikation mit anderen Domänencontrollern
4. Zusammenstellen der SYSVOL-Pfadinformationen
5. Anhalten des Dateireplikationsdienstes
6. Erstellen der SYSVOL-Ordnerstruktur
7. Festlegen des SYSVOL-Pfades
8. Festlegen des Staging Area-Pfades
Wenn Sie den Staging Area-Ordner bereits an einen anderen Speicherort
verschoben haben, ist dieser Schritt nicht erforderlich.
9. Vorbereiten eines Domänencontrollers für einen nicht autorisierenden SYSVOLNeustart
10. Aktualisieren der Sicherheitseinstellungen für den neuen SYSVOL-Ordner
11. Starten des Dateireplikationsdienstes
12. Den Status der SYSVOL-Freigabe überprüfen
Identifizieren der Replikationspartner
Mit diesem Verfahren überprüfen Sie die Verbindungsobjekte eines Domänencontrollers
und ermitteln seine Replikationspartner fest.
Administrative Berechtigungen
Damit Sie dieses Verfahren durchführen können, müssen Sie Mitglied der Gruppe
Domänen-Admins sein.
Identifizieren von Replikationspartnern
1. Öffnen Sie Active Directory-Standorte und -Dienste.
2. Erweitern Sie den Container Standorte.
3. Klicken Sie doppelt auf den Standort, in dem sich der Domänencontroller
befindet.
Anmerkung
Wenn Sie nicht wissen, wo sich der Domänencontroller befindet, geben
Sie in einer Eingabeaufforderung den Befehl ipconfig ein und fragen so
die IP-Adresse des Domänencontrollers ab. Vergleichen Sie die IP-
Adresse mit den Subnetzen, und ermitteln Sie so den Standort.
4. Erweitern Sie den Ordner Server.
5. Erweitern Sie den Namen des Domänencontrollers.
6. Klicken Sie doppelt auf NTDSSettings, um die Verbindungsobjekte anzuzeigen
(angezeigt werden die für die Replikation verwendeten eingehenden
Verbindungen). In der Spalte Von Server finden Sie die Namen der
Replikationspartner.
Den Status der SYSVOL-Freigabe
überprüfen
Anmerkung
Sie müssen dieses Verfahren nicht auf jedem Partner ausführen. Führen Sie jedoch
genügend Tests aus, um sicherzustellen, dass die Systemvolumen auf den Partnern
nicht beschädigt sind.
Administrative Berechtigungen
Um die folgenden Schritte ausführen zu können, müssen Sie Mitglied der Gruppe
Domänen-Admins oder der Gruppe Organisations-Admins sein.
Prüfen des Status der SYSVOL-Freigabe
1. Öffnen Sie die Ereignisanzeige.
2. Klicken Sie auf Dateireplikationsdienst.
3. Suchen Sie nach Ereignis 13516 mit einem Datum und Zeitstempel, der dem
Zeitpunkt des Neustarts entspricht. Es kann bis zu 15 Minuten oder mehr dauern,
bis das Ereignis angezeigt wird. Ereignis 13508 zeigt an, dass der FRS den
Dienst gerade startet. 13509 zeigt an, dass der Dienst erfolgreich gestartet
wurde.
4. Prüfen Sie, ob die Freigabe erstellt wurde, indem Sie sich mit net share eine
Liste der freigegebenen Ordner anzeigen lassen.
5. Geben Sie den Befehl dcdiag /test:netlogons ein.
6. Suchen Sie nach einem Eintrag, der computername passed test NetLogons
lautet. Wenn dieser Eintrag nicht angezeigt wird, gibt es ein Problem mit der
Replikation. Der Test überprüft, ob die für die Replikation notwendigen
Anmeldeprivilegien vorhanden sind. Wenn der Test fehlschlägt, überprüfen Sie
die Berechtigungen für die Freigaben Net Logon und SYSVOL.
Überprüfen der Replikation mit anderen
Domänencontrollern
Diese Tests prüfen verschiedene Aspekte der Replikationstopologie. Außerdem prüfen
Sie, ob Objekte repliziert werden und ob die korrekten Anmeldeberechtigungen für die
Replikation vorhanden sind.
Administrative Berechtigungen
Um die folgenden Schritte ausführen zu können, müssen Sie Mitglied der Gruppe
Domänen-Admins oder der Gruppe Organisations-Admins sein.
Prüfen der Replikation mit anderen Domänencontrollern
1. Öffnen Sie eine Eingabeaufforderung.
2. Geben Sie den folgenden Befehl ein, und drücken Sie dann die
EINGABETASTE:
dcdiag /test:replications
Anmerkung
Es steht zusätzlich die Option /v zur Verfügung. Sie zeigt jedoch keine
wichtigen Informationen an.
3. Mit dem folgenden Verfahren prüfen Sie, ob die korrekten Berechtigungen für die
Replikation vorhanden sind:
dcdiag /test:netlogons
Alle Tests sollten als erfolgreich angezeigt werden.
Zusammenstellen der SYSVOLPfadinformationen
Wenn Sie SYSVOL verschieben, dann verschieben Sie erst die gesamte Ordnerstruktur
an einen neuen Speicherort. Aktualisieren Sie dann alle Bereitstellungspunkte und
Parameter. Optional können Sie den Stagingbereich verschieben und den Rest des
Systemvolumens am alten Speicherort belassen. In diesem Fall müssen Sie den
Parameter fRSStagingPath im Verzeichnis und den Bereitstellungspunkt unter
%systemroot%\SYSVOL\staging areas ändern.
Administrative Berechtigungen
Um die folgenden Schritte ausführen zu können, müssen Sie Mitglied der Gruppe
Domänen-Admins oder der Gruppe Organisations-Admins sein.
Rufen Sie die Pfadinformationen mit den unten angegebenen Verfahren ab, und halten
Sie die Werte in der folgenden Tabelle fest.
Um den Stagingbereich zu verschieben, benötigen Sie die Informationen aus Zeile 2 und
5.
Anmerkung
Zum Wiederherstellen von SYSVOL benötigen Sie Informationen zum
Domänencontroller, die in den Zeilen 1, 2 und 3 festgehalten werden. In den
Zeilen 4 und 5 halten Sie Informationen zu den Bereitstellungspunkten fest.
Parameter
1
fRSRootPath
2
fRSStagingPath
3
Sysvol parameter in
registry
4
Sysvol junction
5
Staging junction
Aktueller Wert
Neuer Wert
Anhalten des Dateireplikationsdienstes
Mit diesem Verfahren können Sie den Dateireplikationsdienst anhalten.
Administrative Berechtigungen
Um die Aufgabe durchführen zu können, müssen Sie Mitglied der Gruppe DomänenAdmins sein.
Anhalten des Dateireplikationsdienstes
1. Öffnen Sie eine Eingabeaufforderung.
2. Führen Sie den folgenden Befehl aus:
net stop ntfrs
Erstellen der SYSVOL-Ordnerstruktur
Der Ordner %systemroot%\SYSVOL befindet sich direkt im Windows-Systemvolumen.
Es gibt außerdem einen Unterordner in %systemroot%\SYSVOL, der ebenfalls sysvol.
heißt. Stellen Sie sicher, dass Sie nicht versehentlich diesen Ordner verschieben,
sondern %systemroot%\SYSVOL.
Administrative Berechtigungen
Um die folgenden Schritte ausführen zu können, müssen Sie Mitglied der Gruppe
Domänen-Admins oder der Gruppe Organisations-Admins sein.
Erstellen der SYSVOL-Ordnerstruktur
1. Navigieren Sie im Windows Explorer zum SYSVOL-Ordner (standardmäßig
%systemroot%\SYSVOL).
2. Klicken Sie mit rechts auf den SYSVOL-Ordner und dann auf Kopieren.
3. Navigieren Sie zum neuen Speicherort, und klicken Sie mit recht auf diesen.
Klicken Sie auf Einfügen.
4. Prüfen Sie, ob die gesamte Ordnerstruktur korrekt kopiert wurde. Vergleichen Sie
die beiden Ordnerstrukturen mit dem Befehl
dir /s
Festlegen des SYSVOL-Pfades
Vorsicht
Der Registrierungseditor umgeht die normalen Sicherheitsfunktionen. Sie können
so Einstellungen vornehmen, die das System beschädigen können oder sogar
dafür sorgen können, dass Windows neu installiert werden muss. Sichern Sie vor
einer Bearbeitung der Registrierung den Systemstatus. Weitere Informationen
hierzu finden Sie unter: Administering Active Directory Backup and Restore.
Administrative Berechtigungen
Um die folgenden Schritte ausführen zu können, müssen Sie Mitglied der Gruppe
Domänen-Admins oder der Gruppe Organisations-Admins sein.
Festlegen des SYSVOL-Pfades
1. Klicken Sie auf Start und auf Ausführen. Geben Sie regedit ein, und drücken Sie die
EINGABETASTE.
2. Navigieren Sie zu
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netlogon\Parame
ters.
3. Klicken Sie mit rechts auf SysVol und dann auf Ändern.
4. Geben Sie den neuen Pfad inklusive des Laufwerkbuchstabens ein, und klicken Sie
auf OK.
Anmerkung
Der Pfad verweist auf den SYSVOL-Ordner, der sich innerhalb des SYSVOLOrdners befindet. Stellen Sie sicher, dass auch der neue Pfad auf den SYSVOLOrdner im SYSVOL-Ordner verweist.
Festlegen des Staging Area-Pfades
Mit diesem Verfahren ändern Sie den fRSStagingPath-Parameter für einen
Domänencontroller. Führen Sie es auf dem Domänencontroller aus, der den zu
konfigurierenden SYSVOL-Ordner hostet.
Administrative Berechtigungen
Um die folgenden Schritte ausführen zu können, müssen Sie Mitglied der Gruppe
Domänen-Admins oder der Gruppe Organisations-Admins sein.
Festlegen des Staging Area-Pfades
1. Klicken Sie auf Start, klicken Sie auf Ausführen, geben Sie adsiedit.msc ein,
und drücken Sie die EINGABETASTE.
2. Klicken Sie doppelt auf Domain [computername] (wobei computername der
Name des Domänencontrollers ist). Stellen Sie sicher, dass die Domäne bis zum
Ordner DC= erweitert wird.
3. Klicken Sie auf DC, um die Container und OUs anzuzeigen.
4. Klicken Sie doppelt auf OU=Domain Controllers.
5. Klicken Sie doppelt auf den Container, der dem Domänencontroller entspricht
(CN=computername).
6. Klicken Sie auf den Container CN=NTFRS Subscriptions.
7. Klicken Sie mit rechts auf CN=Domain System Volume und dann auf
Eigenschaften.
8. Stellen Sie sicher, dass Verpflichtende Attribute anzeigen ausgewählt ist.
9. Suchen Sie unter Attribute nach fRSRootPath, und klicken Sie auf Bearbeiten.
Geben Sie den neuen Pfad ein, und klicken Sie auf OK.
10. Schließen Sie ADSI-Edit.
11. Öffnen Sie eine Eingabeaufforderung.
12. Wechseln Sie zum Ordner %systemroot%\SYSVOL\staging areas.
13. Führen Sie den folgenden Befehl aus:
dir
Überprüfen Sie, ob <JUNCTION> in der Ausgabe auftaucht.
14. Aktualisieren Sie den Bereitstellungspunkt so, dass er auf den neuen Speicherort
verweist:
linkd NameDesBereitstellungspunktes neuerpfad
Wobei neuerpfad der Wert ist, den Sie vorher unter fRSStagingPath
eingetragen haben.
Vorbereiten eines Domänencontrollers
für einen nicht autorisierenden SYSVOLNeustart
Durch das Bearbeiten der BurFlags-Registrierungseinträge (Backup/Restore-Flags)
können Sie einen nicht autorisierenden SYSVOL-Neustart initiieren. Setzen Sie den Wert
auf D2 (Hexadecimal) oder 210 (Dezimal), und beim nächsten Start des
Domänencontrollers wird der SYSVOL-Neustart durchgeführt.
Es gibt die folgenden Einträge:

Um einen SYSVOL-Neustart zu erreichen, wenn es nur diesen einen
Replikationssatz für den Domänencontroller gibt, verwenden Sie den Wert unter
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\NtFrs\Parameter
s\Backup/Restore\Process at Startup

Wenn es andere Replikationssätze gibt und Sie SYSVOL nur aktualisieren möchten,
verwenden Sie den Wert unter
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\NtFrs\Parameter
s\Cumulative Replica Sets\SYSVOL GUID
Vorsicht
Der Registrierungseditor umgeht die normalen Sicherheitsfunktionen. Sie können
so Einstellungen vornehmen, die das System beschädigen können oder sogar
dafür sorgen können, dass Windows neu installiert werden muss. Sichern Sie vor
einer Bearbeitung der Registrierung den Systemstatus. Weitere Informationen
hierzu finden Sie unter: Administering Active Directory Backup and Restore.
Administrative Berechtigungen
Um die folgenden Schritte ausführen zu können, müssen Sie Mitglied der Gruppe
Domänen-Admins oder der Gruppe Organisations-Admins sein.
Vorbereiten eines Domänencontrollers auf einen nicht autorisierenden
SYSVOL-Neustart
1. Klicken Sie auf Start und Ausführen. Geben Sie regedit ein, und klicken auf OK.
2. Navigieren Sie zu
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\NtFrs\Parameters
3. Erweitern Sie Parameters.
4. Bearbeiten Sie einen der BurFlags-Einträge wie folgt:
a. Erweitern Sie Backup/Restore, und klicken Sie auf Process at Startup.
b. Klicken Sie rechts auf BurFlags und dann auf Bearbeiten.
c.
Geben Sie D2 als Hexadezimalwert oder 210 als Dezimalwert ein.
d. Klicken Sie auf OK.
oder
a. Erweitern Sie Cumulative Replica Sets und Replica Sets.
b. Suchen Sie nach der GUID unter Replica Sets, die der GUID unter Cumulative
Replica Sets entspricht, und klicken Sie auf die entsprechende GUID unter
Cumulative Replica Sets.
c.
Klicken Sie rechts auf BurFlags und dann auf Bearbeiten.
d. Geben Sie D2 als Hexadezimalwert oder 210 als Dezimalwert ein.
e. Klicken Sie auf OK.
Aktualisieren der
Sicherheitseinstellungen für den neuen
SYSVOL-Ordner
Mit diesem Verfahren wenden Sie die Standardsicherheitseinstellungen auf den neuen
SYSVOL-Ordner an. Diese entsprechen denen direkt nach der Active DirectoryInstallation. Wenn es zusätzliche Sicherheitseinstellungen gab, müssen Sie diese
manuell hinzufügen.
Vorsicht
Das fehlerhafte Setzen von Sicherheitseinstellungen kann zu nicht autorisierten
Zugriffen auf An- und Abmeldescripte und auf GPOs führen.
Administrative Berechtigungen
Um die folgenden Schritte ausführen zu können, müssen Sie Mitglied der Gruppe
Domänen-Admins oder der Gruppe Organisations-Admins sein.
Aktualisieren der Sicherheitseinstellungen für den neuen SYSVOL-Ordner
1. Klicken Sie auf Start und auf Ausführen. Geben Sie regedit ein, und drücken
Sie die EINGABETASTE.
2. Navigieren Sie zu HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\Netlogon\Parameters.
Notieren Sie sich den Pfad unter SysVol.
3. Klicken Sie in der Systemsteuerung doppelt auf System.
4. Klicken Sie unter Erweitert auf Umgebungsvariablen.
5. Klicken Sie unter Systemvariablen auf Neu.
6. Geben Sie als Variablename den Wert sysvol ein.
7. Geben Sie als Variablenwert den Pfad ein, den Sie in Schritt 2 notiert haben.
8. Klicken Sie dreimal auf OK.
9. Öffnen Sie Notepad, und geben Sie folgendes ein:
[Unicode]
Unicode=yes
[Version]
signature=”$CHICAGO$”
Revision=1
[Profile Description]
Description=default perms for sysvol
[File Security]
;”%SystemRoot%\SYSVOL”,0,”D:AR(A;OICI;FA;;;BA)”
“%Sysvol%”,2,”D:P(A;CIOI;GRGX;;;AU)(A;CIOI;GRGX;;;SO)
(A;CIOI;GA;;;BA)(A;CIOI;GA;;;SY)(A;CIOI;GA;;;CO)”
“%Sysvol%\domain\policies”,2,”D:P(A;CIOI;GRGX;;;AU)
(A;CIOI;GRGX;;;SO)(A;CIOI;GA;;;BA)(A;CIOI;GA;;;SY)
(A;CIOI;GA;;;CO)(A;CIOI;GRGWGXSD;;;PA)”
Speichern Sie die Datei als Sysvol.inf.
Anmerkung
Do not include a space after (A;CIOI;GRGX;;;SO), (A;CIOI;GRGX;;;AU),
or (A;CIOI;GA;;;SY).
10. Öffnen Sie eine Eingabeaufforderung. Verwenden Sie keine vorhandene
Eingabeaufforderung (diese verfügt noch nicht über die notwendigen
Umgebungsvariablen). Wechseln Sie zum Ordner mit der Datei Sysvol.inf.
11. Führen Sie den folgenden Befehl aus:
SECEDIT /Configure /cfg sectemplatepfad\sysvol.inf /db
sectemplatepfad\sysvol.db /overwrite
Wobei sectemplatepfad der Pfad ist, unter dem Sie die Datei Sysvol.inf
gespeichert haben.
Starten des Dateireplikationsdienstes
Administrative Berechtigungen
Um das unten aufgeführte Verfahren ausführen zu können, müssen Sie Mitglied der
Gruppe Domänen-Admins sein.
Starten des Dateireplikationsdienstes
1. Öffnen Sie eine Eingabeaufforderung.
2. Führen Sie den folgenden Befehl aus:
net start ntfrs
3. Mit der Ereignisanzeige können Sie überprüfen, ob NTFRS korrekt gestartet
wurde. Ereignis-ID 13501 zeigt an, dass der Dienst neu gestartet wurde. Mit
Ereignis-ID 13516 wird angezeigt, dass der Domänencontroller ausgeführt wird
und bereit ist. Ereignis-IDs 13553 und 13556 zeigen ein erfolgreiches
Verschieben an.
Aktualisierung des SystemvolumenPfades
Wenn sich Laufwerksbuchstaben ändern und sich der SYSVOL- oder Staging AreaOrdner auf dem betreffenden Laufwerk befinden, kann der FRS diese nicht mehr finden.
Sie müssen die entsprechenden Pfade aktualisieren. Außerdem sind eine Aktualisierung
der Bereitstellungspunkte und ein Neustart des FRS erforderlich.
Anforderungen
Um die unten beschriebenen Aufgaben ausführen zu können, sind die folgenden Tools
notwendig:

ADSI Edit.msc

Net.exe

Regedit.exe

Linkd.exe
Um diese Aufgabe auszuführen, müssen Sie die folgenden Schritte in der unten
genannten Reihenfolge durchführen:
1. Zusammenstellen der SYSVOL-Pfadinformationen
2. Anhalten des Dateireplikationsdienstes
3. Festlegen des SYSVOL-Pfades
4. Festlegen des Staging Area-Pfades
5. Starten des Dateireplikationsdienstes
Zusammenstellen der SYSVOLPfadinformationen
Wenn Sie SYSVOL verschieben, dann verschieben Sie erst die gesamte Ordnerstruktur
an einen neuen Speicherort. Aktualisieren Sie dann alle Bereitstellungspunkte und
Parameter. Optional können Sie den Stagingbereich verschieben und den Rest des
Systemvolumens am alten Speicherort belassen. In diesem Fall müssen Sie den
Parameter fRSStagingPath im Verzeichnis und den Bereitstellungspunkt unter
%systemroot%\SYSVOL\staging areas ändern.
Administrative Berechtigungen
Um die folgenden Schritte ausführen zu können, müssen Sie Mitglied der Gruppe
Domänen-Admins oder der Gruppe Organisations-Admins sein.
Rufen Sie die Pfadinformationen mit den unten angegebenen Verfahren ab, und halten
Sie die Werte in der folgenden Tabelle fest.
Um den Stagingbereich zu verschieben, benötigen Sie die Informationen aus Zeile 2 und
5.
Anmerkung
Zum Wiederherstellen von SYSVOL benötigen Sie Informationen zum
Domänencontroller, die in den Zeilen 1, 2 und 3 festgehalten werden. In den
Zeilen 4 und 5 halten Sie Informationen zu den Bereitstellungspunkten fest.
Parameter
1
fRSRootPath
2
fRSStagingPath
3
Sysvol parameter in
registry
Aktueller Wert
Neuer Wert
Parameter
4
Sysvol junction
5
Staging junction
Aktueller Wert
Neuer Wert
Anhalten des Dateireplikationsdienstes
Mit diesem Verfahren können Sie den Dateireplikationsdienst anhalten.
Administrative Berechtigungen
Um die Aufgabe durchführen zu können, müssen Sie Mitglied der Gruppe DomänenAdmins sein.
Anhalten des Dateireplikationsdienstes
1. Öffnen Sie eine Eingabeaufforderung.
2. Führen Sie den folgenden Befehl aus:
net stop ntfrs
Festlegen des SYSVOL-Pfades
Vorsicht
Der Registrierungseditor umgeht die normalen Sicherheitsfunktionen. Sie können
so Einstellungen vornehmen, die das System beschädigen können oder sogar
dafür sorgen können, dass Windows neu installiert werden muss. Sichern Sie vor
einer Bearbeitung der Registrierung den Systemstatus. Weitere Informationen
hierzu finden Sie unter: Administering Active Directory Backup and Restore.
Administrative Berechtigungen
Um die folgenden Schritte ausführen zu können, müssen Sie Mitglied der Gruppe
Domänen-Admins oder der Gruppe Organisations-Admins sein.
Festlegen des SYSVOL-Pfades
1. Klicken Sie auf Start und auf Ausführen. Geben Sie regedit ein, und drücken Sie die
EINGABETASTE.
2. Navigieren Sie zu
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netlogon\Parame
ters.
3. Klicken Sie mit rechts auf SysVol und dann auf Ändern.
4. Geben Sie den neuen Pfad inklusive des Laufwerkbuchstabens ein, und klicken Sie
auf OK.
Anmerkung
Der Pfad verweist auf den SYSVOL-Ordner, der sich innerhalb des SYSVOLOrdners befindet. Stellen Sie sicher, dass auch der neue Pfad auf den SYSVOLOrdner im SYSVOL-Ordner verweist.
Festlegen des Staging Area-Pfades
Mit diesem Verfahren ändern Sie den fRSStagingPath-Parameter für einen
Domänencontroller. Führen Sie es auf dem Domänencontroller aus, der den zu
konfigurierenden SYSVOL-Ordner hostet.
Administrative Berechtigungen
Um die folgenden Schritte ausführen zu können, müssen Sie Mitglied der Gruppe
Domänen-Admins oder der Gruppe Organisations-Admins sein.
Festlegen des Staging Area-Pfades
1. Klicken Sie auf Start, klicken Sie auf Ausführen, geben Sie adsiedit.msc ein,
und drücken Sie die EINGABETASTE.
2. Klicken Sie doppelt auf Domain [computername] (wobei computername der
Name des Domänencontrollers ist). Stellen Sie sicher, dass die Domäne bis zum
Ordner DC= erweitert wird.
3. Klicken Sie auf DC, um die Container und OUs anzuzeigen.
4. Klicken Sie doppelt auf OU=Domain Controllers.
5. Klicken Sie doppelt auf den Container, der dem Domänencontroller entspricht
(CN=computername).
6. Klicken Sie auf den Container CN=NTFRS Subscriptions.
7. Klicken Sie mit rechts auf CN=Domain System Volume und dann auf
Eigenschaften.
8. Stellen Sie sicher, dass Verpflichtende Attribute anzeigen ausgewählt ist.
9. Suchen Sie unter Attribute nach fRSRootPath, und klicken Sie auf Bearbeiten.
Geben Sie den neuen Pfad ein, und klicken Sie auf OK.
10. Schließen Sie ADSI-Edit.
11. Öffnen Sie eine Eingabeaufforderung.
12. Wechseln Sie zum Ordner %systemroot%\SYSVOL\staging areas.
13. Führen Sie den folgenden Befehl aus:
dir
Überprüfen Sie, ob <JUNCTION> in der Ausgabe auftaucht.
14. Aktualisieren Sie den Bereitstellungspunkt so, dass er auf den neuen Speicherort
verweist:
linkd NameDesBereitstellungspunktes neuerpfad
Wobei neuerpfad der Wert ist, den Sie vorher unter fRSStagingPath
eingetragen haben.
Starten des Dateireplikationsdienstes
Administrative Berechtigungen
Um das unten aufgeführte Verfahren ausführen zu können, müssen Sie Mitglied der
Gruppe Domänen-Admins sein.
Starten des Dateireplikationsdienstes
1. Öffnen Sie eine Eingabeaufforderung.
2. Führen Sie den folgenden Befehl aus:
net start ntfrs
3. Mit der Ereignisanzeige können Sie überprüfen, ob NTFRS korrekt gestartet
wurde. Ereignis-ID 13501 zeigt an, dass der Dienst neu gestartet wurde. Mit
Ereignis-ID 13516 wird angezeigt, dass der Domänencontroller ausgeführt wird
und bereit ist. Ereignis-IDs 13553 und 13556 zeigen ein erfolgreiches
Verschieben an.
Wiederherstellen und Wiederaufbauen
von SYSVOL
Wenn das Verschieben von SYSVOL oder eine andere Aktion fehlschlägt, müssen Sie
SYSVOL möglicherweise auf einem einzelnen Domänencontroller wiederherstellen oder
neu erstellen. Versuchen Sie eine Wiederherstellung nur dann, wenn SYSVOL auf allen
anderen Domänencontrollern korrekt arbeitet. Versuchen Sie nicht SYSVOL
wiederherzustellen, bevor Sie nicht mögliche Probleme mit dem FRS innerhalb der
Domäne behoben haben.
Verwenden Sie die unten genannten Verfahren nur dann, wenn Sie es mit einem
Domänencontroller zu tun haben, der nicht über ein funktionierendes SYSVOL verfügt.
Anforderungen
Um die unten beschriebenen Aufgaben ausführen zu können, sind die folgenden Tools
notwendig:

Active Directory-Standorte und -Dienste

Ereignisanzeige

Dcdiag.exe

ADSIEdit.msc

Net.exe

Regedit.exe

Windows Explorer

Linkd.exe

Ultrasound
Um diese Aufgabe auszuführen, sind die folgenden Schritte in der unten genannten
Reihenfolge notwendig:
1. Identifizieren der Replikationspartner
2. Den Status der SYSVOL-Freigabe überprüfen
Da Sie das Systemvolumen von einem der Partner kopieren, müssen Sie
sicherstellen, dass dieses aktuell ist.
3. Überprüfen der Replikation mit anderen Domänencontrollern
4. Lokaler Neustart des Domänencontrollers im
Verzeichnisdienstwiederherstellungsmodus
5. Zusammenstellen der SYSVOL-Pfadinformationen
6. Anhalten des Dateireplikationsdienstes
7. Vorbereiten eines Domänencontrollers für einen nicht autorisierenden SYSVOLNeustart
8. Import der SYSVOL-Ordnerstruktur
9. Starten des Dateireplikationsdienstes
10. Den Status der SYSVOL-Freigabe überprüfen
Identifizieren der Replikationspartner
Mit diesem Verfahren überprüfen Sie die Verbindungsobjekte eines Domänencontrollers
und ermitteln seine Replikationspartner fest.
Administrative Berechtigungen
Damit Sie dieses Verfahren durchführen können, müssen Sie Mitglied der Gruppe
Domänen-Admins sein.
Identifizieren von Replikationspartnern
1. Öffnen Sie Active Directory-Standorte und -Dienste.
2. Erweitern Sie den Container Standorte.
3. Klicken Sie doppelt auf den Standort, in dem sich der Domänencontroller
befindet.
Anmerkung
Wenn Sie nicht wissen, wo sich der Domänencontroller befindet, geben
Sie in einer Eingabeaufforderung den Befehl ipconfig ein und fragen so
die IP-Adresse des Domänencontrollers ab. Vergleichen Sie die IPAdresse mit den Subnetzen, und ermitteln Sie so den Standort.
4. Erweitern Sie den Ordner Server.
5. Erweitern Sie den Namen des Domänencontrollers.
6. Klicken Sie doppelt auf NTDSSettings, um die Verbindungsobjekte anzuzeigen
(angezeigt werden die für die Replikation verwendeten eingehenden
Verbindungen). In der Spalte Von Server finden Sie die Namen der
Replikationspartner.
Den Status der SYSVOL-Freigabe
überprüfen
Anmerkung
Sie müssen dieses Verfahren nicht auf jedem Partner ausführen. Führen Sie jedoch
genügend Tests aus, um sicherzustellen, dass die Systemvolumen auf den Partnern
nicht beschädigt sind.
Administrative Berechtigungen
Um die folgenden Schritte ausführen zu können, müssen Sie Mitglied der Gruppe
Domänen-Admins oder der Gruppe Organisations-Admins sein.
Prüfen des Status der SYSVOL-Freigabe
1. Öffnen Sie die Ereignisanzeige.
2. Klicken Sie auf Dateireplikationsdienst.
3. Suchen Sie nach Ereignis 13516 mit einem Datum und Zeitstempel, der dem
Zeitpunkt des Neustarts entspricht. Es kann bis zu 15 Minuten oder mehr dauern,
bis das Ereignis angezeigt wird. Ereignis 13508 zeigt an, dass der FRS den
Dienst gerade startet. 13509 zeigt an, dass der Dienst erfolgreich gestartet
wurde.
4. Prüfen Sie, ob die Freigabe erstellt wurde, indem Sie sich mit net share eine
Liste der freigegebenen Ordner anzeigen lassen.
5. Geben Sie den Befehl dcdiag /test:netlogons ein.
6. Suchen Sie nach einem Eintrag, der computername passed test NetLogons
lautet. Wenn dieser Eintrag nicht angezeigt wird, gibt es ein Problem mit der
Replikation. Der Test überprüft, ob die für die Replikation notwendigen
Anmeldeprivilegien vorhanden sind. Wenn der Test fehlschlägt, überprüfen Sie
die Berechtigungen für die Freigaben Net Logon und SYSVOL.
Überprüfen der Replikation mit anderen
Domänencontrollern
Diese Tests prüfen verschiedene Aspekte der Replikationstopologie. Außerdem prüfen
Sie, ob Objekte repliziert werden und ob die korrekten Anmeldeberechtigungen für die
Replikation vorhanden sind.
Administrative Berechtigungen
Um die folgenden Schritte ausführen zu können, müssen Sie Mitglied der Gruppe
Domänen-Admins oder der Gruppe Organisations-Admins sein.
Prüfen der Replikation mit anderen Domänencontrollern
1. Öffnen Sie eine Eingabeaufforderung.
2. Geben Sie den folgenden Befehl ein, und drücken Sie dann die
EINGABETASTE:
dcdiag /test:replications
Anmerkung
Es steht zusätzlich die Option /v zur Verfügung. Sie zeigt jedoch keine
wichtigen Informationen an.
3. Mit dem folgenden Verfahren prüfen Sie, ob die korrekten Berechtigungen für die
Replikation vorhanden sind:
dcdiag /test:netlogons
Alle Tests sollten als erfolgreich angezeigt werden.
Lokaler Neustart des
Domänencontrollers im
Verzeichnisdienstwiederherstellungsmod
us
Wenn Sie physischen Zugriff auf den Domänecontroller haben, können Sie diesen lokal
im Verzeichnisdienstwiederherstellungsmodus starten.
Im Verzeichnisdienstwiederherstellungsmodus wird das lokale Administratorkonto über
die Security Accounts Manager-Datenbank (SAM) überprüft. Daher benötigen Sie das
Wiederherstellungskennwort - nicht das normale Administratorkennwort.
Administrative Berechtigungen
Um dieses Verfahren durchführen zu können, benötigen Sie das
Verzeichnisdienstwiederherstellungskennwort.
Lokaler Neustart des Domänencontrollers im
Verzeichnisdienstwiederherstellungsmodus
1. Starten Sie den Domänencontroller neu.
2. Wenn die Betriebssystemauswahl angezeigt wird, drücken Sie F8.
3. Wählen Sie unter Erweiterte Optionen die Option
Verzeichnisdienstwiederherstellungsmodus.
4. Melden Sie sich als lokaler Administrator an.
Siehe auch
Neustart des Domänencontrollers im Verzeichnisdienstwiederherstellungsmodus von
einem Remotestandort aus
Zusammenstellen der SYSVOLPfadinformationen
Wenn Sie SYSVOL verschieben, dann verschieben Sie erst die gesamte Ordnerstruktur
an einen neuen Speicherort. Aktualisieren Sie dann alle Bereitstellungspunkte und
Parameter. Optional können Sie den Stagingbereich verschieben und den Rest des
Systemvolumens am alten Speicherort belassen. In diesem Fall müssen Sie den
Parameter fRSStagingPath im Verzeichnis und den Bereitstellungspunkt unter
%systemroot%\SYSVOL\staging areas ändern.
Administrative Berechtigungen
Um die folgenden Schritte ausführen zu können, müssen Sie Mitglied der Gruppe
Domänen-Admins oder der Gruppe Organisations-Admins sein.
Rufen Sie die Pfadinformationen mit den unten angegebenen Verfahren ab, und halten
Sie die Werte in der folgenden Tabelle fest.
Um den Stagingbereich zu verschieben, benötigen Sie die Informationen aus Zeile 2 und
5.
Anmerkung
Zum Wiederherstellen von SYSVOL benötigen Sie Informationen zum
Domänencontroller, die in den Zeilen 1, 2 und 3 festgehalten werden. In den
Zeilen 4 und 5 halten Sie Informationen zu den Bereitstellungspunkten fest.
Parameter
1
fRSRootPath
2
fRSStagingPath
3
Sysvol parameter in
registry
Aktueller Wert
Neuer Wert
Parameter
4
Sysvol junction
5
Staging junction
Aktueller Wert
Neuer Wert
Anhalten des Dateireplikationsdienstes
Mit diesem Verfahren können Sie den Dateireplikationsdienst anhalten.
Administrative Berechtigungen
Um die Aufgabe durchführen zu können, müssen Sie Mitglied der Gruppe DomänenAdmins sein.
Anhalten des Dateireplikationsdienstes
1. Öffnen Sie eine Eingabeaufforderung.
2. Führen Sie den folgenden Befehl aus:
net stop ntfrs
Vorbereiten eines Domänencontrollers
für einen nicht autorisierenden SYSVOLNeustart
Durch das Bearbeiten der BurFlags-Registrierungseinträge (Backup/Restore-Flags)
können Sie einen nicht autorisierenden SYSVOL-Neustart initiieren. Setzen Sie den Wert
auf D2 (Hexadecimal) oder 210 (Dezimal), und beim nächsten Start des
Domänencontrollers wird der SYSVOL-Neustart durchgeführt.
Es gibt die folgenden Einträge:

Um einen SYSVOL-Neustart zu erreichen, wenn es nur diesen einen
Replikationssatz für den Domänencontroller gibt, verwenden Sie den Wert unter
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\NtFrs\Parameter
s\Backup/Restore\Process at Startup

Wenn es andere Replikationssätze gibt und Sie SYSVOL nur aktualisieren möchten,
verwenden Sie den Wert unter
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\NtFrs\Parameter
s\Cumulative Replica Sets\SYSVOL GUID
Vorsicht
Der Registrierungseditor umgeht die normalen Sicherheitsfunktionen. Sie können
so Einstellungen vornehmen, die das System beschädigen können oder sogar
dafür sorgen können, dass Windows neu installiert werden muss. Sichern Sie vor
einer Bearbeitung der Registrierung den Systemstatus. Weitere Informationen
hierzu finden Sie unter: Administering Active Directory Backup and Restore.
Administrative Berechtigungen
Um die folgenden Schritte ausführen zu können, müssen Sie Mitglied der Gruppe
Domänen-Admins oder der Gruppe Organisations-Admins sein.
Vorbereiten eines Domänencontrollers auf einen nicht autorisierenden
SYSVOL-Neustart
1. Klicken Sie auf Start und Ausführen. Geben Sie regedit ein, und klicken auf OK.
2. Navigieren Sie zu
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\NtFrs\Parameters
3. Erweitern Sie Parameters.
4. Bearbeiten Sie einen der BurFlags-Einträge wie folgt:
a. Erweitern Sie Backup/Restore, und klicken Sie auf Process at Startup.
b. Klicken Sie rechts auf BurFlags und dann auf Bearbeiten.
c.
Geben Sie D2 als Hexadezimalwert oder 210 als Dezimalwert ein.
d. Klicken Sie auf OK.
oder
a. Erweitern Sie Cumulative Replica Sets und Replica Sets.
b. Suchen Sie nach der GUID unter Replica Sets, die der GUID unter Cumulative
Replica Sets entspricht, und klicken Sie auf die entsprechende GUID unter
Cumulative Replica Sets.
c.
Klicken Sie rechts auf BurFlags und dann auf Bearbeiten.
d. Geben Sie D2 als Hexadezimalwert oder 210 als Dezimalwert ein.
e. Klicken Sie auf OK.
Import der SYSVOL-Ordnerstruktur
Mit diesem Verfahren können Sie die SYSVOL-Ordnerstruktur von einem anderen
Domänencontroller kopieren.
Damit Sie das beschriebene Verfahren nutzen können, muss die Standardfreigabe
Admin$ auf dem Domänencontroller vorhanden sein, auf den Sie die Ordnerstruktur
kopieren möchten. Sollte die Freigabe nicht vorhanden sein, müssen Sie den Ordner
%systemroot% freigeben und die Freigabe in Admin$ umbenennen. Wenn Sie
%systemroot% freigeben, stellen Sie sicher, dass Sie die Freigabe hinterher wieder
entfernen. Sollte Admin$ nur umbenannt worden sein, verwenden Sie statt Admin$ den
neuen Namen.
Vorsicht
Kopieren Sie keine Informationen von einem SYSVOL auf einem
Domänencontroller in ein SYSVOL auf einem anderen Domänencontroller, ohne
vorher den FRS angehalten und SYSVOL für eine nicht autorisierende
Wiederherstellung konfiguriert zu haben. Wenn Sie dies vergessen, kann es
sein, dass die Daten nicht mehr repliziert werden können und inkonsistent
werden.
Administrative Berechtigungen
Um die folgenden Schritte ausführen zu können, müssen Sie Mitglied der Gruppe
Domänen-Admins oder der Gruppe Organisations-Admins sein.
Import der SYSVOL-Ordnerstruktur
1. Öffnen Sie den Windows Explorer.
2. Navigieren Sie zum vorhandenen %systemroot%\SYSVOL, den Sie neu
erstellen möchten, und löschen Sie diesen.
3. Verbinden Sie sich mit der Freigabe Admin$ auf dem Domänencontroller, den
Sie als Replikationspartner identifiziert haben und von dem die Ordnerstruktur
kopiert werden soll.
4. Klicken Sie dann mit rechts auf den SYSVOL-Ordner und auf Kopieren.
5. Klicken Sie im gleichen Ordner irgendwo mit rechts auf den Hintergrund, und
klicken Sie auf Einfügen. Wenn ein Dialogfenster angezeigt wird, das Sie
darüber informiert, dass Dateien bereits vorhanden sind, klicken Sie jedes Mal
auf Nein.
6. Prüfen Sie, ob nun der Original SYSVOL-Ordner und ein neuer Ordner mit dem
Namen Kopie von SYSVOL vorhanden sind. Klicken Sie mit rechts auf Kopie
von SYSVOL und auf Umbenennen. Geben Sie SYSVOL2 ein, und drücken Sie
die EINGABETASTE.
7. Öffnen Sie eine Eingabeaufforderung. Wechseln Sie zu dem Laufwerk, unter
dem Sie mit dem Remotedomänencontroller verbunden sind.
8. Wechseln Sie in das Verzeichnis SYSVOL2\sysvol.
9. Geben Sie dir ein. Prüfen Sie, ob der Eintrag <JUNCTION> gefolgt vom Namen
der Domäne in der Ausgabe auftaucht.
10. Sie müssen den Pfad für diesen Bereitstellungspunkt auf den neuen Speicherort
aktualisieren. Geben Sie den folgenden Befehl ein:
linkd NameDesBereitstellungspunktes NeuePfad
Wobei NeuerPfad der neue Pfad ist, den Sie in Zeile 4 der Tabelle in der
Aufgabe Zusammenstellen der SYSVOL-Pfadinformationen festgehalten haben.
11. Wenn Staging Area verschoben wurde und sich nicht in SYSVOL befindet,
überspringen Sie die Schritte 10 und 11 und fahren mit Schritt 12 fort. Wechseln
Sie in der Eingabeaufforderung zum Ordner \SYSVOL2\staging areas. Geben
Sie dir ein, und prüfen Sie, ob <JUNCTION> in der Ausgabe erscheint.
12. Sie müssen den Pfad für diesen Bereitstellungspunkt auf den neuen Speicherort
aktualisieren. Geben Sie den folgenden Befehl ein:
linkd NameDesBereitstellungspunktes NeuePfad
Wobei NeuerPfad der neue Pfad ist, den Sie in Zeile 5 der Tabelle in der
Aufgabe Zusammenstellen der SYSVOL-Pfadinformationen festgehalten haben.
13. Wechseln Sie zum Pfad %systemroot% des Domänencontrollers, den Sie
reparieren.
14. Verwenden Sie den Befehl Xcopy, um den Ihnalt von \SYSVOL2 in einen neuen
SYSVOL-Ordner auf dem lokalen Laufwerk zu kopieren. Verwenden Sie den
folgenden Befehl:
xcopy laufwerk:\sysvol2\*.* sysvol\*.* /s /e /h /c /y
Wobei laufwerk der Laufwerksbuchstabe ist, unter dem Sie mit dem
Remotedomänencontroller verbunden sind.
15. Prüfen Sie, ob die Ordnerstruktur korrekt kopiert wurde. Vergleichen Sie die
Ordnerstruktur mit SYSVOL auf dem Remotedomänencontroller (nicht mit
SYSVOL2). Verwenden Sie den Befehl dir, um die Inhalte des Ordners anzeigen
zu lassen.
16. Entfernen Sie den Ordner SYSVOL2 vom Remotedomänencontroller.
17. Trennen Sie die Verbindung mit dem Remotedomänencontroller. Wenn Sie eine
Freigabe erstellt hatten, entfernen Sie diese nun wieder.
18. Starten Sie den Domänencontroller im normalen Modus neu.
Starten des Dateireplikationsdienstes
Administrative Berechtigungen
Um das unten aufgeführte Verfahren ausführen zu können, müssen Sie Mitglied der
Gruppe Domänen-Admins sein.
Starten des Dateireplikationsdienstes
1. Öffnen Sie eine Eingabeaufforderung.
2. Führen Sie den folgenden Befehl aus:
net start ntfrs
3. Mit der Ereignisanzeige können Sie überprüfen, ob NTFRS korrekt gestartet
wurde. Ereignis-ID 13501 zeigt an, dass der Dienst neu gestartet wurde. Mit
Ereignis-ID 13516 wird angezeigt, dass der Domänencontroller ausgeführt wird
und bereit ist. Ereignis-IDs 13553 und 13556 zeigen ein erfolgreiches
Verschieben an.
Administration des globalen Katalogs
In diesem Kapitel finden Sie Informationen zur Administration des globalen Katalogs von
Active Directory unter Microsoft Windows Server 2003.
Das Kapitel umfasst die folgenden Abschnitte:

Einführung in die Administration des globalen Katalogs

Verwaltung des globalen Katalogs
Danksagung
Veröffentlicht: März 2005
Betrifft: Windows Server 2003 SP1
Erstellt von: Microsoft Windows Server User Assistance Team
Autor: Mary Hillman
Redaktion: Jim Becker
Einführung in die Administration des
globalen Katalogs
Globale Katalog Server dienen zur gesamtstrukturweiten Suche im Verzeichnis und zur
Durchführung von Clientanmeldungen, wenn universelle Gruppen verwendet werden
(dies ist der Fall, wenn eine Domäne in der Funktionsebene Windows Server 2003 oder
Windows 2000 pur arbeitet). Wenn universelle Gruppen zur Verfügung stehen, muss ein
Domänencontroller in der Lage sein, einen globalen Katalogserver abzufragen, um eine
Anmeldeanforderung bearbeiten zu können.
Platzierung des globalen Katalogs
Die Platzierung von globalen Katalog Servern innerhalb der Standorte geschieht bei der
Bereitstellung der Gesamtstruktur. Wenn die Gesamtstruktur wächst, kann es notwendig
sein, weitere globale Katalog Server bereitzustellen. Um die Anmelde- und
Suchgeschwindigkeit zu verbessern, sollte sich mindestens ein globaler Katalog an
jedem Standort befinden, und mindestens zwei, wenn der Standort über mehrere
Domänencontroller verfügt. Als Best Practice sollte die Hälfte der Domänencontroller in
einem Standort als globaler Katalog konfiguriert sein, wenn es mehr als drei
Domänencontroller gibt. Wenn es nur eine Domäne gibt, konfigurieren Sie alle
Domänencontroller als globalen Katalog.
Bei der Platzierung von globalen Katalog Servern sollten Sie die folgenden Überlegungen
anstellen:

Hat ein Standort keinen globalen Katalog?

Welche Domänencontroller sind in einem Standort als globaler Katalog vorgesehen?
Initiale Replikation des globalen Katalogs
Wenn Sie einen globalen Katalog zu einem Standort hinzufügen, aktualisiert der KCC
(Knowledge Consistency Checker) die Replikationstopologie.
Beim Hinzufügen weiterer globaler Kataloge ist nur eine Replikation innerhalb des
Standortes notwendig. Die Netzwerkleistung wird somit nicht beeinträchtigt. Dies passiert
nur, wenn der erste globale Katalog zu einem Standort hinzugefügt wird. Hierbei hängen
die Auswirkungen auf die Leistung von den folgenden Faktoren ab:

Der Geschwindigkeit und Zuverlässigkeit der WAN-Verbindungen des Standortes.

Der Größe der Gesamtstruktur.
Verfügbarkeit des globalen Katalogs
Der globale Katalog steht den Clients zur Verfügung, wenn er über das DNS als globaler
Katalog Server identifizierbar ist. Bevor dies der Fall ist, müssen jedoch mehrere
Bedingungen erfüllt sein. Diese Bedingungen werden in sieben Stufen unterteilt (0 bis 6)
und werden Betriebslevel genannt. Auf jedem Level muss ein bestimmtes Maß an
Synchronisation erreicht sein, bevor zum nächsten Level gewechselt wird.
Standardmäßig müssen bei Domänencontrollern unter Windows Server 2003 alle Level
abgeschlossen sein, bevor der globale Katalog zur Verwendung bereit ist. Auf Level 6
sind alle teilweisen nur lesbaren Verzeichnispartitionen erfolgreich an den globalen
Katalog repliziert worden. Wenn die Anforderungen aller Level erfüllt sind, registriert der
NetLogon-Dienst auf dem globalen Katalog Server einen DNS-Diensteintrag (SRV), der
den Domänencontroller innerhalb des Standortes und der Gesamtstruktur als globalen
Katalog identifiziert.
Zusammenfassend bedeutet das also, dass ein globaler Katalog für die Clients bereit ist,
wenn die folgenden Ereignisse in dieser Reihenfolge aufgetreten sind:

Alle Betriebslevel sind abgeschlossen.

Das rootDSE-Attribut isGlobalCatalogReady ist auf TRUE gesetzt.

Der NetLogon-Dienst auf dem Domänencontroller hat den DNS mit einem SRVEintrag aktualisiert.
Zu diesem Zeitpunkt kann der globale Katalog über Port 3268 und 3269 abgefragt
werden.
Entfernen des globalen Katalogs
Wenn Sie den globalen Katalog entfernen, hört der Domänencontroller sofort damit auf,
sich im DNS als globaler Katalog Server einzutragen. Der KCC entfernt die nur lesbaren
Repliken vom Domänencontroller. Bei Domänencontrollern unter Windows Server 2003
passiert dies im Hintergrund - so wird der normale Betrieb nicht beeinflusst.
Ein Grund, aus dem Sie möglicherweise einen globalen Katalog entfernen möchten, ist
die Verfügbarkeit des Cachings für universelle Gruppemitgliedschaften unter
Windows Server 2003. An bestimmten Standorten kann es sein, dass somit kein globaler
Katalog mehr erforderlich ist.
Die minimalen Hardwareanforderungen für globale Katalog Server hängen von der
Anzahl der Benutzer in einem Standort ab. Informationen zu dem benötigten
Festplattenplatz und zur Datenbankspeicherung finden Sie unter
http://go.microsoft.com/fwlink/?LinkId=45434.
Siehe auch
http://go.microsoft.com/fwlink/?LinkId=44139
Verwaltung des globalen Katalogs
Mit den folgenden Verfahren veralten Sie den globalen Katalog:

Konfiguration eines globalen Katalog Servers

Überprüfen der Bereitschafft des globalen Katalogs

Entfernen des globalen Katalogs
Konfiguration eines globalen Katalog
Servers
Wenn das Hinzufügen eines globalen Katalog Servers an einem Standort erforderlich ist,
können Sie einen Domänencontroller zum globalen Katalog machen. Der KCC
aktualisiert dann sofort die Topologie, und nachdem dies geschehen ist, werden die nur
lesbaren Domänenpartitionen auf den entsprechenden Domänencontroller repliziert.
Wenn die Replikation zwischen Standorten durchgeführt wird, legt der Zeitplan für die
Standortverknüpfungen fest, wann dies geschieht.
Anforderungen
Um die unten beschriebenen Aufgaben ausführen zu können, sind die folgenden Tools
notwendig:

Active Directory-Standorte und -Dienste

Repadmin.exe

Dcdiag.exe
Um diese Aufgabe auszuführen, sind die folgenden Schritte erforderlich:
Anmerkung
Einige Schritte sind nur dann erforderlich, wenn Sie den ersten globalen Katalog
an einem Standort bereitstellen.
1. Feststellen, ob ein Domänencontroller ein globaler Katalogserver ist
2. Konfigurieren eines Domänencontrollers als globaler Katalog Server
3. Überwachen des Replikationsprozesses des globalen Katalogs
4. Überprüfen der erfolgreichen Replikation mit einem anderen Domänencontroller
Feststellen, ob ein Domänencontroller
ein globaler Katalogserver ist
Mit dem NTDS-Settings-Objekt können Sie festlegen, ob ein Domänencontroller ein
globaler Katalog ist oder nicht.
Administrative Berechtigungen
Um dieses Verfahren durchführen zu können, müssen Sie Mitglied der Gruppe
Domänen-Admins sein.
Feststellen, ob ein Domänencontroller ein globaler Katalogserver ist
1. Öffnen Sie Active Directory-Standorte und -Dienste.
2. Erweitern Sie den Container Standorte und den Standort, in dem sich der
betreffende Domänencontroller befindet. Erweitern Sie den Container Servers
und das Server-Objekt.
3. Klicken Sie mit rechts auf das NTDS-Settings-Objekt und dann auf
Eigenschaften.
4. Wenn auf der Registerkarte Allgemein das Feld Globaler Katalog ausgewählt
ist, arbeitet der Domänencontroller als globaler Katalog Server.
Konfigurieren eines Domänencontrollers
als globaler Katalog Server
Administrative Berechtigungen
Um dieses Verfahren durchführen zu können, müssen Sie Mitglied der Gruppe
Domänen-Admins in der Domäne sein, in der sich der der als globaler Katalog
vorgesehene Domänencontroller befindet.
Konfigurieren eines Domänencontrollers als globaler Katalog Server
1. Öffnen Sie Active Directory-Standorte und -Dienste.
2. Erweitern Sie den Container Standorte und den Standort, in dem sich der
betreffende Domänencontroller befindet. Erweitern Sie den Container Servers
und das Server-Objekt.
3. Klicken Sie mit rechts auf das NTDS-Settings-Objekt und dann auf
Eigenschaften.
4. Aktivieren Sie die Option Globaler Katalog, und klicken Sie dann auf OK.
Überwachen des Replikationsprozesses
des globalen Katalogs
Mit dem folgenden Verfahren können Sie feststellen, wie viel Prozent der nur lesbaren
Verzeichnispartition bereits auf den neuen globalen Katalog Server repliziert wurden.
Anmerkung
Exchange 2003 Server nutzen den globalen Katalog zur Suche nach Adressen.
Daher kann es beim Bekannt geben eines globalen Katalog Servers, bevor
dieser alle Repliken erhalten hat, zu Problemen mit Adressbüchern und der
Mailzustellung kommen.
Damit ein MAPI-Zugriff auf Active Directory möglich ist, muss der Name Service
Provider Interface (NSPI) auf einem globalen Katalog Server ausgeführt werden.
Um den NSPI zu aktivieren, müssen Sie den globalen Katalog nach dem Erhalt
aller Repliken neu starten.
Administrative Berechtigungen
Um das unten aufgeführte Verfahren ausführen zu können, müssen Sie Mitglied der
Gruppe Domänen-Admins sein.
Überwachen des Replikationsprozesses des globalen Katalogs
1. Öffnen Sie eine Eingabeaufforderung.
2. Geben Sie den folgenden Befehl ein, und drücken Sie die EINGABETASTE:
dcdiag /v /s:servername| find “%”
Wert
servername
Beschreibung
Name des neuen globalen Katalog
Servers.
3. Wiederholen Sie den Befehl regelmäßig, und prüfen Sie so den Fortschritt der
Replikation. Wenn keine Ausgaben angezeigt werden, ist die Replikation
vollständig.
Überprüfen der Bereitschaft des globalen
Katalogs
Nach der Replikation der Verzeichnispartition gibt der Domänencontroller bekannt, dass
er globaler Katalog ist und nimmt Anfragen entgegen. Wenn dies geschieht, bevor die
Replikation vollständig ist, kann es sein, dass er fehlerhafte Informationen zurückgibt. Mit
den folgenden Schritten können Sie feststellen, ob der globale Katalog Server bereit ist.
Anforderungen
Um die unten beschriebenen Aufgaben ausführen zu können, sind die folgenden Tools
notwendig:

Ldp.exe

Nltest.exe

DNS snap-in
Anmerkung
Der globale Katalog Server muss nach der Replikation erst einmal neu gestartet
werden.
Um diese Aufgabe auszuführen, sind die folgenden Schritte erforderlich:
1. Prüfen der Bereitschaft des globalen Katalogs
2. Prüfen der DNS-Einträge des globalen Katalogs
Prüfen der Bereitschaft des globalen
Katalogs
Wenn die Replikation abgeschlossen ist, wird das rootDSE-Attribut
isGlobalCatalogReady rootDSE auf TRUE gesetzt.
Administrative Berechtigungen
Um dieses Verfahren durchführen zu können, müssen Sie Mitglied der Gruppe
Domänenbenutzer sein.
Prüfen der Bereitschaft des globalen Katalogs

Mithilfe der Windows-Oberfläche

Mithilfe der Eingabeaufforderung
Mithilfe der Windows-Oberfläche
1. Klicken Sie auf Start, klicken Sie auf Run, geben Sie Ldp ein, und klicken Sie
dann auf OK.
2. Klicken Sie im Menü Verbindung auf Verbinden.
3. Geben Sie den Namen des Servers ein, den Sie überprüfen möchten.
4. Geben Sie unter Port 389 ein.
5. Deaktivieren Sie die Option Verbindungslos, und klicken Sie dann auf OK.
6. Prüfen Sie, ob das Attribut isGlobalCatalogReady den Wert TRUE hat.
7. Klicken Sie im Menü Verbindung auf Trennen.
Mithilfe der Eingabeaufforderung
1. Öffnen Sie eine Eingabeaufforderung.
2. Geben Sie den folgenden Befehl ein, und drücken Sie die EINGABETASTE:
nltest /server:servername /dsgetdc:domänenname
Wert
Beschreibung
servername
Name des globalen Katalog Servers.
domänenname
Name der Domäne des Servers.
3. Wenn in der Ausgabe unter Flags: GC angezeigt wird, ist der globale Katalog mit
der Replikation fertig.
Prüfen der DNS-Einträge des globalen
Katalogs
Über die DNS-SRV-Einträge des globalen Katalogs können Sie feststellen, ob der
globale Katalog in der Domäne bekannt ist. Starten Sie den globalen Katalog Server neu,
bevor Sie die Einträge überprüfen.
Administrative Berechtigungen
Um dieses Verfahren durchführen zu können, müssen Sie Mitglied der Gruppe
Domänenbenutzer sein.
Prüfen der DNS-Einträge des globalen Katalogs
1. Öffnen Sie das DNS-Snap-In, und verbinden Sie sich mit einem
Domänencontroller in der Stammdomäne.
2. Erweitern Sie Forward Lookup Zones und dann die Stammdomäne.
3. Klicken Sie auf den Container _tcp.
4. Suchen Sie in der Spalte Name nach _gc und in der Spalte Daten nach dem
Namen des Servers.
Entfernen des globalen Katalogs
Um einen globalen Katalog zu entfernen, reicht es, die Option in den NTDS-Settings zu
deaktivieren. Der Domänencontroller hört dann sofort auf, sich selbst über den DNS als
globaler Katalog Server bekannt zu machen und beantwortet keine LDAP-Anfragen über
die Ports 3268 und 3269 mehr.
Anforderungen
Um die unten beschriebene Aufgabe ausführen zu können, sind die folgenden Tools
erforderlich:

Active Directory-Standorte und -Dienste
Um diese Aufgabe auszuführen, sind die folgenden Schritte erforderlich:
1. Deaktivieren der globaler Katalog-Einstellung
2. Überwachen der Ereignisanzeige
Deaktivieren der globaler KatalogEinstellung
Administrative Berechtigungen
Um diese Aufgabe ausführen zu können, müssen Sie Mitglied der Gruppe DomänenAdmins in der Domäne sein, in der sich der globale Katalog Server befindet.
Deaktivieren der Einstellung
1. Öffnen Sie Active Directory-Standorte und -Dienste.
2. Erweitern Sie den Container Standorte und den Standort, in dem sich der
betreffende Domänencontroller befindet. Erweitern Sie den Container Servers
und das Server-Objekt.
3. Klicken Sie mit rechts auf das NTDS-Settings-Objekt und dann auf
Eigenschaften.
4. Deaktivieren Sie die Option Globaler Katalog, und klicken Sie dann auf OK.
Überwachen der Ereignisanzeige
Um das erfolgreiche Entfernen des globalen Katalogs zu überprüfen, müssen Sie die
Ereignisanzeige überwachen. Der KCC trägt Ereignis 1268 ein, wenn der globale Katalog
entfernt wurde.
Administrative Berechtigungen
Um dieses Verfahren durchführen zu können, müssen Sie Mitglied der Gruppe
Domänenbenutzer sein.
Überwachen der Ereignisanzeige
1. Öffnen Sie die Ereignisanzeige.
2. Klicken Sie mit rechts auf Ereignisanzeige (Lokal) und dann auf Mit einem
anderen Computer verbinden.
3. Klicken Sie auf Anderer Computer, und geben Sie den Namen des Servers ein,
von dem Sie den globalen Katalog entfernt haben. Klicken Sie dann auf OK.
4. Klicken Sie unter Ereignisanzeige auf Verzeichnisdienstprotokoll.
5. Suchen Sie nach Ereignis-ID 1268.
Administration von Betriebsmasterrollen
In diesem Kapitel finden Sie Informationen zur Administration der Active DirectoryBetriebsmasterrollen unter Microsoft Windows Server 2003.
In diesem Kapitel finden Sie die folgenden Abschnitte:

Einführung in die Administration von Betriebsmasterrollen

Verwaltung von Betriebsmasterrollen
Danksagung
Veröffentlicht: März 2005
Betrifft: Windows Server 2003
Erstellt durch: Microsoft Windows Server User Assistance Team
Autor: Shala Brandolini
Redaktion: Jim Becker
Einführung in die Administration von
Betriebsmasterrollen
Betriebsmaster führen bestimmte Aufgaben durch, die von keinem anderen
Domänencontroller ausgeführt werden dürfen.
Es gibt in jeder Domäne drei eindeutige Betriebsmaster:

PDC-Emulator: Wenn eine Domäne Computer ohne Windows 2000 oder Windows
XP Professional-Clientsoftware oder Reservedomänencontroller (BDCs) unter
Windows NT umfasst, übernimmt der PDC-Emulationsmaster die Funktion eines
primären Windows NT-Domänencontrollers. Dieser Master verarbeitet
Kennwortänderungen von Clients und repliziert Aktualisierungen auf die
Reservedomänencontroller.

RID-Master: Der RID-Master ordnet den verschiedenen Domänencontrollern seiner
Domäne Sequenzen relativer IDs (RIDs) zu.

nfrastrukturmaster: Der Infrastrukturmaster dient dazu, Objektreferenzen in seiner
Domäne auf Objekte in anderen Domänen zu aktualisieren.
Zusätzlich zu den drei in jeder Domäne vorhandenen Betriebsmastern gibt es in jeder
Gesamtstruktur zwei weitere Betriebsmaster:

Schemamaster: Der Domänencontroller mit der Funktion des Schemamasters
überwacht alle Aktualisierungen und Änderungen am Schema.

Domänennamenmaster: Der Domänencontroller mit der Funktion des
Domänennamenmasters steuert das Hinzufügen oder Entfernen von Domänen in der
Gesamtstruktur.
Die Domänencontroller mit den Betriebsmasterrollen müssen durchgehend verfügbar
sein. Sie müssen sich in zuverlässigen Netzwerkbereichen befinden. Wenn Sie Ihrer
Gesamtstruktur Domänen und Standorte hinzufügen, wird die Platzierung von
Betriebsmastern immer wichtiger.
Richtlinien zur Platzierung der Rollen
Durch das falsche Platzieren der Betriebsmaster kann es zum Beispiel dazu kommen,
dass Clients nicht in der Lage sind, ihr Kennwort zu ändern oder nicht in Domänen
aufgenommen werden können.
Wenn Sie Ihre Umgebung ändern, müssen Sie dafür sorgen, dass es nicht zu Problemen
mit den Betriebsmasterrollen kommt. Möglicherweise müssen Sie diese daher anderen
Domänencontrollern zuweisen.
Auch wenn Sie die gesamtstrukturweiten und domänenweiten Rollen jedem
Domänencontroller zuweisen können, sollten Sie den unten aufgeführten Vorgaben
folgen. Sie verringern so den administrativen Aufwand und verbessern die Leistung von
Active Dirctory.
Belassen Sie die beiden gesamtstrukturweiten Rollen auf einem Domänencontroller der
Stammdomäne.

Platzieren Sie die drei domänenweiten Rollen auf dem gleichen Domänencontroller.

Platzieren Sie die domänenweiten Rollen nicht auf einem globalen Katalog Server.

Platzieren Sie die domänenweiten Rollen auf einem Domänencontroller mit mehr
Leistung.

Passen Sie - wenn notwendig - die Auslastung der Betriebsmaster an.

Wählen Sie einen weiteren Domänencontroller als Standby-Betriebsmaster für die
gesamtstrukturweiten Rollen und einen Domänencontroller als Standby für die
domänenweiten Rollen aus.
Platzieren der gesamtstrukturweiten Rollen in der Stammdomäne
Der erste Domänencontroller der Gesamtstruktur wird automatisch Schemamaster und
Domänennamensmaster. Wenn Sie diese Rollen auf diesem Domänencontroller
belassen, vereinfachen Sie die Administration und Sicherung. Die Leistung verbessert
sich nicht durch das Verschieben der Rollen. Wenn Sie die Rollen trennen, sorgt dies nur
für größeren administrativen Aufwand.
Im Gegensatz zu anderen Rollen sorgen die gesamtstrukturweiten Rollen nur selten für
eine spürbare Auslastung des Domänencontrollers.
Platzieren der gesamtstrukturweiten Rollen auf einem globalen Katalog Server
Zusätzlich zu den beiden anderen Rollen ist der erste Domänencontroller einer
Gesamtstruktur auch gleichzeitig globaler Katalog Server.
Platzieren der domänenweiten Rollen auf dem gleichen Domänencontroller
Die drei domänenweiten Rollen werden dem ersten Domänencontroller einer neuen
Domäne zugewiesen. Außer in der Stammdomäne sollten Sie die Rollen auf diesem
Domänencontroller belassen - es sei denn, die Auslastung des Domänencontrollers
rechtfertigt ein Verschieben.
Da ältere Clients mit dem PDC-Emulator kommunizieren, benötigt der entsprechende
Betriebsmaster eine größere Anzahl an RIDs. Platzieren Sie den PDC-Emulator und den
RID-Master auf dem gleichen Domänencontroller.
Wenn Sie die Rollen trennen müssen, können Sie trotzdem einen StandbyBetriebsmaster für alle drei Rollen nutzen. Sie müssen allerdings in diesem Fall
sicherstellen, dass dieser auch mit allen drei Rolleninhabern repliziert.
Keine domänenweiten Rollen auf globalen Katalog Servern
Platzieren Sie auf einem Domänencontroller, der als globaler Katalog arbeitet, keinen
Infrastrukturmaster.
Der Infrastrukturmaster aktualisiert die Namen von Sicherheitsprinzipalen. Wenn ein
Benutzer aus einer Domäne zum Beispiel Mitglied in einer Gruppe in einer anderen
Domäne ist und sich sein Name in der ersten Domäne ändert, dann wird die zweite
Domäne nicht über diesen Vorgang in Kenntnis gesetzt. Da Domänencontroller einer
Domäne nicht mit Domänencontroller in anderen Domänen replizieren, werden die
Domänencontroller in der zweiten Domäne niemals über diese Änderung informiert. Der
Infrastrukturmaster überwacht Gruppenmitgliedschaften und sucht nach
Sicherheitsprinzipalen aus anderen Domänen. Wenn er eine solche findet, überprüft er
die Domäne des Sicherheitsprinzipals und stellt fest, ob es Änderungen gegeben hat.
Wenn dies der Fall ist, führt der Infrastrukturmaster die Änderung lokal durch und
repliziert diese dann an die anderen Domänencontroller in der Domäne.
Es gibt zwei Ausnahmen für diese Regel. Erstens: Wenn alle Domänencontroller globale
Katalog Server sind, ist es egal, welcher Domänencontroller Infrastrukturmaster ist.
Globale Kataloge replizieren die betreffenden Informationen so oder so – egal, zu
welcher Domäne sie gehören. Zweitens: Wenn es nur eine Domäne in der
Gesamtstruktur gibt, ist kein Infrastrukturmaster nötig - es gibt ja keine
Sicherheitsprinzipale aus anderen Domänen.
Platzierung der domänenweiten Rollen auf einem Domänencontroller mit mehr Leistung
Der PDC-Emulator produziert von allen Rollen am meisten Auslastung. Der PDCEmulator hat außerdem die größten Auswirkungen auf den täglichen Betrieb des
Verzeichnisdienstes. Platzieren Sie diesen daher auf einem Domänencontroller mit
entsprechender Kapazität.
Sie können die Auslastung des eines Domänencontrollers über die Gewichtung des
DNS-Eintrags steuern. Außerdem haben Sie die Möglichkeit, die Priorität anzupassen.
Richtlinien für das Übertragen von Rollen
Das Übertragen von Rollen ist die bevorzugte Methode, den Betriebsmaster zu
wechseln. Während einer solchen Übertragung replizieren die Domänencontroller und
stellen so sicher, dass keine Informationen verloren gehen. Der ursprüngliche
Rolleninhaber konfiguriert sich selbst so, dass er nicht länger die Rolle ausführt. Der
neue Rolleninhaber übernimmt automatisch seine Aufgaben. Durch dieses Verfahren
wird verhindert, dass es möglicherweise zwei Rolleninhaber gibt.
Es gibt zwei Möglichkeiten, um Betriebsmasterrollen zu verschieben: Das Übertragen
und (als letzten Ausweg) das Übernehmen.
Wichtig
Wenn Sie eine Rolle übernehmen müssen, dürfen Sie den alten Rolleninhaber
niemals wieder mit dem Netzwerk verbinden, ohne dass Sie diesen über die in
diesem Dokument beschriebenen Schritte neu konfiguriert haben. Andernfalls
kann es zu einer Beschädigung des Active Directory kommen.
Verwaltung von Betriebsmasterrollen
In diesem Abschnitt werden die folgenden Aufgaben zur Verwaltung von Betriebsmastern
beschrieben:

Festlegen eines Standby-Betriebsmasters

Übertragen einer Betriebsmasterrolle

Übernehmen einer Betriebsmasterrolle

Reduzierung der Auslastung auf dem PDC-Emulator
Festlegen eines StandbyBetriebsmasters
Ein Standby-Betriebsmaster ist ein Domänencontroller, der die Betriebsmasterrolle bei
Problemen mit dem originalen Betriebsmaster übernehmen kann. Hierbei kann ein
Domänencontroller als Standby für alle Rollen dienen, oder es kann für jede Rolle einen
eigenen Standby geben.
Es sind keine besonderen Schritte notwendig, um einen Domänencontroller zu einem
Standby zu machen. Der aktuelle Betriebsmaster und der Standby sollten jedoch über
eine gute Verbindung verfügen. Das bedeutet, dass die Netzwerkverbindung zwischen
beiden mindestens eine Kapazität von zehn Megabit haben und ständig verfügbar sein
sollte. Außerdem sollten Sie den aktuellen Rolleninhaber und den Standby als direkte
Replikationspartner konfigurieren, da dies beim Verschieben von Betriebsmasterrollen
Zeit sparen kann. Bevor Sie eine Rolle übertragen, stellen Sie auf jeden Fall sicher, dass
die Replikation zwischen den betreffenden Domänencontrollern korrekt arbeitet.
Wenn Sie einen Standby einrichten, minimiert dies außerdem das Risiko, dass ein
Übernehmen einer Rolle notwendig wird.
Wenn Sie einen Standby auswählen, sollten Sie hierbei nach den Empfehlungen aus
dem Abschnitt Einführung in die Administration von Betriebsmasterrollen vorgehen. Für
die gesamtstrukturweiten Rollen wählen Sie einen globalen Katalog Server aus. Für die
domänenweiten Rollen achten Sie darauf, dass der Domänencontroller kein globaler
Katalog ist.
Anforderungen
Um die unten beschriebenen Aufgaben ausführen zu können, sind die folgenden Tools
notwendig:

Active Directory-Standorte und -Dienste

Repadmin.exe. Um diese Aufgabe auszuführen, sind die folgenden Schritte
erforderlich:
1. Feststellen, ob ein Domänencontroller ein globaler Katalogserver ist
2. Erstellen eines Verbindungsobjekts auf dem aktuellen Betriebsmaster
3. Erstellen eines Verbindungsobjekts auf dem Standby-Betriebsmaster
4. Überprüfen der erfolgreichen Replikation mit einem anderen Domänencontroller
Feststellen, ob ein Domänencontroller
ein globaler Katalogserver ist
Mit dem NTDS-Settings-Objekt können Sie festlegen, ob ein Domänencontroller ein
globaler Katalog ist oder nicht.
Administrative Berechtigungen
Um dieses Verfahren durchführen zu können, müssen Sie Mitglied der Gruppe
Domänen-Admins sein.
Feststellen, ob ein Domänencontroller ein globaler Katalogserver ist
1. Öffnen Sie Active Directory-Standorte und -Dienste.
2. Erweitern Sie den Container Standorte und den Standort, in dem sich der
betreffende Domänencontroller befindet. Erweitern Sie den Container Servers
und das Server-Objekt.
3. Klicken Sie mit rechts auf das NTDS-Settings-Objekt und dann auf
Eigenschaften.
4. Wenn auf der Registerkarte Allgemein das Feld Globaler Katalog ausgewählt
ist, arbeitet der Domänencontroller als globaler Katalog Server.
Erstellen eines Verbindungsobjekts auf
dem aktuellen Betriebsmaster
Um die Replikation mit den Standby sicherzustellen, erstellen Sie auf beiden
Domänencontrollern manuell ein Verbindungsobjekt. Dies sollten Sie auch dann machen,
wenn automatisch ein Verbindungsobjekt erstellt wurde. Es kann vorkommen, dass
automatisch erstellte Verbindungsobjekte vom System verändert werden. Die passiert bei
manuell erstellten Objekten nicht.
Um das folgende Verfahren ausführen zu können, muss Ihnen der aktuelle
Betriebsmaster bekannt sein. Um zu ermitteln, welcher Domänencontroller
Betriebsmaster ist, führen Sie die Aufgabe Anzeigen der aktuellen Betriebsmaster aus.
Administrative Berechtigungen
Um die folgenden Schritte ausführen zu können, müssen Sie Mitglied der Gruppe
Domänen-Admins oder der Gruppe Organisations-Admins sein.
Erstellen eines Verbindungsobjekts auf dem aktuellen Betriebsmaster
1. Öffnen Sie Active Directory-Standorte und -Dienste.
2. Erweitern Sie den Container Standorte und den Standort, in dem sich der
Standby-Domänencontroller befindet. Erweitern Sie den Container Servers und
das Server-Objekt.
3. Erweitern Sie den Namen des Servers, der im Moment Betriebsmaster ist.
4. Klicken Sie mit rechts auf das NTDS-Settings-Objekt und dann auf Neu und auf
Verbindung.
5. Wählen Sie den Namen des Standby-Servers aus, und klicken Sie dann auf OK.
6. Geben Sie einen Namen für das neue Verbindungsobjekt ein, und klicken Sie auf
OK.
Erstellen eines Verbindungsobjekts auf
dem Standby-Betriebsmaster
Administrative Berechtigungen
Um die folgenden Schritte ausführen zu können, müssen Sie Mitglied der Gruppe
Domänen-Admins oder der Gruppe Organisations-Admins sein.
Erstellen eines Verbindungsobjekts auf dem Standby-Betriebsmaster
1. Öffnen Sie Active Directory-Standorte und -Dienste.
2. Erweitern Sie den Container Standorte und den Standort, in dem sich der
Standby-Domänencontroller befindet. Erweitern Sie den Container Servers und
das Server-Objekt.
3. Erweitern Sie den Namen des Servers, der Standby-Betriebsmaster werden soll.
4. Klicken Sie mit rechts auf das NTDS-Settings-Objekt und dann auf Neu und auf
Verbindung.
5. Wählen Sie den Namen des aktuellen Betriebsmasters aus, und klicken Sie dann
auf OK.
6. Geben Sie einen Namen für das neue Verbindungsobjekt ein, und klicken Sie auf
OK.
Überprüfen der erfolgreichen Replikation
mit einem anderen Domänencontroller
Mit dem Befehl repadmin /showrepl können Sie feststellen, ob die Replikation mit einem
bestimmten Domänencontroller erfolgreich war. Wenn Sie den Befehl nicht auf dem
Domänencontroller ausführen, dessen Replikation Sie testen möchten, können Sie auch
einen Ziel-Domänencontroller angeben. Repadmin zeigt unter INBOUND NEIGHBORS
die DNs aller Verzeichnispartitionen auf, für die eine eingehende Verzeichnisreplikation
versucht wurde - zusammen mit dem Standort und Namen des QuellDomänencontrollers und dem Erfolg oder Misserfolg der Replikation. Die Ausgabe sieht
zum Beispiel so aus:

Last attempt @ YYYY-MM-DD HH:MM.SS was successful.

