Windows Server 2003 Active DirectoryBetriebshandbuch Microsoft Corporation Veröffentlicht: Juni 2005 Aktualisiert: Juli 2006 Zusammenfassung In diesem Betriebshandbuch zu Microsoft® Windows Server™ 2003 Active Directory® finden Sie Schritt-für-Schritt-Anleitungen und aufgabenorientierte Informationen zu Technologien von Windows Server 2003 und Windows Server 2003 mit Service Pack 1 (SP1). Dieses Handbuch wurde so entwickelt, um IT-Mitarbeitern und Administratoren Informationen und Hilfen zum Betrieb, zur Verwaltung und zur Fehlersuche in Bezug auf Active Directory-Server zur Verfügung zu stellen. Die Informationen in diesem Dokument, inklusive von URLs und anderen Verweisen auf Webseiten, können sich ändern, ohne dass darauf hingewiesen wird. Sofern nichts anderes angegeben ist, sind die in den Beispielen verwendeten Firmen, Organisationen, Produkte, Domänennamen, E-Mail-Adressen, Logos, Personen, Orte und Ereignisse frei erfunden. Jede Ähnlichkeit mit bestehenden Firmen, Organisationen, Produkten, Domänennamen, E-Mail-Adressen, Logos, Personen, Orten oder Ereignissen ist rein zufällig. Die Benutzer/innen sind verpflichtet, sich an alle anwendbaren Urheberrechtsgesetze zu halten. Unabhängig von der Anwendbarkeit der entsprechenden Urheberrechtsgesetze darf ohne ausdrückliche schriftliche Erlaubnis der Microsoft Corporation kein Teil dieses Dokuments für irgendwelche Zwecke vervielfältigt oder in einem Datenempfangssystem gespeichert oder darin eingelesen werden, unabhängig davon, auf welche Art und Weise oder mit welchen Mitteln (elektronisch, mechanisch, durch Fotokopieren, Aufzeichnen usw.) dies geschieht. Es ist möglich, dass Microsoft Rechte an Patenten bzw. angemeldeten Patenten, an Marken, Urheberrechten oder sonstigem geistigen Eigentum besitzt, die sich auf den fachlichen Inhalt dieses Dokuments beziehen. Das Bereitstellen dieses Dokuments gibt Ihnen jedoch keinen Anspruch auf diese Patente, Marken, Urheberrechte oder auf sonstiges geistiges Eigentum, es sei denn, dies wird ausdrücklich in den schriftlichen Lizenzverträgen von Microsoft eingeräumt. © 2005 - 2006 Microsoft Corporation. Alle Rechte vorbehalten. Microsoft, MS-DOS, Windows, Windows NT, Windows Server und Active Directory sind eingetragene Marken oder Marken der Microsoft Corporation in den USA und/oder anderen Ländern. Die in diesem Dokument aufgeführten Produkt- und Firmennamen sind geschützte Marken ihrer jeweiligen Inhaber. Inhaltsverzeichnis Windows Server 2003 Active Directory-Betriebshandbuch ................................................ 1 Inhaltsverzeichnis ................................................................................................................ 3 Active Directory-Betriebshandbuch ................................................................................... 26 Active Directory-Administration ......................................................................................... 26 Einführung in die Administration von Active Directory ...................................................... 27 An wen richtet sich das Handbuch? .............................................................................. 28 Wie Sie das Handbuch nutzen sollten ........................................................................... 28 Aktualisierung des Handbuches ....................................................................................... 29 Neue Inhalte .................................................................................................................. 29 Aktualisierte Inhalte ....................................................................................................... 29 Administration von Domänen- und Gesamtstrukturvertrauensstellungen ........................ 29 Einführung zum Thema Domänen- und Gesamtstrukturvertrauensstellungen ................ 30 Best Practices in Bezug auf Domänen- und Gesamtstrukturvertrauensstellungen .......... 31 Verwalten von Domänen- und Gesamtstrukturvertrauensstellungen ............................... 32 Erstellen von Domänen- und Gesamtstrukturvertrauensstellungen ................................. 32 Terminologie im Neue Vertrauensstellung-Assistent .................................................... 33 Bekannte Probleme beim Erstellen von Domänen- und Gesamtstrukturvertrauensstellungen ............................................................................. 34 Erstellen von externen Vertrauensstellungen ................................................................... 35 Erstellen einer unidirektionalen, eingehenden, externen Vertrauensstellung auf einer Seite ............................................................................................................................... 37 Erstellen einer unidirektionalen, eingehenden, externen Vertrauensstellung auf beiden Seiten ............................................................................................................................. 39 Erstellen einer unidirektionalen, ausgehenden, externen Vertrauensstellung auf einer Seite ............................................................................................................................... 40 Erstellen einer unidirektionalen, ausgehenden, externen Vertrauensstellung auf beiden Seiten ............................................................................................................................. 42 Erstellen einer bidirektionalen, externen Vertrauensstellung auf einer Seite ................... 44 Erstellen einer bidirektionalen, externen Vertrauensstellung auf beiden Seiten .............. 46 Erstellen von Verknüpfungsvertrauensstellungen ............................................................ 47 Erstellen einer unidirektionalen, eingehenden Verknüpfungsvertrauensstellung auf einer Seite ............................................................................................................................... 48 Erstellen einer unidirektionalen, eingehenden Verknüpfungsvertrauensstellung auf beiden Seiten ............................................................................................................................. 50 Erstellen einer unidirektionalen, ausgehenden Verknüpfungsvertrauensstellung auf einer Seite ............................................................................................................................... 52 Erstellen einer unidirektionalen, ausgehenden Verknüpfungsvertrauensstellung auf beiden Seiten ................................................................................................................. 54 Erstellen einer bidirektionalen Verknüpfungsvertrauensstellung auf einer Seite ............. 55 Erstellen einer bidirektionalen Verknüpfungsvertrauensstellung auf beiden Seiten ......... 57 Erstellen von Gesamtstrukturvertrauensstellungen .......................................................... 59 Erstellen einer unidirektionalen, eingehenden Gesamtstrukturvertrauensstellung auf einer Seite ............................................................................................................................... 61 Erstellen einer unidirektionalen, eingehenden Gesamtstrukturvertrauensstellung auf beiden Seiten ................................................................................................................. 63 Erstellen einer unidirektionalen, ausgehenden Gesamtstrukturvertrauensstellung auf einer Seite ...................................................................................................................... 65 Erstellen einer unidirektionalen, ausgehenden Gesamtstrukturvertrauensstellung auf beiden Seiten ................................................................................................................. 67 Erstellen einer bidirektionalen Gesamtstrukturvertrauensstellung auf einer Seite ........... 68 Erstellen einer bidirektionalen Gesamtstrukturvertrauensstellung auf beiden Seiten ...... 71 Erstellen von Bereichsvertrauensstellung ......................................................................... 73 Erstellen einer unidirektionalen, eingehenden Bereichsvertrauensstellung ..................... 73 Erstellen einer unidirektionalen, ausgehenden Bereichsvertrauensstellung .................... 75 Erstellen einer bidirektionalen Bereichsvertrauensstellung .............................................. 76 Konfiguration von Domänen- und Gesamtstrukturvertrauensstellungen .......................... 78 Prüfen und Entfernen von Vertrauensstellungen .............................................................. 78 Prüfen einer Vertrauensstellung ....................................................................................... 78 Prüfen einer Vertrauensstellung .................................................................................... 79 Entfernen einer manuell erstellten Vertrauensstellung ..................................................... 80 Entfernen einer manuell erstellten Vertrauensstellung .................................................. 81 Ändern der Routingeinstellungen eines Namensuffixes ................................................... 82 Ändern des Routingstatus’ eines Namensuffixes ............................................................. 83 Ändern des Routingstatus eines Namensuffixes ........................................................... 83 Aktivieren oder Deaktivieren eines bestehenden Namensuffixes für das Routing ........... 84 Aktivieren oder Deaktivieren eines bestehenden Namensuffixes für das Routing........ 85 Ausschließen eines Namensuffixes vom Routing in der lokalen Gesamtstruktur ............ 85 Ausschließen eines Namensuffixes vom Routing in der lokalen Gesamtstruktur ......... 86 Absichern von Domänen- und Gesamtstrukturvertrauensstellungen ............................... 87 Konfiguration von SID-Filtereinstellungen......................................................................... 87 Deaktivieren der SID-Filterung .......................................................................................... 89 Aktivieren der SID-Filterung .............................................................................................. 90 Konfiguration von selektiven Authentifizierungseinstellungen .......................................... 91 Aktivieren der selektiven Authentifizierung über eine externe Vertrauensstellung ........... 92 Aktivieren der selektiven Authentifizierung über eine externe Vertrauensstellung ....... 92 Aktivierten der selektiven Authentifizierung über eine Gesamtstrukturvertrauensstellung ....................................................................................................................................... 93 Aktivierten der selektiven Authentifizierung über eine Gesamtstrukturvertrauensstellung .................................................................................................................................... 94 Aktivieren der domänenweiten Authentifizierung über eine externe Vertrauensstellung . 94 Aktivieren der domänenweiten Authentifizierung über eine externe Vertrauensstellung .................................................................................................................................... 95 Aktivieren der gesamtstrukturweiten Authentifizierung über eine Gesamtstrukturvertrauensstellung ................................................................................. 95 Aktivieren der gesamtstrukturweiten Authentifizierung über eine Gesamtstrukturvertrauensstellung ............................................................................. 96 Zuweisen der Berechtigung Authentifizierung zulassen auf Computern in der vertrauenden Domäne oder Gesamtstruktur ................................................................. 97 Zuweisen der Berechtigung Authentifizierung zulassen auf Computern in der vertrauenden Domäne oder Gesamtstruktur.............................................................. 97 Anhang: Der Neue Vertrauensstellung-Assistent ............................................................. 98 Richtung der Vertrauensstellung ................................................................................... 98 Seiten der Vertrauensstellung ..................................................................................... 101 Administration des Windows-Zeitdienstes ...................................................................... 102 Einführung in die Administration des Windows-Zeitdienstes .......................................... 103 Verwaltung des Windows-Zeitdienst ............................................................................... 103 Konfiguration eines Zeitgebers für die Gesamtstruktur .................................................. 104 Konfigurieren des Windows-Zeitdienstes auf dem PDC-Emulator ................................. 106 Ändern der Windows-Zeitdienst-Konfiguration auf dem alten PDC-Emulator ................ 107 Konfiguration eines Domänencontrollers in der übergeordneten Domäne als Zeitgeber ..................................................................................................................................... 108 Konfiguration des PDC-Emulators für eine Synchronisation mit der internen Hardwareuhr ..................................................................................................................................... 109 Deaktivieren des Windows-Zeitdienstes ......................................................................... 110 Konfiguration von Windows-Clients für die Zeitsynchronisation ..................................... 111 Konfigurieren eines manuellen Zeitgebers für einen bestimmten Clientcomputer ......... 111 Konfigurieren eines Clientcomputers für die automatische Domänen-Zeitsynchronisation ..................................................................................................................................... 113 Wiederherstellen der Standardeinstellungen des Windows-Zeitdienstes ....................... 114 Zurücksetzen des Windows-Zeitdienstes auf dem lokalen Computer auf die Standardeinstellungen ................................................................................................. 114 SYSVOL-Administration .................................................................................................. 115 Einführung in die Administration von SYSVOL ............................................................... 116 Verwaltung von SYSVOL ................................................................................................ 120 Ändern des für den Stagingbereich reservierten Speicherplatzes ................................. 121 Anhalten des Dateireplikationsdienstes .......................................................................... 121 Ändern des vom Staging Area-Ordner belegten Speicherplatzes .................................. 122 Starten des Dateireplikationsdienstes ............................................................................. 123 Verschieben des Stagingbereichs .................................................................................. 123 Identifizieren der Replikationspartner ............................................................................. 125 Den Status der SYSVOL-Freigabe überprüfen ............................................................... 126 Überprüfen der Replikation mit anderen Domänencontrollern ....................................... 127 Zusammenstellen der SYSVOL-Pfadinformationen ....................................................... 127 Sammeln der SYSVOL-Pfadinformationen ................................................................. 128 Zurücksetzen des Dateireplikationsdienst-Stagingordners auf einem anderen logischen Laufwerk ...................................................................................................................... 130 Manuelles Verschieben von SYSVOL ............................................................................ 133 Identifizieren der Replikationspartner ............................................................................. 134 Den Status der SYSVOL-Freigabe überprüfen ............................................................... 135 Überprüfen der Replikation mit anderen Domänencontrollern ....................................... 136 Zusammenstellen der SYSVOL-Pfadinformationen ....................................................... 137 Anhalten des Dateireplikationsdienstes .......................................................................... 138 Erstellen der SYSVOL-Ordnerstruktur ............................................................................ 138 Festlegen des SYSVOL-Pfades ...................................................................................... 139 Festlegen des Staging Area-Pfades ............................................................................... 140 Vorbereiten eines Domänencontrollers für einen nicht autorisierenden SYSVOL-Neustart ..................................................................................................................................... 141 Aktualisieren der Sicherheitseinstellungen für den neuen SYSVOL-Ordner .................. 143 Starten des Dateireplikationsdienstes ............................................................................. 144 Aktualisierung des Systemvolumen-Pfades.................................................................... 145 Zusammenstellen der SYSVOL-Pfadinformationen ....................................................... 146 Anhalten des Dateireplikationsdienstes .......................................................................... 147 Festlegen des SYSVOL-Pfades ...................................................................................... 147 Festlegen des Staging Area-Pfades ............................................................................... 148 Starten des Dateireplikationsdienstes ............................................................................. 149 Wiederherstellen und Wiederaufbauen von SYSVOL .................................................... 150 Identifizieren der Replikationspartner ............................................................................. 151 Den Status der SYSVOL-Freigabe überprüfen ............................................................... 152 Überprüfen der Replikation mit anderen Domänencontrollern ....................................... 153 Lokaler Neustart des Domänencontrollers im Verzeichnisdienstwiederherstellungsmodus ..................................................................................................................................... 154 Siehe auch ................................................................................................................... 155 Zusammenstellen der SYSVOL-Pfadinformationen ....................................................... 155 Anhalten des Dateireplikationsdienstes .......................................................................... 156 Vorbereiten eines Domänencontrollers für einen nicht autorisierenden SYSVOL-Neustart ..................................................................................................................................... 156 Import der SYSVOL-Ordnerstruktur ................................................................................ 158 Starten des Dateireplikationsdienstes ............................................................................. 160 Administration des globalen Katalogs ............................................................................. 161 Einführung in die Administration des globalen Katalogs ................................................. 161 Platzierung des globalen Katalogs .............................................................................. 161 Initiale Replikation des globalen Katalogs ................................................................... 162 Verfügbarkeit des globalen Katalogs ........................................................................... 162 Entfernen des globalen Katalogs ................................................................................. 163 Siehe auch ................................................................................................................... 163 http://go.microsoft.com/fwlink/?LinkId=44139 ............................................................. 163 Verwaltung des globalen Katalogs .................................................................................. 163 Konfiguration eines globalen Katalog Servers ................................................................ 164 Feststellen, ob ein Domänencontroller ein globaler Katalogserver ist ............................ 165 Konfigurieren eines Domänencontrollers als globaler Katalog Server ........................... 165 Überwachen des Replikationsprozesses des globalen Katalogs ................................... 