Last attempt @ [Never] was successful.
Wenn @ [Never] angezeigt wird, heißt dies, dass die Partition noch nie erfolgreich
repliziert wurde.
Administrative Berechtigungen
Um das folgende Verfahren ausführen zu können, müssen Sie Mitglied der Gruppe
Domänen-Admins auf dem Ziel-Domänencontroller sein.
Überprüfen der erfolgreichen Replikation mit einem anderen
Domänencontroller
1. Öffnen Sie eine Eingabeaufforderung.
2. Geben Sie den folgenden Befehl ein, und drücken Sie dann die
EINGABETASTE:
repadmin /showrepl servername /u:domänenname\benutzername /pw:*
Parameter
Beschreibung
servername
Name des Ziel-Domänencontrollers.
domänenname
NetBIOS-Name der Domäne des ZielDomänencontrollers (es ist kein FQDN
notwendig).
Benutzername
Der Name eines administrativen
Kontos in der Domäne
3. Wenn Sie zur Eingabe eines Kennwortes aufgefordert werden, geben Sie das
Kennwort des Benutzerkontos ein.
Repadmin kann außerdem Detailinformationen zur Replikation mit allen
Replikationspartnern anzeigen. Die entsprechende Ausgabe sieht so aus:
Showrepl_COLUMNS
Destination DC Site
Destination DC
Naming Context
Source DC Site
Source DC
Transport Type
Number of Failures
Last Failure Time
Last Success Time
Last Failure Status
Mit dem folgenden Verfahren können Sie eine solche Ausgabe generieren:
Erweiterte Ausgabe mit repadmin /showrepl
1. Öffnen Sie eine Eingabeaufforderung.
2. Geben Sie den folgenden Befehl ein, und drücken Sie dann die
EINGABETASTE:
repadmin /showrepl * /csv >showrepl.csv
3. Öffnen Sie Microsoft Excel.
4. Klicken Sie im Menü Datei auf Öffnen, und öffnen Sie die Datei showrepl.csv.
Die letzte erfolgreiche Replikation sollte mit dem Zeitplan für die Replikation zwischen
Standorten übereinstimmen.
Wenn Repadmin eine der folgenden Informationen ausgibt, fahren Sie mit dem Abschnitt
Fehlersuche bei Active Directory-Replikationsproblemen fort:

Die letzte erfolgreiche Replikation zwischen Standorten war vor der letzten geplanten
Replikation.

Die letzte Replikation zwischen Standorten ist länger als eine Stunde her.

Es gab keine erfolgreiche Replikation.
Siehe auch
Fehlersuche bei Active Directory-Replikationsproblemen
Übertragen einer Betriebsmasterrolle
Ändern Sie nicht unbedacht die Konfiguration des globalen Katalogs auf einem
Domänencontroller, der eine Betriebsmasterrolle ausführen soll. Eine solche Änderung
kann mehrere Tage benötigen, bis sie vollständig ausgeführt wurde - und der
Domänencontroller steht während dieses Zeitraumes möglicherweise nicht zur
Verfügung. Übertragen Sie die Betriebsmasterrollen stattdessen auf einen anderen
Domänencontroller, der bereits passend konfiguriert ist.
Übertragen an einen Standby-Betriebsmaster
Wenn Sie den Empfehlungen gefolgt sind, ist der Standby-Betriebsmaster ein direkter
Replikationspartner des aktuellen Betriebsmasters. Er ist somit bereit, die Rolle zu
übernehmen. Denken Sie daran, außerdem einen neuen Standby auszuwählen.
Übertragen der Betriebsmasterrollen, wenn kein Standby bereit ist
Wenn Sie den Empfehlungen nicht gefolgt sind und keinen Standby-Betriebsmaster
eingerichtet haben, müssen Sie einen Domänencontroller entsprechend vorbereiten.
Dieser Prozess entspricht der Einrichtung eines Standbys.
Anforderungen
Um die unten beschriebenen Aufgaben ausführen zu können, sind die folgenden Tools
notwendig:

Repadmin.exe

Active Directory-Standorte und -Dienste

Active Directory-Domänen und -Vertrauensstellungen

Active Directory Schema Snap-In

Active Directory-Benutzer und -Computer

Ntdsutil.exe
Um diese Aufgabe auszuführen, sind die folgenden Schritte erforderlich:
1. Überprüfen der erfolgreichen Replikation mit einem anderen Domänencontroller
2. Feststellen, ob ein Domänencontroller ein globaler Katalogserver ist
3. Installation des Schema-Snap-Ins
4. Übertragen der Rolle Schemamaster
5. Übertragen der Rolle Domänennamensmaster
6. Übertragen der domänenbezogenen Betriebsmasterrollen
7. Anzeigen der aktuellen Betriebsmaster
Überprüfen der erfolgreichen Replikation
mit einem anderen Domänencontroller
Mit dem Befehl repadmin /showrepl können Sie feststellen, ob die Replikation mit einem
bestimmten Domänencontroller erfolgreich war. Wenn Sie den Befehl nicht auf dem
Domänencontroller ausführen, dessen Replikation Sie testen möchten, können Sie auch
einen Ziel-Domänencontroller angeben. Repadmin zeigt unter INBOUND NEIGHBORS
die DNs aller Verzeichnispartitionen auf, für die eine eingehende Verzeichnisreplikation
versucht wurde - zusammen mit dem Standort und Namen des QuellDomänencontrollers und dem Erfolg oder Misserfolg der Replikation. Die Ausgabe sieht
zum Beispiel so aus:

Last attempt @ YYYY-MM-DD HH:MM.SS was successful.

Last attempt @ [Never] was successful.
Wenn @ [Never] angezeigt wird, heißt dies, dass die Partition noch nie erfolgreich
repliziert wurde.
Administrative Berechtigungen
Um das folgende Verfahren ausführen zu können, müssen Sie Mitglied der Gruppe
Domänen-Admins auf dem Ziel-Domänencontroller sein.
Überprüfen der erfolgreichen Replikation mit einem anderen
Domänencontroller
1. Öffnen Sie eine Eingabeaufforderung.
2. Geben Sie den folgenden Befehl ein, und drücken Sie dann die
EINGABETASTE:
repadmin /showrepl servername /u:domänenname\benutzername /pw:*
Parameter
Beschreibung
servername
Name des Ziel-Domänencontrollers.
domänenname
NetBIOS-Name der Domäne des ZielDomänencontrollers (es ist kein FQDN
notwendig).
Benutzername
Der Name eines administrativen
Kontos in der Domäne
3. Wenn Sie zur Eingabe eines Kennwortes aufgefordert werden, geben Sie das
Kennwort des Benutzerkontos ein.
Repadmin kann außerdem Detailinformationen zur Replikation mit allen
Replikationspartnern anzeigen. Die entsprechende Ausgabe sieht so aus:
Showrepl_COLUMNS
Destination DC Site
Destination DC
Naming Context
Source DC Site
Source DC
Transport Type
Number of Failures
Last Failure Time
Last Success Time
Last Failure Status
Mit dem folgenden Verfahren können Sie eine solche Ausgabe generieren:
Erweiterte Ausgabe mit repadmin /showrepl
1. Öffnen Sie eine Eingabeaufforderung.
2. Geben Sie den folgenden Befehl ein, und drücken Sie dann die
EINGABETASTE:
repadmin /showrepl * /csv >showrepl.csv
3. Öffnen Sie Microsoft Excel.
4. Klicken Sie im Menü Datei auf Öffnen, und öffnen Sie die Datei showrepl.csv.
Die letzte erfolgreiche Replikation sollte mit dem Zeitplan für die Replikation zwischen
Standorten übereinstimmen.
Wenn Repadmin eine der folgenden Informationen ausgibt, fahren Sie mit dem Abschnitt
Fehlersuche bei Active Directory-Replikationsproblemen fort:

Die letzte erfolgreiche Replikation zwischen Standorten war vor der letzten geplanten
Replikation.

Die letzte Replikation zwischen Standorten ist länger als eine Stunde her.

Es gab keine erfolgreiche Replikation.
Siehe auch
Fehlersuche bei Active Directory-Replikationsproblemen
Feststellen, ob ein Domänencontroller
ein globaler Katalogserver ist
Mit dem NTDS-Settings-Objekt können Sie festlegen, ob ein Domänencontroller ein
globaler Katalog ist oder nicht.
Administrative Berechtigungen
Um dieses Verfahren durchführen zu können, müssen Sie Mitglied der Gruppe
Domänen-Admins sein.
Feststellen, ob ein Domänencontroller ein globaler Katalogserver ist
1. Öffnen Sie Active Directory-Standorte und -Dienste.
2. Erweitern Sie den Container Standorte und den Standort, in dem sich der
betreffende Domänencontroller befindet. Erweitern Sie den Container Servers
und das Server-Objekt.
3. Klicken Sie mit rechts auf das NTDS-Settings-Objekt und dann auf
Eigenschaften.
4. Wenn auf der Registerkarte Allgemein das Feld Globaler Katalog ausgewählt
ist, arbeitet der Domänencontroller als globaler Katalog Server.
Installation des Schema-Snap-Ins
Administrative Berechtigungen
Um dieses Verfahren ausführen zu können, müssen Sie Mitglied der Gruppe DomänenAdmins oder der Gruppe Organisations-Admins sein.
Installation des Schema-Snap-Ins
1.
Öffnen Sie die Eingabeaufforderung.
2.
Geben Sie Folgendes ein: regsvr32 schmmgmt.dll
Dieser Befehl registriert schmmgmt.dll auf Ihrem Computer. Weitere
Informationen zum Verwenden von regsvr32 finden Sie unter "Verwandte
Themen".
3.
Klicken Sie im Startmenü auf Ausführen, geben Sie mmc/a ein, und klicken Sie
anschließend auf OK.
4.
Klicken Sie im Menü Datei auf Snap-In hinzufügen/entfernen und dann auf
Hinzufügen.
5.
Doppelklicken Sie unter Verfügbare eigenständige Snap-Ins auf Active
Directory-Schema, klicken Sie auf Schließen, und klicken Sie dann auf OK.
6.
Zum Speichern dieser Konsole klicken Sie im Menü Datei auf Speichern.
7.
Zeigen Sie unter Speichern in auf das Verzeichnis systemroot\system32.
8.
Geben Sie schmmgmt.msc in das Feld Dateiname ein, und klicken Sie auf
Speichern.
9.
Führen Sie die folgenden Schritte aus, um eine Verknüpfung im Startmenü
einzurichten:
 Klicken Sie mit der rechten Maustaste im Startmenü auf Öffnen – Alle
Benutzer, doppelklicken Sie auf den Ordner Programme, und doppelklicken
Sie dann auf den Ordner Verwaltung.
 Zeigen Sie im Menü Datei auf Neu, und klicken Sie dann auf Verknüpfung.
 Geben Sie im Assistenten zum Erstellen von Verknüpfungen in das Feld Geben
Sie den Speicherort des Elements ein die Zeichenfolge schmmgmt.msc
ein, und klicken Sie dann auf Weiter.
 Geben Sie auf der Seite Programmbezeichnung auswählen in das Feld
Geben Sie den Namen für die Verknüpfung ein den Namen Active
Directory-Schema ein, und klicken Sie dann auf Fertig stellen.
.
Vorsicht
Das Ändern des Active Directory-Schemas ist eine schwierige Aufgabe, die am
besten von erfahrenen Programmierern und Systemadministratoren durchgeführt
wird. Ausführliche Informationen zum Ändern des Active Directory-Schemas
finden Sie im Active Directory Programmer's Guide auf der Microsoft-Website.
Übertragen der Rolle Schemamaster
Wenn das Schema-Snap-In noch nicht installiert ist, führen Sie erst die Schritte aus dem
Abschnitt Installation des Schema-Snap-Ins aus.
Anmerkung
Dieses Verfahren beschreibt die Verwendung der MMC. Es kann jedoch auch
mithilfe von Ntdsutil.exe ausgeführt werden. Weitere Informationen dazu erhalten
Sie, wenn Sie ? in der Ntdsutil.exe-Eingabeaufforderung eingeben.
Administrative Berechtigungen
Um dieses Verfahren ausführen zu können, müssen Sie Mitglied der Gruppe SchemaAdmins sein.
Übertragen der Rolle Schemamaster
1.
Öffnen Sie das Active Directory-Schema-Snap-In.
2.
Klicken Sie in der Konsolenstruktur mit der rechten Maustaste auf Active
Directory-Schema, und klicken Sie dann auf Domänencontroller ändern.
3.
Klicken Sie auf Namen angeben, und geben Sie den Namen des
Domänencontrollers ein, der die Rolle des Schemamasters haben soll.
4.
Klicken Sie in der Konsolenstruktur mit der rechten Maustaste auf Active
Directory-Schema und dann auf Betriebsmaster.
5.
Klicken Sie auf Ändern.
Übertragen der Rolle
Domänennamensmaster
Anmerkung
Dieses Verfahren beschreibt die Verwendung der MMC. Es kann jedoch auch
mithilfe von Ntdsutil.exe ausgeführt werden. Weitere Informationen dazu erhalten
Sie, wenn Sie ? in der Ntdsutil.exe-Eingabeaufforderung eingeben.
Administrative Berechtigungen
Um dieses Verfahren ausführen zu können, müssen Sie Mitglied der Gruppe
Organisations-Admins sein.
Übertragen der Rolle Domänennamensmaster
1. Öffnen Sie Active Directory-Domänen und -Vertrauensstellungen.
2. Klicken Sie in der Konsolenstruktur mit der rechten Maustaste auf Active
Directory-Domänen und -Vertrauensstellungen, und klicken Sie dann auf
Verbindung mit Domänencontroller herstellen.
3. Geben Sie in das Feld Geben Sie den Namen eines weiteren
Domänencontrollers ein den Namen des Domänencontrollers ein, der die Rolle
des Domänennamenmasters haben soll.
Oder klicken Sie in der Liste mit den verfügbaren Domänencontrollern auf den
gewünschten Domänencontroller.
4. Klicken Sie in der Konsolenstruktur mit der rechten Maustaste auf Active
Directory-Domänen und -Vertrauensstellungen, und klicken Sie dann auf
Betriebsmaster.
5. Klicken Sie auf Ändern.
Übertragen der domänenbezogenen
Betriebsmasterrollen
Mit diesem Verfahren übertragen Sie die Rollen PDC-Emulator, RID-Master und
Infrastrukturmaster.
Anmerkung
Dieses Verfahren beschreibt die Verwendung der MMC. Es kann jedoch auch
mithilfe von Ntdsutil.exe ausgeführt werden. Weitere Informationen dazu erhalten
Sie, wenn Sie ? in der Ntdsutil.exe-Eingabeaufforderung eingeben.
Administrative Berechtigungen
Um die folgenden Schritte ausführen zu können, müssen Sie Mitglied der Gruppe
Domänen-Admins oder der Gruppe Organisations-Admins sein.
Übertragen der domänenbezogenen Betriebsmasterrollen
1. Öffnen Sie Active Directory-Benutzer und -Computer.
2. Klicken Sie in der Konsolenstruktur mit der rechten Maustaste auf Active
Directory-Benutzer und -Computer, und klicken Sie dann auf Verbindung mit
Domänencontroller herstellen.
3. Geben Sie in das Feld Geben Sie den Namen eines weiteren
Domänencontrollers ein den Namen des Domänencontrollers ein, der die Rolle
des RID-Masters haben soll.
Oder klicken Sie in der Liste mit den verfügbaren Domänencontrollern auf den
gewünschten Domänencontroller.
4. Klicken Sie in der Konsolenstruktur mit der rechten Maustaste auf Alle Tasks, und
klicken Sie dann auf Betriebsmaster.
5. Klicken Sie auf die Rolle, die übertragen werden soll, und dann auf Ändern.
Anzeigen der aktuellen Betriebsmaster
Nachdem Sie Rollen übertragen haben, sollten Sie überprüfen, dass dies funktioniert hat.
Die Änderung muss auf alle relevanten Domänenmitglieder repliziert werden, damit sie
tatsächlich effektiv wird.
Sie können die aktuellen Betriebsmaster mit Ntdsutil.exe anzeigen.
Administrative Berechtigungen
Um die folgenden Schritte ausführen zu können, müssen Sie als Benutzer oder
Administrator angemeldet sein.
Anzeigen der aktuellen Betriebsmaster
1. Öffnen Sie die Eingabeaufforderung.
2. Geben Sie Folgendes ein: ntdsutil
3. Geben Sie Folgendes an der ntdsutil-Eingabeaufforderung ein: roles
4. Geben Sie Folgendes an der fsmo maintenance-Eingabeaufforderung ein:
connections
5. Geben Sie Folgendes an der server connections-Eingabeaufforderung ein:
connect to server Domänencontroller. Wobei Domänencontroller ein
Domänencontroller ist, der zu der Domäne mit den gesuchten Betriebsmastern
gehört.
6. Geben Sie Folgendes an der server connections-Eingabeaufforderung ein: quit
6. Geben Sie Folgendes ein: select operation target
7. Geben Sie Folgendes ein: list roles for connected server
Es wird eine Liste mit den aktuellen Rollen und dem LDAP-Namen ausgegeben.
Übernehmen einer Betriebsmasterrolle
Beim Übernehmen von Betriebsmasterrollen weisen Sie die Rolle einem neuen
Domänencontroller zu, ohne dass der alte Rolleninhaber an diesem Vorgang beteiligt ist
(Normalerweise geschieht das, weil dieser offline ist).
Hierbei kann es unter zwei Umständen zu Problemen kommen. Daher sollte das
Übernehmen nur als letzter Ausweg durchgeführt werden. Erstens beginnt der neue
Rolleninhaber mit den Daten, die er in seiner aktuellen Verzeichnispartition findet. Es
kann aber sein, dass er schlicht noch nicht alle Informationen vom alten Rolleninhaber
erhalten hatte. Die kann zu Inkonsistenzen der Verzeichnisdatenbank führen.
Um dieses Risiko zu minimieren, sollten Sie keine Rolle übernehmen, bevor nicht
genügend Zeit für eine vollständige Replikation im gesamten Netzwerk vergangen ist.
Zweitens wird der alte Rolleninhaber nicht über den Wechsel informiert. Dies ist kein
Problem, solange er offline bleibt. Sollte er jedoch jemals wieder online sein (zum
Beispiel, weil er repariert wurde), so wird er seine Arbeit als Betriebsmaster wieder
aufnehmen. Dies kann dazu führen, dass es zwei gleiche Betriebsmaster gibt.
Anforderungen

Repadmin.exe

Ntdsutil.exe
Um diese Aufgabe auszuführen, sind die folgenden Schritte erforderlich:
1. Überprüfen der erfolgreichen Replikation mit einem anderen Domänencontroller
Auf dem Domänencontroller, der die Rolle übernehmen soll.
2. Übernehmen der Betriebsmasterrolle
3. Anzeigen der aktuellen Betriebsmaster
Überprüfen der erfolgreichen Replikation
mit einem anderen Domänencontroller
Mit dem Befehl repadmin /showrepl können Sie feststellen, ob die Replikation mit einem
bestimmten Domänencontroller erfolgreich war. Wenn Sie den Befehl nicht auf dem
Domänencontroller ausführen, dessen Replikation Sie testen möchten, können Sie auch
einen Ziel-Domänencontroller angeben. Repadmin zeigt unter INBOUND NEIGHBORS
die DNs aller Verzeichnispartitionen auf, für die eine eingehende Verzeichnisreplikation
versucht wurde - zusammen mit dem Standort und Namen des QuellDomänencontrollers und dem Erfolg oder Misserfolg der Replikation. Die Ausgabe sieht
zum Beispiel so aus:

Last attempt @ YYYY-MM-DD HH:MM.SS was successful.

Last attempt @ [Never] was successful.
Wenn @ [Never] angezeigt wird, heißt dies, dass die Partition noch nie erfolgreich
repliziert wurde.
Administrative Berechtigungen
Um das folgende Verfahren ausführen zu können, müssen Sie Mitglied der Gruppe
Domänen-Admins auf dem Ziel-Domänencontroller sein.
Überprüfen der erfolgreichen Replikation mit einem anderen
Domänencontroller
1. Öffnen Sie eine Eingabeaufforderung.
2. Geben Sie den folgenden Befehl ein, und drücken Sie dann die
EINGABETASTE:
repadmin /showrepl servername /u:domänenname\benutzername /pw:*
Parameter
Beschreibung
servername
Name des Ziel-Domänencontrollers.
domänenname
NetBIOS-Name der Domäne des ZielDomänencontrollers (es ist kein FQDN
notwendig).
Benutzername
Der Name eines administrativen
Kontos in der Domäne
3. Wenn Sie zur Eingabe eines Kennwortes aufgefordert werden, geben Sie das
Kennwort des Benutzerkontos ein.
Repadmin kann außerdem Detailinformationen zur Replikation mit allen
Replikationspartnern anzeigen. Die entsprechende Ausgabe sieht so aus:
Showrepl_COLUMNS
Destination DC Site
Destination DC
Naming Context
Source DC Site
Source DC
Transport Type
Number of Failures
Last Failure Time
Last Success Time
Last Failure Status
Mit dem folgenden Verfahren können Sie eine solche Ausgabe generieren:
Erweiterte Ausgabe mit repadmin /showrepl
1. Öffnen Sie eine Eingabeaufforderung.
2. Geben Sie den folgenden Befehl ein, und drücken Sie dann die
EINGABETASTE:
repadmin /showrepl * /csv >showrepl.csv
3. Öffnen Sie Microsoft Excel.
4. Klicken Sie im Menü Datei auf Öffnen, und öffnen Sie die Datei showrepl.csv.
Die letzte erfolgreiche Replikation sollte mit dem Zeitplan für die Replikation zwischen
Standorten übereinstimmen.
Wenn Repadmin eine der folgenden Informationen ausgibt, fahren Sie mit dem Abschnitt
Fehlersuche bei Active Directory-Replikationsproblemen fort:

Die letzte erfolgreiche Replikation zwischen Standorten war vor der letzten geplanten
Replikation.

Die letzte Replikation zwischen Standorten ist länger als eine Stunde her.

Es gab keine erfolgreiche Replikation.
Siehe auch
Fehlersuche bei Active Directory-Replikationsproblemen
Übernehmen der Betriebsmasterrolle
Sie können eine Betriebsmasterrolle mit Ntdsutil.exe übernehmen. Ntdsutil.exe versucht
hierbei zuerst, die Rolle normal zu übertragen. Wenn dies fehlschlägt, wird die Rolle
übernommen. Das Verfahren ist für alle Rollen nahezu identisch.
Administrative Berechtigungen
Um dieses Verfahren ausführen zu können, müssen Sie Mitglied der Gruppe DomänenAdmins oder der Gruppe Organisations-Admins sein.
Übernehmen der Betriebsmasterrolle
1. Öffnen Sie die Eingabeaufforderung.
2. Geben Sie Folgendes ein: ntdsutil
3. Geben Sie Folgendes an der ntdsutil-Eingabeaufforderung ein: roles
4. Geben Sie Folgendes an der fsmo maintenance-Eingabeaufforderung ein:
connections
5. Geben Sie Folgendes an der server connections-Eingabeaufforderung ein:
connect to server Domänencontroller. Wobei Domänencontroller der
Domänencontroller ist, der die Betriebsmasterrolle übernehmen soll. Geben Sie
quit ein.
6. Abhängig von der zu übernehmenden Rolle geben Sie folgendes ein:
Rolle
Notwendige
Befehl
Berechtigungen
Domänennamenmaster
Organisations-Admins
Seize domain naming
master
Schemamaster
Organisations-Admins
Seize schema master
Infrastrukturmaster
Domänen-Admins
Seize infrastructure
master
PDC-Emulator
Domänen-Admins
Seize pdc
RID-Master
Domänen-Admins
Seize rid master
Wenn eine Warnung angezeigt wird, klicken Sie zum Fortfahren auf Yes.
Anzeigen der aktuellen Betriebsmaster
Nachdem Sie Rollen übertragen haben, sollten Sie überprüfen, dass dies funktioniert hat.
Die Änderung muss auf alle relevanten Domänenmitglieder repliziert werden, damit sie
tatsächlich effektiv wird.
Sie können die aktuellen Betriebsmaster mit Ntdsutil.exe anzeigen.
Administrative Berechtigungen
Um die folgenden Schritte ausführen zu können, müssen Sie als Benutzer oder
Administrator angemeldet sein.
Anzeigen der aktuellen Betriebsmaster
1. Öffnen Sie die Eingabeaufforderung.
2. Geben Sie Folgendes ein: ntdsutil
3. Geben Sie Folgendes an der ntdsutil-Eingabeaufforderung ein: roles
4. Geben Sie Folgendes an der fsmo maintenance-Eingabeaufforderung ein:
connections
5. Geben Sie Folgendes an der server connections-Eingabeaufforderung ein:
connect to server Domänencontroller. Wobei Domänencontroller ein
Domänencontroller ist, der zu der Domäne mit den gesuchten Betriebsmastern
gehört.
6. Geben Sie Folgendes an der server connections-Eingabeaufforderung ein: quit
6. Geben Sie Folgendes ein: select operation target
7. Geben Sie Folgendes ein: list roles for connected server
Es wird eine Liste mit den aktuellen Rollen und dem LDAP-Namen ausgegeben.
Reduzierung der Auslastung auf dem
PDC-Emulator
Zusätzlich zu seinen normalen Aufgaben muss sich der PDC-Emulator noch um
Kennwortänderungen kümmern. Sie können jedoch dafür sorgen, dass sich die normale
Auslastung des PDCs verringert.
Sie können den DNS so konfigurieren, dass der Domänencontroller weniger häufig als
andere abgefragt wird. Die Clients ermitteln die Domänencontroller über den DNS.
Standardmäßig verteilt der DNS hierbei die Last auf alle Domänencontroller. Durch die
Gewichtung und die Priorität können Sie dieses Verhalten anpassen.
Anpassen der Gewichtung für DNS-SRVEinträge über die Registrierung
Wenn Sie die Gewichtung für einen Domänencontroller unter den Wert der anderen
Domänencontroller setzen, verringert das die Anzahl der Anfragen an den
entsprechenden Domänencontroller. Die Gewichtung wird im Registrierungseintrag
LdapSrvWeight gespeichert. Der Standardwert ist 100 und kann auf Werte zwischen 0
und 65535 geändert werden. Wenn Sie die Auslastung für einen Domänencontroller
verringern wollen, können Sie den Wert zum Beispiel auf 50 setzen. Dies führt dazu,
dass die anderen Domänencontroller (100) doppelt so oft abgefragt werden wie der
geänderte Domänencontroller (50).
Anpassen der Priorität für DNS-SRV-Einträge
über die Registrierung
Die Priorität sorgt nicht für eine Umverteilung der Auslastung. Stattdessen werden immer
erst die Domänencontroller mit der niedrigsten Priorität abgefragt. Die Domänencontroller
mit hoher Priorität werden erst dann abgefragt, wenn Domänencontroller mit geringerer
Priorität nicht zur Verfügung stehen. Haben zwei oder mehr Domänencontroller den
gleichen Wert, wird einer von diesen per Zufall ausgewählt.
Die Priorität wird in der Registrierung gespeichert. Der NetLogon-Dienst führt beim Start
des Domänencontrollers eine Registrierung im DNS durch. Zu dieser Registrierung
gehört auch der Prioritätswert. Der Wert wird im Registrierungseintrag LdapSrvPriority
gespeichert und hat den Standardwert 0. Er kann Werte zwischen 0 und 65535
annehmen.
Anmerkung
Ein kleinerer Wert für LdapSrvPriority steht für eine höhere Priorität. Ein
Domänencontroller mit dem Wert 100 hat eine kleinere Priorität als ein
Domänencontroller mit dem Wert 10. Clients werden also zuerst versuchen, den
Domänencontroller mit der Priorität 10 abzufragen.
Anforderungen
Um die unten beschriebene Aufgabe ausführen zu können, sind die folgenden Tools
erforderlich:

Regedit.exe. Um diese Aufgabe auszuführen, sind die folgenden Schritte
erforderlich:
1. Ändern der Gewichtung von DNS-SRV-Einträgen in der Registrierung
2. Ändern der Priorität von DNS-SRV-Einträgen in der Registrierung
Ändern der Gewichtung von DNS-SRVEinträgen in der Registrierung
Vorsicht
Der Registrierungseditor umgeht die normalen Sicherheitsfunktionen. Sie können
so Einstellungen vornehmen, die das System beschädigen können oder sogar
dafür sorgen können, dass Windows neu installiert werden muss. Sichern Sie vor
einer Bearbeitung der Registrierung den Systemstatus. Weitere Informationen
hierzu finden Sie unter: Administering Active Directory Backup and Restore.
Administrative Berechtigungen
Um die folgenden Schritte ausführen zu können, müssen Sie Mitglied der Gruppe
Domänen-Admins oder der Gruppe Organisations-Admins sein.
Ändern der Gewichtung von DNS-SRV-Einträgen in der Registrierung
1. Klicken Sie auf Start, klicken Sie auf Ausführen, geben Sie regedit ein, und
drücken Sie die EINGABETASTE.
2. Navigieren Sie im Registrierungseditor zu
HKLM\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters
3. Klicken Sie auf Bearbeiten, klicken Sie auf Neu, und klicken Sie dann auf
DWORD.
4. Geben Sie als Name LdapSrvWeight ein.
5. Klicken Sie doppelt auf den neu erstellten Wert.
6. Geben Sie einen Wert zwischen 0 und 65535 ein. Der Standardwert ist 100.
7. Klicken Sie auf Dezimal und dann auf OK.
Ändern der Priorität von DNS-SRVEinträgen in der Registrierung
Vorsicht
Der Registrierungseditor umgeht die normalen Sicherheitsfunktionen. Sie können
so Einstellungen vornehmen, die das System beschädigen können oder sogar
dafür sorgen können, dass Windows neu installiert werden muss. Sichern Sie vor
einer Bearbeitung der Registrierung den Systemstatus. Weitere Informationen
hierzu finden Sie unter: Administering Active Directory Backup and Restore.
Administrative Berechtigungen
Um die folgenden Schritte ausführen zu können, müssen Sie Mitglied der Gruppe
Domänen-Admins oder der Gruppe Organisations-Admins sein.
Ändern der Priorität von DNS-SRV-Einträgen in der Registrierung
1. Klicken Sie auf Start, klicken Sie auf Ausführen, geben Sie regedit ein, und
drücken Sie die EINGABETASTE.
2. Navigieren Sie im Registrierungseditor zu
HKLM\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters
3. Klicken Sie auf Bearbeiten, klicken Sie auf Neu, und klicken Sie dann auf
DWORD.
4. Geben Sie als Name LdapSrvPriority ein.
5. Klicken Sie doppelt auf den neu erstellten Wert.
6. Geben Sie einen Wert zwischen 0 und 65535 ein. Der Standardwert ist 0.
7. Klicken Sie auf Dezimal und dann auf OK.
Administration der Active DirectorySicherung und -Wiederherstellung
In diesem Kapitel finden Sie Informationen zur Sicherung und Wiederherstellung von
Active Directory unter Microsoft Windows Server 2003.
Das Kapitel enthält die folgenden Abschnitte:

Einführung in die Administration der Active Directory-Sicherung und Wiederherstellung

Verwaltung der Active Directory-Sicherung und -Wiederherstellung
Danksagung
Erstellt durch: Microsoft Windows Server User Assistance Team
Autor: Mary Hillman
Redaktion: Jim Becker
Einführung in die Administration der
Active Directory-Sicherung und Wiederherstellung
Active Directory-Sicherungen müssen in den täglichen Betrieb mit einbezogen werden.
Sie müssen festlegen, welche Domänencontroller gesichert werden sollen. Die
Wiederherstellung gehört im Gegensatz zur Sicherung nicht zu den täglichen Aufgaben.
Sie wird nur dann ausgeführt, wenn es zu Problemen mit Domänencontrollern kommt.
Systemstatus-Komponenten
Active Directory wird als Teil des Systemstatus gesichert. Der Systemstatus setzt sich
aus verschiedenen Systemkomponenten, die voneinander abhängen, zusammen. Diese
Komponenten müssen zusammen gesichert und wiederhergestellt werden.
Auf einem Domänencontroller gehören die folgenden Komponenten zum Systemstatus:

Startdateien (Bootdateien): Diese Dateien sind für den Start von
Windows Server 2003 erforderlich.

Registrierung

Klassenregistrierungsdatenbank mit Komponentendiensten. Das COM-Model
(Component Object Model) ist ein binärer Standard für Komponenten in einer
verteilten Systemumgebung.

Systemvolumen (SYSVOL): SYSVOL ist der Standardspeicherort für Dateien, die in
einer Domäne gemeinsam genutzt werden. Er enthält die folgenden Komponenten:


Net Logon-Freigaben: In diesen Ordnern befinden sich normalerweise die
Richtlinieneinstellungen für Clients mit Betriebssystemen, die älter als
Windows 2000 sind.

An- und Abmeldeskripte

Systemrichtlinien

Gruppenrichtlinieneinstellungen

FRS-Stagingverzeichnisse und –dateien, die repliziert werden müssen.
Active Directory - umfasst die folgenden Komponenten:

Die Active Directory-Datenbank (Ntds.dit)

Die Prüfpunktdatei (Edb.chk)

Die Transaktionsprotokolle - jeweils zehn MB (Edb*.log)

Reservierte Transaktionsprotokolle (Res1.log und Res2.log)
Wenn Sie Cluster- oder Zertifikatsdienste auf einem Domänencontroller installieren,
müssen auch diese Komponenten gesichert werden.
Sinn regelmäßiger Sicherungen
Für die folgenden Aufgaben benötigen Sie eine aktuelle, überprüfte und zuverlässige
Sicherung:

Wiederherstellen von Active Directory-Daten, die verloren gegangen sind. Sie
können einzelne Objekte oder ganze Partitionen wiederherstellen.

Wiederherstellen von Domänencontrollern, die nicht mehr gestartet werden können.

Installation von Active Directory über ein Sicherungsmedium (mit dcpromo /adv). Mit
diesem Verfahren können Sie Domänencontroller an Standorten mit langsamen
Netzwerkverbindungen auch bei einer großen Datenbank schnell zur Domäne
hinzufügen.

Wiederherstellung einer Gesamtstruktur bei gesamtstrukturweiten Fehlern.
Anforderungen und Empfehlungen für die
Wiederherstellung
Der Tombstone-Lebensdauer-Wert einer Active Directory-Gesamtstruktur legt fest, wie
lange in Tagen ein Domänencontroller gelöschte Objekte vorhält. Er definiert somit
gleichzeitig den Zeitraum, über den eine Sicherung für eine Wiederherstellung brauchbar
ist. Active Directory schützt sich selbst vor einer Wiederherstellung von Daten, die älter
sind als die Tombstone-Lebensdauer.
Wichtig
Sie sollten auf keinen Fall versuchen, über eine Änderung der Systemuhr eine zu
alte Sicherung wiederherzustellen.
Die Wiederherstellung des Systemstatus sollte als letzte Option durchgeführt werden nicht als Standardverfahren.
Richtlinien für die Sicherung
Die folgenden Richtlinien stellen sicher, dass die Active Directory-Daten korrekt gesichert
werden:

Führen Sie normale Sicherungen durch. Die normale Sicherung ist die einzige
Sicherungsart, die für Active Directory möglich ist.

Führen Sie eine tägliche Sicherung jeder Partition auf mindestens zwei
verschiedenen Domänencontrollern durch. Achten Sie hierbei besonders auf
Gesamtstrukturen mit nur einem Domänencontroller, Domänen mit nur einem
Domänencontroller und leere Stammdomänen.

Wenn Partitionen nur an einem Standort vorhanden sind, lagern Sie die
Sicherungsdateien an einem anderen Standort. Die Sicherungsdateien und Partition
sollten sich nicht beide ausschließlich an einem einzigen Standort befinden.

Sorgen Sie dafür, dass sich die Sicherungen an einem sicheren Ort befinden.
 Sichern Sie die DNS-Zonen. Wenn Sie Active Directory-integrierte Zonen
verwenden, werden diese bereits zusammen mit dem Systemstatus gesichert.
Andernfalls müssen Sie jede Zone auf einer ausreichenden Anzahl von DNS-Servern
sichern.
Anmerkung
DNS-Server speichern Einstellungen in der Registrierung. Daher ist für DNSServer eine Systemstatussicherung notwendig - unabhängig davon, ob die
Zonendateien in Active Directory gespeichert werden oder nicht.

Wenn Sie Anwendungspartitionen nutzen, stellen Sie sicher, dass Sie die
Domänencontroller mit den entsprechenden Partitionen sichern.

Erstellen Sie an jedem geografischen Standort, der den folgenden Kriterien
entspricht, zusätzliche Sicherungen:

Ausführung von geschäftskritischen Aufgaben.

WAN-Ausfälle könnten die geschäftlichen Abläufe gefährden.

Die folgenden Aufgaben wären aufgrund von langsamen Netzwerkverbindungen
oder aufgrund einer großen Datenbank sehr kostenintensiv:
Erstellen eines Domänencontrollers über das Netzwerk
oder
Kopieren oder Transportieren einer Systemstatussicherung von dessen Lageroder Speicherort zu dem entsprechenden Standort, um dort eine Installation von
einem Sicherungsmedium durchzuführen.
Anmerkung
Eine Sicherung kann nur zur Wiederherstellung auf dem Domänencontroller
dienen, auf dem sie gemacht wurde. Alternativ können jedoch neue in der
gleichen Domäne erstellt werden. Es ist nicht möglich, mit einer Sicherung einen
anderen Domänencontroller wiederherzustellen oder einen neuen
Domänencontroller auf einer anderen Hardware zu installieren. Eine Sicherung
eines Domänencontrollers unter Windows 2000 Server kann natürlich nicht zur
Wiederherstellung eines Domänencontrollers unter Windows Server 2003
verwendet werden.
Sicherungshäufigkeit
Die Häufigkeit der Sicherung hängt von Kriterien ab, die von Umgebung zu Umgebung
unterschiedlich sind. In den meisten Umgebungen werden täglich Änderungen an
Verzeichnisobjekten vorgenommen. Computerkonten (inklusive Domänencontroller)
ändern ihr Kennwort zum Beispiel standardmäßig alle 30 Tage. Dies führt dazu, dass
sich wahrscheinlich jeden Tag ein paar Computerkennwörter ändern werden. Das
Wiederherstellen von Computerkennworten kann sich auf die Authentifizierung und die
Replikation auswirken. Ähnliches gilt zum Beispiel für die Benutzerkennwörter.
Grundsätzlich kann man sagen, dass die potenziellen Probleme mit steigender
Sicherungshäufigkeit abnehmen.
Je mehr Active Directory-Objekte und Domänencontroller es gibt, desto häufiger sollten
Sicherungen durchgeführt werden. In großen Organisationen kann es zum Beispiel sein,
dass Sie nach einer Wiederherstellung einer versehentlich gelöschten OU aus einer
mehrere Tage oder Wochen alten Sicherung hunderte von Benutzerkonten neu erstellen
müssen.
Kriterien für die Sicherungshäufigkeit
Mit den folgenden Kriterien können Sie die Sicherungshäufigkeit bestimmen:

Kleine Umgebungen mit nur einen Domänencontroller oder Domänen, die sich
vollständig an einen physischen Standort befinden, sollten mindestens einmal am
Tag gesichert werden.

Mittlere (10 bis 49 Domänencontroller) und große (50 bis 1.000 Domänencontroller)
Umgebungen: Führen Sie eine tägliche Sicherung jeder Partition auf mindestens
zwei verschiedenen Domänencontrollern durch. Achten Sie hierbei besonders auf
Gesamtstrukturen mit nur einem Domänencontroller, Domänen mit nur einem
Domänencontroller und leere Stammdomänen.
Steigern Sie die Häufigkeit der Sicherungen so lange, bis Sie sicher gehen können, dass
seit der letzten Sicherung erstellte und geänderte (und somit verlorene Objekte) nicht zu
schwerwiegenden Problemen des Betriebsablaufes führen. Umfangreiche Änderungen
sollten daher zu einer sofortigen Sicherung führen.
Anmerkung
Sie sollten immer mindestens zwei Domänencontroller in jeder Domäne
einsetzen.
Sofortige Sicherung
Zusätzlich zu den regelmäßigen Sicherungen sollte in den folgenden Situationen eine
sofortige Sicherung durchgeführt werden:

Verschieben der Active Directory-Datenbank- oder -Protokolldateien.

Aktualisierung eines Domänencontrollers von Windows 2000 Server auf
Windows Server 2003 und jegliche andere Betriebssystemaktualisierungen.

Installation eines Servicepacks.

Installation eines Hotfixes, der Änderungen an der Active Directory-Datenbank
durchführt.

Änderung der Tombstone-Lebensdauer.
Sicherungs-Latenzintervall
Auf Domänencontrollern unter Windows Server 2003 mit Service Pack 1 (SP1) gibt es
ein neues Ereignis (ID 2089), das den Sicherungsstatus eines jeder Partition anzeigt, die
auf dem Domänencontroller vorhanden ist - inklusive von Anwendungspartitionen. Das
Ereignis wird dann angezeigt, wenn Partitionen nicht regelmäßig genug gesichert
werden. Regelmäßig bedeutet hierbei, dass die Sicherungshäufigkeit unter dem
Latenzintervall liegen muss. Das Latenzintervall wird in der Registrierung unter dem
Eintrag Backup Latency Threshold (days) unter
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\Parameters
gespeichert.
Standardmäßig ist Backup Latency Threshold (days) halb so groß wie die TombstoneLebensdauer. Wenn eine Partition nach der halben Lebensdauer noch nicht gesichert
wurde, wird also das Ereignis 2089 angezeigt. Dies wiederholt sich täglich so lange, bis
die Partition gesichert wurde.
Das Ereignis soll Administratoren warnen und entsprechende Anwendungen auf das
Fehlen der Sicherung hinweisen. Es wird allerdings empfohlen, Sicherungen weit
häufiger durchzuführen.
Siehe auch
Installation eines Domänencontrollers in einer bestehenden Domäne mithilfe von
Sicherungsmedien
Verwaltung der Active DirectorySicherung und -Wiederherstellung
Mit den folgenden Verfahren können Sie Active Directory sichern und wiederherstellen:

Sichern von Active Directory-Komponenten

Durchführen einer nicht autorisierenden Wiederherstellung eines Domänencontrollers

Durchführen einer autorisierenden Wiederherstellung von Active Directory-Objekten

Durchführen einer autorisierenden Wiederherstellung einer Anwendungspartition

Durchführen einer autorisierenden Wiederherstellung eines
Gruppenrichtlinienobjektes

Wiederherstellung eines Domänencontrollers über eine Neuinstallation gefolgt von
einer Wiederherstellung einer Sicherung

Wiederherstellung eines Domänencontrollers über eine Neuinstallation
Sichern von Active DirectoryKomponenten
Benennung von Sicherungsdateien
Um eine korrekte Handhabung der Sicherungsdateien zu gewährleisten, sollten die .bkfDateien nach den folgenden Vorgaben benannt werden:

FQDN des Domänencontrollers, auf dem die Sicherung ausgeführt wurde.

Informationen dazu, ob es sich um einen Domänencontroller oder einen globalen
Katalog handelt.

Informationen dazu, ob es MD5-Checksummendaten für Sysvol gibt.

Datum der Sicherung. Ein Name für eine Sicherungsdatei könnte also so
aussehen:
X:\FQDN.Build_Number.Service_Pack_Revision.
[No]GC.[No]MD5.TSL.YYYYMMDD.bkf

FQDN des Domänencontrollers.

Build Number ist die Build-Nummer des Betriebssystems.

Service_Pack_Revision ist die Build-Nummer des Service Packs, das installiert ist.

[No]GC, um anzuzeigen, ob es sich um einen globalen Katalog handelt.

[No]MD5, um anzuzeigen, ob MD5-Checksummen vorhanden sind. Weitere
Informationen zu MD5-Checksummen finden Sie unter Vorbereiten eine Servers auf
die Installation von einem Sicherungsmedium.

TSL Wert in Tagen des Attributs tombstoneLifetime.

YYYYMMDD Jahr, Monat, Tag der Sicherung.
DC1.CONTOSO.COM.3790.SP0.GC.MD5.60.2005.07.01.BKF
Eine Sicherung von DC1 vom 1.7.2005 bleibt bis zum 29.8.2005 gültig. Für die nächsten
60 Tage können Sie die Sicherung zur Werderherstellung nutzen.
Anforderungen
Um die unten beschriebenen Aufgaben ausführen zu können, sind die folgenden Tools
notwendig:

Sicherungs- und Wiederherstellungsassistenten (Ntbackup)

Bandlaufwerk oder ein anderes Sicherungsmedium
Abhängig von Ihren Anforderungen müssen Sie die folgenden Schritte ausführen:

Sicherung des Systemstatus

Sicherung des Systemstatus und des Systemvolumens
Siehe auch
Installation eines Domänencontrollers in einer bestehenden Domäne mithilfe von
Sicherungsmedien
Hinzufügen von Domäencontrollern an Remotestandorten
Sicherung des Systemstatus
Wenn Sie den Systemstatus mit Ntbackup.exe sichern, können Sie die geschützten
Systemdateien mit sichern oder nicht. Diese Dateien sind für eine Installation mithilfe
einer wiederhergestellten Sicherung nicht notwendig - in diesem Fall können Sie die
Option deaktivieren. Sie verkleinern so die Größe der Sicherungsdatei und verringern
den notwendigen Zeitaufwand.
Mit den folgenden Verfahren können Sie nur den Systemstatus sichern. Das
Systemvolumen oder andere Daten auf dem Domänencontroller werden nicht
berücksichtigt.
Mit dem ersten Verfahren, "Sicherung des Systemstatus inklusive der geschützten
Systemdateien", können Sie Routinesicherungen des Systemstatus durchführen. Mit dem
zweiten Verfahren, "Sicherung des Systemstatus exklusive der geschützten
Systemdateien", können Sie eine kleinere Sicherung durchführen, die zur Installation von
Domänencontrollern über Sicherungsmedien verwendet werden kann.
Anmerkung
Um den Systemstatus sichern zu können, müssen Sie als lokaler Administrator
am Domänencontroller angemeldet sein. Alternativ muss der Remotedesktop
aktiviert sein.
Administrative Berechtigungen
Um die folgenden Verfahren ausführen zu können, müssen Sie Mitglied der Gruppe
Domänen-Admins oder Sicherungsoperatoren sein.
Sicherung des Systemstatus inklusive der geschützten Systemdateien
1. Klicken Sie auf Start, klicken Sie auf Ausführen, geben Sie ntbackup ein, und
klicken Sie dann auf OK.
In diesem Verfahren verwenden Sie den Assistentenmodus. Standardmäßig ist
die Option Immer im Assistentenmodus starten im Sicherungs- und
Wiederherstellungsassistenten aktiviert. Klicken Sie andernfalls auf
Assistentenmodus.
2. Klicken Sie auf Weiter.
3. Klicken Sie auf Dateien und Einstellungen sichern, und klicken Sie dann auf
Weiter.
4. Klicken Sie auf Elemente für die Sicherung selbst auswählen, und klicken Sie
dann auf Weiter.
5. Klicken Sie doppelt auf Arbeitsplatz.
6. Klicken Sie auf Systemstatus, und klicken Sie dann auf Weiter.
7. Wählen Sie einen Speicherort für die Sicherung aus:
Anmerkung
Sie sollten die Sicherung nicht auf einer lokalen Festplatte speichern.
8. Geben Sie einen Namen ein. Halten Sie sich an die Empfehlungen aus dem
Abschnitt Sichern von Active Directory-Komponenten, und klicken Sie dann auf
Weiter.
9. Klicken Sie auf Erweitert.
10. Klicken Sie auf Weiter.
11. Aktivieren Sie Daten nach der Sicherung prüfen, und klicken Sie dann auf
Weiter.
12. Wählen Sie eine der Optionen aus, und klicken Sie dann auf Weiter.
13. Wenn Sie bestehende Sicherungen ersetzen, wählen Sie die Option, mit der nur
dem Besitzer und dem Administrator Zugriff auf die Sicherungsdaten gewährt
wird. Klicken Sie dann auf Weiter.
14. Wählen Sie eine für Sie passende Option aus, und klicken Sie dann auf Weiter.
15. Klicken Sie auf Fertigstellen.
Anmerkung
Sie können Ntbackup auch über die Eingabeaufforderung nutzen.
Weitere Informationen erhalten Sie mit dem Befehl ntbackup /?.
Sicherung des Systemstatus exklusive der geschützten Systemdateien
1. Klicken Sie auf Start, klicken Sie auf Ausführen, geben Sie ntbackup ein, und
klicken Sie dann auf OK.
2. Klicken Sie auf Erweiterter Modus, und klicken Sie dann auf die Registerkarte
Sichern.
3. Wählen Sie Systemstatus aus.
8. Geben Sie einen Namen ein. Halten Sie sich an die Empfehlungen aus dem
Abschnitt Sichern von Active Directory-Komponenten, und klicken Sie dann auf
Weiter.
5. Klicken Sie auf Sicherung starten, und klicken Sie dann auf Erweitert.
6. Deaktivieren Sie Geschützte Systemdateien automatisch mit dem
Systemstatus sichern, und klicken Sie dann auf OK.
7. Klicken Sie auf Sicherung starten.
Siehe auch
Aktivieren von Remotedesktop
Erstellen einer Remotedesktopverbindung
Sicherung des Systemstatus und des
Systemvolumens
Mit diesem Verfahren können Sie den Systemstatus und das Systemvolumen sichern.
Anmerkung
Sie müssen lokal am Domänencontroller angemeldet sein. Alternativ muss
Remotedesktop aktiviert sein.
Administrative Berechtigungen
Sie müssen Mitglied der Gruppe Domänen-Admins oder der Gruppe
Sicherungsoperatoren sein.
Sicherung des Systemstatus und des Systemvolumens
1. Klicken Sie auf Start, klicken Sie auf Ausführen, geben Sie ntbackup ein, und
klicken Sie dann auf OK.
2. Klicken Sie auf Sicherungs-Assistent (Erweitert).
3. Klicken Sie auf Weiter.
4. Klicken Sie auf Ausgewählte Dateien, Laufwerke oder Netzwerkdateien
sichern, und klicken Sie dann auf Weiter.
5. Klicken Sie auf Systemstatus. Markieren Sie außerdem das Laufwerk mit den
Systemdateien, und klicken Sie dann auf Weiter.
Wählen Sie einen Speicherort für die Sicherung aus:
Anmerkung
Sie sollten die Sicherung nicht auf einer lokalen Festplatte speichern.
7. Klicken Sie auf Erweitert.
8. Klicken Sie auf Weiter.
9. Aktivieren Sie Daten nach der Sicherung prüfen, und klicken Sie dann auf
Weiter.
10. Wählen Sie eine der Optionen aus, und klicken Sie dann auf Weiter.
11. Wenn Sie bestehende Sicherungen ersetzen, wählen Sie die Option, mit der nur
dem Besitzer und dem Administrator Zugriff auf die Sicherungsdaten gewährt
wird. Klicken Sie dann auf Weiter.
12. Wählen Sie eine für Sie passende Option aus, und klicken Sie dann auf Weiter.
13. Klicken Sie auf Fertigstellen.
Siehe auch
Aktivieren von Remotedesktop
Erstellen einer Remotedesktopverbindung
Durchführen einer nicht autorisierenden
Wiederherstellung eines
Domänencontrollers
Die nicht autorisierende Wiederherstellung ist das Standardverfahren zur
Wiederherstellung von Active Directory. Um sie durchführen zu können, müssen Sie in
der Lage sein, den Domänencontroller im Verzeichnisdienstwiederherstellungsmodus zu
starten. Nachdem Sie den Domänencontroller wiederhergestellt haben, wird das Active
Directory über die normale Replikation aktualisiert.
Eine nicht autorisierende Wiederherstellung versetzt den Domänencontroller in den
Status, den er zum Zeitpunkt der Sicherung hatte, und überschreibt diesen Status dann
mit allen seit diesem Zeitpunkt erfolgten Änderungen.
Wenn Sie gelöschte Objekte wiederherstellen möchten, sollten sie hingegen eine
autorisierende Wiederherstellung durchführen.
Anmerkung
Durch eine nicht autorisierende Wiederherstellung wird auch automatisch eine
nicht autorisierende Wiederherstellung von SYSVOL durchgeführt.
Anforderungen
Um die unten beschriebene Aufgabe ausführen zu können, sind die folgenden Tools
erforderlich:

NTBackup.exe. Um diese Aufgabe auszuführen, sind die folgenden Schritte
erforderlich:
1. Starten Sie den Domänencontroller mit einem der folgenden Verfahren im
Verzeichnisdienstwiederherstellungsmodus:

Lokaler Neustart des Domänencontrollers im
Verzeichnisdienstwiederherstellungsmodus

Neustart des Domänencontrollers im Verzeichnisdienstwiederherstellungsmodus
von einem Remotestandort aus
Anmerkung
Wenn Sie das Betriebssystem wiederherstellen müssen, brauchen Sie keine
nicht autorisierende Wiederherstellung im
Verzeichnisdienstwiederherstellungsmodus durchführen. Sie können die
Wiederherstellung in diesem Fall nach einem normalen Systemstart
durchführen.
2. Wiederherstellung mithilfe eines Sicherungsmediums
3. Überprüfen der Active Directory-Wiederherstellung
Siehe auch
Durchführen einer autorisierenden Wiederherstellung von Active DirectoryObjekten
Aktivieren von Remotedesktop
Erstellen einer Remotedesktopverbindung
Lokaler Neustart des
Domänencontrollers im
Verzeichnisdienstwiederherstellungsmod
us
Wenn Sie physischen Zugriff auf den Domänecontroller haben, können Sie diesen lokal
im Verzeichnisdienstwiederherstellungsmodus starten.
Im Verzeichnisdienstwiederherstellungsmodus wird das lokale Administratorkonto über
die Security Accounts Manager-Datenbank (SAM) überprüft. Daher benötigen Sie das
Wiederherstellungskennwort - nicht das normale Administratorkennwort.
Administrative Berechtigungen
Um dieses Verfahren durchführen zu können, benötigen Sie das
Verzeichnisdienstwiederherstellungskennwort.
Lokaler Neustart des Domänencontrollers im
Verzeichnisdienstwiederherstellungsmodus
1. Starten Sie den Domänencontroller neu.
2. Wenn die Betriebssystemauswahl angezeigt wird, drücken Sie F8.
3. Wählen Sie unter Erweiterte Optionen die Option
Verzeichnisdienstwiederherstellungsmodus.
4. Melden Sie sich als lokaler Administrator an.
Siehe auch
Neustart des Domänencontrollers im Verzeichnisdienstwiederherstellungsmodus von
einem Remotestandort aus
Neustart des Domänencontrollers im
Verzeichnisdienstwiederherstellungsmod
us von einem Remotestandort aus
Wenn Remotedesktop auf dem Domänencontroller aktiviert ist, können Sie eine
Remotedesktopverbindung nutzen.
Mit einer Remotedesktopverbindung müssen Sie zuerst die Datei Boot.ini bearbeiten,
bevor Sie den Domänencontroller remote im Verzeichniswiederherstellungsmodus
starten können - ansonsten verlieren Sie beim Neustart die Verbindung zum
Domänencontroller.
Zum Start im Verzeichnisdienstwiederherstellungsmodus sind das lokale
Administratorkonto und das Wiederherstellungskennwort notwendig. Dieses wird von der
lokalen SAM authentifiziert.
Administrative Berechtigungen
Um dieses Verfahren durchführen zu können, müssen Sie das Administratorkennwort für
den Verzeichnisdienstwiederherstellungsmodus kennen.
Neustart des Domänencontrollers im
Verzeichnisdienstwiederherstellungsmodus von einem Remotestandort aus
1. Verbinden Sie sich über eine Remotedesktopverbindung mit dem
Domänencontroller.
2. Klicken Sie mit rechts auf Arbeitsplatz, klicken Sie auf Eigenschaften, und
klicken Sie dann auf die Registerkarte Erweitert.
3. Klicken Sie unter Starten und Wiederherstellen auf Einstellungen.
4. Klicken Sie auf Bearbeiten.
5. Erweitern Sie den Standardeintrag um /SAFEBOOT:DSREPAIR:
multi(0)disk(0)rdisk(0)partition(2)\WINNT=”IhrServerName” /fastdetect
/SAFEBOOT:DSREPAIR
Anmerkung
/SAFEBOOT:DSREPAIR kann für Windows 2000 Server und
Windows Server 2003 verwendet werden.
6. Speichern Sie die Datei.
7. Starten Sie den Server neu.
8. Verbinden Sie sich neu mit dem Server.
9. Melden Sie sich als lokaler Administrator an.
10. Klicken Sie mit rechts auf Arbeitsplatz, klicken Sie auf Eigenschaften, und
klicken Sie dann auf die Registerkarte Erweitert.
11. Klicken Sie unter Starten und Wiederherstellen auf Einstellungen.
12. Klicken Sie auf Bearbeiten.
13. Löschen Sie die Option /SAFEBOOT:DSREPAIR wieder.
Siehe auch
Aktivieren von Remotedesktop
Erstellen einer Remotedesktopverbindung
Lokaler Neustart des Domänencontrollers im
Verzeichnisdienstwiederherstellungsmodus
Wiederherstellung mithilfe eines
Sicherungsmediums
Anmerkung
Zur Wiederherstellung müssen Sie sich lokal am Domänencontroller oder über
eine Remotedesktopverbindung anmelden.
Administrative Berechtigungen
Um dieses Verfahren durchführen zu können, müssen Sie das Administratorkennwort für
den Verzeichnisdienstwiederherstellungsmodus kennen.
Wiederherstellung mithilfe eines Sicherungsmediums
1. Starten Sie den Computer im Verzeichnisdienstwiederherstellungsmodus.
2. Klicken Sie auf Start, klicken Sie auf Ausführen, geben Sie ntbackup ein, und
klicken Sie dann auf OK.
In diesem Verfahren verwenden Sie den Assistentenmodus. Standardmäßig ist
die Option Immer im Assistentenmodus starten im Sicherungs- und
Wiederherstellungsassistenten aktiviert. Klicken Sie andernfalls auf
Assistentenmodus.
3. Klicken Sie auf Weiter.
4. Klicken Sie auf Dateien und Einstellungen wiederherstellen, und klicken Sie
dann auf Weiter.
5. Klicken Sie auf Systemstatus, und klicken Sie dann auf Weiter.
6. Klicken Sie auf Erweitert.
7. Klicken Sie auf Ursprünglicher Bereich, und klicken Sie dann auf Weiter.
8. Klicken Sie auf Vorhandene Dateien beibehalten (empfohlen), und klicken Sie
dann auf Weiter.
9. Wählen Sie die folgenden Optionen aus, und klicken Sie dann auf Weiter:

Sicherheitseinstellungen wiederherstellen

Nur Abzweigungspunkte wiederherstellen, nicht die Ordner und
Dateidaten, auf die verwiesen wird

Vorhandene Bereitstellungspunkte beibehalten
10. Für eine primäre Wiederherstellung von SYSVOL müssen Sie außerdem die
folgende Option auswählen: Die wiederhergestellten Daten bei einer
Wiederherstellung von Replikationssätzen als primäre Dateien für alle
Replikate markieren.
Eine primäre Wiederherstellung ist dann notwendig, wenn der
Domänencontroller der einzige Domänencontroller der Domäne ist.
11. Klicken Sie auf Fertigstellen.
12. Führen Sie nach der Wiederherstellung eine der folgenden Aufgaben aus:

Wenn Sie keine Objekte autorisierend wiederherstellen möchten, klicken Sie
auf Ja und starten Sie den Computer neu.

Wenn sie Objekte autorisierend wiederherstellen möchten, klicken Sie auf
Nein und führen Sie die Aufgabe Durchführen einer autorisierenden
Wiederherstellung von Active Directory-Objekten aus.
Siehe auch
Lokaler Neustart des Domänencontrollers im
Verzeichnisdienstwiederherstellungsmodus
Aktivieren von Remotedesktop
Erstellen einer Remotedesktopverbindung
Neustart des Domänencontrollers im Verzeichnisdienstwiederherstellungsmodus
von einem Remotestandort aus
Wiederherstellen des Systemstatus an einem anderen Speicherort
Durchführen einer autorisierenden Wiederherstellung von Active DirectoryObjekten
Überprüfen der Active DirectoryWiederherstellung
Nach einer Wiederherstellung sollten Sie diese überprüfen.
Administrative Berechtigungen
Um dieses Verfahren ausführen zu können, müssen Sie Mitglied der Gruppe DomänenAdmins sein.
Überprüfen der Active Directory-Wiederherstellung
1. Starten Sie den Domänencontroller im normalen Modus. Es wird daraufhin
automatisch eine Integritätsprüfung und eine Neuindizierung der Datenbank
durchgeführt.
2. Prüfen Sie nach der Anmeldung, ob alle Objekte in Active Directory vorhanden
sind.
Durchführen einer autorisierenden
Wiederherstellung von Active DirectoryObjekten
Eine autorisierende Wiederherstellung versetzt die entsprechenden Objekte oder
Container in den Status, den diese zum Zeitpunkt der Sicherung gehabt haben. Sie
können eine autorisierende Wiederherstellung zum Beispiel dann durchführen, wenn
versehentlich eine OU und eine größere Anzahl von Benutzern gelöscht wurden. Mit
einer nicht autorisierenden Wiederherstellung ist keine Wiederherstellung von gelöschten
Objekten möglich. Dies liegt daran, dass die wiederhergestellten Objekte in diesem Fall
nach der Wiederherstellung mit den seit der Sicherung aufgetretenen Änderungen (zum
Beispiel der Löschung) aktualisiert wurden.
Wenn Sie Objekte für eine autorisierende Wiederherstellung markieren, wird deren
Versionsnummer so weit erhöht, dass diese größer ist als die Versionsnummer des
aktuellen (gelöschten) Objektes. Diese Änderung führt dazu, dass die so
wiederhergestellten Daten repliziert und die vorhandenen Daten überschrieben werden.
Eine autorisierende Wiederherstellung sollte nicht zur Wiederherstellung eines ganzen
Domänencontrollers oder als Teil einer Änderung der Infrastruktur verwendet werden.
Wiederherstellung von
Gruppenmitgliedschaften nach einer
autorisierende Wiederherstellung
Wenn ein Benutzerobjekt versehentlich gelöscht wurde, können Sie es mit einer
autorisierenden Wiederherstellung wiederherstellen. Es kann allerdings sein, dass die
Gruppenmitgliedschaften des Benutzers mit diesem Verfahren nicht wiederhergestellt
werden - dies hängt von der Funktionsebene der Gesamtstruktur und vom Zeitpunkt der
Erstellung der Gruppe, der der Benutzer angehört, ab.
LVR und die Wiederherstellung von
Gruppenmitgliedschaften
Die Wiederherstellung von Gruppenmitgliedschaften hängt davon ab, ob die Gruppe vor
oder nach der Implementierung einer Windows Server 2003-Funktionalität mit dem
Namen LVR (Linked-Value Replication) erstellt wurde. LVR ist ein Feature, das erst zur
Verfügung steht, wenn die Funktionsebene der Gesamtstruktur Windows Server 2003interim oder Windows Server 2003 ist. Bei Gruppen, die vorher erstellt wurden, wird das
Mitglieder-Attribut als Einzelwert repliziert. Daher führt jede Änderung der
Gruppenmitgliedschaften zu einer Replikation des gesamten Attributes. In den Gruppen,
die mit LVR erstellt wurden, werden Aktualisierungen des Gruppenmitglieder-Attributes
einzeln repliziert. Dies führt dazu, dass bei einer autorisierenden Wiederherstellung auch
die Gruppenmitgliedschaften wiederhergestellt werden.
Das Attribut memberOf (forward-link) verweist nur auf das member-Attribut (backwardlink). Daher ist es für eine Wiederherstellung der Gruppenmitgliedschaften notwendig,
das member-Attribut der jeweiligen Gruppe zu aktualisieren.
Anmerkung
Nur forward-link-Attributwerte können aktualisiert und repliziert werden. Backlink-Attributwerte werden nur generiert, wenn auf sie zugegriffen wird. Sie
werden nicht gespeichert.
Die Version von Ntdsutil, die mit Windows Server 2003 Service Pack 1 (SP1) zur
Verfügung stellt wird verfügt über weiter verfeinerte Möglichkeiten zur Wiederherstellung
von Gruppenmitgliedschaften, die vor der Nutzung von LVR erstellt wurden.
Verbesserung der autorisierenden
Wiederherstellung unter
Windows Server 2003 SP1
Unter Windows Server 2003 mit SP1 erstellt Ntdsutil jetzt eine Textdatei mit den
autorisierend wiederhergestellten Objekten und nutzt diese Datei, um eine LDIF-Datei zu
erstellen. Diese Datei kann dann dazu genutzt werden, alle back-links der
wiederhergestellten Objekte zu erneuern. Sie müssen diesen Vorgang in jeder Domäne
Ihrer Gesamtstruktur durchführen.
Sie beginnen eine autorisierende Wiederherstellung immer mit einer nicht
autorisierenden Wiederherstellung von einem Sicherungsmedium. Dann führen Sie die
zusätzlich für die autorisierende Wiederherstellung erforderlichen Schritte aus und
stellen, wenn notwendig, die Gruppenmitgliedschaften wieder her.
Verfahren für Domänencontroller unter
Windows Server 2003 SP1
Dieses Verfahren schließt das Erstellen eine LDIF-Datei zur Wiederherstellung von
Gruppenmitgliedschaften mit ein.
Anforderungen
Um die unten beschriebenen Aufgaben ausführen zu können, sind die folgenden Tools
notwendig:

Ntbackup.exe

Ntdsutil.exe

Repadmin.exe
1. Wiederherstellung mithilfe eines Sicherungsmediums
Stellen Sie den Systemstatus wieder her. Damit keine Replikation durchgeführt wird,
klicken Sie zum Schluss auf Nein und vermeiden den Neustart.
2. Markieren von Objekten als autorisierend
Markieren Sie die entsprechenden Objekte so, dass diese nicht von der Replikation
überschrieben werden.
3. Starten Sie den Domänencontroller neu.
4. Synchronisation der Replikation mit allen Partnern
Damit die wiederhergestellten Objekte für alle Domänencontroller zur Verfügung
stehen, muss eine Replikation durchgeführt werden.
Stellen Sie sicher, dass alle Domänencontroller der Domäne und alle globalen
Katalog Server der Gesamtstruktur die wiederhergestellten Objekte erhalten haben.
5. Mit dem folgenden Verfahren führen Sie die in Schritt zwei erstellte LDIF-Datei auf
dem Domänencontroller aus und fügen die fehlenden Gruppenmitgliedschaften für
diese Domäne hinzu.
Ausführen eine LDIF-Datei zur Wiederherstellung von Back-Links
6. Wenn Sie Benutzer- oder Gruppenobjekte in einer Gesamtstruktur mit mehr als einer
Domäne wiederherstellen, führen Sie die folgenden Schritte auf einem
Domänencontroller einer anderen Domäne aus:
a. Lokaler Neustart des Domänencontrollers im
Verzeichnisdienstwiederherstellungsmodus
b. Wiederherstellung mithilfe eines Sicherungsmediums
c.
Im Verzeichnisdienstwiederherstellungsmodus nutzen Sie Ntdsutil, um das
Verfahren Erstellen einer LDIF-Datei zur Wiederherstellung von Back-Links
auszuführen.
d. Starten Sie den Domänencontroller normal.
e. Führen Sie die Aufgabe Ausführen eine LDIF-Datei zur Wiederherstellung von
Back-Links auf einem anderen Domänencontroller als dem, auf dem Sie die
LDIF-Datei erstellt haben, aus.
7. Wiederholen Sie Schritt 6 für jede weitere Domäne.
Verfahren für Domänencontroller unter
Windows Server 2003 ohne Service Pack
Anmerkung
Wenn zu den gelöschten Objekten keine Gruppen gehören, können Sie die
Schritte 3 bis 10 überspringen. Sollte es in den gelöschten Gruppen nur Objekte
geben, die ebenfalls gelöscht wurden, können Sie die Schritte ebenfalls
überspringen.
1. Wiederherstellung mithilfe eines Sicherungsmediums
Stellen Sie den Systemstatus wieder her. Damit keine Replikation durchgeführt wird,
klicken Sie zum Schluss auf Nein und vermeiden den Neustart.
2. Markieren von Objekten als autorisierend
Markieren Sie die entsprechenden Objekte so, dass diese nicht von der Replikation
überschrieben werden.
3. Starten Sie den Computer normal, aber isoliert. Sie haben so die Möglichkeit, die
Replikation so zu steuern, dass die wiederhergestellten Objekte nicht durch eine
eingehende Replikation aktualisiert werden, bevor eine ausgehende Replikation
durchgeführt werden konnte.
Am einfachsten ist es, den Domänencontroller physisch vom Netzwerk zu trennen.
Es ist wichtig, die Kommunikation mit allen anderen Domänencontrollern zu
unterbinden. Außerdem sollte der Domänencontroller von allen Clients isoliert
werden, die möglicherweise Änderungen an Objekten vornehmen könnten.
4. Deaktivieren der eingehenden Replikation
Dieser Schritt ist nur dann notwendig, wenn die Domäne oder Gesamtstruktur in der
Funktionsebene Windows 2000-pur oder einer untergeordneten Funktionsebene
arbeitet.
5. Verbinden Sie den Computer wieder mit dem Netzwerk.
6. Synchronisation der Replikation mit allen Partnern
Damit die wiederhergestellten Objekte auf allen Domänencontroller zur Verfügung
stehen, muss eine Replikation stattfinden.
7. Lokaler Neustart des Domänencontrollers im
Verzeichnisdienstwiederherstellungsmodus
8. Markieren von Objekten als autorisierend
Eines der Probleme beim Wiederherstellen von Objekten und den
Gruppenmitgliedschaften ist die Tatsache, dass Mitgliedschaften und Objekte in
unterschiedlicher Reihenfolge repliziert werden können. Wenn eine Mitgliedschaft vor
dem wiederhergestellten Benutzer repliziert wird, aktualisiert der Domänencontroller
diese nicht - denn der Benutzer ist ja nicht vorhanden. Um diesen Effekt zu beheben
ist es notwendig, die wiederhergestellten Objekte nach der Replikation ein zweites
Mal als autorisierend zu markieren.
9. Starten sie den Computer normal.
10. Aktivieren der eingehenden Replikation
Wiederherstellung mithilfe eines
Sicherungsmediums
Anmerkung
Zur Wiederherstellung müssen Sie sich lokal am Domänencontroller oder über
eine Remotedesktopverbindung anmelden.
Administrative Berechtigungen
Um dieses Verfahren durchführen zu können, müssen Sie das Administratorkennwort für
den Verzeichnisdienstwiederherstellungsmodus kennen.
Wiederherstellung mithilfe eines Sicherungsmediums
1. Starten Sie den Computer im Verzeichnisdienstwiederherstellungsmodus.
2. Klicken Sie auf Start, klicken Sie auf Ausführen, geben Sie ntbackup ein, und
klicken Sie dann auf OK.
In diesem Verfahren verwenden Sie den Assistentenmodus. Standardmäßig ist
die Option Immer im Assistentenmodus starten im Sicherungs- und
Wiederherstellungsassistenten aktiviert. Klicken Sie andernfalls auf
Assistentenmodus.
3. Klicken Sie auf Weiter.
4. Klicken Sie auf Dateien und Einstellungen wiederherstellen, und klicken Sie
dann auf Weiter.
5. Klicken Sie auf Systemstatus, und klicken Sie dann auf Weiter.
6. Klicken Sie auf Erweitert.
7. Klicken Sie auf Ursprünglicher Bereich, und klicken Sie dann auf Weiter.
8. Klicken Sie auf Vorhandene Dateien beibehalten (empfohlen), und klicken Sie
dann auf Weiter.
9. Wählen Sie die folgenden Optionen aus, und klicken Sie dann auf Weiter:

Sicherheitseinstellungen wiederherstellen

Nur Abzweigungspunkte wiederherstellen, nicht die Ordner und
Dateidaten, auf die verwiesen wird

Vorhandene Bereitstellungspunkte beibehalten
10. Für eine primäre Wiederherstellung von SYSVOL müssen Sie außerdem die
folgende Option auswählen: Die wiederhergestellten Daten bei einer
Wiederherstellung von Replikationssätzen als primäre Dateien für alle
Replikate markieren.
Eine primäre Wiederherstellung ist dann notwendig, wenn der
Domänencontroller der einzige Domänencontroller der Domäne ist.
11. Klicken Sie auf Fertigstellen.
12. Führen Sie nach der Wiederherstellung eine der folgenden Aufgaben aus:

Wenn Sie keine Objekte autorisierend wiederherstellen möchten, klicken Sie
auf Ja und starten Sie den Computer neu.

Wenn sie Objekte autorisierend wiederherstellen möchten, klicken Sie auf
Nein und führen Sie die Aufgabe Durchführen einer autorisierenden
Wiederherstellung von Active Directory-Objekten aus.
Siehe auch
Lokaler Neustart des Domänencontrollers im
Verzeichnisdienstwiederherstellungsmodus
Aktivieren von Remotedesktop
Erstellen einer Remotedesktopverbindung
Neustart des Domänencontrollers im Verzeichnisdienstwiederherstellungsmodus
von einem Remotestandort aus
Wiederherstellen des Systemstatus an einem anderen Speicherort
Durchführen einer autorisierenden Wiederherstellung von Active DirectoryObjekten
Markieren von Objekten als autorisierend
Mit diesem Verfahren wählen Sie aus, welche Objekte als autorisierend markiert werden.
Administrative Berechtigungen
Um dieses Verfahren durchführen zu können, müssen Sie das Administratorkennwort für
den Verzeichnisdienstwiederherstellungsmodus kennen.
Markieren von Objekten als autorisierend
1. Klicken Sie im Verzeichnisdienstwiederherstellungsmodus auf Start, klicken Sie
auf Ausführen, geben Sie ntdsutil ein, und drücken Sie die EINGABETASTE.
2. Geben Sie authoritative restore ein, und drücken Sie die EINGABETASTE.
3. Geben Sie einen der folgenden Befehle ein, und drücken Sie die
EINGABETASTE:
Um einen Container und die Untercontainer wiederherzustellen (zum Beispiel
eine OU und alle Objekte in der OU):
restore subtree DistinguishedName
Um ein einzelnes Objekte wiederherzustellen:
restore object DistinguishedName
4. Klicken Sie auf Ja.
Wenn Sie zum Beispiel eine gelöschte OU mit dem Namen Marketing NorthAm
in der Domäne corp.contoso.com wiederherstellen möchten, lautet der Befehl:
restore subtree “OU=Marketing NorthAm,DC=corp,DC=contoso,DC=com”
Ntdsutil versucht, die Objekte zu markieren. Wenn Fehler auftreten, liegt dies
meistens an einem falsch geschriebenen DN.
Unter Windows Server 2003 Service Pack 1 (SP1) zeigt Ntdsutil an, ob es
wiederherzustellende Back-Links gibt. Wenn dies der Fall ist, erstellt Ntdsutil
Dateien, mit denen diese wiederhergestellt werden können.
Die entsprechende Ausgabe unter Windows Server 2003 SP1 sieht zum Beispiel
so aus:
Successfully updated 3 records.
The following text file with a list of authoritatively restored
objects has been created in the current working directory:
ar_20050209-091249_objects.txt
One or more specified objects have back-links in this domain. The
following LDIF files with link restore operations have been created
in the current working directory:
ar_20050209-091249_links_Test1.com.ldf
Authoritative Restore completed successfully.
5. Merken Sie sich die Speicherorte der Daten. Sie benötigen sie zur
Wiederherstellung der Back-Links. Mit der txt-Datei können Sie LDIF-Dateien
erstellen, mit denen Sie die Back-Links für andere Domänen wiederherstellen
können.
6. Geben Sie zweimal quit ein.
7. Starten Sie den Domänencontroller im normalen Modus:
a. Bei einem Domänencontroller unter Windows Server 2003 ohne Service
Pack trennen Sie diesen vom Netzwerk, und starten Sie ihn normal. Gehen
Sie nach den Anweisungen aus dem Abschnitt Durchführen einer
autorisierenden Wiederherstellung von Active Directory-Objekten vor.
b. Bei einem Domänencontroller unter Windows Server 2003 mit SP1 starten
Sie diesen normal, und gehen Sie nach den Anweisungen im Abschnitt
Durchführen einer autorisierenden Wiederherstellung von Active DirectoryObjekten vor.
Synchronisation der Replikation mit allen
Partnern
Administrative Berechtigungen
Um dieses Verfahrung durchführen zu können, müssen Sie Mitglied der Gruppe
Domänen-Admins in der Domäne des entsprechenden Domänencontrollers oder der
Gruppe Organisations-Admins sein. Wenn Sie die Schema- und Konfigurationspartition
synchronisieren möchten, müssen Sie Domänen-Admin in der Stammdomäne oder
Organisations-Admin sein.
Synchronisation der Replikation mit allen Partnern
1. Geben Sie den folgenden Befehl ein, und drücken Sie dann die
EINGABETASTE:
repadmin /syncall DCName /e /d /A /P /q
Parameter
Beschreibung
DCName
DNS-Name des Domänencontrollers,
der mit allen Partnern synchronisiert
werden soll.
/e
Alle Partner
/d
Identifiziert Server über DNs.
/A
Alle. Synchronisiert alle Partitionen auf
dem Server.
/P
Repliziert Änderungen vom Server.
/q
Stiller Modus. Ausführen ohne
Rückmeldungen.
2. Prüfen Sie, ob es Replikationsfehler gibt.
Siehe auch
Überprüfen der erfolgreichen Replikation mit einem anderen Domänencontroller
Ausführen einer LDIF-Datei zur
Wiederherstellung von Back-Links
Mit der autorisierenden Wiederherstellung wird mit SP1 eine LDIF-Datei ausgegeben, mit
der die Back-Links aktualisiert werden können. Sie müssen für jedes
wiederherzustellende Objekt die LDIF-Datei auf einem Domänencontroller in jeder
Domäne, in denen es Gruppen gibt in denen das Objekt Mitglied ist ausführen.
Anmerkung
Dieses Verfahren ist nur für Benutzer-, Gruppen- und Computerobjekte wichtig trotzdem wirkt es sich auf alle wiederhergestellten Objekte aus, die über BackLink-Attribute verfügen.
Administrative Berechtigungen
Um dieses Verfahrung durchführen zu können, müssen Sie Mitglied der Gruppe
Domänen-Admins in der Domäne des Domänencontrollers sein, auf dem Sie die Befehle
ausführen.
Ausführen einer LDIF-Datei zur Wiederherstellung von Back-Links
1. Öffnen Sie eine Eingabeaufforderung, und wechseln Sie in das Verzeichnis mit
der LDIF-Datei.
2. Geben Sie den folgenden Befehl ein, und drücken Sie dann die
EINGABETASTE:
ldifde -i -k -f Dateiname
Dateiname
Name der LDIF-Datei. Beispiel: ar_20050609174604_links_corp.contoso.com.ldf
Siehe auch
Erstellen einer LDIF-Datei zur Wiederherstellung von Back-Links
Lokaler Neustart des
Domänencontrollers im
Verzeichnisdienstwiederherstellungsmod
us
Wenn Sie physischen Zugriff auf den Domänecontroller haben, können Sie diesen lokal
im Verzeichnisdienstwiederherstellungsmodus starten.
Im Verzeichnisdienstwiederherstellungsmodus wird das lokale Administratorkonto über
die Security Accounts Manager-Datenbank (SAM) überprüft. Daher benötigen Sie das
Wiederherstellungskennwort - nicht das normale Administratorkennwort.
Administrative Berechtigungen
Um dieses Verfahren durchführen zu können, benötigen Sie das
Verzeichnisdienstwiederherstellungskennwort.
Lokaler Neustart des Domänencontrollers im
Verzeichnisdienstwiederherstellungsmodus
1. Starten Sie den Domänencontroller neu.
2. Wenn die Betriebssystemauswahl angezeigt wird, drücken Sie F8.
3. Wählen Sie unter Erweiterte Optionen die Option
Verzeichnisdienstwiederherstellungsmodus.
4. Melden Sie sich als lokaler Administrator an.
Siehe auch
Neustart des Domänencontrollers im Verzeichnisdienstwiederherstellungsmodus von
einem Remotestandort aus
Erstellen einer LDIF-Datei zur
Wiederherstellung von Back-Links
Mit dem folgenden Verfahren können Sie eine LDIF-Datei zur Wiederherstellung der
Back-Links erstellen. Führen Sie das Verfahren auf einem Domänencontroller der
Domäne mit den Back-Links aus.
Bevor Sie das Verfahren ausführen, muss folgendes erledigt sein:

Kopieren Sie die txt-Datei, die Ntdsutil erstellt hat, auf diesen Domänencontroller
oder in eine Freigabe.

Stellen Sie den Domänencontroller vom Sicherungsmedium wieder her.
Führen Sie dieses Verfahren aus, wenn der Domänencontroller noch im
Verzeichnisdienstwiederherstellungsmodus ist.
Administrative Berechtigungen
Sie benötigen das Administratorkennwort für den
Verzeichnisdienstwiederherstellungsmodus.
Erstellen einer LDIF-Datei zur Wiederherstellung von Back-Links
1. Im Verzeichnisdienstwiederherstellungsmodus klicken Sie auf Start, klicken Sie
auf Ausführen, geben Sie ntdsutil ein, und drücken Sie die EINGABETASTE.
2. Geben Sie authoritative restore ein, und drücken Sie die EINGABETASTE.
3. Geben Sie den folgenden Befehl ein, und drücken Sie dann die
EINGABETASTE:
create ldif files from TextFilePath
TextFilePath ist der Speicherort der txt-Datei, die von Ntdsutil erstellt wurde.
4. Geben Sie quit ein.
Siehe auch
Wiederherstellung mithilfe eines Sicherungsmediums
Ausführen eine LDIF-Datei zur Wiederherstellung von Back-Links
Deaktivieren der eingehenden
Replikation
Administrative Berechtigungen
Um dieses Verfahrung durchführen zu können, müssen Sie Mitglied der Gruppe
Domänen-Admins in der Domäne des Domänencontroller sein, dessen Replikation Sie
deaktivieren möchten, oder der Gruppe Organisations-Admins sein.
Deaktivieren der eingehenden Replikation
1. Öffnen Sie eine Eingabeaufforderung.
2. Geben Sie den folgenden Befehl ein, und drücken Sie dann die
EINGABETASTE:
repadmin /options ServerName +DISABLE_INBOUND_REPL
ServerName ist der NetBIOS des Domänencontrollers.
3. Prüfen Sie, ob die Option aktiviert ist. Es muss die folgende Ausgabe angezeigt
werden:
New DC Options: DISABLE_INBOUND_REPL
Siehe auch
Aktivieren der eingehenden Replikation
Aktivieren der eingehenden Replikation
Administrative Berechtigungen
Um dieses Verfahrung durchführen zu können, müssen Sie Mitglied der Gruppe
Domänen-Admins in der Domäne des Domänencontroller sein, dessen Replikation Sie
aktivieren möchten, oder der Gruppe Organisations-Admins sein.
Aktivieren der eingehenden Replikation
1. Öffnen Sie eine Eingabeaufforderung.
2. Geben Sie den folgenden Befehl ein, und drücken Sie dann die
EINGABETASTE:
repadmin /options ServerName -DISABLE_INBOUND_REPL
ServerName ist der NetBIOS des Domänencontrollers.
3. Prüfen Sie, ob die Option aktiviert ist. Es muss die folgende Ausgabe angezeigt
werden:
Current DC options: DISABLE_INBOUND_REPL
New DC Options: <none
Siehe auch
Deaktivieren der eingehenden Replikation
Durchführen einer autorisierenden
Wiederherstellung einer
Anwendungspartition
Mit diesem Verfahren markieren Sie alle Daten in der Anwendungspartition als
autorisierend. Die entsprechenden Daten werden auf alle Domänencontroller repliziert,
die die Anwendungspartition hosten.
Anforderungen
Um die unten beschriebenen Aufgaben ausführen zu können, sind die folgenden Tools
notwendig:

Backup.exe

Ntdsutil.exe
Um diese Aufgabe auszuführen, sind die folgenden Schritte erforderlich:
1. Wiederherstellung mithilfe eines Sicherungsmediums
2. Markieren der Anwendungspartition als autorisierend
3. Starten Sie den Computer neu.
Wiederherstellung mithilfe eines
Sicherungsmediums
Anmerkung
Zur Wiederherstellung müssen Sie sich lokal am Domänencontroller oder über
eine Remotedesktopverbindung anmelden.
Administrative Berechtigungen
Um dieses Verfahren durchführen zu können, müssen Sie das Administratorkennwort für
den Verzeichnisdienstwiederherstellungsmodus kennen.
Wiederherstellung mithilfe eines Sicherungsmediums
1. Starten Sie den Computer im Verzeichnisdienstwiederherstellungsmodus.
2. Klicken Sie auf Start, klicken Sie auf Ausführen, geben Sie ntbackup ein, und
klicken Sie dann auf OK.
In diesem Verfahren verwenden Sie den Assistentenmodus. Standardmäßig ist
die Option Immer im Assistentenmodus starten im Sicherungs- und
Wiederherstellungsassistenten aktiviert. Klicken Sie andernfalls auf
Assistentenmodus.
3. Klicken Sie auf Weiter.
4. Klicken Sie auf Dateien und Einstellungen wiederherstellen, und klicken Sie
dann auf Weiter.
5. Klicken Sie auf Systemstatus, und klicken Sie dann auf Weiter.
6. Klicken Sie auf Erweitert.
7. Klicken Sie auf Ursprünglicher Bereich, und klicken Sie dann auf Weiter.
8. Klicken Sie auf Vorhandene Dateien beibehalten (empfohlen), und klicken Sie
dann auf Weiter.
9. Wählen Sie die folgenden Optionen aus, und klicken Sie dann auf Weiter:

Sicherheitseinstellungen wiederherstellen

Nur Abzweigungspunkte wiederherstellen, nicht die Ordner und
Dateidaten, auf die verwiesen wird

Vorhandene Bereitstellungspunkte beibehalten
10. Für eine primäre Wiederherstellung von SYSVOL müssen Sie außerdem die
folgende Option auswählen: Die wiederhergestellten Daten bei einer
Wiederherstellung von Replikationssätzen als primäre Dateien für alle
Replikate markieren.
Eine primäre Wiederherstellung ist dann notwendig, wenn der
Domänencontroller der einzige Domänencontroller der Domäne ist.
11. Klicken Sie auf Fertigstellen.
12. Führen Sie nach der Wiederherstellung eine der folgenden Aufgaben aus:

Wenn Sie keine Objekte autorisierend wiederherstellen möchten, klicken Sie
auf Ja und starten Sie den Computer neu.

Wenn sie Objekte autorisierend wiederherstellen möchten, klicken Sie auf
Nein und führen Sie die Aufgabe Durchführen einer autorisierenden
Wiederherstellung von Active Directory-Objekten aus.
Siehe auch
Lokaler Neustart des Domänencontrollers im
Verzeichnisdienstwiederherstellungsmodus
Aktivieren von Remotedesktop
Erstellen einer Remotedesktopverbindung
Neustart des Domänencontrollers im Verzeichnisdienstwiederherstellungsmodus
von einem Remotestandort aus
Wiederherstellen des Systemstatus an einem anderen Speicherort
Durchführen einer autorisierenden Wiederherstellung von Active DirectoryObjekten
Markieren der Anwendungspartition als
autorisierend
Vor diesem Verfahren müssen Sie eine nicht autorisierende Wiederherstellung
abgeschlossen haben. Der Domänencontroller darf jedoch nicht neu gestartet werden,
sondern muss im Verzeichnisdienstwiederherstellungsmodus verbleiben.
Administrative Berechtigungen
Sie benötigen das Administratorkennwort für den
Verzeichnisdienstwiederherstellungsmodus.
Markieren der Anwendungspartition als autorisierend
1. Öffnen Sie im Verzeichnisdienstwiederherstellungsmodus eine
Eingabeaufforderung.
2. Geben Sie den folgenden Befehl ein, und drücken Sie dann die
EINGABETASTE:
ntdsutil
3. Geben Sie authoritative restore ein, und drücken Sie die EINGABETASTE.
4. Geben Sie List NC CRs, und drücken Sie die EINGABETASTE.
Ntdsutil zeigt eine Liste mit Partionen an, die nach der Wiederherstellung
verfügbar sind, und die entsprechenden Kreuzreferenzen an. Notieren Sie sich
die DNs der Kreuzreferenzen und Anwendungspartitionen, die der Partition
entsprechen, die wiederhergestellt werden soll.
5. Geben Sie den Befehl restore subtree App Partition DN an (wobei App Partition
DN der DN der wiederherzustellenden Anwendungspartition ist).
6. Klicken Sie auf Yes.
7. Geben Sie den Befehl restore object Cross Ref DN ein (wobei Cross Ref DN
der DN der Anwendungspartition-Kreuzreferenz ist, die wiederhergestellt werden
soll), und drücken Sie die EINGABETASTE.
8. Klicken Sie auf Yes.
Durchführen einer autorisierenden
Wiederherstellung eines
Gruppenrichtlinienobjektes
Sie können sowohl gelöschte GPOs wiederherstellen als auch geänderte GPOs. Die
ursprüngliche GPO GUID bleibt auch dann erhalten, wenn das GPO gelöscht wurde.
Wenn Sie GPOs importieren, ist dies nicht der Fall (dieses Verfahren wird weiter unten
besprochen).
Eine Wiederherstellung ersetzt die folgenden Komponenten eines GPOs:

GPO-Einstellungen

ACLs des GPOs

WMI-Filterlinks (jedoch nicht die Filter selbst)
Es werden keine SOM-Links wiederhergestellt (Scope of Management). Alle
vorhandenen Links werden weiterhin verwendet. Wenn ein GPO jedoch gelöscht wurde,
müssen die Links nach der Wiederherstellung neu erstellt werden.
Weitere Informationen finden Sie im Dokument Administering Group Policy with the
GPMC unter http://go.microsoft.com/fwlink/?LinkId=17528.
Anforderungen
Um die unten beschriebene Aufgabe ausführen zu können, sind die folgenden Tools
erforderlich:

Gruppenrichtlinienverwaltungskonsole
Um diese Aufgabe auszuführen, sind die folgenden Schritte erforderlich:

Wiederherstellen eines GPOs
Wiederherstellen eines GPOs
Administrative Berechtigungen
Sie benötigen die Rechte Bearbeiten, Löschen und Ändern für das GPO.
Wiederherstellen eines GPOs
1. Öffnen Sie die Gruppenrichtlinienverwaltungskonsole (GPMC).
2. Klicken Sie doppelt auf Domänen.
3. Klicken sie doppelt auf die entsprechende Domäne.
4. Klicken Sie mit rechts auf Gruppenrichtlinienobjekte und auf Sicherungen
verwalten.
5. Klicken Sie mit rechts auf das wiederherzustellende Objekt und dann auf Aus
Sicherung wiederherstellen.
6. Wählen Sie den Speicherort der Sicherung aus, und klicken Sie auf die
wiederherzustellende Sicherung. Klicken Sie dann auf Wiederherstellen.
7. Klicken Sie auf OK.
Wiederherstellung eines
Domänencontrollers über eine
Neuinstallation gefolgt von einer
Wiederherstellung einer Sicherung
Wenn Sie den Domänencontroller nicht im Wiederherstellungsmodus starten können,
haben Sie noch die Möglichkeit, diesen über eine Neuinstallation des Betriebssystems
und einer nachfolgenden Wiederherstellung von Active Directory aus einer Sicherung
wiederherzustellen.
Führen Sie nach der Installation von Windows Server 2003 eine nicht autorisierende
Wiederherstellung des Systemstatus und des Systemvolumens durch.
Ein solches Verfahren kann zum Beispiel in den folgenden Situationen notwendig
werden:

Ein Domänencontroller ist ausgefallen und kann nicht im Wiederherstellungsmodus
gestartet werden.

Sie verfügen über eine Sicherung des Domänencontrollers, die nicht älter als die
Tombstone-Lebensdauer ist.

Der Domänencontroller führt andere Dienste wie zum Beispiel Exchange aus oder
hostet Daten, die aus der Sicherung wiederhergestellt werden müssen.

Sie verfügen über die folgenden Informationen zum ausgefallenen
Domänencontroller:

Festplattenkonfiguration: Sie müssen wissen, welche Volumen und
Festplattenpartitionen vorhanden sind. Windows Server 2003 muss unter dem
gleichen Laufwerksbuchstaben wie vorher installiert werden. Sie müssen vor der
Wiederherstellung des Systemstatus die gesamte Festplattenkonfiguration
wiederherstellen.

Computername: Sie müssen wissen, wie der Computername lautete.

Kennwort des lokalen Administratorkontos. Sie müssen das Kennwort kennen,
das bei der Erstellung der Sicherung verwendet wurde.
Anforderungen
Um die unten beschriebene Aufgabe ausführen zu können, sind die folgenden Tools
erforderlich:

Ntbackup.exe
Um diese Aufgabe auszuführen, sind die folgenden Schritte erforderlich:
1. Installation von Windows Server 2003.
Anmerkung
In diesem Handbuch erhalten Sie keine Informationen zur Installation von
Windows Server 2003.
2. Wiederherstellung mithilfe eines Sicherungsmediums
a. Beginnen Sie mit Schritt 2.
b. Sie müssen sich als lokaler Administrator anmelden - nicht als Administrator für
den Verzeichnisdienstwiederherstellungsmodus.
c.
Stellen Sie den Systemstatus wieder her - jedoch im normalen Modus.
d. Starten Sie den Server nach der Wiederherstellung im normalen Modus.
3. Überprüfen der Active Directory-Wiederherstellung
Wiederherstellung mithilfe eines
Sicherungsmediums
Anmerkung
Zur Wiederherstellung müssen Sie sich lokal am Domänencontroller oder über
eine Remotedesktopverbindung anmelden.
Administrative Berechtigungen
Um dieses Verfahren durchführen zu können, müssen Sie das Administratorkennwort für
den Verzeichnisdienstwiederherstellungsmodus kennen.
Wiederherstellung mithilfe eines Sicherungsmediums
1. Starten Sie den Computer im Verzeichnisdienstwiederherstellungsmodus.
2. Klicken Sie auf Start, klicken Sie auf Ausführen, geben Sie ntbackup ein, und
klicken Sie dann auf OK.
In diesem Verfahren verwenden Sie den Assistentenmodus. Standardmäßig ist
die Option Immer im Assistentenmodus starten im Sicherungs- und
Wiederherstellungsassistenten aktiviert. Klicken Sie andernfalls auf
Assistentenmodus.
3. Klicken Sie auf Weiter.
4. Klicken Sie auf Dateien und Einstellungen wiederherstellen, und klicken Sie
dann auf Weiter.
5. Klicken Sie auf Systemstatus, und klicken Sie dann auf Weiter.
6. Klicken Sie auf Erweitert.
7. Klicken Sie auf Ursprünglicher Bereich, und klicken Sie dann auf Weiter.
8. Klicken Sie auf Vorhandene Dateien beibehalten (empfohlen), und klicken Sie
dann auf Weiter.
9. Wählen Sie die folgenden Optionen aus, und klicken Sie dann auf Weiter:

Sicherheitseinstellungen wiederherstellen

Nur Abzweigungspunkte wiederherstellen, nicht die Ordner und
Dateidaten, auf die verwiesen wird

Vorhandene Bereitstellungspunkte beibehalten
10. Für eine primäre Wiederherstellung von SYSVOL müssen Sie außerdem die
folgende Option auswählen: Die wiederhergestellten Daten bei einer
Wiederherstellung von Replikationssätzen als primäre Dateien für alle
Replikate markieren.
Eine primäre Wiederherstellung ist dann notwendig, wenn der
Domänencontroller der einzige Domänencontroller der Domäne ist.
11. Klicken Sie auf Fertigstellen.
12. Führen Sie nach der Wiederherstellung eine der folgenden Aufgaben aus:

Wenn Sie keine Objekte autorisierend wiederherstellen möchten, klicken Sie
auf Ja und starten Sie den Computer neu.

Wenn sie Objekte autorisierend wiederherstellen möchten, klicken Sie auf
Nein und führen Sie die Aufgabe Durchführen einer autorisierenden
Wiederherstellung von Active Directory-Objekten aus.
Siehe auch
Lokaler Neustart des Domänencontrollers im
Verzeichnisdienstwiederherstellungsmodus
Aktivieren von Remotedesktop
Erstellen einer Remotedesktopverbindung
Neustart des Domänencontrollers im Verzeichnisdienstwiederherstellungsmodus
von einem Remotestandort aus
Wiederherstellen des Systemstatus an einem anderen Speicherort
Durchführen einer autorisierenden Wiederherstellung von Active DirectoryObjekten
Überprüfen der Active DirectoryWiederherstellung
Nach einer Wiederherstellung sollten Sie diese überprüfen.
Administrative Berechtigungen
Um dieses Verfahren ausführen zu können, müssen Sie Mitglied der Gruppe DomänenAdmins sein.
Überprüfen der Active Directory-Wiederherstellung
1. Starten Sie den Domänencontroller im normalen Modus. Es wird daraufhin
automatisch eine Integritätsprüfung und eine Neuindizierung der Datenbank
durchgeführt.
2. Prüfen Sie nach der Anmeldung, ob alle Objekte in Active Directory vorhanden
sind.
Wiederherstellung eines
Domänencontrollers über eine
Neuinstallation
Dieser Prozess entspricht der Neuinstallation eines Domänencontrollers. Damit der
Domänencontroller in einen funktionierenden Zustand versetzt werden kann, ist eine
Replikation notwendig. Das Verfahren kann nur durchgeführt werden, wenn es noch
mindestens einen zweiten Domänencontroller in der Domäne gibt. Es wird normalerweise
dann angewendet, wenn der Computer ausschließlich als Domänencontroller arbeitet.
Wenn der Domänencontroller nicht gesichert wurde, ist dieses Verfahren die einzige
Möglichkeit einer Wiederherstellung. Es sollte jedoch nicht als Ersatz für eine
regelmäßige Sicherung angesehen werden.
Einer der wichtigsten Faktoren für dieses Verfahren ist die verfügbare Bandbreite. Die
erforderliche Bandbreite steht im direkten Verhältnis mit der Größe der Active DirectoryDatenbank. Im Idealfall sollte sich der replizierende Domänencontroller am gleichen
Standort wie der neue Domänencontroller befinden.
Anforderungen
Um die unten beschriebenen Aufgaben ausführen zu können, sind die folgenden Tools
notwendig:

Ntdsutil.exe

Netdiag.exe

Dcdiag.exe

Dcpromo.exe
Um diese Aufgabe auszuführen, sind die folgenden Schritte erforderlich:
1. Wenn Sie planen, dem neuen Domänencontroller den gleichen Namen wie dem
alten Domänencontroller zu geben, bereinigen Sie mit dem folgenden Verfahren die
Metadaten:
Bereinigen der Metadaten
Wenn Sie dem neuen Server einen neuen Namen geben, sind zusätzlich die
folgenden Verfahren notwendig:
Löschen eines Serverobjektes aus einem Standort
Löschen eines Computerobjektes aus der OU Domain Controllers
2. Installieren Sie Windows Server 2003
3. Überprüfung der DNS-Registrierung und -Funktionalität
4. Überprüfen der Kommunikation mit anderen Domänencontrollern
5. Überprüfen der Verfügbarkeit der Betriebsmaster
6. Installieren von Active Directory
Wenn Sie den Domänencontroller unter einem neuen Namen installieren möchten,
führen Sie die Schritte Installieren eines Domänencontrollers in einer bestehenden
Domäne aus.
7. Überprüfen der Active Directory-Installation
Bereinigen der Metadaten
Die Bereinigung der Metadaten wird mit Ntdsutil.exe durchgeführt. Es entfernt alle Daten
aus Active Directory, die einen Domänencontroller identifizieren. Unter
Windows Server 2003 Service Pack 1 (SP1) entfern das Verfahren außerdem
automatisch FRS-Verbindungen und versucht, alle Betriebsmasterrollen, die der alte
Domänencontroller innehatte, zu übertragen oder zu übernehmen.
Administrative Berechtigungen
Um das Verfahren durchführen zu können, müssen Sie Mitglied der Gruppe
Organisations-Admins sein.
Bereinigen der Metadaten
1. Öffnen Sie eine Eingabeaufforderung.
2. Geben Sie den folgenden Befehl ein, und drücken Sie dann die
EINGABETASTE:
ntdsutil
3. Führen Sie den folgenden Befehl aus:
metadata cleanup

Wenn Sie Ntdsutil.exe unter Windows Server 2003 SP1 nutzen, führen Sie
den folgenden Befehl aus:
remove selected server ServerName
oder
remove selected server ServerName1 on ServerName2
Wert

Beschreibung
ServerName,
ServerName1
DNs der Domänencontroller, dessen Metadaten
Sie löschen wollen.
(cn=ServerName,cn=Servers,cn=Standortname,
cn=Sites,cn=Configuration,dc=Stammdomäne
ServerName2
DNS-Name des Domänencontrollers, von dem
Sie die Metadaten entfernen möchten.
Wenn Sie Ntdsutil.exe unter Windows Server 2003 ohne SP ausführen,
gehen Sie folgendermaßen vor:
a. Geben Sie den folgenden Befehl ein:
connection
b. Geben Sie den folgenden Befehl ein:
connect to server Server
c.
Geben Sie den folgenden Befehl ein:
quit
d. Geben Sie den folgenden Befehl ein:
select operation target
e. Geben Sie den folgenden Befehl ein:
list sites
Eine Liste mit Standorten wird angezeigt.
f.
Geben Sie den folgenden Befehl ein:
select site Standortnummer
g. Geben Sie den folgenden Befehl ein:
list domains in site
Es sollte eine Liste mit den Domänen am ausgewählten Standort angezeigt
werden.
h. Geben Sie den folgenden Befehl ein:
select domain Domänennummer
i.
Geben Sie den folgenden Befehl ein:
list servers in site
Eine Liste mit Servern wird angezeigt.
j.
Geben Sie den folgenden Befehl ein:
select server ServerNummer
k.
Geben Sie den folgenden Befehl ein:
quit
l.
Geben Sie den folgenden Befehl ein:
remove selected server
Nun sollte Active Directory bestätigen, dass der Domänencontroller entfernt
wurde.
5. Geben Sie quit ein.
Löschen eines Serverobjektes aus einem
Standort
Wenn es unter dem Server in Active Directory-Standorte und -Dienste keine Unterobjekte
mehr gibt, können Sie das Serverobjekt entfernen.
Administrative Berechtigungen
Um dieses Verfahrung durchführen zu können, müssen Sie Mitglied der Gruppe
Domänen-Admins sein.
Löschen eines Serverobjektes aus einem Standort
1. Öffnen Sie Active Directory-Standorte und -Dienste.
2. Erweitern Sie Standorte und den Standort, aus dem Sie den Server löschen
möchten.
3. Wenn es keine Objekte unter dem Server gibt, klicken Sie mit rechts auf den
Server, und klicken Sie dann auf Löschen.
Wichtig
Löschen Sie keinen Server mit untergeordneten Objekten.
4. Klicken Sie auf Ja.
Löschen eines Computerobjektes aus
der OU Domain Controllers
Administrative Berechtigungen
Um dieses Verfahrung durchführen zu können, müssen Sie Mitglied der Gruppe
Domänen-Admins sein.
Löschen eines Computerobjektes aus der OU Domain Controllers
1. Öffnen Sie Active Directory-Benutzer und -Computer.
2. Klicken Sie auf die OU Domain Controllers.
3. Klicken Sie mit rechts auf das Computerobjekt, das gelöscht werden soll, und
dann auf Löschen. Klicken Sie dann auf Ja.
Siehe auch
Das Entfernen eines Domänencontrollers erzwingen
Bereinigen der Metadaten
Löschen eines Serverobjektes aus einem Standort
Überprüfung der DNS-Registrierung und
-Funktionalität
Administrative Berechtigungen
Um die folgenden Schritte ausführen zu können, müssen Sie Mitglied der Gruppe
Domänen-Admins oder der Gruppe Organisations-Admins sein.
Überprüfung der DNS-Registrierung und -Funktionalität
1. Öffnen Sie eine Eingabeaufforderung.
2. Geben Sie den folgenden Befehl ein, und drücken Sie die EINGABETASTE:
netdiag /test:dns
Anmerkung
Mit /v erhalten Sie mehr Informationen.
Wenn DNS korrekt funktioniert, sollte die letzte Zeile so lauten: DNS Test…..:
Passed.
Überprüfen der Kommunikation mit
anderen Domänencontrollern
Administrative Berechtigungen
Um die folgenden Schritte ausführen zu können, müssen Sie Mitglied der Gruppe
Domänenbenutzer sein.
Überprüfen der Kommunikation mit anderen Domänencontrollern
1. Öffnen Sie eine Eingabeaufforderung.
2. Geben Sie den folgenden Befehl ein, und drücken Sie die EINGABETASTE:
netdiag /test:dsgetdc
Anmerkung
Mit /v erhalten Sie mehr Informationen.
Wenn DNS korrekt funktioniert, sollte die letzte Zeile so lauten: DC discovery
test……..: Passed.
Überprüfen der Verfügbarkeit der
Betriebsmaster
Administrative Berechtigungen
Um die folgenden Schritte ausführen zu können, müssen Sie Mitglied der Gruppe
Domänenbenutzer sein.
Anmerkung
Sie können diese Tests vor und nach der Installation von Active Directory
ausführen. Vor der Installation müssen Sie die Option /s zum Angeben des
verwendeten Domänencontrollers nutzen. Nach der Installation ist die Option
nicht mehr notwendig.
Überprüfen der Verfügbarkeit der Betriebsmaster
1. Öffnen Sie eine Eingabeaufforderung.
2. Geben Sie den folgenden Befehl ein, und drücken Sie die EINGABETASTE:
dcdiag /s: Domänencontrollerr /test:knowsofroleholders /verbose
wobei Domänencontroller der Name eines Domänencontrollers der Domäne ist,
zu der Sie den neuen Domänencontroller hinzufügen möchten. Am Ende der
Ausgabe sollte der Test als erfolgreich angezeigt werden.
3. Geben Sie den folgenden Befehl ein, und drücken Sie die EINGABETASTE:
dcdiag /s: Domänencontrollerr /test:fsmocheck
wobei Domänencontroller der Name eines Domänencontrollers der Domäne ist,
zu der Sie den neuen Domänencontroller hinzufügen möchten. Am Ende der
Ausgabe sollte der Test als erfolgreich angezeigt werden.
Installieren von Active Directory
Administrative Berechtigungen
Um die folgenden Schritte ausführen zu können, müssen Sie Mitglied der Gruppe
Domänen-Admins sein.
Installieren von Active Directory
1. Klicken Sie auf Start, klicken Sie auf Ausführen, geben Sie dcpromo ein, und
drücken Sie die EINGABETASTE.
2. Klicken Sie auf Weiter.
3. Wählen Sie Zusätzlicher Domänencontroller für eine bestehende Domäne.
Klicken Sie auf Weiter.
4. Geben Sie Benutzername, Kennwort und Domäne eines Kontos ein, das den
neuen Domänencontroller in die Domäne aufnehmen darf. Klicken Sie auf
Weiter.
5. Geben Sie den Namen der Domäne ein. Klicken Sie auf Weiter.
6. Geben Sie die Pfade für die Datenbank und die Protokolldateien ein. Für eine
bessere Leistung sollten Sie die Datenbank und die Protokolle auf
unterschiedlichen physischen Festplatten speichern. Klicken Sie auf Weiter.
7. Geben Sie den Pfad für SYSVOL ein. Klicken Sie auf Weiter.
8. Geben Sie ein Kennwort Verzeichnisdienstwiederherstellungsmodus ein. Klicken
Sie auf Weiter.
9. Klicken Sie dann auf Weiter.
10. Klicken Sie auf Fertigstellen.
11. Klicken Sie auf Neustart.
12. Wenn Dienste nicht gestartet werden können, starten Sie den Domänencontroller
ein zweites Mal. Solle das Problem weiter bestehen, überprüfen Sie das
Ereignisprotokoll auf Fehler.
Administrieren der Replikation zwischen
Standorten
In diesem Kapitel finden Sie die folgenden Abschnitte:

Einführung in die Administration der Replikation zwischen Standorten

Verwalten der Replikation zwischen Standorten
Danksagung
Veröffentlicht: März2005
Betrifft: Windows Server 2003
Erstellt durch: Microsoft Windows Server User Assistance Team
Autor: Mary Hillman
Redaktion: Jim Becker
6.5
Einführung in die Administration der
Replikation zwischen Standorten
Ein Active Directory-Standort besteht aus einem oder mehreren IP-Subnetzen, die
normalerweise ein physisches LAN bilden. Mehrere Standorte können für die Replikation
über Standortverknüpfungen verbunden werden.
Standorte haben zwei Aufgaben:

Den Clients ermöglichen, auf Netzwerkressourcen zuzugreifen, die sich möglichst
nahe an deren physischen Standort befinden und somit den Netzwerkverkehr über
WAN-Verbindung zu verringern.

Optimierung der Replikation zwischen Domänencontrollern.
Anmerkung
Die Verwaltung von großen Hub-and-Spoke-Topologien oder die Nutzung von
SMTP zur Replikation zwischen Standorten wird in diesem Dokument nicht
besprochen.
Der KCC und die Replikationstopologie
Der Knowledge Consistency Checker (KCC) nutzt die Konfiguration der
Standortverknüpfungen, um einen optimierten Replikationsverkehr zu ermöglichen.
Hierzu erstellt er eine möglichst günstige Replikationstopologie. Innerhalb eines
Standortes baut der KCC für jede Verzeichnispartition eine Ringtopologie auf und
versucht, die maximale Anzahl der Replikationsverbindungen zwischen allen
Domänencontrollern bei drei oder kleiner zu halten. Zwischen Standorten erstellt der
KCC eine übergreifende Replikationsstruktur. Wenn Standorte und Domänen zur
Gesamtstruktur hinzugefügt werden, steigt somit die Auslastung des KCC. Bevor Sie
einen Standort hinzufügen, sollten Sie die Richtlinien aus dem Abschnitt "Hinzufügen
eines neuen Standortes" weiter unten in diesem Dokument kennen.
Umfangreiche Änderungen der Standorttopologie können zu einer Veränderung der
Hardwareanforderungen für Domänencontroller führen. Weitere Informationen hierzu
finden Sie unter http://go.microsoft.com/fwlink/?LinkId=42682.
Auswahl der Bridgeheadserver
Standardmäßig werden die Bridgeheadserver automatisch durch den Intersite Topology
Generator (ISTG) ausgewählt. Alternativ können Sie diese jedoch auch über Active
Directory-Standorte und -Dienste selbst festlegen. Dies wird jedoch nicht empfohlen.
Das Auswählen der bevorzugten Bridgeheadserver schränkt die Auswahl der
Bridgeheadserver ein, die dem KCC zur Verfügung stehen. Wenn Sie die
Bridgeheadserver über Active Directory-Standorte und -Dienste selbst festlegen, müssen
Sie so viele Server wie möglich auswählen und diese für alle Domänen definieren, die an
andere Standorte repliziert werden müssen. Wenn Sie bevorzugte Bridgeheadserver für
eine Domäne festlegen und diese alle nicht mehr zur Verfügung stehen, findet keine
Replikation mehr statt.
Wenn Sie die ausgewählten Bridgeheadserver alle wieder aus der Liste entfernen, stellt
der ISTG wieder automatisch eine Topologie her.
Verwalten der Replikation zwischen
Standorten
In diesem Abschnitt werden die folgenden Aufgaben beschrieben:

Hinzufügen eines neuen Standortes

Verknüpfen von Standorten für die Replikation

Ändern der Eigenschaften von Standortverknüpfungen

Verschieben eines Domänencontrollers an einen anderen Standort

Entfernen eines Standorts
Hinzufügen eines neuen Standortes
Zwar erstellen Sie typischerweise Subnetze für alle Adressbereiche eines Netzwerkes,
es ist jedoch nicht zwingend notwendig, auch Standorte zu erstellen. Grundsätzlich sind
Standorte dann erforderlich, wenn es Domänencontroller und andere Server gibt, die von
einer Standorttopologie abhängig sind (zum Beispiel DFS).
Wenn dem Netzwerk ein neuer IP-Adressbereich hinzugefügt wird, erstellen Sie für
diesen ein Subnetz-Objekt. Wenn Sie ein neues Subnetz erstellen, müssen Sie dieses
einem Standort zuordnen. Sie können es entweder einem bestehenden Standort
zuordnen oder erst einen neuen Standort erstellen und diesem dann das neue Subnetz
zuordnen.
Anforderungen
Um die unten beschriebene Aufgabe ausführen zu können, sind die folgenden Tools
erforderlich:

Active Directory-Standorte und -Dienste
Um diese Aufgabe auszuführen, sind die folgenden Schritte erforderlich:
1. Erstellen eines Standortobjektes und Hinzufügen zu einer bestehenden
Standortverknüpfung
2. Zuweisen eines IP-Adressbereiches zu einem Standort:

Erstellen eines Subnetzobjektes und Zuweisen des Objektes zu einem neuen
Standort
oder

Zuweisen eines bestehenden Subnetzobjektes zu einem neuen Standort
3. Wenn Sie einen neuen Standort und eine neue Standortverknüpfung erstellen,
nachdem Sie einen neuen Standort erstellt und diesen zu einer Standortverknüpfung
hinzugefügt haben, dann führen Sie die Aufgabe Erstellen einer Standortverknüpfung
und Hinzufügen der entsprechenden Standorte aus. Entfernen Sie dann den
Standort aus der ersten Standortverknüpfung, zu der Sie ihn bei seiner Erstellung
hinzugefügt hatten.
4. Entfernen eines Standortes aus einer Standortverknüpfung
Erstellen eines Standortobjektes und
Hinzufügen zu einer bestehenden
Standortverknüpfung
Um einen neuen Standort zu erstellen, müssen Sie ein Standortobjekt erstellen und
dieses zu einer Standortverknüpfung hinzufügen.
Administrative Berechtigungen
Um dieses Verfahren ausführen zu können, müssen Sie Mitglied der Gruppe
Organisations-Admins sein.
Erstellen eines Standortobjektes und Hinzufügen zu einer bestehenden
Standortverknüpfung
1. Öffnen Sie Active Directory-Standorte und -Dienste.
2. Klicken Sie mit rechts auf Standorte, und klicken Sie dann auf Neuer Standort.
3. Geben Sie den Namen des Standortes ein.
4. Klicken Sie auf eine Standortverknüpfung für diesen Standort, und klicken Sie
dann auf OK.
5. Klicken Sie auf OK.
Erstellen eines Subnetzobjektes und
Zuweisen des Objektes zu einem neuen
Standort
Zum Erstellen eines Subnetzobjektes und Zuweisen des Objektes zu einem neuen
Standort benötigen Sie die folgenden Informationen:

Den Standort, dem das Subnetz zugewiesen werden soll.

Die Netzwerkadresse oder einen IP-Adressbereich.

Die Subnetzmaske.
Administrative Berechtigungen
Um dieses Verfahren ausführen zu können, müssen Sie Mitglied der Gruppe
Organisations-Admins sein.
Erstellen eines Subnetzobjektes und Zuweisen des Objektes zu einem neuen
Standort
1. Öffnen Sie Active Directory-Standorte und -Dienste.
2. Erweitern Sie Standorte, klicken Sie mit rechts auf Subnetze, und klicken Sie
dann auf Neues Subnetz.
3. Geben Sie die Netzwerkadresse oder eine IP-Adresse ein.
4. Geben Sie die Subnetzmaske ein.
5. Klicken Sie auf den Standort, dem Sie das Subnetz zuordnen wollen. Klicken Sie
dann auf OK.
Zuweisen eines bestehenden
Subnetzobjektes zu einem neuen
Standort
Weisen Sie in den folgenden Fällen ein bestehendes Subnetz einem neuen Standort zu:

Wenn der alte Standort entfernt wird.

Wenn das Subnetz temporär einem anderen Standort zugewiesen war.
Administrative Berechtigungen
Um dieses Verfahren ausführen zu können, müssen Sie Mitglied der Gruppe
Organisations-Admins sein.
Zuweisen eines bestehenden Subnetzobjektes zu einem neuen Standort
1. Öffnen Sie Active Directory-Standorte und -Dienste.
2. Erweitern Sie Standorte, und klicken Sie dann auf Subnetze.
3. Klicken Sie mit rechts auf das Subnetz, das Sie einem Standort zuweisen
möchten, und dann auf Eigenschaften.
4. Klicken Sie auf den Standort, dem das Subnetz zugewiesen werden soll, und
klicken Sie dann auf OK.
Erstellen einer Standortverknüpfung und
Hinzufügen der entsprechenden
Standorte
Mit diesem Verfahren erstellen Sie eine Standortverknüpfung im IP-Container und fügen
ihr die entsprechenden Standorte hinzu.
Administrative Berechtigungen
Um dieses Verfahren ausführen zu können, müssen Sie Mitglied der Gruppe
Organisations-Admins sein.
Erstellen eine Standortverknüpfungsobjektes
1. Öffnen Sie Active Directory-Standorte und -Dienste.
2. Erweitern Sie Standorte und Inter-Site Transports.
3. Klicken Sie mit rechts auf IP, und klicken Sie dann auf Neue
Standortverknüpfung.
4. Geben Sie einen Namen für die Standortverknüpfung ein.
5. Klicken Sie unter Sites not in this site link auf die Standorte, die zur
Standortverknüpfung hinzugefügt werden sollten. Mit der HOCHSTELLTASTE
und STRG können sie mehrere Standorte markieren. .
6. Klicken Sie auf Hinzufügen, und klicken Sie dann auf OK.
Entfernen eines Standortes aus einer
Standortverknüpfung
Administrative Berechtigungen
Um dieses Verfahren ausführen zu können, müssen Sie Mitglied der Gruppe
Organisations-Admins sein.
Entfernen eines Standortes aus einer Standortverknüpfung
1. Öffnen Sie Active Directory-Standorte und -Dienste.
2. Erweitern Sie Standorte und Inter-Site Transports.
3. Erweitern Sie IP, und klicken Sie dann mit rechts auf die Standortverknüpfung,
die Sie bearbeiten möchten, und auf Eigenschaften.
5. Klicken Sie unter Standorte außerhalb dieser Standortverknüpfung auf die
Standorte, die entfernt werden sollen.
6. Klicken Sie auf Entfernen, und klicken Sie dann auf OK.
Verknüpfen von Standorten für die
Replikation
Um Standorte für die Replikation zu verknüpfen, müssen Sie im IP-Container ein
Standortverknüpfungsobjekt erstellen und zwei oder mehr Standorte hinzufügen.
Verwenden Sie Namen, die zeigen, welche Standorte verknüpft werden. Wenn Sie
beispielsweise die Standorte Seattle und Boston verknüpfen, dann verwenden Sie einen
Namen wie SEA-BOS.
Informationen zum Ändern der Standardeigenschaften von Standortverknüpfung finden
Sie unter Ändern der Eigenschaften von Standortverknüpfungen.
Es muss in jeder Standortverknüpfung mindestens zwei Standorte geben. Wenn Sie
einen neuen Standort mit einem bestehenden verknüpfen möchten, erstellen Sie erst den
neuen Standort und dann die Standortverknüpfung.
Anforderungen
Um die unten beschriebene Aufgabe ausführen zu können, sind die folgenden Tools
erforderlich:

Active Directory-Standorte und -Dienste
Um diese Aufgabe auszuführen, sind die folgenden Schritte erforderlich:
1. Erstellen einer Standortverknüpfung und Hinzufügen der entsprechenden Standorte
2. Standardmäßig wird der KCC alle 15 Minuten ausgeführt und erstellt eine
Replikationstopologie. Mit den folgenden zwei Verfahren können Sie sofort eine
Replikationstopologie erstellen:

Ermitteln der ISTG-Rolle für einen Standort

Erstellen der Replikationstopologie auf dem ISTG-Server
Erstellen einer Standortverknüpfung und
Hinzufügen der entsprechenden
Standorte
Mit diesem Verfahren erstellen Sie eine Standortverknüpfung im IP-Container und fügen
ihr die entsprechenden Standorte hinzu.
Administrative Berechtigungen
Um dieses Verfahren ausführen zu können, müssen Sie Mitglied der Gruppe
Organisations-Admins sein.
Erstellen eine Standortverknüpfungsobjektes
1. Öffnen Sie Active Directory-Standorte und -Dienste.
2. Erweitern Sie Standorte und Inter-Site Transports.
3. Klicken Sie mit rechts auf IP, und klicken Sie dann auf Neue
Standortverknüpfung.
4. Geben Sie einen Namen für die Standortverknüpfung ein.
5. Klicken Sie unter Sites not in this site link auf die Standorte, die zur
Standortverknüpfung hinzugefügt werden sollten. Mit der HOCHSTELLTASTE
und STRG können sie mehrere Standorte markieren. .
6. Klicken Sie auf Hinzufügen, und klicken Sie dann auf OK.
Ermitteln der ISTG-Rolle für einen
Standort
Mit diesem Verfahren stellen Sie fest, wer Intersite Topology Generator (ISTG) für einen
Standort ist.
Administrative Berechtigungen
Um dieses Verfahren ausführen zu können, müssen Sie Mitglied der Gruppe
Domänenbenutzer sein.
Ermitteln der ISTG-Rolle für einen Standort
1. Öffnen Sie Active Directory-Standorte und -Dienste.
2. Klicken Sie auf den Standort, dessen ISTG Sie ermitteln möchten.
3. Klicken Sie mit rechts auf NTDS Site Settings, und klicken Sie dann auf
Eigenschaften. Im Feld Server finden Sie den aktuellen Rolleninhaber.
Erstellen der Replikationstopologie auf
dem ISTG-Server
Mit dem folgenden Verfahren haben Sie die Möglichkeit, diese Vorgänge auf dem KCC
anzustoßen:

Erstellen einer Topologie für die Replikation zwischen Standorten. Führen Sie hierzu
den KCC auf dem Domänencontroller aus, der ISTG für den Standort ist.

Erstellen eine Topologie für die Replikation innerhalb des Standortes. Führen Sie
hierzu den KCC auf dem Domänencontroller aus, der nicht ISTG für den Standort ist.
Anmerkung
Vor diesem Verfahren müssen Sie die Aufgabe Ermitteln der ISTG-Rolle für
einen Standort ausführen.
Administrative Berechtigungen
Um dieses Verfahren ausführen zu können, müssen Sie Mitglied der Gruppe
Organisations-Admins sein.
Erstellen der Replikationstopologie auf dem ISTG-Server
1. Öffnen Sie Active Directory-Standorte und -Dienste.
2. Erweitern Sie Standorte und den Server, auf dem Sie den KCC ausführen
möchten.
3. Erweitern Sie Servers, und klicken Sie dann auf das Serverobjekt des ISTG.
4. Klicken Sie mit rechts auf NTDS Settings, klicken Sie auf Alle Tasks, und
klicken Sie dann auf Replikationstopologie prüfen.
5. Klicken Sie auf OK.
Ändern der Eigenschaften von
Standortverknüpfungen
Mit diesem Verfahren können Sie steuern, welche Standorte wann miteinender
replizieren.
Hierbei gibt es drei verschiedene Einflussfaktoren:

Zeitplan: Zeitraum, während dessen eine Replikation stattfinden kann
(standardmäßig immer).

Intervall: Zeit in Minuten, nach der Replikationspartner innerhalb des Zeitplans eine
Replikation anstoßen (standardmäßig 180 Minuten).

Kosten: Relative Priorität der Verknüpfung (standardmäßig 100). Geringere Kosten
haben eine höhere Priorität gegenüber hohen Kosten.
Anforderungen
Um die unten beschriebene Aufgabe ausführen zu können, sind die folgenden Tools
erforderlich:

Active Directory-Standorte und -Dienste
Um diese Aufgabe auszuführen, sind die folgenden Schritte erforderlich:
1. Konfigurieren eine Zeitplans für eine Standortverknüpfung
2. Konfigurieren eines Intervalls für eine Standortverknüpfung
3. Konfigurieren der Kosten für eine Standortverknüpfung
4. Mit den folgenden zwei Verfahren können Sie eine Topologie für die Replikation
zwischen Standorten erstellen:

Ermitteln der ISTG-Rolle für einen Standort

Erstellen der Replikationstopologie auf dem ISTG-Server
Konfigurieren eines Zeitplans für eine
Standortverknüpfung
Administrative Berechtigungen
Um dieses Verfahren ausführen zu können, müssen Sie Mitglied der Gruppe
Organisations-Admins sein.
Konfigurieren eines Zeitplans für eine Standortverknüpfung
1. Öffnen Sie Active Directory-Standorte und -Dienste.
2. Erweitern Sie Standorte und Inter-Site Transports, und klicken Sie dann auf IP.
3. Klicken Sie mit rechts auf die Standortverknüpfung, die Sie konfigurieren
möchten, und klicken Sie dann auf Eigenschaften.
4. Klicken Sie auf Zeitplan ändern.
5. Konfigurieren Sie den entsprechenden Zeitplan.
6. Klicken Sie zweimal auf OK.
Konfigurieren eines Intervalls für eine
Standortverknüpfung
Administrative Berechtigungen
Um dieses Verfahren ausführen zu können, müssen Sie Mitglied der Gruppe
Organisations-Admins sein.
Konfigurieren eines Intervalls für eine Standortverknüpfung
1. Öffnen Sie Active Directory-Standorte und -Dienste.
2. Erweitern Sie Standorte und Inter-Site Transports, und klicken Sie dann auf IP.
3. Klicken Sie mit rechts auf die Standortverknüpfung, die Sie konfigurieren
möchten, und klicken Sie dann auf Eigenschaften.
4. Geben Sie unter Replizieren alle: den gewünschten Wert ein.
5. Klicken Sie auf OK.
Konfigurieren der Kosten für eine
Standortverknüpfung
Administrative Berechtigungen
Um dieses Verfahren ausführen zu können, müssen Sie Mitglied der Gruppe
Organisations-Admins sein.
Konfigurieren der Kosten für eine Standortverknüpfung
1. Öffnen Sie Active Directory-Standorte und -Dienste.
2. Erweitern Sie Standorte und Inter-Site Transports, und klicken Sie dann auf IP.
3. Klicken Sie mit rechts auf die Standortverknüpfung, die Sie konfigurieren
möchten, und klicken Sie dann auf Eigenschaften.
4. Geben Sie unter Kosten: den gewünschten Wert ein.
5. Klicken Sie auf OK.
Ermitteln der ISTG-Rolle für einen
Standort
Mit diesem Verfahren stellen Sie fest, wer Intersite Topology Generator (ISTG) für einen
Standort ist.
Administrative Berechtigungen
Um dieses Verfahren ausführen zu können, müssen Sie Mitglied der Gruppe
Domänenbenutzer sein.
Ermitteln der ISTG-Rolle für einen Standort
1. Öffnen Sie Active Directory-Standorte und -Dienste.
2. Klicken Sie auf den Standort, dessen ISTG Sie ermitteln möchten.
3. Klicken Sie mit rechts auf NTDS Site Settings, und klicken Sie dann auf
Eigenschaften. Im Feld Server finden Sie den aktuellen Rolleninhaber.
Erstellen der Replikationstopologie auf
dem ISTG-Server
Mit dem folgenden Verfahren haben Sie die Möglichkeit, diese Vorgänge auf dem KCC
anzustoßen:

Erstellen einer Topologie für die Replikation zwischen Standorten. Führen Sie hierzu
den KCC auf dem Domänencontroller aus, der ISTG für den Standort ist.

Erstellen eine Topologie für die Replikation innerhalb des Standortes. Führen Sie
hierzu den KCC auf dem Domänencontroller aus, der nicht ISTG für den Standort ist.
Anmerkung
Vor diesem Verfahren müssen Sie die Aufgabe Ermitteln der ISTG-Rolle für
einen Standort ausführen.
Administrative Berechtigungen
Um dieses Verfahren ausführen zu können, müssen Sie Mitglied der Gruppe
Organisations-Admins sein.
Erstellen der Replikationstopologie auf dem ISTG-Server
1. Öffnen Sie Active Directory-Standorte und -Dienste.
2. Erweitern Sie Standorte und den Server, auf dem Sie den KCC ausführen
möchten.
3. Erweitern Sie Servers, und klicken Sie dann auf das Serverobjekt des ISTG.
4. Klicken Sie mit rechts auf NTDS Settings, klicken Sie auf Alle Tasks, und
klicken Sie dann auf Replikationstopologie prüfen.
5. Klicken Sie auf OK.
Verschieben eines Domänencontrollers
an einen anderen Standort
Wenn Sie die IP-Adresse oder die Subnetz/Standort-Zuordnung für einen
Domänencontroller nach der Installation von Active Directory ändern, werden diese
Änderungen nicht automatisch für das Serverobjekte durchgeführt - Sie müssen dieses
per Hand erledigen.
TCP/IP-Einstellungen
Wenn Sie einen Domänencontroller verschieben, müssen Sie seine TCP/IPEinstellungen ändern.
Bevor Sie einen Domänencontroller verschieben, stellen Sie sicher, dass die folgenden
Einstellungen dem neuen Standort entsprechen:

IP-Adresse (inkl. der Subnetzmaske und der Standardgateways).

Adressen der DNS-Server.

Adressen der WINS-Server.
Wenn Sie einen Domänencontroller verschieben, der DNS-Server ist, sind außerdem
folgende Schritte notwendig:

Ändern der TCP/IP-Einstellungen auf allen Clients, die mit statischen Einträgen auf
diesen DNS-Server zugreifen.

Überprüfen, ob die übergeordnete DNS-Zone aller auf diesem DNS-Server
gehosteten Zonen Delegierungen für diesen DNS-Server enthält. Wenn dies der Fall
ist, aktualisieren Sie die IP-Adressen für diese Delegierungen. Weitere Informationen
finden Sie im Abschnitt Überprüfen der Active Directory-Installation.
Status als bevorzugter Bridgeheadserver
Bevor Sie ein Serverobjekt verschieben, sollten Sie überprüfen, ob er als bevorzugter
Bridgeheadserver arbeitet. In diesem Fall wirkt sich das folgendermaßen auf den ISTG
beider Standorte aus:

Standort, in den Sie den Server verschieben: Wenn Sie einen bevorzugten
Bridgeheadserver verschieben, wird er auch bevorzugter Bridgeheadserver des
neuen Standortes. Wenn es am neuen Standort keine bevorzugten
Bridgeheadserver gibt, ändert sich das Verhalten des ISTG, um den neuen
bevorzugten Bridgeheadserver zu nutzen. Aus diesem Grund müssen Sie den Server
entweder so konfigurieren, dass er kein bevorzugter Bridgeheadserver mehr ist
(empfohlen), oder zusätzliche bevorzugte Bridgeheadserver im neuen Standort
auswählen (nicht empfehlenswert).