166 Überprüfen der Bereitschaft des globalen Katalogs ....................................................... 167 Prüfen der Bereitschaft des globalen Katalogs ............................................................... 168 Prüfen der Bereitschaft des globalen Katalogs ........................................................... 168 Prüfen der DNS-Einträge des globalen Katalogs ........................................................... 169 Entfernen des globalen Katalogs .................................................................................... 169 Deaktivieren der globaler Katalog-Einstellung ................................................................ 170 Überwachen der Ereignisanzeige ................................................................................... 171 Administration von Betriebsmasterrollen ........................................................................ 171 Einführung in die Administration von Betriebsmasterrollen ............................................ 172 Richtlinien zur Platzierung der Rollen .......................................................................... 173 Richtlinien für das Übertragen von Rollen ................................................................... 175 Verwaltung von Betriebsmasterrollen ............................................................................. 175 Festlegen eines Standby-Betriebsmasters ..................................................................... 176 Feststellen, ob ein Domänencontroller ein globaler Katalogserver ist ............................ 177 Erstellen eines Verbindungsobjekts auf dem aktuellen Betriebsmaster ......................... 177 Erstellen eines Verbindungsobjekts auf dem Standby-Betriebsmaster .......................... 178 Überprüfen der erfolgreichen Replikation mit einem anderen Domänencontroller......... 179 Siehe auch ................................................................................................................... 181 Fehlersuche bei Active Directory-Replikationsproblemen ........................................... 181 Übertragen einer Betriebsmasterrolle ............................................................................. 181 Überprüfen der erfolgreichen Replikation mit einem anderen Domänencontroller......... 183 Siehe auch ................................................................................................................... 185 Fehlersuche bei Active Directory-Replikationsproblemen ........................................... 185 Feststellen, ob ein Domänencontroller ein globaler Katalogserver ist ............................ 185 Installation des Schema-Snap-Ins .................................................................................. 186 Übertragen der Rolle Schemamaster ............................................................................. 187 Übertragen der Rolle Domänennamensmaster .............................................................. 188 Übertragen der domänenbezogenen Betriebsmasterrollen ............................................ 189 Anzeigen der aktuellen Betriebsmaster .......................................................................... 190 Übernehmen einer Betriebsmasterrolle .......................................................................... 190 Überprüfen der erfolgreichen Replikation mit einem anderen Domänencontroller......... 191 Siehe auch ................................................................................................................... 194 Fehlersuche bei Active Directory-Replikationsproblemen ........................................... 194 Übernehmen der Betriebsmasterrolle ............................................................................. 194 Anzeigen der aktuellen Betriebsmaster .......................................................................... 195 Reduzierung der Auslastung auf dem PDC-Emulator .................................................... 196 Anpassen der Gewichtung für DNS-SRV-Einträge über die Registrierung ................. 196 Anpassen der Priorität für DNS-SRV-Einträge über die Registrierung ....................... 196 Ändern der Gewichtung von DNS-SRV-Einträgen in der Registrierung ......................... 197 Ändern der Priorität von DNS-SRV-Einträgen in der Registrierung................................ 198 Administration der Active Directory-Sicherung und -Wiederherstellung ......................... 199 Einführung in die Administration der Active Directory-Sicherung und -Wiederherstellung ..................................................................................................................................... 200 Systemstatus-Komponenten ....................................................................................... 200 Sinn regelmäßiger Sicherungen .................................................................................. 201 Anforderungen und Empfehlungen für die Wiederherstellung .................................... 201 Richtlinien für die Sicherung ........................................................................................ 202 Sicherungshäufigkeit ................................................................................................... 203 Sicherungs-Latenzintervall .......................................................................................... 204 Siehe auch ................................................................................................................... 205 Installation eines Domänencontrollers in einer bestehenden Domäne mithilfe von Sicherungsmedien .................................................................................................... 205 Verwaltung der Active Directory-Sicherung und -Wiederherstellung .............................. 205 Sichern von Active Directory-Komponenten ................................................................... 206 Benennung von Sicherungsdateien ............................................................................. 206 Siehe auch ................................................................................................................... 207 Installation eines Domänencontrollers in einer bestehenden Domäne mithilfe von Sicherungsmedien .................................................................................................... 207 Hinzufügen von Domäencontrollern an Remotestandorten ........................................ 207 Sicherung des Systemstatus .......................................................................................... 207 Siehe auch ................................................................................................................... 210 Aktivieren von Remotedesktop .................................................................................... 210 Erstellen einer Remotedesktopverbindung.................................................................. 210 Sicherung des Systemstatus und des Systemvolumens ................................................ 210 Siehe auch ................................................................................................................... 211 Aktivieren von Remotedesktop .................................................................................... 211 Erstellen einer Remotedesktopverbindung.................................................................. 211 Durchführen einer nicht autorisierenden Wiederherstellung eines Domänencontrollers 211 Siehe auch ................................................................................................................... 213 Durchführen einer autorisierenden Wiederherstellung von Active Directory-Objekten .................................................................................................................................. 213 Aktivieren von Remotedesktop .................................................................................... 213 Erstellen einer Remotedesktopverbindung.................................................................. 213 Lokaler Neustart des Domänencontrollers im Verzeichnisdienstwiederherstellungsmodus ..................................................................................................................................... 213 Siehe auch ................................................................................................................... 214 Neustart des Domänencontrollers im Verzeichnisdienstwiederherstellungsmodus von einem Remotestandort aus ......................................................................................... 214 Siehe auch ................................................................................................................... 215 Aktivieren von Remotedesktop .................................................................................... 215 Erstellen einer Remotedesktopverbindung.................................................................. 215 Lokaler Neustart des Domänencontrollers im Verzeichnisdienstwiederherstellungsmodus ............................................................ 215 Wiederherstellung mithilfe eines Sicherungsmediums ................................................... 215 Siehe auch ................................................................................................................... 217 Lokaler Neustart des Domänencontrollers im Verzeichnisdienstwiederherstellungsmodus ............................................................ 217 Aktivieren von Remotedesktop .................................................................................... 217 Erstellen einer Remotedesktopverbindung.................................................................. 217 Neustart des Domänencontrollers im Verzeichnisdienstwiederherstellungsmodus von einem Remotestandort aus ...................................................................................... 217 Wiederherstellen des Systemstatus an einem anderen Speicherort .......................... 217 Durchführen einer autorisierenden Wiederherstellung von Active Directory-Objekten .................................................................................................................................. 217 Überprüfen der Active Directory-Wiederherstellung ....................................................... 217 Durchführen einer autorisierenden Wiederherstellung von Active Directory-Objekten .. 218 Wiederherstellung von Gruppenmitgliedschaften nach einer autorisierende Wiederherstellung .................................................................................................... 218 Verbesserung der autorisierenden Wiederherstellung unter Windows Server 2003 SP1 .................................................................................................................................. 219 Verfahren für Domänencontroller unter Windows Server 2003 SP1 ........................... 220 Verfahren für Domänencontroller unter Windows Server 2003 ohne Service Pack ... 221 Wiederherstellung mithilfe eines Sicherungsmediums ................................................... 223 Siehe auch ................................................................................................................... 225 Lokaler Neustart des Domänencontrollers im Verzeichnisdienstwiederherstellungsmodus ............................................................ 225 Aktivieren von Remotedesktop .................................................................................... 225 Erstellen einer Remotedesktopverbindung.................................................................. 225 Neustart des Domänencontrollers im Verzeichnisdienstwiederherstellungsmodus von einem Remotestandort aus ...................................................................................... 225 Wiederherstellen des Systemstatus an einem anderen Speicherort .......................... 225 Durchführen einer autorisierenden Wiederherstellung von Active Directory-Objekten .................................................................................................................................. 225 Markieren von Objekten als autorisierend ...................................................................... 225 Synchronisation der Replikation mit allen Partnern ........................................................ 227 Siehe auch ................................................................................................................... 228 Überprüfen der erfolgreichen Replikation mit einem anderen Domänencontroller ..... 228 Ausführen einer LDIF-Datei zur Wiederherstellung von Back-Links .............................. 228 Siehe auch ................................................................................................................... 229 Erstellen einer LDIF-Datei zur Wiederherstellung von Back-Links ............................. 229 Lokaler Neustart des Domänencontrollers im Verzeichnisdienstwiederherstellungsmodus ..................................................................................................................................... 229 Siehe auch ................................................................................................................... 230 Erstellen einer LDIF-Datei zur Wiederherstellung von Back-Links ................................. 230 Siehe auch ................................................................................................................... 231 Wiederherstellung mithilfe eines Sicherungsmediums ................................................ 231 Ausführen eine LDIF-Datei zur Wiederherstellung von Back-Links ............................ 231 Deaktivieren der eingehenden Replikation ..................................................................... 231 Siehe auch ................................................................................................................... 232 Aktivieren der eingehenden Replikation ...................................................................... 232 Aktivieren der eingehenden Replikation ......................................................................... 232 Siehe auch ................................................................................................................... 233 Deaktivieren der eingehenden Replikation .................................................................. 233 Durchführen einer autorisierenden Wiederherstellung einer Anwendungspartition ....... 233 Wiederherstellung mithilfe eines Sicherungsmediums ................................................... 233 Siehe auch ................................................................................................................... 235 Lokaler Neustart des Domänencontrollers im Verzeichnisdienstwiederherstellungsmodus ............................................................ 235 Aktivieren von Remotedesktop .................................................................................... 235 Erstellen einer Remotedesktopverbindung.................................................................. 235 Neustart des Domänencontrollers im Verzeichnisdienstwiederherstellungsmodus von einem Remotestandort aus ...................................................................................... 235 Wiederherstellen des Systemstatus an einem anderen Speicherort .......................... 235 Durchführen einer autorisierenden Wiederherstellung von Active Directory-Objekten .................................................................................................................................. 235 Markieren der Anwendungspartition als autorisierend .................................................... 235 Durchführen einer autorisierenden Wiederherstellung eines Gruppenrichtlinienobjektes ..................................................................................................................................... 236 Wiederherstellen eines GPOs ......................................................................................... 237 Wiederherstellung eines Domänencontrollers über eine Neuinstallation gefolgt von einer Wiederherstellung einer Sicherung ............................................................................. 238 Wiederherstellung mithilfe eines Sicherungsmediums ................................................... 239 Siehe auch ................................................................................................................... 241 Lokaler Neustart des Domänencontrollers im Verzeichnisdienstwiederherstellungsmodus ............................................................ 241 Aktivieren von Remotedesktop .................................................................................... 241 Erstellen einer Remotedesktopverbindung.................................................................. 241 Neustart des Domänencontrollers im Verzeichnisdienstwiederherstellungsmodus von einem Remotestandort aus ...................................................................................... 241 Wiederherstellen des Systemstatus an einem anderen Speicherort .......................... 241 Durchführen einer autorisierenden Wiederherstellung von Active Directory-Objekten .................................................................................................................................. 241 Überprüfen der Active Directory-Wiederherstellung ....................................................... 241 Wiederherstellung eines Domänencontrollers über eine Neuinstallation ....................... 242 Bereinigen der Metadaten ............................................................................................... 243 Löschen eines Serverobjektes aus einem Standort ....................................................... 246 Löschen eines Computerobjektes aus der OU Domain Controllers ............................... 246 Siehe auch ................................................................................................................... 247 Das Entfernen eines Domänencontrollers erzwingen ................................................. 247 Bereinigen der Metadaten ........................................................................................... 247 Löschen eines Serverobjektes aus einem Standort .................................................... 247 Überprüfung der DNS-Registrierung und -Funktionalität ................................................ 247 Überprüfen der Kommunikation mit anderen Domänencontrollern ................................ 248 Überprüfen der Verfügbarkeit der Betriebsmaster .......................................................... 248 Installieren von Active Directory ...................................................................................... 249 Administrieren der Replikation zwischen Standorten ..................................................... 250 6.5 ................................................................................................................................... 251 Einführung in die Administration der Replikation zwischen Standorten ......................... 251 Der KCC und die Replikationstopologie ...................................................................... 251 Verwalten der Replikation zwischen Standorten ............................................................ 252 Hinzufügen eines neuen Standortes ............................................................................... 253 Erstellen eines Standortobjektes und Hinzufügen zu einer bestehenden Standortverknüpfung ................................................................................................... 254 Erstellen eines Subnetzobjektes und Zuweisen des Objektes zu einem neuen Standort ..................................................................................................................................... 254 Zuweisen eines bestehenden Subnetzobjektes zu einem neuen Standort .................... 255 Erstellen einer Standortverknüpfung und Hinzufügen der entsprechenden Standorte .. 256 Entfernen eines Standortes aus einer Standortverknüpfung .......................................... 257 Verknüpfen von Standorten für die Replikation .............................................................. 257 Erstellen einer Standortverknüpfung und Hinzufügen der entsprechenden Standorte .. 258 Ermitteln der ISTG-Rolle für einen Standort ................................................................... 259 Erstellen der Replikationstopologie auf dem ISTG-Server ............................................. 259 Ändern der Eigenschaften von Standortverknüpfungen ................................................. 260 Konfigurieren eines Zeitplans für eine Standortverknüpfung .......................................... 261 Konfigurieren eines Intervalls für eine Standortverknüpfung .......................................... 262 Konfigurieren der Kosten für eine Standortverknüpfung................................................. 262 Ermitteln der ISTG-Rolle für einen Standort ................................................................... 263 Erstellen der Replikationstopologie auf dem ISTG-Server ............................................. 264 Verschieben eines Domänencontrollers an einen anderen Standort ............................. 265 TCP/IP-Einstellungen .................................................................................................. 265 Status als bevorzugter Bridgeheadserver ................................................................... 265 Ändern der statischen IP-Adresse eines Domänencontrollers ....................................... 267 Erstellen einer Delegierung für einen Domänencontroller .............................................. 268 Überprüfen, ob eine IP-Adresse einem Subnetz entspricht, und Ermitteln der Standortzuordnung ...................................................................................................... 268 Feststellen, ob ein Server ein Bridgeheadserver ist ....................................................... 269 Einen Server so konfigurieren, dass er kein bevorzugter Bridgeheadserver ist ............. 270 Verschieben eines Serverobjekts in einen neuen Standort ............................................ 271 Entfernen eines Standortes ............................................................................................ 271 Ermitteln, ob ein Serverobjekt über Unterobjekte verfügt ............................................... 273 Löschen eines Serverobjektes aus einem Standort ....................................................... 273 Löschen einer Standortverknüpfung ............................................................................... 274 Zuordnen des Subnetzes oder der Subnetze zum entsprechenden Standort................ 275 Löschen des Standortobjektes ........................................................................................ 275 Ermitteln der ISTG-Rolle für einen Standort ................................................................... 276 Erstellen der Replikationstopologie auf dem ISTG-Server ............................................. 276 Administration der Active Directory-Datenbank .............................................................. 277 Einführung in die Administration der Active Directory-Datenbank .................................. 278 Verwalten der Active Directory-Datenbank ..................................................................... 279 Verschieben der Active Directory-Datenbankdateien ..................................................... 279 Speicherplatzanforderungen für das Verschieben der Active DirectoryDatenbankdateien .................................................................................................... 280 Online feststellen, wo die Datenbank gespeichert ist und wie groß diese ist ................. 282 Offline feststellen, wo die Datenbank gespeichert ist und wie groß diese ist ................. 283 Vergleich der Größe der Verzeichnisdatenbank mit der Volumengröße ........................ 284 Sicherung des Systemstatus .......................................................................................... 284 Siehe auch ................................................................................................................... 287 Aktivieren von Remotedesktop .................................................................................... 287 Erstellen einer Remotedesktopverbindung.................................................................. 287 Lokaler Neustart des Domänencontrollers im Verzeichnisdienstwiederherstellungsmodus ..................................................................................................................................... 287 Siehe auch ................................................................................................................... 288 Neustart des Domänencontrollers im Verzeichnisdienstwiederherstellungsmodus von einem Remotestandort aus ......................................................................................... 288 Siehe auch ................................................................................................................... 290 Aktivieren von Remotedesktop .................................................................................... 290 Erstellen einer Remotedesktopverbindung.................................................................. 290 Lokaler Neustart des Domänencontrollers im Verzeichnisdienstwiederherstellungsmodus ............................................................ 290 Verschieben der Verzeichnisdatenbank und Protokolldateien auf ein lokales Laufwerk 290 Verschieben der Verzeichnisdatenbank und Protokolldateien auf eine Remotefreigabe ..................................................................................................................................... 292 Freigeben von ungenutztem Festplattenplatz in der Active Directory-Datenbank.......... 294 Ändern des Garbage-Collection-Protokollierungslevel auf 1 .......................................... 295 Sicherung des Systemstatus .......................................................................................... 296 Siehe auch ................................................................................................................... 298 Aktivieren von Remotedesktop .................................................................................... 298 Erstellen einer Remotedesktopverbindung.................................................................. 298 Lokaler Neustart des Domänencontrollers im Verzeichnisdienstwiederherstellungsmodus ..................................................................................................................................... 298 Siehe auch ................................................................................................................... 299 Neustart des Domänencontrollers im Verzeichnisdienstwiederherstellungsmodus von einem Remotestandort aus ......................................................................................... 299 Siehe auch ................................................................................................................... 301 Aktivieren von Remotedesktop .................................................................................... 301 Erstellen einer Remotedesktopverbindung.................................................................. 301 Lokaler Neustart des Domänencontrollers im Verzeichnisdienstwiederherstellungsmodus ............................................................ 301 Komprimieren der Datenbank (Offlinedefragmentierung) ............................................... 301 Durchführen einer Semantikanalyse bei einem Fehlschlag der Integritätsprüfung ........ 304 Administration von Domänencontrollern ......................................................................... 305 Einführung in die Administration von Domänencontrollern ............................................. 305 Installieren und Entfernen von Active Directory .......................................................... 305 Umbenennen von Domänencontrollern ....................................................................... 306 Hinzufügen von Domänencontrollern an Remotestandorten ...................................... 306 Verwaltung von Domänencontrollern .............................................................................. 306 Verwaltung von Antiviren-Software auf Domänencontrollern ...................................... 307 Vorbereiten der Active Directory-Installation .................................................................. 310 DNS-Konfiguration ....................................................................................................... 310 Platzierung in einem Standort ..................................................................................... 310 Domänenkonnektivität ................................................................................................. 311 Installation des DNS-Serverdienstes .............................................................................. 312 Überprüfung der DNS-Registrierung und -Funktionalität ................................................ 313 Überprüfen, ob eine IP-Adresse einem Subnetz entspricht, und Ermitteln der Standortzuordnung ...................................................................................................... 314 Überprüfen der Kommunikation mit anderen Domänencontrollern ................................ 315 Überprüfen der Verfügbarkeit der Betriebsmaster .......................................................... 315 Installieren eines Domänencontrollers in einer bestehenden Domäne .......................... 316 Installieren von Active Directory ...................................................................................... 317 Installation eines Domänencontrollers in eine bestehenden Domäne mithilfe von Sicherungsmedien ....................................................................................................... 318 Siehe auch ................................................................................................................... 320 Hinzufügen von Domäencontrollern an Remotestandorten ........................................ 320 Erstellen einer Antwortdatei für eine Domänencontrollerinstallation ........................... 320 Sicherung des Systemstatus .......................................................................................... 320 Siehe auch ................................................................................................................... 322 Aktivieren von Remotedesktop .................................................................................... 322 Erstellen einer Remotedesktopverbindung.................................................................. 322 Wiederherstellen des Systemstatus an einem anderen Speicherort .............................. 322 Installation von Active Directory mithilfe eines Sicherungsmediums .............................. 324 Siehe auch ................................................................................................................... 324 Wiederherstellen des Systemstatus an einem anderen Speicherort .......................... 324 Einbeziehen von Anwendungspartitionen in die Active Directory-Installation über ein Sicherungsmedium ...................................................................................................... 325 Hinzufügen von Domänencontrollern an Remotestandorten .......................................... 326 Bekannte Probleme beim Hinzufügen von Domänencontrollern an Remotestandorten 327 SYSVOL-Replikation ................................................................................................... 327 Installation von Active Directory an einem Remotestandort mithilfe eines Sicherungsmediums ................................................................................................. 328 Installation von Domänencontrollern vor deren Auslieferung an einen Remotestandort .................................................................................................................................. 330 Siehe auch ................................................................................................................... 335 Vorbereiten eines Servers auf die Installation von einem Sicherungsmedium ........... 335 Vorbereiten eines bestehenden Domänencontrollers auf die Ausliefung ................... 335 Einen Domänencontroller wieder mit dem Netzwerk verbinden.................................. 335 Best Practices für das Hinzufügen von Domänencontrollern an Remotestandorten...... 335 Installation von Active Directory an einem Remotestandort mithilfe eines Sicherungsmediums ................................................................................................. 335 Installation von Domänencontrollern vor dem Ausliefern an den Remotestandort ..... 337 Siehe auch ................................................................................................................... 340 Bekannte Probleme beim Hinzufügen von Domänencontrollern an Remotestandorten .................................................................................................................................. 340 Vorbereiten eines Servers auf die Installation von einem Sicherungsmedium ........... 340 Vorbereiten eines bestehenden Domänencontrollers auf die Ausliefung ................... 340 Einen Domänencontroller wieder mit dem Netzwerk verbinden.................................. 340 Verwaltung von SYSVOL............................................................................................. 340 Arbeitsweise des Active Direktory-Replikationsmodells .............................................. 340 Active Directory Management Pack Technical Reference for MOM 2005 .................. 340 Vorbereiten eines Servers auf die Installation von einem Sicherungsmedium............... 340 Wiederherstellen der Sicherung auf dem zu installierenden Domänencontroller oder Verwenden eines Wechseldatenträgers .................................................................. 341 Festlegen des zur Wiederherstellung dienenden Volumens ....................................... 342 Aktivieren von Remotedesktop .................................................................................... 343 Erstellen einer Antwortdatei zur Domänencontrollerinstallation .................................. 343 Siehe auch ................................................................................................................... 345 Installation eines Domänencontrollers in eine bestehenden Domäne mithilfe von Sicherungsmedien .................................................................................................... 345 Sicherung des Systemstatus .......................................................................................... 345 Siehe auch ................................................................................................................... 348 Aktivieren von Remotedesktop .................................................................................... 348 Erstellen einer Remotedesktopverbindung.................................................................. 348 Wiederherstellen des Systemstatus an einem anderen Speicherort .............................. 348 Aktivieren von Remotedesktop ....................................................................................... 349 Erstellen einer Antwortdatei für eine Domänencontrollerinstallation .............................. 351 Siehe auch ................................................................................................................... 353 Erstellen einer Remotedesktopverbindung ..................................................................... 353 Siehe auch ................................................................................................................... 354 Aktivieren von Remotedesktop .................................................................................... 354 Installation von Active Directory mithilfe eines Sicherungsmediums .............................. 354 Siehe auch ................................................................................................................... 355 Wiederherstellen des Systemstatus an einem anderen Standort ............................... 355 Einbeziehen von Anwendungspartitionen in die Active Directory-Installation über ein Sicherungsmedium ...................................................................................................... 355 Vorbereiten eines bestehenden Domänencontrollers auf die Auslieferung .................... 356 Siehe auch ................................................................................................................... 358 Bekannte Probleme beim Hinzufügen von Domänencontrollern an Remotestandorten .................................................................................................................................. 358 Verwaltung von Betriebsmasterrollen .......................................................................... 358 Verwaltung von SYSVOL............................................................................................. 358 Einen Domänencontroller wieder mit dem Netzwerk verbinden.................................. 358 Windows Server 2003 Technical Reference ............................................................... 358 Ermitteln der Tombstone-Lebensdauer der Gesamtstruktur .......................................... 358 Anzeigen der aktuellen Betriebsmaster .......................................................................... 359 Übertragen der domänenbezogenen Betriebsmasterrollen ............................................ 360 Übertragen der Rolle Schemamaster ............................................................................. 361 Übertragen der Rolle Domänennamensmaster .............................................................. 361 Vorbereiten eines Domänencontrollers für einen nicht autorisierenden SYSVOL-Neustart ..................................................................................................................................... 362 Aktivieren der strikten Replikationskonsistenz ................................................................ 364 Synchronisation der Replikation mit allen Partnern ........................................................ 365 Siehe auch ................................................................................................................... 366 Überprüfen der erfolgreichen Replikation mit einem anderen Domänencontroller ..... 366 Überprüfen der erfolgreichen Replikation mit einem anderen Domänencontroller......... 366 Siehe auch ................................................................................................................... 369 Fehlersuche bei Active Directory-Replikationsproblemen ........................................... 369 Einen Domänencontroller wieder mit dem Netzwerk verbinden ..................................... 369 Verbinden eines veralteten Domänencontrollers ........................................................ 369 Aktualisierung von SYSVOL ........................................................................................ 370 Siehe auch ................................................................................................................... 371 Vorbereiten eines bestehenden Domänencontrollers auf die Ausliefung ................... 371 Ermitteln, wann die standortübergreifender Replikation startet ...................................... 371 Entfernen von veralteten Objekten mit Repadmin .......................................................... 372 Siehe auch ................................................................................................................... 374 Beheben von Fehlern im Zusammenhang mit zurückgebliebenen Objekten (Ereignis-ID 1388, 1988 und 2042) .............................................................................................. 374 Überprüfen der erfolgreichen Replikation mit einem anderen Domänencontroller......... 374 Siehe auch ................................................................................................................... 376 Fehlersuche bei Active Directory-Replikationsproblemen ........................................... 376 Ausführen einer unbeaufsichtigten Installation von Active Directory .............................. 376 Siehe auch ................................................................................................................... 377 Erstellen einer Antwortdatei für eine Domänencontrollerinstallation .............................. 377 Siehe auch ................................................................................................................... 379 Installation von Active Directory mithilfe eine Antwortdatei ............................................ 379 Siehe auch ................................................................................................................... 380 Erstellen einer Antwortdatei für eine Domänencontrollerinstallation ........................... 380 Überprüfen der Active Directory-Installation ................................................................ 380 Überprüfen der Active Directory-Installation ................................................................... 380 Ermitteln, ob ein Serverobjekt über Unterobjekte verfügt ............................................... 