Standort, aus dem Sie den Server verschieben: Wenn der Server der letzte
bevorzugte Bridgeheadserver ist und kein andere Domänencontroller an diesem
Standort vorhanden ist, wählt der ISTG einen Bridgeheadserver für die Domäne aus.
Wenn Sie bevorzugte Bridgeheadserver einsetzen, wählen Sie immer mehr als einen
Server als bevorzugten Bridgeheadserver pro Domäne aus. Sollte nach dem
Verschieben nur noch ein Domänencontroller als bevorzugter Bridgeheadserver
vorhanden sein, müssen Sie den Server entweder so konfigurieren, dass er kein
bevorzugter Bridgeheadserver mehr ist (empfohlen), oder zusätzliche bevorzugte
Bridgeheadserver im neuen Standort auswählen (nicht empfehlenswert).
Anmerkung
Wenn Sie bevorzugte Bridgeheadserver nutzen und alle bevorzugten
Bridgeheadserver für eine Domäne an einem Standort nicht verfügbar sind, wählt
der ISTG keinen neuen Bridgeheadserver. In diesem Fall findet keine Replikation
statt.
Anforderungen

Netzwerkumgebung

DNS-Snap-in

Active Directory-Standorte und -Dienste

Adsiedit.msc
Führen Sie die folgenden Schritte in der unten gezeigten Reihenfolge aus:
1. Ändern der statischen IP-Adresse eines Domänencontrollers
2. Erstellen einer Delegierung für einen Domänencontroller
Aktualisieren Sie die IP-Adressen für diese Delegierungen.
Wenn Ihre Stammdomäne eine übergeordnete DNS-Domäne hat, führen Sie das
Verfahren auf einem DNS-Server der übergeordneten Domäne aus. Wenn Sie nur
einen neuen Domänencontroller zur untergeordneten Domäne hinzugefügt haben,
führen Sie das Verfahren auf dem DNS-Server in der übergeordneten Domäne aus.
3. Überprüfen, ob eine IP-Adresse einem Subnetz entspricht, und Ermitteln der
Standortzuordnung.
4. Feststellen, ob ein Server ein Bridgeheadserver ist
5. Einen Server so konfigurieren, dass er kein bevorzugter Bridgeheadserver ist
6. Verschieben eines Serverobjekts in einen neuen Standort
Ändern der statischen IP-Adresse eines
Domänencontrollers
Mit diesem Verfahren ändern Sie alle relevanten TCP/IP-Einstellungen.
Administrative Berechtigungen
Um dieses Verfahren ausführen zu können, müssen Sie Mitglied der Gruppe DomänenAdmins sein.
Ändern der statischen IP-Adresse eines Domänencontrollers
1. Melden Sie sich lokal am Domänencontroller an.
2. Klicken Sie mit rechts auf Netzwerkumgebung, und klicken Sie dann auf
Eigenschaften.
3. Klicken Sie unter Netzwerkverbindungen mit rechts auf LAN Verbindung, und
klicken Sie dann auf Eigenschaften.
4. Klicken Sie in den Eigenschaften doppelt auf Internet Protocol (TCP/IP).
5. Geben Sie die neue Adresse ein.
6. Geben Sie die neue Subnetzmaske ein.
7. Geben Sie das neue Standardgateway ein.
8. Geben Sie die beiden DNS-Server-Adressen ein.
9. Geben Sie, wenn notwendig, einen neuen WINS-Server ein.
Erstellen einer Delegierung für einen
Domänencontroller
Mit diesem Verfahren erstellen Sie in der übergeordneten DNS-Domäne eine
Delegierung für einen neuen Domänencontroller, der außerdem DNS-Server ist.
Administrative Berechtigungen
Um dieses Verfahren ausführen zu können, müssen Sie Mitglied der Gruppe DomänenAdmins sein.
Erstellen einer Delegierung für einen Domänencontroller
1. Öffnen Sie das DNS-Snap-In.
2. Navigieren Sie zu UntergeordneteDomäne (wobei UntergeordneteDomäne der
Name der untergeordneten Domäne ist).
3. Klicken Sie im Konsolenbereich mit rechts auf UntergeordneteDomäne, und
klicken Sie dann auf Eigenschaften.
4. Klicken Sie auf der Registerkarte Nameserver auf Hinzufügen.
5. Geben Sie UntergeordneterDC.UntergeordneteDomäne.ÜbergeordneteDomäne
ein.
6. Geben Sie die IP-Adresse ein. Klicken Sie auf Hinzufügen, und klicken Sie dann
auf OK.
Überprüfen, ob eine IP-Adresse einem
Subnetz entspricht, und Ermitteln der
Standortzuordnung
Mit diesem Verfahren stellen Sie fest, zu welchem Standort ein neuer oder verschobener
Server gehört.
Administrative Berechtigungen
Um dieses Verfahren ausführen zu können, müssen Sie Mitglied der Gruppe
Domänenbenutzer sein.
Überprüfen, ob eine IP-Adresse einem Subnetz entspricht, und Ermitteln der
Standortzuordnung
1. Melden Sie sich lokal am Domänencontroller an.
2. Klicken Sie mit rechts auf Netzwerkumgebung, und klicken Sie dann auf
Eigenschaften.
3. Klicken Sie unter Netzwerkverbindungen mit rechts auf LAN Verbindung, und
klicken Sie dann auf Eigenschaften.
4. Klicken Sie in den Eigenschaften doppelt auf Internet Protocol (TCP/IP).
5. Berechnen Sie die Adresse des Subnetzes mit der IP-Adresse und der
Subnetzmaske, und klicken Sie dann auf OK.
7. Öffnen Sie Active Directory-Standorte und -Dienste.
8. Erweitern Sie Standorte, und klicken Sie dann auf Subnetze.
9. Suchen Sie das Subnetz, das der berechneten Subnetzadresse entspricht.
10. Stellen Sie fest, welchem Standort das Subnetz zugeordnet ist.
Feststellen, ob ein Server ein
Bridgeheadserver ist
Administrative Berechtigungen
Um dieses Verfahren ausführen zu können, müssen Sie Mitglied der Gruppe
Domänenbenutzer sein.
Feststellen, ob ein Server ein Bridgeheadserver ist
1. Klicken Sie auf Start, klicken Sie auf Ausführen, geben Sie den folgenden
Befehl ein, und drücken Sie die EINGABETASTE:
adsiedit.msc
2. Erweitern Sie Configuration Container und
CN=Configuration,DC=NameDerStammdomäne, CN=Sites und CN=Inter-Site
Transports.
3. Klicken Sie mit rechts auf CN=IP, und klicken Sie dann auf Eigenschaften.
4. Klicken Sie doppelt auf bridgeheadServerListBL.
5. Wenn bevorzugte Bridgeheadserver ausgewählt sind, werden unter Values die
DNs der jeweiligen Serverobjekte angezeigt.
Einen Server so konfigurieren, dass er
kein bevorzugter Bridgeheadserver ist
Administrative Berechtigungen
Um dieses Verfahren ausführen zu können, müssen Sie Mitglied der Gruppe DomänenAdmins sein.
Einen Server so konfigurieren, dass er kein bevorzugter Bridgeheadserver ist
1. Öffnen Sie Active Directory-Standorte und -Dienste.
2. Erweitern Sie Standorte und dann den Standort mit dem Bridgeheadserver.
3. Erweitern Sie Servers.
4. Klicken Sie mit rechts auf den Server, den Sie konfigurieren möchten, und
klicken Sie dann auf Eigenschaften.
5. Wenn in der Liste IP angezeigt wird, ist der Server ein IP-Bridgeheadserver.
Klicken Sie auf IP, klicken Sie auf Entfernen, und klicken Sie dann auf OK.
Verschieben eines Serverobjekts in einen
neuen Standort
Administrative Berechtigungen
Um dieses Verfahren ausführen zu können, müssen Sie Mitglied der Gruppe
Organisations-Admins sein.
Verschieben eines Serverobjekts in einen neuen Standort
1. Öffnen Sie Active Directory-Standorte und -Dienste.
2. Erweitern Sie Standorte und dann den Standort mit dem Bridgeheadserver.
3. Erweitern Sie Servers.
4. Klicken Sie mit rechts auf den Server, den Sie verschieben möchten, und klicken
Sie dann auf Verschieben.
5. Klicken Sie auf den Zielstandort, und klicken Sie dann auf OK.
6. Erweitern Sie das Standortobjekt, an den Sie den Server verschoben haben, und
dann den Container Servers.
7. Prüfen Sie, ob der Server hier angezeigt wird.
8. Erweitern Sie das Serverobjekt und prüfen Sie, ob das NTDS-Settings-Objekt
vorhanden ist.
Der NetLogon-Dienst auf dem Domänencontroller sollte die neuen Informationen
innerhalb einer Stunde auf dem DNS registriert haben. Warten Sie eine Stunde, und
öffnen Sie dann die Ereignisanzeige auf dem verschobenen Domänencontroller. Prüfen
Sie das Verzeichnisprotokoll auf Fehler. NetLogon-Ereignis ID 5774 zeigt an, dass die
DNS-Registrierung fehlgeschlagen ist.
Entfernen eines Standortes
Bevor Sie einen Standort löschen, müssen Sie alle Domänencontroller von diesem
Standort verschieben oder löschen.
Domänencontroller können andere Anwendungen hosten, die von der Standorttopologie
abhängig sind. Wenn zum Beispiel MOM auf einem Domänencontroller ausgeführt wird,
erstellt diese Anwendung Unterobjekte unter dem Serverobjekt. Ein Server mit Message,
der kein Domänencontroller ist, erstellt außerdem ein Serverobjekt im Container
Standorte. Das Entfernen der Anwendung vom Server entfernt das Unterobjekt des
Serverobjektes automatisch. Das Serverobjekt selbst wird jedoch nicht automatisch
entfernt.
Wenn keine Unterobjekte mehr vorhanden sind, können Sie das Serverobjekt entfernen.
Es kann allerdings sein, dass eine Replikation notwendig ist, bevor alle Unterobjekte
entfernt sind.
Nachdem die Serverobjekte entfernt oder verschoben sind und bevor Sie das
Standortobjekt löschen, sollten Sie die folgenden Komponenten abstimmen:
IP-Adressen:

Wenn die Adressen neu für einen anderen Standort zugewiesen werden, weisen Sie
das Subnetzobjekt oder die Subnetzobjekte dem neuen Standort zu. Alle Clients, die
Adressen aus dem alten Standort nutzen, werden dann automatisch dem anderen
Standort zugewiesen.

Wenn IP-Adressen nicht weiter genutzt werden, löschen Sie das entsprechende
Subnetz oder die Subnetze.
Standortverknüpfungsobjekte:

Wenn der Standort, der entfernt wird, einer Standortverknüpfung angehört, der nur
zwei Standorte zugeordnet sind, löschen Sie die Standortverknüpfung.

Wenn der Standort, der entfernt wird, einer Standortverknüpfung angehört, der mehr
als zwei Standorte zugeordnet sind, löschen Sie die Standortverknüpfung nicht.
Bevor Sie einen Standort löschen, sollten Sie die Auswirkungen dieser Aktion bedenken.
Wenn der Standort über mehr als eine Standortverknüpfung verbunden ist, könnte es
sich um einen Standort handeln, der zwei andere Standorte verbindet.
Anforderungen
Um die unten beschriebene Aufgabe ausführen zu können, sind die folgenden Tools
erforderlich:

Active Directory-Standorte und -Dienste
Um diese Aufgabe auszuführen, sind die folgenden Schritte erforderlich:
1. Ermitteln, ob ein Serverobjekt über Unterobjekte verfügt
2. Löschen eines Serverobjektes aus einem Standort
3. Löschen einer Standortverknüpfung
4. Zuordnen des Subnetzes oder der Subnetze zum entsprechenden Standort
5. Löschen des Standortobjektes
6. Um Replikationsfehler mit anderen Standorten zu verhindern, erstellen Sie in den
verbundenen Standorten eine neue Topologie für die Standortreplikation. Verwenden
Sie hierzu eines der beiden folgenden Verfahren:

Ermitteln der ISTG-Rolle für einen Standort

Erstellen der Replikationstopologie auf dem ISTG-Server
Ermitteln, ob ein Serverobjekt über
Unterobjekte verfügt
Administrative Berechtigungen
Um dieses Verfahren ausführen zu können, müssen Sie Mitglied der Gruppe
Domänenbenutzer sein.
Ermitteln, ob ein Serverobjekt über Unterobjekte verfügt
1. Öffnen Sie Active Directory-Standorte und -Dienste.
2. Erweitern Sie Standorte und den entsprechenden Standort.
3. Erweitern Sie Servers und das entsprechende Serverobjekt.
Löschen eines Serverobjektes aus einem
Standort
Wenn es unter dem Server in Active Directory-Standorte und -Dienste keine Unterobjekte
mehr gibt, können Sie das Serverobjekt entfernen.
Administrative Berechtigungen
Um dieses Verfahrung durchführen zu können, müssen Sie Mitglied der Gruppe
Domänen-Admins sein.
Löschen eines Serverobjektes aus einem Standort
1. Öffnen Sie Active Directory-Standorte und -Dienste.
2. Erweitern Sie Standorte und den Standort, aus dem Sie den Server löschen
möchten.
3. Wenn es keine Objekte unter dem Server gibt, klicken Sie mit rechts auf den
Server, und klicken Sie dann auf Löschen.
Wichtig
Löschen Sie keinen Server mit untergeordneten Objekten.
4. Klicken Sie auf Ja.
Löschen einer Standortverknüpfung
Administrative Berechtigungen
Um dieses Verfahren ausführen zu können, müssen Sie Mitglied der Gruppe
Organisations-Admins sein.
Löschen einer Standortverknüpfung
1. Öffnen Sie Active Directory-Standorte und -Dienste.
2. Erweitern Sie Standorte und den Inter-Site Transports, und klicken Sie dann
auf IP.
3. Klicken Sie mit rechts auf das Standortverknüpfungsobjekt, das gelöscht werden
soll. Klicken Sie dann auf Löschen.
4. Klicken Sie auf Ja.
Zuordnen des Subnetzes oder der
Subnetze zum entsprechenden Standort
Weisen Sie einem bestehenden Subnetz einen neuen Standort zu, wenn folgendes
zutrifft:

Wenn Sie den Standort entfernen, dem das Subnetz zugeordnet wurde.

Wenn Sie das Subnetz temporär einem anderen Standort zugeordnet hatten.
Administrative Berechtigungen
Um dieses Verfahren ausführen zu können, müssen Sie Mitglied der Gruppe
Organisations-Admins sein.
Subnetze zum entsprechenden Standort
1. Öffnen Sie Active Directory-Standorte und -Dienste.
2. Erweitern Sie Standorte, und klicken Sie dann auf Standorte.
3. Klicken Sie mit rechts auf das Subnetz, das dem Standort zugewiesen werden
soll, und klicken Sie dann auf Eigenschaften.
4. Klicken Sie auf den Standort, dem das Subnetz zugewiesen werden soll, und
klicken Sie dann auf OK.
Löschen des Standortobjektes
Löschen Sie einen Standort erst dann, wenn Sie alle Serverobjekte verschoben und alle
Subnetze einem neuen Standort zugewiesen haben.
Administrative Berechtigungen
Um dieses Verfahren ausführen zu können, müssen Sie Mitglied der Gruppe
Organisations-Admins sein.
Löschen des Standortobjektes
1. Öffnen Sie Active Directory-Standorte und –Dienste, und klicken Sie auf
Standorte.
2. Klicken Sie mit rechts auf den zu löschenden Standort, und klicken Sie dann auf
Delete.
3. Klicken Sie zweimal auf Ja.
Ermitteln der ISTG-Rolle für einen
Standort
Mit diesem Verfahren stellen Sie fest, wer Intersite Topology Generator (ISTG) für einen
Standort ist.
Administrative Berechtigungen
Um dieses Verfahren ausführen zu können, müssen Sie Mitglied der Gruppe
Domänenbenutzer sein.
Ermitteln der ISTG-Rolle für einen Standort
1. Öffnen Sie Active Directory-Standorte und -Dienste.
2. Klicken Sie auf den Standort, dessen ISTG Sie ermitteln möchten.
3. Klicken Sie mit rechts auf NTDS Site Settings, und klicken Sie dann auf
Eigenschaften. Im Feld Server finden Sie den aktuellen Rolleninhaber.
Erstellen der Replikationstopologie auf
dem ISTG-Server
Mit dem folgenden Verfahren haben Sie die Möglichkeit, diese Vorgänge auf dem KCC
anzustoßen:

Erstellen einer Topologie für die Replikation zwischen Standorten. Führen Sie hierzu
den KCC auf dem Domänencontroller aus, der ISTG für den Standort ist.

Erstellen eine Topologie für die Replikation innerhalb des Standortes. Führen Sie
hierzu den KCC auf dem Domänencontroller aus, der nicht ISTG für den Standort ist.
Anmerkung
Vor diesem Verfahren müssen Sie die Aufgabe Ermitteln der ISTG-Rolle für
einen Standort ausführen.
Administrative Berechtigungen
Um dieses Verfahren ausführen zu können, müssen Sie Mitglied der Gruppe
Organisations-Admins sein.
Erstellen der Replikationstopologie auf dem ISTG-Server
1. Öffnen Sie Active Directory-Standorte und -Dienste.
2. Erweitern Sie Standorte und den Server, auf dem Sie den KCC ausführen
möchten.
3. Erweitern Sie Servers, und klicken Sie dann auf das Serverobjekt des ISTG.
4. Klicken Sie mit rechts auf NTDS Settings, klicken Sie auf Alle Tasks, und
klicken Sie dann auf Replikationstopologie prüfen.
5. Klicken Sie auf OK.
Administration der Active DirectoryDatenbank
In diesem Kapitel finden Sie die folgenden zwei Abschnitte:

Einführung in die Administration der Active Directory-Datenbank

Verwalten der Active Directory-Datenbank
Danksagung
Veröffentlicht: März 2005
Betrifft: Windows Server 2003
Erstellt durch: Microsoft Windows Server User Assistance Team
Autor: Mary Hillman
Redaktion: Jim Becker
Einführung in die Administration der
Active Directory-Datenbank
Active Directory wird in der Datenbank Ntds.dit gespeichert. Der Verzeichnisdienst nutzt
Protokolldateien, in denen die Transaktionen gespeichert werden, bevor diese
übertragen werden. Um die Leistung zu optimieren, sollten Sie diese beiden
Komponenten auf unterschiedlichen Festplatten speichern.
Für die Datenbank ist normalerweise keine permanente Wartung notwendig (bis auf eine
regelmäßige Sicherung). In den folgenden Situationen können jedoch Maßnamen
erforderlich werden:

Geringer Festplattenplatz.

Bevorstehender oder aufgetretener Hardwareausfall.

Wiederherstellung von freiem Festplattenplatz nach dem Löschen einer
umfangreichen Menge von Objekten oder dem Entfernen des globalen Katalogs.
Überwachen Sie den freien Festplattenplatz auf den Partitionen der Datenbank und der
Protokolldatei. Die folgenden Empfehlungen gelten für den verfügbaren Festplattenplatz:

Ntds.dit-Partition: Mehr als 20 Prozent der Größe von Ntds.dit oder 500 MB.

Protokolldatei-Partition: Mehr als 20 Prozent der Größe aller Protokolldateien oder
500 MB.

Ntds.dit und Protokolldateien in der gleichen Partition: Mehr als 20 Prozent der
Größe von Ntds.dit und der Protokolldateien oder 1 GB.
Während der normalen Nutzung werden immer wieder Objekte aus Active Directory
gelöscht. Wenn dies passiert, führt das zu ungenutztem Speicherplatz in der Datenbank.
Die Datenbank gibt diesen freien Platz regelmäßig über eine Defragmentierung frei. Er
wird dann bei der Erstellung von neuen Objekten verwendet (was in diesem Fall nicht zu
einer Vergrößerung der Datenbank führt). Diese automatische Onlinedefragmentierung
verringert also nicht die Größe der Datenbank. Erst mit einer Offlinedefragmentierung
werden die leeren Teile der Datenbank für das Dateisystem freigegeben.
Sie haben außerdem die Möglichkeit, die Festplatte, auf der sich Datenbank oder
Protokolldateien befinden, zu aktualisieren oder zu ersetzen. Natürlich können Sie die
Dateien auch verschieben.
Vor dem Ausführen irgendeiner Aktion, die sich auf die Verzeichnisdatenbank auswirkt,
sollten Sie eine aktuelle Sicherung des Systemstatus machen. Weitere Informationen
hierzu finden Sie im Abschnitt Sicherung des Systemstatus.
Anmerkung
Für die Datenbank und die Protokolldateien wird keine NTFS-Komprimierung
unterstützt.
Verwalten der Active DirectoryDatenbank
In diesem Abschnitt werden die folgenden beiden Aufgaben zur Verwaltung der Active
Directory-Datenbank beschrieben:

Verschieben der Active Directory-Datenbankdateien

Freigeben von ungenutztem Festplattenplatz in der Active Directory-Datenbank
Verschieben der Active DirectoryDatenbankdateien
Ein Verschieben der Datenbankdateien kann in den folgenden Situationen notwendig
werden:

Hardwarearbeiten.

Zu wenig Festplattenplatz. In diesem Fall können Sie eines der beiden folgenden
Verfahren durchführen:

Erweitern Sie die Partition.

Verschieben Sie die Dateien mit Ntdsutil.
Wenn sich der Pfad zur Datenbankdatei oder zu den Protokollen ändert, stellen Sie
folgendes sicher:

Verschieben Sie die Dateien mit Ntdsutil.exe, anstatt sie einfach zu kopieren. Auf
diese Art wird auch die Registrierung aktualisiert.

Führen Sie eine Sicherung des Systemstatus durch, sobald das Verschieben
abgeschlossen ist.

Prüfen Sie, ob auf allen verschobenen Ordnern die korrekten Berechtigungen
angewandt sind.
Beim Verschieben der Datenbank bearbeitet Ntdsutil.exe die folgenden
Registrierungsschlüssel:
In HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\

Datenbanksicherungspfad

DSA Datenbankdatei

DSA Arbeitsverzeichnis
Beim Verschieben der Protokolle bearbeitet Ntdsutil.exe die folgenden
Registrierungsschlüssel:
In HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\

Datenbankprotokolldateipfad
Speicherplatzanforderungen für das
Verschieben der Active DirectoryDatenbankdateien
Temporäres Verschieben: Mindestens die Größe der aktuellen Dateien.
Permanentes Verschieben: Mindestens die unten definierte Größte plus ausreichend
Speicherplatz für ein Anwachsen der Dateien.
Vorsicht
Das Ziellaufwerk muss mit NTFS formatiert sein.

Ntds.dit-Partition: Mehr als 20 Prozent der Größe von Ntds.dit oder 500 MB.

Protokolldatei-Partition: Mehr als 20 Prozent der Größe aller Protokolldateien oder
500 MB.

Ntds.dit und Protokolldateien in der gleichen Partition: Mehr als 20 Prozent der
Größe von Ntds.dit und der Protokolldateien oder 1 GB.
Wichtig
Diese Empfehlungen stellen das Minimum dar.
Anforderungen
Um die unten beschriebenen Aufgaben ausführen zu können, sind die folgenden Tools
notwendig:

net use

dir

xcopy

Ntdsutil.exe

Sicherungssoftware

Windows Explorer
Anmerkung
Bevor Sie Laufwerke verschieben können, auf denen SYSVOL gespeichert ist,
müssen Sie erst SYSVOL selbst verschieben. Weitere Informationen hierzu unter
Manuelles Verschieben von SYSVOL.
Um diese Aufgabe auszuführen, sind die folgenden Schritte erforderlich:
1. Stellen Sie mit einem der folgenden Verfahren fest, wo sich die Active DirectoryDatenbank befindet und wie groß sie ist:

Online feststellen, wo die Datenbank gespeichert ist und wie groß diese ist

Offline feststellen, wo die Datenbank gespeichert ist und wie groß diese ist
2. Vergleich der Größe der Verzeichnisdatenbank mit der Volumengröße
3. Sicherung des Systemstatus
4. Neustart des Domänencontrollers im Verzeichnisdienstwiederherstellungsmodus
über eines der folgenden Verfahren:

Lokaler Neustart des Domänencontrollers im
Verzeichnisdienstwiederherstellungsmodus

Neustart des Domänencontrollers im Verzeichnisdienstwiederherstellungsmodus
von einem Remotestandort aus
5. Verschieben oder Kopieren der Verzeichnisdatenbank mithilfe eines der folgenden
Verfahren:

Verschieben der Verzeichnisdatenbank und Protokolldateien auf ein lokales
Laufwerk

Verschieben der Verzeichnisdatenbank und Protokolldateien auf eine
Remotefreigabe
6. Sicherung des Systemstatus
Online feststellen, wo die Datenbank
gespeichert ist und wie groß diese ist
Wenn Sie die Größe online ermitteln, wird diese in Byte zurückgegeben. Standardmäßig
befinden sich Datenbank und Protokolldateien unter %systemroot%\NTDS.
Wichtig
Die Größe wird bei einer Onlineprüfung anders zurückgegeben als bei einer
Offlineprüfung.
Administrative Berechtigungen
Für das folgende Verfahren müssen Sie Mitglied der Gruppe Domänen-Admins sein.
Online feststellen, wo die Datenbank gespeichert ist und wie groß diese ist
1. Öffnen Sie eine Eingabeaufforderung, und wechseln Sie in das entsprechende
Verzeichnis.
2. Führen Sie den Befehl dir aus.
C:\WINDOWS\NTDS>dir
Datenträger in Laufwerk C: ist xxx
Volumeseriennummer: 8498-F405
Verzeichnis von C:\WINDOWS\NTDS
19.11.2006 17:36 <DIR> .
19.11.2006 17:36 <DIR> ..
16.11.2006 21:50 <DIR> Drop
19.11.2006 22:49 8.192 edb.chk
19.11.2006 17:36 10.485.760 edb.log
19.11.2006 17:36 12.599.296 ntds.dit
16.11.2006 21:26 10.485.760 res1.log
16.11.2006 21:26 10.485.760 res2.log
19.11.2006 17:36 2.113.536 temp.edb
6 Datei(en), 46.178.304 Bytes
3 Verzeichnis(se), 15.253.229.568 Bytes frei
Offline feststellen, wo die Datenbank
gespeichert ist und wie groß diese ist
Bei diesem Verfahren wird die Größe in MB zurückgegeben.
Administrative Berechtigungen
Für das folgende Verfahren müssen Sie lokaler Administrator sein.
Offline feststellen, wo die Datenbank gespeichert ist und wie groß diese ist
1. Starten Sie den Domänencontroller im
Verzeichnisdienstwiederherstellungsmodus, und führen Sie in einer
Eingabeaufforderung den Befehl ntdsutil aus.
2. Geben Sie files ein, und drücken Sie die EINGABETASTE.
3. Geben Sie info ein und drücken Sie die EINGABETASTE.
Vergleich der Größe der
Verzeichnisdatenbank mit der
Volumengröße
Administrative Berechtigungen
Für einen Onlinevergleich müssen Sie Mitglied der Gruppe Domänenbenutzer sein. Für
einen Offlinevergleich müssen Sie lokaler Administrator sein.
Vergleich der Größe der Verzeichnisdatenbank mit der Volumengröße
1. Klicken Sie im Windows Explorer auf Arbeitsplatz.
2. Klicken Sie im Menü Ansicht auf Details.
3. Suchen Sie nach dem entsprechenden Volumen. Notieren Sie sich die
Gesamtgröße des Volumens.
4. Navigieren Sie zu dem Ordner, in dem die Dateien gespeichert sind.
5. Klicken Sie mit rechts auf den Ordner und dann auf Eigenschaften. Notieren Sie
sich den Wert Größe auf dem Datenträger.
6. Wenn SYSVOL ebenfalls auf dem Volumen gespeichert ist, navigieren Sie zu
diesem Ordner und wiederholen Schritt 5.
7. Vergleichen Sie die ermittelten Größen.
Sicherung des Systemstatus
Wenn Sie den Systemstatus mit Ntbackup.exe sichern, können Sie die geschützten
Systemdateien mit sichern oder nicht. Diese Dateien sind für eine Installation mithilfe
einer wiederhergestellten Sicherung nicht notwendig - in diesem Fall können Sie die
Option deaktivieren. Sie verkleinern so die Größe der Sicherungsdatei und verringern
den notwendigen Zeitaufwand.
Mit den folgenden Verfahren können Sie nur den Systemstatus sichern. Das
Systemvolumen oder andere Daten auf dem Domänencontroller werden nicht
berücksichtigt.
Mit dem ersten Verfahren, "Sicherung des Systemstatus inklusive der geschützten
Systemdateien", können Sie Routinesicherungen des Systemstatus durchführen. Mit dem
zweiten Verfahren, "Sicherung des Systemstatus exklusive der geschützten
Systemdateien", können Sie eine kleinere Sicherung durchführen, die zur Installation von
Domänencontrollern über Sicherungsmedien verwendet werden kann.
Anmerkung
Um den Systemstatus sichern zu können, müssen Sie als lokaler Administrator
am Domänencontroller angemeldet sein. Alternativ muss der Remotedesktop
aktiviert sein.
Administrative Berechtigungen
Um die folgenden Verfahren ausführen zu können, müssen Sie Mitglied der Gruppe
Domänen-Admins oder Sicherungsoperatoren sein.
Sicherung des Systemstatus inklusive der geschützten Systemdateien
1. Klicken Sie auf Start, klicken Sie auf Ausführen, geben Sie ntbackup ein, und
klicken Sie dann auf OK.
In diesem Verfahren verwenden Sie den Assistentenmodus. Standardmäßig ist
die Option Immer im Assistentenmodus starten im Sicherungs- und
Wiederherstellungsassistenten aktiviert. Klicken Sie andernfalls auf
Assistentenmodus.
2. Klicken Sie auf Weiter.
3. Klicken Sie auf Dateien und Einstellungen sichern, und klicken Sie dann auf
Weiter.
4. Klicken Sie auf Elemente für die Sicherung selbst auswählen, und klicken Sie
dann auf Weiter.
5. Klicken Sie doppelt auf Arbeitsplatz.
6. Klicken Sie auf Systemstatus, und klicken Sie dann auf Weiter.
7. Wählen Sie einen Speicherort für die Sicherung aus:
Anmerkung
Sie sollten die Sicherung nicht auf einer lokalen Festplatte speichern.
8. Geben Sie einen Namen ein. Halten Sie sich an die Empfehlungen aus dem
Abschnitt Sichern von Active Directory-Komponenten, und klicken Sie dann auf
Weiter.
9. Klicken Sie auf Erweitert.
10. Klicken Sie auf Weiter.
11. Aktivieren Sie Daten nach der Sicherung prüfen, und klicken Sie dann auf
Weiter.
12. Wählen Sie eine der Optionen aus, und klicken Sie dann auf Weiter.
13. Wenn Sie bestehende Sicherungen ersetzen, wählen Sie die Option, mit der nur
dem Besitzer und dem Administrator Zugriff auf die Sicherungsdaten gewährt
wird. Klicken Sie dann auf Weiter.
14. Wählen Sie eine für Sie passende Option aus, und klicken Sie dann auf Weiter.
15. Klicken Sie auf Fertigstellen.
Anmerkung
Sie können Ntbackup auch über die Eingabeaufforderung nutzen.
Weitere Informationen erhalten Sie mit dem Befehl ntbackup /?.
Sicherung des Systemstatus exklusive der geschützten Systemdateien
1. Klicken Sie auf Start, klicken Sie auf Ausführen, geben Sie ntbackup ein, und
klicken Sie dann auf OK.
2. Klicken Sie auf Erweiterter Modus, und klicken Sie dann auf die Registerkarte
Sichern.
3. Wählen Sie Systemstatus aus.
8. Geben Sie einen Namen ein. Halten Sie sich an die Empfehlungen aus dem
Abschnitt Sichern von Active Directory-Komponenten, und klicken Sie dann auf
Weiter.
5. Klicken Sie auf Sicherung starten, und klicken Sie dann auf Erweitert.
6. Deaktivieren Sie Geschützte Systemdateien automatisch mit dem
Systemstatus sichern, und klicken Sie dann auf OK.
7. Klicken Sie auf Sicherung starten.
Siehe auch
Aktivieren von Remotedesktop
Erstellen einer Remotedesktopverbindung
Lokaler Neustart des
Domänencontrollers im
Verzeichnisdienstwiederherstellungsmod
us
Wenn Sie physischen Zugriff auf den Domänecontroller haben, können Sie diesen lokal
im Verzeichnisdienstwiederherstellungsmodus starten.
Im Verzeichnisdienstwiederherstellungsmodus wird das lokale Administratorkonto über
die Security Accounts Manager-Datenbank (SAM) überprüft. Daher benötigen Sie das
Wiederherstellungskennwort - nicht das normale Administratorkennwort.
Administrative Berechtigungen
Um dieses Verfahren durchführen zu können, benötigen Sie das
Verzeichnisdienstwiederherstellungskennwort.
Lokaler Neustart des Domänencontrollers im
Verzeichnisdienstwiederherstellungsmodus
1. Starten Sie den Domänencontroller neu.
2. Wenn die Betriebssystemauswahl angezeigt wird, drücken Sie F8.
3. Wählen Sie unter Erweiterte Optionen die Option
Verzeichnisdienstwiederherstellungsmodus.
4. Melden Sie sich als lokaler Administrator an.
Siehe auch
Neustart des Domänencontrollers im Verzeichnisdienstwiederherstellungsmodus von
einem Remotestandort aus
Neustart des Domänencontrollers im
Verzeichnisdienstwiederherstellungsmod
us von einem Remotestandort aus
Wenn Remotedesktop auf dem Domänencontroller aktiviert ist, können Sie eine
Remotedesktopverbindung nutzen.
Mit einer Remotedesktopverbindung müssen Sie zuerst die Datei Boot.ini bearbeiten,
bevor Sie den Domänencontroller remote im Verzeichniswiederherstellungsmodus
starten können - ansonsten verlieren Sie beim Neustart die Verbindung zum
Domänencontroller.
Zum Start im Verzeichnisdienstwiederherstellungsmodus sind das lokale
Administratorkonto und das Wiederherstellungskennwort notwendig. Dieses wird von der
lokalen SAM authentifiziert.
Administrative Berechtigungen
Um dieses Verfahren durchführen zu können, müssen Sie das Administratorkennwort für
den Verzeichnisdienstwiederherstellungsmodus kennen.
Neustart des Domänencontrollers im
Verzeichnisdienstwiederherstellungsmodus von einem Remotestandort aus
1. Verbinden Sie sich über eine Remotedesktopverbindung mit dem
Domänencontroller.
2. Klicken Sie mit rechts auf Arbeitsplatz, klicken Sie auf Eigenschaften, und
klicken Sie dann auf die Registerkarte Erweitert.
3. Klicken Sie unter Starten und Wiederherstellen auf Einstellungen.
4. Klicken Sie auf Bearbeiten.
5. Erweitern Sie den Standardeintrag um /SAFEBOOT:DSREPAIR:
multi(0)disk(0)rdisk(0)partition(2)\WINNT=”IhrServerName” /fastdetect
/SAFEBOOT:DSREPAIR
Anmerkung
/SAFEBOOT:DSREPAIR kann für Windows 2000 Server und
Windows Server 2003 verwendet werden.
6. Speichern Sie die Datei.
7. Starten Sie den Server neu.
8. Verbinden Sie sich neu mit dem Server.
9. Melden Sie sich als lokaler Administrator an.
10. Klicken Sie mit rechts auf Arbeitsplatz, klicken Sie auf Eigenschaften, und
klicken Sie dann auf die Registerkarte Erweitert.
11. Klicken Sie unter Starten und Wiederherstellen auf Einstellungen.
12. Klicken Sie auf Bearbeiten.
13. Löschen Sie die Option /SAFEBOOT:DSREPAIR wieder.
Siehe auch
Aktivieren von Remotedesktop
Erstellen einer Remotedesktopverbindung
Lokaler Neustart des Domänencontrollers im
Verzeichnisdienstwiederherstellungsmodus
Verschieben der Verzeichnisdatenbank
und Protokolldateien auf ein lokales
Laufwerk
Sie können die Dateien mit Ntdsutil.exe oder remote (temporär) mithilfe des copy-Befehls
verschieben. Sie sollten jedoch auch beim temporären Verschieben Ntdsutil.exe nutzen nur so bleibt die Registrierung aktuell.
Administrative Berechtigungen
Für das folgende Verfahren müssen Sie lokaler Administrator sein.
Verschieben der Verzeichnisdatenbank und Protokolldateien auf ein lokales
Laufwerk
1. Öffnen Sie im Verzeichnisdienstwiederherstellungsmodus eine
Eingabeaufforderung, und wechseln Sie zu dem Verzeichnis mit den Dateien, die
verschoben werden sollten.
2. Führen Sie den Befehl dir aus, und notieren Sie sich die aktuelle Größe der
Dateien.
3. Geben Sie den Befehl ntdsutil ein, und drücken Sie die EINGABETASTE.
4. Geben Sie den Befehl files ein, und drücken Sie die EINGABETASTE.
5. Mit den folgenden Befehlen können Sie die Dateien verschieben:

Ntds.dit:
move db to Laufwerk:\verzeichnis

Protokolldateien:
move logs to Laufwerk:\verzeichnisy
Anmerkung
Wenn sich Leerzeichen im Verzeichnispfad befinden, müssen Sie diesen
in Anführungsstriche einschließen.
6. Geben Sie zweimal quit ein, und drücken Sie ENTER.
7. Wechseln Sie zum Zielverzeichnis, und prüfen Sie mit dir, ob die Dateien dort
vorhanden sind. Prüfen Sie die Dateigrößen mit den in Schritt zwei
aufgezeichneten Daten.
8. Wenn die Dateien permanent verschoben werden sollten, fahren Sie mit Schritt 9
fort.
Wenn die Dateien nur temporär verschoben werden sollten, wiederholen Sie
Schritt 1 bis 7, um sie zurück zu verschieben.
Wenn sich der Pfad zu den Dateien nicht geändert hat, fahren Sie mit Schritt 10
fort.
9. Wenn sich der Pfad geändert hat, prüfen Sie die Berechtigungen für den Ordner
(im Verzeichnisdienstwiederherstellungsmodus):
a. Klicken Sie im Windows Explorer mit rechts auf den Ordner, und klicken Sie
dann auf Eigenschaften.
b. Klicken Sie auf die Registerkarte Sicherheit, und prüfen Sie, ob folgende
Berechtigungen vorhanden sind:
Administratoren = Vollzugriff zulassen.
System = Vollzugriff zulassen.
Vererbung von Berechtigungen ist deaktiviert.
Es werden keine Berechtigungen verweigert.
c.
Wenn die Berechtigungen korrekt sind, fahren Sie mit Schritt 10 fort. Passen
Sie die Berechtigungen andernfalls vorher an.
10. Geben Sie ntdsutil in der Eingabeaufforderung ein, und drücken Sie die
EINGABETASTE.
11. Geben Sie files ein, und drücken Sie die EINGABETASTE.
12. Geben Sie integrity ein, und drücken Sie die EINGABETASTE.
13. Wenn die Integritätsprüfung erfolgreich war, schließen Sie Ntdsutil.exe.
14. Starten Sie den Domänencontroller normal. Wenn Sie dieses Verfahren remote
durchführen, stellen Sie sicher, dass Sie die Boot.ini angepasst haben.
Sollten beim Neustart Fehler angezeigt werden:
a. Starten Sie den Domänencontroller im
Verzeichnisdienstwiederherstellungsmodus.
b. Suchen Sie in der Ereignisanzeige nach Fehlern:

Ereignis-ID 1046. “The Active Directory database engine caused an
exception with the following parameters.” In diesem Fall müssen Sie Active
Directory aus einer Sicherung wiederherstellen.

Ereignis-ID 1168. “Internal error: An Active Directory error has occurred.” In
diesem Fall fehlen Informationen in der Registrierung. Sie müssen eine
Sicherung wiederherstellen.
Verschieben der Verzeichnisdatenbank
und Protokolldateien auf eine
Remotefreigabe
Sie sollten immer die Datenbankdatei und die Protokolldateien kopieren.
Administrative Berechtigungen
Für das folgende Verfahren müssen Sie lokaler Administrator sein.
Verschieben der Verzeichnisdatenbank und Protokolldateien auf eine
Remotefreigabe
1. Öffnen Sie im Verzeichnisdienstwiederherstellungsmodus eine
Eingabeaufforderung, und wechseln Sie zu dem Verzeichnis mit den Dateien, die
verschoben werden sollten.
2. Führen Sie den Befehl dir aus, und notieren Sie sich die aktuelle Größe der
Dateien.
3. Erstellen Sie eine Netzwerkverbindung mit der Freigabe.
In diesem Beispiel ist \\SERVER1\NTDS der Name der Freigabe. K: ist das
Laufwerk dem die Freigabe zugeordnet wird. Nachdem Sie die erste Zeile
eingegeben und die EINGABETASTE gedrückt haben fordert Sie Ntdsutil.exe zur
Eingabe Kennwortes auf.
H:\>net use K: \\SERVER1\NTDS /user:Domänenname\Benutzername*
4. Kopieren Sie die Dateien mit xcopy in die Freigabe:
H:>xcopy WINNT\NTDS K:\DB
5. Wechseln Sie zur Freigabe und geben Sie den Befehl dir ein. Vergleichen Sie
die kopierten Dateien mit den Originalen.
6. Nun können Sie die Originaldaten löschen.
7. Wenn das Ziellaufwerk vorbereitet ist verbinden Sie sich wieder mit der Freigabe.
8. Kopieren Sie die Dateien aus der Freigabe zurück an ihren ursprünglichen
Speicherort.
9. Geben Sie ntdsutil in der Eingabeaufforderung ein, und drücken Sie die
EINGABETASTE.
10. Geben Sie files ein, und drücken Sie die EINGABETASTE.
11. Geben Sie integrity ein, und drücken Sie die EINGABETASTE.
12. Wenn die Integritätsprüfung erfolgreich war, schließen Sie Ntdsutil.exe.
13. Starten Sie den Domänencontroller normal. Wenn Sie dieses Verfahren remote
durchführen, stellen Sie sicher, dass Sie die Boot.ini angepasst haben.
Sollten beim Neustart Fehler angezeigt werden:
a. Starten Sie den Domänencontroller im
Verzeichnisdienstwiederherstellungsmodus.
b. Suchen Sie in der Ereignisanzeige nach Fehlern:

Ereignis-ID 1046. “The Active Directory database engine caused an
exception with the following parameters.” In diesem Fall müssen Sie
Active Directory aus einer Sicherung wiederherstellen.

Ereignis-ID 1168. “Internal error: An Active Directory error has
occurred.” In diesem Fall fehlen Informationen in der Registrierung. Sie
müssen eine Sicherung wiederherstellen.
Freigeben von ungenutztem
Festplattenplatz in der Active DirectoryDatenbank
Bei jedem Garbage-Collection-Vorgang (alle zwölf Stunden) wird der ungenutzte Platz in
der Active Directory-Datenbank optimiert. Hierbei wird jedoch kein Festplattenplatz
freigegeben. Dies ist nur mit einer Offlinedefragmentierung möglich.
In dem Sie das Garbage-Collection-Protokollierungslevel in der Registrierung festlegen,
können Sie bestimmen, wie viel Speicherplatz freigegeben werden kann. Wenn Sie den
Eintrag von 0 auf 1 ändern, führt dies dazu, dass im Verzeichnisprotokoll das Ereignis
1646 protokolliert wird. In diesem Ereignis steht, wie viel Platz freigegeben werden kann.
Mit dem Wert 0 werden nur kritische Ereignisse und Fehler protokolliert. Mit dem Wert 1
werden zusätzlich die folgenden Ereignisse protokolliert:

700 und 701: Start und Ende der Onlinedefragmentierung.

1646: Freier Speicherplatz in der Datenbank.
Vorsicht
Wenn Sie den Wert auf mehr als 3 setzen, kann dies Auswirkungen auf die
Serverleistung haben.
Führen Sie nach der Offlinedefragmentierung eine Integritätsprüfung durch. Mit dieser
werden Datenbankfehler erkannt. Der Zeitbedarf für die Prüfung ist von der Größe der
Datenbank und der Hardware des Domänencontrollers abhängig. Im Allgemeinen
werden ca. zwei GB pro Stunde geprüft.
Anforderungen
Um die unten beschriebenen Aufgaben ausführen zu können, sind die folgenden Tools
notwendig:

Regedit.exe

Sicherungssoftware

Ntdsutil.exe
Um diese Aufgabe auszuführen, sind die folgenden Schritte erforderlich:
1. Ändern des Garbage-Collection-Protokollierungslevel auf 1
2. Sicherung des Systemstatus
3. Verwenden Sie eines der folgenden Verfahren:

Lokaler Neustart des Domänencontrollers im
Verzeichnisdienstwiederherstellungsmodus

Neustart des Domänencontrollers im Verzeichnisdienstwiederherstellungsmodus
von einem Remotestandort aus
4. Komprimieren der Datenbank (Offlinedefragmentierung)
5. Durchführen einer Semantikanalyse bei einem Fehlschlag der Integritätsprüfung
Ändern des Garbage-CollectionProtokollierungslevel auf 1
Suchen Sie im Verzeichnisprotokoll nach Ereignis 1646. In diesem finden Sie die Größe
des ungenutzten Speicherplatzes.
Administrative Berechtigungen
Um dieses Verfahren ausführen zu können, müssen Sie Mitglied der Gruppe DomänenAdmins sein.
Vorsicht
Der Registrierungseditor umgeht die normalen Sicherheitsfunktionen. Sie können
so Einstellungen vornehmen, die das System beschädigen können oder sogar
dafür sorgen können, dass Windows neu installiert werden muss. Sichern Sie vor
einer Bearbeitung der Registrierung den Systemstatus. Weitere Informationen
hierzu finden Sie unter: Einführung in die Administration der Active DirectorySicherung und -Wiederherstellung.
Ändern des Garbage-Collection-Protokollierungslevels
1. Klicken Sie auf Start, klicken Sie auf Ausführen, geben Sie regedit ein, und
drücken Sie die EINGABETASTE.
2. Navigieren Sie zum Eintrag Garbage Collection unter
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\Diagno
stics
3. Klicken Sie doppelt auf Garbage Collection, und klicken Sie auf Dezimal.
4. Geben Sie 1 ein, und klicken Sie dann auf OK.
Sicherung des Systemstatus
Wenn Sie den Systemstatus mit Ntbackup.exe sichern, können Sie die geschützten
Systemdateien mit sichern oder nicht. Diese Dateien sind für eine Installation mithilfe
einer wiederhergestellten Sicherung nicht notwendig - in diesem Fall können Sie die
Option deaktivieren. Sie verkleinern so die Größe der Sicherungsdatei und verringern
den notwendigen Zeitaufwand.
Mit den folgenden Verfahren können Sie nur den Systemstatus sichern. Das
Systemvolumen oder andere Daten auf dem Domänencontroller werden nicht
berücksichtigt.
Mit dem ersten Verfahren, "Sicherung des Systemstatus inklusive der geschützten
Systemdateien", können Sie Routinesicherungen des Systemstatus durchführen. Mit dem
zweiten Verfahren, "Sicherung des Systemstatus exklusive der geschützten
Systemdateien", können Sie eine kleinere Sicherung durchführen, die zur Installation von
Domänencontrollern über Sicherungsmedien verwendet werden kann.
Anmerkung
Um den Systemstatus sichern zu können, müssen Sie als lokaler Administrator
am Domänencontroller angemeldet sein. Alternativ muss der Remotedesktop
aktiviert sein.
Administrative Berechtigungen
Um die folgenden Verfahren ausführen zu können, müssen Sie Mitglied der Gruppe
Domänen-Admins oder Sicherungsoperatoren sein.
Sicherung des Systemstatus inklusive der geschützten Systemdateien
1. Klicken Sie auf Start, klicken Sie auf Ausführen, geben Sie ntbackup ein, und
klicken Sie dann auf OK.
In diesem Verfahren verwenden Sie den Assistentenmodus. Standardmäßig ist
die Option Immer im Assistentenmodus starten im Sicherungs- und
Wiederherstellungsassistenten aktiviert. Klicken Sie andernfalls auf
Assistentenmodus.
2. Klicken Sie auf Weiter.
3. Klicken Sie auf Dateien und Einstellungen sichern, und klicken Sie dann auf
Weiter.
4. Klicken Sie auf Elemente für die Sicherung selbst auswählen, und klicken Sie
dann auf Weiter.
5. Klicken Sie doppelt auf Arbeitsplatz.
6. Klicken Sie auf Systemstatus, und klicken Sie dann auf Weiter.
7. Wählen Sie einen Speicherort für die Sicherung aus:
Anmerkung
Sie sollten die Sicherung nicht auf einer lokalen Festplatte speichern.
8. Geben Sie einen Namen ein. Halten Sie sich an die Empfehlungen aus dem
Abschnitt Sichern von Active Directory-Komponenten, und klicken Sie dann auf
Weiter.
9. Klicken Sie auf Erweitert.
10. Klicken Sie auf Weiter.
11. Aktivieren Sie Daten nach der Sicherung prüfen, und klicken Sie dann auf
Weiter.
12. Wählen Sie eine der Optionen aus, und klicken Sie dann auf Weiter.
13. Wenn Sie bestehende Sicherungen ersetzen, wählen Sie die Option, mit der nur
dem Besitzer und dem Administrator Zugriff auf die Sicherungsdaten gewährt
wird. Klicken Sie dann auf Weiter.
14. Wählen Sie eine für Sie passende Option aus, und klicken Sie dann auf Weiter.
15. Klicken Sie auf Fertigstellen.
Anmerkung
Sie können Ntbackup auch über die Eingabeaufforderung nutzen.
Weitere Informationen erhalten Sie mit dem Befehl ntbackup /?.
Sicherung des Systemstatus exklusive der geschützten Systemdateien
1. Klicken Sie auf Start, klicken Sie auf Ausführen, geben Sie ntbackup ein, und
klicken Sie dann auf OK.
2. Klicken Sie auf Erweiterter Modus, und klicken Sie dann auf die Registerkarte
Sichern.
3. Wählen Sie Systemstatus aus.
8. Geben Sie einen Namen ein. Halten Sie sich an die Empfehlungen aus dem
Abschnitt Sichern von Active Directory-Komponenten, und klicken Sie dann auf
Weiter.
5. Klicken Sie auf Sicherung starten, und klicken Sie dann auf Erweitert.
6. Deaktivieren Sie Geschützte Systemdateien automatisch mit dem
Systemstatus sichern, und klicken Sie dann auf OK.
7. Klicken Sie auf Sicherung starten.
Siehe auch
Aktivieren von Remotedesktop
Erstellen einer Remotedesktopverbindung
Lokaler Neustart des
Domänencontrollers im
Verzeichnisdienstwiederherstellungsmod
us
Wenn Sie physischen Zugriff auf den Domänecontroller haben, können Sie diesen lokal
im Verzeichnisdienstwiederherstellungsmodus starten.
Im Verzeichnisdienstwiederherstellungsmodus wird das lokale Administratorkonto über
die Security Accounts Manager-Datenbank (SAM) überprüft. Daher benötigen Sie das
Wiederherstellungskennwort - nicht das normale Administratorkennwort.
Administrative Berechtigungen
Um dieses Verfahren durchführen zu können, benötigen Sie das
Verzeichnisdienstwiederherstellungskennwort.
Lokaler Neustart des Domänencontrollers im
Verzeichnisdienstwiederherstellungsmodus
1. Starten Sie den Domänencontroller neu.
2. Wenn die Betriebssystemauswahl angezeigt wird, drücken Sie F8.
3. Wählen Sie unter Erweiterte Optionen die Option
Verzeichnisdienstwiederherstellungsmodus.
4. Melden Sie sich als lokaler Administrator an.
Siehe auch
Neustart des Domänencontrollers im Verzeichnisdienstwiederherstellungsmodus von
einem Remotestandort aus
Neustart des Domänencontrollers im
Verzeichnisdienstwiederherstellungsmod
us von einem Remotestandort aus
Wenn Remotedesktop auf dem Domänencontroller aktiviert ist, können Sie eine
Remotedesktopverbindung nutzen.
Mit einer Remotedesktopverbindung müssen Sie zuerst die Datei Boot.ini bearbeiten,
bevor Sie den Domänencontroller remote im Verzeichniswiederherstellungsmodus
starten können - ansonsten verlieren Sie beim Neustart die Verbindung zum
Domänencontroller.
Zum Start im Verzeichnisdienstwiederherstellungsmodus sind das lokale
Administratorkonto und das Wiederherstellungskennwort notwendig. Dieses wird von der
lokalen SAM authentifiziert.
Administrative Berechtigungen
Um dieses Verfahren durchführen zu können, müssen Sie das Administratorkennwort für
den Verzeichnisdienstwiederherstellungsmodus kennen.
Neustart des Domänencontrollers im
Verzeichnisdienstwiederherstellungsmodus von einem Remotestandort aus
1. Verbinden Sie sich über eine Remotedesktopverbindung mit dem
Domänencontroller.
2. Klicken Sie mit rechts auf Arbeitsplatz, klicken Sie auf Eigenschaften, und
klicken Sie dann auf die Registerkarte Erweitert.
3. Klicken Sie unter Starten und Wiederherstellen auf Einstellungen.
4. Klicken Sie auf Bearbeiten.
5. Erweitern Sie den Standardeintrag um /SAFEBOOT:DSREPAIR:
multi(0)disk(0)rdisk(0)partition(2)\WINNT=”IhrServerName” /fastdetect
/SAFEBOOT:DSREPAIR
Anmerkung
/SAFEBOOT:DSREPAIR kann für Windows 2000 Server und
Windows Server 2003 verwendet werden.
6. Speichern Sie die Datei.
7. Starten Sie den Server neu.
8. Verbinden Sie sich neu mit dem Server.
9. Melden Sie sich als lokaler Administrator an.
10. Klicken Sie mit rechts auf Arbeitsplatz, klicken Sie auf Eigenschaften, und
klicken Sie dann auf die Registerkarte Erweitert.
11. Klicken Sie unter Starten und Wiederherstellen auf Einstellungen.
12. Klicken Sie auf Bearbeiten.
13. Löschen Sie die Option /SAFEBOOT:DSREPAIR wieder.
Siehe auch
Aktivieren von Remotedesktop
Erstellen einer Remotedesktopverbindung
Lokaler Neustart des Domänencontrollers im
Verzeichnisdienstwiederherstellungsmodus
Komprimieren der Datenbank
(Offlinedefragmentierung)
Die Offlinedefragmentierung erstellt eine neue und komprimierte Version der Datenbank.
Diese kann sich am gleichen Speicherort oder an einem anderen Speicherort befinden.
Um mögliche Probleme zu verhindern, sollten Sie die Offlinedefragmentierung jedoch
lokal durchführen.
Nachdem Sie die Datenbank an einem temporären Speicherort defragmentiert haben,
kopieren Sie diese an ihren ursprünglichen Speicherort. Wenn möglich, behalten Sie eine
Kopie der Originaldatenbank.
Anmerkung
Um dieses Verfahren ausführen zu können, müssen Sie den Domänencontroller
im Verzeichnisdienstwiederherstellungsmodus starten.
Administrative Berechtigungen
Sie müssen Administrator des lokalen Domänencontrollers sein.
Festplattenplatz

Aktuelles Laufwerk der Datenbank. Mindestens 15 Prozent der aktuellen
Datenbankgröße.

Ziellaufwerk. Mindestens die Größe der aktuellen Datenbank.
Komprimieren der Datenbank
1. Gehen Sie im Verzeichnisdienstwiederherstellungsmodus folgendermaßen vor:

Komprimierung in ein lokales Verzeichnis: Weiter mit Schritt 2.

Komprimierung in ein Remoteverzeichnis: Erstellen Sie eine
Netzwerkverbindung zum Zielordner. Beispiel
H:\>net use K: \\SERVER1\NTDS /user:Domänenname\Benutername*
2. Geben Sie den folgenden Befehl an einer Eingabeaufforderung ein, und drücken
Sie die EINGABETASTE:
ntdsutil
3. Geben Sie files ein, und drücken Sie die EINGABETASTE.
4. Geben Sie compact to laufwerk:\lokalerverzeichnispfad ein, und drücken Sie die
EINGABETASTE.
Wenn Sie in eine Freigabe komprimieren wollen, geben Sie den
Laufwerksbuchstaben an, dem Sie die Freigabe zugeordnet haben.
5. Wenn keine Fehler auftreten, gehen Sie zu Schritt 6. Wenn Fehler auftreten,
machen Sie mit Schritt 9 weiter.
Vorsicht
Überschreiben Sie nicht die originale Datenbank oder löschen
Protokolldateien.
6. Folgen Sie den Anweisungen von Ntdsutil:
a. Löschen aller Protokolldateien mit dem Befehl:
del Laufwerk:\PfadZuDenProtokolldateien\*.log
Anmerkung
Die Datei Edb.chk wird nicht gelöscht.
b. Wenn Sie die Möglichkeit dazu haben, sichern Sie die originale Datenbank
an einem anderen Speicherort.
c.
Kopieren Sie die komprimierte Datenbank an den Originalspeicherort:
copy temporäreslauferk:\ntds.dit
OriginalLaufwerk:\PfadZurOriginaldatenbankdatei\ntds.dit
7. Geben Sie ntdsutil ein, und drücken Sie die EINGABETASTE.
8. Geben Sie files ein, und drücken Sie die EINGABETASTE.
9. Geben Sie integrity ein, und drücken Sie die EINGABETASTE.
Wenn die Integritätsprüfung fehlschlägt, fahren Sie mit Schritt 6.3 fort. Wenn die
Prüfung wieder fehlschlägt:

Kontaktieren Sie den Microsoft-Produktsupport.
-oder-

Kopieren Sie die Originalversion der Datenbank, die Sie in Schritt 6.2
gesichert haben, an den ursprünglichen Platz zurück, und wiederholen Sie
das gesamte Verfahren.
10. Wenn die Integritätsprüfung erfolgreich ist, schließen Sie Ntdsutil.exe.
11. Starten Sie den Domänencontroller im normalen Modus.
Wenn beim Neustart des Domänencontrollers Fehler auftreten:
1. Starten Sie den Domänencontroller im Verzeichnisdienstwiederherstellungsmodus.
2. Suchen Sie in der Ereignisanzeige nach Fehlern:

Ereignis ID 1046. “The Active Directory database engine caused an exception
with the following parameters.” Stellen Sie eine Sicherung wieder her.

Ereignis ID 1168. “Internal error: An Active Directory error has occurred.” Stellen
Sie eine Sicherung wieder her.
3. Prüfen Sie die Datenbankintegrität, und gehen Sie folgendermaßen vor:
Wenn die Prüfung fehlschlägt, wiederholen Sie die Schritte 6.3 bis 9 und prüfen Sie
die Integrität noch einmal. Wenn diese wieder fehlschlägt, gehen sie folgendermaßen
vor:

Kontaktieren Sie den Microsoft-Produktsupport.
-oder-

Kopieren Sie die Originalversion der Datenbank, die Sie in Schritt 6.2 gesichert
haben, an den ursprünglichen Platz zurück, und wiederholen Sie das gesamte
Verfahren.
Wenn die Prüfung erfolgreich ist, führen Sie eine Semantikanalyse durch.
4. Wenn die Semantikanalyse erfolgreich ist, verlassen Sie Ntdsutil.exe und starten den
Domänencontroller im normalen Modus neu.
Wenn die Semantikanalyse fehlschlägt, kontaktieren Sie den Microsoft-Produktsupport.
Durchführen einer Semantikanalyse bei
einem Fehlschlag der Integritätsprüfung
Wenn Sie die Semantikanalyse mit dem Befehl Go Fixup statt Go starten, werden Fehler
in der Datei Dsdit.dmp.xx protokolliert.
Anmerkung
Für dieses Verfahren muss der Domänencontroller im
Verzeichnisdienstwiederherstellungsmodus gestartet werden.
Administrative Berechtigungen
Sie müssen Administrator auf dem lokalen Computer sein.
Durchführen einer Semantikanalyse bei einem Fehlschlag der
Integritätsprüfung
1. Öffnen Sie eine Eingabeaufforderung.
2. Geben Sie den folgenden Befehl ein, und drücken Sie die EINGABETASTE:
ntdsutil:
3. Geben Sie semantic database analysis ein, und drücken Sie die
EINGABETASTE.
4. Geben Sie verbose on ein, und drücken Sie die EINGABETASTE.
5. Geben Sie go fixup ein, und drücken Sie die EINGABETASTE.

Wenn Fehler angezeigt werden, führen Sie eine Wiederherstellung der
Verzeichnisdatenbank durch.
Vorsicht
Verwechseln Sie den Wiederherstellungsbefehl nicht mit dem
Reparaturbefehl. Nutzen Sie auf keinen Fall den Reparaturbefehl
von Ntdsutil.exe - dies könnte zu einem gesamtstrukturweiten
Datenverlust führen.

Wenn die Analyse erfolgreich ist, verlassen Sie Ntdsutil.exe und starten den
Domänencontroller normal.
Administration von Domänencontrollern
In diesem Kapitel finden Sie die folgenden Abschnitte:

Einführung in die Administration von Domänencontrollern

Verwaltung von Domänencontrollern
Danksagung
Veröffentlicht: März 2005
Betrifft: Windows Server 2003
Erstellt durch: Microsoft Windows Server User Assistance Team
Autor: Shala Brandolini
Redaktion: Jim Becker
Einführung in die Administration von
Domänencontrollern
Auch wenn bestehende Domänencontroller nur wenig Verwaltungsaufwand erfordern,
kann es irgendwann dazu kommen, dass Sie Domänencontroller hinzufügen oder
entfernen müssen. Hierbei können die folgenden Aufgaben erforderlich werden:

Installieren oder Entfernen von Active Directory

Umbenennen von Domänencontrollern

Hinzufügen von Domänencontrollern an Remotestandorten
Installieren und Entfernen von Active
Directory
Um einen neuen Domänencontroller einzurichten, installieren Sie Active Directory auf
einem Computer, der unter Windows Server 2003 oder Windows Server 2003 mit SP 1
ausgeführt wird.
Weitere Informationen zu Best Practices für die Bereitstellung von Domänencontrollern
finden Sie unter http://go.microsoft.com/fwlink/?LinkId=45801.
Das Entfernen eines Domänencontrollers ist dem Einrichten recht ähnlich.
Umbenennen von Domänencontrollern
Für das Umbenennen eines Domänencontrollers sind eine Aktualisierung der DNSRessourceneinträge und eine Replikation der SPNs (Service Principal Names) an alle
Domänencontroller der Domäne notwendig. Außerdem müssen die FRS-Objekte
aktualisiert werden.
Hinzufügen von Domänencontrollern an
Remotestandorten
Wenn sich genügend Benutzer an einem Remotestandort befinden und es
möglicherweise nur langsame WAN-Verbindungen gibt, kann es sinnvoll sein, einen
Domänencontroller zu diesem Remotestandort hinzuzufügen. Sie können diesen
entweder zentral installieren und dann an den Remotestandort überführen oder die
Installation direkt vor Ort ausführenActive Directory-Replikation über WANVerbindungen oder Installation über ein Sicherungsmedium).
Verwaltung von Domänencontrollern
Zur Verwaltung von Domänencontrollern gehören die folgenden Aufgaben:

Erstellen von neuen Domänencontroller in bestehenden Domänen. Hierzu können
Sie die folgenden Verfahren nutzen:

Ausführen des Active Directory-Installationsassistenten und Replikation, um eine
Replik von Active Directory zu erstellen, plus FRS-Replikation, um eine Replik
von SYSVOL zu erstellen.

Ausführen des Active Directory-Installationsassistenten und Wiederherstellung
des Systemstatus über ein Sicherungsmedium.

Erstellen einer Antwortdatei und Ausführen des Active DirectoryInstallationsassistenten mit der Antwortdatei.

Ausführen von Tests, um zu prüfen, ob Active Directory korrekt installiert ist und
funktioniert.

Hinzufügen von Domänencontrollern zu Remotestandorten.

Entfernen von Active Directory von einen einwandfrei funktionierenden
Domänencontroller (Dekomissionierung).

Erzwingen der Entfernung eines nicht funktionierenden Domänencontrollers aus der
Domäne.

Umbenennen eines Domänencontrollers.
Verwaltung von Antiviren-Software auf
Domänencontrollern
Da Domänencontroller kritische Dienste für die Clients anbieten, ist es extrem wichtig, die
Risiken eines Ausfalls durch schädlichen Code zu minimieren.
Sie können jedoch nicht einfach eine Antiviren-Software (von irgendeinem Hersteller) auf
einem Domänencontroller installieren und alles scannen lassen. Stattdessen müssen Sie
die Software so installieren, dass die Risiken bestmöglich beseitigt werden und sich
gleichzeitig keine Auswirkungen auf die Leistung und Arbeit des Domänencontrollers
ergeben.
Richtlinien für die Verwaltung von Antivirus Software auf
Domänencontrollern
Die folgenden Empfehlungen sind allgemeiner Natur und sollten nicht wichtiger
eingeschätzt werden als die Empfehlungen des Herstellers der Antiviren-Software.
Anmerkung
Testen Sie die Antiviren-Software sorgfältig in einer Testumgebung.

Idealerweise sollte auf allen Servern und Clients, die mit dem Domänencontroller
interagieren, Antiviren-Software installiert sein.

Nutzen Sie eine Antiviren-Software, die mit Active Directory arbeitet und die richtigen
APIs für den Zugriff auf die Dateien des Servers verwendet. Ältere Versionen der
meisten Programme verändern oftmals die Metadaten der gescannten Dateien - was
dazu führt, dass der FRS davon ausgeht, dass die Datei geändert wurde und sie
repliziert. Weitere Informationen zu diesem Thema finden Sie unter
http://go.microsoft.com/fwlink/?LinkID=4441.

Vermeiden Sie die Nutzung von Domänencontrollern als Arbeitsstation. Auf
Domänencontrollern sollte nicht im Internet gesurft werden.

Wenn möglich, nutzen Sie Domänencontroller nicht als File-Sharing-Server.
Dateien, die nicht infiziert werden können
Die unten genannten Dateien sollten Sie vom Scannvorgang ausschließen. Für diese
Dateien besteht kein Risiko einer Infektion durch Viren. Das Scannen der Dateien könnte
zu ernsthaften Leistungsproblemen führen. Außerdem kann es dazu führen, dass FRS
nicht mehr korrekt arbeitet.
Die Antiviren-Software sollte keine der unten genannten Dateien verändern.

NTDS-Datenbankdateien. Speicherort definiert in:
HKLM\System\Services\NTDS\Parameters\DSA Database File
Standardspeicherort: %windir%\ntds.
Dateien, die auszuschließen sind: NTDS.dit (unter Windows 2000).

Active Directory-Transaktionsprotokolle. Speicherort definiert in:
HKLM\System\Services\NTDS\Parameters\Database Log Files Path
Standardspeicherort: %windir%\ntds.
Dateien, die auszuschließen sind:


EDB*.log (können mehrere Dateien sein)

RES1.log

RES2.log
NTDS-Arbeitsverzeichnis. Speicherort definiert in:
HKLM\System\Services\NTDS\Parameters\DSA WorkingDirectory
Dateien, die auszuschließen sind:


TEMP.edb

EDB.chk
SYSVOL files

FRS-Arbeitsverzeichnis. Speicherort definiert in:
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\NtFrs\Parameter
s\Working Directory
Dateien, die auszuschließen sind:


FRS Working Dir\jet\sys\edb.chk

FRS Working Dir\jet\ntfrs.jdb

FRS Working Dir\jet\log\*.log
FRS-Datenbankprotokolldateien. Speicherort definiert in:
HKEY_LOCAL_MACHINE\system\currentcontrolset\services\NtFrs\Parameters\
DB Log File Directory
Standardspeicherort: %windir%\ntds.
Dateien, die auszuschließen sind:


\jet\log\*.log (wenn der Registrierungsschlüssel nicht gesetzt ist)

\log\*.log (wenn der Registrierungsschlüssel nicht gesetzt ist)
FRS-Replikationsdateien. Speicherort definiert in:
HKEY_LOCAL_MACHINE\system\currentcontrolset\services\NtFrs\Parameters\
Replica Sets\GUID\Replica Set Root

Stagingverzeichnis. Speicherort definiert in:
HKEY_LOCAL_MACHINE\system\currentcontrolset\services\NtFrs\Parameters\
Replica Sets\GUID\Replica Set Stage

FRS-Preinstall-Verzeichnis. Speicherort definiert in:
<Replica_root>\DO_NOT_REMOVE_NtFrs_PreInstall_Directory.
Wenn FRS ausgeführt wird, ist das Verzeichnis permanent exklusiv geöffnet.
Die folgenden Aufgaben zur Verwaltung von Domänencontrollern werden in diesem
Kapitel beschreiben:

Vorbereiten der Active Directory-Installation

Installieren eines Domänencontrollers in einer bestehenden Domäne

Hinzufügen von Domäencontrollern an Remotestandorten

Installation eines Domänencontrollers in einer bestehenden Domäne mithilfe von
Sicherungsmedien

Ausführen einer unbeaufsichtigten Installation von Active Directory

Überprüfen der Active Directory-Installation

Umbennenen eines Domänencontrollers

Dekomissionierung eines Domänencontrollers

Das Entfernen eines Domänencontrollers erzwingen
Vorbereiten der Active DirectoryInstallation
Die saubere Vorbereitung der Installation von Active Directory verringert die Chance auf
ein Auftreten von Problemen während des Installationsprozesses.
Es gibt einige Anforderungen für die Installation von Active Directory auf einem neuen
Domänencontroller in einer bestehenden Domäne. In diesem Abschnitt werden die
Anforderungen in Bezug auf die DNS-Konfiguration, die Platzierung des
Domänencontrollers in einem Standort und die Konnektivität für den Active DirectoryInstallationsassistent beschrieben.
Vor der Installation sollten Sie testen, ob alle notwendigen Domänencontroller verfügbar
sind.
DNS-Konfiguration
Der DNS-Client ist immer auf einem Server unter Windows Server 2003 vorhanden. Es
muss außerdem einen DNS-Server geben. Beide sollten korrekt konfiguriert sein, und die
Namensauflösung sollte einwandfrei funktionieren.
Weitere Informationen finden Sie unter http://go.microsoft.com/fwlink/?LinkId=25466.
Platzierung in einem Standort
Während der Installation versucht der Active Directory-Installationsassistent, den neuen
Domänencontroller in einem entsprechenden Standort zu platzieren. Der Standort wird
hierbei anhand der IP-Adresse und der Subnetzmaske ermittelt. Wenn es das
entsprechende Subnetz nicht gibt, platziert der Assistent den Domänencontroller in den
Standort des Domänencontrollers, der die Datenbank an den neuen Domänencontroller
repliziert hat. Stellen Sie vor der Ausführung des Assistenten sicher, dass es das
entsprechende Subnetz gibt. Gehen Sie hierbei folgendermaßen vor:
1. Wenn Sie einen Standort in der Antwortdatei angeben, wird der Domänencontroller in
diesem Standort platziert.
2. Wenn kein Standort angegeben ist, wird der Domänencontroller in den Standort
platziert, der seiner IP-Adresse entspricht.
3. Wenn Sie einen Replikationspartner und keinen Standort in der Antwortdatei
angegeben haben, wird der Domänencontroller im Standort des Partners platziert.
4. Wenn weder Partner noch Standort angegeben sind, wird der Domänencontroller in
einen zufälligen Standort platziert. Dieser hängt dann von dem ersten
Replikationspartner des neuen Domänencontrollers ab.
Domänenkonnektivität
Während der Installation muss der Active Directory-Installationsassistent mit anderen
Domänencontrollern kommunizieren, um eine erste Replik der Datenbank zu erhalten.
Außerdem muss er mit dem Domänennamenmaster kommunizieren, um zu Domänen
hinzugefügt werden zu können. Er benötigt den RID-Master, um einen RID-Pool zu
erhalten, und muss den SYSVOL-Ordner von einem anderen Domänencontroller
bekommen. Mit Netdiag.exe und Dcdiag.exe können Sie die entsprechenden
Verbindungen testen, bevor Sie den Active Directory-Installationsassistent starten.
Anforderungen
Sie benötigen Anmeldeinformationen, die über einen administrativen Zugriff auf das
Verzeichnis verfügen.
Die folgenden Bedingungen müssen vor der Installation gegeben sein:

Es muss eine Gesamtstruktur-Stammdomäne geben.

Wenn Sie den neuen Domänencontroller in einer untergeordneten Domäne
installieren, sollte es mindestens zwei einwandfrei arbeitende Domänencontroller in
der Stammdomäne geben.

DNS muss korrekt funktionieren. Wir gehen hier davon aus, dass Sie
Active Directory-integrierte DNS-Zonen verwenden. Es muss mindestens einen
Domänencontroller geben, der als DNS-Server konfiguriert ist.
Das Erstellen einer Domäne oder Gesamtstruktur wird in diesem Dokument nicht
besprochen.
Die folgenden Informationen und Tools sind für diese Aufgabe notwendig:

Der Active Directory-Installationsassistent fragt die folgenden Informationen ab:

Namen und Kennwort des Domänenadministrators.

Speicherort für die Verzeichnisdatenbank und die Protokolldateien.

Speicherort für SYSVOL.

Kennwort für den Verzeichnisdienstwiederherstellungsmodus.

FQDN der Domäne, in die der Domänencontroller aufgenommen werden soll.