381 Überprüfen, ob eine IP-Adresse einem Subnetz entspricht, und Ermitteln der Standortzuordnung ...................................................................................................... 382 Verschieben eines Serverobjekts in einen neuen Standort ............................................ 383 Konfiguration von DNS-Weiterleitungen ......................................................................... 383 Überprüfung der DNS-Konfiguration ............................................................................... 384 Erstellen einer Delegierung für einen Domänencontroller .............................................. 385 Erstellen einer sekundären Zone .................................................................................... 386 Konfiguration von DNS-Clienteinstellungen .................................................................... 386 Den Status der SYSVOL-Freigabe überprüfen ............................................................... 387 Überprüfung der DNS-Registrierung und -Funktionalität ................................................ 388 Überprüfen der Kommunikation mit anderen Domänencontrollern ................................ 389 Überprüfen der Replikation mit anderen Domänencontrollern ....................................... 389 Überprüfen der Verfügbarkeit der Betriebsmaster .......................................................... 390 Überprüfen der Domänenmitgliedschaft eines neuen Domänencontrollers ................... 391 Umbenennen eines Domänencontrollers........................................................................ 392 Umbenennen eines Domänencontrollers über die Systemeigenschaften ...................... 393 Siehe auch ................................................................................................................... 394 Umbenennen eines Domänencontrollers mithilfe von Netdom ................................... 394 Umbenennen eines Domänencontrollers mithilfe von Netdom ...................................... 394 Siehe auch ................................................................................................................... 395 Umbenennen eines Domänencontrollers über die Systemeigenschaften .................. 395 Aktualisieren des FRS-Mitgliedobjektes ......................................................................... 395 Dekomissionierung eines Domänencontrollers .............................................................. 396 Anzeigen der aktuellen Betriebsmaster .......................................................................... 398 Übertragen der Rolle Schemamaster ............................................................................. 398 Übertragen der Rolle Domänennamensmaster .............................................................. 399 Übertragen der domänenbezogenen Betriebsmasterrollen ............................................ 400 Feststellen, ob ein Domänencontroller ein globaler Katalog Server ist .......................... 401 Überprüfung der DNS-Registrierung und -Funktionalität ................................................ 402 Überprüfen der Kommunikation mit anderen Domänencontrollern ................................ 402 Überprüfen der Verfügbarkeit der Betriebsmaster .......................................................... 403 Deinstallation von Active Directory ................................................................................. 404 Ermitteln, ob ein Serverobjekt über Unterobjekte verfügt ............................................... 405 Löschen eines Serverobjektes aus einem Standort ....................................................... 405 Das Entfernen eines Domänencontrollers erzwingen ..................................................... 406 Identifizieren der Replikationspartner ............................................................................. 407 Erzwingen der Zurückstufung des Domänencontrollers ................................................. 408 Bereinigen der Metadaten ............................................................................................... 408 Zusätzliche Ressourcen zur Administration von Active Directory .................................. 411 Behebung von Fehlern beim Betrieb von Active Directory ............................................. 412 Konfiguration eines Computers für die Active Directory-Fehlersuche ............................ 412 Konfigurationsschritte für die Fehlersuche .................................................................. 413 Installation von Windows Server 2003 SP1................................................................. 413 Installation der Windows Support Tools ...................................................................... 413 Installation des Netzwerkmonitors ............................................................................... 413 Definieren des Protokollierungslevels ......................................................................... 413 Fehlersuche bei Active Directory-Replikationsproblemen .............................................. 416 Empfehlungen aus Ereignissen ................................................................................... 416 Ausschließen des offensichtlichen .............................................................................. 417 Richtige Reaktion für Domänencontroller unter Windows 2000 Server, die zu lange inaktiv waren ............................................................................................................ 417 Fehlerursachen ............................................................................................................ 417 Grundsätzliche Vorgehensweise zur Behebung von Problemen ................................ 418 Überwachung der funktionierenden Replikation .......................................................... 418 Beheben von Problemen ............................................................................................. 420 Beheben von Fehlern im Zusammenhang mit zurückgebliebenen Objekten (Ereignis-ID 1388, 1988 und 2042) .............................................................................................. 425 Beheben von Sicherheitsproblemen im Zusammenhang mit der Replikation............. 425 Beheben von DNS-Lookup-Problemen (Ereignis-IDs 1925, 2087, 2088) ................... 425 Beheben von Konnektivitätsproblemen (Ereignis-ID 1925)......................................... 425 Beheben von Problemen mit der Replikationstopologie (Ereignis-ID1311) ................ 425 Beheben von Fehlern im Zusammenhang mit zurückgebliebenen Objekten (Ereignis-ID 1388, 1988 und 2042).................................................................................................. 425 Die Tombstone-Lebensdauer und die Replikation von Löschungen ........................... 425 Entstehung von veralteten Objekten ........................................................................... 426 Gründe für längerfristig vom Netzwerk getrennte Domänencontroller ........................ 426 Feststellen, ob ein Domänencontroller über veraltete Objekte verfügt ....................... 427 Tool für das Entfernen von veralteten Objekten .......................................................... 429 Siehe auch ................................................................................................................... 430 Konfiguration eines Computers für die Active Directory-Fehlersuche ......................... 430 Ereignis-ID 1388 oder 1988: Veraltete Objekte gefunden .............................................. 430 Ereignis-ID 1388 .......................................................................................................... 430 Ereignis-ID 1988 .......................................................................................................... 432 Ursache........................................................................................................................ 432 Lösung ......................................................................................................................... 433 Ein gelöschtes Konto verbleibt im Adressbuch, Emails werden nicht empfangen, oder es bestehen doppelte Konten ........................................................................................... 438 Lösung ......................................................................................................................... 438 Ereignis-ID 2042: Zeitraum seit der letzten Replikation zu lang ..................................... 440 Lösung ......................................................................................................................... 441 Beheben von Sicherheitsproblemen im Zusammenhang mit der Replikation ................ 443 Ein "Zugriff verweigert"-Fehler oder ein anderer Sicherheitsfehler hat Replikationsprobleme verursacht ................................................................................ 444 Ursache........................................................................................................................ 445 Lösung ......................................................................................................................... 445 Beheben von DNS-Lookup-Problemen (Ereignis-IDs 1925, 2087, 2088) ...................... 448 Verbesserungen der Domänencontroller-Namensauflösung in SP1 .......................... 448 DNS-Anforderungen für einen erfolgreichen CNAME-Lookup .................................... 450 Ereignis-ID 1925: Aufgrund eines DNS-Lookup-Problems fehlgeschlagener Versuch, eine Replikationsverbindung aufzubauen ................................................................ 451 Ereignis-ID 2087: DNS-Lookup sorgt für einen Replikationsfehler ............................. 451 Ereignis-ID 2088: DNS-Lookup-Fehler mit erfolgreicher Replikation .......................... 451 Ereignis-ID 1925: Aufgrund eines DNS-Lookup-Problems fehlgeschlagener Versuch, eine Replikationsverbindung aufzubauen ........................................................................... 451 Lösung ......................................................................................................................... 452 Ereignis-ID 2087: DNS-Lookup sorgt für einen Replikationsfehler ................................. 452 Ursache........................................................................................................................ 454 Lösung ......................................................................................................................... 455 Ereignis-ID 2088: DNS-Lookup-Fehler mit erfolgreicher Replikation ............................. 464 Ursache........................................................................................................................ 466 Lösung ......................................................................................................................... 466 Beheben von Konnektivitätsproblemen (Ereignis-ID 1925) ............................................ 466 Ereignis-ID 1925: Versuch, eine Replikationsverbindung aufzubauen, schlug aufgrund von Konnektivitätsproblemen fehl ................................................................................ 467 Ursache........................................................................................................................ 468 Lösung ......................................................................................................................... 468 Beheben von Problemen mit der Replikationstopologie (Ereignis-ID1311).................... 473 Ereignis-ID 1311: Replikationskonfiguration entspricht nicht dem physischen Netzwerk ..................................................................................................................................... 474 Ursache........................................................................................................................ 475 Lösung ......................................................................................................................... 475 Zusätzliche Ressourcen zur Active Directory-Fehlersuche ............................................ 481 Active Directory-Betriebshandbuch Das Active Directory-Betriebshandbuch stellt Informationen zur Administration und Fehlersuche in Bezug auf Active Directory™-Technologien unter Microsoft® Windows Server™ 2003 und Windows Server 2003 mit Service Pack 1 (SP1) bereit. Sie können Active Directory unter Windows Server 2003 Web Edition nicht installieren. Sie können die entsprechenden Server jedoch in eine Domäne aufnehmen. Weitere Informationen zu Windows Server 2003 Web Edition finden Sie im Artikel Overview of Windows Server 2003, Web Edition unter http://go.microsoft.com/fwlink/?LinkId=9253. Anmerkung Das Windows Server 2003 Active Directory-Betriebshandbuch steht auch als herunterladbares Dokument bereit: http://go.microsoft.com/fwlink/?LinkId=63079. In diesem Handbuch finden Sie die folgenden Kapitel: Active Directory-Administration Active Directory-Fehlersuche Active Directory-Administration In diesem Kapitel finden Sie Informationen zur Administration von Active Directory unter Microsoft Windows Server 2003 und Windows Server 2003 mit Service Pack 1 (SP1). In diesem Kapitel finden Sie die folgenden Abschnitte Einführung in die Administration von Active Directory Aktualisierung des Handbuches Administration von Domänen- und Gesamtstrukturvertrauensstellungen Administration des Windows-Zeitdienstes Administration von SYSVOL Administration des globalen Katalogs Administration von Betriebsmasterrollen Administration der Active Directory-Sicherung und -Wiederherstellung Administration der standortübergreifenden Replikation Administration der Active Directory-Datenbank Administration von Domänencontrollern Zusätzliche Ressourcen zur Administration von Active Directory Anmerkung Sie können Active Directory unter Windows Server 2003 Web Edition nicht installieren. Sie können die entsprechenden Server jedoch in eine Domäne aufnehmen. Weitere Informationen zu Windows Server 2003 Web Edition finden Sie im Artikel Overview of Windows Server 2003, Web Edition unter http://go.microsoft.com/fwlink/?LinkId=9253. Danksagung Technisches Review: Chris Macaulay, Nigel Cain, Arren Conner, Dmitry Dukat, Levon Esibov, Khushru Irani, Kamal Janardhan, Gregory Johnson, William Lees, Andreas Luther, Kevin Sims, Jeromy Statia, Eric Kool-Brown, J. K. Jaganathan, Mike Resnick, Michael Snyder, Nathan Muggli, Yi Zhao, Christopher Westpoint, Robert Powalka, Rob Kochman Review durch MVPs: Joseph Shook, Thomas Bittner, Nuo Yan, Al Mulnick, Tony Murray, Guido Grillenmeier, M. Rajesh, Todd Myrick Einführung in die Administration von Active Directory In diesem Handbuch erfahren Sie, wie Sie Microsoft Active Directory administrieren. Wenn Ihnen das Handbuch noch nicht bekannt ist, sollten Sie die folgenden Abschnitte unbedingt lesen. An wen richtet sich das Handbuch? Sie sollten das Handbuch unter den folgenden Umständen verwenden: Wenn Sie häufig auftretende Active Directory-Probleme, die durch Fehlerkonfigurationen auftreten, beseitigen möchten. Wenn Sie Active Directory so konfigurieren möchten, dass die Netzwerkverfügbarkeit verbessert wird. Das Handbuch setzt ein grundlegendes Verständnis dazu voraus, was Active Directory ist, wie es arbeitet und wie Ihre Organisation es zum Zugriff, zur Verwaltung und zur Absicherung von freigegebenen Ressourcen nutzen kann. Sie sollten außerdem über ein gutes Verständnis der Bereitstellung und Verwaltung von Active Directory in Organisationen verfügen. Hierzu gehören Kenntnisse zu den Mechanismen, die in Ihrer Organisation zur Konfiguration und Verwaltung von Active Directory eingesetzt werden. Das Handbuch kann von Organisationen verwendet werden, die Windows Server 2003 und Windows Server 2003 mit Service Pack 1 (SP1) einsetzen. Es enthält Informationen, die für verschiedene Rollen in einer IT-Organisation relevant sind (inklusive des ITBetriebs und der Administratoren). Außerdem finden Sie abstraktere Informationen, die zur Planung des Active Directory-Betriebs notwendig sind. Zusätzlich enthält das Handbuch Verfahren, die sich an die für den Betrieb zuständigen Administratoren wenden. Zwar stellen die Verfahren vollständige Arbeitsanweisungen zur Verfügung, aber trotzdem ist ein grundlegendes Verständnis der Arbeit mit Snap-Ins, mit administrativen Programmen und mit der Kommandozeile erforderlich. Wie Sie das Handbuch nutzen sollten Der Betrieb von Active Directory kann in verschiedene Bereiche aufgeteilt werden: Ziele sind abstraktere Ziele, die für die Verwaltung, Überwachung, Optimierung und Absicherung von Active Directory erreicht werden sollen. Jedes Ziel setzt sich aus einer oder mehreren Aufgaben zusammen. Aufgaben sind gruppenbezogene Verfahren und stellen grundlegende Informationen zur Verfügung, die zum Erreichen eines Zieles erforderlich sind. Verfahren stellen Schritt-für-Schritt-Anwendungen zur Durchführung von Aufgaben zur Verfügung. Wenn Sie IT-Verantwortlicher sind und Aufgaben an Mitarbeiter delegieren, gehen Sie folgendermaßen vor: Lesen Sie sich die Aufgaben und Verfahren durch, um Berechtigungen delegieren zu können. Bevor Sie Aufgaben an einzelne Mitarbeiter zuweisen, stellen Sie sicher, dass diese über alle erforderlichen Tools verfügen. Wenn notwendig, erstellen Sie "Aufgabenbeschreibungen" für jede Aufgabe, die ein Mitarbeiter ausführen muss. Aktualisierung des Handbuches Dieses Handbuch wird regelmäßig aktualisiert. In den folgenden Abschnitten finden Sie Informationen zu den Teilen des Handbuches, die sich geändert haben. Neue Inhalte August 2005: Durchführen einer autorisierenden Wiederherstellung von Active Directory-Objekten. Februar 2006: Aktivieren von Remotedesktop. Februar 2006: Bekannte Probleme beim Hinzufügen von Domänencontrollern an Remotestandorten. Aktualisierte Inhalte April 2006: Durchführen einer autorisierenden Wiederherstellung von Active Directory-Objekten. Administration von Domänen- und Gesamtstrukturvertrauensstellungen In diesem Kapitel finden Sie Schritt-für-Schritt-Anleitungen zur Verwaltung und Absicherung von Windows Server 2003-Domänen und -Vertrauensstellungen. Durch die Konfiguration von Domänen und Gesamtstrukturvertrauensstellungen bestimmen Sie den Umfang der Netzwerkkommunikation innerhalb von Gesamtstrukturen und zwischen Gesamtstrukturen. Die Konfiguration von bestehenden Vertrauensstellungen spielt eine wichtige Rolle für den Betrieb und die Absicherung Ihrer Netzwerkinfrastruktur. Anmerkung Sie können Active Directory unter Windows Server 2003 Web Edition nicht installieren. Sie können die entsprechenden Server jedoch in eine Domäne aufnehmen. Weitere Informationen zu Windows Server 2003 Web Edition finden Sie im Artikel Overview of Windows Server 2003, Web Edition unter http://go.microsoft.com/fwlink/?LinkId=9253. In diesem Kapitel Einführung zum Thema Domänen- und Gesamtstrukturvertrauensstellungen Best Practices in Bezug auf Domänen- und Gesamtstrukturvertrauensstellungen Verwalten von Domänen- und Gesamtstrukturvertrauensstellungen Absichern von Domänen- und Gesamtstrukturvertrauensstellungen Anhang: Der neue Vertrauensstellung-Assistent Danksagung Erstellt durch: Microsoft Windows Server Security and Directory Services User Assistance Team Autor: Nick Pierson Lektor: Jim Becker Einführung zum Thema Domänen- und Gesamtstrukturvertrauensstellungen Mithilfe von Windows Server 2003-Domänen- und -Gesamtstrukturvertrauensstellungen können Dienstadministratoren Beziehungen zwischen einer oder mehreren Domänen oder Gesamtstrukturen festlegen. Windows Server 2003-Domänen und Gesamtstrukturen können auch über Vertrauensstellungen zu Kerberos-Realms und zu anderen Windows Server 2003-Gesamtstrukturen verfügen. Auch Vertrauensstellungen mit Microsoft Windows® 2000- Windows NT® 4.0-Domänen sind möglich. Bei einer Vertrauensstellung zwischen zwei Domänen vertraut jede Domäne den Authentifizierungsmechanismen der anderen Domäne. Vertrauensstellungen unterstützen den kontrollierten Zugriff auf Ressourcen in einer Ressourcendomäne (der vertrauenden Domäne), indem sie eingehende Authentifizierungsanfragen mithilfe einer vertrauenswürdigen Stelle (der vertrauenswürdigen Domäne) überprüfen. Vertrauensstellungen funktionieren so als Brücken, über die Authentifizierungsanfragen zwischen Domänen weitergeleitet werden können. Wie eine Vertrauensstellung Authentifizierungsanfragen weiterleitet, hängt davon ab, wie sie konfiguriert ist. Vertrauensbeziehungen können einseitig (Zugriff aus der vertrauenswürdigen Domäne auf Ressourcen der vertrauenden Domäne) oder bidirektional (Zugriff von jeder Domäne auf die jeweils andere Domäne) sein. Vertrauensstellungen sind entweder transitiv (die Vertrauensstellung gilt nur für die beiden Partnerdomänen) oder nicht transitiv (die Vertrauensstellung gilt auch