Netzwerkumgebung

Adsiedit.msc

Netdiag.exe

Active Directory-Standorte und -Dienste

Dcdiag.exe
Um diese Aufgabe auszuführen, sind die folgenden Schritte erforderlich:
1. Installation des DNS-Serverdienstes
2. Überprüfung der DNS-Registrierung und -Funktionalität
3. Überprüfen, ob eine IP-Adresse einem Subnetz entspricht, und Ermitteln der
Standortzuordnung
4. Überprüfen der Kommunikation mit anderen Domänencontrollern
5. Überprüfen der Verfügbarkeit der Betriebsmaster
Installation des DNS-Serverdienstes
Weisen Sie dem Server eine statische IP-Adresse zu. Um das folgende Verfahren
durchführen zu können, muss bereits eine DNS-Infrastruktur vorhanden und als Active
Directory-integrierte Zone konfiguriert sein. Dieses Verfahren beschreibt, wie ein
zusätzlicher DNS-Server hinzugefügt wird.
Administrative Berechtigungen
Sie müssen Mitglied der Gruppe Domänen-Admins oder der Gruppe OrganisationsAdmins sein.
Installation des DNS-Serverdienstes
1. Klicken Sie mit rechts auf Netzwerkumgebung und dann auf Eigenschaften.
2. Klicken Sie mit rechts auf die Verbindung, mit der der Computer mit dem
Netzwerk verbunden ist. Klicken Sie auf Eigenschaften.
3. Klicken Sie einmal auf Internet Protocol (TCP/IP), und klicken Sie dann auf
Eigenschaften.
4. Stellen Sie sicher, dass Die folgende IP-Adresse verwenden: ausgewählt ist
und eine gültige IP-Adresse, Subnetzmaske und Gatewayadresse eingetragen
sind. Klicken Sie zweimal auf OK.
5. Klicken Sie in der Systemsteuerung auf Programme hinzufügen/entfernen.
Klicken Sie auf Windows-Komponenten hinzufügen/entfernen.
6. Klicken sie auf Netzwerkdienste. Klicken Sie auf Details.
7. Aktivieren Sie die Option Domain Name System (DNS). Klicken Sie auf OK.
8. Klicken Sie auf Weiter. Geben Sie den Speicherort der Installationsdateien an.
Klicken Sie auf Fertigstellen.
Überprüfung der DNS-Registrierung und
-Funktionalität
Administrative Berechtigungen
Um die folgenden Schritte ausführen zu können, müssen Sie Mitglied der Gruppe
Domänen-Admins oder der Gruppe Organisations-Admins sein.
Überprüfung der DNS-Registrierung und -Funktionalität
1. Öffnen Sie eine Eingabeaufforderung.
2. Geben Sie den folgenden Befehl ein, und drücken Sie die EINGABETASTE:
netdiag /test:dns
Anmerkung
Mit /v erhalten Sie mehr Informationen.
Wenn DNS korrekt funktioniert, sollte die letzte Zeile so lauten: DNS Test…..:
Passed.
Überprüfen, ob eine IP-Adresse einem
Subnetz entspricht, und Ermitteln der
Standortzuordnung
Mit diesem Verfahren stellen Sie fest, zu welchem Standort ein neuer oder verschobener
Server gehört.
Administrative Berechtigungen
Um dieses Verfahren ausführen zu können, müssen Sie Mitglied der Gruppe
Domänenbenutzer sein.
Überprüfen, ob eine IP-Adresse einem Subnetz entspricht, und Ermitteln der
Standortzuordnung
1. Melden Sie sich lokal am Domänencontroller an.
2. Klicken Sie mit rechts auf Netzwerkumgebung, und klicken Sie dann auf
Eigenschaften.
3. Klicken Sie unter Netzwerkverbindungen mit rechts auf LAN Verbindung, und
klicken Sie dann auf Eigenschaften.
4. Klicken Sie in den Eigenschaften doppelt auf Internet Protocol (TCP/IP).
5. Berechnen Sie die Adresse des Subnetzes mit der IP-Adresse und der
Subnetzmaske, und klicken Sie dann auf OK.
7. Öffnen Sie Active Directory-Standorte und -Dienste.
8. Erweitern Sie Standorte, und klicken Sie dann auf Subnetze.
9. Suchen Sie das Subnetz, das der berechneten Subnetzadresse entspricht.
10. Stellen Sie fest, welchem Standort das Subnetz zugeordnet ist.
Überprüfen der Kommunikation mit
anderen Domänencontrollern
Administrative Berechtigungen
Um die folgenden Schritte ausführen zu können, müssen Sie Mitglied der Gruppe
Domänenbenutzer sein.
Überprüfen der Kommunikation mit anderen Domänencontrollern
1. Öffnen Sie eine Eingabeaufforderung.
2. Geben Sie den folgenden Befehl ein, und drücken Sie die EINGABETASTE:
netdiag /test:dsgetdc
Anmerkung
Mit /v erhalten Sie mehr Informationen.
Wenn DNS korrekt funktioniert, sollte die letzte Zeile so lauten: DC discovery
test……..: Passed.
Überprüfen der Verfügbarkeit der
Betriebsmaster
Administrative Berechtigungen
Um die folgenden Schritte ausführen zu können, müssen Sie Mitglied der Gruppe
Domänenbenutzer sein.
Anmerkung
Sie können diese Tests vor und nach der Installation von Active Directory
ausführen. Vor der Installation müssen Sie die Option /s zum Angeben des
verwendeten Domänencontrollers nutzen. Nach der Installation ist die Option
nicht mehr notwendig.
Überprüfen der Verfügbarkeit der Betriebsmaster
1. Öffnen Sie eine Eingabeaufforderung.
2. Geben Sie den folgenden Befehl ein, und drücken Sie die EINGABETASTE:
dcdiag /s: Domänencontrollerr /test:knowsofroleholders /verbose
wobei Domänencontroller der Name eines Domänencontrollers der Domäne ist,
zu der Sie den neuen Domänencontroller hinzufügen möchten. Am Ende der
Ausgabe sollte der Test als erfolgreich angezeigt werden.
3. Geben Sie den folgenden Befehl ein, und drücken Sie die EINGABETASTE:
dcdiag /s: Domänencontrollerr /test:fsmocheck
wobei Domänencontroller der Name eines Domänencontrollers der Domäne ist,
zu der Sie den neuen Domänencontroller hinzufügen möchten. Am Ende der
Ausgabe sollte der Test als erfolgreich angezeigt werden.
Installieren eines Domänencontrollers in
einer bestehenden Domäne
In diesem Abschnitt wird die Installation von Active Directory auf einem
Domänencontroller für eine bestehende Domäne beschrieben. Weitere Informationen zur
Planung, zum Testen und zur Bereitstellung von Active Directory finden Sie unter
http://go.microsoft.com/fwlink/?LinkId=27638.
Anforderungen
Die folgenden Tools sind zur Ausführung dieses Verfahrens notwendig:
Dcpromo.exe
Sie müssen die folgenden Schritte durchführen:

Installieren von Active Directory
Sie können Active Directory unbeaufsichtigt installieren. Weitere Informationen zu diesem
Thema finden Sie unter Installation eines Domänencontrollers in eine bestehenden
Domäne mithilfe von Sicherungsmedien und Ausführen eine unbeaufsichtigten
Installation von Active Directory,
Installieren von Active Directory
Administrative Berechtigungen
Um die folgenden Schritte ausführen zu können, müssen Sie Mitglied der Gruppe
Domänen-Admins sein.
Installieren von Active Directory
1. Klicken Sie auf Start, klicken Sie auf Ausführen, geben Sie dcpromo ein, und
drücken Sie die EINGABETASTE.
2. Klicken Sie auf Weiter.
3. Wählen Sie Zusätzlicher Domänencontroller für eine bestehende Domäne.
Klicken Sie auf Weiter.
4. Geben Sie Benutzername, Kennwort und Domäne eines Kontos ein, das den
neuen Domänencontroller in die Domäne aufnehmen darf. Klicken Sie auf
Weiter.
5. Geben Sie den Namen der Domäne ein. Klicken Sie auf Weiter.
6. Geben Sie die Pfade für die Datenbank und die Protokolldateien ein. Für eine
bessere Leistung sollten Sie die Datenbank und die Protokolle auf
unterschiedlichen physischen Festplatten speichern. Klicken Sie auf Weiter.
7. Geben Sie den Pfad für SYSVOL ein. Klicken Sie auf Weiter.
8. Geben Sie ein Kennwort Verzeichnisdienstwiederherstellungsmodus ein. Klicken
Sie auf Weiter.
9. Klicken Sie dann auf Weiter.
10. Klicken Sie auf Fertigstellen.
11. Klicken Sie auf Neustart.
12. Wenn Dienste nicht gestartet werden können, starten Sie den Domänencontroller
ein zweites Mal. Solle das Problem weiter bestehen, überprüfen Sie das
Ereignisprotokoll auf Fehler.
Installation eines Domänencontrollers in
eine bestehenden Domäne mithilfe von
Sicherungsmedien
Mit der Installation von Active Directory über ein Sicherungsmedium können Sie den
notwendigen Replikationsverkehr minimieren. Dies ist besonders an Remotestandorten
sehr nützlich.
Wenn Sie einen Domänencontroller installieren, der auch als DNS-Server arbeitet und
Sie Active Directory-integrierte Zonen verwenden, fehlen Ihnen die Partitionen
DomainDNSZones und ForestDNSZones in den Sicherungen. Wenn Sie diese in die
Sicherungen mit aufnehmen möchten, sind weitere Schritte notwendig.
Anforderungen
Stellen Sie sicher, dass die folgenden Anforderungen erfüllt sind:

Es muss in jeder Domäne, in der Sie neue Domänencontroller installieren, ein
Domänencontroller unter Windows Server 2003 ausgeführt werden.

Der gesicherte Systemstatus muss von einem Domänencontroller der gleichen
Domäne stammen.

Der zu installierende Domänencontroller muss unter Windows Server 2003
ausgeführt werden. Die Version muss der aus der Sicherung entsprechen.

Der Prozessortyp des gesicherten Domänencontrollers muss dem des neu zu
installierenden entsprechen.

DCpromo prüft während der Installation, ob die Tombstone-Lebensdauer aus der
Sicherung der der bestehenden Domänencontroller entspricht. Wenn Sie den Wert
ändern möchten, sollten Sie dies vor der Sicherung machen.

Wenn der neue Domänencontroller globaler Katalog Server sein soll, muss die
Sicherung von einem globalen Katalog Server der entsprechenden Domäne
stammen.
Auf Servern unter Windows Server 2003 SP1 können Sie Sicherungen für
Domänencontroller, die DNS-Server sind, wiederherstellen (DomainDNSZones und
ForestDNSZones Anwendungspartitionen). Gleiches gilt auch für alle anderen
Anwendungspartitionen. Stellen Sie hierzu sicher, dass die folgenden Anforderungen
erfüllt sind:

Die Gesamtstrukturfunktionsebene muss Windows Server 2003 sein.

Der Domänencontroller, auf dem Sie die Sicherung erstellt haben, wird unter
Windows Server 2003 SP1 ausgeführt.

Der Domänencontroller, auf dem Sie die Sicherung erstellt haben, hostet die
entsprechenden Anwendungspartitionen.

Sie installieren Windows Server 2003 SP1.

Sie haben eine Antwortdatei erstellt, in der die DNs (oder * für alle Namen) der
Anwendungspartitionen enthalten sind.
Um die unten beschriebenen Aufgaben ausführen zu können, sind die folgenden Tools
notwendig:

Ntbackup.exe

Dcpromo.exe

Ref.chm oder Unattend.txt oder beides (für die Installation von
Anwendungspartitionen).
Um das Verfahren auszuführen, gehen Sie folgendermaßen vor::
1. Sicherung des Systemstatus
2. Als Option können Sie die Sicherungsdateien auf eine CD, DVD oder ein anderes
Speichermedium kopieren, über das Sie dann nachfolgende zur Wiederherstellung
der Sicherung nutzen können.
3. Wiederherstellen des Systemstatus an einem anderen Speicherort
4. Installation von Active Directory über ein Sicherungsmedium.
Siehe auch
Hinzufügen von Domäencontrollern an Remotestandorten
Erstellen einer Antwortdatei für eine Domänencontrollerinstallation
Sicherung des Systemstatus
Wenn Sie den Systemstatus mit Ntbackup.exe sichern, können Sie die geschützten
Systemdateien mit sichern oder nicht. Diese Dateien sind für eine Installation mithilfe
einer wiederhergestellten Sicherung nicht notwendig - in diesem Fall können Sie die
Option deaktivieren. Sie verkleinern so die Größe der Sicherungsdatei und verringern
den notwendigen Zeitaufwand.
Mit den folgenden Verfahren können Sie nur den Systemstatus sichern. Das
Systemvolumen oder andere Daten auf dem Domänencontroller werden nicht
berücksichtigt.
Mit dem ersten Verfahren, "Sicherung des Systemstatus inklusive der geschützten
Systemdateien", können Sie Routinesicherungen des Systemstatus durchführen. Mit dem
zweiten Verfahren, "Sicherung des Systemstatus exklusive der geschützten
Systemdateien", können Sie eine kleinere Sicherung durchführen, die zur Installation von
Domänencontrollern über Sicherungsmedien verwendet werden kann.
Anmerkung
Um den Systemstatus sichern zu können, müssen Sie als lokaler Administrator
am Domänencontroller angemeldet sein. Alternativ muss der Remotedesktop
aktiviert sein.
Administrative Berechtigungen
Um die folgenden Verfahren ausführen zu können, müssen Sie Mitglied der Gruppe
Domänen-Admins oder Sicherungsoperatoren sein.
Sicherung des Systemstatus inklusive der geschützten Systemdateien
1. Klicken Sie auf Start, klicken Sie auf Ausführen, geben Sie ntbackup ein, und
klicken Sie dann auf OK.
In diesem Verfahren verwenden Sie den Assistentenmodus. Standardmäßig ist
die Option Immer im Assistentenmodus starten im Sicherungs- und
Wiederherstellungsassistenten aktiviert. Klicken Sie andernfalls auf
Assistentenmodus.
2. Klicken Sie auf Weiter.
3. Klicken Sie auf Dateien und Einstellungen sichern, und klicken Sie dann auf
Weiter.
4. Klicken Sie auf Elemente für die Sicherung selbst auswählen, und klicken Sie
dann auf Weiter.
5. Klicken Sie doppelt auf Arbeitsplatz.
6. Klicken Sie auf Systemstatus, und klicken Sie dann auf Weiter.
7. Wählen Sie einen Speicherort für die Sicherung aus:
Anmerkung
Sie sollten die Sicherung nicht auf einer lokalen Festplatte speichern.
8. Geben Sie einen Namen ein. Halten Sie sich an die Empfehlungen aus dem
Abschnitt Sichern von Active Directory-Komponenten, und klicken Sie dann auf
Weiter.
9. Klicken Sie auf Erweitert.
10. Klicken Sie auf Weiter.
11. Aktivieren Sie Daten nach der Sicherung prüfen, und klicken Sie dann auf
Weiter.
12. Wählen Sie eine der Optionen aus, und klicken Sie dann auf Weiter.
13. Wenn Sie bestehende Sicherungen ersetzen, wählen Sie die Option, mit der nur
dem Besitzer und dem Administrator Zugriff auf die Sicherungsdaten gewährt
wird. Klicken Sie dann auf Weiter.
14. Wählen Sie eine für Sie passende Option aus, und klicken Sie dann auf Weiter.
15. Klicken Sie auf Fertigstellen.
Anmerkung
Sie können Ntbackup auch über die Eingabeaufforderung nutzen.
Weitere Informationen erhalten Sie mit dem Befehl ntbackup /?.
Sicherung des Systemstatus exklusive der geschützten Systemdateien
1. Klicken Sie auf Start, klicken Sie auf Ausführen, geben Sie ntbackup ein, und
klicken Sie dann auf OK.
2. Klicken Sie auf Erweiterter Modus, und klicken Sie dann auf die Registerkarte
Sichern.
3. Wählen Sie Systemstatus aus.
8. Geben Sie einen Namen ein. Halten Sie sich an die Empfehlungen aus dem
Abschnitt Sichern von Active Directory-Komponenten, und klicken Sie dann auf
Weiter.
5. Klicken Sie auf Sicherung starten, und klicken Sie dann auf Erweitert.
6. Deaktivieren Sie Geschützte Systemdateien automatisch mit dem
Systemstatus sichern, und klicken Sie dann auf OK.
7. Klicken Sie auf Sicherung starten.
Siehe auch
Aktivieren von Remotedesktop
Erstellen einer Remotedesktopverbindung
Wiederherstellen des Systemstatus an
einem anderen Speicherort
Mit diesem Verfahren können Sie ein Sicherungsmedium erstellen, mit dem Sie einen
Domänencontroller wiederherstellen können oder eine autorisierende Wiederherstellung
von SYSVOL durchführen können.
Administrative Berechtigungen
Für dieses Verfahren müssen Sie Mitglied der Gruppe Sicherungsoperatoren der
Domäne sein.

Für das Wiederherstellen auf einem Mitglieds- oder Arbeitsgruppenserver:
Sicherungsoperator auf dem lokalen Computer.

Für das Wiederherstellen des Systemstatus auf einem Domänencontroller:
Sicherungsoperator der Domäne.
Wiederherstellen des Systemstatus an einem anderen Speicherort
1. Melden Sie sich an dem wiederzustellenden Server an.
2. Klicken Sie auf Start, klicken Sie auf Ausführen, geben Sie ntbackup ein, und
klicken Sie dann auf OK.
3. Klicken Sie auf Weiter.
4. Klicken Sie auf Dateien und Einstellungen wiederherstellen, und klicken Sie
dann auf Weiter.
5. Klicken Sie auf Suchen und dann nach einmal auf Suchen.
6. Navigieren Sie zu der .bkf-Datei.
7. Klicken Sie auf die .bkf, die Sie wiederherstellen möchten, und klicken Sie dann
auf Öffnen.
8. Klicken Sie auf OK.
9. Klicken Sie doppelt auf Datei und dann doppelt auf die .bkf-Datei, die
wiederhergestellt werden soll.
10. Markieren Sie Systemstatus, und klicken Sie dann auf Weiter.
11. Klicken Sie auf Erweitert.
12. Klicken Sie auf Alternativer Bereich.
13. Geben Sie den Pfad zu dem lokalen Ordner ein, in dem Sie die Sicherung
wiederherstellen wollen. Klicken Sie dann auf Weiter. Wir empfehlen, zur
Wiederherstellung einen Ordner mit dem Namen NTDSRESTORE zu
verwenden.
14. Klicken Sie dann auf Weiter.
15. Klicken Sie dann auf Weiter.
16. Klicken Sie auf Fertigstellen.
Installation von Active Directory mithilfe
eines Sicherungsmediums
Administrative Berechtigungen
Sie müssen Mitglied der Gruppe Domänen-Admins in der Domäne sein in der der
Domänencontroller installiert werden soll.
Installation von Active Directory mithilfe eines Sicherungsmediums
1. Klicken Sie auf Start, klicken Sie auf Ausführen, geben Sie dcpromo /adv ein,
und drücken Sie die EINGABETASTE.
2. Wählen Sie Zusätzlichen Domänencontroller für eine bestehende Domäne
aus.
3. Wählen Sie Aus diesen wiederhergestellten Sicherungsdateien aus, und
geben Sie den Speicherort der wiederhergestellten Systemdaten an.
4. Wenn der Domänencontroller, von dem die Sicherung stammt, ein globaler
Katalog Server war, fragt Sie der Assistent, ob der neue Domänencontroller
ebenfall globaler Katalog sein soll.
5. Stellen Sie die erforderlichen Anmeldeinformationen bereit.
6. Geben Sie die Domäne für den neuen Domänencontroller an. Es muss sich um
die Domäne des Domänencontrollers handeln, von dem die Sicherung stammt.
7. Führen Sie den Assistenten weiter aus.
Nachdem die Installation erfolgreich abgeschlossen ist, können Sie die Ordner
mit dem wiederhergestellten Systemstatus löschen.
Siehe auch
Wiederherstellen des Systemstatus an einem anderen Speicherort
Einbeziehen von Anwendungspartitionen in die Active Directory-Installation über ein
Sicherungsmedium
Einbeziehen von Anwendungspartitionen
in die Active Directory-Installation über
ein Sicherungsmedium
Mit diesem Verfahren installieren Sie Active Directory und die Anwendungspartitionen
mithilfe eines Sicherungsmediums. Sie müssen hierzu bereits mit dem Verfahren
Erstellen einer Antwortdatei für eine Domänencontrollerinstallation eine Antwortdatei
erstellt haben.
Administrative Berechtigungen
Um dieses Verfahren ausführen zu können, müssen Sie Mitglied der Gruppe DomänenAdmins der Domäne sein, in der der neue Domänencontroller installiert werden soll.
Einbeziehen von Anwendungspartitionen in die Active Directory-Installation
über ein Sicherungsmedium
1. Öffnen Sie die Antwortdatei, die Sie zur Installation des Domänencontrollers
erstellt haben.
2. Fügen Sie den folgenden Eintrag zur Anwendungspartition hinzu:
ApplicationPartitionsToReplicate=
3. Legen Sie den Wert für den Eintrag folgendermaßen fest:

Wenn Sie alle Anwendungspartitionen installieren möchten, geben Sie einen
Stern an (*)

Wenn Sie nur bestimmte Anwendungspartitionen installieren möchten, geben
Sie die DNs der entsprechenden Partitionen an. Trennen Sie die DNs mit
Leerzeichen, und schließen Sie die gesamte Liste in Anführungsstriche ein.
Beispiel:
ApplicationPartitionsToReplicate=”dc=app1,dc=contoso,dc=com
dc=app2,dc=contoso,dc=com”
4. Tragen Sie den Parameter ReplicationSourcePath= mit dem Ordner mit den
wiederhergestellten Sicherungsdateien ein.
5. Wenn Sie nicht möchten, dass Dcpromo nach dem Benutzernamen und dem
Kennwort fragt, verwenden Sie den Eintrag Password= und
SafeModeAdminPassword=. Speichern Sie die Datei.
Anmerkung
Die Kennwörter werden automatisch von Dcpromo aus der Antwortdatei
gelöscht.
6. Öffnen Sie eine Eingabeaufforderung, und wechseln Sie zu dem Verzeichnis mit
der Antwortdatei.
7. Geben Sie den folgenden Befehl ein, und drücken Sie dann die
EINGABETASTE:
dcpromo /adv /answer:”Laufwerk:\PfadZuAntwortdatei\Antwortdatei”.
Hinzufügen von Domänencontrollern an
Remotestandorten
Wenn Sie einen zusätzlichen Domänencontroller an einem Remotestandort installieren,
können Sie Active Directory entweder vor der Auslieferung des Servers an den
Remotestandort oder aber danach installieren. Sie haben hierbei die folgenden
Möglichkeiten:


Liefern Sie den Computer als Arbeitsgruppencomputer aus, und installieren Sie
Active Directory am Remotestandort. Aktivieren Sie vor der Auslieferung
Remotedesktop auf dem Computer. Am Remotestandort haben Sie die folgenden
Möglichkeiten:

Installieren Sie Active Directory über die wiederhergestellte Sicherung.

Installieren Sie Active Directory über das Netzwerk.
Installieren Sie Active Directory an einem zentralen Standort, und liefern Sie den
installieren Domänencontroller an den Remotestandort aus.
Beide Verfahren haben Vor- und Nachteile. Weitere Informationen hierzu finden Sie unter
Bekannte Probleme beim Hinzufügen von Domänencontrollern an Remotestandorten.
Weitere Informationen zur Verwaltung von Domänencontroller an Remotestandorten
finden Sie unter Best Practices für das Hinzufügen von Domänencontrollern an
Remotestandorten.
In den nächsten Abschnitten werden folgende Aufgaben zur Installation von
Domänencontrollern an Remotestandorten beschrieben:

Vorbereiten eines Servers auf die Installation von einem Sicherungsmedium

Vorbereiten eines bestehenden Domänencontrollers auf die Ausliefung

Einen Domänencontroller wieder mit dem Netzwerk verbinden
Bekannte Probleme beim Hinzufügen von
Domänencontrollern an
Remotestandorten
Mit den beiden folgenden Verfahren können Sie Domänencontroller an
Remotestandorten hinzufügen:

Liefern Sie einen Mitgliedscomputer an den Remotestandort aus, und installieren Sie
Active Directory über dcpromo /adv.

Installieren Sie Active Directory an einem zentralen Standort, und liefern Sie ihn an
den Remotestandort aus.
Die SYSVOL-Replikation hat potenzielle Auswirkungen auf beide Verfahren. Die
entsprechenden Vor- und Nachteile werden im folgenden Abschnitt besprochen.
Wichtig
Versuchen Sie nicht ausschließlich nach den im folgenden Abschnitt gegebenen
Empfehlungen vorzugehen. Die vollständigen Informationen zu den notwendigen
Verfahrensweisen finden Sie in den jeweiligen aufgabenbezogenen Abschnitten
dieses Handbuches.
SYSVOL-Replikation
SYSVOL ist eine Freigabe, in der Dateien gespeichert werden, die zwischen allen
Domänencontrollern synchronisiert werden. Zu diesen Dateien gehören die NETLOGONFreigabe und FRS-Stagingdateien und -verzeichnisse.
Hauptziel beider hier besprochenen Installationsverfahren ist das Vermeiden von
Replikationsverkehr über WAN-Verbindungen. Dies wird mit beiden Verfahren erreicht.
Abhängig von der Größe Ihres SYSVOL-Ordners kann es jedoch zusätzlich notwendig
sein, sich auch mit der Replikation dieses Ordners zu befassen. Wenn Sie keine
entsprechenden Maßnahmen ergreifen, wird SYSVOL ganz normal über eine Replikation
auf den neuen Domänencontroller übertragen.
Mit den folgenden vorbereitenden Schritten können Sie dieses Verhalten ändern:

Vorbereiten eines Servers auf die Installation von einem Sicherungsmedium

Vorbereiten eines bestehenden Domänencontrollers auf die Ausliefung
Installation von Active Directory an einem
Remotestandort mithilfe eines
Sicherungsmediums
Die Möglichkeit, einen Domänencontroller mithilfe einer Sicherung wiederherzustellen, ist
ein neues Features von Windows Server 2003. Der Verfahren setzt sich aus drei
grundlegenden Schritten zusammen:
1. Sicherung des Systemstatus auf einem Domänencontroller in der Domäne, in der
sich auch der neue Domänencontroller befinden soll. Wenn es sich um einen
globalen Katalog Server handeln soll, führen Sie die Sicherung auf einem globalen
Katalog aus. Wenn es sich um einen DNS-Server handeln soll, wählen Sie einen
DNS-Server.
2. Wiederherstellung der Sicherung an einem anderen Standort. Sie können die
Sicherung direkt auf dem Computer wiederherstellen, den Sie als Domänencontroller
installieren möchten, oder sie auf einem Wechseldatenträger speichern
3. Ausführen von Dcpromo mit der Option /adv.
Dieses Verfahren hat mehrere Vorteile. Zum Beispiel reduziert es deutlich die
notwendige Netzwerkbandbreite. Es gibt jedoch ein paar Probleme. Diese treten meist
bei Bereitstellungen mit einer großen Anzahl von Remotestandorten auf. Wenn Sie mehr
als 100 Standorte einsetzen, können zusätzliche Überlegungen notwendig werden. Mehr
zu diesem Thema erfahren Sie unter http://go.microsoft.com/fwlink/?LinkId=42506.
Vorteile

Sie können viele Domänencontroller mit einem Sicherungsmedium installieren.
Weitere Informationen zu diesem Thema finden Sie unter Vorbereiten eines Servers
auf die Installation von einem Sicherungsmedium.

Sie müssen den Domänencontroller nicht aus der Replikationstopologie entfernen.
Daher kommt es zu keinen Ausfallzeiten. Weitere Informationen zu diesem Thema
finden Sie unter Probleme.

Sie vermeiden eine Replikation des gesamten Active Directory über eine WANVerbindung.

Sie sind in der Lage, den Remotedesktop vor der Auslieferung des Computers zu
aktivieren. Es muss sich am Remotestandort also kein Administrator befinden.
Probleme im Zusammenhang mit der Installation von
Active Directory über Sicherungsmedien an einem
Remotestandort

Domänen-Admins-Rechte und die Remoteinstallation: Ein Administrator muss
zur Installation von Active Directory über Domänen-Admins-Rechte verfügen. Wenn
Sie keinen Administrator am Remotestandort zu Verfügung haben, muss ein
Administrator der Zentrale in der Lage sein, sich mit dem Server remote zu
verbinden. Daher muss der Remotedesktop aktiviert sein.

Zeitaufwand für die Wiederherstellung des Systemstatus: Die Installation wird
durch das Wiederherstellen des gesicherten Systemstatus an einem anderen
Speicherort vorbereitet. Sie benötigen also Zeit für die Erstellung der Sicherung und
für die Wiederherstellung der Sicherung. Allerdings ist die Erstellung nur einmal
notwendig, und Sie haben die Möglichkeit, die Sicherung möglichst klein zu halten.
Wenn Sie die Sicherung auf der selben Festplatte wiederherstellen, auf der später
die Datenbank gehostet wird, verkürzt sich die benötigte Zeit weiter - in diesem Fall
wird die Datenbank aus der Sicherung verschoben statt kopiert. Weitere
Informationen zu diesem Thema finden Sie unter Vorbereiten eines Servers auf die
Installation von einem Sicherungsmedium.

Sicherungsquelle für Anwendungspartitionen: Wenn DNS-Zonendaten in
Anwendungspartitionen gespeichert werden, kann sich deren Replikation drastisch
auswirken. Wenn die Sicherung unter Windows Server 2003 ohne SP durchgeführt
wurde, schließt die Wiederherstellung des Systemstatus Anwendungspartitionen
nicht mit ein.
Für das Einschließen von Anwendungspartitionen in die Sicherung bestehen
folgende Voraussetzungen:

Der zu sichernde Domänencontroller und der Ziel-Domänencontroller müssen
unter Windows Server 2003 Service Pack 1 (SP1) ausgeführt werden.

Die Gesamtstrukturfunktionsebene muss Windows Server 2003 sein.

Sie müssen eine Antwortdatei zur Installation von Active Directory verwenden.
Über die Benutzeroberfläche von Dcpromo ist es nicht möglich,
Anwendungspartitionen anzugeben.
Weitere Informationen finden Sie unter Vorbereiten eines Servers auf die Installation
von einem Sicherungsmedium.

Lastverteilung auf dem Bridgeheadserver: Wenn Sie die Sicherung für viele
Standorte verwenden und viele Domänencontroller zur gleichen Zeit installiert
werden, kann es sein, dass es zu Leistungsproblemen auf den Bridgeheadservern
kommt.
Anmerkung
Dieses Problem tritt nur in Situationen mit hunderten von
Domänencontrollern, die zur gleichen Zeit installiert werden, auf. Weitere
Informationen hierzu finden Sie unter
http://go.microsoft.com/fwlink/?LinkId=42506.

Replikation zwischen Standorten: Sie können die Auslastung von
Standortverknüpfungen durch Replikation zwischen Standorten nicht
gleichmäßig verteilen. Wenn Sie mehr als 100 Domänencontroller in
Remotestandorten installieren, wird möglicherweise nach der Installation eine
manuelle Anpassung der Standortverknüpfungen notwendig. Weitere
Informationen zu diesem Thema finden Sie unter
http://go.microsoft.com/fwlink/?LinkId=42506.

FRS-Replikation: Da der FRS die CPU, den Speicher und die Datenträger auf
dem Quellcomputer belastet, wird empfohlen, nicht mehr als zehn
Domänencontroller in Remotestandorten gleichzeitig zu installieren. Wenn nur
ein Domänencontroller als Quelle für die SYSVOL-Replikation dient, kann sich
dies deutlich auf dessen Leistung auswirken. Sie können den entsprechenden
Domänencontroller allerdings auch im Rahmen von Dcpromo explizit festlegen.
Installation von Domänencontrollern vor
deren Auslieferung an einen Remotestandort
Wenn Sie einen Domänencontroller installieren und diesen dann für einen gewissen
Zeitraum vom Netzwerk trennen, unterbinden Sie damit logischerweise auch seine
Replikation. Dies führt zu Fehlern - zum Beispiel, wenn ein Domänencontroller versucht,
mit dem betreffenden Domänencontroller zu replizieren. Solange Sie sich bewusst sind,
was die Gründe für diese Fehler sind, stellt dies jedoch kein Problem dar.
Vorteile der Installation von Domänencontrollern vor deren
Auslieferung an einen Remotestandort
Die Installation von Domänencontrollern vor deren Auslieferung an einen Remotestandort
bringt Ihnen die folgenden Vorteile:

Standardisierung: Sie installieren jeden Domänencontroller automatisiert und
standardisiert. Wenn Sie nach den gezeigten Anweisungen vorgehen, ist am
Remotestandort so nur noch ein Neustart des Domänencontrollers notwendig.

Personal am Remotestandort: Nur am zentralen Standort ist Personal mit
Domänen-Admins-Rechten erforderlich.
Probleme

Fehler durch nicht aktive Domänencontroller: Wenn Sie Domänencontroller vom
Netzwerk trennen, versuchen andere Domänencontroller weiter, mit diesem zu
replizieren. So werden Fehler generiert.

Zusätzliche Vorbereitung: Damit der Domänencontroller wieder sauber mit dem
Netzwerk verbunden werden kann, sind zusätzliche Vorbereitungen notwendig:

Vorbereiten des nicht autorisierenden Neustarts von SYSVOL.

Sicherstellen einer passenden Tombstone-Lebensdauer, um das Verbleiben von
permanent gelöschten Objekten auf dem Domänencontroller zu vermeiden.

Schutz bestehender Konten und Metadaten: Sie müssen sicherstellen, dass die
Computerkonten und Metadaten des Domänencontroller nicht versehentlich gelöscht
oder geändert werden, während dieser nicht in Betrieb ist.

Risiko von dauerhaft bestehenden Objekten: Bei solchen Objekten handelt es
sich um Objekte, die auf einem Domänencontroller ohne Netzwerkverbindung nach
der Löschung von allen anderen Domänencontrollern erhalten bleiben.
Löschvorgänge werden als Tombstone-Objekte repliziert. Diese Objekte haben nur
eine eingeschränkte Lebensdauer. Nachdem ein Tombstone permanent aus Active
Directory entfernt wurde, ist es nicht mehr möglich, die Löschung zu replizieren.
Daher kann es sein, dass ein Domänencontroller, den Sie nach längerer Inaktivität
wieder starten, nicht erkennt, dass ein Objekt gelöscht ist. Dieses bleibt dann auf
dem entsprechenden Domänencontroller bestehen (jedoch auf keinem anderen
Domänencontroller). Wenn Sie einen Domänencontroller tatsächlich für einen
längeren Zeitraum außer Betrieb setzen möchten (länger als die TombstoneLebensdauer), dann müssen Sie die Verzeichniskonsistenz über weitere Schritte
sicherstellen. Mehr Informationen erhalten Sie unter Fixing Replication Lingering
Object Problems (Event IDs 1388, 1988, 2042).
Erhalten der Verzeichniskonsistenz beim Trennen von
Domänencontrollern vom Netzwerk
Die folgenden Punkte sollten Ihnen bekannt sein, bevor Sie Domänencontroller vom
Netzwerk trennen:

Die Beziehung zwischen Tombstone-Lebensdauer und Active Directory-Sicherung.

Schutz vor dauerhaft bestehenden Objekten.

Verfügbarkeit von Betriebsmasterrollen in der Domäne und Gesamtstruktur.

Aktualität der Active Directory-Replikation zum Zeitpunkt des Trennens vom
Netzwerk.

SYSVOL-Konsistenz beim erneuten Verbinden mit dem Netzwerk.
Die folgenden Verfahren beschäftigen sich mit den oben genannten Punkten:

Vorbereiten eines bestehenden Domänencontrollers auf die Ausliefung

Einen Domänencontroller wieder mit dem Netzwerk verbinden
Tombstone-Lebensdauer und die Sicherung
Active Directory Sicherungen sind nur für die Dauer der Tombstone-Lebensdauer zur
Wiederherstellung von Domänencontrollern brauchbar. Wenn ein Objekt gelöscht wird,
repliziert Active Directory das Objekt als Tombstone (dieser besteht aus ein paar
Attributen des gelöschten Objektes). Der Tombstone verbleibt in einer Gesamtstruktur
standardmäßig 60 Tage. Unter Windows Server 2003 Service Pack 1 (SP1) ändert sich
dieser Wert auf 180 Tage - jedoch nur bei Gesamtstrukturen, die direkt über
Domänencontroller erstellt wurden, die unter Windows Server 2003 SP1 ausgeführt
werden. NTBackup.exe stellt keine Systemstatussicherung wieder her, die älter als die
Tombstone-Lebensdauer ist.
Die zum Zeitpunkt der Aktualisierung der Domäne auf Windows Server 2003 SP1 gültige
Tombstone-Lebensdauer wird nicht verändert. Sie bleibt so lange gültig, bis sie manuell
verändert wird. Sie können die Lebensdauer über das Attribut tombstoneLifetime unter
CN=Directory
Service,CN=Windows NT,CN=Services,CN=Configuration,DC=Stammdomäne in ADSI
Edit (adsiedit.msc) ermitteln. Sollte tombstoneLifetime den Wert <Not Set> haben, gilt
der Standardwert von 60 Tagen (beziehungsweise 180 Tage unter Windows Server 2003
SP1).
Nach dem Ablauf der Lebensdauer wird der Tombstone dauerhaft entfernt. Sollte ein
Domänencontroller länger als die Lebensdauer nicht mit dem Netzwerk verbunden sein,
erfährt er somit nichts vom Löschen eines Objektes. Aus diesem Grund können Sie keine
Sicherungen wiederherstellen, die älter als die Tombstone-Lebensdauer sind.
In Situationen, in denen Sie nicht verhindern können, dass ein Domänencontroller länger
als die Tombstone-Lebensdauer vom Netzwerk getrennt ist, sollten Sie überlegen, ob Sie
die Tombstone-Lebensdauer für diesen Zeitraum vergrößern.
Weitere Informationen zu diesem Thema finden Sie unter Beheben von Fehlern im
Zusammenhang mit zurückgebliebenen Objekten (Ereignis-ID 1388, 1988 und 2042).
Verhindern von Problemen durch zurückgebliebene Objekte
Sollte ein gelöschtes Objekt wie oben beschrieben auf einem längerfristig von Netzwerk
getrennten Domänencontroller zurückgeblieben sein, kann es passieren, dass dieses
Objekt wieder auf alle Domänencontroller der Domäne repliziert wird. Dies passiert dann,
wenn das Objekt auf dem veralteten Domänencontroller bearbeitet wird. In diesem Fall
repliziert Active Directory die Änderung am entsprechenden Objekt an einen
Domänencontroller, auf dem das Objekt aufgrund der Löschung nicht mehr vorhanden
ist. Unter Windows 2000 Server Service Pack 3 (SP3) oder Service Pack 4 (SP4) und
Windows Server 2003 können Sie festlegen, was in einem solchen Fall auf einem
Domänencontroller passieren soll. Hierzu dient der Registrierungseintrag strict
replication consistency unter
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\Parameters.
Der Eintrag kann die folgenden Werte haben:

1 (aktiviert): Die eingehende Replikation der entsprechenden Verzeichnispartition von
dieser Quelle aus wird angehalten. Die Replikation wird auf beiden beteiligten
Domänencontrollern angehalten.

0 (deaktiviert): Der Ziel-Domänencontroller fordert das vollständige Objekt vom QuellDomänencontroller an und erstellt eine vollständige Kopie. Das gelöschte Objekt ist
somit in der Domäne wieder vorhanden.
Weitere Informationen zu diesem Thema finden Sie unter Beheben von Fehlern im
Zusammenhang mit zurückgebliebenen Objekten (Ereignis-ID 1388, 1988 und 2042).
Aktualität der Active Directory-Replikation
Stellen Sie sicher, dass ein Domänencontroller vor der Trennung vom Netzwerk
aktualisiert wird. Stoßen Sie direkt vorher eine Replikation an und prüfen Sie, ob alle
Verzeichnispartitionen repliziert wurden. Sie maximieren so den Zeitraum, über den der
Domänencontroller problemlos vom Netzwerk getrennt werden kann.
SYSVOL-Konsistenz
Die SYSVOL-Replikation kann nicht manuell synchronisiert werden. Aus diesem Grund
ist die Aktualisierung von SYSVOL vor der Trennung vom Netzwerk schwerer
durchzuführen als die Verzeichnisaktualisierung. Um sicherzustellen, dass der
Domänencontroller nach der erneuten Verbindung mit dem Netzwerk eine SYSVOLSynchronisation durchführt, bereiten Sie diesen auf einen nicht autorisierenden Neustart
von SYSVOL vor - und zwar unabhängig davon, wie lange der Domänencontroller vom
Netzwerk getrennt wird. Bei einem solchen Neustart findet automatisch eine SYSVOLSynchronisation statt.
Siehe auch
Vorbereiten eines Servers auf die Installation von einem Sicherungsmedium
Vorbereiten eines bestehenden Domänencontrollers auf die Ausliefung
Einen Domänencontroller wieder mit dem Netzwerk verbinden
Best Practices für das Hinzufügen von
Domänencontrollern an
Remotestandorten
Lesen Sie den Abschnitt Bekannte Probleme beim Hinzufügen von Domänencontrollern
an Remotestandorten. Mit diesen Informationen können Sie entscheiden, welches
Verfahren in Ihrer Umgebung am besten für die Installation von Domänencontrollern an
Remotestandorten geeignet ist.
Wichtig
Versuchen Sie nicht ausschließlich nach den in diesem Abschnitt gegebenen
Empfehlungen vorzugehen. Die vollständigen Informationen zu den notwendigen
Verfahrensweisen finden Sie in den jeweiligen aufgabenbezogenen Abschnitten
dieses Handbuches.
Installation von Active Directory an einem
Remotestandort mithilfe eines
Sicherungsmediums
Primärer Zweck der Installation mithilfe eines Sicherungsmediums ist es, alle Daten für
die Domänen-, Konfigurations- und Schemapartition sowie, wenn notwendig, die
Partitionen für den globalen Katalog und die DNS-Anwendungspartitionen lokal zur
Verfügung zu stellen. Nur die seit der Sicherung durchgeführten Aktualisierungen
müssen so repliziert werden. Zwar ist auch SYSVOL Teil der Sicherung des
Systemstatus, aber unter bestimmten Bedingungen wird die Sicherung nicht zur
Wiederherstellung von SYSVOL verwendet. Die Wiederherstellung von SYSVOL aus
einer Sicherung ist komplizierter als die Wiederherstellung von Active Directory und somit
möglicherweise nicht sonderlich lohnenswert. Weitere Informationen zu diesem Thema
finden Sie unter Bekannte Probleme beim Hinzufügen von Domänencontrollern an
Remotestandorten.
Sie haben die folgenden zwei Möglichkeiten, einen oder mehrere Domänencontroller
mithilfe einer Sicherung wiederherzustellen:

Kopieren Sie die nicht wiederhergestellte .bkf-Datei auf einen Wechseldatenträger
(CD oder DVD), den Sie zusammen mit dem Server an den Remotestandort
versenden.

Stellen Sie die Systemsicherung auf einem der lokalen Laufwerke des Servers
wieder her, bevor Sie diesen an den Remotestandort versenden.
Weitere Informationen zu den Vor- und Nachteilen dieser Methoden finden Sie unter
Vorbereiten eines Servers auf die Installation von einem Sicherungsmedium.
Mit der Option Dcpromo /adv von Windows Server 2003 sind Sie nicht mehr dazu
gezwungen, einen Server vor dem Versenden zu einem Domänencontroller zu machen
oder das gesamte Verzeichnis am Remotestandort über WAN-Verbindungen replizieren
zu müssen.
Beim Hinzufügen von Domänencontrollern an Remotestandorten gelten die folgenden
Best Practices in Bezug auf die Optimierung der Datensicherheit und -konsistenz:

Aktualisieren Sie auf Windows Server 2003 Service Pack 1 (SP1): Wenn Sie
Active Directory-integriertes DNS verwenden oder Anwendungspartitionen mit in die
Replikation einschließen möchten, aktualisieren Sie die Computer auf
Windows Server 2003 SP1, bevor Sie Active Directory installieren.
Anwendungspartitionen können sonst nicht berücksichtigt werden. Außerdem kann
es zu deutlichen Replikationsbelastungen in Bezug auf DNS-Anwendungspartitionen
kommen.

Sichern Sie den Typ von Domänencontroller, den Sie hinzufügen möchten:
Wenn Sie einen globalen Katalog Server hinzufügen möchten, müssen Sie auch
einen globalen Katalog Server sichern. Wenn Sie einen DNS-Server hinzufügen
möchten, gilt das Gleiche.

Ergreifen Sie für die Versendung von Sicherungsmedien die gleichen
Vorsichtsmaßnahmen, die Sie auch für die Versendung von installierten
Domänencontrollern ergreifen würden: Weitere Informationen zu diesem Thema
finden Sie unter http://go.microsoft.com/fwlink/?LinkId=28521.

Minimieren Sie die Zeit zwischen Sicherung und Installation: Je geringer diese
Zeitraum ist, desto weniger Aktualisierungen müssen nach der Installation repliziert
werden.

Installieren Sie das Betriebssystem, bevor der Server an den Remotestandort
ausgeliefert wird: Wahrscheinlich läuft die Installation an Ihrem zentralen Standort
sehr viel zuverlässiger und schneller ab. Außerdem kann es sein, dass am
Remotestandort kein geeignetes Personal zu Verfügung steht.

Versenden Sie den Server als Mitglied einer Arbeitsgruppe und nicht als
Mitgliedsserver einer Domäne: Wenn der Server bereits einer Domäne angehört
und während des Transports gestohlen wird, erhalten die Diebe Informationen zu
Domänenamen, DNS-Suffixen und zur Anzahl der Domänen in der Gesamtstruktur,
die sie für Angriffe nutzen können.

Liefern Sie die Server mit korrekt konfigurierten TCP/IP-Einstellungen aus:
Denken Sie daran, die Einstellungen an den Zielstandort anzupassen. Besonders
sollten Sie darauf achten, dass der Domänencontroller nicht sich selbst als DNSServer verwendet.

Aktivieren Sie den Remotedesktop: Diesen Schritt sollten Sie ausführen, wenn sie
Active Directory remote installieren und verwalten möchten.
Installation von Domänencontrollern vor dem
Ausliefern an den Remotestandort
Das größte Risiko für einen Domänencontroller, der vom Netzwerk getrennt ist, besteht
darin, dass dieser länger vom Netzwerk getrennt ist als die Tombstone-Lebensdauer
beträgt und somit Objekte entstehen, die gelöscht wurden und dauerhaft bestehen
bleiben. Solche Objekte führen zu einer Inkonsistenz des Verzeichnisses und werden in
einigen Fällen sogar im gesamten Verzeichnis wiederhergestellt. Weitere Informationen
finden Sie unter Bekannte Probleme beim Hinzufügen von Domänencontrollern an
Remotestandorten.
Um diese Probleme zu verhindern, nutzen Sie die folgenden Best Practices:

Aktualisieren Sie alle Domänencontroller unter Windows 2000 Server auf
Windows Server 2003: Hierzu ist eine Änderung des Schemas der Gesamtstruktur
mithilfe von adprep /forestprep notwendig. Danach können Sie die
Domänencontroller aktualisieren. Die Schemaaktualisierung kann bei großen
Datenbanken unter Umständen zu Replikationsverzögerungen führen. Daher sollten
alle Domänencontroller unter Windows 2000 Server mindestens mit Windows 2000
Service Pack 2 (SP2) und allen Windows-Updates ausgeführt werden. Dringend
empfohlen wird jedoch, Windows 2000 Service Pack 3 (SP3) auf allen
Domänencontrollern zu installieren. Weitere Informationen zur Aktualisierung auf
Windows Server 2003 finden Sie unter http://go.microsoft.com/fwlink/?LinkId=46082.

Aktivieren Sie die Einstellung strict replication consistency auf allen
Domänencontrollern: Sie können hierzu den Befehl Repadmin /regkey aus den
Windows Support Tools zu Windows Server 2003 SP1 verwenden.

Überwachen Sie die KCC-Topologie und -Replikation: Wenn Sie die Replikation
überwachen, können Sie feststellen, ob es irgendwo zu Netzwerkfehlern,
Dienstausfällen oder Konfigurationsfehlern kommt. Nutzen Sie Active Directory
Management Pack zur Überwachung. Zu den zu überwachenden Ereignissen
gehören: 1311, 1388, 1925, 1988, 2042, 2087 und 2088.

Liefern Sie die Server mit korrekt konfigurierten TCP/IP-Einstellungen aus:
Denken Sie daran, die Einstellungen an den Zielstandort anzupassen. Besonders
sollten Sie darauf achten, dass der Domänencontroller nicht sich selbst als DNSServer verwendet.

Korrekte Konfiguration der Tombstone-Lebensdauer: Die TombstoneLebensdauer liegt standardmäßig bei 60 Tagen. Unter Windows Server 2003
Service Pack 1 (SP1) ändert sich dieser Wert auf 180 Tage - jedoch nur bei
Gesamtstrukturen, die direkt über Domänencontroller erstellt wurden, die unter
Windows Server 2003 SP1 ausgeführt werden. Sollten Sie einen Domänencontroller
für mehrere Wochen oder Monate vom Netzwerk trennen müssen, gehen Sie
folgendermaßen vor:

Stellen Sie fest, wie lange der Domänencontroller getrennt werden muss.

Stellen Sie die aktuelle Tombstone-Lebensdauer fest: Der Wert wird unter
tombstoneLifetime in CN=Directory
Service,CN=Windows NT,CN=Services,CN=Configuration,DC=Stammdomäne
gespeichert.

Stellen Sie fest, wie lange der Domänencontroller maximal getrennt sein
kann: Ziehen Sie den zu erwartenden Zeitraum für eine vollständige Replikation
von der Tombstone-Lebensdauer ab.

Stellen Sie fest, ob die Tombstone-Lebensdauer der Gesamtstruktur erhöht
werden muss: Wenn die Zeit, für die der Domänencontroller getrennt wird, die
maximal mögliche Zeit übersteigt, müssen Sie die Tombstone-Lebensdauer
erhöhen. Außerdem sollten Sie dafür sorgen, dass auf allen Domänencontrollern
ausreichend Platz für die zusätzlichen Tombstones vorhanden ist und dass die
Änderung an alle Domänencontroller repliziert wurde.

Bereiten Sie die Registrierung für einen automatischen, nicht autorisierenden
Neustart von SYSVOL vor: SYSVOL kann nicht vor der Trennung manuell
aktualisiert werden. Sie können jedoch eine SYSVOL-Aktualisierung beim Neustart
des Domänencontrollers konfigurieren.

Stellen Sie sicher, dass der Domänencontroller mit allen Replikationspartnern
korrekt repliziert: Direkt bevor Sie den Domänencontroller trennen, stoßen Sie eine
Replikation mit allen Partnern an. Prüfen Sie, ob die Replikation erfolgreich war.

Beschriften Sie den Domänencontroller: Beschriften Sie den Domänencontroller
so, dass sie Datum und Uhrzeit seiner Trennung vom Netzwerk, seinen Zielstandort
und seine TCP/IP-Einstellungen feststellen können.

Stellen Sie SYSVOL beim Verbinden des Domänencontrollers mit dem
Netzwerk so schnell wie möglich wieder her: Der Domänencontroller kann seine
Arbeit nicht aufnehmen, bevor SYSVOL nicht über eine Replikation aktualisiert
wurde. Wenn es andere Domänencontroller am gleichen Standort gibt, ist es egal,
wann Sie die Replikation anstoßen. Sollte es keine anderen Domänencontroller
geben, müssen Sie dies zu einem Zeitpunkt erledigen, zu dem eine
standortübergreifende Replikation stattfindet.

Lassen Sie nicht zu, dass ein nicht aktueller Windows 2000 ServerDomänencontroller repliziert: Wenn ein Domänencontroller unter
Windows 2000 Server für länger als die maximal mögliche Zeit vom Netzwerk
getrennt wurde, lassen Sie keine Replikation zu. Führen Sie stattdessen eine
Deinstallation von Active Directory aus, bereinigen Sie die Metadaten, und
installieren Sie Active Directory neu. Weitere Informationen finden Sie unter Einen
Domänencontroller wieder mit dem Netzwerk verbinden.
Anmerkung
Diese Empfehlungen gelten für zusätzliche Domänencontroller in einer
bestehenden Domäne. Wenn der veraltete Domänencontroller der einzige
Domänencontroller der Domäne ist, sollten Sie diesen wieder mit der
Domäne verbinden und nach den Anweisungen in dem folgenden Artikel
vorgehen: http://go.microsoft.com/fwlink/?LinkId=37924.

Um Probleme mit der Zeitabstimmung zu vermeiden, sollten Sie sicherstellen,
dass die Systemuhr mit dem Zeitgeber der Domäne synchronisiert ist:
Verwenden Sie hierzu den folgenden Befehl:
net time /domain:Domänenname /set /y
Siehe auch
Bekannte Probleme beim Hinzufügen von Domänencontrollern an
Remotestandorten
Vorbereiten eines Servers auf die Installation von einem Sicherungsmedium
Vorbereiten eines bestehenden Domänencontrollers auf die Ausliefung
Einen Domänencontroller wieder mit dem Netzwerk verbinden
Verwaltung von SYSVOL
Arbeitsweise des Active Direktory-Replikationsmodells
Active Directory Management Pack Technical Reference for MOM 2005
Vorbereiten eines Servers auf die
Installation von einem
Sicherungsmedium
Genaue Richtlinien zur Installation von Active Directory über ein Sicherungsmedium
finden Sie unter Installation eines Domänencontrollers in eine bestehenden Domäne
mithilfe von Sicherungsmedien. Lesen Sie diesen Abschnitt, bevor Sie hier fortfahren!
Wenn Sie den Active Directory am Remotestandort mithilfe von Sicherungsmedien
installieren möchten, müssen Sie sich überlegen, wie Sie die Sicherung wiederherstellen
möchten. Außerdem müssen Sie entscheiden, ob Sie Wechseldatenträger verwenden
möchten oder die Sicherung direkt auf dem auszuliefernden Server speichern möchten.
Die tatsächliche Sicherung können Sie mit den Schritten aus dem Abschnitt Installation
eines Domänencontrollers in eine bestehenden Domäne mithilfe von Sicherungsmedien
ausführen.
Mit den folgenden Schritten bereiten Sie einen Computer für die Installation über die
Wiederherstellung von Sicherungsmedien vor:

Sichern Sie den Systemstatus auf einem Domänencontroller aus der Domäne, der
auch der neue Domänencontroller angehören soll. Gehen Sie hierbei nach den
Empfehlungen im Abschnitt Installation eines Domänencontrollers in eine
bestehenden Domäne mithilfe von Sicherungsmedien vor.

Entscheiden Sie, ob Sie die Sicherung auf dem zu installierenden Domänencontroller
oder auf einem Sicherungsmedium an den Remotestandort ausliefern wollen.

Entscheiden Sie, auf welchem Volumen oder auf welchem Sicherungsmedium die
Sicherung gespeichert werden soll. Eine große Ntds.dit-Datei kann sich auf die zur
Installation von Active Directory notwendige Zeit auswirken. Wenn Sie einen großen
SYSVOL-Ordner haben, kann sich diese Entscheidung außerdem darauf auswirken,
ob während der Active Directory-Installation eine Replikation von SYSVOL stattfindet.

Aktivieren Sie den Remotedesktop, bevor Sie den Server ausliefern. Sie können dies
zwar auch remote über die Registrierung durchführen, aber diese Methode sollte nur
angewandt werden, wenn die Aktivierung vorher vergessen wurde.

Wenn Sie einen Domänencontroller unter Windows Server 2003 Service Pack 1
(SP1) in einer Gesamtstruktur mit der Funktionsebene Windows Server 2003 oder
Windows Server 2003-interim installieren, können Sie Anwendungspartitionen in das
Installationsmedium mit aufnehmen. Hierzu müssen Sie eine Antwortdatei erstellen.
Wiederherstellen der Sicherung auf dem zu
installierenden Domänencontroller oder
Verwenden eines Wechseldatenträgers
Sie haben die folgenden Möglichkeiten, eine Sicherung an den Remotestandort
auszuliefern:

Kopieren Sie die nicht wiederhergestellte .bkf-Datei auf einen Wechseldatenträger
(CD oder DVD), den Sie zusammen mit dem Server an den Remotestandort
versenden. Der Vorteil dieser Methode ist, dass Sie sich die Möglichkeit offen halten,
SYSVOL ebenfalls mit in das Sicherungsmedium aufzunehmen.

Stellen Sie die Systemsicherung auf einem der lokalen Laufwerke des Servers
wieder her, bevor Sie diesen an den Remotestandort versenden. Am Remotestandort
sind dann keine weiteren Aktivitäten erforderlich.

Stellen Sie die Systemsicherung auf einem der lokalen Laufwerke des Servers
wieder her, bevor Sie diesen an den Remotestandort versenden. Am Remotestandort
sind dann keine weiteren Aktivitäten erforderlich.

Stellen Sie die Sicherung an irgendeinem Speicherort auf irgendeinem Server wieder
her, und kopieren Sie diese dann auf einen Wechseldatenträger. Der Vorteil dieses
Verfahrens ist, dass Sie die Sicherung nur einmal wiederherstellen. Der Nachteil ist,
dass Sie durch das Kopieren der wieder hergestellten Dateien die SYSVOL-Daten
verlieren, die Sie zur Wiederherstellung von SYSVOL aus einer Sicherung benötigen.
Weitere Informationen dazu, wie Sie sicherstellen, dass SYSVOL aus einer
Sicherung wieder hergestellt wird, finden Sie unter
http://go.microsoft.com/fwlink/?LinkId=37924.
Festlegen des zur Wiederherstellung
dienenden Volumens
Um eine schnellere Wiederherstellung zu fördern, sollten Sie die Sicherung auf dem
Volumen wiederherstellen, das später auch die Ntds.dit-Datei hosten soll. Andernfalls
stellen Sie die Sicherung auf einem beliebigen Volumen her, das über genügend freien
Speicherplatz verfügt. Wenn Sie die Sicherung auf dem gleichen Volumen wieder
herstellen, wirkt sich dies folgendermaßen aus:


Active Directory-Dateien: Das Volumen, auf dem Sie die Ntds.dit- und NTDSProtokolldateien wieder herstellen, wirkt sich auf die Installationsdauer aus und auch
darauf, ob Sie nach der Installation Dateien löschen müssen:

Wenn Sie das gleiche Volumen wählen, werden die Dateien während der
Installation nur verschoben - was deutlich schneller als das Kopieren geht.

Wenn Sie ein anderes Volumen wählen, werden die Dateien kopiert. Dies führt
logischerweise dazu, dass Sie die Ursprungsdateien später löschen müssen.
SYSVOL-Replikation: Durch die Auswahl des Wiederherstellungsvolumens legen
Sie außerdem fest, ob der FRS die wieder hergestellten Dateien als Quelle für den
SYSVOL-Ordner verwendet oder ob er diesen von einem anderen
Domänencontroller repliziert. Um SYSVOL mit den Sicherungsdaten wieder
herzustellen, müssen Sie die Sicherung auf dem gleichen Volumen wieder herstellen,
das später SYSVOL hosten soll.
Wenn nur ein Domänencontroller in der Domäne installiert wird (SYSVOL wurde
nicht oder nur einmal zwischen zwei Domänencontroller der Domäne repliziert), ist
für die Wiederherstellung von SYSVOL aus einer Sicherung die Konfiguration eines
„Hilfsdomänencontrollers“ notwendig. Über diesen „Hilfsdomänencontroller“ wird
SYSVOL vor der Wiederherstellung der Systemstatus-Sicherung vorbereitet.
Anmerkung
Im Hinblick auf die Redundanz und die Ausfallsicherheit sollten Sie in jeder
Domäne mindestens zwei Domänencontroller bereitstellen.
Weitere Informationen dazu, wie Sie sicherstellen, dass SYSVOL aus der Sicherung
wieder hergestellt wird, finden Sie unter http://go.microsoft.com/fwlink/?LinkId=37924.
Aktivieren von Remotedesktop
Remotedesktop ist unter Windows Server 2003 standardmäßig deaktiviert und muss
daher explizit vor der Auslieferung aktiviert werden.
Erstellen einer Antwortdatei zur
Domänencontrollerinstallation
Wenn Sie Anwendungspartitionen mit in die Sicherung aufnehmen wollen, müssen Sie
eine Antwortdatei zur Domänencontrollerinstallation installieren und eine unbeaufsichtigte
Installation durchführen.
Wenn Sie einen Domänencontroller installieren, der ebenfalls DNS-Server ist, können
Sie außerdem die DNS-Anwendungspartition mit in die Sicherung aufnehmen.
Um dieses Verfahren durchführen zu können, müssen die folgenden Vorraussetzungen
erfüllt sein:

Die Gesamtstruktur muss in der Funktionsebene Windows Server 2003 oder
Windows Server 2003-interim ausgeführt werden.

Der Domänencontroller, der zur Sicherung dient, und der zu installierende
Domänencontroller müssen unter Windows Server 2003 SP1 ausgeführt werden.

Zur Erstellung eines DNS-Servers müssen Active Directory-integrierte DNS-Zonen
verwendet werden.

Der Domänencontroller, der zur Sicherung dient, muss die Anwendungspartitionen
hosten, die in die Sicherung eingeschlossen werden sollen.
Anforderungen
Um diese Aufgabe abzuschließen, sind die folgenden Tools erforderlich:

Ntbackup.exe

Systemsteuerung

Dcpromo.exe

Ref.chm von der Windows Server 2003-Installations-CD (nur für eine
unbeaufsichtigte Installation)
Um diese Aufgabe auszuführen, sind die folgenden Schritte erforderlich:
1. Sicherung des Systemstatus auf einem Domänencontroller in der Domäne in dem
Sie den neuen Domänencontroller installieren möchten. Hierbei gelten für beide
Server die folgenden Vorgaben:

Der zu installierende Domänencontroller muss unter Windows Server 2003
ausgeführt werden. Die Version (inklusive der Service Packs) muss der aus der
Sicherung entsprechen.

Der Prozessortyp des gesicherten Domänencontrollers muss dem des neu zu
installierenden entsprechen.

Wenn der neue Domänencontroller globaler Katalog Server sein soll, muss die
Sicherung von einem globalen Katalog Server der entsprechenden Domäne
stammen.

Wenn der neue Domänencontroller DNS-Server sein soll, muss die Sicherung
von einem DNS-Server der entsprechenden Domäne stammen.
2. Wiederherstellen des Systemstatus an einem anderen Speicherort. Sie können die
Sicherungsdaten auf einem lokalen Laufwerk des zu installierenden Servers oder an
einem anderen Speicherort wieder herstellen. Alternativ können Sie die Daten über
einen Wechseldatenträger kopieren.
3. Aktivieren von Remotedesktop auf dem Zielserver.
4. Wenn Sie einen DNS-Server installieren, führen Sie die Aufgabe Erstellen einer
Antwortdatei für eine Domänencontrollerinstallation aus.
5. Versenden Sie den Domänencontroller und alle notwendigen Sicherungsmedien und
die Antwortdatei an den Remotestandort.
6. Wenn der Server am Remotestandort in Betrieb ist, gehen Sie folgendermaßen vor:

Erstellen einer Remotedesktopverbindung zum Remoteserver.

Wenn Sie einen Domänencontroller ohne Anwendungspartitionen installieren,
führen Sie die Schritte aus dem Abschnitt Installation von Active Directory
mithilfe eines Sicherungsmediums aus.

Wenn Sie einen Domänencontroller mit Anwendungspartitionen oder einen DNSServer installieren, führen Sie die Schritte aus dem Abschnitt Einbeziehen von
Anwendungspartitionen in die Active Directory-Installation über ein
Sicherungsmedium aus.
7. Wenn es sich um einen DNS-Server handelt, führen Sie nach der Installation von
Active Directory die Schritte aus dem Abschnitt Installation des DNS-Serverdienstes
aus.
Siehe auch
Installation eines Domänencontrollers in eine bestehenden Domäne mithilfe von
Sicherungsmedien
Sicherung des Systemstatus
Wenn Sie den Systemstatus mit Ntbackup.exe sichern, können Sie die geschützten
Systemdateien mit sichern oder nicht. Diese Dateien sind für eine Installation mithilfe
einer wiederhergestellten Sicherung nicht notwendig - in diesem Fall können Sie die
Option deaktivieren. Sie verkleinern so die Größe der Sicherungsdatei und verringern
den notwendigen Zeitaufwand.
Mit den folgenden Verfahren können Sie nur den Systemstatus sichern. Das
Systemvolumen oder andere Daten auf dem Domänencontroller werden nicht
berücksichtigt.
Mit dem ersten Verfahren, "Sicherung des Systemstatus inklusive der geschützten
Systemdateien", können Sie Routinesicherungen des Systemstatus durchführen. Mit dem
zweiten Verfahren, "Sicherung des Systemstatus exklusive der geschützten
Systemdateien", können Sie eine kleinere Sicherung durchführen, die zur Installation von
Domänencontrollern über Sicherungsmedien verwendet werden kann.
Anmerkung
Um den Systemstatus sichern zu können, müssen Sie als lokaler Administrator
am Domänencontroller angemeldet sein. Alternativ muss der Remotedesktop
aktiviert sein.
Administrative Berechtigungen
Um die folgenden Verfahren ausführen zu können, müssen Sie Mitglied der Gruppe
Domänen-Admins oder Sicherungsoperatoren sein.
Sicherung des Systemstatus inklusive der geschützten Systemdateien
1. Klicken Sie auf Start, klicken Sie auf Ausführen, geben Sie ntbackup ein, und
klicken Sie dann auf OK.
In diesem Verfahren verwenden Sie den Assistentenmodus. Standardmäßig ist
die Option Immer im Assistentenmodus starten im Sicherungs- und
Wiederherstellungsassistenten aktiviert. Klicken Sie andernfalls auf
Assistentenmodus.
2. Klicken Sie auf Weiter.
3. Klicken Sie auf Dateien und Einstellungen sichern, und klicken Sie dann auf
Weiter.
4. Klicken Sie auf Elemente für die Sicherung selbst auswählen, und klicken Sie
dann auf Weiter.
5. Klicken Sie doppelt auf Arbeitsplatz.
6. Klicken Sie auf Systemstatus, und klicken Sie dann auf Weiter.
7. Wählen Sie einen Speicherort für die Sicherung aus:
Anmerkung
Sie sollten die Sicherung nicht auf einer lokalen Festplatte speichern.
8. Geben Sie einen Namen ein. Halten Sie sich an die Empfehlungen aus dem
Abschnitt Sichern von Active Directory-Komponenten, und klicken Sie dann auf
Weiter.
9. Klicken Sie auf Erweitert.
10. Klicken Sie auf Weiter.
11. Aktivieren Sie Daten nach der Sicherung prüfen, und klicken Sie dann auf
Weiter.
12. Wählen Sie eine der Optionen aus, und klicken Sie dann auf Weiter.
13. Wenn Sie bestehende Sicherungen ersetzen, wählen Sie die Option, mit der nur
dem Besitzer und dem Administrator Zugriff auf die Sicherungsdaten gewährt
wird. Klicken Sie dann auf Weiter.
14. Wählen Sie eine für Sie passende Option aus, und klicken Sie dann auf Weiter.
15. Klicken Sie auf Fertigstellen.
Anmerkung
Sie können Ntbackup auch über die Eingabeaufforderung nutzen.
Weitere Informationen erhalten Sie mit dem Befehl ntbackup /?.
Sicherung des Systemstatus exklusive der geschützten Systemdateien
1. Klicken Sie auf Start, klicken Sie auf Ausführen, geben Sie ntbackup ein, und
klicken Sie dann auf OK.
2. Klicken Sie auf Erweiterter Modus, und klicken Sie dann auf die Registerkarte
Sichern.
3. Wählen Sie Systemstatus aus.
8. Geben Sie einen Namen ein. Halten Sie sich an die Empfehlungen aus dem
Abschnitt Sichern von Active Directory-Komponenten, und klicken Sie dann auf
Weiter.
5. Klicken Sie auf Sicherung starten, und klicken Sie dann auf Erweitert.
6. Deaktivieren Sie Geschützte Systemdateien automatisch mit dem
Systemstatus sichern, und klicken Sie dann auf OK.
7. Klicken Sie auf Sicherung starten.
Siehe auch
Aktivieren von Remotedesktop
Erstellen einer Remotedesktopverbindung
Wiederherstellen des Systemstatus an
einem anderen Speicherort
Mit diesem Verfahren können Sie ein Sicherungsmedium erstellen, mit dem Sie einen
Domänencontroller wiederherstellen können oder eine autorisierende Wiederherstellung
von SYSVOL durchführen können.
Administrative Berechtigungen
Für dieses Verfahren müssen Sie Mitglied der Gruppe Sicherungsoperatoren der
Domäne sein.

Für das Wiederherstellen auf einem Mitglieds- oder Arbeitsgruppenserver:
Sicherungsoperator auf dem lokalen Computer.

Für das Wiederherstellen des Systemstatus auf einem Domänencontroller:
Sicherungsoperator der Domäne.
Wiederherstellen des Systemstatus an einem anderen Standort
1. Melden Sie sich an dem wiederzustellenden Server an.
2. Klicken Sie auf Start, klicken Sie auf Ausführen, geben Sie ntbackup ein, und
klicken Sie dann auf OK.
3. Klicken Sie auf Weiter.
4. Klicken Sie auf Dateien und Einstellungen wiederherstellen, und klicken Sie
dann auf Weiter.
5. Klicken Sie auf Suchen und dann nach einmal auf Suchen.
6. Navigieren Sie zu der .bkf-Datei.
7. Klicken Sie auf die .bkf, die Sie wiederherstellen möchten, und klicken Sie dann
auf Öffnen.
8. Klicken Sie auf OK.
9. Klicken Sie doppelt auf Datei und dann doppelt auf die .bkf-Datei, die
wiederhergestellt werden soll.
10. Markieren Sie Systemstatus, und klicken Sie dann auf Weiter.
11. Klicken Sie auf Erweitert.
12. Klicken Sie auf Alternativer Bereich.
13. Geben Sie den Pfad zu dem lokalen Ordner ein, in dem Sie die Sicherung
wiederherstellen wollen. Klicken Sie dann auf Weiter. Wir empfehlen, zur
Wiederherstellung einen Ordner mit dem Namen NTDSRESTORE zu
verwenden.
14. Klicken Sie dann auf Weiter.
15. Klicken Sie dann auf Weiter.
16. Klicken Sie auf Fertigstellen.
Aktivieren von Remotedesktop
Mit dem folgenden Verfahren können Sie den Remotedesktop auf dem zu installierenden
Domänencontroller aktivieren.
Administrative Berechtigungen
Um dieses Verfahren ausführen zu können, müssen Sie Mitglied der lokalen Gruppe
Administratoren sein.
Aktivierung von Remotedesktop
1. Klicken Sie auf Start, Systemsteuerung, und klicken Sie dann auf System.
2. Klicken Sie auf der Registerkarte Remote unter RemoteDesktop auf Benutzer
erlauben, eine Remotedesktopverbindung herzustellen, und klicken Sie dann
auf OK.
Anmerkung
Unter Windows Server 2003 mit Service Pack 1 (SP1) aktivieren Sie die
Option Remotedesktop auf diesem Computer aktivieren.
Sollten Sie die Aktivierung vor der Auslieferung vergessen haben, können Sie den
Remotedesktop remote über die Registrierung aktivieren.
Administrative Berechtigungen
Um dieses Verfahren ausführen zu können, müssen Sie Mitglied der lokalen Gruppe
Administratoren sein.
Aktivierung von Remotedesktop über die Registrierung
1. Klicken Sie auf einem Computer unter Windows Server 2003 oder Windows XP
Professional auf Start, klicken Sie auf Ausführen, geben Sie regedit ein, und
klicken Sie dann auf OK.
2. Klicken Sie im Menü Datei auf Mit Netzwerkregistrierung verbinden.
3. Geben Sie den Computernamen des Remoteserver ein, und klicken Sie dann auf
Check Names.
4. Geben Sie das Kennwort eines Domänen-Admins ein, und klicken Sie dann auf
OK.
5. Klicken Sie auf OK.
6. Navigieren Sie zu
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Parameterina
l Server.
7. Klicken Sie auf Parameterinal Server, dann rechts doppelt auf
fDenyTSConnections.
8. Geben Sie den Wert 0, und klicken Sie dann auf OK.
9. Damit die Änderung aktiv wird, müssen Sie den Server neu starten:
Öffnen Sie eine Eingabeaufforderung, und geben Sie den folgenden Befehl ein:
shutdown -m \\DomänencontrollerName -r
Erstellen einer Antwortdatei für eine
Domänencontrollerinstallation
Mit diesem Verfahren erstellen Sie eine Antwortdatei, die Sie zur unbeaufsichtigten
Installation eines Domänencontrollers verwenden können. Die Antwortdatei enthält
möglicherweise sensible Informationen - speichern Sie sie daher an einem sicheren Ort.
Administrative Berechtigungen
Um dieses Verfahren ausführen zu können, müssen Sie Mitglied der Gruppe
Authentifizierte Benutzer auf dem lokalen Computer sein.
Erstellen einer Antwortdatei für eine Domänencontrollerinstallation
1. Legen Sie die Windows Server 2003 CD ein, und drücken Sie dabei die
HOCHSTELLTASTE, um den automatischen Start der CD zu verhindern.
2. Starten Sie den Windows Explorer, und öffnen Sie den Ordner Support\Tools auf
der CD.
3. Klicken Sie auf Tools und dann rechts doppelt auf Deploy.cab.
4. Klicken Sie mit rechts auf Ref.chm, und klicken Sie dann auf Entpacken.
5. Navigieren Sie zu einem passenden Ordner oder erstellen Sie einen, und klicken
Sie dann auf Extract.
6. Öffnen Sie die Datei Ref.chm, die Sie soeben entpackt haben.
7. Klicken Sie auf der Registerkarte Inhalt links doppelt auf Unattend.txt, und
klicken Sie dann auf [DCInstall].
8. Scrollen Sie rechts zu Sample, und kopieren Sie das ganze Beispiel (beginnend
mit [DCInstall]).
9. Öffnen Sie Notepad, und fügen Sie das Beispiel ein.
10. Bearbeiten Sie die Textdatei so, dass diese mindestens die folgenden Einträge
umfasst (zusätzliche Einträge können Sie Ref.chm entnehmen):
[DCINSTALL]
UserName=SAM-Kontoname mit Domänen-Admins-Rechten in der Zieldomäne.
Password=Kennwort für das Konto. Wenn Sie nichts eintragen, fragt Dcpromo
das Kennwort ab. Wird nach der Installation gelöscht.
UserDomain=Domänenname für das Konto unter UserName.
DatabasePath=Speicherort der Ntds.dit-Datei (standardmäßig
%systemroot%\ntds.) Wenn der Eintrag fehlt, wird der Standardpfad verwendet.
LogPath=Speicherort der Protokolldateien (standardmäßig %systemroot%\ntds.)
Wenn der Eintrag fehlt, wird der Standardpfad verwendet.
SYSVOLPath=Speicherort von SYSVOL (standardmäßig %systemroot%\ntds.)
Wenn der Eintrag fehlt, wird der Standardpfad verwendet.
SafeModeAdminPassword=Kennwort für den Start im
Verzeichnisdienstwiederherstellungsmodus. Wenn Sie nichts eintragen, fragt
Dcpromo das Kennwort ab. Wird nach der Installation gelöscht.
CriticalReplicationOnly=Yes oder no Legt fest, ob der nicht kritische Teil der
Replikation übersprungen werden kann, damit Dcpromo fertig gestellt werden
kann, bevor die Replikation vollständig ist.
SiteName=Name des Active Directory-Standortes.
ReplicaOrNewDomain=Entweder Replica für einen neuen Domänencontroller
in einer bestehenden Domäne oder NewDomain für den ersten
Domänencontroller in einer neuen Domäne.
ReplicaDomainDNSName=FQDN der Domäne.
ReplicationSourceDC=Name eines bestehenden Domänencontrollers, mit dem
die erste Replikation ausgeführt wird. Diesen Eintrag können Sie zusammen mit
ReplicateFromMedia verwenden um festzulegen von welchem
Domänencontroller Änderungen repliziert werden.
ReplicateFromMedia=Yes zur Installation über ein Sicherungsmedium, no zur
Installation mit Replikation.
ReplicationSourcePath=Wenn Installation mit Replikation, ist dies der Pfad zur
Installations-CD oder -Freigabe. Wenn Installation mit Sicherungsmedium, ist
dies der Pfad zur Sicherung.
RebootOnSuccess=Yes Wenn der Domänencontroller nach der Installation neu
gestartet werden soll. no wenn nicht. Alternativ können Sie
NoAndNoPromptEither für einen Neustart ohne Rückfrage verwenden.
ApplicationPartitionsToReplicate=Kommangetrennte DNs der
Anwendungspartitionen. (* für alle Partitionen). Weitere Informationen finden Sie
unter Einbeziehen von Anwendungspartitionen in die Active Directory-Installation
über ein Sicherungsmedium.
11. Speichern Sie die Antwortdatei.
Siehe auch
Einbeziehen von Anwendungspartitionen in die Active Directory-Installation über ein
Sicherungsmedium
Erstellen einer
Remotedesktopverbindung
Wenn Remotedesktop auf einem Server aktiviert ist, können Sie den Server so von
einem zentralen Standort aus verwalten.
Administrative Berechtigungen
Um dieses Verfahren durchführen zu können, müssen Sie der Gruppe
Remotedesktopbenutzer oder der lokalen Gruppe Administratoren angehören. Wenn der
Computer Domänencontroller ist, müssen Sie außerdem über das Privileg Lokal
anmelden zulassen in der Default Domain Controllers Policy verfügen.
Erstellen einer Remotedesktopverbindung
1. Klicken Sie auf Start, Programme, Alle Programmr, Zubehör,
Kommunikation, und klicken Sie dann auf Remotedesktopverbindung.
2. Geben Sie einen Computernamen oder eine IP-Adresse ein, und klicken Sie auf
Verbinden.
3. Geben Sie Ihren Benutzernamen, das Kennwort und die Domäne ein, und
klicken Sie dann auf OK.
Siehe auch
Aktivieren von Remotedesktop
Installation von Active Directory mithilfe
eines Sicherungsmediums
Administrative Berechtigungen
Sie müssen Mitglied der Gruppe Domänen-Admins in der Domäne sein in der der
Domänencontroller installiert werden soll.
Installation von Active Directory mithilfe eines Sicherungsmediums
1. Klicken Sie auf Start, klicken Sie auf Ausführen, geben Sie dcpromo /adv ein,
und drücken Sie die EINGABETASTE.
2. Wählen Sie Zusätzlichen Domänencontroller für eine bestehende Domäne
aus.
3. Wählen Sie Aus diesen wiederhergestellten Sicherungsdateien aus, und
geben Sie den Speicherort der wiederhergestellten Systemdaten an.
4. Wenn der Domänencontroller, von dem die Sicherung stammt, ein globaler
Katalog Server war, fragt Sie der Assistent, ob der neue Domänencontroller
ebenfall globaler Katalog sein soll.
5. Stellen Sie die erforderlichen Anmeldeinformationen bereit.
6. Geben Sie die Domäne für den neuen Domänencontroller an. Es muss sich um
die Domäne des Domänencontrollers handeln, von dem die Sicherung stammt.
7. Führen Sie den Assistenten weiter aus.
Nachdem die Installation erfolgreich abgeschlossen ist, können Sie die Ordner
mit dem wiederhergestellten Systemstatus löschen.
Siehe auch
Wiederherstellen des Systemstatus an einem anderen Standort
Einbeziehen von Anwendungspartitionen in die Active Directory-Installation über ein
Sicherungsmedium
Einbeziehen von Anwendungspartitionen
in die Active Directory-Installation über
ein Sicherungsmedium
Mit diesem Verfahren können Sie eine oder mehrere Anwendungspartitionen in die
Installation von Active Directory mithilfe einer Sicherung mit einbeziehen. Sie müssen
vorher bereits mit den Schritten in Erstellen einer Antwortdatei für eine
Domänencontrollerinstallation eine Antwortdatei erstellt haben.
Administrative Berechtigungen
Um dieses Verfahren ausführen zu können, müssen Sie Mitglied der Gruppe DomänenAdmins in der Domäne sein, in der der zusätzliche Domänencontroller installiert werden
soll.
Einbeziehen von Anwendungspartitionen in die Active Directory-Installation
über ein Sicherungsmedium
1. Öffnen Sie die Antwortdatei, die Sie erstellt haben.
2. Mit dem folgenden Eintrag können Sie Anwendungspartitionen mit in die
Installation einbeziehen:
ApplicationPartitionsToReplicate=
3. Der Wert von ApplicationPartitionsToReplicate muss folgendermaßen
aussehen:

Mit * können Sie alle Anwendungspartitionen einbeziehen.

Wenn Sie nur bestimmte Partitionen einbeziehen möchten, müssen Sie
deren DNs getrennt durch Leerzeichen angeben. In diesem Fall muss die
Liste der DNs in Anführungsstriche eingeschlossen sein. Beispiel:
ApplicationPartitionsToReplicate=”dc=app1,dc=contoso,dc=com
dc=app2,dc=contoso,dc=com”
4. Geben Sie unter ReplicationSourcePath= den Ordner mit den
wiederhergestellten Sicherungsdaten an.
5. Öffnen Sie eine Eingabeaufforderung, und wechseln Sie zu dem Verzeichnis mit
der Antwortdatei.
7. Geben Sie den folgenden Befehl ein, und drücken Sie dann die
EINGABETASTE:
dcpromo /adv /answer:”Laufwerk:\pfad\DateiNameDerAntwortdatei”
Vorbereiten eines bestehenden
Domänencontrollers auf die Auslieferung
Wenn Sie einen Domänencontroller an einem Remotestandort bereitstellen, müssen Sie
diesem vom Netzwerk und somit logischerweise auch aus der Replikationstopologie
entfernen. Wenn dies für länger als die Tombstone-Lebensdauer passieren muss,
müssen Sie einige vorbereitende Schritte durchführen. Ansonsten kann es zur
Entstehung verbleibender Objekte kommen. Weitere Informationen zu diesem Thema
finden Sie unter Bekannte Probleme beim Hinzufügen von Domänencontrollern an
Remotestandorten.
Um diese Aufgabe auszuführen, sind die folgenden Schritte erforderlich:
1. Ermitteln Sie, wie lange der Domänencontroller vom Netzwerk getrennt werden
muss.
2. Ermitteln Sie die Tombstone-Lebensdauer der Gesamtstruktur.
3
Stellen Sie fest, wie lange der Domänencontroller maximal getrennt sein kann:
Ziehen Sie den zu erwartenden Zeitraum für eine vollständige Replikation von der
Tombstone-Lebensdauer ab.

Stellen Sie fest, ob die Tombstone-Lebensdauer der Gesamtstruktur erhöht
werden muss: Wenn die Zeit, für die der Domänencontroller getrennt wird, die
maximal mögliche Zeit übersteigt, müssen Sie die Tombstone-Lebensdauer
erhöhen. Außerdem sollten Sie dafür sorgen, dass auf allen Domänencontrollern
ausreichend Platz für die zusätzlichen Tombstones vorhanden ist und dass die
Änderung an alle Domänencontroller repliziert wurde.
4. Stellen Sie fest, ob der Domänencontroller ein Betriebsmaster ist
5. Übertragen der domänenbezogenen Betriebsmasterrollen (wenn notwendig)
6. Übertragen der Rolle Schemamaster (wenn notwendig).
7. Übertragen der Rolle Domänennamensmaster (wenn notwendig).
8. Vorbereiten eines Domänencontrollers für einen nicht autorisierenden SYSVOLNeustart auf dem Domänencontroller, den Sie vom Netzwerk trennen. Dieses
Verfahren stellt sicher, dass SYSVOL aktuell ist. Weitere Informationen finden Sie
unter http://go.microsoft.com/fwlink/?LinkId=37924.
9. Aktivieren der strikten Replikationskonsistenz weiterer Domänencontroller oder auf
allen Domänencontrollern in der Gesamtstruktur.
10. Synchronisation der Replikation mit allen Partnern.
11. Überprüfen der erfolgreichen Replikation mit einem anderen Domänencontroller auf
dem zu trennenden Domänencontroller.
12. Beschriften des Domänencontrollers mit dem Datum und der Uhrzeit sowie der
maximalen Zeit, die er offline bleiben darf.
Siehe auch
Bekannte Probleme beim Hinzufügen von Domänencontrollern an
Remotestandorten
Verwaltung von Betriebsmasterrollen
Verwaltung von SYSVOL
Einen Domänencontroller wieder mit dem Netzwerk verbinden
Windows Server 2003 Technical Reference
Ermitteln der Tombstone-Lebensdauer
der Gesamtstruktur
Administrative Berechtigungen
Um dieses Verfahren durchführen zu können, müssen Sie Mitglied der Gruppe
Domänenbenutzer sein.
Ermitteln der Tombstone-Lebensdauer der Gesamtstruktur
1. Klicken Sie auf Start, klicken Sie auf Ausführen, geben Sie adsiedit.msc ein,
und klicken Sie dann auf OK.
2. Klicken Sie doppelt auf Configuration [Domänencontrollername],
CN=Configuration,DC=[Stammdomäne], CN=Services und auf
CN=Windows NT.
3. Klicken Sie mit rechts auf CN=Directory Service, und klicken Sie dann auf
Eigenschaften.
4. Klicken Sie in der Spalte Attribute auf tombstoneLifetime.
5. Prüfen Sie den Wert von tombstoneLifetime. Wenn er nicht gesetzt ist, gilt der
folgende Standardwert:

Auf einem Domänencontroller in einer Gesamtstruktur, die auf einem
Domänencontroller unter Windows Server 2003 Service Pack 1 (SP1) erstellt
wurde: 180 Tage.

Auf einem Domänencontroller in einer Gesamtstruktur, die auf einem
Domänencontroller unter Windows 2000 Server oder Windows Server 2003
erstellt wurde: 60 Tage..
Anzeigen der aktuellen Betriebsmaster
Nachdem Sie Rollen übertragen haben, sollten Sie überprüfen, dass dies funktioniert hat.
Die Änderung muss auf alle relevanten Domänenmitglieder repliziert werden, damit sie
tatsächlich effektiv wird.
Sie können die aktuellen Betriebsmaster mit Ntdsutil.exe anzeigen.
Administrative Berechtigungen
Um die folgenden Schritte ausführen zu können, müssen Sie als Benutzer oder
Administrator angemeldet sein.
Anzeigen der aktuellen Betriebsmaster
1. Öffnen Sie die Eingabeaufforderung.
2. Geben Sie Folgendes ein: ntdsutil
3. Geben Sie Folgendes an der ntdsutil-Eingabeaufforderung ein: roles
4. Geben Sie Folgendes an der fsmo maintenance-Eingabeaufforderung ein:
connections
5. Geben Sie Folgendes an der server connections-Eingabeaufforderung ein:
connect to server Domänencontroller. Wobei Domänencontroller ein
Domänencontroller ist, der zu der Domäne mit den gesuchten Betriebsmastern
gehört.
6. Geben Sie Folgendes an der server connections-Eingabeaufforderung ein: quit
6. Geben Sie Folgendes ein: select operation target
7. Geben Sie Folgendes ein: list roles for connected server
Es wird eine Liste mit den aktuellen Rollen und dem LDAP-Namen ausgegeben.
Übertragen der domänenbezogenen
Betriebsmasterrollen
Mit diesem Verfahren übertragen Sie die Rollen PDC-Emulator, RID-Master und
Infrastrukturmaster.
Anmerkung
Dieses Verfahren beschreibt die Verwendung der MMC. Es kann jedoch auch
mithilfe von Ntdsutil.exe ausgeführt werden. Weitere Informationen dazu erhalten
Sie, wenn Sie ? in der Ntdsutil.exe-Eingabeaufforderung eingeben.
Administrative Berechtigungen
Um die folgenden Schritte ausführen zu können, müssen Sie Mitglied der Gruppe
Domänen-Admins oder der Gruppe Organisations-Admins sein.
Übertragen der domänenbezogenen Betriebsmasterrollen
1. Öffnen Sie Active Directory-Benutzer und -Computer.
2. Klicken Sie in der Konsolenstruktur mit der rechten Maustaste auf Active
Directory-Benutzer und -Computer, und klicken Sie dann auf Verbindung mit
Domänencontroller herstellen.
3. Geben Sie in das Feld Geben Sie den Namen eines weiteren
Domänencontrollers ein den Namen des Domänencontrollers ein, der die Rolle
des RID-Masters haben soll.
Oder klicken Sie in der Liste mit den verfügbaren Domänencontrollern auf den
gewünschten Domänencontroller.
4. Klicken Sie in der Konsolenstruktur mit der rechten Maustaste auf Alle Tasks, und
klicken Sie dann auf Betriebsmaster.
5. Klicken Sie auf die Rolle, die übertragen werden soll, und dann auf Ändern.
Übertragen der Rolle Schemamaster
Wenn das Schema-Snap-In noch nicht installiert ist, führen Sie erst die Schritte aus dem
Abschnitt Installation des Schema-Snap-Ins aus.
Anmerkung
Dieses Verfahren beschreibt die Verwendung der MMC. Es kann jedoch auch
mithilfe von Ntdsutil.exe ausgeführt werden. Weitere Informationen dazu erhalten
Sie, wenn Sie ? in der Ntdsutil.exe-Eingabeaufforderung eingeben.
Administrative Berechtigungen
Um dieses Verfahren ausführen zu können, müssen Sie Mitglied der Gruppe SchemaAdmins sein.
Übertragen der Rolle Schemamaster
1.
Öffnen Sie das Active Directory-Schema-Snap-In.
2.
Klicken Sie in der Konsolenstruktur mit der rechten Maustaste auf Active
Directory-Schema, und klicken Sie dann auf Domänencontroller ändern.
3.
Klicken Sie auf Namen angeben, und geben Sie den Namen des
Domänencontrollers ein, der die Rolle des Schemamasters haben soll.
4.
Klicken Sie in der Konsolenstruktur mit der rechten Maustaste auf Active
Directory-Schema und dann auf Betriebsmaster.
5.
Klicken Sie auf Ändern.
Übertragen der Rolle
Domänennamensmaster
Anmerkung
Dieses Verfahren beschreibt die Verwendung der MMC. Es kann jedoch auch
mithilfe von Ntdsutil.exe ausgeführt werden. Weitere Informationen dazu erhalten
Sie, wenn Sie ? in der Ntdsutil.exe-Eingabeaufforderung eingeben.
Administrative Berechtigungen
Um dieses Verfahren ausführen zu können, müssen Sie Mitglied der Gruppe
Organisations-Admins sein.
Übertragen der Rolle Domänennamensmaster
1. Öffnen Sie Active Directory-Domänen und -Vertrauensstellungen.
2. Klicken Sie in der Konsolenstruktur mit der rechten Maustaste auf Active
Directory-Domänen und -Vertrauensstellungen, und klicken Sie dann auf
Verbindung mit Domänencontroller herstellen.
3. Geben Sie in das Feld Geben Sie den Namen eines weiteren
Domänencontrollers ein den Namen des Domänencontrollers ein, der die Rolle
des Domänennamenmasters haben soll.
Oder klicken Sie in der Liste mit den verfügbaren Domänencontrollern auf den
gewünschten Domänencontroller.
4. Klicken Sie in der Konsolenstruktur mit der rechten Maustaste auf Active
Directory-Domänen und -Vertrauensstellungen, und klicken Sie dann auf
Betriebsmaster.
5. Klicken Sie auf Ändern.
Vorbereiten eines Domänencontrollers
für einen nicht autorisierenden SYSVOLNeustart
Durch das Bearbeiten der BurFlags-Registrierungseinträge (Backup/Restore-Flags)
können Sie einen nicht autorisierenden SYSVOL-Neustart initiieren. Setzen Sie den Wert
auf D2 (Hexadecimal) oder 210 (Dezimal), und beim nächsten Start des
Domänencontrollers wird der SYSVOL-Neustart durchgeführt.
Es gibt die folgenden Einträge:

Um einen SYSVOL-Neustart zu erreichen, wenn es nur diesen einen
Replikationssatz für den Domänencontroller gibt, verwenden Sie den Wert unter
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\NtFrs\Parameter
s\Backup/Restore\Process at Startup

Wenn es andere Replikationssätze gibt und Sie SYSVOL nur aktualisieren möchten,
verwenden Sie den Wert unter
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\NtFrs\Parameter
s\Cumulative Replica Sets\SYSVOL GUID
Vorsicht
Der Registrierungseditor umgeht die normalen Sicherheitsfunktionen. Sie können
so Einstellungen vornehmen, die das System beschädigen können oder sogar
dafür sorgen können, dass Windows neu installiert werden muss. Sichern Sie vor
einer Bearbeitung der Registrierung den Systemstatus. Weitere Informationen
hierzu finden Sie unter: Administering Active Directory Backup and Restore.
Administrative Berechtigungen
Um die folgenden Schritte ausführen zu können, müssen Sie Mitglied der Gruppe
Domänen-Admins oder der Gruppe Organisations-Admins sein.
Vorbereiten eines Domänencontrollers auf einen nicht autorisierenden
SYSVOL-Neustart
1. Klicken Sie auf Start und Ausführen. Geben Sie regedit ein, und klicken auf OK.
2. Navigieren Sie zu
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\NtFrs\Parameters
3. Erweitern Sie Parameters.
4. Bearbeiten Sie einen der BurFlags-Einträge wie folgt:
a. Erweitern Sie Backup/Restore, und klicken Sie auf Process at Startup.
b. Klicken Sie rechts auf BurFlags und dann auf Bearbeiten.
c.
Geben Sie D2 als Hexadezimalwert oder 210 als Dezimalwert ein.
d. Klicken Sie auf OK.
oder
a. Erweitern Sie Cumulative Replica Sets und Replica Sets.
b. Suchen Sie nach der GUID unter Replica Sets, die der GUID unter Cumulative
Replica Sets entspricht, und klicken Sie auf die entsprechende GUID unter
Cumulative Replica Sets.
c.
Klicken Sie rechts auf BurFlags und dann auf Bearbeiten.
d. Geben Sie D2 als Hexadezimalwert oder 210 als Dezimalwert ein.
e. Klicken Sie auf OK.
Aktivieren der strikten
Replikationskonsistenz
Diese Einstellung ist im Eintrag Strict Replication Consistency unter
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\Parameters
gespeichert.
Die folgenden Werte sind möglich:

Wert: 1 (0 = deaktiviert)

Standardwert: 1 bei einer neuen Windows Server 2003-Gesamtstruktur - andernfalls
0.

Datentyp: REG_DWORD
Unter Windows Server 2003 Service Pack 1 (SP1) müssen Sie den Wert nicht direkt
bearbeiten. Sie können stattdessen das Tool Repadmin verwenden. Dies ist jedoch nur
mit der Repadmin-Version aus den Support Tools von Windows Server 2003 SP1
möglich und kann nur auf Domänencontrollern unter Windows Server 2003 SP1
ausgeführt werden.
Administrative Berechtigungen

Für einen einzelnen Domänencontroller müssen Sie Mitglied der Gruppe DomänenAdmins sein.

Für alle Domänencontroller müssen Sie Mitglied der Gruppe Organisations-Admins
sein.
Anforderungen:

Betriebssystem: Windows Server 2003 SP1
Aktivieren der strikten Replikationskonsistenz
1. Öffnen Sie eine Eingabeaufforderung, geben Sie den folgenden Befehl ein, und
drücken Sie dann die EINGABETASTE:
repadmin /regkey DC_LISTE {+|-}key
Parameter
Beschreibung
DC_LIST
Name (DNS oder DN) eines einzelnen
Domänencontrollers (* für alle
Domänencontroller der
Gesamtstruktur).
{+|-}key
+ aktivieren, - deaktivieren
key = strict.
Beispiel: +strict zum Aktivieren.
Anmerkung
Weitere Optionen von und Informationen zum DC_LISTE-Parameter erhalten Sie
mit repadmin /listhelp.
Synchronisation der Replikation mit allen
Partnern
Administrative Berechtigungen
Um dieses Verfahrung durchführen zu können, müssen Sie Mitglied der Gruppe
Domänen-Admins in der Domäne des entsprechenden Domänencontrollers oder der
Gruppe Organisations-Admins sein. Wenn Sie die Schema- und Konfigurationspartition
synchronisieren möchten, müssen Sie Domänen-Admin in der Stammdomäne oder
Organisations-Admin sein.
Synchronisation der Replikation mit allen Partnern
1. Geben Sie den folgenden Befehl ein, und drücken Sie dann die
EINGABETASTE:
repadmin /syncall DCName /e /d /A /P /q
Parameter
Beschreibung
DCName
DNS-Name des Domänencontrollers,
der mit allen Partnern synchronisiert
werden soll.
/e
Alle Partner
/d
Identifiziert Server über DNs.
/A
Alle. Synchronisiert alle Partitionen auf
dem Server.
/P
Repliziert Änderungen vom Server.
/q
Stiller Modus. Ausführen ohne
Rückmeldungen.
2. Prüfen Sie, ob es Replikationsfehler gibt.
Siehe auch
Überprüfen der erfolgreichen Replikation mit einem anderen Domänencontroller
Überprüfen der erfolgreichen Replikation
mit einem anderen Domänencontroller
Mit dem Befehl repadmin /showrepl können Sie feststellen, ob die Replikation mit einem
bestimmten Domänencontroller erfolgreich war. Wenn Sie den Befehl nicht auf dem
Domänencontroller ausführen, dessen Replikation Sie testen möchten, können Sie auch
einen Ziel-Domänencontroller angeben. Repadmin zeigt unter INBOUND NEIGHBORS
die DNs aller Verzeichnispartitionen auf, für die eine eingehende Verzeichnisreplikation
versucht wurde - zusammen mit dem Standort und Namen des QuellDomänencontrollers und dem Erfolg oder Misserfolg der Replikation. Die Ausgabe sieht
zum Beispiel so aus:

Last attempt @ YYYY-MM-DD HH:MM.SS was successful.

Last attempt @ [Never] was successful.
Wenn @ [Never] angezeigt wird, heißt dies, dass die Partition noch nie erfolgreich
repliziert wurde.
Administrative Berechtigungen
Um das folgende Verfahren ausführen zu können, müssen Sie Mitglied der Gruppe
Domänen-Admins auf dem Ziel-Domänencontroller sein.
Überprüfen der erfolgreichen Replikation mit einem anderen
Domänencontroller
1. Öffnen Sie eine Eingabeaufforderung.
2. Geben Sie den folgenden Befehl ein, und drücken Sie dann die
EINGABETASTE:
repadmin /showrepl servername /u:domänenname\benutzername /pw:*
Parameter
Beschreibung
servername
Name des Ziel-Domänencontrollers.
domänenname
NetBIOS-Name der Domäne des ZielDomänencontrollers (es ist kein FQDN
notwendig).
Benutzername
Der Name eines administrativen
Kontos in der Domäne
3. Wenn Sie zur Eingabe eines Kennwortes aufgefordert werden, geben Sie das
Kennwort des Benutzerkontos ein.
Repadmin kann außerdem Detailinformationen zur Replikation mit allen
Replikationspartnern anzeigen. Die entsprechende Ausgabe sieht so aus:
Showrepl_COLUMNS
Destination DC Site
Destination DC
Naming Context
Source DC Site
Source DC
Transport Type
Number of Failures
Last Failure Time
Last Success Time
Last Failure Status
Mit dem folgenden Verfahren können Sie eine solche Ausgabe generieren:
Erweiterte Ausgabe mit repadmin /showrepl
1. Öffnen Sie eine Eingabeaufforderung.
2. Geben Sie den folgenden Befehl ein, und drücken Sie dann die
EINGABETASTE:
repadmin /showrepl * /csv >showrepl.csv
3. Öffnen Sie Microsoft Excel.
4. Klicken Sie im Menü Datei auf Öffnen, und öffnen Sie die Datei showrepl.csv.
Die letzte erfolgreiche Replikation sollte mit dem Zeitplan für die Replikation zwischen
Standorten übereinstimmen.
Wenn Repadmin eine der folgenden Informationen ausgibt, fahren Sie mit dem Abschnitt
Fehlersuche bei Active Directory-Replikationsproblemen fort:

Die letzte erfolgreiche Replikation zwischen Standorten war vor der letzten geplanten
Replikation.

Die letzte Replikation zwischen Standorten ist länger als eine Stunde her.

Es gab keine erfolgreiche Replikation.
Siehe auch
Fehlersuche bei Active Directory-Replikationsproblemen
Einen Domänencontroller wieder mit dem
Netzwerk verbinden
Wenn der Domänencontroller nicht für länger als dem maximal möglichen Zeitraum vom
Netzwerk getrennt war (Tombstone-Lebensdauer minus Replikationsdauer), ist keine
weitere Aktion notwendig. Standardmäßig wird der KCC fünf Minuten nach dem Start des
Domänencontrollers ausgeführt. Er integriert den Domänencontroller automatisch in die
Replikationstopologie.
Verbinden eines veralteten
Domänencontrollers
Wenn Sie einen veralteten Domänencontroller mit dem Netzwerk verbinden möchten,
gehen Sie folgendermaßen vor:

Wenn es sich um einen Domänencontroller unter Windows Server 2003 handelt und
ein autorisierender Domänencontroller unter Windows Server 2003 am Standort oder
einem Nachbarstandort verfügbar ist, führen Sie die Schritte aus dem Abschnitt
Entfernen von veralten Objekten mithilfe von Repadmin aus.

Wenn es sich um einen Domänencontroller unter Windows Server 2003 handelt und
ein autorisierender Domänencontroller unter Windows Server 2003 verfügbar ist,
verbinden Sie den Domänencontroller mit dem Netzwerk und führen Sie die Schritte
aus dem Knowledge Base-Artikel 314282 unter
http://go.microsoft.com/fwlink/?LinkId=37924 aus.

Wenn es sich um einen Domänencontroller unter Windows 2000 Server handelt und
ein anderer Domänencontroller verfügbar ist, verbinden Sie den Domänencontroller
nicht mit dem Netzwerk. Entfernen Sie Active Directory von diesem
Domänencontroller, führen Sie eine Bereinigung der Metadaten aus, und installieren
Sie Active Directory neu. (Das Entfernen eines Domänencontrollers erzwingen und
Installieren eines Domänencontrollers in einer bestehenden Domäne).

Wenn es sich um einen Domänencontroller unter Windows 2000 Server handelt und
kein anderer Domänencontroller verfügbar ist, führen Sie die Schritte aus dem
Knowledge Base-Artikel 314282 unter http://go.microsoft.com/fwlink/?LinkId=37924
aus.
Aktualisierung von SYSVOL
Wie im Abschnitt Vorbereiten eines bestehenden Domänencontrollers auf die Ausliefung
beschrieben, ist es am besten, die Konsistenz von SYSVOL durch eine Änderung in der
Registrierung zu erhalten. In diesem Fall wird SYSVOL beim Neustart automatisch
aktualisiert. Wenn Sie eine vollständige Synchronisation von SYSVOL über eine
standortübergreifende Replikation vermeiden wollen, müssen Sie vor dem Trennen vom
Netzwerk einige vorbereitende Schritte durchführen. Mehr dazu, wie Sie SYSVOL lokal
aktualisieren und dafür sorgen, dass nur Änderungen repliziert werden, erfahren Sie im
Artikel unter http://go.microsoft.com/fwlink/?LinkId=37924. Damit SYSVOL nach dem
Verbinden mit dem Netzwerk so schnell wie möglich repliziert wird, planen Sie die
Replikation folgendermaßen:

Wenn sich der nächste Replikationspartner für die Domäne an einem anderen
Standort befindet, ermitteln Sie den entsprechenden Replikationszeitplan über die
Standortverknüpfung. Starten Sie den Domänencontroller dann direkt nach dem
Beginn des Replikationszeitraumes.

Wenn sich der Partner am Standort befindet überprüfen Sie, ob die Replikation mit
dem Partner erfolgreich ist, bevor Sie den Domänencontroller neu starten.
Wichtig
Kopieren Sie einen veralteten SYSVOL-Ordner nicht mit Tools wie Xcopy oder
Robocopy. Dies wird dazu führen, dass die Daten nicht mehr repliziert werden
können. Weitere Informationen zu diesem Thema finden Sie unter
Wiederherstellen und Wiederaufbauen von SYSVOL.
Um diese Aufgabe auszuführen, sind die folgenden Schritte erforderlich:
1. Ermitteln der Tombstone-Lebensdauer der Gesamtstruktur.
2. Stellen Sie fest, ob der maximale Zeitraum für die Trennung vom Netzwerk
überschritten wurde oder nicht.
3. Wenn dies nicht der Fall ist, gehen Sie folgendermaßen vor:

Wenn es am Standort einen oder mehrere andere autorisierende
Domänencontroller für die Domäne gibt, starten Sie den Domänencontroller zu
einem beliebigen Zeitpunkt.

Wenn es am Standort keine anderen autorisierenden Domänencontroller für die
Domäne gibt, gehen sie folgendermaßen vor:
Ermitteln, wann die standortübergreifender Replikation startet: Fragen Sie die
Replikationseigenschaften der Standortverknüpfung ab, die den Standort mit
dem nächsten Standort verbindet, der über einen autorisierenden
Domänencontroller für die Domäne verfügt.
Starten Sie den Domänencontroller dann direkt nach dem Beginn des
Replikationszeitraumes.
Wenn der Zeitraum überschritten ist, gehen Sie nach den Schritten im Abschnitt
“Verbinden eines veralteten Domänencontrollers” weiter oben vor.
4. Führen Sie nach Abschluss der Replikation die Aufgabe Überprüfen der
erfolgreichen Replikation mit einem anderen Domänencontroller aus. Prüfen Sie die
Replikation der Domänen-, Konfigurations- und Schemapartition. Wenn es sich um
einen globalen Katalog Server handelt, prüfen Sie auch die Replikation aller weiteren
Partitionen.
Siehe auch
Vorbereiten eines bestehenden Domänencontrollers auf die Ausliefung
Ermitteln, wann die
standortübergreifender Replikation
startet
Administrative Berechtigungen
Um dieses Verfahren durchführen zu können, müssen Sie Mitglied der Gruppe
Domänenbenutzer sein.
Ermitteln, wann die standortübergreifender Replikation startet
1. Öffnen Sie Active Directory-Standorte und -Dienste.
2. Klicken Sie doppelt auf Sites, doppelt auf Inter-Site Transports und klicken Sie
dann auf IP.
3. Klicken Sie mit rechts auf das Standortobjekt, das Sie abfragen möchten, und
klicken Sie dann auf Eigenschaften.
4. Klicken Sie auf Zeitplan ändern. Notieren Sie sich den Zeitplan, und klicken Sie
dann auf OK.
5. Notieren Sie sich den Wert im Feld Replizieren alle _____ Minuten, und klicken
Sie dann auf OK.
Entfernen von veralteten Objekten mit
Repadmin
Dieses Verfahren können Sie ebenfalls ausführen, wenn die Ereignisse 1388 oder 1988
auf einem Domänencontroller aufgetreten sind. Die erforderlichen Informationen finden
Sie in den Beschreibungen der Ereignisse. Weitere Informationen zu den Ereignissen
finden Sie unter Beheben von Fehlern im Zusammenhang mit zurückgebliebenen
Objekten (Ereignis-ID 1388, 1988 und 2042.
Wenn Sie dieses Verfahren präventiv durchführen, müssen Sie vorher die folgenden
Informationen sammeln:

Name des Servers, der möglicherweise über veraltete Objekte verfügt (DNS-Name,
DN oder NetBIOS-Name).

Die GUID des NTDS Settings-Objekts des Domänencontrollers, der autorisierend für
die Domäne ist.
Wenn nötig, können Sie mit dem folgenden Verfahren die GUID eines
Domänencontrollers ermitteln:
Administrative Berechtigungen
Um dieses Verfahren ausführen zu können, müssen Sie Mitglied der Gruppe
Domänenbenutzer sein.
Ermitteln der GUID eines Domänencontrollers
1. Geben Sie den folgenden Befehl ein, und drücken Sie dann die
EINGABETASTE:
repadmin /showreplDomänencontrollerName
Wobei DomänencontrollerName ein NetBIOS-Name sein muss.
2. Ganz am Anfang der Ausgabe finden Sie den Eintrag DC objekt GUID:
Administrative Berechtigungen
Um dieses Verfahren ausführen zu können, müssen Sie Mitglied der Gruppe DomänenAdmins der Domäne Verzeichnispartition sein.
Entfernen von veralteten Objekten mit Repadmin
1. Geben Sie den folgenden Befehl ein, und drücken Sie dann die EINGABETASTE:
repadmin /removelingeringobjects ServerName ServerGUID
Verzeichnispartition/advisory_mode
Parameter
Beschreibung
ServerName
DNS-Name oder DN des Domänencontrollers mit den
veralteten Objekten.
ServerGUID
GUID eines Domänencontrollers, der über eine aktuelle
beschreibbare Kopie der Verzeichnispartition verfügt.
Verzeichnispartition DN der Domänen-Verzeichnispartition mit veralteten
Objekten. Beispiel,
DC=RegionalDomänenname,DC=Stammdomäne,DC=com.
Führen Sie den Befehl ebenfall gegen die
Konfigurationspartition
(CN=configuration,DC=Stammdomäne,DC=com) und die
Schemapartition
(CN=schema,CN=configuration,DC=Stammdomäne) aus.
/advisory_mode protokolliert die entfernten Objekte, aber entfernt sie nicht.
2. Wenn Objekte gefunden werden, wiederholen Sie Schritt 1 ohne /advisory_mode
und löschen Sie die Objekte.
3. Wiederholen Sie die Schritte 1 und 2 für jeden Domänencontroller, der
möglicherweise veraltete Objekte hat.
Anmerkung
Der Parameter ServerName verwendet die DC_LIST-Syntax für repadmin. Sie
können somit * für alle Domänencontroller in der Gesamtstruktur und gc: für alle
globalen Katalog Server angeben.
Siehe auch
Beheben von Fehlern im Zusammenhang mit zurückgebliebenen Objekten
(Ereignis-ID 1388, 1988 und 2042)
Überprüfen der erfolgreichen Replikation
mit einem anderen Domänencontroller
Mit dem Befehl repadmin /showrepl können Sie feststellen, ob die Replikation mit einem
bestimmten Domänencontroller erfolgreich war. Wenn Sie den Befehl nicht auf dem
Domänencontroller ausführen, dessen Replikation Sie testen möchten, können Sie auch
einen Ziel-Domänencontroller angeben. Repadmin zeigt unter INBOUND NEIGHBORS
die DNs aller Verzeichnispartitionen auf, für die eine eingehende Verzeichnisreplikation
versucht wurde - zusammen mit dem Standort und Namen des QuellDomänencontrollers und dem Erfolg oder Misserfolg der Replikation. Die Ausgabe sieht
zum Beispiel so aus:

Last attempt @ YYYY-MM-DD HH:MM.SS was successful.

Last attempt @ [Never] was successful.
Wenn @ [Never] angezeigt wird, heißt dies, dass die Partition noch nie erfolgreich
repliziert wurde.
Administrative Berechtigungen
Um das folgende Verfahren ausführen zu können, müssen Sie Mitglied der Gruppe
Domänen-Admins auf dem Ziel-Domänencontroller sein.
Überprüfen der erfolgreichen Replikation mit einem anderen
Domänencontroller
1. Öffnen Sie eine Eingabeaufforderung.
2. Geben Sie den folgenden Befehl ein, und drücken Sie dann die
EINGABETASTE:
repadmin /showrepl servername /u:domänenname\benutzername /pw:*
Parameter
Beschreibung
servername
Name des Ziel-Domänencontrollers.
domänenname
NetBIOS-Name der Domäne des ZielDomänencontrollers (es ist kein FQDN
notwendig).
Benutzername
Der Name eines administrativen
Kontos in der Domäne
3. Wenn Sie zur Eingabe eines Kennwortes aufgefordert werden, geben Sie das
Kennwort des Benutzerkontos ein.
Repadmin kann außerdem Detailinformationen zur Replikation mit allen
Replikationspartnern anzeigen. Die entsprechende Ausgabe sieht so aus:
Showrepl_COLUMNS
Destination DC Site
Destination DC
Naming Context
Source DC Site
Source DC
Transport Type
Number of Failures
Last Failure Time
Last Success Time
Last Failure Status
Mit dem folgenden Verfahren können Sie eine solche Ausgabe generieren:
Erweiterte Ausgabe mit repadmin /showrepl
1. Öffnen Sie eine Eingabeaufforderung.
2. Geben Sie den folgenden Befehl ein, und drücken Sie dann die
EINGABETASTE:
repadmin /showrepl * /csv >showrepl.csv
3. Öffnen Sie Microsoft Excel.
4. Klicken Sie im Menü Datei auf Öffnen, und öffnen Sie die Datei showrepl.csv.
Die letzte erfolgreiche Replikation sollte mit dem Zeitplan für die Replikation zwischen
Standorten übereinstimmen.
Wenn Repadmin eine der folgenden Informationen ausgibt, fahren Sie mit dem Abschnitt
Fehlersuche bei Active Directory-Replikationsproblemen fort:

Die letzte erfolgreiche Replikation zwischen Standorten war vor der letzten geplanten
Replikation.

Die letzte Replikation zwischen Standorten ist länger als eine Stunde her.

Es gab keine erfolgreiche Replikation.
Siehe auch
Fehlersuche bei Active Directory-Replikationsproblemen
Ausführen einer unbeaufsichtigten
Installation von Active Directory
Anforderungen
Für dieses Verfahren sind die folgenden Tools notwendig:

Dcpromo.exe Für dieses Verfahren sind die folgenden Dateien notwendig:

Ref.chm (im Ordner Support\Tools der Windows Server 2003-CD)

Unattend.txt

Antwortdatei. Um diese Aufgabe auszuführen, sind die folgenden Schritte
erforderlich:
1. Erstellen einer Antwortdatei für eine Domänencontrollerinstallation
2. Installation von Active Directory mithilfe eine Antwortdatei
Siehe auch
Einbeziehen von Anwendungspartitionen in die Active Directory-Installation über ein
Sicherungsmedium
Erstellen einer Antwortdatei für eine
Domänencontrollerinstallation
Mit diesem Verfahren erstellen Sie eine Antwortdatei, die Sie zur unbeaufsichtigten
Installation eines Domänencontrollers verwenden können. Die Antwortdatei enthält
möglicherweise sensible Informationen - speichern Sie sie daher an einem sicheren Ort.
Administrative Berechtigungen
Um dieses Verfahren ausführen zu können, müssen Sie Mitglied der Gruppe
Authentifizierte Benutzer auf dem lokalen Computer sein.
Erstellen einer Antwortdatei für eine Domänencontrollerinstallation
1. Legen Sie die Windows Server 2003 CD ein, und drücken Sie dabei die
HOCHSTELLTASTE, um den automatischen Start der CD zu verhindern.
2. Starten Sie den Windows Explorer, und öffnen Sie den Ordner Support\Tools auf
der CD.
3. Klicken Sie auf Tools und dann rechts doppelt auf Deploy.cab.
4. Klicken Sie mit rechts auf Ref.chm, und klicken Sie dann auf Entpacken.
5. Navigieren Sie zu einem passenden Ordner, oder erstellen Sie einen, und
klicken Sie dann auf Extract.
6. Öffnen Sie die Datei Ref.chm, die Sie soeben entpackt haben.
7. Klicken Sie auf der Registerkarte Inhalt links doppelt auf Unattend.txt, und
klicken Sie dann auf [DCInstall].
8. Scrollen Sie rechts zu Sample, und kopieren Sie das ganze Beispiel (beginnend
mit [DCInstall]).
9. Öffnen Sie Notepad, und fügen Sie das Beispiel ein.
10. Bearbeiten Sie die Textdatei so, dass diese mindestens die folgenden Einträge
umfasst (zusätzliche Einträge können Sie Ref.chm entnehmen):
[DCINSTALL]
UserName=SAM-Kontoname mit Domänen-Admins-Rechten in der Zieldomäne.
Password=Kennwort für das Konto. Wenn Sie nichts eintragen, fragt Dcpromo
das Kennwort ab. Wird nach der Installation gelöscht.
UserDomain=Domänenname für das Konto unter UserName.
DatabasePath=Speicherort der Ntds.dit-Datei (standardmäßig
%systemroot%\ntds.) Wenn der Eintrag fehlt, wird der Standardpfad verwendet.
LogPath=Speicherort der Protokolldateien (standardmäßig %systemroot%\ntds.)
Wenn der Eintrag fehlt, wird der Standardpfad verwendet.
SYSVOLPath=Speicherort von SYSVOL (standardmäßig %systemroot%\ntds.)
Wenn der Eintrag fehlt, wird der Standardpfad verwendet.
SafeModeAdminPassword=Kennwort für den Start im
Verzeichnisdienstwiederherstellungsmodus. Wenn Sie nichts eintragen, fragt
Dcpromo das Kennwort ab. Wird nach der Installation gelöscht.
CriticalReplicationOnly=Yes oder no Legt fest, ob der nicht kritische Teil der
Replikation übersprungen werden kann, damit Dcpromo fertig gestellt werden
kann, bevor die Replikation vollständig ist.
SiteName=Name des Active Directory-Standortes.
ReplicaOrNewDomain=Entweder Replica für einen neuen Domänencontroller
in einer bestehenden Domäne oder NewDomain für den ersten
Domänencontroller in einer neuen Domäne.
ReplicaDomainDNSName=FQDN der Domäne.
ReplicationSourceDC=Name eines bestehend Domänencontrollers, mit dem
die erste Replikation ausgeführt wird. Diesen Eintrag können Sie zusammen mit
ReplicateFromMedia verwenden, um festzulegen, von welchem
Domänencontroller Änderungen repliziert werden.
ReplicateFromMedia=Yes zur Installation über ein Sicherungsmedium, no zur
Installation mit Replikation.
ReplicationSourcePath=Wenn Installation mit Replikation, ist dies der Pfad zur
Installations-CD oder -Freigabe. Wenn Installation mit Sicherungsmedium, ist
dies der Pfad zur Sicherung.
RebootOnSuccess=Yes Wenn der Domänencontroller nach der Installation neu
gestartet werden soll. no wenn nicht. Alternativ können Sie
NoAndNoPromptEither für einen Neustart ohne Rückfrage verwenden.
ApplicationPartitionsToReplicate=Kommangetrennte DNs der
Anwendungspartitionen. (* für alle Partitionen). Weitere Informationen finden Sie
unter Einbeziehen von Anwendungspartitionen in die Active Directory-Installation
über ein Sicherungsmedium.
11. Speichern Sie die Antwortdatei.
Siehe auch
Einbeziehen von Anwendungspartitionen in die Active Directory-Installation über ein
Sicherungsmedium
Installation von Active Directory mithilfe
eine Antwortdatei
Administrative Berechtigungen
Um dieses Verfahren ausführen zu können, müssen Sie Mitglied der Gruppe DomänenAdmins der Domäne des zu installierenden Domänencontrollers sein.
Installation von Active Directory mithilfe eine Antwortdatei
1. Klicken Sie auf Start, klicken Sie auf Ausführen. Geben Sie dcpromo
/answer:antwortdatei ein.
Antwortdatei:
Pfad zur Antwortdatei inklusive Dateiname.
2. Klicken Sie auf OK.
Siehe auch
Erstellen einer Antwortdatei für eine Domänencontrollerinstallation
Einbeziehen von Anwendungspartitionen in die Active Directory-Installation über ein
Sicherungsmedium
Überprüfen der Active Directory-Installation
Überprüfen der Active DirectoryInstallation
Es gibt mehrere Überprüfungen, die Sie auf einem Computer mit neu installiertem Active
Directory ausführen können. Wenn alle Überprüfungen erfolgreich abgeschlossen
werden, können Sie davon ausgehen, dass der neue Domänencontroller korrekt
funktioniert.
Anforderungen
Die folgenden Tools werden für die entsprechenden Aufgaben empfohlen:

Active Directory-Standorte und -Dienste

DNS-Verwaltung

Ereignisanzeige

Netdiag.exe

Dcdiag.exe

Ntdsutil.exe Um diese Aufgabe auszuführen, sind die folgenden Schritte erforderlich:
1. Ermitteln, ob ein Serverobjekt über Unterobjekte verfügt
2. Überprüfen, ob eine IP-Adresse einem Subnetz entspricht, und Ermitteln der
Standortzuordnung
Sie müssen prüfen, ob sich der Domänencontroller am richtigen Standort befindet.
Sollte dies nicht der Fall sein, können Sie ihn mit dem Snap-In Active DirectoryStandorte und -Dienste an einen anderen Standort verschieben.
Anmerkung
Im letzten Dialogfenster des Active Directory-Installationsassistent wird der
Standort des Domänencontrollers angezeigt.
3. Verschieben eines Serverobjekts in einen neuen Standort
4. Konfiguration von DNS-Weiterleitungen
5. Führen Sie alle Aufgaben aus dem Abschnitt Überprüfung der DNS-Konfiguration
aus.
6. Den Status der SYSVOL-Freigabe überprüfen
7. Überprüfung der DNS-Registrierung und -Funktionalität
8. Überprüfen der Domänenmitgliedschaft eines neuen Domänencontrollers
9. Überprüfen der Kommunikation mit anderen Domänencontrollern
10. Überprüfen der Replikation mit anderen Domänencontrollern
11. Überprüfen der Verfügbarkeit der Betriebsmaster
Ermitteln, ob ein Serverobjekt über
Unterobjekte verfügt
Administrative Berechtigungen
Um dieses Verfahren ausführen zu können, müssen Sie Mitglied der Gruppe
Domänenbenutzer sein.
Ermitteln, ob ein Serverobjekt über Unterobjekte verfügt
1. Öffnen Sie Active Directory-Standorte und -Dienste.
2. Erweitern Sie Standorte und den entsprechenden Standort.
3. Erweitern Sie Servers und das entsprechende Serverobjekt.
Überprüfen, ob eine IP-Adresse einem
Subnetz entspricht, und Ermitteln der
Standortzuordnung
Mit diesem Verfahren stellen Sie fest, zu welchem Standort ein neuer oder verschobener
Server gehört.
Administrative Berechtigungen
Um dieses Verfahren ausführen zu können, müssen Sie Mitglied der Gruppe
Domänenbenutzer sein.
Überprüfen, ob eine IP-Adresse einem Subnetz entspricht, und Ermitteln der
Standortzuordnung
1. Melden Sie sich lokal am Domänencontroller an.
2. Klicken Sie mit rechts auf Netzwerkumgebung, und klicken Sie dann auf
Eigenschaften.
3. Klicken Sie unter Netzwerkverbindungen mit rechts auf LAN Verbindung, und
klicken Sie dann auf Eigenschaften.
4. Klicken Sie in den Eigenschaften doppelt auf Internet Protocol (TCP/IP).
5. Berechnen Sie die Adresse des Subnetzes mit der IP-Adresse und der
Subnetzmaske, und klicken Sie dann auf OK.
7. Öffnen Sie Active Directory-Standorte und -Dienste.
8. Erweitern Sie Standorte, und klicken Sie dann auf Subnetze.
9. Suchen Sie das Subnetz, das der berechneten Subnetzadresse entspricht.
10. Stellen Sie fest, welchem Standort das Subnetz zugeordnet ist.
Verschieben eines Serverobjekts in einen
neuen Standort
Administrative Berechtigungen
Um dieses Verfahren ausführen zu können, müssen Sie Mitglied der Gruppe
Organisations-Admins sein.
Verschieben eines Serverobjekts in einen neuen Standort
1. Öffnen Sie Active Directory-Standorte und -Dienste.
2. Erweitern Sie Standorte und dann den Standort mit dem Bridgeheadserver.
3. Erweitern Sie Servers.
4. Klicken Sie mit rechts auf den Server, den Sie verschieben möchten, und klicken
Sie dann auf Verschieben.
5. Klicken Sie auf den Zielstandort, und klicken Sie dann auf OK.
6. Erweitern Sie das Standortobjekt, an den Sie den Server verschoben haben, und
dann den Container Servers.
7. Prüfen Sie, ob der Server hier angezeigt wird.
8. Erweitern Sie das Serverobjekt und prüfen Sie, ob das NTDS-Settings-Objekt
vorhanden ist.
Der NetLogon-Dienst auf dem Domänencontroller sollte die neuen Informationen
innerhalb einer Stunde auf dem DNS registriert haben. Warten Sie eine Stunde, und
öffnen Sie dann die Ereignisanzeige auf dem verschobenen Domänencontroller. Prüfen
Sie das Verzeichnisprotokoll auf Fehler. NetLogon-Ereignis ID 5774 zeigt an, dass die
DNS-Registrierung fehlgeschlagen ist.
Konfiguration von DNS-Weiterleitungen
Administrative Berechtigungen
Um dieses Verfahren ausführen zu können, müssen Sie Mitglied der Gruppe DomänenAdmins sein.
Konfiguration von DNS-Weiterleitungen
1. Wenn in Ihrem Netzwerk Stammhinweise als Weiterleitungsmethode verwendet
werden, müssen Sie keine weiteren Aktionen ausführen. Stammhinweise werden
bei der Installation automatisch konfiguriert. Führen Sie die Aufgabe nicht weiter
aus.
2. Öffnen Sie das DNS-Snap-In.
3. Klicken Sie im Konsolenbereich mit rechts auf ComputerName (wobei
ComputerName der Name des Domänencontrollers ist), und klicken Sie dann auf
Eigenschaften.
4. Klicken Sie auf die Registerkarte Weiterleitungen, und aktivieren Sie
Weiterleitungen aktivieren.
5. Geben Sie unter IP-Adresse die IP-Adresse des DNS-Server oder des nächsten
Replikationspartners ein, von dem die Domäne delegiert ist. Klicken Sie auf
Hinzufügen, und klicken Sie dann auf OK.
Überprüfung der DNS-Konfiguration
Anforderungen
Um die unten beschriebenen Aufgaben ausführen zu können, sind die folgenden Tools
notwendig:

DNS Snap-In

Netzwerkumgebung
Um diese Aufgabe auszuführen, sind die folgenden Schritte erforderlich:
1. Erstellen einer Delegierung für einen Domänencontroller
Wenn die übergeordnete DNS-Zone einer von diesem DNS-Server gehosteten Zone
eine Delegierung für diesen DNS-Server enthält, aktualisieren Sie die IP-Adressen
aller Delegierungen mit diesem Verfahren.
Wenn die Stammdomäne eine übergeordnete DNS-Domäne hat, führen Sie dieses
Verfahren auf einem DNS-Server der übergeordneten Domäne aus. Wenn Sie
gerade einen neuen Domänencontroller zu einer untergeordneten Domäne
hinzugefügt haben, führen Sie das Verfahren auf einem DNS-Server der
übergeordneten Domäne aus.
2. Konfiguration von DNS-Clienteinstellungen
3. Erstellen einer sekundären Zone
Erstellen einer Delegierung für einen
Domänencontroller
Mit diesem Verfahren erstellen Sie in der übergeordneten DNS-Domäne eine
Delegierung für einen neuen Domänencontroller, der außerdem DNS-Server ist.
Administrative Berechtigungen
Um dieses Verfahren ausführen zu können, müssen Sie Mitglied der Gruppe DomänenAdmins sein.
Erstellen einer Delegierung für einen Domänencontroller
1. Öffnen Sie das DNS-Snap-In.
2. Navigieren Sie zu UntergeordneteDomäne (wobei UntergeordneteDomäne der
Name der untergeordneten Domäne ist).
3. Klicken Sie im Konsolenbereich mit rechts auf UntergeordneteDomäne, und
klicken Sie dann auf Eigenschaften.
4. Klicken Sie auf der Registerkarte Nameserver auf Hinzufügen.
5. Geben Sie UntergeordneterDC.UntergeordneteDomäne.ÜbergeordneteDomäne
ein.
6. Geben Sie die IP-Adresse ein. Klicken Sie auf Hinzufügen, und klicken Sie dann
auf OK.
Erstellen einer sekundären Zone
Führen Sie dieses Verfahren nur auf neuen Domänencontrollern aus, die gleichzeitig
DNS-Server sind und sich nicht in der Stammdomäne der Gesamtstruktur befinden.
Administrative Berechtigungen
Um dieses Verfahren ausführen zu können, müssen Sie Mitglied der Gruppe DomänenAdmins sein.
Erstellen einer sekundären Zone
1. Öffnen Sie das DNS-Snap-In.
2. Klicken Sie im Konsolenbereich mit rechts auf den neuen Domänencontroller und
auf Neue Zone.
3. klicken Sie auf Weiter.
4. Wählen Sie Sekundäre Zone, und klicken Sie auf Weiter.
5. Wählen Sie Forward lookup Zone, und klicken Sie auf Weiter.
6. Geben Sie als Zonenname _msdcs.FQDNDerStammdomäne ein, und klicken
Sie auf Weiter.
7. Geben Sie die IP-Adressen von mindesten zwei DNS-Servern der
Stammdomäne ein, und klicken Sie auf Weiter.
8. Klicken Sie auf Fertig stellen.
Konfiguration von DNSClienteinstellungen
Administrative Berechtigungen
Um dieses Verfahren ausführen zu können, müssen Sie Mitglied der Gruppe DomänenAdmins sein.
Konfiguration von DNS-Clienteinstellungen
1. Klicken Sie mit rechts auf Netzwerkumgebung und auf Eigenschaften.
2. Klicken Sie mit rechts auf die Verbindung, mit der der Domänencontroller mit
dem Netzwerk verbunden ist. Klicken Sie auf Eigenschaften.
3. Klicken Sie einmal auf Internet Protocol (TCP/IP) und dann auf Eigenschaften.
4. Prüfen Sie, ob Die folgenden DNS-Serveradressen verwenden: aktiviert ist.
5. Wenn sich der neue Domänencontroller in der Stammdomäne befindet, tragen
Sie unter Primärer DNS-Server die IP-Adresse eines anderen DNS-Servers der
Stammdomäne ein. Versuchen Sie einen Server zu wählen, der sich in der Nähe
dieses Servers befindet. Tragen Sie unter Sekundärer DNS-Server die IPAdresse dieses Domänencontrollers ein (so dass er auf sich selbst verweist).
Wenn sich der neue Domänencontroller in einer Unterdomäne befindet, tragen
Sie unter Primärer DNS-Server die IP-Adresse dieses Domänencontrollers ein
(so dass er auf sich selbst verweist). Tragen Sie unter Sekundärer DNS-Server
die IP-Adresse eines andern Domänencontrollers in der gleichen Domäne ein.
Versuchen Sie einen Server zu wählen, der sich in der Nähe dieses Servers
befindet.
6. Klicken Sie auf OK.
Den Status der SYSVOL-Freigabe
überprüfen
Anmerkung
Sie müssen dieses Verfahren nicht auf jedem Partner ausführen. Führen Sie jedoch
genügend Tests aus, um sicherzustellen, dass die Systemvolumen auf den Partnern
nicht beschädigt sind.
Administrative Berechtigungen
Um die folgenden Schritte ausführen zu können, müssen Sie Mitglied der Gruppe
Domänen-Admins oder der Gruppe Organisations-Admins sein.
Prüfen des Status der SYSVOL-Freigabe
1. Öffnen Sie die Ereignisanzeige.
2. Klicken Sie auf Dateireplikationsdienst.
3. Suchen Sie nach Ereignis 13516 mit einem Datum und Zeitstempel, der dem
Zeitpunkt des Neustarts entspricht. Es kann bis zu 15 Minuten oder mehr dauern,
bis das Ereignis angezeigt wird. Ereignis 13508 zeigt an, dass der FRS den
Dienst gerade startet. 13509 zeigt an, dass der Dienst erfolgreich gestartet
wurde.
4. Prüfen Sie, ob die Freigabe erstellt wurde, indem Sie sich mit net share eine
Liste der freigegebenen Ordner anzeigen lassen.
5. Geben Sie den Befehl dcdiag /test:netlogons ein.
6. Suchen Sie nach einem Eintrag, der computername passed test NetLogons
lautet. Wenn dieser Eintrag nicht angezeigt wird, gibt es ein Problem mit der
Replikation. Der Test überprüft, ob die für die Replikation notwendigen
Anmeldeprivilegien vorhanden sind. Wenn der Test fehlschlägt, überprüfen Sie
die Berechtigungen für die Freigaben Net Logon und SYSVOL.
Überprüfung der DNS-Registrierung und
-Funktionalität
Administrative Berechtigungen
Um die folgenden Schritte ausführen zu können, müssen Sie Mitglied der Gruppe
Domänen-Admins oder der Gruppe Organisations-Admins sein.
Überprüfung der DNS-Registrierung und -Funktionalität
1. Öffnen Sie eine Eingabeaufforderung.
2. Geben Sie den folgenden Befehl ein, und drücken Sie die EINGABETASTE:
netdiag /test:dns
Anmerkung
Mit /v erhalten Sie mehr Informationen.
Wenn DNS korrekt funktioniert, sollte die letzte Zeile so lauten: DNS Test…..:
Passed.
Überprüfen der Kommunikation mit
anderen Domänencontrollern
Administrative Berechtigungen
Um die folgenden Schritte ausführen zu können, müssen Sie Mitglied der Gruppe
Domänenbenutzer sein.
Überprüfen der Kommunikation mit anderen Domänencontrollern
1. Öffnen Sie eine Eingabeaufforderung.
2. Geben Sie den folgenden Befehl ein, und drücken Sie die EINGABETASTE:
netdiag /test:dsgetdc
Anmerkung
Mit /v erhalten Sie mehr Informationen.
Wenn DNS korrekt funktioniert, sollte die letzte Zeile so lauten: DC discovery
test……..: Passed.
Überprüfen der Replikation mit anderen
Domänencontrollern
Diese Tests prüfen verschiedene Aspekte der Replikationstopologie. Außerdem prüfen
Sie, ob Objekte repliziert werden und ob die korrekten Anmeldeberechtigungen für die
Replikation vorhanden sind.
Administrative Berechtigungen
Um die folgenden Schritte ausführen zu können, müssen Sie Mitglied der Gruppe
Domänen-Admins oder der Gruppe Organisations-Admins sein.
Prüfen der Replikation mit anderen Domänencontrollern
1. Öffnen Sie eine Eingabeaufforderung.
2. Geben Sie den folgenden Befehl ein, und drücken Sie dann die
EINGABETASTE:
dcdiag /test:replications
Anmerkung
Es steht zusätzlich die Option /v zur Verfügung. Sie zeigt jedoch keine
wichtigen Informationen an.
3. Mit dem folgenden Verfahren prüfen Sie, ob die korrekten Berechtigungen für die
Replikation vorhanden sind:
dcdiag /test:netlogons
Alle Tests sollten als erfolgreich angezeigt werden.
Überprüfen der Verfügbarkeit der
Betriebsmaster
Administrative Berechtigungen
Um die folgenden Schritte ausführen zu können, müssen Sie Mitglied der Gruppe
Domänenbenutzer sein.
Anmerkung
Sie können diese Tests vor und nach der Installation von Active Directory
ausführen. Vor der Installation müssen Sie die Option /s zum Angeben des
verwendeten Domänencontrollers nutzen. Nach der Installation ist die Option
nicht mehr notwendig.
Überprüfen der Verfügbarkeit der Betriebsmaster
1. Öffnen Sie eine Eingabeaufforderung.
2. Geben Sie den folgenden Befehl ein, und drücken Sie die EINGABETASTE:
dcdiag /s: Domänencontrollerr /test:knowsofroleholders /verbose
wobei Domänencontroller der Name eines Domänencontrollers der Domäne ist,
zu der Sie den neuen Domänencontroller hinzufügen möchten. Am Ende der
Ausgabe sollte der Test als erfolgreich angezeigt werden.
3. Geben Sie den folgenden Befehl ein, und drücken Sie die EINGABETASTE:
dcdiag /s: Domänencontrollerr /test:fsmocheck
wobei Domänencontroller der Name eines Domänencontrollers der Domäne ist,
zu der Sie den neuen Domänencontroller hinzufügen möchten. Am Ende der
Ausgabe sollte der Test als erfolgreich angezeigt werden.
Überprüfen der Domänenmitgliedschaft
eines neuen Domänencontrollers
Anmerkung
Mit der Option /v to erhalten Sie eine detailliertere Ausgabe.
Administrative Berechtigungen
Um dieses Verfahren ausführen zu können, müssen Sie Mitglied der Gruppe
Domänenbenutzer sein.
Überprüfen der Domänenmitgliedschaft eines neuen Domänencontrollers
1. Öffnen Sie eine Eingabeaufforderung.
2. Geben Sie den folgenden Befehl ein, und drücken Sie die EINGABETASTE:
netdiag /test:member
3. Wenn der Test erfolgreich ist, sollte die folgende Ausgabe angezeigt werden:
Domain membership test Passed.
Umbenennen eines Domänencontrollers
Unter Windows Server 2003 haben Sie im Gegensatz zu Windows 2000 Server die
Möglichkeit, einen Domänencontroller umzubenennen. Ihnen stehen somit die folgenden
Optionen offen:

Restrukturierung Ihres Netzwerkes.

Einfachere Verwaltung und administrative Kontrolle.
Das Umbenennen von Domänencontrollern ist in vielen Organisationen eine häufig
genutzte Praxis. Es geschieht zum Beispiel in den folgenden Situationen:

Bestehende Hardware eines Domänencontrollers wird durch neue ersetzt.

Domänencontroller werden außer Betrieb gestellt oder entsprechen nicht mehr den
Namenskonventionen.

Domänencontroller werden an andere Standorte verschoben.
Anmerkung
Das Umbenennen von Domänencontrollern hat primär Auswirkungen auf die
Administration - nicht auf den Zugriff durch Clients.
Sie können einen Domänencontroller zwar wie jeden anderen Computer auch über die
Systemeigenschaften umbenennen, aber mit diesem Verfahren kann es durch die Active
Directory- und DNS-Replikationslatenz zu einem temporären Ausfall des entsprechenden
Domänencontrollers für die Benutzer kommen. Wenn Sie das Tool Netdom für diesen
Vorgang verwenden, vermeiden Sie einen solchen Ausfall.
Anforderungen
Um die unten beschriebenen Aufgaben ausführen zu können, sind die folgenden Tools
notwendig:

Systemeigenschaften oder Netdom.exe

Ldp.exe oder Adsiedit.msc
Wenn Sie Netdom nutzen möchten, muss die Funktionsebene der Domäne
Windows Server 2003 sein.
Die folgenden Aufgaben sind für dieses Verfahren notwendig:
1. Umbenennen eines Domänencontrollers über die Systemeigenschaften
2. Aktualisieren des FRS-Mitgliedobjektes
oder
1. Umbenennen eines Domänencontrollers mithilfe von Netdom
2. Aktualisieren des FRS-Mitgliedobjektes
Umbenennen eines Domänencontrollers
über die Systemeigenschaften
Administrative Berechtigungen
Um dieses Verfahren ausführen zu können, müssen Sie Mitglied der Gruppe DomänenAdmins oder der Gruppe Organisations-Admins sein.
Umbenennen eines Domänencontrollers über die Systemeigenschaften
1. Klicken Sie auf Start, und klicken Sie dann auf Systemsteuerung.
2. Klicken Sie doppelt auf Systemeigenschaften.
3. Klicken Sie auf Ändern.
4. Klicken Sie auf OK.
5. Geben Sie den neuen Namen ein.
6. Klicken Sie auf OK.
7. Wenn Sie dazu aufgefordert werden, geben Sie den Benutzernamen und das
Kennwort eines Administrators an, der Mitglied der Gruppe Domänen-Admins
oder Unternehmens-Admins ist.
Siehe auch
Umbenennen eines Domänencontrollers mithilfe von Netdom
Umbenennen eines Domänencontrollers
mithilfe von Netdom
Netdom aktualisiert die SPN-Attribute des Computerkontos in Active Directory und
registriert DNS-Ressourceneinträge für den neuen Computernamen. Der SPN-Wert
muss an alle Domänencontroller der Domäne repliziert werden, und die DNS-Einträge
müssen an alle autorisierenden DNS-Server der DNS-Domäne übermittelt werden.
Administrative Berechtigungen
Um dieses Verfahren ausführen zu können, müssen Sie Mitglied der Gruppe DomänenAdmins oder Organisations-Admins sein
Umbenennen eines Domänencontrollers mithilfe von Netdom
1. Öffnen Sie die Eingabeaufforderung.
2. Geben Sie Folgendes ein:
netdom computername AktuellerComputername /add:NeuerComputername
Dieser Befehl aktualisiert die Attribute für den Dienstprinzipalnamen (Service
Principal Name, SPN) in Active Directory für dieses Computerkonto und registriert
DNS-Ressourceneinträge für den neuen Computernamen. Der SPN-Wert des
Computerkontos muss auf alle Domänencontroller für die Domäne repliziert
werden, und die DNS-Ressourceneinträge für den neuen Computernamen müssen
an alle autorisierenden DNS-Server für den Domänennamen verteilt werden. Falls
die Updates und Registrierungen nicht vor dem Löschen des alten Computernamens
vorgenommen werden, können manche Clients diesen Computer unter Verwendung
des neuen oder alten Namens möglicherweise nicht mehr auffinden.
3. Vergewissern Sie sich, dass die Updates der Computerkonten und die DNSRegistrierungen abgeschlossen sind, und geben Sie dann Folgendes ein: netdom
computername AktuellerComputername /makeprimary:NeuerComputername
4. Starten Sie den Computer neu.
5. Geben Sie Folgendes an der Eingabeaufforderung ein: netdom computername
NeuerComputername /remove:AlterComputername
Wert
Beschreibung
AktuellerComputername Der aktuelle oder primäre Computername bzw. die IPAdresse des Computers, den Sie umbenennen.
NeuerComputername
Der neue Name für den Computer. NeuerComputername
muss ein voll qualifizierter Domänenname (Fully Qualified
Domain Name, FQDN) sein. Das primäre DNS-Suffix, das im
FQDN für NeuerComputername angegeben wird, muss mit
dem primären DNS-Suffix von AktuellerComputername
identisch sein, oder es muss in der Liste der zulässigen
DNS-Suffixe, die für das domainDns-Objekt im msDSAllowedDNSSuffixes-Attribut definiert sind, vorhanden
sein.
AlterComputername
Der alte Name des umbenannten Computers.
Siehe auch
Umbenennen eines Domänencontrollers über die Systemeigenschaften
Aktualisieren des FRS-Mitgliedobjektes
Administrative Berechtigungen
Um dieses Verfahren ausführen zu können, müssen Sie Mitglied der Gruppe DomänenAdmins oder der Gruppe Organisations-Admins sein.
Aktualisieren des FRS-Mitgliedobjektes
1. Suchen Sie das Computerobjekte des umbenannten Domänencontrollers mithilfe
von Ldp.exe (oder ADSI-Edit).
2. Führen Sie eine rekursive Suche nach dem Objekttyp nTFRSSubscriber und
dem Computernamen “Domain System Volume (SYSVOL share)” unter dem
Computerobjekt aus.
3. Der Suchfilter lautet: “(&((cn=Domain System Volume (SYSVOL
share))(objectclass=ntfrssubscriber)))”.
4. Suchen Sie das Attribut fRSMemberReference des von der Suche
zurückgegebenen Objektes.
5. Suchen Sie das Objekt, dessen Domänenname im Attribut
fRSMemberReference hinterlegt ist - dieses Objekt gehört zum umbenannten
Domänencontroller.
6. Ändern Sie den Computernamen des Ntfrsmember-Objektes auf den neuen
Namen des Domänencontrollers.
Dekomissionierung eines
Domänencontrollers
Anforderungen
Um die unten beschriebenen Aufgaben ausführen zu können, sind die folgenden Tools
notwendig:

Ntdsutil.exe

Active Directory-Domänen und -Vertrauensstellungen

Active Directory-Benutzer und -Computer

Active Directory-Standorte und -Dienste

Netdiag.exe

Dcdiag.exe
Um diese Aufgabe auszuführen, sind die folgenden Schritte erforderlich:
1. Anzeigen der aktuellen Betriebsmaster
Übertragen Sie alle Betriebsmasterrollen auf einen anderen Domänencontroller,
bevor Sie den Active Directory-Installationsassistent ausführen und den
Domänencontroller zurückstufen.
Vorsicht
Der Active Directory-Installationsassistent versucht, alle verbliebenen
Betriebsmasterrollen ohne einen Eingriff des Benutzers zu übertragen. Wenn
dies fehlschlägt, fährt er trotzdem mit der Zurückstufung des
Domänencontrollers fort. Sie haben außerdem keine Kontrolle darüber, an
welchen Domänencontroller die Rollen übertragen werden, und der Assistent
informiert Sie auch nicht darüber, wer neuer Betriebsmaster ist.
2. Übertragen der Rolle Schemamaster
3. Übertragen der Rolle Domänennamensmaster
4. Übertragen der domänenbezogenen Betriebsmasterrollen
5. Feststellen, ob ein Domänencontroller ein globaler Katalogserver ist
Wenn Sie einen Domänencontroller zurückstufen, der globaler Katalog ist, weist der
Active Directory-Installationsassistent Sie darauf hin, und Sie müssen diesen
Vorgang explizit bestätigen. Entfernen Sie nicht den einzigen globalen Katalog einer
Umgebung. Ohne globalen Katalog Server können sich keine Benutzer anmelden.
6. Überprüfung der DNS-Registrierung und -Funktionalität
7. Überprüfen der Kommunikation mit anderen Domänencontrollern
Während der Zurückstufung ist es notwendig, dass eine Kommunikation mit anderen
Domänencontrollern möglich ist:

Alle noch nicht replizierten Änderungen müssen repliziert werden.