für alle anderen Domänen, denen einer der beiden Partner vertraut) sein. In einigen Fällen werden Vertrauensstellungen automatisch beim Erstellen von Domänen eingerichtet. In anderen Fällen muss der Administrator die Art der Vertrauensstellung bestimmen und die entsprechenden Beziehungen explizit einrichten. Best Practices in Bezug auf Domänenund Gesamtstrukturvertrauensstellungen Die folgenden Best Practices steigern erwiesenermaßen die Verfügbarkeit, stellen einen störungsfreien Betrieb sicher oder vereinfachen die Administration. Wenn sich in Ihrer Gesamtstruktur Domänenbäume mit vielen Unterdomänen befinden und es zu spürbaren Verzögerungen bei der Benutzerauthentifizierung in untergeordneten Domänen kommt, dann können Sie den Authentifizierungsprozess optimieren, indem Sie Verknüpfungsvertrauensstellungen zwischen Domänen erstellen. Weitere Informationen finden Sie unter When to create a shortcut trust. Pflegen Sie eine aktuelle Liste der Vertrauensstellungen. Mit Nltest.exe können Sie eine Liste der Vertrauensstellungen erstellen und speichern. Weitere Informationen finden Sie im Abschnitt "Nltest.exe: NLTest Overview" der technischen Referenz zu Windows Server 2003. Führen Sie regelmäßige Sicherungen der Domänencontroller durch. Weitere Informationen hierzu finden Sie im Abschnitt Sicherung des Systemstatus’. Verwalten von Domänen- und Gesamtstrukturvertrauensstellungen Wenn Ihre Organisation mit Benutzern oder Ressourcen in anderen Domänen, Realms oder Gesamtstrukturen zusammenarbeiten muss, ist es notwendig, die Domänen- und Gesamtstrukturvertrauensstellungen zu verwalten. Als erstes müssen Sie die entsprechenden Vertrauensstellungen erstellen und konfigurieren. Mehr zu diesem Thema erfahren Sie in den folgenden beiden Abschnitten: Erstellen von Domänen- und Gesamtstrukturvertrauensstellungen Konfiguration von Domänen- und Gesamtstrukturvertrauensstellungen Erstellen von Domänen- und Gesamtstrukturvertrauensstellungen Unter Windows Server 2003 gibt es vier Arten von Vertrauensstellungen, die manuell erstellt werden müssen. Externe Vertrauensstellungen, Bereichsvertrauensstellungen und Gesamtstrukturvertrauensstellungen unterstützen die Interoperabilität mit Domänen, die sich nicht in Ihrer Gesamtstruktur befinden, und mit anderen Realms. Verknüpfungsvertrauensstellungen optimieren den Zugriff auf Ressourcen und Anmeldevorgänge zwischen Strukturen in der gleichen Gesamtstruktur In den nächsten Abschnitten werden die folgenden Aufgaben beschrieben: Erstellen von externen Vertrauensstellungen Erstellen von Verknüpfungsvertrauensstellungen Erstellen von Gesamtstrukturvertrauensstellungen Erstellen von Bereichsvertrauensstellungen Anmerkung Eine Vertrauensstellung ermöglicht Benutzern in einer vertrauenswürdigen Domäne nicht ohne weiteres den Zugriff auf eine Domäne, der vertraut wird. Die Benutzer benötigen die entsprechenden Zugriffsrechte. In einigen Fällen können Benutzer jedoch automatisch Zugriff auf Ressourcen haben, die der Gruppe Authentifizierte Benutzer zugewiesen wurde. Terminologie im Neue VertrauensstellungAssistent Neue Vertrauensstellungen werden unter Windows Server 2003 mit dem Neue Vertrauensstellungs-Assistenten erstellt. Bevor Sie diesen Assistenten nutzen, sollten Sie mit der entsprechenden Terminologie vertraut sein: Diese Domäne: Die Domäne, in der Sie den Assistenten gestartet haben. Wenn Sie den Assistenten starten, überprüft dieser sofort Ihre administrativen Berechtigungen für die Domäne. Der Begriff "Diese Domäne" beschreibt daher die Domäne, an der Sie im Moment angemeldet sind. Lokale Domäne/Lokale Gesamtstruktur: Die Domäne oder Gesamtstruktur, in der Sie den Assistenten gestartet haben. Bidirektional: Eine Vertrauensstellung zwischen zwei Domänen, in denen jede Domäne der anderen vertraut. Vertrauensstellungen zwischen über- und untergeordneten Domänen sind grundsätzlich bidirektional. Unidirektional: eingehend: Eine unidirektionale Vertrauensstellung zwischen zwei Domänen, bei der die Vertrauensrichtung zu der Domäne führt, in der Sie den Assistenten gestartet haben. Wenn die Vertrauensrichtung zu Ihrer Domäne geht, dann bedeutet dies, dass die Benutzer Ihrer Domäne auf Ressourcen der anderen Domäne zugreifen können. Unidirektional: ausgehend: Eine unidirektionale Vertrauensstellung zwischen zwei Domänen, bei der die Vertrauensrichtung zu der Domäne führt, die Sie im Assistenten angegeben haben. Wenn die Vertrauensrichtung zu einer anderen Domäne führt, dann bedeutet dies, dass die Benutzer dieser Domäne auf Ressourcen Ihrer Domäne zugreifen können. Beide Seiten der Vertrauensstellung: Wenn Sie eine externe Vertrauensstellung, eine Verknüpfungsvertrauensstellung oder eine Gesamtstrukturvertrauensstellung erstellen, haben Sie die Möglichkeit, beide Seiten der jeweiligen Vertrauensstellung getrennt zu erstellen oder dies gleichzeitig durchzuführen. Wenn Sie sich für eine separate Erstellung entscheiden, müssen Sie den Assistenten zwei Mal ausführen einmal in jeder der beiden Domänen. In diesem Fall ist es wichtig, dass Sie auf beiden Seiten das gleiche Vertrauensstellungskennwort angeben. Aus Gründen der Sicherheit sollte es sich bei diesen Kennwörtern um möglichst starke Kennwörter handeln. Domänenweite Authentifizierung: Eine Authentifizierungseinstellung, die einen uneingeschränkten Zugriff durch jeden Benutzer der angegebenen Domäne auf alle Ressourcen der lokalen Domäne ermöglicht. Für externe Vertrauensstellungen ist dies die Standardeinstellung. Gesamtstrukturweite Authentifizierung: Eine Authentifizierungseinstellung, die einen uneingeschränkten Zugriff durch jeden Benutzer der angegebenen Gesamtstruktur auf alle Ressourcen der lokalen Gesamtstruktur ermöglicht. Für Gesamtstrukturvertrauensstellungen ist dies die Standardeinstellung. Selektive Authentifizierung: Eine Authentifizierungseinstellung, die den Zugriff über eine externe Vertrauensstellung oder eine Gesamtstrukturvertrauensstellung auf die Benutzer einer Domäne oder Gesamtstruktur einschränkt, denen explizit Authentifizierungsrechte für Computerobjekte (Resscourcencomputer) gewährt wurden. Vertrauensstellungskennwort: Eine Option, bei der beide Domänen einer Vertrauensstellung ein gemeinsames Kennwort verwenden, das im Trusted Domain Object (TDO) in Active Directory gespeichert ist. Bei dieser Option wird automatisch ein starkes Kennwort erstellt. Sie müssen in beiden Domänen einer Vertrauensstellung das gleiche Kennwort verwenden. Bekannte Probleme beim Erstellen von Domänen- und Gesamtstrukturvertrauensstellungen Bevor Sie mit dem Erstellen von Domänen- und Gesamtstrukturvertrauensstellungen unter Windows Server 2003 beginnen, sollten Sie sich über die folgenden bekannten Probleme informieren: Sie können die Erstellung von Vertrauensstellungen nicht an Benutzer delegieren, die nicht Mitglied der Gruppe Domänen-Admins oder Organisations-Admins sind. Dies liegt daran, das Netlogon und die Tools zur Erstellung von Vertrauensstellungen (Active Directory-Domänen und -Vertrauensstellungen und Netdom) so entworfen wurden, dass nur Mitglieder dieser beiden Gruppen Vertrauensstellungen erstellen dürfen. Jeder Benutzer, der Mitglied der Gruppe "Erstellung eingehender Gesamtstrukturvertrauensstellung" ist, kann jedoch unidirektionale, eingehende Gesamtstrukturvertrauensstellungen erstellen. Weitere Informationen zur Gruppe "Erstellung eingehender Gesamtstrukturvertrauensstellung" finden Sie im Abschnitt "How Domain and Forest Trusts Work" unter Windows Server 2003 Technical Reference. Wenn Sie lokal an einem Domänencontroller angemeldet sind und versuchen, eine neue Vertrauensstellung über das Snap-In Active Directory-Domänen und Vertrauensstellungen zu erstellen, dann kann es sein, dass dies nicht funktioniert und Sie die Fehlermeldung “Zugriff verweigert” erhalten. Dieses Problem tritt nur dann auf, wenn Sie als normaler Benutzer am Domänencontroller angemeldet sind (also nicht als Administrator oder Mitglied einer administrativen Gruppe). Standardmäßig ist es normalen Benutzern jedoch verboten, sich lokal an einem Domänencontroller anzumelden. Wenn Sie über Active Directory-Domänen und -Vertrauensstellungen eine Vertrauensstellung erstellen, erhalten Sie möglicherweise die Fehlermeldung "Operation fehlgeschlagen. Parameter inkorrekt". Dies Problem kann dann auftreten, wenn Sie versuchen, eine Vertrauensstellung zwischen Domänen zu erstellen, bei denen eine oder mehrere der folgenden Komponenten gleich sind: SID DNS-Name NetBIOS-Name Um das Problem zu beheben, führen Sie vor der Erstellung der Vertrauensstellung eine der folgenden Aktionen aus: Benennen Sie die entsprechende(n) SID(s) um. Verwenden Sie den FQDN im Fall eines NetBIOS-Konfliktes. Im Assistenten wird die Option für das Erstellen einer neuen Gesamtstrukturvertrauensstellung nicht angezeigt. Dies tritt typischerweise dann auf, wenn eine oder beide der Windows Server 2003-Gesamtstrukturen nicht in der Funktionsebene Windows Server 2003 arbeiten. Weitere Informationen hierzu finden Sie unter http://go.microsoft.com/fwlink/?LinkId=41698. In einer Microsoft Windows Small Business Server 2003-Domäne sind Anzahl und Art der möglichen Vertrauensstellungen gewissen Einschränkungen unterlegen. Erstellen von externen Vertrauensstellungen Um eine unidirektionale oder bidirektionale nicht transitive Vertrauensstellung mit Domänen außerhalb Ihrer Gesamtstruktur einzurichten, können Sie eine externe Vertrauensstellung erstellen. Externe Vertrauensstellungen sind manchmal dann notwendig, wenn Benutzer Zugriff auf Ressourcen benötigen, die sich in einer Windows NT 4.0-Domäne oder einer Domäne in einem anderen Namespace in einer anderen Active Directory-Gesamtstruktur befinden, die nicht durch eine Gesamtstrukturvertrauensstellung verbunden ist. Weitere Informationen zu externen Vertrauensstellungen finden Sie im Abschnitt "How Domain and Forest Trusts Work" unter http://go.microsoft.com/fwlink/?LinkId=35356. Anmerkung Vertrauensstellungen, die zwischen Windows NT 4.0- und Active DirectoryDomänen erstellt werden, sind unidirektional und nicht transitiv. Sie benötigen eine NetBIOS-Namensauflösung. Anforderungen Die nachfolgenden Aufgaben können Sie mit den folgenden Tools ausführen: Active Directory-Domänen und -Vertrauensstellungen Netdom.exe Weitere Informationen zum Kommandozeilentool Netdom finden Sie in der Technischen Referenz zu Windows Server 2003 unter http://go.microsoft.com/fwlink/?LinkId=41700. Anmerkung Wenn Sie über die entsprechenden administrativen Anmeldeinformationen für beide Domänen verfügen, können Sie beide Seiten einer externen Vertrauensstellung in einem Schritt erstellen. Hierzu gehen Sie nach den unten beschriebenen Schritten vor. Mit dem Verfahren “Erstellen einer unidirektionalen, eingehenden, externen Vertrauensstellung auf beiden Seiten” erstellen Sie zum Beispiel beide Seiten einer Vertrauensstellung in einem Schritt. Weitere Informationen finden Sie im Abschnitt Anhang: Der Neue VertrauensstellungAssistent. Mit den folgenden Verfahren können Sie externe Vertrauensstellungen erstellen: Erstellen einer unidirektionalen, eingehenden, externen Vertrauensstellung auf einer Seite Erstellen einer unidirektionalen, eingehenden, externen Vertrauensstellung auf beiden Seiten Erstellen einer unidirektionalen, ausgehenden, externen Vertrauensstellung auf einer Seite Erstellen einer unidirektionalen, ausgehenden, externen Vertrauensstellung auf beiden Seiten Erstellen einer bidirektionalen, externen Vertrauensstellung auf einer Seite Erstellen einer bidirektionalen, externen Vertrauensstellung auf beiden Seiten Erstellen einer unidirektionalen, eingehenden, externen Vertrauensstellung auf einer Seite Mit diesem Verfahren erstellen Sie eine unidirektionale, eingehende, externe Vertrauensstellung. Die neue Vertrauensstellung ist nicht funktionsfähig, bevor der Administrator der anderen Domäne eine entgegengesetzte Vertrauensstellung erstellt hat. Wenn Sie über administrative Berechtigungen für beide Domänen verfügen, können Sie beide Vertrauensstellungen in einem Schritt erstellen. Führen Sie hierzu den Schritt Erstellen einer unidirektionalen, eingehenden, externen Vertrauensstellung auf beiden Seiten aus. Eine unidirektionale, eingehende, externe Vertrauensstellung ermöglicht es den Benutzern Ihrer Domäne, auf die Ressourcen einer anderen Active Directory-Domäne (in einer anderen Gesamtstruktur) oder in einer Windows NT 4.0-Domäne zuzugreifen. Sie können eine solche Vertrauensstellung über den Neue VertrauensstellungAssistenten im Snap-In Active Directory-Domänen und -Vertrauensstellungen oder über das Kommandozeilentool Netdom erstellen. Weitere Informationen zum Kommandozeilentool Netdom finden Sie in der Technischen Referenz zu Windows Server 2003 unter http://go.microsoft.com/fwlink/?LinkId=41700. Administrative Berechtigungen Um dieses Verfahren ausführen zu können, müssen Sie Mitglied der Gruppe DomänenAdmins oder der Gruppe Organisations-Admins sein. 1. Öffnen Sie das Snap-In Active Directory-Domänen und -Vertrauensstellungen. 2. Klicken Sie im Konsolenbereich mit rechts auf die Domäne, für die Sie eine Vertrauensstellung erstellen wollen, und klicken Sie dann auf Eigenschaften. 3. Klicken Sie auf der Registerkarte Vertrauensstellungen auf Neue Vertrauensstellung, und klicken Sie dann auf Weiter. 4. Geben Sie auf der Seite Vertrauensstellungsname den DNS-Namen (oder den NetBIOS-Namen) der Domäne ein, und klicken Sie dann auf Weiter 5. Klicken Sie auf der Seite Vertrauenstyp auf Externe Vertrauensstellung, und klicken Sie dann auf Weiter. 6. Klicken Sie auf der Seite Richtung der Vertrauensstellung auf Unidirektional: eingehend, und klicken Sie dann auf Weiter. Weitere Informationen zu den möglichen Richtungen finden Sie im Abschnitt "Richtung der Vertrauensstellung" im Kapitel Anhang: Der Neue Vertrauensstellung-Assistent. 7. Klicken Sie auf der Seite Seiten der Vertrauensstellung auf Nur diese Domäne, und klicken Sie dann auf Weiter. 8. Geben Sie das Kennwort für die Vertrauensstellung ein. 9. Klicken Sie auf Weiter. 10. Klicken Sie auf Weiter. 11. Führen Sie auf der Seite Eingehende Vertrauensstellung bestätigen eine der folgenden Aktionen aus: Bestätigen Sie die Vertrauensstellung nicht. In diesem Fall wird kein sicherer Kanal eingerichtet, bevor die Vertrauensstellung nicht zum ersten Mal durch einen Benutzer verwendet wird. Bestätigen Sie die Vertrauensstellung, und geben Sie entsprechende administrative Anmeldeinformationen an. 12. Klicken Sie auf Fertigstellen. Anmerkung: Damit die Vertrauensstellung korrekt funktioniert, muss der Administrator der Gegenseite das Verfahren Erstellen einer unidirektionalen, ausgehenden, externen Vertrauensstellung auf einer Seite mit dem gleichen Kennwort durchführen, das hier verwendet wurde. Erstellen einer unidirektionalen, eingehenden, externen Vertrauensstellung auf beiden Seiten Mit diesem Verfahren erstellen Sie beide Seiten einer unidirektionalen, eingehenden, externen Vertrauensstellung. Sie benötigen administrative Berechtigungen für beide Domänen. Eine unidirektionale, eingehende, externe Vertrauensstellung ermöglicht es den Benutzern Ihrer Domäne, auf die Ressourcen einer anderen Active Directory-Domäne (in einer anderen Gesamtstruktur) oder in einer Windows NT 4.0-Domäne zuzugreifen. Sie können eine solche Vertrauensstellung über den Neue VertrauensstellungAssistenten im Snap-In Active Directory-Domänen und -Vertrauensstellungen oder über das Kommandozeilentool Netdom erstellen. Weitere Informationen zum Kommandozeilentool Netdom finden Sie in der Technischen Referenz zu Windows Server 2003 unter http://go.microsoft.com/fwlink/?LinkId=41700. Administrative Berechtigungen Um dieses Verfahren ausführen zu können, müssen Sie Mitglied der Gruppe DomänenAdmins oder der Gruppe Organisations-Admins sein. 1. Öffnen Sie das Snap-In Active Directory-Domänen und -Vertrauensstellungen. 2. Klicken Sie im Konsolenbereich mit rechts auf die Domäne, für die Sie eine Vertrauensstellung erstellen wollen, und klicken Sie dann auf Eigenschaften. 3. Klicken Sie auf der Registerkarte Vertrauensstellungen auf Neue Vertrauensstellung, und klicken Sie dann auf Weiter. 4. Geben Sie auf der Seite Vertrauensstellungsname den DNS-Namen (oder den NetBIOS-Namen) der Domäne ein, und klicken Sie dann auf Weiter. 5. Klicken Sie auf der Seite Vertrauenstyp auf Externe Vertrauensstellung, und klicken Sie dann auf Weiter. 6. Klicken Sie auf der Seite Richtung der Vertrauensstellung auf Unidirektional: eingehend, und klicken Sie dann auf Weiter. Weitere Informationen zu den möglichen Richtungen finden Sie im Abschnitt "Richtung der Vertrauensstellung" im Kapitel Anhang: Der Neue Vertrauensstellung-Assistent. 7. Klicken Sie auf der Seite Seiten der Vertrauensstellung auf Beide, diese Domäne und die angegebene Domäne, und klicken Sie dann auf Weiter. 8. Geben Sie auf der Seite Benutzername und Kennwort den Benutzernamen und das Kennwort des entsprechenden Administrators für die Domäne an. 9. Führen Sie auf der folgenden Seite eine der folgenden Aktionen aus, und klicken Sie dann auf Weiter: Klicken Sie auf Domänenweite Authentifizierung. Klicken Sie auf Selektive Authentifizierung. 10. Klicken Sie auf Weiter. 11. Klicken Sie auf Weiter. 12. Führen Sie auf der Seite Eingehende Vertrauensstellung bestätigen eine der folgenden Aktionen aus: Bestätigen Sie die Vertrauensstellung nicht. In diesem Fall wird kein sicherer Kanal eingerichtet, bevor die Vertrauensstellung nicht zum ersten Mal durch einen Benutzer verwendet wird. Bestätigen Sie die Vertrauensstellung, und geben Sie entsprechende administrative Anmeldeinformationen an. 13. Klicken Sie auf Fertigstellen. Erstellen einer unidirektionalen, ausgehenden, externen Vertrauensstellung auf einer Seite Mit diesem Verfahren erstellen Sie eine unidirektionale, ausgehende, externe Vertrauensstellung. Die neue Vertrauensstellung ist nicht funktionsfähig, bevor der Administrator der anderen Domäne eine entgegengesetzte Vertrauensstellung erstellt hat. Wenn Sie über administrative Berechtigungen für beide Domänen verfügen, können Sie beide Vertrauensstellungen in einem Schritt erstellen. Führen Sie hierzu den Schritt Erstellen einer unidirektionalen, ausgehenden, externen Vertrauensstellung auf beiden Seiten aus. Eine unidirektionale, ausgehende, externe Vertrauensstellung ermöglicht es den Benutzern einer anderen Active Directory-Domäne (in einer anderen Gesamtstruktur) oder in einer Windows NT 4.0-Domäne, auf die Ressourcen Ihrer Domäne zuzugreifen. Sie können eine solche Vertrauensstellung über den Neue VertrauensstellungAssistenten im Snap-In Active Directory-Domänen und -Vertrauensstellungen oder über das Kommandozeilentool Netdom erstellen. Weitere Informationen zum Kommandozeilentool Netdom finden Sie in der Technischen Referenz zu Windows Server 2003 unter http://go.microsoft.com/fwlink/?LinkId=41700. Administrative Berechtigungen Um dieses Verfahren ausführen zu können, müssen Sie Mitglied der Gruppe DomänenAdmins oder der Gruppe Organisations-Admins sein. 1. Öffnen Sie das Snap-In Active Directory-Domänen und -Vertrauensstellungen. 2. Klicken Sie im Konsolenbereich mit rechts auf die Domäne, für die Sie eine Vertrauensstellung erstellen wollen und klicken Sie dann auf Eigenschaften. 3. Klicken Sie auf der Registerkarte Vertrauensstellungen auf Neue Vertrauensstellung, und klicken Sie dann auf Weiter. 4. Geben Sie auf der Seite Vertrauensstellungsname den DNS-Namen (oder den NetBIOS-Namen) der Domäne ein, und klicken Sie dann auf Weiter. 5. Klicken Sie auf der Seite Vertrauenstyp auf Externe Vertrauensstellung, und klicken Sie dann auf Weiter. 6. Klicken Sie auf der Seite Richtung der Vertrauensstellung auf Unidirektional: ausgehend, und klicken Sie dann auf Weiter. Weitere Informationen zu den möglichen Richtungen finden Sie im Abschnitt "Richtung der Vertrauensstellung" im Kapitel Anhang: Der Neue Vertrauensstellung-Assistent. 7. Klicken Sie auf der Seite Seiten der Vertrauensstellung auf Nur diese Domäne, und klicken Sie dann auf Weiter. 8. Führen Sie auf der folgenden Seite eine der folgenden Aktionen aus, und klicken Sie dann auf Weiter: Klicken Sie auf Domänenweite Authentifizierung. Klicken Sie auf Selektive Authentifizierung. 9. Geben Sie das Kennwort für die Vertrauensstellung ein. 10. Klicken Sie auf Weiter. 11. Klicken Sie auf Weiter. 12. Führen Sie auf der Seite Ausgehende Vertrauensstellung bestätigen eine der folgenden Aktionen aus: Bestätigen Sie die Vertrauensstellung nicht. In diesem Fall wird kein sicherer Kanal eingerichtet, bevor die Vertrauensstellung nicht zum ersten Mal durch einen Benutzer verwendet wird. Bestätigen Sie die Vertrauensstellung, und geben Sie entsprechende administrative Anmeldeinformationen an. 13. Klicken Sie auf Fertigstellen. Anmerkung: Damit die Vertrauensstellung korrekt funktioniert, muss der Administrator der Gegenseite das Verfahren Erstellen einer unidirektionalen, eingehenden, externen Vertrauensstellung auf einer Seite mit dem gleichen Kennwort durchführen, das hier verwendet wurde. Erstellen einer unidirektionalen, ausgehenden, externen Vertrauensstellung auf beiden Seiten Mit diesem Verfahren erstellen Sie beide Seiten einer unidirektionalen, ausgehenden, externen Vertrauensstellung. Sie benötigen administrative Berechtigungen für beide Domänen. Eine unidirektionale, ausgehende, externe Vertrauensstellung ermöglicht es den Benutzern einer anderen Active Directory-Domäne (in einer anderen Gesamtstruktur) oder einer Windows NT 4.0-Domäne, auf die Ressourcen Ihrer Domäne zuzugreifen. Sie können eine solche Vertrauensstellung über den Neue VertrauensstellungAssistenten im Snap-In Active Directory-Domänen und -Vertrauensstellungen oder über das Kommandozeilentool Netdom erstellen. Weitere Informationen zum Kommandozeilentool Netdom finden Sie in der Technischen Referenz zu Windows Server 2003 unter http://go.microsoft.com/fwlink/?LinkId=41700. Administrative Berechtigungen Um dieses Verfahren ausführen zu können, müssen Sie Mitglied der Gruppe DomänenAdmins oder der Gruppe Organisations-Admins sein. 1. Öffnen Sie das Snap-In Active Directory-Domänen und -Vertrauensstellungen. 2. Klicken Sie im Konsolenbereich mit rechts auf die Domäne, für die Sie eine Vertrauensstellung erstellen wollen, und klicken Sie dann auf Eigenschaften. 3. Klicken Sie auf der Registerkarte Vertrauensstellungen auf Neue Vertrauensstellung, und klicken Sie dann auf Weiter. 4. Geben Sie auf der Seite Vertrauensstellungsname den DNS-Namen (oder den NetBIOS-Namen) der Domäne ein, und klicken Sie dann auf Weiter. 5. Klicken Sie auf der Seite Vertrauenstyp auf Externe Vertrauensstellung, und klicken Sie dann auf Weiter. 6. Klicken Sie auf der Seite Richtung der Vertrauensstellung auf Unidirektional: ausgehend, und klicken Sie dann auf Weiter. Weitere Informationen zu den möglichen Richtungen finden Sie im Abschnitt "Richtung der Vertrauensstellung" im Kapitel Anhang: Der Neue Vertrauensstellung-Assistent. 7. Klicken Sie auf der Seite Seiten der Vertrauensstellung auf Beide, diese Domäne und die angegebene Domäne, und klicken Sie dann auf Weiter. 8. Geben Sie auf der Seite Benutzername und Kennwort den Benutzernamen und das Kennwort des entsprechenden Administrators für die Domäne an. 9. Führen Sie auf der folgenden Seite eine der folgenden Aktionen aus, und klicken Sie dann auf Weiter: Klicken Sie auf Domänenweite Authentifizierung. Klicken Sie auf Selektive Authentifizierung. 10. Klicken Sie auf Weiter. 11. Klicken Sie auf Weiter. 12. Führen Sie auf der Seite Ausgehende Vertrauensstellung bestätigen eine der folgenden Aktionen aus: Bestätigen Sie die Vertrauensstellung nicht. In diesem Fall wird kein sicherer Kanal eingerichtet, bevor die Vertrauensstellung nicht zum ersten Mal durch einen Benutzer verwendet wird. Bestätigen Sie die Vertrauensstellung, und geben Sie entsprechende administrative Anmeldeinformationen an. 13. Klicken Sie auf Fertigstellen. Erstellen einer bidirektionalen, externen Vertrauensstellung auf einer Seite Mit diesem Verfahren erstellen Sie eine bidirektionale, externe Vertrauensstellung. Die neue Vertrauensstellung ist nicht funktionsfähig, bevor der Administrator der anderen Domäne eine entgegengesetzte Vertrauensstellung erstellt hat. Wenn Sie über administrative Berechtigungen für beide Domänen verfügen, können Sie beide Vertrauensstellungen in einem Schritt erstellen. Führen Sie hierzu den Schritt Erstellen einer unidirektionalen, eingehenden, externen Vertrauensstellung auf beiden Seiten aus. Eine bidirektionale, externe Vertrauensstellung ermöglicht den Benutzern beider Domänen einen gegenseitigen Zugriff auf die Ressourcen der anderen Domäne. Sie können eine solche Vertrauensstellung über den Neue VertrauensstellungAssistenten im Snap-In Active Directory-Domänen und -Vertrauensstellungen oder über das Kommandozeilentool Netdom erstellen. Weitere Informationen zum Kommandozeilentool Netdom finden Sie in der Technischen Referenz zu Windows Server 2003 unter http://go.microsoft.com/fwlink/?LinkId=41700. Administrative Berechtigungen Um dieses Verfahren ausführen zu können, müssen Sie Mitglied der Gruppe DomänenAdmins oder der Gruppe Organisations-Admins sein. 1. Öffnen Sie das Snap-In Active Directory-Domänen und -Vertrauensstellungen. 2. Klicken Sie im Konsolenbereich mit rechts auf die Domäne, für die Sie eine Vertrauensstellung erstellen wollen, und klicken Sie dann auf Eigenschaften. 3. Klicken Sie auf der Registerkarte Vertrauensstellungen auf Neue Vertrauensstellung, und klicken Sie dann auf Weiter. 4. Geben Sie auf der Seite Vertrauensstellungsname den DNS-Namen (oder den NetBIOS-Namen) der Domäne ein, und klicken Sie dann auf Weiter. 5. Klicken Sie auf der Seite Vertrauenstyp auf Externe Vertrauensstellung, und klicken Sie dann auf Weiter. 6. Klicken Sie auf der Seite Richtung der Vertrauensstellung auf Bidirektional, und klicken Sie dann auf Weiter. Weitere Informationen zu den möglichen Richtungen finden Sie im Abschnitt "Richtung der Vertrauensstellung" im Kapitel Anhang: Der Neue Vertrauensstellung-Assistent. 7. Klicken Sie auf der Seite Seiten der Vertrauensstellung auf Nur diese Domäne, und klicken Sie dann auf Weiter. 8. Führen Sie auf der folgenden Seite eine der folgenden Aktionen aus, und klicken Sie dann auf Weiter: Klicken Sie auf Domänenweite Authentifizierung. Klicken Sie auf Selektive Authentifizierung. 9. Geben Sie das Kennwort für die Vertrauensstellung ein. 10. Klicken Sie auf Weiter. 11. Klicken Sie auf Weiter. 12. Führen Sie auf der Seite Ausgehende Vertrauensstellung bestätigen eine der folgenden Aktionen aus: Bestätigen Sie die Vertrauensstellung nicht. In diesem Fall wird kein sicherer Kanal eingerichtet, bevor die Vertrauensstellung nicht zum ersten Mal durch einen Benutzer verwendet wird. Bestätigen Sie die Vertrauensstellung, und geben Sie entsprechende administrative Anmeldeinformationen an. 13. Führen Sie auf der Seite Eingehende Vertrauensstellung bestätigen eine der folgenden Aktionen aus: Bestätigen Sie die Vertrauensstellung nicht. Bestätigen Sie die Vertrauensstellung, und geben Sie entsprechende administrative Anmeldeinformationen an. 14. Klicken Sie auf Fertigstellen. Anmerkung: Damit die Vertrauensstellung korrekt funktioniert, muss der Administrator der Gegenseite das Verfahren mit dem gleichen Kennwort durchführen, das hier verwendet wurde. Erstellen einer bidirektionalen, externen Vertrauensstellung auf beiden Seiten Mit diesem Verfahren erstellen Sie beide Seiten einer bidirektionalen, externen Vertrauensstellung. Sie benötigen administrative Berechtigungen für beide Domänen. Eine bidirektionale, externe Vertrauensstellung ermöglicht den Benutzern beider Domänen einen gegenseitigen Zugriff auf die Ressourcen der anderen Domäne. Sie können eine solche Vertrauensstellung über den Neue VertrauensstellungAssistenten im Snap-In Active Directory-Domänen und -Vertrauensstellungen oder über das Kommandozeilentool Netdom erstellen. Weitere Informationen zum Kommandozeilentool Netdom finden Sie in der Technischen Referenz zu Windows Server 2003 unter http://go.microsoft.com/fwlink/?LinkId=41700. Administrative Berechtigungen Um dieses Verfahren ausführen zu können, müssen Sie Mitglied der Gruppe DomänenAdmins oder der Gruppe Organisations-Admins sein. 1. Öffnen Sie das Snap-In Active Directory-Domänen und -Vertrauensstellungen. 2. Klicken Sie im Konsolenbereich mit rechts auf die Domäne, für die Sie eine Vertrauensstellung erstellen wollen, und klicken Sie dann auf Eigenschaften. 3. Klicken Sie auf der Registerkarte Vertrauensstellungen auf Neue Vertrauensstellung, und klicken Sie dann auf Weiter. 4. Geben Sie auf der Seite Vertrauensstellungsname den DNS-Namen (oder den NetBIOS-Namen) der Domäne ein, und klicken Sie dann auf Weiter. 5. Klicken Sie auf der Seite Vertrauenstyp auf Externe Vertrauensstellung, und klicken Sie dann auf Weiter. 6. Klicken Sie auf der Seite Richtung der Vertrauensstellung auf Bidirektional, und klicken Sie dann auf Weiter. Weitere Informationen zu den möglichen Richtungen finden Sie im Abschnitt "Richtung der Vertrauensstellung" im Kapitel Anhang: Der Neue Vertrauensstellung-Assistent. 7. Klicken Sie auf der Seite Seiten der Vertrauensstellung auf Beide, diese Domäne und die angegebene Domäne, und klicken Sie dann auf Weiter. 8. Geben Sie auf der Seite Benutzername und Kennwort den Benutzernamen und das Kennwort des entsprechenden Administrators für die Domäne an. 9. Führen Sie auf der folgenden Seite eine der folgenden Aktionen aus, und klicken Sie dann auf Weiter: Klicken Sie auf Domänenweite Authentifizierung. Klicken Sie auf Selektive Authentifizierung. 10. Führen Sie auf der folgenden Seite eine der folgenden Aktionen aus, und klicken Sie dann auf Weiter: Klicken Sie auf Domänenweite Authentifizierung. Klicken Sie auf Selektive Authentifizierung. 11. Klicken Sie auf Weiter. 12. Klicken Sie auf Weiter. 13. Führen Sie auf der Seite Ausgehende Vertrauensstellung bestätigen eine der folgenden Aktionen aus: Bestätigen Sie die Vertrauensstellung nicht. In diesem Fall wird kein sicherer Kanal eingerichtet, bevor die Vertrauensstellung nicht zum ersten Mal durch einen Benutzer verwendet wird. Bestätigen Sie die Vertrauensstellung, und geben Sie entsprechende administrative Anmeldeinformationen an. 14. Führen Sie auf der Seite Eingehende Vertrauensstellung bestätigen eine der folgenden Aktionen aus: Bestätigen Sie die Vertrauensstellung nicht. Bestätigen Sie die Vertrauensstellung, und geben Sie entsprechende administrative Anmeldeinformationen an. 15. Klicken Sie auf Fertigstellen. Erstellen von Verknüpfungsvertrauensstellungen Eine Verknüpfungsvertrauensstellung ist eine manuell erstellte Vertrauensstellung, die den Vertrauenspfad verkürzt und so die Authentifizierungsgeschwindigkeit erhöht. Dies kann zu schnelleren Anmeldevorgängen und einem schnelleren Ressourcenzugriff führen. Ein Vertrauenspfad ist eine Kette von mehreren Vertrauensstellungen, die eine Vertrauensstellung zwischen Domänen ermöglicht, die nicht direkt aneinander grenzen. Weitere Informationen finden Sie unter http://go.microsoft.com/fwlink/?LinkId=35356. Anforderungen Die nachfolgenden Aufgaben können Sie mit den folgenden Tools ausführen: Active Directory-Domänen und -Vertrauensstellungen Netdom.exe Weitere Informationen zum Kommandozeilentool Netdom finden Sie in der Technischen Referenz zu Windows Server 2003 unter http://go.microsoft.com/fwlink/?LinkId=41700. Anmerkung Wenn Sie über die entsprechenden administrativen Anmeldeinformationen für beide Domänen verfügen, können Sie beide Seiten einer Verknüpfungsvertrauensstellung in einem Schritt erstellen. Hierzu gehen Sie nach den unten beschriebenen Schritten vor. Weitere Informationen finden Sie im Abschnitt Anhang: Der Neue VertrauensstellungAssistent. Mit den folgenden Verfahren können Sie Verknüpfungsvertrauensstellungen erstellen: Erstellen einer unidirektionalen, eingehenden Verknüpfungsvertrauensstellung auf einer Seite Erstellen einer unidirektionalen, eingehenden Verknüpfungsvertrauensstellung auf beiden Seiten Erstellen einer unidirektionalen, ausgehenden Verknüpfungsvertrauensstellung auf einer Seite Erstellen einer unidirektionalen, ausgehenden Verknüpfungsvertrauensstellung auf beiden Seiten Erstellen einer bidirektionalen Verknüpfungsvertrauensstellung auf einer Seite Erstellen einer bidirektionalen Verknüpfungsvertrauensstellung auf beiden Seiten Erstellen einer unidirektionalen, eingehenden Verknüpfungsvertrauensstellung auf einer Seite Mit diesem Verfahren erstellen Sie eine unidirektionale, eingehende, Verknüpfungsvertrauensstellung. Die neue Vertrauensstellung ist nicht funktionsfähig, bevor der Administrator der anderen Domäne eine entgegengesetzte Vertrauensstellung erstellt hat. Wenn Sie über administrative Berechtigungen für beide Domänen verfügen, können Sie beide Vertrauensstellungen in einem Schritt erstellen. Führen Sie hierzu den Schritt Erstellen einer unidirektionalen, eingehenden, externen Vertrauensstellung auf beiden Seiten aus. Eine unidirektionale, eingehende Verknüpfungsvertrauensstellung ermöglicht den Benutzern aus Ihrer Windows Server 2003-Domäne (der Domäne, an der Sie beim Ausführen des Assistenten für neue Vertrauensstellungen angemeldet sind) einen schnelleren Zugriff auf die Ressourcen einer anderen Domäne, die sich in der gleichen Gesamtstruktur, jedoch in einer anderen Struktur befindet. Sie können eine solche Vertrauensstellung über den Neue VertrauensstellungAssistenten im Snap-In Active Directory-Domänen und -Vertrauensstellungen oder über das Kommandozeilentool Netdom erstellen. Weitere Informationen zum Kommandozeilentool Netdom finden Sie in der Technischen Referenz zu Windows Server 2003 unter Windows Server 2003 Technical Reference. Administrative Berechtigungen Um dieses Verfahren ausführen zu können, müssen Sie Mitglied der Gruppe DomänenAdmins oder der Gruppe Organisations-Admins sein. 1. Öffnen Sie das Snap-In Active Directory-Domänen und -Vertrauensstellungen. 2. Klicken Sie im Konsolenbereich mit rechts auf die Domäne, für die Sie eine Vertrauensstellung erstellen wollen, und klicken Sie dann auf Eigenschaften. 3. Klicken Sie auf der Registerkarte Vertrauensstellungen auf Neue Vertrauensstellung, und klicken Sie dann auf Weiter. 4. Geben Sie auf der Seite Vertrauensstellungsname den DNS-Namen (oder den NetBIOS-Namen) der Domäne ein, und klicken Sie dann auf Weiter. 5. Klicken Sie auf der Seite Vertrauenstyp auf Externe Vertrauensstellung, und klicken Sie dann auf Weiter. 6. Klicken Sie auf der Seite Richtung der Vertrauensstellung auf Unidirektional: eingehend, und klicken Sie dann auf Weiter. Weitere Informationen zu den möglichen Richtungen finden Sie im Abschnitt "Richtung der Vertrauensstellung" im Kapitel Anhang: Der Neue Vertrauensstellung-Assistent. 7. Klicken Sie auf der Seite Seiten der Vertrauensstellung auf Nur diese Domäne, und klicken Sie dann auf Weiter. 8. Geben Sie das Kennwort für die Vertrauensstellung ein. 9. Klicken Sie auf Weiter. 10. Klicken Sie auf Weiter. 11. Führen Sie auf der Seite Eingehende Vertrauensstellung bestätigen eine der folgenden Aktionen aus: Bestätigen Sie die Vertrauensstellung nicht. In diesem Fall wird kein sicherer Kanal eingerichtet, bevor die Vertrauensstellung nicht zum ersten Mal durch einen Benutzer verwendet wird. Bestätigen Sie die Vertrauensstellung, und geben Sie entsprechende administrative Anmeldeinformationen an. 12. Klicken Sie auf Fertigstellen. Anmerkung: Damit die Vertrauensstellung korrekt funktioniert, muss der Administrator der Gegenseite das Verfahren Erstellen einer unidirektionalen, ausgehenden Verknüpfungsvertrauensstellung auf einer Seite mit dem gleichen Kennwort durchführen, das hier verwendet wurde. Erstellen einer unidirektionalen, eingehenden Verknüpfungsvertrauensstellung auf beiden Seiten Mit diesem Verfahren erstellen Sie beide Seiten einer unidirektionalen, eingehenden Verknüpfungsvertrauensstellung. Sie benötigen administrative Berechtigungen für beide Domänen. Eine unidirektionale, eingehende Verknüpfungsvertrauensstellung ermöglicht den Benutzern aus Ihrer Windows Server 2003-Domäne (der Domäne, an der Sie beim Ausführen des Assistenten für neue Vertrauensstellungen angemeldet sind) einen schnelleren Zugriff auf die Ressourcen einer anderen Domäne, die sich in der gleichen Gesamtstruktur, jedoch in einer anderen Struktur befindet. Sie können eine solche Vertrauensstellung über den Neue VertrauensstellungAssistenten im Snap-In Active Directory-Domänen und -Vertrauensstellungen oder über das Kommandozeilentool Netdom erstellen. Weitere Informationen zum Kommandozeilentool Netdom finden Sie in der Technischen Referenz zu Windows Server 2003 unter Windows Server 2003 Technical Reference. Administrative Berechtigungen Um dieses Verfahren ausführen zu können, müssen Sie Mitglied der Gruppe DomänenAdmins oder der Gruppe Organisations-Admins sein. 1. Öffnen Sie das Snap-In Active Directory-Domänen und -Vertrauensstellungen. 2. Klicken Sie im Konsolenbereich mit rechts auf die Domäne, für die Sie eine Vertrauensstellung erstellen wollen, und klicken Sie dann auf Eigenschaften. 3. Klicken Sie auf der Registerkarte Vertrauensstellungen auf Neue Vertrauensstellung, und klicken Sie dann auf Weiter. 4. Geben Sie auf der Seite Vertrauensstellungsname den DNS-Namen (oder den NetBIOS-Namen) der Domäne ein, und klicken Sie dann auf Weiter. 5. Klicken Sie auf der Seite Vertrauenstyp auf Externe Vertrauensstellung, und klicken Sie dann auf Weiter. 6. Klicken Sie auf der Seite Richtung der Vertrauensstellung auf Unidirektional: eingehend, und klicken Sie dann auf Weiter. Weitere Informationen zu den möglichen Richtungen finden Sie im Abschnitt "Richtung der Vertrauensstellung" im Kapitel Anhang: Der Neue Vertrauensstellung-Assistent. 7. Klicken Sie auf der Seite Seiten der Vertrauensstellung auf Beide, diese Domäne und die angegebene Domäne, und klicken Sie dann auf Weiter. 8. Geben Sie auf der Seite Benutzername und Kennwort den Benutzernamen und das Kennwort des entsprechenden Administrators für die Domäne an. 9. Klicken Sie auf Weiter. 10. Klicken Sie auf Weiter. 11. Führen Sie auf der Seite Eingehende Vertrauensstellung bestätigen eine der folgenden Aktionen aus: Bestätigen Sie die Vertrauensstellung nicht. In diesem Fall wird kein sicherer Kanal eingerichtet, bevor die Vertrauensstellung nicht zum ersten Mal durch einen Benutzer verwendet wird. Bestätigen Sie die Vertrauensstellung, und geben Sie entsprechende administrative Anmeldeinformationen an. 12. Klicken Sie auf Fertigstellen. Erstellen einer unidirektionalen, ausgehenden Verknüpfungsvertrauensstellung auf einer Seite Mit diesem Verfahren erstellen Sie eine unidirektionale, ausgehende, externe Vertrauensstellung. Die neue Vertrauensstellung ist nicht funktionsfähig, bevor der Administrator der anderen Domäne eine entgegengesetzte Vertrauensstellung erstellt hat. Wenn Sie über administrative Berechtigungen für beide Domänen verfügen, können Sie beide Vertrauensstellungen in einem Schritt erstellen. Führen Sie hierzu den Schritt Erstellen einer unidirektionalen, ausgehenden Verknüpfungsvertrauensstellung auf beiden Seiten aus. Eine unidirektionale, ausgehende Verknüpfungsvertrauensstellung ermöglicht den Benutzern einer anderen Domäne, die sich in der gleichen Gesamtstruktur, jedoch in einer anderen Struktur befindet, einen schnelleren Zugriff auf die Ressourcen in Ihrer Windows Server 2003-Domäne Sie können eine solche Vertrauensstellung über den Neue VertrauensstellungAssistenten im Snap-In Active Directory-Domänen und -Vertrauensstellungen oder über das Kommandozeilentool Netdom erstellen. Weitere Informationen zum Kommandozeilentool Netdom finden Sie in der Technischen Referenz zu Windows Server 2003 unter Windows Server 2003 Technical Reference. Administrative Berechtigungen Um dieses Verfahren ausführen zu können, müssen Sie Mitglied der Gruppe DomänenAdmins oder der Gruppe Organisations-Admins sein. 1. Öffnen Sie das Snap-In Active Directory-Domänen und -Vertrauensstellungen. 2. Klicken Sie im Konsolenbereich mit rechts auf die Domäne, für die Sie eine Vertrauensstellung erstellen wollen, und klicken Sie dann auf Eigenschaften. 3. Klicken Sie auf der Registerkarte Vertrauensstellungen auf Neue Vertrauensstellung, und klicken Sie dann auf Weiter. 4. Geben Sie auf der Seite Vertrauensstellungsname den DNS-Namen (oder den NetBIOS-Namen) der Domäne ein, und klicken Sie dann auf Weiter. 5. Klicken Sie auf der Seite Vertrauenstyp auf Externe Vertrauensstellung, und klicken Sie dann auf Weiter. 6. Klicken Sie auf der Seite Richtung der Vertrauensstellung auf Unidirektional: Ausgehend, und klicken Sie dann auf Weiter. Weitere Informationen zu den möglichen Richtungen finden Sie im Abschnitt "Richtung der Vertrauensstellung" im Kapitel Anhang: Der Neue Vertrauensstellung-Assistent. 7. Klicken Sie auf der Seite Seiten der Vertrauensstellung auf Nur diese Domäne, und klicken Sie dann auf Weiter. 8. Geben Sie das Kennwort für die Vertrauensstellung ein. 9. Klicken Sie auf Weiter. 10. Klicken Sie auf Weiter. 