Der Domänencontroller muss aus dem Verzeichnis entfernt werden.

Betriebsmasterrollen müssen übertragen werden.
Wenn der Domänencontroller nicht mit anderen Domänencontrollern kommunizieren
kann, schlägt der Vorgang fehl.
8. Überprüfen der Verfügbarkeit der Betriebsmaster
9. Deinstallation von Active Directory
10. Ermitteln, ob ein Serverobjekt über Unterobjekte verfügt
11. Löschen eines Serverobjektes aus einem Standort
Anmerkung
Sollte der Server andere Anwendungen hosten (zum Beispiel Microsoft
Exchange), kann es sein, dass das Serverobjekt bestehen bleiben muss.
Anzeigen der aktuellen Betriebsmaster
Nachdem Sie Rollen übertragen haben, sollten Sie überprüfen, dass dies funktioniert hat.
Die Änderung muss auf alle relevanten Domänenmitglieder repliziert werden, damit sie
tatsächlich effektiv wird.
Sie können die aktuellen Betriebsmaster mit Ntdsutil.exe anzeigen.
Administrative Berechtigungen
Um die folgenden Schritte ausführen zu können, müssen Sie als Benutzer oder
Administrator angemeldet sein.
Anzeigen der aktuellen Betriebsmaster
1. Öffnen Sie die Eingabeaufforderung.
2. Geben Sie Folgendes ein: ntdsutil
3. Geben Sie Folgendes an der ntdsutil-Eingabeaufforderung ein: roles
4. Geben Sie Folgendes an der fsmo maintenance-Eingabeaufforderung ein:
connections
5. Geben Sie Folgendes an der server connections-Eingabeaufforderung ein:
connect to server Domänencontroller. Wobei Domänencontroller ein
Domänencontroller ist, der zu der Domäne mit den gesuchten Betriebsmastern
gehört.
6. Geben Sie Folgendes an der server connections-Eingabeaufforderung ein: quit
6. Geben Sie Folgendes ein: select operation target
7. Geben Sie Folgendes ein: list roles for connected server
Es wird eine Liste mit den aktuellen Rollen und dem LDAP-Namen ausgegeben.
Übertragen der Rolle Schemamaster
Wenn das Schema-Snap-In noch nicht installiert ist, führen Sie erst die Schritte aus dem
Abschnitt Installation des Schema-Snap-Ins aus.
Anmerkung
Dieses Verfahren beschreibt die Verwendung der MMC. Es kann jedoch auch
mithilfe von Ntdsutil.exe ausgeführt werden. Weitere Informationen dazu erhalten
Sie, wenn Sie ? in der Ntdsutil.exe-Eingabeaufforderung eingeben.
Administrative Berechtigungen
Um dieses Verfahren ausführen zu können, müssen Sie Mitglied der Gruppe SchemaAdmins sein.
Übertragen der Rolle Schemamaster
1.
Öffnen Sie das Active Directory-Schema-Snap-In.
2.
Klicken Sie in der Konsolenstruktur mit der rechten Maustaste auf Active
Directory-Schema, und klicken Sie dann auf Domänencontroller ändern.
3.
Klicken Sie auf Namen angeben, und geben Sie den Namen des
Domänencontrollers ein, der die Rolle des Schemamasters haben soll.
4.
Klicken Sie in der Konsolenstruktur mit der rechten Maustaste auf Active
Directory-Schema und dann auf Betriebsmaster.
5.
Klicken Sie auf Ändern.
Übertragen der Rolle
Domänennamensmaster
Anmerkung
Dieses Verfahren beschreibt die Verwendung der MMC. Es kann jedoch auch
mithilfe von Ntdsutil.exe ausgeführt werden. Weitere Informationen dazu erhalten
Sie, wenn Sie ? in der Ntdsutil.exe-Eingabeaufforderung eingeben.
Administrative Berechtigungen
Um dieses Verfahren ausführen zu können, müssen Sie Mitglied der Gruppe
Organisations-Admins sein.
Übertragen der Rolle Domänennamensmaster
1. Öffnen Sie Active Directory-Domänen und -Vertrauensstellungen.
2. Klicken Sie in der Konsolenstruktur mit der rechten Maustaste auf Active
Directory-Domänen und -Vertrauensstellungen, und klicken Sie dann auf
Verbindung mit Domänencontroller herstellen.
3. Geben Sie in das Feld Geben Sie den Namen eines weiteren
Domänencontrollers ein den Namen des Domänencontrollers ein, der die Rolle
des Domänennamenmasters haben soll.
Oder klicken Sie in der Liste mit den verfügbaren Domänencontrollern auf den
gewünschten Domänencontroller.
4. Klicken Sie in der Konsolenstruktur mit der rechten Maustaste auf Active
Directory-Domänen und -Vertrauensstellungen, und klicken Sie dann auf
Betriebsmaster.
5. Klicken Sie auf Ändern.
Übertragen der domänenbezogenen
Betriebsmasterrollen
Mit diesem Verfahren übertragen Sie die Rollen PDC-Emulator, RID-Master und
Infrastrukturmaster.
Anmerkung
Dieses Verfahren beschreibt die Verwendung der MMC. Es kann jedoch auch
mithilfe von Ntdsutil.exe ausgeführt werden. Weitere Informationen dazu erhalten
Sie, wenn Sie ? in der Ntdsutil.exe-Eingabeaufforderung eingeben.
Administrative Berechtigungen
Um die folgenden Schritte ausführen zu können, müssen Sie Mitglied der Gruppe
Domänen-Admins oder der Gruppe Organisations-Admins sein.
Übertragen der domänenbezogenen Betriebsmasterrollen
1. Öffnen Sie Active Directory-Benutzer und -Computer.
2. Klicken Sie in der Konsolenstruktur mit der rechten Maustaste auf Active
Directory-Benutzer und -Computer, und klicken Sie dann auf Verbindung mit
Domänencontroller herstellen.
3. Geben Sie in das Feld Geben Sie den Namen eines weiteren
Domänencontrollers ein den Namen des Domänencontrollers ein, der die Rolle
des RID-Masters haben soll.
Oder klicken Sie in der Liste mit den verfügbaren Domänencontrollern auf den
gewünschten Domänencontroller.
4. Klicken Sie in der Konsolenstruktur mit der rechten Maustaste auf Alle Tasks, und
klicken Sie dann auf Betriebsmaster.
5. Klicken Sie auf die Rolle, die übertragen werden soll, und dann auf Ändern.
Feststellen, ob ein Domänencontroller
ein globaler Katalog Server ist
Mit dem NTDS-Settings-Objekt können Sie festlegen, ob ein Domänencontroller ein
globaler Katalog ist oder nicht.
Administrative Berechtigungen
Um dieses Verfahren durchführen zu können, müssen Sie Mitglied der Gruppe
Domänen-Admins sein.
Feststellen, ob ein Domänencontroller ein globaler Katalogserver ist
1. Öffnen Sie Active Directory-Standorte und -Dienste.
2. Erweitern Sie den Container Standorte und den Standort, in dem sich der
betreffende Domänencontroller befindet. Erweitern Sie den Container Servers
und das Server-Objekt.
3. Klicken Sie mit rechts auf das NTDS-Settings-Objekt und dann auf
Eigenschaften.
4. Wenn auf der Registerkarte Allgemein das Feld Globaler Katalog ausgewählt
ist, arbeitet der Domänencontroller als globaler Katalog Server.
Überprüfung der DNS-Registrierung und
-Funktionalität
Administrative Berechtigungen
Um die folgenden Schritte ausführen zu können, müssen Sie Mitglied der Gruppe
Domänen-Admins oder der Gruppe Organisations-Admins sein.
Überprüfung der DNS-Registrierung und -Funktionalität
1. Öffnen Sie eine Eingabeaufforderung.
2. Geben Sie den folgenden Befehl ein, und drücken Sie die EINGABETASTE:
netdiag /test:dns
Anmerkung
Mit /v erhalten Sie mehr Informationen.
Wenn DNS korrekt funktioniert, sollte die letzte Zeile so lauten: DNS Test…..:
Passed.
Überprüfen der Kommunikation mit
anderen Domänencontrollern
Administrative Berechtigungen
Um die folgenden Schritte ausführen zu können, müssen Sie Mitglied der Gruppe
Domänenbenutzer sein.
Überprüfen der Kommunikation mit anderen Domänencontrollern
1. Öffnen Sie eine Eingabeaufforderung.
2. Geben Sie den folgenden Befehl ein, und drücken Sie die EINGABETASTE:
netdiag /test:dsgetdc
Anmerkung
Mit /v erhalten Sie mehr Informationen.
Wenn DNS korrekt funktioniert, sollte die letzte Zeile so lauten: DC discovery
test……..: Passed.
Überprüfen der Verfügbarkeit der
Betriebsmaster
Administrative Berechtigungen
Um die folgenden Schritte ausführen zu können, müssen Sie Mitglied der Gruppe
Domänenbenutzer sein.
Anmerkung
Sie können diese Tests vor und nach der Installation von Active Directory
ausführen. Vor der Installation müssen Sie die Option /s zum Angeben des
verwendeten Domänencontrollers nutzen. Nach der Installation ist die Option
nicht mehr notwendig.
Überprüfen der Verfügbarkeit der Betriebsmaster
1. Öffnen Sie eine Eingabeaufforderung.
2. Geben Sie den folgenden Befehl ein, und drücken Sie die EINGABETASTE:
dcdiag /s: Domänencontrollerr /test:knowsofroleholders /verbose
wobei Domänencontroller der Name eines Domänencontrollers der Domäne ist,
zu der Sie den neuen Domänencontroller hinzufügen möchten. Am Ende der
Ausgabe sollte der Test als erfolgreich angezeigt werden.
3. Geben Sie den folgenden Befehl ein, und drücken Sie die EINGABETASTE:
dcdiag /s: Domänencontrollerr /test:fsmocheck
wobei Domänencontroller der Name eines Domänencontrollers der Domäne ist,
zu der Sie den neuen Domänencontroller hinzufügen möchten. Am Ende der
Ausgabe sollte der Test als erfolgreich angezeigt werden.
Deinstallation von Active Directory
Um Active Directory über den Active Directory-Installationsassistent zu entfernen,
müssen Sie das Kennwort des lokalen Administratorkontos kennen.
Administrative Berechtigungen
Um dieses Verfahren ausführen zu können, müssen Sie Mitglied der Gruppe DomänenAdmins sein.
Deinstallation von Active Directory
1. Klicken Sie auf Start, klicken Sie auf Ausführen, geben Sie dcpromo ein, und
klicken Sie dann auf OK.
2. Klicken Sie auf Weiter.
3. Wenn Sie Dieses Server ist der letzte Domänencontroller der Domäne
auswählen, versucht der Assistent, die Domäne aus der Gesamtstruktur zu
entfernen. Deaktivieren Sie die Option. Klicken Sie auf Weiter.
4. Geben Sie das Kennwort für das lokale Administratorkonto ein. Klicken Sie auf
Weiter.
5. Klicken Sie dann auf Weiter.
6. Klicken Sie auf Finish.
7. Klicken Sie auf Neustart.
Ermitteln, ob ein Serverobjekt über
Unterobjekte verfügt
Administrative Berechtigungen
Um dieses Verfahren ausführen zu können, müssen Sie Mitglied der Gruppe
Domänenbenutzer sein.
Ermitteln, ob ein Serverobjekt über Unterobjekte verfügt
1. Öffnen Sie Active Directory-Standorte und -Dienste.
2. Erweitern Sie Standorte und den entsprechenden Standort.
3. Erweitern Sie Servers und das entsprechende Serverobjekt.
Löschen eines Serverobjektes aus einem
Standort
Wenn es unter dem Server in Active Directory-Standorte und -Dienste keine Unterobjekte
mehr gibt, können Sie das Serverobjekt entfernen.
Administrative Berechtigungen
Um dieses Verfahrung durchführen zu können, müssen Sie Mitglied der Gruppe
Domänen-Admins sein.
Löschen eines Serverobjektes aus einem Standort
1. Öffnen Sie Active Directory-Standorte und -Dienste.
2. Erweitern Sie Standorte und den Standort, aus dem Sie den Server löschen
möchten.
3. Wenn es keine Objekte unter dem Server gibt, klicken Sie mit rechts auf den
Server, und klicken Sie dann auf Löschen.
Wichtig
Löschen Sie keinen Server mit untergeordneten Objekten.
4. Klicken Sie auf Ja.
Das Entfernen eines Domänencontrollers
erzwingen
Das Erzwingen der Entfernung eines Domänencontrollers ist die letzte Möglichkeit, mit
der Sie eine Neuinstallation des Betriebssystems auf dem nicht wieder herstellbaren
Domänencontroller vermeiden können. Wenn ein Domänencontroller nicht in Betrieb ist,
können Sie Active Directory nicht auf die normale Art und Weise entfernen. Hierzu wäre
eine Verbindung mit der Domäne notwendig.
Active Directory speichert einige Metadaten zu Domänencontrollern. Während der
normalen Zurückstufung eines Domänencontrollers werden diese Metadaten mithilfe
anderer Domänencontroller der gleichen Domäne entfernt. Wenn Sie das Zurückstufen
jedoch erzwingen, wird dieser Schritt nicht durchgeführt. Daher sollten Sie nach einem
solchen Schritt immer eine Bereinigung der Metadaten durchführen.
Auf dem letzten Domänencontroller einer Domäne sollten Sie die Zurückstufung auf
keinen Fall erzwingen.
Anforderungen
Um die unten beschriebenen Aufgaben ausführen zu können, sind die folgenden Tools
notwendig:

Active Directory-Standorte und -Dienste

Dcpromo.exe

Ntdsutil.exe
Um diese Aufgabe auszuführen, sind die folgenden Schritte erforderlich:
1. Identifizieren der Replikationspartner. Sie müssen in Schritt 3 zum Bereinigen der
Metadaten auf einen dieser Domänencontroller zugreifen.
2. Erzwingen der Zurückstufung des Domänencontrollers
3. Bereinigen der Metadaten
Identifizieren der Replikationspartner
Mit diesem Verfahren überprüfen Sie die Verbindungsobjekte eines Domänencontrollers
und ermitteln seine Replikationspartner fest.
Administrative Berechtigungen
Damit Sie dieses Verfahren durchführen können, müssen Sie Mitglied der Gruppe
Domänen-Admins sein.
Identifizieren von Replikationspartnern
1. Öffnen Sie Active Directory-Standorte und -Dienste.
2. Erweitern Sie den Container Standorte.
3. Klicken Sie doppelt auf den Standort, in dem sich der Domänencontroller
befindet.
Anmerkung
Wenn Sie nicht wissen, wo sich der Domänencontroller befindet, geben
Sie in einer Eingabeaufforderung den Befehl ipconfig ein und fragen so
die IP-Adresse des Domänencontrollers ab. Vergleichen Sie die IPAdresse mit den Subnetzen, und ermitteln Sie so den Standort.
4. Erweitern Sie den Ordner Server.
5. Erweitern Sie den Namen des Domänencontrollers.
6. Klicken Sie doppelt auf NTDSSettings, um die Verbindungsobjekte anzuzeigen
(angezeigt werden die für die Replikation verwendeten eingehenden
Verbindungen). In der Spalte Von Server finden Sie die Namen der
Replikationspartner.
Erzwingen der Zurückstufung des
Domänencontrollers
Administrative Berechtigungen
Um dieses Verfahren ausführen zu können, müssen Sie Mitglied der Gruppe DomänenAdmins sein.
Erzwingen der Zurückstufung des Domänencontrollers
1. Klicken Sie auf Start, klicken Sie auf Ausführen, geben Sie den folgenden
Befehl ein, und drücken Sie die EINGABETASTE:
Dcpromo /forceremoval
2. Klicken Sie auf Weiter.
3. Klicken Sie auf Weiter.
4. Geben Sie das Kennwort für das lokale Administratorkonto an. Klicken Sie dann
auf Weiter.
5. Klicken Sie auf Weiter.
Bereinigen der Metadaten
Die Bereinigung der Metadaten wird mit Ntdsutil.exe durchgeführt. Es entfernt alle Daten
aus Active Directory, die einen Domänencontroller identifizieren. Unter
Windows Server 2003 Service Pack 1 (SP1) entfern das Verfahren außerdem
automatisch FRS-Verbindungen und versucht, alle Betriebsmasterrollen, die der alte
Domänencontroller innehatte, zu übertragen oder zu übernehmen.
Administrative Berechtigungen
Um das Verfahren durchführen zu können, müssen Sie Mitglied der Gruppe
Organisations-Admins sein.
Bereinigen der Metadaten
1. Öffnen Sie eine Eingabeaufforderung.
2. Geben Sie den folgenden Befehl ein, und drücken Sie dann die
EINGABETASTE:
ntdsutil
3. Führen Sie den folgenden Befehl aus:
metadata cleanup

Wenn Sie Ntdsutil.exe unter Windows Server 2003 SP1 nutzen, führen Sie
den folgenden Befehl aus:
remove selected server ServerName
oder
remove selected server ServerName1 on ServerName2
Wert

Beschreibung
ServerName,
ServerName1
DNs der Domänencontroller, dessen Metadaten
Sie löschen wollen.
(cn=ServerName,cn=Servers,cn=Standortname,
cn=Sites,cn=Configuration,dc=Stammdomäne
ServerName2
DNS-Name des Domänencontrollers, von dem
Sie die Metadaten entfernen möchten.
Wenn Sie Ntdsutil.exe unter Windows Server 2003 ohne SP ausführen,
gehen Sie folgendermaßen vor:
a. Geben Sie den folgenden Befehl ein:
connection
b. Geben Sie den folgenden Befehl ein:
connect to server Server
c.
Geben Sie den folgenden Befehl ein:
quit
d. Geben Sie den folgenden Befehl ein:
select operation target
e. Geben Sie den folgenden Befehl ein:
list sites
Eine Liste mit Standorten wird angezeigt.
f.
Geben Sie den folgenden Befehl ein:
select site Standortnummer
g. Geben Sie den folgenden Befehl ein:
list domains in site
Es sollte eine Liste mit den Domänen am ausgewählten Standort angezeigt
werden.
h. Geben Sie den folgenden Befehl ein:
select domain Domänennummer
i.
Geben Sie den folgenden Befehl ein:
list servers in site
Eine Liste mit Servern wird angezeigt.
j.
Geben Sie den folgenden Befehl ein:
select server ServerNummer
k.
Geben Sie den folgenden Befehl ein:
quit
l.
Geben Sie den folgenden Befehl ein:
remove selected server
Nun sollte Active Directory bestätigen, dass der Domänencontroller entfernt
wurde.
5. Geben Sie quit ein.
Zusätzliche Ressourcen zur
Administration von Active Directory
Allgemeine Informationen zur Arbeitsweise von Active Directory und zur Bereitstellung,
Überwachung und Delegierung finden Sie unter den folgenden Quellen:

Active Directory Technical Reference unter
http://go.microsoft.com/fwlink/?LinkId=26094

Designing and Deploying Directory and Security Services unter
http://go.microsoft.com/fwlink/?LinkId=27638

“Monitoring Active Directory Health” unter
http://go.microsoft.com/fwlink/?LinkId=43127

Best Practices for Delegating Active Directory Administration unter
http://go.microsoft.com/fwlink/?LinkId=46579
Detaillierte Informationen zur Fehlersuche finden Sie unter den folgenden Quellen:

Troubleshooting Active Directory Operations

Identity and Directory Services Community unter
http://go.microsoft.com/fwlink/?LinkId=20151

Windows Server Active Directory Newsgroup unter
http://go.microsoft.com/fwlink/?LinkId=43065
Entwicklerinformationen finden Sie unter den folgenden Quellen:

Active Directory Platform SDK unter http://go.microsoft.com/fwlink/?linkid=142

Lightweight Directory Access Protocol Platform SDK unter
http://go.microsoft.com/fwlink/?LinkID=2972

RFCs und Internet-Drafts unter Internet Engineering Task Force Web site
(http://go.microsoft.com/fwlink/?LinkID=121
Behebung von Fehlern beim Betrieb von
Active Directory
In diesem Kapitel finden Sie Informationen zur Fehlersuche und der Behebung von
Fehlern in Bezug auf Active Directory unter Microsoft Windows Server 2003 und
Windows Server 2003 Service Pack 1 (SP1).
Das Kapitel setzt sich aus den folgenden Abschnitten zusammen:

Konfiguration eines Computers für die Active Directory-Fehlersuche

Fehlersuche bei Active Directory-Replikationsproblemen

Zusätzliche Ressourcen zur Active Directory-Fehlersuche
Dieses Kapitel konzentriert sich hauptsächlich auf die Reaktion auf Ereignisse im
Verzeichnisprotokoll, die durch Repadmin.exe und Dcdiag.exe erstellt werden.
Für bessere Diagnosemöglichkeiten durch die Windows Support Tools und Ntdsutil.exe
wird die Installation von Windows Server 2003 SP1 empfohlen.
Danksagung
Technisches Review: Arren Conner, Gregory Johnson, Rob Kochman, Ajit Krishnan,
Dave Tesar
Konfiguration eines Computers für die
Active Directory-Fehlersuche
Bevor Sie mit einer detaillierten Fehlersuche beginnen können, müssen Sie den
Computer entsprechend konfigurieren und benötigen ein grundlegendes Verständnis zu
den Konzepten, Verfahren und Tools, die mit der Fehlersuche unter
Windows Server 2003 im Zusammenhang stehen. Weitere Informationen zu den
Überwachungstools für Windows Server 2003 finden Sie unter
http://go.microsoft.com/fwlink/?LinkId=59526.
Konfigurationsschritte für die Fehlersuche
Die folgenden Aufgaben sollten Sie ausführen:
Installation von Windows Server 2003 SP1
Installation der Windows Support Tools
Installation des Netzwerkmonitors
Definieren des Protokollierungslevels
Installation von Windows Server 2003 SP1
Wenn möglich, aktualisieren Sie die Domänencontroller auf Windows Server 2003
Service Pack 1 (SP1).
Installation der Windows Support Tools
Um die Diagnosemöglichkeiten zu verbessern, sollten Sie die Windows Support Tools
von Windows Server 2003 SP1 installieren. Zur SP1-Version der Windows Support Tools
gehören verbesserte Versionen von Dcdiag.exe und Repadmin.exe.
Optionen für das Ausführen der SP1-Windows Support Tools
Unter den folgenden Betriebssystemen können Sie die Windows Support Tools von
Windows Server 2003 SP1 ausführen:

Windows Server 2003 mit SP1

Windows Server 2003 ohne SP1
Einige Tools, wie Repadmin.exe und Dcdiag.exe, können auch unter
Windows XP Professional, Windows XP Professional SP1 und Windows XP Professional
Service Pack 2 (SP2) ausgeführt werden.
Optionen für die Installation der SP1-Windows Support Tools
Sie können die SP1-Version der Windows Support Tools als .msi-Paket nur unter
Windows Server 2003 SP1 installieren. Um Repadmin und Dcdiag auf Computern unter
Windows Server 2003 ohne SP1 oder unter Windows XP Professional auszuführen,
müssen Sie diese erst auf diese Computer kopieren.
Anforderungen

Administrative Berechtigungen: Um dieses Verfahren ausführen zu können, müssen
Sie Mitglied der Gruppe Administratoren sein.

Betriebssystem: Windows Server 2003 mit SP1. Die SP1-Version der Windows
Support Tools können unter Windows Server 2003 ohne SP1 nicht installiert werden.
Installation der Windows Support Tools
1. Legen Sie die Windows-CD ein.
2. Wenn Sie zur Installation von Windows aufgefordert werden, klicken Sie auf
Nein.
3. Klicken Sie auf Zusätzliche Aufgaben ausführen, und klicken Sie dann auf
Diese CD durchsuchen.
4. Wechseln Sie zum Ordner \Support\Tools.
5. Klicken Sie doppelt auf suptools.msi.
6. Folgen Sie den angezeigten Anweisungen.
Installation des Netzwerkmonitors
Mit dem Netzwerkmonitor können Sie Konnektivitätsprobleme ermitteln. Weitere
Informationen finden Sie unter http://go.microsoft.com/fwlink/?LinkId=42987.
Definieren der Protokollierungslevels
Wenn die im Verzeichnisdienstprotokoll in der Ereignisanzeige angezeigten
Informationen für eine Fehlersuche nicht ausreichen, können Sie die
Protokollierungslevel über den Registrierungsschlüssel
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\Diagnostics
erhöhen.
Standardmäßig sind alle Einträge mit 0 konfiguriert - was den minimal möglichen
Informationen entspricht. Sie können die Level bis auf 5 heraufsetzen. Das Heraufsetzen
führt dazu, dass zusätzliche Ereignisse protokolliert werden.
Verzeichnisdienst-Diagnoseprotokollierung
Mit dem folgenden Verfahren können Sie die Einträge ändern.
Vorsicht
Der Registrierungseditor umgeht die normalen Sicherheitsfunktionen. Sie können
so Einstellungen vornehmen, die das System beschädigen können oder sogar
dafür sorgen können, dass Windows neu installiert werden muss. Wenn möglich,
verwenden Sie statt des Registrierungseditors Gruppenrichtlinien oder andere
Windows-Tools, um die Einstellungen zu konfigurieren und Aufgaben
durchzuführen.
Anforderungen

Administrative Berechtigungen: Um dieses Verfahren ausführen zu können, müssen
Sie Mitglied der Gruppe Domänen-Admins in der Domäne des Domänencontrollers
sein, auf dem Sie das Protokollierungslevel ändern möchten.

Tools: Regedit.exe
Definieren der Protokollierungslevels
1. Klicken Sie auf Start, klicken Sie auf Ausführen, geben Sie regedit ein, und
klicken Sie dann auf OK.
2. Navigieren Sie zum Schlüssel
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\Diagnos
tics.
3. Klicken Sie doppelt auf den Eintrag und auf Dezimal.
4. Geben Sie einen Wert zwischen 0 und 5 ein, und klicken Sie dann auf OK.
Fehlersuche bei Active DirectoryReplikationsproblemen
Active Directory-Replikationsprobleme können verschiedenste Ursachen haben - zum
Beispiel DNS-Probleme, Netzwerkprobleme oder Sicherheitseinstellungen.
Fehler der eingehenden und ausgehenden Replikation können dazu führen, dass Active
Directory-Objekte inkonsistent werden. Dies führt entweder zu Fehlern im Betrieb von
Active Directory oder zu inkonsistenten Ergebnissen.
Empfehlungen aus Ereignissen
Idealerweise geben Fehler und Warnungen aus dem Ereignisprotokoll den Grund an, der
zu einem Replikationsfehler geführt hat. Wenn im Ereignis Schritte als Lösung
vorgeschlagen werden, sollten Sie die Schritte ausführen. Auch Repadmin und andere
Tools stellen Informationen zur Verfügung, die zur Lösung von Fehlern genutzt werden
können.
Ausschließen des offensichtlichen
Manchmal treten Replikationsfehler durch gewollte Aktionen auf. Diese Fehlerquellen
sollten Sie als erstes ausschließen.
Richtige Reaktion für Domänencontroller
unter Windows 2000 Server, die zu lange
inaktiv waren
Wenn ein Domänencontroller unter Windows 2000 Server länger als die TombstoneLebensdauer inaktiv war, sollten Sie die folgenden Schritte ausführen:
1. Verschieben Sie den Server aus dem Unternehmensnetzwerk in ein privates
Netzwerk.
2. Erzwingen Sie die Entfernung von Active Directory, oder installieren Sie das
Betriebssystem neu.
3. Entfernen Sie die Server-Metadaten aus Active Directory.
Anmerkung
Gelöschte NTDS-Settings-Objekte werden normalerweise nach 14 Tagen
automatisch neu erstellt. Wenn Sie die Server-Metadaten nicht entfernen, sind
diese daher nach 14 Tagen wieder im Verzeichnis vorhanden - was
logischerweise zu Fehlern führen kann
Fehlerursachen
Wenn Sie offensichtliche Fehler ausgeschlossen haben, kommen nur noch die folgenden
Fehlerursachen in Frage:

Netzwerkkonnektivität

Namensauflösung

Authentifizierung und Autorisierung

Datenbankspeicher (Transaktionen werden möglicherweise nicht schnell genug
ausgeführt und führen zu Timeouts).

Replikationsengine (möglicherweise können nicht alle anstehenden Replikationen
während eines standortübergreifenden Replikationsfensters ausgeführt werden).

Replikationstopologie
Grundsätzliche Vorgehensweise zur
Behebung von Problemen
1. Überwachen Sie täglich das korrekte Funktionieren der Replikation, oder fragen sie
den Replikationsstatus täglich mit Repadmin.exe ab.
2. Versuchen Sie, alle Fehler zeitnah zu beheben.
3. Wenn Sie das Problem nicht beheben können, entfernen Sie den
Domänencontroller. Weitere Informationen hierzu finden Sie unter
Dekomissionierung eines Domänencontrollers.
4. Wenn Active Directory nicht normal entfernt werden kann, nutzen Sie eines der
folgenden Verfahren:

Erzwingen Sie das Entfernen von Active Directory im
Verzeichnisdienstwiederherstellungsmodus, bereinigen Sie die Metadaten, und
installieren Sie Active Directory neu.

Installieren Sie das Betriebssystem neu, und richten Sie den Domänencontroller
neu ein.
Weitere Informationen zum Entfernen von Active Directory finden Sie unter Das
Entfernen eines Domänencontrollers erzwingen.
Überwachung der funktionierenden
Replikation
Mit den folgenden Verfahren können Sie das Funktionieren der Replikation überwachen:

Nutzen Sie eine Überwachungsanwendung, mit der bestimmte Fehler und Ereignisse
überwacht werden können.

Nutzen Sie Repadmin.
Verwenden einer Überwachungsanwendung
Sie können Microsoft Operations Manager (MOM) oder eine andere entsprechende
Anwendung nutzen. Weitere Informationen zu MOM finden Sie unter
http://go.microsoft.com/fwlink/?LinkId=41369.
Abfragen des Replikationsstatus mit Repadmin
Wen die Replikation korrekt funktioniert, können Sie sichergehen, dass alle
Domänencontroller online sind. Außerdem wissen Sie in diesem Fall, dass die folgenden
Systeme und Dienste korrekt arbeiten:

DNS-Infrastruktur

Kerberos

Windows Time Service (W32time)

Remote Procedure Call (RPC)

Netzwerkkonnektivität
Mit Repadmin können Sie eine .csv-Datei erstellen, in der Replikationsfehler eingetragen
werden.
Mit den folgenden Verfahren fragen Sie den Replikationsstatus aller Domänencontroller
in der Gesamtstruktur ab:
Anforderungen

Administrative Berechtigungen: Um dieses Verfahren abschließen zu können,
müssen Sie Mitglied der Gruppe Domänen-Admins in der Stammdomäne oder der
Gruppe Organisations-Admins der Gesamtstruktur sein.

Tools:
Repadmin.exe (Windows Support Tools)
Excel (Microsoft Office)
Abfrage des Replikationsstatus
1. Öffnen Sie eine Eingabeaufforderung, geben Sie den folgenden Befehl ein, und
drücken Sie dann die EINGABETASTE:
repadmin /showrepl * /csv >showrepl.csv
2. Klicken Sie in Excel auf Datei und auf Öffnen.
3. Klicken Sie auf Testdatei (*.prn;*.txt;*.csv).
4. Navigieren Sie zur Datei showrepl.csv, und klicken Sie dann auf Öffnen.
5. Klicken Sie mit rechts auf die Spalte mit dem Namen showrepl_COLUMNS
(Spalte A), und klicken Sie dann auf Verstecken. Wiederholen Sie die für die
Spalte Transport Type.
6. Klicken Sie auf die Zeile unter den Überschriften, und klicken Sie dann im Menü
Fenster auf Fixieren.
7. Klicken Sie auf die linke obere Ecke der Tabelle, um die ganze Tabelle zu
markieren. Klicken Sie im Menü Daten auf Filter und klicken Sie dann auf
AutoFilter.
8. Sortieren Sie die Spalte Last Success aufsteigend.
9. Sortieren Sie Spalte Source DC benutzerdefiniert. Legen Sie den folgenden
Filter fest:
a. Source DC = enthält nicht.
b. del für alle gelöschten Domänencontroller.
10. Sortieren Sie die Spalte Last Failure benutzerdefiniert::
a. Last Failure = entspricht nicht
b. 0 für alle Domänencontroller mit Fehlern
Mit der Option Autofilter lassen Sie so jeweils nur bestimmte Domänencontroller
anzeigen (fehlerfrei, Fehler, etc.).
Beheben von Problemen
Replikationsfehler werden über Ereignisse und Fehlermeldungen angezeigt. Die meisten
Probleme werden in den Ereignissen oder in den Ausgaben von repadmin /showrepl
genauer definiert.
repadmin /showrepl-Fehlermeldungen die
Replikationsprobleme anzeigen
In der folgenden Tabelle finden Sie die von repadmin /showrepl ausgegebenen
Fehlermeldungen und den Grund sowie eine Lösung für die entsprechenden Fehler.
repadmin /showrepl-Fehler
Repadmin-Fehler
Ursache
Lösung
The time since last
replication with this
server has exceeded
the tombstone
lifetime.
Ein Domänencontroller hat zu lange
nicht eine eingehende Replikation mit
dem Quelldomänencontroller
durchgeführt, als dass eine korrekte
Löschung mithilfe von Tombstones
durchgeführt werden könnte.
Ereigniss-ID 2042:
Zeitraum seit der letzten
Replikation zu lang
No inbound
neighbors.
Wenn unter “Inbound Neighbors”
nichts angezeigt wird, hat der
Domänencontroller keine
Replikationsverbindungen mit
anderen Domänencontrollern.
Beheben von
Konntektivitätsproblemen
(Ereignis-ID 1925)
Access is denied.
Es gibt eine Replikationsverbindung,
aber die kann aufgrund von
Authentifizierungsfehlern nicht
durchgeführt werden.
Beheben von
Sicherheitsproblemen im
Zusammenhang mit der
Replikation
Last attempt at <date
- time> failed with the
“Target account name
is incorrect.”
Dieses Problem kann durch eine
fehlende Konnektivität oder durch
DNS- oder Authentifizierungsfehler
entstehen. Bei einem DNS-Fehler
könnte der Domänencontroller den
GUID-basierten DNS-Namen des
Partners nicht auflösen.
Beheben von DNSLookup-Problemen
(Ereignis-IDs 1925,
2087, 2088)
Beheben von
Sicherheitsproblemen im
Zusammenhang mit der
Replikation
Beheben von
Konnektivitätsproblemen
(Ereignis-ID 1925)
LDAP Error 49.
Das Konto des Domänencontrollers
ist möglicherweise nicht mit dem KDC
synchronisiert (Key Distribution
Center).
Beheben von
Sicherheitsproblemen im
Zusammenhang mit der
Replikation
Repadmin-Fehler
Ursache
Lösung
Cannot open LDAP
connection to local
host
Konnte Active Directory nicht
kontaktieren.
Beheben von DNSLookup-Problemen
(Ereignis-IDs 1925,
2087, 2088)
Active Directory
replication has been
preempted.
Eingehende Replikation wurde
wegen einer Anfrage mit höherer
Priorität abgebrochen.
(Beispielsweise durch eine Anfrage
aufgrund von repadmin /sync).
Auf die Replikation
warten. Diese Meldung
ist normal.
Replication posted,
waiting.
Der Domänencontroller wartet auf
eine Antwort auf eine
Replikationsanfrage.
Auf die Replikation
warten. Diese Meldung
ist normal.
Ereignisse, die auf Active Directory-Replikationsprobleme
hinweisen
In der folgenden Tabelle finden Sie Ereignisse, die auf Probleme mit der Active DirectoryReplikation hinweisen können.
Ereignisse, die auf Active Directory-Replikationsprobleme hinweisen
Ereignis-ID und
Ursache
Lösung
1311 - NTDS
KCC
Replikationskonfiguration entspricht
nicht der Netzwerktopologie.
Beheben von Problemen mit
der Replikationstopologie
(Ereignis-ID1311)
1388 - NTDS
Replikation
Strikte Replikationskonsistenz ist
nicht in Kraft, und es wurde ein
veraltetes Objekt repliziert.
Beheben von Fehlern im
Zusammenhang mit
zurückgebliebenen Objekten
(Ereignis-ID 1388, 1988 und
2042)
Quelle
Ereignis-ID und
Ursache
Lösung
Versuch, eine
Replikationsverbindung für eine
beschreibbare Partition aufzubauen,
fehlgeschlagen. Kann verschiedene
Ursachen haben.
Beheben von
Konnektivitätsproblemen
(Ereignis-ID 1925)
1988 - NTDS
Replikation
Domänencontroller versuchte, ein
Objekt vom QuellDomänencontroller zu replizieren,
das es durch eine Löschung mit
Garbage Collection hier nicht mehr
gibt. Keine weitere Replikation mit
diesem Partner, bevor das Problem
nicht behoben ist.
Beheben von Fehlern im
Zusammenhang mit
zurückgebliebenen Objekten
(Ereignis-ID 1388, 1988 und
2042)
2042 - NTDS
Replikation
Keine Replikation mit dem Partner
für den Zeitraum der TombstoneLebensdauer. Replikation kann nicht
fortgeführt werden.
Beheben von Fehlern im
Zusammenhang mit
zurückgebliebenen Objekten
(Ereignis-ID 1388, 1988 und
2042)
2087 - NTDS
Replikation
Active Directory kann den DNSHostnamen des
Quelldomänencontrollers nicht
auflösen. Replikation
fehlgeschlagen.
Beheben von DNS-LookupProblemen (Ereignis-IDs
1925, 2087, 2088)
2088 - NTDS
Replikation
Active Directory kann den DNSHostnamen des
Quelldomänencontrollers nicht
auflösen. Replikation erfolgreich.
Beheben von DNS-LookupProblemen (Ereignis-IDs
1925, 2087, 2088)
Quelle
1925 - NTDS
KCC
Beheben von DNS-LookupProblemen (Ereignis-IDs
1925, 2087, 2088)
Ereignis-ID und
Ursache
Lösung
2095 - NTDS
Replikation
USN-Rollback und Replikation
angehalten. Zeigt eine fehlerhafte
Active Directory-Wiederherstellung
an. Möglicherweise über eine .vhdDatei.
Eine genaue Erklärung dieses
Problems und mögliche
Lösungen finden Sie unter
Running Domain Controllers in
Virtual Server 2005 unter
http://go.microsoft.com/fwlink/
?LinkId=38330).
5805 - NetLogon
Computerkonto konnte nicht
authentifiziert werden.
Normalerweise ein Hinweise auf
mehrfache Computernamen oder
einer unvollständige Replikation auf
den Domänencontrollern.
Beheben von
Sicherheitsproblemen im
Zusammenhang mit der
Replikation
Quelle
Weitere Informationen zu Replikationskonzepten finden Sie unter
http://go.microsoft.com/fwlink/?LinkId=41950.
Im folgenden Abschnitt finden Sie diese Informationen:
Beheben von Fehlern im Zusammenhang mit zurückgebliebenen Objekten
(Ereignis-ID 1388, 1988 und 2042)
Beheben von Sicherheitsproblemen im Zusammenhang mit der Replikation
Beheben von DNS-Lookup-Problemen (Ereignis-IDs 1925, 2087, 2088)
Beheben von Konnektivitätsproblemen (Ereignis-ID 1925)
Beheben von Problemen mit der Replikationstopologie (Ereignis-ID1311)
Beheben von Fehlern im Zusammenhang
mit zurückgebliebenen Objekten
(Ereignis-ID 1388, 1988 und 2042)
Wenn ein Domänencontroller für einen längeren Zeitraum als der TombstoneLebensdauer nicht repliziert hat und dann wieder in die Replikationstopologie integriert
wird, verbleiben gelöschte Objekte auf diesem Domänencontroller als veraltete Objekte.
Die Tombstone-Lebensdauer und die
Replikation von Löschungen
Wenn ein Objekt gelöscht wird, repliziert Active Directory das Objekt als Tombstone
(dieser besteht aus ein paar Attributen des gelöschten Objektes). Der Tombstone
verbleibt in einer Gesamtstruktur standardmäßig 60 Tage. Unter Windows Server 2003
Service Pack 1 (SP1) ändert sich dieser Wert auf 180 Tage - jedoch nur bei
Gesamtstrukturen, die direkt über Domänencontroller erstellt wurden, die unter
Windows Server 2003 SP1 ausgeführt werden.
Nach dem Ablauf der Lebensdauer wird der Tombstone dauerhaft entfernt. Sollte ein
Domänencontroller länger als die Lebensdauer nicht mit dem Netzwerk verbunden sein,
erfährt er somit nichts vom Löschen eines Objektes und das Objekt bleibt auf dem
Domänencontroller als veraltetes Objekt bestehen.
Anmerkung
Die Tombstone-Lebensdauer wird bei einer Aktualisierung auf
Windows Server 2003 SP1 nicht verändert. Sie müssen dies manuell erledigen.
Entstehung von veralteten Objekten
Sollte ein gelöschtes Objekt wie oben beschrieben auf einem längerfristig von Netzwerk
getrennten Domänencontroller zurückgeblieben sein, kann es passieren, dass dieses
Objekt wieder auf alle Domänencontroller der Domäne repliziert wird. Dies passiert dann,
wenn das Objekt auf dem veralteten Domänencontroller bearbeitet wird. In diesem Fall
repliziert Active Directory die Änderung am entsprechenden Objekt an einen
Domänencontroller, auf dem das Objekt aufgrund der Löschung nicht mehr vorhanden
ist.
In solchen Situationen kann der Ziel-Domänencontroller der Replikation auf zwei Arten
reagieren:

Wenn der Domänencontroller mit aktivierter strikter Replikationskonsistenz arbeitet,
erkennt er, dass er ein Objekt nicht aktualisieren kann und stoppt die eingehende
Replikation der Partition vom Quell-Domänencontroller.

Wenn die strikte Replikationskonsistenz nicht aktiviert ist, fordert er eine komplette
Replik des betreffenden Objektes an und schreibt dieses in sein Verzeichnis.
Gründe für längerfristig vom Netzwerk
getrennte Domänencontroller

Ein Domänencontroller wird irgendwo abgestellt und vergessen, oder die
Auslieferung eines Domänencontrollers an einen Remotestandort dauert länger als
erwartet.

Die Replikation schlägt fehl, und es gibt keine Überwachung. Replikationsfehler
können durch die folgenden Ursachen entstehen:

Es kommt durch die zugrunde liegende Netzwerkkonnektivität zu Fehlern bei der
eingehenden Replikation.

Ein Bridgeheadserver ist überlastet, und die Replikation kann nicht vollständig
ausgeführt werden. Zum Beispiel bei globalen Katalog Servern und zu kleinen
Zeitfenstern.
Anmerkung
Globale Katalog Server replizieren nur lesbare Versionen aller
Domänenpartitionen der Gesamtstruktur. Die Replikation dieser Partitionen hat
eine geringere Priorität als die von beschreibbaren Partitionen. Zusätzlich sind
globale Katalog Server oftmals Bridgeheadserver. Somit ist ihre Auslastung oft
besonders hoch, und es kann vorkommen, dass die nur lesbaren Partitionen
nicht mehr innerhalb eines Zeitfensters repliziert werden können. So kann es zu
veralteten Objekten auf dem Server kommen.

WAN-Verbindungen stehen für längere Zeiträume nicht zur Verfügung.

Ein Administrator hat die Tombstone-Lebensdauer verkürzt, um eine Löschung der
Tombstones zu erzwingen (Garbage Collection).

Die Systemuhr auf einem der Domänencontroller geht falsch. Solche Situationen
entstehen oft nach einem Neustart des Systems und können die folgenden Ursachen
haben:

Probleme mit der Batterie der Systemuhr oder des Mainboards.

Der Zeitgeber ist nicht korrekt konfiguriert.

Die Systemuhr wurde von einem Administrator umgestellt, damit dieser eine
Systemsicherung wiederherstellen kann oder um einen Garbage CollectionVorgang zu erzwingen.
Feststellen, ob ein Domänencontroller über
veraltete Objekte verfügt
Es kann sein, dass veraltete Objekte vorhanden sind und dies nicht bemerkt wird - und
zwar so lange, bis ein Administrator, ein Dienst oder eine Anwendung versucht, das
veraltete Objekt zu bearbeiten oder ein neues Objekte mit dem gleichen UPN erstellt.
Symptome, die auf veraltete Objekte hinweisen

Ein gelöschtes Benutzer- oder Gruppekonto verbleibt in der globalen Adressliste von
Exchange. Das Versenden von Emails an dieses Konto führt jedoch zu Fehlern.

Es werden mehrere Kopieren eines Objektes angezeigt, das eigentlich einzigartig
sein sollte. Wenn beispielsweise die relativen DNs von zwei Objekten nicht aufgelöst
werden können, wird der Text “*CNF:GUID” an deren Namen angehängt (CNF ist
eine Konstante, die auf einen Konflikt in der Namensauflösung hinweist, und GUID ist
der Wert aus dem Attribut objectGUID des Objektes).

Emails werden nicht an den scheinbar aktuellen Benutzer zugestellt.

Eine nicht mehr bestehende universelle Gruppe wird weiter im Zugriffstoken eines
Benutzers angezeigt. Es kann sein, dass der Benutzer sogar weiterhin über
Zugriffsmöglichkeiten verfügt, die er nicht mehr haben sollte.

Ein neues Objekt oder ein Exchange-Postfach können nicht erstellt werden. Es gibt
jedoch noch kein entsprechendes Objekt in Active Directory. Sie erhalten trotzdem
eine Fehlermeldung, die besagt, dass das Objekt bereits besteht.

Suchen, die Attribute eines bestehenden Objektes verwenden, geben
fälschlicherweise mehrere Objekte mit dem gleichen Namen zurück.
Wenn versucht wird, ein veraltetes Objekt zu bearbeiten, werden auf dem ZielDomänencontroller Ereignisse protokolliert. Sollte es das Objekt jedoch nur in einer
Partition eines globalen Katalogs geben (nur lesbar), kann dies natürlich nicht aktualisiert
werden - somit werden auch keine Ereignisse ausgelöst.
Registrierungseinstellungen, mit denen festgelegt wird, ob
veraltete Objekte repliziert werden
Der Registrierungseintrag strict replication consistency unter
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\Parameters
steuert das Verhalten bei veralteten Objekten:
Der Eintrag kann die folgenden Werte haben:

1 (aktiviert): Die eingehende Replikation der entsprechenden Verzeichnispartition von
dieser Quelle aus wird angehalten.

0 (deaktiviert): Der Ziel-Domänencontroller fordert das vollständige Objekt vom QuellDomänencontroller an und erstellt eine vollständige Kopie. Das gelöschte Objekt ist
somit in der Domäne wieder vorhanden.
Weitere Informationen zu diesem Thema finden Sie unter Beheben von Fehlern im
Zusammenhang mit zurückgebliebenen Objekten (Ereignis-ID 1388, 1988 und 2042).
Standardeinstellung für die strikte Replikationskonsistenz
Die Standardeinstellung von strict replication consistency hängt davon ab, unter
welchem Betriebssystem die Gesamtstruktur errichtet wurde.
Anmerkung
Das Anheben der Funktionsebene der Gesamtstruktur ändert nichts an dieser
Einstellung.
Aktiviert

Die Stammdomäne einer neuen Gesamtstruktur wurde durch die Aktualisierung
eines Windows NT 4.0-PDCs auf Windows Server 2003 mit der
Windows Server 2003-Version von Winnt32.exe erstellt.

Die Stammdomäne einer neuen Gesamtstruktur wurde durch die Installation von
Active Directory auf einem Server unter Windows Server 2003 erstellt.
Deaktiviert

Ein Domänencontroller unter Windows 2000 Server wurde auf Windows Server 2003
aktualisiert.

Ein Server unter Windows 2000 Server wird in eine Windows Server 2003Gesamtstruktur verschoben.
Unter Windows Server 2003 mit SP1 brauchen Sie die Registrierung nicht bearbeiten.
Stattdessen können Sie Repadmin nutzen. Weitere Informationen hierzu finden Sie unter
Ereignis-ID 1388 oder 1988: Veraltete Objekte gefunden.
Weitere Informationen zur strikten Replikationskonsistenz finden Sie unter
http://go.microsoft.com/fwlink/?LinkId=27636.
Tool für das Entfernen von veralteten
Objekten
Unter Windows Server 2003 oder Windows Server 2003 mit SP1 können Sie
Repadmin.exe (aus den Windows Support Tools) zur Entfernung von veralten Objekten
verwenden. Die Windows Server 2003-Version von Repadmin stellt die Option
/removelingeringobjects zur Verfügung, mit der alle veralteten Objekte sicher aus nur
lesbaren und beschreibbaren Partitionen entfernt werden können.
Der Befehl repadmin /removelingeringobjects geht folgendermaßen vor:
1. Er vergleicht die Objekte auf einem Referenz-Domänencontroller mit den Objekten
auf dem Ziel-Domänencontroller (der Domänencontroller, auf dem möglicherweise
veraltete Objekte vorhanden sind).
2. Er entfernt die Objekte oder protokolliert sie:

Mit /advisory_mode werden die Objekte nur im Verzeichnisprotokoll
protokolliert.

Mit /advisory_mode werden die Objekte gelöscht (nur auf dem ZielDomänencontroller).
Gehen Sie nach den Schritten aus dem Eintrag der folgenden Liste vor, der Ihr Problem
am besten beschreibt:

Ereignis-ID 1388 oder 1988: Veraltete Objekte gefunden

Ein gelöschtes Konto verbleibt im Adressbuch, Emails werden nicht empfangen, oder
es bestehen doppelte Konten

Ereignis-ID 2042: Zeitraum seit der letzten Replikation zu lang
Siehe auch
Konfiguration eines Computers für die Active Directory-Fehlersuche
Ereignis-ID 1388 oder 1988: Veraltete
Objekte gefunden
Wenn die Ereignisse 1388 oder 1988 auf einem Domänencontroller auftreten, wurden
veraltete Objekte gefunden:

1388: Auf dem Ziel-Domänencontroller ist eine eingehende Replikation eines
veralteten Objekts aufgetreten.

1988: Die eingehende Replikation einer Verzeichnispartition mit veralteten Objekten
wurde auf dem Ziel-Domänencontroller blockiert.
Ereignis-ID 1388
Bei diesem Ereignis hat ein Domänencontroller ohne strikte Replikationskonsistenz eine
Anfrage für die Aktualisierung eines lokal nicht vorhandenen Objektes erhalten. Daher
hat er das vollständige Objekt vom entsprechenden Replikationspartner angefordert. Das
Objekt wurde somit repliziert und auf dem Ziel-Domänencontroller neu erstellt.
Wichtig
Wenn einer der beiden Replikationspartner unter Windows 2000 Server
ausgeführt wird, können Sie die veralteten Objekte nicht mit Repadmin
entfernen. Weitere Informationen zu dieser Situation finden Sie unter
http://go.microsoft.com/fwlink/?LinkId=41410.
Beispielanzeige für das Ereignis:
Ereignistyp:Fehler
Ereignisquelle:NTDS Replication
Ereigniskategorie:Replication
Ereignis-ID:1388
Datum:2/21/2005
Uhrzeit:9:19:48 AM
Benutzer:NT AUTHORITY\ANONYMOUS LOGON
Computer:DC3
Beschreibung:
Another domain controller (DC) has attempted to replicate into this DC an
object which is not present in the local Active Directory database. The
object may have been deleted and already garbage collected (a tombstone
lifetime or more has past since the object was deleted) on this DC. The
attribute set included in the update request is not sufficient to create
the object. The object will be re-requested with a full attribute set
and re-created on this DC.
Source DC (Transport-specific network address):
4a8717eb-8e58-456c-995a-c92e4add7e8e._msdcs.contoso.com
Object:
CN=InternalApps,CN=Users,DC=contoso,DC=com
Object GUID:
a21aa6d9-7e8a-4a8f-bebf-c3e38d0b733a
Directory partition:
DC=contoso,DC=com
Destination highest property USN:
20510
User Action:
Verify the continued desire for the existence of this object. To
discontinue re-creation of future similar objects, the following
registry key should be created.
Registry Key:
HKLM\System\CurrentControlSet\Services\NTDS\Parameters\Strict Replication
Consistency
Ereignis-ID 1988
Bei diesem Ereignis hat ein Domänencontroller mit strikter Replikationskonsistenz eine
Anfrage für die Aktualisierung eines lokal nicht vorhandenen Objektes erhalten. Er hat die
Replikation der Verzeichnispartition, in der sich das Objekt befindet, blockiert.
Beispielanzeige für das Ereignis:
Ereignistyp:Fehler
Ereignisquelle:NTDS Replication
Ereigniskategorie:Replication
Ereignis-ID:1988
Datum:2/21/2005
Uhrzeit:9:13:44 AM
Benutzer:NT AUTHORITY\ANONYMOUS LOGON
Computer:DC3
Beschreibung:
Active Directory Replication encountered the existence of objects
in the following partition that have been deleted from the local
domain controllers (DCs) Active Directory database. Not all direct
or transitive replication partners replicated in the deletion
before the tombstone lifetime number of days passed. Objects that
have been deleted and garbage collected from an Active Directory
partition but still exist in the writable partitions of other DCs
in the same domain, or read-only partitions of global catalog servers
in other domains in the forest are known as “lingering objects”.
This event is being logged because the source DC contains a lingering
object which does not exist on the local DCs Active Directory database.
This replication attempt has been blocked.
The best solution to this problem is to identify and remove all
lingering objects in the forest.
Source DC (Transport-specific network address):
4a8717eb-8e58-456c-995a-c92e4add7e8e._msdcs.contoso.com
Object:
CN=InternalApps,CN=Users,DC=contoso,DC=com
Object GUID:
a21aa6d9-7e8a-4a8f-bebf-c3e38d0b733a
Ursache
Wenn ein Objekt gelöscht wird, repliziert Active Directory das Objekt als Tombstone
(dieser besteht aus ein paar Attributen des gelöschten Objektes). Der Tombstone
verbleibt in einer Gesamtstruktur standardmäßig 60 Tage. Unter Windows Server 2003
Service Pack 1 (SP1) ändert sich dieser Wert auf 180 Tage - jedoch nur bei
Gesamtstrukturen, die direkt über Domänencontroller erstellt wurden, die unter
Windows Server 2003 SP1 ausgeführt werden.
Nach dem Ablauf der Lebensdauer wird der Tombstone dauerhaft entfernt. Sollte ein
Domänencontroller länger als die Lebensdauer nicht mit dem Netzwerk verbunden sein,
erfährt er somit nichts vom Löschen eines Objektes und das Objekt bleibt auf dem
Domänencontroller als veraltetes Objekt bestehen.
Lösung
Sie können das veraltete Objekt aus dem Verzeichnis entfernen. Stellen Sie fest, auf
welchem Domänencontroller sich das Objekt befindet, und führen Sie das Tool repadmin
aus (repadmin /removelingeringobjects).
Gehen Sie folgendermaßen vor:
1. Ermitteln Sie die folgenden Daten über den Ereignistext:
a. Verzeichnispartition des Objekts.
b. Quell-Domänencontroller, der versucht hat, das Objekte zu replizieren.
2. Installieren Sie die Windows Support Tools auf dem Domänencontroller, auf dem das
Ereignis aufgetreten ist. Weitere Informationen finden Sie unter Konfiguration eines
Computers für die Active Directory-Fehlersuche.
3. Ermitteln der GUID eines autorisierenden Domänencontrollers mit Repadmin
4. Entfernen von veralteten Objekten mit Repadmin
5. Aktivieren der strikten Replikationskonsistenz (wenn notwendig).
Ermitteln der GUID eines autorisierenden
Domänencontrollers mit Repadmin
Für dieses Verfahren benötigen Sie die GUID eines aktuellen Domänencontrollers, der
über eine beschreibbare Kopie der entsprechenden Partition verfügt.
Die GUID ist im objectGUID-Attribut des NTDS-Settings-Objekts gespeichert.
Anforderungen

Administrative Berechtigungen: Sie müssen Mitglied der Gruppe Domänen-Admins
der Domäne des Domänencontrollers ServerName sein.

Tool: Repadmin.exe (Windows Support Tools)
Ermitteln der GUID eines Domänencontrollers
1. Öffnen Sie eine Eingabeaufforderung. Geben Sie den folgenden Befehl ein, und
drücken Sie dann die EINGABETASTE:
repadmin /showrepl ServerName
wobei ServerName der Name des Domänencontrollers ist, dessen GUID Sie
suchen.
2. Im ersten Abschnitt der Ausgabe suchen Sie nach dem Eintrag objectGuid.
Entfernen von veralteten Objekten mit Repadmin
Wenn Ziel- und Quell-Domänencontroller unter Windows Server 2003 ausgeführt wird,
können Sie Repadmin nutzen. Sollte einer der Domänencontroller unter
Windows 2000 Server ausgeführt werden, gehen Sie nach den Informationen aus dem
Artikel unter http://go.microsoft.com/fwlink/?LinkId=41410 vor.
Anforderungen
Betriebssystem: Windows Server 2003 auf beiden Servern.
Administrative Berechtigungen: Sie müssen Mitglied der Gruppe Domänen-Admins in der
Domäne aus der die Partition stammt.
Tool: Repadmin.exe (Windows Support Tools)
Entfernen von veralteten Objekten mit Repadmin
1. Geben Sie den folgenden Befehl ein, und drücken Sie dann die EINGABETASTE:
repadmin /removelingeringobjects ServerName ServerGUID
Verzeichnispartition/advisory_mode
Parameter
Beschreibung
ServerName
DNS-Name oder DN des Domänencontrollers mit den
veralteten Objekten.
ServerGUID
GUID eines Domänencontrollers, der über eine aktuelle
beschreibbare Kopie der Verzeichnispartition verfügt.
Verzeichnispartition DN der Domänen-Verzeichnispartition mit veralteten
Objekten. Beispiel,
DC=RegionalDomänenname,DC=Stammdomäne,DC=com.
Führen Sie den Befehl ebenfalls gegen die
Konfigurationspartition
(CN=configuration,DC=Stammdomäne,DC=com) und die
Schemapartition
(CN=schema,CN=configuration,DC=Stammdomäne) aus.
/advisory_mode protokolliert die entfernten Objekte, aber entfernt sie nicht.
2. Wenn Objekte gefunden werden, wiederholen Sie Schritt 1 ohne /advisory_mode
und löschen Sie die Objekte.
3. Wiederholen Sie die Schritte 1 und 2 für jeden Domänencontroller, der
möglicherweise veraltete Objekte hat.
Anmerkung
Der Parameter ServerName verwendet die DC_LIST-Syntax für repadmin. Sie
können somit * für alle Domänencontroller in der Gesamtstruktur und gc: für alle
globalen Katalog Server angeben.
Aktivieren der strikten Replikationskonsistenz
Unter Windows Server 2003 Service Pack 1 (SP1) müssen Sie den Wert nicht direkt
bearbeiten. Sie können stattdessen das Tool Repadmin verwenden. Dies ist jedoch nur
mit der Repadmin-Version aus den Support Tools von Windows Server 2003 SP1
möglich und kann nur auf Domänencontrollern unter Windows Server 2003 SP1
ausgeführt werden.
Verwenden von Repadmin zum Aktivieren der strikten
Replikationskonsistenz
Anforderungen:
Betriebssystem: Windows Server 2003 mit SP1
Administrative Berechtigungen:

Für einen einzelnen Domänencontroller müssen Sie Mitglied der Gruppe DomänenAdmins sein.

Für alle Domänencontroller müssen Sie Mitglied der Gruppe Organisations-Admins
sein.
Tool: Repadmin.exe (Windows Support Tools von Windows Server 2003 SP1)
Aktivieren der strikten Replikationskonsistenz
1. Öffnen Sie eine Eingabeaufforderung, geben Sie den folgenden Befehl ein, und
drücken Sie dann die EINGABETASTE:
repadmin /regkey DC_LISTE {+|-}key
Parameter
Beschreibung
DC_LIST
Name (DNS oder DN) eines einzelnen
Domänencontrollers (* für alle
Domänencontroller der
Gesamtstruktur).
{+|-}key
+ aktivieren, - deaktivieren
key = strict.
Beispiel: +strict zum Aktivieren.
Anmerkung
Weitere Optionen von und Informationen zum DC_LISTE-Parameter erhalten Sie
mit repadmin /listhelp.
Bearbeiten der Registrierung zur Aktivierung der strikten
Replikationskonsistenz
Unter Windows Server 2003 ohne SP müssen Sie die Registrierung bearbeiten.
Die Einstellung ist im Eintrag Strict Replication Consistency unter
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\Parameters
gespeichert.
Die folgenden Werte sind möglich:

Wert: 1 (0 to Deaktiviert)

Standardwert: 1 bei einer neuen Windows Server 2003-Gesamtstruktur - andernfalls
0.

Datentyp: REG_DWORD
Anforderungen:
Betriebssystem: Windows Server 2003, Windows 2000 Server mit SP3,
Windows 2000 Server mit SP4
Administrative Berechtigungen: Um das Verfahren ausführen zu können, müssen Sie
Mitglied der Gruppe Domänen-Admins sein.
Tool: Registrierungseditor (Regedit.exe)
Vorsicht
Der Registrierungseditor umgeht die normalen Sicherheitsfunktionen. Sie können
so Einstellungen vornehmen, die das System beschädigen können oder sogar
dafür sorgen können, dass Windows neu installiert werden muss. Wenn möglich,
verwenden Sie statt des Registrierungseditors Gruppenrichtlinien oder andere
Windows-Tools, um die Einstellungen zu konfigurieren und Aufgaben
durchzuführen.
Aktivieren der strikten Replikationskonsistenz über die Registrierung
1. Öffnen Sie den Registrierungseditor.
2. Navigieren Sie zu Strict Replication Consistency unter
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\Parame
ters.
3. Setzen Sie den Wert Strict Replication Consistency auf 1.
Ein gelöschtes Konto verbleibt im
Adressbuch, Emails werden nicht
empfangen, oder es bestehen doppelte
Konten
Sollten diese Symptome auftreten und kein Fehlerereignis angezeigt werden, über das
Sie das veraltete Objekt und die entsprechende Partition ermitteln können, müssen Sie
im globalen Katalog nach diesen Informationen suchen.
Lösung
Je nach den Symptomen haben Sie wahrscheinlich schon eine Theorie dazu, welches
Objekt die Probleme verursacht. Sie können das Problem mit den folgenden Schritten
beheben:

Identifizieren Sie das Objekt über den globalen Katalog.

Ermitteln Sie die Partition des Objekts.

Entfernen Sie die veralteten Objekte auf allen globalen Katalog Servern der
Gesamtstruktur aus der Verzeichnispartition.
Ermitteln des doppelten (veralteten) Objekts
Mit dem folgenden Verfahren können Sie das doppelte (veraltete) Objekt ermitteln.
Verwenden Sie ein Attribut, welches das Objekt eindeutig identifiziert, und suchen Sie im
Verzeichnis nach dem Objekt.
Anforderungen

Administrative Berechtigungen: Um dieses Verfahren durchführen zu können,
müssen Sie Mitglied der Gruppe Domänenbenutzer sein.

Tool: Ldp.exe (Windows Support Tools)
Ermitteln des DNs eines Objekts
1. Klicken Sie auf Start, klicken Sie auf Ausführen, geben Sie Ldp ein, und klicken
Sie dann auf OK.
2. Klicken Sie auf Connect.
3. Geben Sie unter Port den Wert 3268 ein, und klicken Sie dann auf OK.
4. Klicken Sie auf Bind.
5. Geben Sie die Anmeldeinformationen eines Benutzerkontos aus der
Gesamtstruktur ein, und klicken Sie dann auf OK.
6. Klicken Sie auf Tree.
7. Geben Sie unter BaseDN den DN der Stammdomäne ein, und klicken Sie dann
auf OK.
8. Klicken Sie im Konsolenbereich mit rechts auf die Stammdomäne, und klicken
Sie dann auf Search.
9. Geben Sie unter Filter einen Filter in der folgenden Form ein:
(Attribut=Wert)
Wobei Attribut der LAP-Name eines Attributs und Wert der Ihnen bekannte Wert
ist. Mit ([email protected]), (sAMAccountName=JanD)
oder (sn=Dryml) finden Sie zum Beispiel das Benutzerobjekt von Jan Dryml. Mit
dem Stern (*) als Wert finden Sie alle Objekte.
10. Klicken Sie auf Subtree, und klicken Sie dann auf Run.
11. Klicken Sie auf Close, und prüfen Sie das Ergebnis.
12. Wenn nötig, wiederholen Sie die Schritte 8 bis 10, bis Sie das Objekt gefunden
haben.
Ermitteln der Verzeichnispartition eines Objekts
Wenn Sie den DN haben, finden Sie die Verzeichnispartition im "DC="-Teil des DNs. Für
den DN CN=Jan Dryml,CN=Users,DC=Region1,DC=Contoso,DC=com wäre die Partition
also zum Beispiel DC=Region1,DC=Contoso,DC=com.
Entfernen des veralteten Objekts
Führen Sie die Schritte unter Ereignis-ID 1388 oder 1988: Veraltete Objekte gefunden
aus.
Ereignis-ID 2042: Zeitraum seit der
letzten Replikation zu lang
Wenn ein Objekt gelöscht wird, repliziert Active Directory das Objekt als Tombstone
(dieser besteht aus ein paar Attributen des gelöschten Objektes). Der Tombstone
verbleibt in einer Gesamtstruktur standardmäßig 60 Tage. Unter Windows Server 2003
Service Pack 1 (SP1) ändert sich dieser Wert auf 180 Tage - jedoch nur bei
Gesamtstrukturen, die direkt über Domänencontroller erstellt wurden, die unter
Windows Server 2003 SP1 ausgeführt werden.
Nach dem Ablauf der Lebensdauer wird der Tombstone dauerhaft entfernt. Sollte ein
Domänencontroller länger als die Lebensdauer nicht mit dem Netzwerk verbunden sein,
erfährt er somit nichts vom Löschen eines Objektes und das Objekt bleibt auf dem
Domänencontroller als veraltetes Objekt bestehen.
Wenn dies passiert und eine Replikation stattfindet, wird Ereignis 2042 im
Verzeichnisdienstprotokoll eingetragen.
Beispielanzeige für das Ereignis:
Ereignistyp:Fehler
Ereignisquelle:NTDS Replication
Ereigniskategorie:Replication
Ereignis-ID:2042
Datum:3/22/2005
Uhrzeit:7:28:49 AM
Benutzer:NT AUTHORITY\ANONYMOUS LOGON
Computer:DC3
Beschreibung:
It has been too long since this machine last replicated with the
named source machine. The time between replications with this source
has exceeded the tombstone lifetime. Replication has been stopped
with this source.
The reason that replication is not allowed to continue is that
the two machine’s views of deleted objects may now be different.
The source machine may still have copies of objects that have
been deleted (and garbage collected) on this machine. If they
were allowed to replicate, the source machine might return
objects which have already been deleted.
Time of last successful replication:
2005-01-21 07:16:03
Invocation ID of source:
0397f6c8-f6b8-0397-0100-000000000000
Name of source:
4a8717eb-8e58-456c-995a-c92e4add7e8e._msdcs.contoso.com
Tombstone lifetime (days):
60
The replication operation has failed.
User Action:
Determine which of the two machines was disconnected from the
forest and is now out of date. You have three options:
1. Demote or reinstall the machine(s) that were disconnected.
2. Use the “repadmin /removelingeringobjects” tool to remove
inconsistent deleted objects and then resume replication.
3. Resume replication. Inconsistent deleted objects may be introduced.
You can continue replication by using the following registry key.
Once the systems replicate once, it is recommended that you remove
the key to reinstate the protection.
Registry Key:
HKLM\System\CurrentControlSet\Services\NTDS\Parameters\Allow Replication With
Divergent and Corrupt Partner
repadmin /showrepl gibt außerdem Fehler Nummer 8416 aus:
Source: Default-First-Site-Name\DC1
******* 1502 CONSECUTIVE FAILURES since 2005-01-21 07:16:00
Last error: 8614 (0x21a6):
The Active Directory cannot replicate with this server
because the time since the last replication with this server has
exceeded the tombstone lifetime.
Lösung
Gehen Sie folgendermaßen vor:

Führen Sie den Befehl repadmin /showrepl auf dem Domänencontroller aus, auf
dem der Fehler aufgetreten ist.