11. Führen Sie auf der Seite Ausgehende Vertrauensstellung bestätigen eine der folgenden Aktionen aus: Bestätigen Sie die Vertrauensstellung nicht. In diesem Fall wird kein sicherer Kanal eingerichtet, bevor die Vertrauensstellung nicht zum ersten Mal durch einen Benutzer verwendet wird. Bestätigen Sie die Vertrauensstellung, und geben Sie entsprechende administrative Anmeldeinformationen an. 12. Klicken Sie auf Fertigstellen. Anmerkung: Damit die Vertrauensstellung korrekt funktioniert, muss der Administrator der Gegenseite das Verfahren Erstellen einer unidirektionalen, eingehenden Verknüpfungsvertrauensstellung auf einer Seite mit dem gleichen Kennwort durchführen, das hier verwendet wurde. Erstellen einer unidirektionalen, ausgehenden Verknüpfungsvertrauensstellung auf beiden Seiten Mit diesem Verfahren erstellen Sie beide Seiten einer unidirektionalen, ausgehenden Verknüpfungsvertrauensstellung. Sie benötigen administrative Berechtigungen für beide Domänen. Eine unidirektionale, ausgehende Verknüpfungsvertrauensstellung ermöglicht den Benutzern einer anderen Domäne, die sich in der gleichen Gesamtstruktur, jedoch in einer anderen Struktur befindet, einen schnelleren Zugriff auf die Ressourcen in Ihrer Windows Server 2003-Domäne Sie können eine solche Vertrauensstellung über den Neue VertrauensstellungAssistenten im Snap-In Active Directory-Domänen und -Vertrauensstellungen oder über das Kommandozeilentool Netdom erstellen. Weitere Informationen zum Kommandozeilentool Netdom finden Sie in der Technischen Referenz zu Windows Server 2003 unter Windows Server 2003 Technical Reference. Administrative Berechtigungen Um dieses Verfahren ausführen zu können, müssen Sie Mitglied der Gruppe DomänenAdmins oder der Gruppe Organisations-Admins sein. 1. Öffnen Sie das Snap-In Active Directory-Domänen und -Vertrauensstellungen. 2. Klicken Sie im Konsolenbereich mit rechts auf die Domäne, für die Sie eine Vertrauensstellung erstellen wollen, und klicken Sie dann auf Eigenschaften. 3. Klicken Sie auf der Registerkarte Vertrauensstellungen auf Neue Vertrauensstellung, und klicken Sie dann auf Weiter. 4. Geben Sie auf der Seite Vertrauensstellungsname den DNS-Namen (oder den NetBIOS-Namen) der Domäne ein, und klicken Sie dann auf Weiter. 5. Klicken Sie auf der Seite Vertrauenstyp auf Externe Vertrauensstellung, und klicken Sie dann auf Weiter. 6. Klicken Sie auf der Seite Richtung der Vertrauensstellung auf Unidirektional: ausgehend, und klicken Sie dann auf Weiter. Weitere Informationen zu den möglichen Richtungen finden Sie im Abschnitt "Richtung der Vertrauensstellung" im Kapitel Anhang: Der Neue Vertrauensstellung-Assistent. 7. Klicken Sie auf der Seite Seiten der Vertrauensstellung auf Beide, diese Domäne und die angegebene Domäne, und klicken Sie dann auf Weiter. 8. Geben Sie auf der Seite Benutzername und Kennwort den Benutzernamen und das Kennwort des entsprechenden Administrators für die Domäne an. 9. Klicken Sie auf Weiter. 10. Klicken Sie auf Weiter. 11. Führen Sie auf der Seite Ausgehende Vertrauensstellung bestätigen eine der folgenden Aktionen aus: Bestätigen Sie die Vertrauensstellung nicht. In diesem Fall wird kein sicherer Kanal eingerichtet, bevor die Vertrauensstellung nicht zum ersten Mal durch einen Benutzer verwendet wird. Bestätigen Sie die Vertrauensstellung, und geben Sie entsprechende administrative Anmeldeinformationen an. 12. Klicken Sie auf Fertigstellen. Erstellen einer bidirektionalen Verknüpfungsvertrauensstellung auf einer Seite Mit diesem Verfahren erstellen Sie eine bidirektionale Verknüpfungsvertrauensstellung. Die neue Vertrauensstellung ist nicht funktionsfähig, bevor der Administrator der anderen Domäne eine entgegengesetzte Vertrauensstellung erstellt hat. Wenn Sie über administrative Berechtigungen für beide Domänen verfügen, können Sie beide Vertrauensstellungen in einem Schritt erstellen. Führen Sie hierzu den Schritt Erstellen einer bidirektionalen Verknüpfungsvertrauensstellung auf beiden Seiten aus. Eine bidirektionale Verknüpfungsvertrauensstellung ermöglicht den Benutzern beider Domänen einen schnelleren Zugriff auf die Ressourcen der jeweiligen anderen Domäne. Sie können eine solche Vertrauensstellung über den Neue VertrauensstellungAssistenten im Snap-In Active Directory-Domänen und -Vertrauensstellungen oder über das Kommandozeilentool Netdom erstellen. Weitere Informationen zum Kommandozeilentool Netdom finden Sie in der Technischen Referenz zu Windows Server 2003 unter Windows Server 2003 Technical Reference. Administrative Berechtigungen Um dieses Verfahren ausführen zu können, müssen Sie Mitglied der Gruppe DomänenAdmins oder der Gruppe Organisations-Admins sein. 1. Öffnen Sie das Snap-In Active Directory-Domänen und -Vertrauensstellungen. 2. Klicken Sie im Konsolenbereich mit rechts auf die Domäne, für die Sie eine Vertrauensstellung erstellen wollen, und klicken Sie dann auf Eigenschaften. 3. Klicken Sie auf der Registerkarte Vertrauensstellungen auf Neue Vertrauensstellung, und klicken Sie dann auf Weiter. 4. Geben Sie auf der Seite Vertrauensstellungsname den DNS-Namen (oder den NetBIOS-Namen) der Domäne ein, und klicken Sie dann auf Weiter. 5. Klicken Sie auf der Seite Vertrauenstyp auf Externe Vertrauensstellung, und klicken Sie dann auf Weiter. 6. Klicken Sie auf der Seite Richtung der Vertrauensstellung auf Bidirektional, und klicken Sie dann auf Weiter. Weitere Informationen zu den möglichen Richtungen finden Sie im Abschnitt "Richtung der Vertrauensstellung" im Kapitel Anhang: Der Neue Vertrauensstellung-Assistent. 7. Klicken Sie auf der Seite Seiten der Vertrauensstellung auf Nur diese Domäne, und klicken Sie dann auf Weiter. 8. Geben Sie das Kennwort für die Vertrauensstellung ein. 9. Klicken Sie auf Weiter. 10. Klicken Sie auf Weiter. 11. Führen Sie auf der Seite Ausgehende Vertrauensstellung bestätigen eine der folgenden Aktionen aus: Bestätigen Sie die Vertrauensstellung nicht. In diesem Fall wird kein sicherer Kanal eingerichtet, bevor die Vertrauensstellung nicht zum ersten Mal durch einen Benutzer verwendet wird. Bestätigen Sie die Vertrauensstellung, und geben Sie entsprechende administrative Anmeldeinformationen an. 12. Führen Sie auf der Seite Eingehende Vertrauensstellung bestätigen eine der folgenden Aktionen aus: Bestätigen Sie die Vertrauensstellung nicht. Bestätigen Sie die Vertrauensstellung, und geben Sie entsprechende administrative Anmeldeinformationen an. 13. Klicken Sie auf Fertigstellen. Anmerkung: Damit die Vertrauensstellung korrekt funktioniert, muss der Administrator der Gegenseite das Verfahren mit dem gleichen Kennwort durchführen, das hier verwendet wurde. Erstellen einer bidirektionalen Verknüpfungsvertrauensstellung auf beiden Seiten Mit diesem Verfahren erstellen Sie beide Seiten einer bidirektionalen Verknüpfungsvertrauensstellung. Sie benötigen administrative Berechtigungen für beide Domänen. Eine bidirektionale Verknüpfungsvertrauensstellung ermöglicht den Benutzern beider Domänen einen schnelleren Zugriff auf die Ressourcen der jeweiligen anderen Domäne. Sie können eine solche Vertrauensstellung über den Neue VertrauensstellungAssistenten im Snap-In Active Directory-Domänen und -Vertrauensstellungen oder über das Kommandozeilentool Netdom erstellen. Weitere Informationen zum Kommandozeilentool Netdom finden Sie in der Technischen Referenz zu Windows Server 2003 unter Windows Server 2003 Technical Reference. Administrative Berechtigungen Um dieses Verfahren ausführen zu können, müssen Sie Mitglied der Gruppe DomänenAdmins oder der Gruppe Organisations-Admins sein. 1. Öffnen Sie das Snap-In Active Directory-Domänen und -Vertrauensstellungen. 2. Klicken Sie im Konsolenbereich mit rechts auf die Domäne, für die Sie eine Vertrauensstellung erstellen wollen, und klicken Sie dann auf Eigenschaften. 3. Klicken Sie auf der Registerkarte Vertrauensstellungen auf Neue Vertrauensstellung, und klicken Sie dann auf Weiter. 4. Geben Sie auf der Seite Vertrauensstellungsname den DNS-Namen (oder den NetBIOS-Namen) der Domäne ein, und klicken Sie dann auf Weiter. 5. Klicken Sie auf der Seite Vertrauenstyp auf Externe Vertrauensstellung, und klicken Sie dann auf Weiter. 6. Klicken Sie auf der Seite Richtung der Vertrauensstellung auf Bidirektional, und klicken Sie dann auf Weiter. Weitere Informationen zu den möglichen Richtungen finden Sie im Abschnitt "Richtung der Vertrauensstellung" im Kapitel Anhang: Der Neue Vertrauensstellung-Assistent. 7. Klicken Sie auf der Seite Seiten der Vertrauensstellung auf Nur diese Domäne, und klicken Sie dann auf Weiter. 8. Geben Sie auf der Seite Benutzername und Kennwort den Benutzernamen und das Kennwort des entsprechenden Administrators für die Domäne an. 9. Klicken Sie auf Weiter. 10. Klicken Sie auf Weiter. 11. Führen Sie auf der Seite Ausgehende Vertrauensstellung bestätigen eine der folgenden Aktionen aus: Bestätigen Sie die Vertrauensstellung nicht. In diesem Fall wird kein sicherer Kanal eingerichtet, bevor die Vertrauensstellung nicht zum ersten Mal durch einen Benutzer verwendet wird. Bestätigen Sie die Vertrauensstellung, und geben Sie entsprechende administrative Anmeldeinformationen an. 12. Führen Sie auf der Seite Eingehende Vertrauensstellung bestätigen eine der folgenden Aktionen aus: Bestätigen Sie die Vertrauensstellung nicht. Bestätigen Sie die Vertrauensstellung, und geben Sie entsprechende administrative Anmeldeinformationen an. 13. Klicken Sie auf Fertigstellen. Erstellen von Gesamtstrukturvertrauensstellungen In einer Windows Server 2003-Gesamtstruktur können Sie zwei nicht verbundene Windows Server 2003-Gesamtstrukturen mit einer unidirektionalen oder bidirektionalen transitiven Gesamtstrukturvertrauensstellung verknüpfen. Jede Domäne beider Gesamtstrukturen vertraut so jeder Domäne der anderen Gesamtstruktur. Weitere Informationen zu Gesamtstrukturvertrauensstellungen finden Sie unter http://go.microsoft.com/fwlink/?LinkId=35356. Anforderungen Die folgenden Anforderungen bestehen für das Erstellen von Gesamtstrukturvertrauensstellungen: Sie können eine Gesamtstrukturvertrauensstellung nur zwischen zwei Windows Server 2003-Gesamtstrukturen erstellen. Gesamtstrukturvertrauensstellungen können nicht auf eine dritte Gesamtstruktur ausgeweitet werden. Um eine Gesamtstrukturvertrauensstellung zu erstellen, müssen beide Gesamtstrukturen in der Funktionsebene Windows Server 2003 ausgeführt werden. Weitere Informationen zu Funktionsebenen finden Sie unter http://go.microsoft.com/fwlink/?LinkId=41698. Um eine Gesamtstrukturvertrauensstellung erstellen zu können, muss die DNSUmgebung entsprechend eingerichtet sein. Falls ein Stamm-DNS-Server vorhanden ist, der als Stamm-DNS-Server für beide Gesamtstruktur-DNS-Namespaces konfiguriert werden kann, richten Sie diesen als Stammserver ein, und stellen Sie sicher, dass die Stammzone Delegierungen für jeden DNS-Namespace enthält. Aktualisieren Sie außerdem die Stammhinweise aller DNS-Server mit dem neuen Stamm-DNS-Server. Falls kein freigegebener Stamm-DNS-Server vorhanden ist und die Stamm-DNSServer für jeden Gesamtstruktur-DNS-Namespace unter einem Produkt der Windows Server 2003-Produktfamilie ausgeführt werden, konfigurieren Sie in jedem DNS-Namespace DNS-Weiterleitungen mit Bedingungen, um Abfragen nach Namen im anderen Namespace weiterzuleiten. Falls kein freigegebener Stamm-DNS-Server vorhanden ist und die Stamm-DNSServer für jeden Gesamtstruktur-DNS-Namespace nicht unter einem Produkt der Windows Server 2003-Produktfamilie ausgeführt werden, konfigurieren Sie in jedem DNS-Namespace sekundäre DNS-Zonen, um Abfragen nach Namen im anderen Namespace weiterzuleiten. Weitere Informationen zur Konfiguration von DNS finden Sie unter http://go.microsoft.com/fwlink/?LinkId=41699. Die nachfolgenden Aufgaben können Sie mit den folgenden Tools ausführen: Active Directory-Domänen und -Vertrauensstellungen Netdom.exe Weitere Informationen zum Kommandozeilentool Netdom finden Sie in der Technischen Referenz zu Windows Server 2003 unter http://go.microsoft.com/fwlink/?LinkId=41700. Anmerkung Wenn Sie über die entsprechenden administrativen Anmeldeinformationen für beide Gesamtstrukturen verfügen, können Sie beide Seiten einer Gesamtstrukturvertrauensstellung in einem Schritt erstellen. Hierzu gehen Sie nach den unten beschriebenen Schritten vor. Weiter Informationen finden Sie im Abschnitt Anhang: Der Neue Vertrauensstellung-Assistent Mit den folgenden Verfahren können Sie Gesamtstrukturvertrauensstellungen erstellen: Erstellen einer unidirektionalen, eingehenden Gesamtstrukturvertrauensstellung auf einer Seite Erstellen einer unidirektionalen, eingehenden Gesamtstrukturvertrauensstellung auf beiden Seiten Erstellen einer unidirektionalen, ausgehenden Gesamtstrukturvertrauensstellung auf einer Seite Erstellen einer unidirektionalen, ausgehenden Gesamtstrukturvertrauensstellung auf beiden Seiten Erstellen einer bidirektionalen Gesamtstrukturvertrauensstellung auf einer Seite Erstellen einer bidirektionalen Gesamtstrukturvertrauensstellung auf beiden Seiten Erstellen einer unidirektionalen, eingehenden Gesamtstrukturvertrauensstellung auf einer Seite Mit diesem Verfahren erstellen Sie eine unidirektionale, eingehende Gesamtstrukturvertrauensstellung. Die neue Vertrauensstellung ist nicht funktionsfähig, bevor der Administrator der anderen Gesamtstruktur eine entgegengesetzte Vertrauensstellung erstellt hat. Wenn Sie über administrative Berechtigungen für beide Gesamtstrukturen verfügen, können Sie beide Vertrauensstellungen in einem Schritt erstellen. Führen Sie hierzu den Schritt Erstellen einer unidirektionalen, eingehenden Gesamtstrukturvertrauensstellung auf beiden Seiten aus. Sie können eine solche Vertrauensstellung über den Neue VertrauensstellungAssistenten im Snap-In Active Directory-Domänen und -Vertrauensstellungen oder über das Kommandozeilentool Netdom erstellen. Weitere Informationen zum Kommandozeilentool Netdom finden Sie in der Technischen Referenz zu Windows Server 2003 unter Windows Server 2003 Technical Reference. Administrative Berechtigungen Um dieses Verfahren ausführen zu können, müssen Sie Mitglied der Gruppe DomänenAdmins oder der Gruppe Organisations-Admins in der Stammdomäne der Gesamtstruktur sein. Wenn Sie Mitglied der Gruppe "Erstellung eingehender Gesamtstrukturvertrauensstellung" sind, können Sie eine unidirektionale, eingehende Gesamtstrukturvertrauensstellung erstellen. Weitere Informationen zur Gruppe "Erstellung eingehender Gesamtstrukturvertrauensstellung" finden Sie im Artikel "How Domain and Forest Trusts Work" unter: Windows Server 2003 Technical Reference. 1. Öffnen Sie das Snap-In Active Directory-Domänen und -Vertrauensstellungen. 2. Klicken Sie im Konsolenbereich mit rechts auf die Domäne, für die Sie eine Vertrauensstellung erstellen wollen, und klicken Sie dann auf Eigenschaften. 3. Klicken Sie auf der Registerkarte Vertrauensstellungen auf Neue Vertrauensstellung, und klicken Sie dann auf Weiter. 4. Geben Sie auf der Seite Vertrauensstellungsname den DNS-Namen (oder den NetBIOS-Namen) der Domäne ein, und klicken Sie dann auf Weiter. 5. Klicken Sie auf der Seite Vertrauenstyp auf Gesamtstrukturvertrauensstellung, und klicken Sie dann auf Weiter. 6. Klicken Sie auf der Seite Richtung der Vertrauensstellung auf Unidirektional: eingehend, und klicken Sie dann auf Weiter. Weitere Informationen zu den möglichen Richtungen finden Sie im Abschnitt "Richtung der Vertrauensstellung" im Kapitel Anhang: Der Neue Vertrauensstellung-Assistent. 7. Klicken Sie auf der Seite Seiten der Vertrauensstellung auf Nur diese Domäne, und klicken Sie dann auf Weiter. 8. Geben Sie das Kennwort für die Vertrauensstellung ein, und klicken Sie auf Weiter. 9. Klicken Sie auf Weiter. 10. Klicken Sie auf Weiter. 11. Führen Sie auf der Seite Ausgehende Vertrauensstellung bestätigen eine der folgenden Aktionen aus: Bestätigen Sie die Vertrauensstellung nicht. In diesem Fall wird kein sicherer Kanal eingerichtet, bevor die Vertrauensstellung nicht zum ersten Mal durch einen Benutzer verwendet wird. Bestätigen Sie die Vertrauensstellung, und geben Sie entsprechende administrative Anmeldeinformationen an. 12. Klicken Sie auf Fertigstellen. Anmerkung: Damit die Vertrauensstellung korrekt funktioniert, muss der Administrator der Gegenseite das Verfahren Erstellen einer unidirektionalen, ausgehenden Gesamtstrukturvertrauensstellung auf einer Seite mit dem gleichen Kennwort erstellen, das hier verwendet wurde. Erstellen einer unidirektionalen, eingehenden Gesamtstrukturvertrauensstellung auf beiden Seiten Mit diesem Verfahren erstellen Sie beide Seiten einer unidirektionalen, eingehenden Gesamtstrukturvertrauensstellung. Sie benötigen administrative Berechtigungen für beide Gesamtstrukturen. Eine unidirektionale, eingehende Gesamtstrukturvertrauensstellung ermöglicht es Benutzern, aus Ihrer Windows Server 2003-Gesamtstruktur auf die Ressourcen einer anderen Windows Server 2003-Gesamstruktur zuzugreifen. Sie können eine solche Vertrauensstellung über den Neue VertrauensstellungAssistenten im Snap-In Active Directory-Domänen und -Vertrauensstellungen oder über das Kommandozeilentool Netdom erstellen. Weitere Informationen zum Kommandozeilentool Netdom finden Sie in der Technischen Referenz zu Windows Server 2003 unter Windows Server 2003 Technical Reference. Administrative Berechtigungen Um dieses Verfahren ausführen zu können, müssen Sie Mitglied der Gruppe DomänenAdmins oder der Gruppe Organisations-Admins in der Stammdomäne der Gesamtstruktur sein. Wenn Sie Mitglied der Gruppe "Erstellung eingehender Gesamtstrukturvertrauensstellung" sind, können Sie eine unidirektionale, eingehende Gesamtstrukturvertrauensstellung erstellen. Weitere Informationen zur Gruppe "Erstellung eingehender Gesamtstrukturvertrauensstellung" finden Sie im Artikel "How Domain and Forest Trusts Work" unter: Windows Server 2003 Technical Reference. 1. Öffnen Sie das Snap-In Active Directory-Domänen und -Vertrauensstellungen. 2. Klicken Sie im Konsolenbereich mit rechts auf die Domäne, für die Sie eine Vertrauensstellung erstellen wollen, und klicken Sie dann auf Eigenschaften. 3. Klicken Sie auf der Registerkarte Vertrauensstellungen auf Neue Vertrauensstellung, und klicken Sie dann auf Weiter. 4. Geben Sie auf der Seite Vertrauensstellungsname den DNS-Namen (oder den NetBIOS-Namen) der Domäne ein, und klicken Sie dann auf Weiter. 5. Klicken Sie auf der Seite Vertrauenstyp auf Gesamtstrukturvertrauensstellung, und klicken Sie dann auf Weiter. 6. Klicken Sie auf der Seite Richtung der Vertrauensstellung auf Unidirektional: eingehend, und klicken Sie dann auf Weiter. Weitere Informationen zu den möglichen Richtungen finden Sie im Abschnitt "Richtung der Vertrauensstellung" im Kapitel Anhang: Der Neue Vertrauensstellung-Assistent. 7. Klicken Sie auf der Seite Seiten der Vertrauensstellung auf Beide, diese Domäne und die angegebene Domäne, und klicken Sie dann auf Weiter. 8. Geben Sie auf der Seite Benutzername und Kennwort den Benutzernamen und das Kennwort des entsprechenden Administrators für die Domäne an. 9. Führen Sie auf der folgenden Seite eine der folgenden Aktionen aus, und klicken Sie dann auf Weiter: Klicken Sie auf Gesamtstrukturweite Authentifizierung. Klicken Sie auf Selektive Authentifizierung. 10. Klicken Sie auf Weiter. 11. Klicken Sie auf Weiter. 12. Führen Sie auf der Seite Ausgehende Vertrauensstellung bestätigen eine der folgenden Aktionen aus: Bestätigen Sie die Vertrauensstellung nicht. In diesem Fall wird kein sicherer Kanal eingerichtet, bevor die Vertrauensstellung nicht zum ersten Mal durch einen Benutzer verwendet wird. Bestätigen Sie die Vertrauensstellung, und geben Sie entsprechende administrative Anmeldeinformationen an. 13. Klicken Sie auf Fertigstellen. Erstellen einer unidirektionalen, ausgehenden Gesamtstrukturvertrauensstellung auf einer Seite Mit diesem Verfahren erstellen Sie eine unidirektionale, ausgehende Gesamtstrukturvertrauensstellung. Die neue Vertrauensstellung ist nicht funktionsfähig, bevor der Administrator der anderen Gesamtstruktur eine entgegengesetzte Vertrauensstellung erstellt hat. Wenn Sie über administrative Berechtigungen für beide Gesamtstrukturen verfügen, können Sie beide Vertrauensstellung in einem Schritt erstellen. Führen Sie hierzu den Schritt Erstellen einer unidirektionalen, ausgehenden Gesamtstrukturvertrauensstellung auf beiden Seiten aus. Eine unidirektionale, ausgehende Gesamtstrukturvertrauensstellung ermöglicht es Benutzern einer anderen Windows Server 2003-Gesamtstruktur, auf die Ressourcen Ihrer Windows Server 2003-Gesamstruktur zuzugreifen. Sie können eine solche Vertrauensstellung über den Neue VertrauensstellungAssistenten im Snap-In Active Directory-Domänen und -Vertrauensstellungen oder über das Kommandozeilentool Netdom erstellen. Weitere Informationen zum Kommandozeilentool Netdom finden Sie in der Technischen Referenz zu Windows Server 2003 unter Windows Server 2003 Technical Reference. Administrative Berechtigungen Um dieses Verfahren ausführen zu können, müssen Sie Mitglied der Gruppe DomänenAdmins oder der Gruppe Organisations-Admins in der Stammdomäne der Gesamtstruktur sein. Wenn Sie Mitglied der Gruppe "Erstellung eingehender Gesamtstrukturvertrauensstellung" sind, können Sie eine unidirektionale, eingehende Gesamtstrukturvertrauensstellung erstellen. Weitere Informationen zur Gruppe "Erstellung eingehender Gesamtstrukturvertrauensstellung" finden Sie im Artikel "How Domain and Forest Trusts Work" unter: Windows Server 2003 Technical Reference. 1. Öffnen Sie das Snap-In Active Directory-Domänen und -Vertrauensstellungen. 2. Klicken Sie im Konsolenbereich mit rechts auf die Domäne, für die Sie eine Vertrauensstellung erstellen wollen, und klicken Sie dann auf Eigenschaften. 