Entfernen Sie die veralteten Objekte. Gehen Sie hierbei nach den Anweisungen aus
dem Abschnitt Ereignis-ID 1388 oder 1988: Veraltete Objekte gefunden vor.

Starten Sie die Replikation auf dem Ziel-Domänencontroller neu. Hierzu müssen Sie
eine Registrierungseinstellung bearbeiten. Wenn Sie nicht auf das Entfernen der
veralteten Objekte warten wollen, können Sie die Replikation mit diesem Verfahren
auch sofort neu starten.

Setzen Sie die Registrierungseinstellung zurück, um den Domänencontroller wieder
vor veralteten Objekten zu schützen.
Neustart der Replikation nach Ereignis-ID 2042
Um die eingehende Replikation auf einem Domänencontroller nach Ereignis-ID 2042 neu
zu starten, müssen Sie den Wert Allow Replication With Divergent and Corrupt
Partner unter
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\Parameters
bearbeiten.
Es ist kein Neustart des Domänencontrollers notwendig.
Vorsicht
Der Registrierungseditor umgeht die normalen Sicherheitsfunktionen. Sie können
so Einstellungen vornehmen, die das System beschädigen können oder sogar
dafür sorgen können, dass Windows neu installiert werden muss. Wenn möglich,
verwenden Sie statt des Registrierungseditors Gruppenrichtlinien oder andere
Windows-Tools, um die Einstellungen zu konfigurieren und Aufgaben
durchzuführen.
Anforderungen

Administrative Berechtigungen: Sie müssen Mitglied der Gruppe Domänen-Admins in
der Domäne sein, in der sich der Domänencontroller befindet.

Tool: Regedit.exe
Neustart der Replikation nach Ereignis-ID 2042
1. Klicken Sie auf Start, klicken Sie auf Ausführen, geben Sie regedit ein, und
klicken Sie dann auf OK.
2. Navigieren Sie zu
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\Parame
ters
3. Erstellen oder Bearbeiten Sie den Eintrag:
Wenn der Eintrag vorhanden ist:
a. Klicken Sie mit rechts auf Allow Replication With Divergent and Corrupt
Partner, und klicken Sie dann auf Bearbeiten.
b. Geben Sie 1 ein, und klicken Sie dann auf OK.
Wenn der Eintrag nicht vorhanden ist:
a. Klicken Sie mit rechts auf Parameters, klicken Sie auf Neu, und klicken Sie
dann auf DWORD Wert.
b. Geben Sie als Namen Allow Replication With Divergent and Corrupt
Partner ein, und drücken Sie die EINGABETASTE.
c.
Klicken Sie doppelt auf den Eintrag. Geben Sie 1 ein, und klicken Sie dann auf
OK.
Zurücksetzen der Registrierungseinstellung für veraltete
Objekte
Wenn die Replikation wieder vor veralteten Objekten geschützt werden soll, müssen Sie
den Registrierungswert Allow Replication With Divergent and Corrupt Partner wieder
mit 0 konfigurieren.
Beheben von Sicherheitsproblemen im
Zusammenhang mit der Replikation
Bei Sicherheitsproblemen werden diverse Ereignisse protokolliert. Repadmin-Ausgaben
enthalten außerdem Fehlercodes, mit denen das Problem genauer identifiziert werden
kann.
Die Dcdiag.exe-Version aus den Windows Support Tools von Windows Server 2003
Service Pack 1 (SP1) stellt eine neue Funktionalität zur Verfügung, mit der Sie den
Gesamtzustand der Replikation in Bezug auf Active Directory überprüfen können. Dcdiag
erkennt die häufigsten Gründe, die zu Fehlern wie “Zugriff verweigert” und “Unbekanntes
Konto” führen.
In der folgenden Tabelle finden Sie die Fehlercodes von Dcdiag. Die mit einem Stern
markierten Fehlercodes müssen nicht zwangsweise auf ein Sicherheitsproblem
hinweisen.
Fehlercode
Beschreibung
5
Zugriff verweigert
1314*
Der Client verfügt nicht über eine
erforderliche Berechtigung.
1326
Anmeldefehler: Unbekannter
Benutzername oder falsches Kennwort.
1396
Anmeldefehler: Ziel-Kontenname ist falsch.
1908
Kann keinen Domänencontroller für diese
Domäne finden.
1397*
Gegenseitige Authentifizierung
fehlgeschlagen. Das Serverkennwort ist
veraltet.
1398*
Zeit- und/oder Datumsunterschied
zwischen Client und Server.
1722*
RPC-Server nicht verfügbar.
2202*
Angegebener Benutzername ungültig.
8453
Replikationszugriff verweigert.
Beheben Sie Sicherheitsprobleme in Bezug auf die Replikation mit den Schritten aus
Abschnitt Ein "Zugriff verweigert"-Fehler oder ein anderer Sicherheitsfehler hat
Replikationsprobleme verursacht.
Ein "Zugriff verweigert"-Fehler oder ein
anderer Sicherheitsfehler hat
Replikationsprobleme verursacht
Sie können entsprechende Replikationsfehler mit Dcdiag.exe aus den Windows Support
Tools von Windows Server 2003 Service Pack 1 (SP1) diagnostizieren und beheben.
Ursache
Ein Domänencontroller kann aufgrund von Sicherheitsproblemen seinen Partner nicht
erreichen und daher keine Replikation durchführen.
Lösung
Führen Sie die von Dcdiag aus den Windows Support Tools von
Windows Server 2003 SP1 zur Verfügung gestellten Tests aus.
Testen eines Domänencontroller auf Sicherheitsfehler
bezüglich der Replikation
Anforderungen

Administrative Berechtigungen: Sie müssen Mitglied der Gruppe Domänen-Admins
der Domäne des Domänencontrollers sein, den Sie testen wollen. Alternativ müssen
Sie Mitglied der Gruppe Organisations-Admins sein.

Tool: Dcdiag.exe (Windows Support Tools) von Windows Server 2003 SP1

Betriebssystem:

Sie können die verbesserte Version von Dcdiag zwar auch unter Windows XP
Professional und Windows Server 2003 ohne SP ausführen, aber um den
Sicherheitstest (/test:CheckSecurityError) durchführen zu können, ist ein
Domänencontroller unter Windows Server 2003 mit SP1 erforderlich.

Sie können die Tests gegen Domänencontroller mit den folgenden
Betriebssystemen durchführen:
Windows 2000 Server Service Pack 3 (SP3)
Windows 2000 Server Service Pack 4 (SP4)
Windows Server 2003
Windows Server 2003 SP1
Testen eines Domänencontroller auf Sicherheitsfehler bezüglich der
Replikation
1. Öffnen Sie eine Eingabeaufforderung. Geben Sie den folgenden Befehl ein, und
drücken Sie dann die EINGABETASTE:
dcdiag /test:CheckSecurityError /s:DomänencontrollerName
wobei DomänencontrollerNameis der DNS- oder NetBIOS-Name oder der DN
des zu testenden Domänencontrollers ist.
Wenn Sie den Schalter /s: nicht verwenden, wird der Test gegen den lokalen
Domänencontroller ausgeführt. Mit /e: testen Sie alle Domänencontroller der
Gesamtstruktur.
2. Kopieren Sie den Bericht in Notepad.
3. Scrollen Sie zur Zusammenfassung am Ende.
4. Notieren Sie sich die Namen aller Domänencontroller, bei denen als Status
“Warn” oder “Fail” angegeben ist.
5. Suchen Sie in den entsprechenden Abschnitt nach der genauen
Problembeschreibung.
6. Nehmen Sie die notwendigen Änderungen auf den Domänencontrollern vor.
Führen Sie Dcdiag /test:CheckSecurityError mit /e: oder /s: ein weiteres Mal
aus.
Testen der Verbindung zwischen zwei Domänencontrollern
bei Sicherheitsproblemen
In den folgenden Szenarien ist es sinnvoll, die Verbindung bei Sicherheitsproblemen
bezüglich der Replikation zu testen:

Es besteht eine Verbindung, aber Sie erhalten einen Sicherheitsfehler.

Der KCC sollte automatisch eine Verbindung erstellen, und Sie möchten feststellen,
warum dies nicht passiert.

Sie versuchen, eine Verbindung zu erstellen, erhalten jedoch einen Sicherheitsfehler.

Sie möchten feststellen, ob eine Verbindung erstell werden könnte.
Anforderungen

Administrative Berechtigungen: Sie müssen Mitglied der Gruppe Domänen-Admins in
der Domäne sein, in der sich die Domänencontroller befinden, oder Mitglied der
Gruppe Organisations-Admins, wenn Sie Verbindung zwischen Domänencontrollern
in verschiedenen Domänen testen möchten.

Tool: Dcdiag.exe (Windows Support Tools) von Windows Server 2003 SP1

Betriebssystem:

Sie können die verbesserte Version von Dcdiag zwar auch unter Windows XP
Professional und Windows Server 2003 ohne SP ausführen, aber um den
Sicherheitstest (/test:CheckSecurityError) durchführen zu können, ist ein
Domänencontroller unter Windows Server 2003 mit SP1 erforderlich.

Sie können die Tests gegen Domänencontroller mit den folgenden
Betriebssystemen durchführen:
Windows 2000 Server Service Pack 3 (SP3)
Windows 2000 Server Service Pack 4 (SP4)
Windows Server 2003
Windows Server 2003 SP1
Testen der Verbindung zwischen zwei Domänencontrollern bei
Sicherheitsproblemen
1. Öffnen Sie eine Eingabeaufforderung. Geben Sie den folgenden Befehl ein, und
drücken Sie dann die EINGABETASTE:
dcdiag /test:CheckSecurityError /ReplSource:QuellDomänencontrollerName
wobei QuellDomänencontrollerName der DNS- oder NetBIOS-Name oder DN
des Domänencontrollers ist, zu dem Sie die Verbindung testen möchten.
2. Kopieren Sie den Bericht in Notepad.
3. Scrollen Sie zu Zusammenfassung am Ende.
4. Notieren Sie sich die Namen aller Domänencontroller, bei denen als Status
“Warn” oder “Fail” angegeben ist.
5. Suchen Sie in den entsprechenden Abschnitt nach der genauen
Problembeschreibung.
6. Nehmen Sie die notwendigen Änderungen auf den Domänencontrollern vor.
7. Führen Sie Dcdiag /test:CheckSecurityError
/ReplSource:QuellDomänencontrollerName ein weiteres Mal aus.
Beheben von DNS-Lookup-Problemen
(Ereignis-IDs 1925, 2087, 2088)
Domänencontroller unter Windows 2000 Server oder Windows Server 2003 können
Active Directory nicht replizieren, wenn DNS-Lookups fehlschlagen und somit einen
Kontakt mit dem Replikationspartner verhindern. Lookupfehler treten dann auf, wenn ein
Domänencontroller den GUID-basierten CNAME-Ressourceneintrag des anderen
Domänencontrollers nicht in einer IP-Adresse auflösen kann. Die entsprechenden DNSEinträge werden in der Zone _msdcs.GesamtstrukturStammdomäne registriert.
Die meisten DNS-Fehler treten durch Fehlkonfigurationen der DNS-Clienteinstellungen
oder durch Fehlerkonfiguration der DNS-Server auf. Es kann sich außerdem um
Netzwerkprobleme und nicht mit dem Netzwerk verbundene Domänencontroller handeln.
Verbesserungen der DomänencontrollerNamensauflösung in SP1
Domänencontroller unter Windows Server 2003 mit SP1 reagieren robuster auf Fehler
der DNS-Namensauflösung. Statt sofort einen Fehler auszulösen, versuchen diese
Domänencontroller eine alternative Namensauflösung und halten diese Aktion im
Ereignisprotokoll fest.
Szenarien für DNS-Fehler
Alle Domänencontroller registrieren mehrere SRV-Ressoruceneintrage (Service
Location) und Hosteinträge (A) für jede ihrer IP-Adressen. Außerdem einen zusätzlichen
Hosteintrag für jede IP-Adresse, wenn es sich um einen globalen Katalog Server handelt.
Zusätzlich wird für jeden Domänencontroller ein CNAME-Eintrag registriert.
In der folgenden Tabelle finden Sie alle DNS-Ressourceneinträge, die für ein korrektes
Funktionieren von Domänencontrollern notwendig sind.
Abkürzung
Typ
Ressourceneintrag
pdc
SRV
_ldap._tcp.pdc._msdcs.DnsDomänenname
gc
SRV
_ldap_tcp.gc._msdcs.DnsGesamtstrukturStammdomänenname
GcIpAddress
A
_gc._msdcs.DnsGesamtstrukturStammdomänenname
Abkürzung
Typ
Ressourceneintrag
DsaCname
CNAME
DsaGuid._msdcs.DnsGesamtstrukturStammdomänenname
kdc
SRV
_kerberos._tcp.dc._msdcs.DnsDomänenname
dc
SRV
_ldap._tcp.dc._msdcs.DnsDomänenname
None
A
DomänencontrollerFQDN
Der CNAME-Eintrag (DSA_GUID._msdcs.DnsGesamtstrukturStammdomänenname),
DSA_GUID ist die GUID aus dem NTDS-Settings-Objekt (auch Directory System Agent DAS-Objekt genannt) des Domänencontrollers.
DnsGesamtstrukturStammdomänenname ist der DNS-Name der Gesamtstruktur, in der
sich der Domänencontroller befindet. Ziel-Domänencontroller nutzen den CNAMEEintrag, um ihren Replikationspartner zu finden.
Der NetLogon-Dienst auf dem Domänencontroller registriert beim Start des
Betriebssystems alle SRV-Einträge. Außerdem aktualisiert er diese regelmäßig. Der
DNS-Clientdienst registriert den A-Eintrag.
Mit den folgenden Schritten findet ein Domänencontroller seinen Replikationspartner:
1. Er fragt seinen DNS-Server nach dem CNAME-Eintrag des Partners. Unter
Windows 2000 Server oder Windows Server 2003 ohne SP wird bei einem
Fehlerschlag ein Replikationsfehler ausgelöst.
2. Unter Windows Server 2003 mit SP1 wird bei einem Fehlerschlag nach dem AEintrag des Partners gesucht (Beispiel DC03.corp.contoso.com).
3. Wenn dies ebenfalls fehlschlägt, führt der Domänencontroller einen NetBIOSBroadcast durch und versucht, den Namen des Partners so aufzulösen.
Wenn die Namensauflösung fehlschlägt, wird ein Eintrag im Verzeichnisprotokoll erstellt.
DNS-Ereignisse bei fehlerhaften Namensauflösungen
Unter Windows Server 2003 mit SP1 werden die beiden Ereignisse 2087 und 2088
protokolliert:

Bei einem Fehlschlag wird Ereignis-ID 2087 protokolliert.

Wenn die Namensauflösung zwar erfolgreich ist, jedoch der erste oder zweite Schritt
fehlgeschlagen ist, wird Ereignis-ID 2088 protokolliert.
Auf Domänencontrollern unter Windows 2000 Server oder Windows Server 2003 ohne
SP hat der Domänencontroller bei Ereignis-ID 1925 keinen Replikationspartner
gefunden.
Unabhängig davon, ob die Replikation erfolgreich oder nicht erfolgreich ist, wird EreignisID 1925, Ereignis-ID 2087 oder Ereignis-ID 2088 protokolliert. Sie sollten auf jeden Fall
den Grund für dieses Ereignis ermitteln.
DNS-Anforderungen für einen erfolgreichen
CNAME-Lookup
Wenn CNAME-Lookup fehlschlägt, bedeutet dies im Allgemeinen, dass der DNS-Client
oder der DNS-Server nicht korrekt konfiguriert ist.
Das Auflösen eines vollqualifizierten, GUID-basierten CNAME-Eintrags setzt die
folgenden DNS-Konfigurationen voraus:
1. In ihren TCP/IP-Clienteinstellungen müssen beide Domänencontroller so konfiguriert
sein, dass Sie DNS-Server verwenden, die Zonenweiterleitungen oder delegierungen für die folgenden Zonen oder die direkten Zonen hosten. :
a. _msdcs.ForestRootDNSDomänenname
b. Die DNS-Zone, die dem primären DNS-Suffix des Ziel-Domänencontroller
entspricht.
Wenn die DNS-Server diese Zonen nicht direkt hosten, müssen Sie für eine
Weiterleitung an die entsprechenden DNS-Server konfiguriert sein.
2. Der Quell-Domänencontroller muss die folgenden Ressourceneinträge registriert
haben:

GUID-basierter CNAME-Eintrag für die Zone
_msdcs.ForestRootDNSDomänenname

Host-Eintrag in der Zone, die seinem primären DNS-Suffix entspricht.
Potenzielle Fehler aufgrund der Replikationslatenz
Es kann sein, dass die DNS-Konfiguration auf beiden Domänencontroller korrekt ist, aber
dass die DNS-Einträge aufgrund von Konfigurationsänderungen auf dem QuellDomänencontroller noch nicht in Kraft sind. In diesem Fall kann ein DNS-Lookup
folgendermaßen fehlschlagen:

Wenn der Quell-Domänencontroller den DNS-Server, auf dem er seine Einträge
registriert, ändert, kann es sein, dass sich die Einträge des vom ZielDomänencontroller abgefragten DNS-Servers von den Einträgen auf dem neuen
DNS-Server des Quell-Domänencontrollers unterscheiden. Dies kann passieren,
wenn die Einträge noch nicht zum DNS-Server des Ziel-Domänencontrollers repliziert
wurden.
Sollte ein solches Problem auftreten, wählen Sie aus der folgenden Liste das Verfahren
aus, das das Problem am besten beschreibt.
Ereignis-ID 1925: Aufgrund eines DNS-Lookup-Problems fehlgeschlagener
Versuch, eine Replikationsverbindung aufzubauen
Ereignis-ID 2087: DNS-Lookup sorgt für einen Replikationsfehler
Ereignis-ID 2088: DNS-Lookup-Fehler mit erfolgreicher Replikation
Ereignis-ID 1925: Aufgrund eines DNSLookup-Problems fehlgeschlagener
Versuch, eine Replikationsverbindung
aufzubauen
Bei Ereignis-ID 1925 ist die eingehende Replikation einer Verzeichnispartition
fehlgeschlagen. Sie müssen das entsprechende DNS-Problem beheben.
Beispielanzeige für das Ereignis:
Ereignistyp:Warnung
Ereignisquelle:NTDS KCC
Ereigniskategorie:Knowledge Consistency Checker
Ereignis-ID:1925
Datum:3/24/2005
Uhrzeit:9:15:46 AM
Benutzer:NT AUTHORITY\ANONYMOUS LOGON
Computer:DC3
Beschreibung:
The attempt to establish a replication link for the following
writable directory partition failed.
Directory partition:
CN=Configuration,DC=contoso,DC=com
Source domain controller:
CN=NTDS Settings,CN=DC1,CN=Servers,CN=Default-First-SiteName,CN=Sites,CN=Configuration,DC=contoso,DC=com
Source domain controller address:
f8786828-ecf5-4b7d-ad12-8ab60178f7cd._msdcs.contoso.com
Intersite transport (if any):
This domain controller will be unable to replicate with the
source domain controller until this problem is corrected.
User Action
Verify if the source domain controller is accessible or
network connectivity is available.
Additional Data
Error value:
8524 The DSA operation is unable to proceed because of a DNS
lookup failure.
Lösung
Gehen Sie nach den im Abschnitt “Ereignis-ID 2087: DNS-Lookup sorgt für einen
Replikationsfehler” beschriebenen Schritten vor.
Ereignis-ID 2087: DNS-Lookup sorgt für
einen Replikationsfehler
Wenn ein Ziel-Domänencontroller unter Windows Server 2003 mit Service Pack 1 (SP1)
das Ereignis 2087 auslöst, konnte der Name des Quell-Domänencontrollers über keinen
der möglichen Wege aufgelöst werden.
Beispielanzeige für das Ereignis:
Ereignistyp:Fehler
Ereignisquelle:NTDS Replication
Ereigniskategorie:DS RPC Client
Ereignis-ID:2087
Datum:3/9/2005
Uhrzeit:11:00:21 AM
Benutzer:NT AUTHORITY\ANONYMOUS LOGON
Computer:DC3
Beschreibung:
Active Directory could not resolve the following DNS host name of
the source domain controller to an IP address. This error prevents
additions, deletions and changes in Active Directory from replicating
between one or more domain controllers in the forest. Security
groups, group policy, users and computers and their passwords will
be inconsistent between domain controllers until this error is
resolved, potentially affecting logon authentication and access
to network resources.
Source domain controller:
dc2
Failing DNS host name:
b0069e56-b19c-438a-8a1f-64866374dd6e._msdcs.contoso.com
NOTE: By default, only up to 10 DNS failures are shown for any
given 12 hour period, even if more than 10 failures occur. To
log all individual failure events, set the following diagnostics
registry value to 1:
Registry Path:
HKLM\System\CurrentControlSet\Services\NTDS\Diagnostics\22 DS RPC Client
User Action:
1) If the source domain controller is no longer functioning or
its operating system has been reinstalled with a different
computer name or NTDSDSA object GUID, remove the source domain
controller’s metadata with ntdsutil.exe, using the steps outlined
in MSKB article 216498.
2) Confirm that the source domain controller is running Active
Directory and is accessible on the network by typing
“net view \\<source DC name>” or “ping <source DC name>”.
3) Verify that the source domain controller is using a valid
DNS server for DNS services, and that the source domain
controller’s host record and CNAME record are correctly
registered, using the DNS Enhanced version of DCDIAG.EXE
available on http://www.microsoft.com/dns
dcdiag /test:dns
4) Verify that that this destination domain controller is using
a valid DNS server for DNS services, by running the DNS Enhanced
version of DCDIAG.EXE command on the console of the destination
domain controller, as follows:
dcdiag /test:dns
5) For further analysis of DNS error failures see KB 824449:
http://support.microsoft.com/?kbid=824449
Additional Data
Error value:
11004 The requested name is valid, but no data of the requested
type was found.
Ursache
Ein Fehler bei der Auflösung des CNAME-Eintrags des Quell-Domänencontrollers kann
die folgenden Ursachen haben:

Der Quell-Domänencontroller ist nicht in Betrieb, offline oder in einem isolierten
Netzwerk.

Es liegt eine der folgenden Situationen vor:

Der Quell-Domänencontroller hat seine SRV-Einträge nicht in DNS registriert.

Der Ziel-Domänencontroller nutzt einen ungültigen DNS-Server.

Der Quell-Domänencontroller nutzt einen ungültigen DNS-Server.

Der DNS-Server, der vom Quell-Domänencontroller verwendet wird, hostet nicht
die richtigen Zonen, oder die Zonen sind nicht für dynamische Änderungen
konfiguriert.

Die vom Ziel-Domänencontroller abgefragten DNS-Server können die Anfragen
nicht auflösen und sind mit fehlerhaften Weiterleitungen oder Delegierungen
konfiguriert.

Active Directory wurde vom Quell-Domänencontroller entfernt und mit der gleichen
IP-Adresse neu installiert. Die neue NTDS-Settings-GUID ist jedoch noch nicht auf
dem Ziel-Domänencontroller angekommen.

Active Directory wurde vom Quell-Domänencontroller entfernt und mit einer anderen
IP-Adresse neu installiert. Der A-Eintrag für die IP-Adresse des QuellDomänencontrollers ist jedoch entweder nicht registriert oder ist auf dem DNS-Server
des Ziel-Domänencontrollers noch nicht vorhanden.

Das Betriebssystem des Quell-Domänencontrollers wurde mit einem anderen
Computernamen neu installiert. Die Metadaten wurden jedoch nicht entfernt, oder die
Änderung ist noch beim Ziel-Domänencontroller angekommen.
Lösung
Stellen Sie zuerst fest, ob der Quell-Domänencontroller korrekt arbeitet. Wenn dies nicht
der Fall ist, entfernen Sie seine Metadaten.
Wenn er korrekt arbeitet, fahren Sie mit den folgenden Schritten fort:

Diagnose von DNS-Probleme mit Dcdiag.

Registrieren der DNS-SRV-Einträge plus A-Eintrag.

Synchronisation der Replikation zwischen Quell- und Ziel-Domänencontroller.

Überprüfen der Konsistenz der NTDS-Settings-GUID.
Prüfen, ob ein Domänencontroller korrekt arbeitet
Anforderungen

Administrative Berechtigungen: Sie müssen Mitglied der Gruppe Domänenbenutzer
sein.

Tools: Net view
Prüfen, ob ein Domänencontroller korrekt arbeitet

Geben Sie den folgenden Befehl ein, und drücken Sie dann die
EINGABETASTE:
net view \\Quell-DomänencontrollerName
wobei Quell-DomänencontrollerName der NetBIOS-Name des
Domänencontrollers ist.
Dieser Befehl zeigt die Netlogon- und SYSVOL-Freigaben an. Sollte der
Domänencontroller tatsächlich nicht korrekt arbeiten und nicht wiederhergestellt werden
können, führen Sie die Schritte aus dem nächsten Abschnitt aus.
Entfernen der Metadaten
Die Bereinigung der Metadaten wird mit Ntdsutil.exe durchgeführt. Sie entfernt alle Daten
aus Active Directory, die einen Domänencontroller identifizieren. Unter
Windows Server 2003 Service Pack 1 (SP1) entfern das Verfahren außerdem
automatisch FRS-Verbindungen und versucht, alle Betriebsmasterrollen, die der alte
Domänencontroller innehatte, zu übertragen oder zu übernehmen.
Administrative Berechtigungen
Um das Verfahren durchführen zu können, müssen Sie Mitglied der Gruppe
Organisations-Admins sein.
Bereinigen der Metadaten
1. Öffnen Sie eine Eingabeaufforderung.
2. Geben Sie den folgenden Befehl ein, und drücken Sie dann die
EINGABETASTE:
ntdsutil
3. Führen Sie den folgenden Befehl aus:
metadata cleanup

Wenn Sie Ntdsutil.exe unter Windows Server 2003 SP1 nutzen, führen Sie
den folgenden Befehl aus:
remove selected server ServerName
oder
remove selected server ServerName1 on ServerName2
Wert

Beschreibung
ServerName,
ServerName1
DNs der Domänencontroller, dessen Metadaten
Sie löschen wollen.
(cn=ServerName,cn=Servers,cn=Standortname,
cn=Sites,cn=Configuration,dc=Stammdomäne
ServerName2
DNS-Name des Domänencontrollers, von dem
Sie die Metadaten entfernen möchten.
Wenn Sie Ntdsutil.exe unter Windows Server 2003 ohne SP ausführen,
gehen Sie folgendermaßen vor:
a. Geben Sie den folgenden Befehl ein:
connection
b. Geben Sie den folgenden Befehl ein:
connect to server Server
c.
Geben Sie den folgenden Befehl ein:
quit
d. Geben Sie den folgenden Befehl ein:
select operation target
e. Geben Sie den folgenden Befehl ein:
list sites
Eine Liste mit Standorten wird angezeigt.
f.
Geben Sie den folgenden Befehl ein:
select site Standortnummer
g. Geben Sie den folgenden Befehl ein:
list domains in site
Es sollte eine Liste mit den Domänen am ausgewählten Standort angezeigt
werden.
h. Geben Sie den folgenden Befehl ein:
select domain Domänennummer
i.
Geben Sie den folgenden Befehl ein:
list servers in site
Eine Liste mit Servern wird angezeigt.
j.
Geben Sie den folgenden Befehl ein:
select server ServerNummer
k.
Geben Sie den folgenden Befehl ein:
quit
l.
Geben Sie den folgenden Befehl ein:
remove selected server
Nun sollte Active Directory bestätigen, dass der Domänencontroller entfernt
wurde.
5. Geben Sie quit ein.
Diagnose von DNS-Probleme mit Dcdiag
Wenn der Domänencontroller online ist, nutzen Sie Dcdiag zur Diagnose und Behebung
von DNS-Problemen.
Verwenden Sie eines oder mehrere der folgenden Verfahren:

Prüfen Sie die Konnektivität und die grundlegende DNS-Funktionalität.

Prüfen Sie die Registrierung der CNAME-Einträge.

Prüfen Sie, ob dynamische Aktualisierungen aktiviert sind.
Bevor Sie mit weiteren Schritten beginnen, sammeln Sie die folgenden Informationen
(Sie finden Sie im Text des Ereignisses 2087:

Den FQDN des Quell- und Ziel-Domänencontrollers.

Die IP-Adresse des Quell-Domänencontrollers.
Die Dcdiag-Version aus den Windows Support Tools von Windows Server 2003 SP1
testet grundlegende und erweiterte DNS-Features. Mit ihm können Sie die grundlegende
DNS-Funktionalität und die dynamischen Updates testen.
Anforderungen

Administrative Berechtigungen: Um die Tests der SP1-Version von Dcdiag
durchführen zu können, müssen Sie Mitglied der Gruppe Organisations-Admins sein.

Tools: Dcdiag.exe

Betriebssystem:

Die erweiterte Version können Sie unter den folgenden Betriebssystemen
ausführen:
Windows XP Professional
Windows Server 2003
Windows Server 2003 mit SP1

Sie können die neuen Dcdiag-DNS-Tests gegen Microsoft DNS-Server
ausführen, die unter den folgenden Betriebssystemen ausgeführt werden:
Windows 2000 Server Service Pack 3 (SP3)
Windows 2000 Server Service Pack 4 (SP4)
Windows Server 2003
Windows Server 2003 mit SP1
Anmerkung
Mit dem Schalter /f: können Sie die Ausgaben von Dcdiag in einer Textdatei
speichern.
Prüfen der grundlegenden DNS-Funktionalität
Zu den grundlegenden DNS-Tests gehören:

Konnektivität: Dieser Test prüft, ob die Domänencontroller angepingt werden können
und ob eine LDAP/RPC-Konnektivität besteht. Wenn diese Tests fehlschlagen,
werden keine weiteren Tests ausgeführt.

Grundlegende Dienste: Dieser Test prüft die folgenden Dienste:

DNS-Client

NetLogon

Key Distribution Center (KDC)

DNS-Server

DNS-Client-Konfiguration: Prüft, ob alle DNS-Server aller Adapter erreichbar sind.

Registrierung der Ressourceneinträge: Prüft, ob ein A-Eintrag auf mindesten einem
der DNS-Server des Clients registriert ist.

Zone und SOA: Wenn der Domänencontroller den DNS-Server-Dienst ausführt, prüft
der Test, ob die Active Directory-Domänen-Zone und ein SOA-Eintrag für die Zone
vorhanden sind.

Stammzone: Prüft, ob die Stammzone (.) vorhanden ist.
Prüfen der grundlegenden DNS-Funktionalität
.
Öffnen Sie eine Eingabeaufforderung. Geben Sie den folgenden Befehl ein, und
drücken Sie dann die EINGABETASTE:
dcdiag /test:dns /s:DomänencontrollerName /DnsBasic
wobei DomänencontrollerNameis der DNS- oder NetBIOS-Name oder der DN
des zu testenden Domänencontrollers ist.
Wenn Sie den Schalter /s: nicht verwenden, wird der Test gegen den lokalen
Domänencontroller ausgeführt. Mit /e: testen Sie alle Domänencontroller der
Gesamtstruktur.
2. Kopieren Sie den Bericht in Notepad.
3. Scrollen Sie zur Zusammenfassung am Ende.
4. Notieren Sie sich die Namen aller Domänencontroller, bei denen als Status
“Warn” oder “Fail” angegeben ist.
5. Suchen Sie in den entsprechenden Abschnitt nach der genauen
Problembeschreibung.
6. Nehmen Sie die notwendigen Änderungen vor.
7. Führen Sie Dcdiag /test:CheckSecurityError mit /e: oder /s: ein weiteres Mal
aus.
7. Führen Sie dcdiag /test:dns /s:DomänencontrollerName /DnsBasic ein
weiteres Mal aus.
Prüfen der Registrierung der Ressourceneinträge
Der Ziel-Domänencontroller nutzt den CNAME-Eintrag, um den Quell-Domänencontroller
zu finden.
Mit dcdiag /test:dns /DnsRecordRegistration können Sie prüfen, ob die folgenden
Ressourceneinträge vorhanden sind:

CNAME

A

LDAP SRV

GC SRV

PDC SRV
Wenn der CNAME-Eintrag nicht registriert ist, prüfen Sie, ob dynamische Updates
aktiviert werden.
Prüfen der dynamischen Updates
Mit diesem Test können Sie prüfen, ob der NetLogon-Dienst die Einträge möglicherweise
nicht registrieren konnte. Der beim Test erstelle Eintrag wird hinterher automatisch
wieder gelöscht.
Prüfen der dynamischen Updates

Öffnen Sie eine Eingabeaufforderung. Geben Sie den folgenden Befehl ein, und
drücken Sie dann die EINGABETASTE:
dcdiag /test:dns /s:Quell-DomänencontrollerName /DnsDynamicUpdate
wobei Quell-DomänencontrollerName dern DN, NetBIOS- oder DNS-Name des
Domänencontrollers ist.
Mit /e: können Sie alle Domänencontroller prüfen.
Wenn keine sicheren dynamischen Updates konfiguriert sind, gehen Sie
folgendermaßen vor:
Aktivieren von sicheren dynamischen Updates
1. Öffnen Sie die DNS-Konsole.
2. Klicken Sie im Konsolenbereich mit rechts auf die Zone, und klicken Sie dann auf
Eigenschaften.
3. Stellen Sie sicher, dass die Zone unter der Registerkarte Allgemein als
Active Directory-integriert angezeigt wird.
4. Klicken Sie unter Dynamische Updates auf Nur sichere.
Registrieren der DNS-Ressourceneinträge
Wenn keine DNS-Ressourceneinträge für den Quell-Domänencontroller vorhanden sind,
müssen Sie diese manuell registrieren. Sie können dies über das folgende Verfahren
erzwingen. Net Logon registriert die SRV-Einträge, und der DNS-Client registriert den AEintrag, auf den der CNAME-Eintrag verweist.
Anforderungen

Administrative Berechtigungen: Um dieses Verfahren ausführen zu können, müssen
Sie Mitglied der Gruppe Domänen-Admins der Stammdomäne oder der Gruppe
Organisations-Admins sein.

Tools: net stop/start, ipconfig
Registrieren der DNS-Ressourceneinträge
1. Führen Sie die folgenden Befehle aus:
net stop net logon & net start net logon
2. Geben Sie die folgenden Befehle ein, und drücken Sie dann jeweils die
EINGABETASTE:
ipconfig /flushdns & ipconfig /registerdns
3. Warten Sie 15 Minuten, und prüfen Sie dann in der Ereignisanzeige, ob die
Registrierung erfolgreich war.
Synchronisation der Replikation zwischen Quell- und ZielDomänencontroller
Wenn die DNS-Tests vollständig sind, synchronisieren Sie die Replikation für die
eingehende Verbindung vom Quell-Domänencontroller an den Ziel-Domänencontroller.
Anforderungen

Administrative Berechtigungen: Sie müssen Mitglied der Gruppe Domänen-Admins in
der Domäne des Ziel-Domänencontrollers sein.

Tool: Active Directory-Standorte und -Dienste
Synchronisation der Replikation zwischen Quell- und Ziel-Domänencontroller
1. Öffnen Sie Active Directory-Standorte und -Dienste.
2. Klicken Sie doppelt auf Sites, klicken Sie doppelt auf den Standort mit dem
Domänencontroller, dessen Replikation Sie synchronisieren möchten. Klicken
Sie doppelt auf Servers, klicken Sie doppelt auf den Domänencontroller, und
klicken Sie dann auf NTDS Settings.
3. Suchen Sie unter der Spalte Von Server nach dem Verbindungsobjekt mit dem
Namen des Quelldomänencontrollers.
4. Klicken Sie mit rechts auf das Verbindungsobjekt, und klicken Sie dann auf Jetzt
replizieren.
5. Klicken Sie auf OK.
Wenn die Replikation fehlschlägt, wiederholen Sie die Schritte aus diesem Abschnitt.
Prüfen der Konsistenz der NTDS-Settings-GUID
Wenn sie alle DNS-Tests und alle anderen Tests abgeschlossen haben und trotzdem
keine erfolgreiche Replikation stattfindet, prüfen Sie die GUID des NTDS-SettingsObjekts, das der Ziel-Domänencontroller nutzt, um seinen Replikationspartner zu finden.
Diese GUID muss der GUID entsprechen, die im Moment vom Quell-Domänencontroller
verwendet wird.
Anforderungen

Administrative Berechtigungen: Sie müssen Mitglied in der Gruppe Domänen-Admins
der Domäne des Ziel-Domänencontrollers sein.

Tool: Ldp (Windows Support Tools)
Prüfen der Konsistenz der NTDS-Settings-GUID
1. Klicken Sie auf Start, klicken Sie auf Ausführen, geben Sie Ldp ein, und klicken
Sie dann auf OK.
2. Klicken Sie auf Connect.
3. Lassen Sie das Feld Server leer.
4. In Port geben Sie 389 ein, und klicken Sie dann auf OK.
5. Klicken Sie auf Bind.
6. Geben Sie Anmeldeinformationen eines Organisations-Admins ein. Wählen sie
Domain aus.
7. Geben Sie den Namen der Stammdomäne ein, und klicken Sie dann auf OK.
8. Klicken Sie auf Tree.
9. Unter Tree View geben Sie den folgenden Wert ein:
CN=Configuration,DC=Forest_Root_Domain
und klicken Sie dann auf OK.
10. Navigieren Sie zu CN=NTDS
Settings,CN=QuellServerName,CN=Servers,CN=Standortname,
CN=Sites,CN=configuration,DC=GesamstrukturSTammdomäne.
11. Klicken Sie doppelt auf das NTDS Settings-Object, klicken Sie rechts mit der
rechten Maustaste auf den Wert objectGUID, und kopieren Sie diese in
Notepad.
12. Klicken Sie im Menü Connection auf Disconnect.
13. Wiederholen Sie die Schritte 2 bis 11 - geben Sie in Schritt 3 jedoch den Namen
des Quell-Domänencontrollers ein.
14. Vergleichen Sie die zwei GUIDs in Notepad.
15. Wenn die Werte nicht übereinstimmen, muss der Ziel-Domänencontroller eine
Replikation mit der gültigen GUID erhalten. Versuchen Sie den
Domänencontroller mit einem Domänencontroller zu replizieren, der über die
passende GUID verfügt.
16. Wenn die GUIDs übereinstimmen, prüfen Sie die GUID des Ressourceneintrags
Dsa_Guid._msdcs.Dns_Domänen_Name:
a. Alle DNS-Server, auf die der Domänencontroller zugreift, sollten diesen
Ressourceneintrag direkt oder indirekt auflösen können.
b. Ermitteln Sie den oder die autorisierenden DNS-Server für die Zone.
c.
Öffnen Sie auf den Servern aus Schritt b die DNS-Konsole, und klicken Sie
doppelt auf die Forward-Lookup-Zone der Stammdomäne der
Gesamtstruktur. Klicken Sie doppelt auf den Ordner _msdcs, und notieren
Sie sich CNAME-Ressourceneinträge für den betreffenden Servernamen.
d. Wenn es keine Ressourceneinträge gibt oder diese inkorrekt sind, lesen Sie
den Artikel SRV Records Missing After Implementing Active Directory and
Domain Name System unter http://go.microsoft.com/fwlink/?LinkId=69994.
Ereignis-ID 2088: DNS-Lookup-Fehler mit
erfolgreicher Replikation
Wenn ein Ziel-Domänencontroller unter Windows Server 2003 Service Pack 1 (SP1) das
Ereignis 2088 auslöst, ist das Auflösen des CNAME-Ressourceneintrags für den QuellDomänencontroller fehlgeschlagen. Der Domänencontroller versucht jedoch, den Namen
über andere Wege aufzulösen. Auch wenn die Replikation so erfolgreich war, sollten Sie
eine Diagnose durchführen.
Beispielanzeige für das Ereignis:
Ereignistyp:Warnung
Ereignisquelle:NTDS Replication
Ereigniskategorie:DS RPC Client
Ereignis-ID:2088
Datum:3/21/2005
Uhrzeit:2:29:34 PM
Benutzer:NT AUTHORITY\ANONYMOUS LOGON
Computer:DC3
Beschreibung:
Active Directory could not use DNS to resolve the IP address of the
source domain controller listed below. To maintain the consistency
of Security groups, group policy, users and computers and their passwords,
Active Directory successfully replicated using the NetBIOS or fully
qualified computer name of the source domain controller.
Invalid DNS configuration may be affecting other essential operations on
member computers, domain controllers or application servers in this
Active Directory forest, including logon authentication or access to network
resources.
You should immediately resolve this DNS configuration error so that
this domain controller can resolve the IP address of the source
domain controller using DNS.
Alternate server name:
dc1
Failing DNS host name:
4a8717eb-8e58-456c-995a-c92e4add7e8e._msdcs.contoso.com
NOTE: By default, only up to 10 DNS failures are shown for any given
12 hour period, even if more than 10 failures occur. To log all
individual failure events, set the following diagnostics registry
value to 1:
Registry Path:
HKLM\System\CurrentControlSet\Services\NTDS\Diagnostics\22 DS RPC Client
User Action:
1) If the source domain controller is no longer functioning or its
operating system has been reinstalled with a different computer
name or NTDSDSA object GUID, remove the source domain controller’s
metadata with ntdsutil.exe, using the steps outlined in MSKB article 216498.
2) Confirm that the source domain controller is running Active Directory
and is accessible on the network by typing “net view \\<source DC name>”
or “ping <source DC name>”.
3) Verify that the source domain controller is using a valid DNS server
for DNS services, and that the source domain controller’s host record
and CNAME record are correctly registered, using the DNS Enhanced
version of DCDIAG.EXE available on http://www.microsoft.com/dns
dcdiag /test:dns
4) Verify that that this destination domain controller is using a
valid DNS server for DNS services, by running the DNS Enhanced
version of DCDIAG.EXE command on the console of the destination
domain controller, as follows:
dcdiag /test:dns
5) For further analysis of DNS error failures see KB 824449:
http://support.microsoft.com/?kbid=824449
Additional Data
Error value:
11004 The requested name is valid, but no data of the requested
type was found
Ursache
CNAME-Eintrag konnte nicht aufgelöst werden.
Lösung
Führen Sie die unter “Ereignis-ID 2087: DNS-Lookup sorgt für einen Replikationsfehler"
beschriebenen DNS-Tests aus.
Beheben von Konnektivitätsproblemen
(Ereignis-ID 1925)
Ein Problem mit der Netzwerkkonnektivität kann durch verschiedenste Ereignisse und
Fehler angezeigt werden.
Sie können solche Probleme mit den Schritten aus Ereignis-ID 1925: Versuch, eine
Replikationsverbindung aufzubauen, schlug aufgrund von Konnektivitätsproblemen fehl
diagnostizieren und beheben.
Ereignis-ID 1925: Versuch, eine
Replikationsverbindung aufzubauen,
schlug aufgrund von
Konnektivitätsproblemen fehl
In der Beschreibung von Ereignis 1925 steht, dass der Versuch, eine
Replikationsverbindung für eine Partition aufzubauen, fehlgeschlagen ist. Sie finden dort
auch den DN der entsprechenden Partition. Der Fehlercode definiert das Problem
außerdem genauer.
Beispielanzeige für das Ereignis:
Ereignistyp:Warnung
Ereignisquelle:NTDS KCC
Ereigniskategorie:Knowledge Consistency Checker
Ereignis-ID:1925
Datum:3/24/2005
Uhrzeit:9:15:46 AM
Benutzer:NT AUTHORITY\ANONYMOUS LOGON
Computer:DC3
Beschreibung:
The attempt to establish a replication link for the following
writable directory partition failed.
Directory partition:
CN=Configuration,DC=contoso,DC=com
Source domain controller:
CN=NTDS Settings,CN=DC1,CN=Servers,CN=Default-First-SiteName,CN=Sites,CN=Configuration,DC=contoso,DC=com
Source domain controller address:
f8786828-ecf5-4b7d-ad12-8ab60178f7cd._msdcs.contoso.com
Intersite transport (if any):
CN=IP,CN=Inter-Site Transports,CN=Sites,CN=Configuration,DC=contoso,DC=com
This domain controller will be unable to replicate with the source
domain controller until this problem is corrected.
User Action
Verify if the source domain controller is accessible or network
connectivity is available.
Additional Data
Error value:
1908 Could not find the domain controller for this domain.
Ursache
Wenn in Ereignis 1925 Fehler 1908 “Could not find the domain controller for this domain,”
angezeigt wird, dann ist die Replikation aufgrund von Konnektivitätsproblemen zwischen
dem Domänencontroller und seinem Replikationspartner fehlgeschlagen.
Lösung
Führen Sie die folgenden Tests durch:

Prüfen der WAN-Konnektivität

Ermitteln und wenn nötig Ändern der maximalen Paketgröße.

Erzwingen einer Replikation und sammeln des Replikationsverkehrs mit dem
Netzwerkmonitor.

Analyse des Netzwerkverkehrs
Prüfen der WAN-Konnektivität
Weitere Informationen finden Sie im Artikel Description of the Portquery.exe commandline utility unter http://go.microsoft.com/fwlink/?LinkId=69995 und im Artikel Diagnoses
and treatment of black hole routers unter http://go.microsoft.com/fwlink/?LinkId=69996.
Ermitteln und wenn nötig Ändern der maximalen
Paketgröße
Das Kerberos-Authentifizierungsprotokoll von Windows 2000, Windows XP und
Windows Server 2003 nutzt standardmäßig UDP - zumindest dann, wenn die Daten in
Pakete passen, die kleiner als 2.000 Byte sind. Alle Daten, die über diesem Wert liegen,
werden mit TCP übertragen. TCP-Pakete mit mehr als 1.500 Byte werden oft von
Netzwerkgeräten verworfen.
Um diese Probleme zu vermeiden, können Sie die Maximalgröße von Paketen festlegen.
Über die Registrierung können Sie die maximale Menge an Byte, bei denen UDP
verwendet wird, auf den kleinsten in Ihrem Netzwerk möglichen Wert festlegen (abzüglich
acht Byte für den Header).
Mit ping können Sie feststellen, wie groß die Pakete werden können:
Anforderungen

Administrative Berechtigungen: Sie müssen Mitglied der Gruppe Domänenbenutzer
sein und das Recht Lokal anmelden auf dem Domänencontroller haben.

Tool: PING
1. Pingen Sie vom Ziel-Domänencontroller aus den Quell-Domänencontroller an.
Öffnen Sie eine Eingabeaufforderung. Geben Sie den folgenden Befehl ein, und
drücken Sie dann die EINGABETASTE:
ping IP_Addresse -f -l 1472
2. Pingen Sie vom Quell-Domänencontroller den Ziel-Domänencontroller an.
3. Wenn ping in beide Richtungen korrekt ausgeführt wird, sind keine weiteren
Schritte erforderlich.
4. Wenn ping in eine der Richtungen fehlschlägt, verringern Sie die Zahl für den
Parameter -l in kleinen Schritten, bis Sie die funktionierende Größe gefunden
haben.
Anmerkung
Mit Dcdiag aus den Windows Server 2003 SP1 Support Tools können Sie den
folgenden Test ausführen:
dcdiag /test:CheckSecurityError /s:Quell-DomänencontrollerName
Die Maximalgröße der Pakete können Sie über einen Registrierungsschlüssel festlegen
(ziehen Sie acht Byte für den Header ab). Alternativ können Sie das permanente
Verwenden von TCP erzwingen.
Bearbeiten Sie den Wert MaxPacketSize unter
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\
Kerberos\Parameters.
Vorsicht
Der Registrierungseditor umgeht die normalen Sicherheitsfunktionen. Sie können
so Einstellungen vornehmen, die das System beschädigen können oder sogar
dafür sorgen können, dass Windows neu installiert werden muss. Wenn möglich,
verwenden Sie statt des Registrierungseditors Gruppenrichtlinien oder andere
Windows-Tools, um die Einstellungen zu konfigurieren und Aufgaben
durchzuführen.
Anforderungen

Administrative Berechtigungen: Sie müssen Mitglied der Gruppe Domänen-Admins
sein.

Tool: Regedit.exe
Ändern der maximalen Paketgröße
1. Klicken Sie auf Start, klicken Sie auf Ausführen, geben Sie regedit ein, und
klicken Sie dann auf OK.
2. Navigieren Sie zu
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\
Kerberos\Parameters.
3. Bearbeiten oder erstellen Sie den Wert MaxPacketSize:

Bearbeiten:
Klicken Sie mit rechts auf MaxPacketSize; klicken Sie auf Ändern, geben
Sie 1 ein, um Kerberos zu zwingen, TCP zu nutzen, oder geben Sie den
ermittelten Wert ein.

Erstellen:
Klicken Sie mit rechts auf Parameters, klicken Sie auf Neuer DWORD Wert,
geben Sie als Namen MaxPacketSize ein, und führen Sie Schritt 3 aus.
4. Klicken Sie auf OK.
5. Starten Sie den Domänencontroller neu.
Weitere Informationen finden Sie unter http://go.microsoft.com/fwlink/?LinkId=69997.
Erzwingen einer Replikation und sammeln des
Replikationsverkehrs mit dem Netzwerkmonitor
Mit dem Netzwerkmonitor können Sie den Netzwerkverkehr auf dem Quell- und ZielDomänencontroller sammeln. Starten Sie während der Datensammlung eine Replikation.
Suchen Sie nach einer Kerberos-Fragmentierung, Out-of-order-Paketen, Latenzen oder
Netzwerkverkehr, der auf einer Seite gesendet wird, aber auf der anderen Seite nicht
ankommt.
Informationen zur Verwendung des Netzwerkmonitors finden Sie unter
http://go.microsoft.com/fwlink/?LinkId=42987.
Erstellen einer Adressdatenbank
Um Adresspaare in einem Filter verwenden zu können, müssen Sie erst eine
Adressdatenbank erstellen.
Anforderungen

Administrative Berechtigungen: Sie müssen Mitglied der Gruppe Domänen-Admins
der Stammdomäne oder der Gruppe Organisations-Admins sein.

Tool: Netzwerkmonitor
Erstellen einer Adressdatenbank
1. Öffnen Sie den Netzwerkmonitor.
2. Wenn Sie das lokale Netzwerk festlegen sollen, wählen Sie das Netzwerk, aus
dem Sie Daten sammeln möchten.
3. Klicken sie unter Sammeln auf Start.
4. Klicken Sie unter Sammeln auf Beenden und Anzeigen.
5. Klicken Sie unter Anzeige auf Alle Namen finden.
6. Klicken Sie auf OK. Alle Adressen werden zur Datenbank hinzugefügt.
7. Klicken Sie unter Fenster auf die lokale Verbindung.
Sammeln von Netzwerkrahmen
Um Rahmen zu sammeln, die von einem bestimmten Computer an Ihren Computer
gesendet wurden, müssen Sie ein oder mehrere Adresspaare in einem Filter angeben.
Sie können bis zu vier Paare gleichzeitig überwachen.
Ein Adresspaar besteht aus:

Den Adressen der beiden Computer.

Pfeilen, die die Richtung des zu überwachenden Netzwerkverkehrs angeben.

Den Schlüsselworten INCLUDE oder EXCLUDE, die festlegen, wie der
Netzwerkmonitor auf Rahmen reagieren soll, die den Filtereinstellungen entsprechen.
Anforderungen

Administrative Berechtigungen: Sie müssen Mitglied der Gruppe Domänen-Admins
der Stammdomäne oder der Gruppe Organisations-Admins sein.

Tool: Netzwerkmonitor
Sammeln von Rahmen
1. Öffnen Sie den Netzwerkmonitor.
2. Wenn Sie das lokale Netzwerk festlegen sollen, wählen Sie das Netzwerk, aus
dem Sie Daten sammeln möchten.
3. Klicken Sie unter Sammeln auf Puffereinstellungen.
4. Legen Sie die Größen von Puffer und Rahmen entsprechend fest, und klicken
Sie dann auf OK.
5. Klicken Sie unter Sammeln auf Filter.
6. Klicken Sie doppelt auf Adresspaare.
7. Wählen Sie eine Adresse für Station 1 und eine für Station 2 aus.
8. Wählen Sie unter Richtung eines der folgenden Symbole:
<--> um den Netzwerkverkehr in beide Richtungen zu überwachen.
--> oder <-- um nur eine Richtung zu überwachen.
9. Klicken Sie zweimal auf OK.
10. Klicken Sie unter Sammeln auf Start.
Erzwingen der Replikation
Anforderungen

Anmeldeinformationen: Um dieses Verfahren abschließen zu können, müssen Sie
Mitglied der Gruppe Domänen-Admins in der Stammdomäne oder der Gruppe
Organisations-Admins der Gesamtstruktur sein.

Tools: Active Directory-Standorte und -Dienste (Administrative Tools)
Starten der Replikation
1. Öffnen Sie Active Directory-Standorte und -Dienste.
2. Klicken Sie doppelt auf Sites, klicken Sie doppelt auf den Standort des
Domänencontrollers, mit dem repliziert werden soll, klicken Sie doppelt auf
Servers, klicken Sie doppelt auf das Serverobjekte des Domänencontrollers, und
klicken Sie dann auf NTDS Settings.
3. Suchen Sie in der Spalte Von Server den Quell-Domänencontroller.
4. Klicken Sie mit rechts auf das entsprechende Verbindungsobjekt, und klicken Sie
dann auf Jetzt replizieren.
5. Klicken Sie auf OK.
Analysieren Sie den Netzwerkverkehr beider Domänencontroller, und stellen Sie fest, ob
gesendeter Netzwerkverkehr möglicherweise nicht an anderen Domänencontrollern
ankommt. Weitere Informationen zum Netzwerkmonitor finden Sie unter
http://go.microsoft.com/fwlink/?LinkId=41936).
Beheben von Problemen mit der
Replikationstopologie (Ereignis-ID1311)
Der Knowledge Consistency Checker (KCC) erstellt und pflegt die Active DirectoryReplikationstopologie automatisch. Alle 15 Minuten prüft er alle Replikationen, die sich
auf den Domänencontrollern der Gesamtstruktur befinden, sowie alle vom Administrator
definierten Standorte, Verbindungen und Standortverknüpfungen.
Auch wenn die Erstellung der Topologie automatisch passiert, kann es zu administrativen
Konfigurationsfehlern kommen, die dann zu einer Topologie führen, die nicht den
physisch vorhandenen Verbindungen entspricht. Unter Active Directory ist es möglich,
Verbindungsobjekte zu erstellen, obwohl gar keine physische Verbindung vorhanden ist.
Der KCC versucht, diese Objekte zur Erstellung der Topologie zu verwenden.
Wenn die Replikationskonfiguration von Active Directory nicht die physische Topologie
widerspiegelt , wird Ereignis-ID 1311 im Verzeichnisprotokoll generiert. Sie können
solche Probleme mit den Schritten aus Ereignis-ID 1311: Replikationskonfiguration
entspricht nicht der physischen Topologie erkennen und beheben.
Ereignis-ID 1311:
Replikationskonfiguration entspricht
nicht dem physischen Netzwerk
Beispielanzeige für das Ereignis:
Ereignistyp:Fehler
Ereignisquelle:NTDS KCC
Ereigniskategorie:Knowledge Consistency Checker
Ereignis-ID:1311
Datum:3/9/2005
Uhrzeit:6:39:58 PM
Benutzer:NT AUTHORITY\ANONYMOUS LOGON
Computer:DC3
Beschreibung:
The Knowledge Consistency Checker (KCC) has detected problems with
the following directory partition.
Directory partition:
CN=Configuration,DC=contoso,DC=com
There is insufficient site connectivity information in Active Directory
Sites and Services for the KCC to create a spanning tree replication
topology. Or, one or more domain controllers with this directory
partition are unable to replicate the directory partition information.
This is probably due to inaccessible domain controllers.
User Action
Use Active Directory-Standorte und -Dienste to perform one of the
following actions:
- Publish sufficient site connectivity information so that the
KCC can determine a route by which this directory partition can
reach this site. This is the preferred option.
- Add a Connection object to a domain controller that contains
the directory partition in this site from a domain controller
that contains the same directory partition in another site.
If neither of the Active Directory-Standorte und -Dienste tasks correct
this condition, see previous events logged by the KCC that identify
the inaccessible domain controllers.
Ursache
Das Problem kann die folgenden Ursachen haben:

Für ein Netzwerk, das über keine physische Netzwerkkonnektivität zwischen zwei
Domänencontrollern in verschiedenen über eine Standortverknüpfung verbundenen
Standorten verfügt, ist Site-Link-Bridging aktiviert.

Bridging für alle Standortverknüpfung ist in Active Directory-Standorte und Dienste aktiviert, aber es gibt keine Netzwerkkonnektivität zwischen zwei
Domänencontrollern der Gesamtstruktur.

Einer oder mehrere Standorte gehören keiner Standortverknüpfung an.

Standortverknüpfungen umfassen alle Standorte, aber sie sind nicht miteinander
verbunden.

Einer oder mehrere Domänencontroller sind offline.

Bridgehead-Domänencontroller sind online, aber wenn Sie versuchen, eine
Verzeichnispartition zwischen Standorten zu replizieren, kommt es zu Fehlern.

Vom Administrator definierte Bridgeheadserver sind online, sie können die benötigte
Partition jedoch nicht hosten. Normalerweise aufgrund eines Servers, der nicht
globaler Katalog ist als Bridgeheadserver.

Bevorzugte Bridgeheadserver sind durch den Administrator definiert, aber offline.

Der Bridgeheadserver ist überlastet.

Der Knowledge Consistency Checker (KCC) hat einen alternativen Pfad für eine
ausgefallene Standortverknüpfung erstellt, versucht aber alle 15 Minuten wieder, die
ausgefallene Standortverknüpfung zu verwenden.
Lösung
Mit den folgenden Verfahren können Sie Fehler mit der Ereignis-ID 1311 beheben:

Umfang des Problems ermitteln

Site-Link-Bridging prüfen

Prüfen, ob ein Netzwerk geroutet ist.

Prüfen, ob alle Standorte verbunden sind.

Prüfen von bevorzugten Bridgeheadservern.
Umfang des Problems ermitteln
Stellen Sie fest, ob das Problem auf allen Domänencontroller der Domäne besteht, die
ISTG-Rolleninhaber sind, oder nur auf den standortspezifischen Domänencontrollern.
Stellen Sie zuerst die ISTG-Rolleninhaber aller Standorte fest:
Anforderungen

Administrative Berechtigungen: Sie müssen Mitglied der Gruppe Domänen-Admins
sein.

Tool: Ldp (Windows Support Tools)
Ermitteln der ISTG-Rolleninhalber aller Standorte
1. Klicken Sie auf Start, klicken Sie auf Ausführen, geben Sie Ldp ein, und klicken
Sie dann auf OK.
2. Klicken Sie im Menü Connection auf Connect.
3. Geben Sie unter Server nichts ein.
4. In Port geben Sie 389 ein, und klicken Sie dann auf OK.
5. Klicken Sie unter Connection auf Bind.
6. Geben Sie Anmeldeinformationen eines Organisations-Admins ein. Wählen Sie
Domain aus.
7. Geben Sie den Namen der Stammdomäne der Gesamtstruktur ein, und klicken
Sie dann auf OK.
8. Klicken Sie im Menü Browse auf Search.
9. Geben Sie unter Base dn den folgenden Wert ein:
CN=Sites,CN=Configuration,DC=Gesamtstruktur_Stammdomäne
10. Geben Sie unter Filter den folgenden Wert ein:
(CN=NTDS Site Settings)
11. Klicken Sie auf Subtree.
12. Klicken Sie auf Options, und scrollen Sie unter Attributes bis zum Ende der
Liste. Geben Sie den folgenden Wert ein:
;interSiteTopologyGenerator
und klicken Sie dann auf OK.
13. Klicken Sie auf Run.
14. Notieren Sie sich die Einträge interSiteTopologyGenerator der Ausgabe.
Prüfen Sie die Ereignisprotokolle aller ISTG-Rolleninhaber der Gesamtstruktur, oder
prüfen Sie zumindest eine relevante Anzahl der Rolleninhaber.
Wenn weiterhin Ereignis-ID 1311 auftritt, fahren Sie mit dem nächsten Schritt fort.
Site-Link-Bridging prüfen
Mit dem folgenden Verfahren stellen Sie fest, ob Site-Link-Bridging aktiviert ist.
Anforderungen

Administrative Berechtigungen: Sie müssen Mitglied der Gruppe Domänen-Admins
sein.

Tool: Active Directory-Standorte und -Dienste
Site-Link-Bridging prüfen
1. Öffnen Sie Active Directory-Standorte und -Dienste.
2. Klicken Sie doppelt auf Sites, und klicken Sie doppelt auf Inter-Site Transports.
3. Klicken Sie mit rechts auf IP und auf Eigenschaften. Brücke zwischen allen
Standortverknüpfungen herstellen sollte aktiviert sein.
Für Brücke zwischen allen Standortverknüpfungen herstellen ist ein vollständig
geroutetes Netzwerk notwendig. Andernfalls müssen Sie die
Standortverknüpfungsbrücken manuell herstellen.
Prüfen, ob ein Netzwerk geroutet ist
Feststellen, ob zwei Standorte über ein vollständig geroutetes Netzwerk verbunden sind.
Wenn das Netzwerk nicht vollständig geroutet ist, deaktivieren Sie Site-Link-Bridging und
erstellen Sie die erforderlichen Standortverknüpfungen und
Standortverknüpfungsbrücken manuell nach den Verfahren im Abschnitt Verknüpfen von
Standorten für die Replikation.
Anmerkung
Site-Link-Bridging ist standardmäßig aktiviert. Als Best Practice sollte es in
vollständig gerouteten Netzwerken aktiviert bleiben.
Deaktivieren von Site-Link-Bridging
Anforderungen

Administrative Berechtigungen: Um dieses Verfahren ausführen zu können, müssen
Sie Mitglied der Gruppe Domänen-Admins der Stammdomäne oder der Gruppe
Organisations-Admins sein.

Tool: Active Directory-Standorte und -Dienste
Deaktivieren von Site-Link-Bridging
1. Öffnen Sie Active Directory-Standorte und -Dienste.
2. Klicken Sie doppelt auf Sites, und klicken Sie doppelt auf Inter-Site Transports.
3. Klicken Sie mit rechts auf IP und auf Eigenschaften. Wenn Brücke zwischen
allen Standortverknüpfungen herstellen aktiviert ist, deaktivieren Sie die
Einstellung.
Erstellen einer Standortverknüpfungsbrücke
Wenn das Netzwerk nicht vollständig geroutet ist, müssen Sie die
Standortverknüpfungsbrücken manuell herstellen.
Anforderungen

Administrative Berechtigungen: Um dieses Verfahren ausführen zu können, müssen
Sie Mitglied der Gruppe Domänen-Admins der Stammdomäne oder der Gruppe
Organisations-Admins sein.

Tool: Active Directory-Standorte und -Dienste
Erstellen einer Standortverknüpfungsbrücke
1. Öffnen Sie Active Directory-Standorte und -Dienste.
2. Klicken Sie doppelt auf Sites, und klicken Sie doppelt auf Inter-Site Transports.
3. Klicken Sie mit rechts auf IP und auf Neue Standortverknüpfungsbrücke.
4. In Name geben Sie einen Namen für die Brücke ein.
5. Klicken Sie auf zwei oder mehr Standorte, die verbunden werden sollen, und
dann auf Hinzufügen.
Warten Sie einen Zeitraum ab der zweimal so groß wie das längste Replikationsintervall
ist. Wenn weiterhin Ereignis-ID 1311 auf den ISTG-Rolleninhabern auftritt fahren Sie mit
dem nächsten Schritt fort.
Prüfen, ob alle Standorte verbunden sind
Wenn das Netzwerk vollständig geroutet ist, verwenden Sie Repadmin, um
sicherzustellen, dass die standortübergreifende Replikation zwischen
Domänencontrollern in unterschiedlichen Standorten funktioniert.
Anforderungen

Administrative Berechtigungen: Um dieses Verfahren ausführen zu können, müssen
Sie Mitglied der Gruppe Domänen-Admins oder der Gruppe Organisations-Admins
sein der Stammdomäne sein.

Tool: Repadmin.exe (Windows Support Tools)
Anzeigen aller Standortverknüpfungen
1. Öffnen Sie eine Eingabeaufforderung. Geben Sie den folgenden Befehl ein, und
drücken Sie dann die EINGABETASTE:
repadmin /showism “CN=IP,CN=Inter-Site
Transports,CN=Sites,CN=Configuration,DC=GesamtstrukturStammdomäne”
2. Prüfen Sie alle aufgelisteten Standorte. Für jeden Standort werden drei durch
Doppelpunkte getrennte Werte angezeigt. Diese Werte stehen für
<kosten>:<replikationsintervall>:<optionen>. Der Wert “-1:0:0” zeigt
möglicherweise fehlende Standortverknüpfungen an.
Prüfen von bevorzugten Bridgeheadservern
Wenn Sie mit bevorzugten Bridgeheadservern arbeiten, wählt der ISTG die
Bridgeheadserver nur unter diesen Servern aus. Wenn sich keine Server in der Liste
befinden, wählt der ISTG Server aus. Wenn sich allerdings mindestens ein Server in der
Liste befindet und dieser nicht zur Verfügung steht, passiert das nicht. Daher findet in
diesem Fall auch keine Replikation statt.
Prüfen Sie die Liste der bevorzugten Bridgeheadserver, und stellen Sie sicher, dass alle
bevorzugten Bridgeheadserver verfügbar sind.
Um sich alle bevorzugten Bridgeheadserver einer Gesamtstruktur anzeigen zu lassen,
können Sie ADSI-Edit verwenden und das Attribut bridgeheadServerListBL des IPContainerobjekts abfragen.
Anforderungen

Administrative Berechtigungen: Sie müssen Mitglied der Gruppe Domänenbenutzer
sein.

Tool: Adsiedit.msc (Windows Support Tools)
Abfragen der bevorzugten Bridgeheadserver
1. Klicken Sie auf Start, klicken Sie auf Ausführen, geben Sie adsiedit.msc ein,
und klicken Sie dann auf OK.
2. Klicken Sie doppelt auf Configuration Container, klicken Sie doppelt auf
CN=Configuration,DC=GesamtstrukturStammdomänenname, CN=Sites und
auf CN=Inter-Site Transports.
3. Klicken Sie mit rechts auf CN=IP, und klicken Sie dann auf Eigenschaften.
4. Klicken Sie unter Attributes doppelt auf bridgeheadServerListBL.
5. Wenn bevorzugte Bridgeheadserver ausgewählt sind, wird unter Values der DN
der Serverobjekte angezeigt.
Stellen Sie sicher, dass alle Domänencontroller aus der Liste online sind und als
Domänencontroller arbeiten.
Anforderungen

Administrative Berechtigungen: Sie müssen Mitglied der Gruppe Domänenbenutzer
in der Domäne des Domänencontrollers sein.

Tool: Net view
Prüfen, ob ein Domänencontroller korrekt arbeitet

Geben Sie den folgenden Befehl ein, und drücken Sie dann die
EINGABETASTE:
net view \\DomänencontrollerName
wobei DomänencontrollerName der NetBIOS-Name des Domänencontrollers ist.
Der Befehl zeigt die Freigaben Netlogon und SYSVOL an. Wenn der Test zeigt, dass der
Domänencontroller nicht korrekt arbeitet, prüfen Sie, warum dies der Fall ist.
Wenn ein bevorzugter Bridgeheadserver nicht verfügbar ist, wählen Sie einen neuen
bevorzugten Bridgeheadserver:
Anforderungen

Administrative Berechtigungen: Um dieses Verfahren ausführen zu können, müssen
Sie Mitglied der Gruppe Domänen-Admins in der Domäne des Domänencontrollers
oder der Gruppe Organisations-Admins sein.

Tool: Active Directory-Standorte und -Dienste
Festlegen eines bevorzugten Bridgeheadservers
1. Öffnen Sie Active Directory-Standorte und -Dienste.
2. Klicken Sie doppelt auf Sites, und erweitern Sie Servers.
3. Klicken Sie mit rechts auf den Domänencontroller, der bevorzugter
Bridgeheadserver werden soll, und klicken Sie dann auf Eigenschaften.
4. Klicken Sie unter Allgemein auf das entsprechende Transportprotokoll und auf
Hinzufügen.
Zusätzliche Ressourcen zur Active
Directory-Fehlersuche
Detaillierte Informationen zur Fehlersuche bei Active Directory-Problemen finden Sie
unter den folgenden Ressourcen:

Active Directory Management Pack Technical Reference for MOM 2005 unter
http://go.microsoft.com/fwlink/?LinkId=41369)
Informationen zu bekannten Problemen und Best Practices im Zusammenhang mit Active
Directory finden Sie unter:

Bekannte Probleme beim Erstellen von Domänen- und
Gesamtstrukturvertrauensstellungen

Best Practices in Bezug auf Domänen- und Gesamtstrukturvertrauensstellungen
Allgemeine Informationen zur Arbeitsweise von Active Directory und zur Verwaltung und
Konfiguration von Active Directory finden Sie unter:

Administering Active Directory Operations

Active Directory Collection unter http://go.microsoft.com/fwlink/?LinkId=34157)