3. Klicken Sie auf der Registerkarte Vertrauensstellungen auf Neue Vertrauensstellung, und klicken Sie dann auf Weiter. 4. Geben Sie auf der Seite Vertrauensstellungsname den DNS-Namen (oder den NetBIOS-Namen) der Domäne ein, und klicken Sie dann auf Weiter. 5. Klicken Sie auf der Seite Vertrauenstyp auf Gesamtstrukturvertrauensstellung, und klicken Sie dann auf Weiter. 6. Klicken Sie auf der Seite Richtung der Vertrauensstellung auf Unidirektional: ausgehend, und klicken Sie dann auf Weiter. Weitere Informationen zu den möglichen Richtungen finden Sie im Abschnitt "Richtung der Vertrauensstellung" im Kapitel Anhang: Der Neue Vertrauensstellung-Assistent. 7. Klicken Sie auf der Seite Seiten der Vertrauensstellung auf Nur diese Domäne, und klicken Sie dann auf Weiter. 8. Führen Sie auf der folgenden Seite eine der folgenden Aktionen aus, und klicken Sie dann auf Weiter: Klicken Sie auf Gesamtstrukturweite Authentifizierung. Klicken Sie auf Selektive Authentifizierung. 9. Geben Sie das Kennwort für die Vertrauensstellung ein, und klicken Sie auf Weiter. 10. Klicken Sie auf Weiter. 11. Klicken Sie auf Weiter. 12. Führen Sie auf der Seite Ausgehende Vertrauensstellung bestätigen eine der folgenden Aktionen aus: Bestätigen Sie die Vertrauensstellung nicht. In diesem Fall wird kein sicherer Kanal eingerichtet, bevor die Vertrauensstellung nicht zum ersten Mal durch einen Benutzer verwendet wird. Bestätigen Sie die Vertrauensstellung, und geben Sie entsprechende administrative Anmeldeinformationen an. 13. Klicken Sie auf Fertigstellen. Anmerkung: Damit die Vertrauensstellung korrekt funktioniert, muss der Administrator der Gegenseite das Verfahren Erstellen einer unidirektionalen, eingehenden Gesamtstrukturvertrauensstellung auf einer Seite mit dem gleichen Kennwort erstellen, das hier verwendet wurde. Erstellen einer unidirektionalen, ausgehenden Gesamtstrukturvertrauensstellung auf beiden Seiten Mit diesem Verfahren erstellen Sie beide Seiten einer unidirektionalen, ausgehenden Gesamtstrukturvertrauensstellung. Sie benötigen administrative Berechtigungen für beide Gesamtstrukturen. Eine unidirektionale, ausgehende Gesamtstrukturvertrauensstellung ermöglicht es Benutzern, aus Ihrer Windows Server 2003-Gesamtstruktur auf die Ressourcen einer anderen Windows Server 2003-Gesamstruktur zuzugreifen. Sie können eine solche Vertrauensstellung über den Neue VertrauensstellungAssistenten im Snap-In Active Directory-Domänen und -Vertrauensstellungen oder über das Kommandozeilentool Netdom erstellen. Weitere Informationen zum Kommandozeilentool Netdom finden Sie in der Technischen Referenz zu Windows Server 2003 unter Windows Server 2003 Technical Reference. Administrative Berechtigungen Um dieses Verfahren ausführen zu können müssen, Sie Mitglied der Gruppe DomänenAdmins oder der Gruppe Organisations-Admins in der Stammdomäne der Gesamtstruktur sein. Wenn Sie Mitglied der Gruppe "Erstellung eingehender Gesamtstrukturvertrauensstellung" sind, können Sie eine unidirektionale, eingehende Gesamtstrukturvertrauensstellung erstellen. Weitere Informationen zur Gruppe "Erstellung eingehender Gesamtstrukturvertrauensstellung" finden Sie im Artikel "How Domain and Forest Trusts Work" unter: Windows Server 2003 Technical Reference. 1. Öffnen Sie das Snap-In Active Directory-Domänen und -Vertrauensstellungen. 2. Klicken Sie im Konsolenbereich mit rechts auf die Domäne, für die Sie eine Vertrauensstellung erstellen wollen, und klicken Sie dann auf Eigenschaften. 3. Klicken Sie auf der Registerkarte Vertrauensstellungen auf Neue Vertrauensstellung, und klicken Sie dann auf Weiter. 4. Geben Sie auf der Seite Vertrauensstellungsname den DNS-Namen (oder den NetBIOS-Namen) der Domäne ein, und klicken Sie dann auf Weiter. 5. Klicken Sie auf der Seite Vertrauenstyp auf Gesamtstrukturvertrauensstellung, und klicken Sie dann auf Weiter. 6. Klicken Sie auf der Seite Richtung der Vertrauensstellung auf Unidirektional: ausgehend, und klicken Sie dann auf Weiter. Weitere Informationen zu den möglichen Richtungen finden Sie im Abschnitt "Richtung der Vertrauensstellung" im Kapitel Anhang: Der Neue Vertrauensstellung-Assistent. 7. Klicken Sie auf der Seite Seiten der Vertrauensstellung auf Beide, diese Domäne und die angegebene Domäne, und klicken Sie dann auf Weiter. 8. Geben Sie auf der Seite Benutzername und Kennwort den Benutzernamen und das Kennwort des entsprechenden Administrators für die Domäne an. 9. Führen Sie auf der folgenden Seite eine der folgenden Aktionen aus und klicken Sie dann auf Weiter: Klicken Sie auf Gesamtstrukturweite Authentifizierung. Klicken Sie auf Selektive Authentifizierung. 10. Klicken Sie auf Weiter. 11. Klicken Sie auf Weiter. 12. Führen Sie auf der Seite Ausgehende Vertrauensstellung bestätigen eine der folgenden Aktionen aus: Bestätigen Sie die Vertrauensstellung nicht. In diesem Fall wird kein sicherer Kanal eingerichtet, bevor die Vertrauensstellung nicht zum ersten Mal durch einen Benutzer verwendet wird. Bestätigen Sie die Vertrauensstellung, und geben Sie entsprechende administrative Anmeldeinformationen an. 13. Klicken Sie auf Fertigstellen. Erstellen einer bidirektionalen Gesamtstrukturvertrauensstellung auf einer Seite Mit diesem Verfahren erstellen Sie eine bidirektionale Gesamtstrukturvertrauensstellung. Die neue Vertrauensstellung ist nicht funktionsfähig, bevor der Administrator der anderen Gesamtstruktur eine entgegengesetzte Vertrauensstellung erstellt hat. Wenn Sie über administrative Berechtigungen für beide Gesamtstrukturen verfügen, können Sie beide Vertrauensstellungen in einem Schritt erstellen. Führen Sie hierzu den Schritt Erstellen einer bidirektionalen Gesamtstrukturvertrauensstellung auf beiden Seiten aus. Eine bidirektionale Gesamtstrukturvertrauensstellung ermöglicht es den Benutzern, aus beiden Gesamtstrukturen auf die Ressourcen der jeweils anderen Gesamtstruktur zuzugreifen. Sie können eine solche Vertrauensstellung über den Neue VertrauensstellungAssistenten im Snap-In Active Directory-Domänen und -Vertrauensstellungen oder über das Kommandozeilentool Netdom erstellen. Weitere Informationen zum Kommandozeilentool Netdom finden Sie in der Technischen Referenz zu Windows Server 2003 unter Windows Server 2003 Technical Reference. Administrative Berechtigungen Um dieses Verfahren ausführen zu können, müssen Sie Mitglied der Gruppe DomänenAdmins oder der Gruppe Organisations-Admins in der Stammdomäne der Gesamtstruktur sein. Wenn Sie Mitglied der Gruppe "Erstellung eingehender Gesamtstrukturvertrauensstellung" sind, können Sie eine unidirektionale, eingehende Gesamtstrukturvertrauensstellung erstellen. Weitere Informationen zur Gruppe "Erstellung eingehender Gesamtstrukturvertrauensstellung" finden Sie im Artikel "How Domain and Forest Trusts Work" unter: Windows Server 2003 Technical Reference. 1. Öffnen Sie das Snap-In Active Directory-Domänen und -Vertrauensstellungen. 2. Klicken Sie im Konsolenbereich mit rechts auf die Domäne, für die Sie eine Vertrauensstellung erstellen wollen, und klicken Sie dann auf Eigenschaften. 3. Klicken Sie auf der Registerkarte Vertrauensstellungen auf Neue Vertrauensstellung, und klicken Sie dann auf Weiter. 4. Geben Sie auf der Seite Vertrauensstellungsname den DNS-Namen (oder den NetBIOS-Namen) der Domäne ein, und klicken Sie dann auf Weiter. 5. Klicken Sie auf der Seite Vertrauenstyp auf Gesamtstrukturvertrauensstellung, und klicken Sie dann auf Weiter. 6. Klicken Sie auf der Seite Richtung der Vertrauensstellung auf Bidirektional, und klicken Sie dann auf Weiter. Weitere Informationen zu den möglichen Richtungen finden Sie im Abschnitt "Richtung der Vertrauensstellung" im Kapitel Anhang: Der Neue Vertrauensstellung-Assistent. 7. Klicken Sie auf der Seite Seiten der Vertrauensstellung auf Nur diese Domäne, und klicken Sie dann auf Weiter. 8. Führen Sie auf der folgenden Seite eine der folgenden Aktionen aus, und klicken Sie dann auf Weiter: Klicken Sie auf Gesamtstrukturweite Authentifizierung. Klicken Sie auf Selektive Authentifizierung. 9. Geben Sie das Kennwort für die Vertrauensstellung ein, und klicken Sie auf Weiter. 10. Klicken Sie auf Weiter. 11. Klicken Sie auf Weiter. 12. Führen Sie auf der Seite Ausgehende Vertrauensstellung bestätigen eine der folgenden Aktionen aus: Bestätigen Sie die Vertrauensstellung nicht. In diesem Fall wird kein sicherer Kanal eingerichtet, bevor die Vertrauensstellung nicht zum ersten Mal durch einen Benutzer verwendet wird. Bestätigen Sie die Vertrauensstellung, und geben Sie entsprechende administrative Anmeldeinformationen an. 13. Führen Sie auf der Seite Eingehende Vertrauensstellung bestätigen eine der folgenden Aktionen aus: Bestätigen Sie die Vertrauensstellung nicht. Bestätigen Sie die Vertrauensstellung, und geben Sie entsprechende administrative Anmeldeinformationen an. 14. Klicken Sie auf Fertigstellen. Anmerkung: Damit die Vertrauensstellung korrekt funktioniert, muss der Administrator der Gegenseite ebenfalls eine Vertrauensstellung mit dem gleichen Kennwort erstellen, das hier verwendet wurde. Erstellen einer bidirektionalen Gesamtstrukturvertrauensstellung auf beiden Seiten Mit diesem Verfahren erstellen Sie beide Seiten einer bidirektionalen Gesamtstrukturvertrauensstellung. Sie benötigen administrative Berechtigungen für beide Gesamtstrukturen. Eine bidirektionale Gesamtstrukturvertrauensstellung ermöglicht es den Benutzern, aus beiden Gesamtstrukturen auf die Ressourcen der jeweils anderen Gesamtstruktur zuzugreifen. Sie können eine solche Vertrauensstellung über den Neue VertrauensstellungAssistenten im Snap-In Active Directory-Domänen und -Vertrauensstellungen oder über das Kommandozeilentool Netdom erstellen. Weitere Informationen zum Kommandozeilentool Netdom finden Sie in der Technischen Referenz zu Windows Server 2003 unter Windows Server 2003 Technical Reference. Administrative Berechtigungen Um dieses Verfahren ausführen zu können, müssen Sie Mitglied der Gruppe DomänenAdmins oder der Gruppe Organisations-Admins in der Stammdomäne der Gesamtstruktur sein. Wenn Sie Mitglied der Gruppe "Erstellung eingehender Gesamtstrukturvertrauensstellung" sind, können Sie eine unidirektionale, eingehende Gesamtstrukturvertrauensstellung erstellen. Weitere Informationen zur Gruppe "Erstellung eingehender Gesamtstrukturvertrauensstellung" finden Sie im Artikel "How Domain and Forest Trusts Work" unter: Windows Server 2003 Technical Reference. 1. Öffnen Sie das Snap-In Active Directory-Domänen und -Vertrauensstellungen. 2. Klicken Sie im Konsolenbereich mit rechts auf die Domäne, für die Sie eine Vertrauensstellung erstellen wollen, und klicken Sie dann auf Eigenschaften. 3. Klicken Sie auf der Registerkarte Vertrauensstellungen auf Neue Vertrauensstellung, und klicken Sie dann auf Weiter. 4. Geben Sie auf der Seite Vertrauensstellungsname den DNS-Namen (oder den NetBIOS-Namen) der Domäne ein, und klicken Sie dann auf Weiter. 5. Klicken Sie auf der Seite Vertrauenstyp auf Gesamtstrukturvertrauensstellung, und klicken Sie dann auf Weiter. 6. Klicken Sie auf der Seite Richtung der Vertrauensstellung auf Bidirektional, und klicken Sie dann auf Weiter. Weitere Informationen zu den möglichen Richtungen finden Sie im Abschnitt "Richtung der Vertrauensstellung" im Kapitel Anhang: Der Neue Vertrauensstellung-Assistent. 7. Klicken Sie auf der Seite Seiten der Vertrauensstellung auf Beide, diese Domäne und die angegebene Domäne, und klicken Sie dann auf Weiter. 8. Geben Sie auf der Seite Benutzername und Kennwort den Benutzernamen und das Kennwort des entsprechenden Administrators für die Domäne an. 9. Führen Sie auf der folgenden Seite eine der folgenden Aktionen aus, und klicken Sie dann auf Weiter: Klicken Sie auf Gesamtstrukturweite Authentifizierung. Klicken Sie auf Selektive Authentifizierung. 10. Führen Sie auf der folgenden Seite eine der folgenden Aktionen aus, und klicken Sie dann auf Weiter: Klicken Sie auf Gesamtstrukturweite Authentifizierung. Klicken Sie auf Selektive Authentifizierung. 11. Klicken Sie auf Weiter. 12. Klicken Sie auf Weiter. 13. Führen Sie auf der Seite Ausgehende Vertrauensstellung bestätigen eine der folgenden Aktionen aus: Bestätigen Sie die Vertrauensstellung nicht. In diesem Fall wird kein sicherer Kanal eingerichtet, bevor die Vertrauensstellung nicht zum ersten Mal durch einen Benutzer verwendet wird. Bestätigen Sie die Vertrauensstellung, und geben Sie entsprechende administrative Anmeldeinformationen an. 14. Führen Sie auf der Seite Eingehende Vertrauensstellung bestätigen eine der folgenden Aktionen aus: Bestätigen Sie die Vertrauensstellung nicht. Bestätigen Sie die Vertrauensstellung, und geben Sie entsprechende administrative Anmeldeinformationen an. 15. Klicken Sie auf Fertigstellen. Erstellen von Bereichsvertrauensstellung Mit einer Bereichsvertrauensstellung können Sie eine unidirektionale oder bidirektionale nicht transitive Vertrauensstellung zwischen einem Nicht-Windows Kerberos-Realm und Ihrer Organisation herstellen. Weitere Informationen zu Bereichsvertrauensstellungen finden Sie unter http://go.microsoft.com/fwlink/?LinkId=35356. Anforderungen Die nachfolgenden Aufgaben können Sie mit den folgenden Tools ausführen: Active Directory-Domänen und -Vertrauensstellungen Netdom.exe Weitere Informationen zum Kommandozeilentool Netdom finden Sie in der Technischen Referenz zu Windows Server 2003 unter http://go.microsoft.com/fwlink/?LinkId=41700. Anmerkung Der neue Assistent ist nicht in der Lage, beide Seiten einer Bereichsvertrauensstellung gleichzeitig zu erstellen. Weiter Informationen finden Sie im Abschnitt Anhang: Der Neue Vertrauensstellung-Assistent Mit den folgenden Verfahren können Sie Bereichsvertrauensstellungen erstellen: Erstellen einer unidirektionalen, eingehenden Bereichsvertrauensstellung Erstellen einer unidirektionalen, ausgehenden Bereichsvertrauensstellung Erstellen einer bidirektionalen Bereichsvertrauensstellung Erstellen einer unidirektionalen, eingehenden Bereichsvertrauensstellung Eine unidirektionale, eingehende Bereichsvertrauensstellung ermöglicht es Benutzern, aus Ihrer Windows Server 2003-Domäne (der Domäne, an der Sie beim Ausführen des Assistenten für neue Vertrauensstellungen angemeldet sind) auf den anderen KerberosBereich zuzugreifen. Wenn Sie beispielsweise Administrator der Domäne sales.wingtiptoys.com sind und ihre Benutzer Zugriff auf die Ressourcen eines anderen Kerberos-Bereichs benötigen, dann können Sie dies mit dem folgenden Verfahren ermöglichen. Sie können eine solche Vertrauensstellung über den Neue VertrauensstellungAssistenten im Snap-In Active Directory-Domänen und -Vertrauensstellungen oder über das Kommandozeilentool Netdom erstellen. Weitere Informationen zum Kommandozeilentool Netdom finden Sie in der Technischen Referenz zu Windows Server 2003 unter Windows Server 2003 Technical Reference. Administrative Berechtigungen Um dieses Verfahren ausführen zu können, müssen Sie Mitglied der Gruppe DomänenAdmins oder der Gruppe Organisations-Admins sein. 1. Öffnen Sie das Snap-In Active Directory-Domänen und -Vertrauensstellungen. 2. Klicken Sie im Konsolenbereich mit rechts auf die Domäne, für die Sie eine Vertrauensstellung erstellen wollen, und klicken Sie dann auf Eigenschaften. 3. Klicken Sie auf der Registerkarte Vertrauensstellungen auf Neue Vertrauensstellung, und klicken Sie dann auf Weiter. 4. Geben Sie auf der Seite Vertrauensstellungsname den DNS-Namen (oder den NetBIOS-Namen) der Domäne ein, und klicken Sie dann auf Weiter. 5. Klicken Sie auf der Seite Vertrauenstyp auf Bereichsvertrauensstellung, und klicken Sie dann auf Weiter. 6. Führen Sie auf der Seite Transitivität der Vertrauensstellung eine der folgenden Aktionen aus: Um eine Vertrauensstellung mit der Domäne und dem angegebenen Bereich einzurichten, klicken Sie auf Nicht transitiv und dann auf Weiter. Um eine Vertrauensstellung mit der Domäne und dem angegebenen Bereich und allen vertrauenswürdigen Bereichen einzurichten, klicken Sie auf Transitiv und dann auf Weiter. 7. Klicken Sie auf der Seite Richtung der Vertrauensstellung auf Unidirektional, eingehend, und klicken Sie dann auf Weiter. Weitere Informationen zu den möglichen Richtungen finden Sie im Abschnitt "Richtung der Vertrauensstellung" im Kapitel Anhang: Der Neue Vertrauensstellung-Assistent. 8. Geben Sie auf der Seite Vertrauenskennwort das Kennwort ein, und klicken Sie auf Weiter. 9. Klicken Sie auf Weiter. 10. Klicken Sie auf Fertigstellen. Anmerkung: Damit die Vertrauensstellung korrekt funktioniert, muss der Administrator der Gegenseite ebenfalls eine Vertrauensstellung mit dem gleichen Kennwort erstellen, das hier verwendet wurde. Erstellen einer unidirektionalen, ausgehenden Bereichsvertrauensstellung Eine unidirektionale, ausgehende Bereichsvertrauensstellung ermöglicht es Benutzern eines anderen Kerberos-Bereichs, auf Ressourcen Ihrer Windows Server 2003-Domäne zuzugreifen. Wenn Sie beispielsweise Administrator der Domäne sales.wingtiptoys.com sind und die Benutzer eines anderen Kerberos-Bereichs Zugriff auf die Ressourcen der Domäne benötigen, dann können Sie dies mit dem folgenden Verfahren ermöglichen. Sie können eine solche Vertrauensstellung über den Neue VertrauensstellungAssistenten im Snap-In Active Directory-Domänen und -Vertrauensstellungen oder über das Kommandozeilentool Netdom erstellen. Weitere Informationen zum Kommandozeilentool Netdom finden Sie in der Technischen Referenz zu Windows Server 2003 unter Windows Server 2003 Technical Reference. Administrative Berechtigungen Um dieses Verfahren ausführen zu können, müssen Sie Mitglied der Gruppe DomänenAdmins oder der Gruppe Organisations-Admins sein. 1. Öffnen Sie das Snap-In Active Directory-Domänen und -Vertrauensstellungen. 2. Klicken Sie im Konsolenbereich mit rechts auf die Domäne, für die Sie eine Vertrauensstellung erstellen wollen, und klicken Sie dann auf Eigenschaften. 3. Klicken Sie auf der Registerkarte Vertrauensstellungen auf Neue Vertrauensstellung, und klicken Sie dann auf Weiter. 4. Geben Sie auf der Seite Vertrauensstellungsname den DNS-Namen (oder den NetBIOS-Namen) der Domäne ein, und klicken Sie dann auf Weiter. 5. Klicken Sie auf der Seite Vertrauenstyp auf Bereichsvertrauensstellung, und klicken Sie dann auf Weiter. 6. Führen Sie auf der Seite Transitivität der Vertrauensstellung eine der folgenden Aktionen aus: Um eine Vertrauensstellung mit der Domäne und dem angegebenen Bereich einzurichten, klicken Sie auf Nicht transitiv und dann auf Weiter. Um eine Vertrauensstellung mit der Domäne und dem angegebenen Bereich und allen vertrauenswürdigen Bereichen einzurichten, klicken Sie auf Transitiv und dann auf Weiter. 7. Klicken Sie auf der Seite Richtung der Vertrauensstellung auf Unidirektional, ausgehend, und klicken Sie dann auf Weiter. Weitere Informationen zu den möglichen Richtungen finden Sie im Abschnitt "Richtung der Vertrauensstellung" im Kapitel Anhang: Der Neue Vertrauensstellung-Assistent. 8. Geben Sie auf der Seite Vertrauenskennwort das Kennwort ein, und klicken Sie auf Weiter. 9. Klicken Sie auf Weiter. 10. Klicken Sie auf Fertigstellen. Anmerkung: Damit die Vertrauensstellung korrekt funktioniert, muss der Administrator der Gegenseite ebenfalls eine Vertrauensstellung mit dem gleichen Kennwort erstellen, das hier verwendet wurde. Erstellen einer bidirektionalen Bereichsvertrauensstellung Eine bidirektionale Bereichsvertrauensstellung ermöglicht den Benutzern der Windows Server 2003-Domäne und den Benutzern eines anderen Kerberos-Bereichs einen gegenseitigen Zugriff auf Ressourcen. Sie können eine solche Vertrauensstellung über den Neue VertrauensstellungAssistenten im Snap-In Active Directory-Domänen und -Vertrauensstellungen oder über das Kommandozeilentool Netdom erstellen. Weitere Informationen zum Kommandozeilentool Netdom finden Sie in der Technischen Referenz zu Windows Server 2003 unter Windows Server 2003 Technical Reference. Administrative Berechtigungen Um dieses Verfahren ausführen zu können, müssen Sie Mitglied der Gruppe DomänenAdmins oder der Gruppe Organisations-Admins sein. 1. Öffnen Sie das Snap-In Active Directory-Domänen und -Vertrauensstellungen. 2. Klicken Sie im Konsolenbereich mit rechts auf die Domäne, für die Sie eine Vertrauensstellung erstellen wollen, und klicken Sie dann auf Eigenschaften. 3. Klicken Sie auf der Registerkarte Vertrauensstellungen auf Neue Vertrauensstellung, und klicken Sie dann auf Weiter. 4. Geben Sie auf der Seite Vertrauensstellungsname den DNS-Namen (oder den NetBIOS-Namen) der Domäne ein, und klicken Sie dann auf Weiter 5. Klicken Sie auf der Seite Vertrauenstyp auf Bereichsvertrauensstellung, und klicken Sie dann auf Weiter. 6. Führen Sie auf der Seite Transitivität der Vertrauensstellung eine der folgenden Aktionen aus: Um eine Vertrauensstellung mit der Domäne und dem angegebenen Bereich einzurichten, klicken Sie auf Nicht transitiv und dann auf Weiter. Um eine Vertrauensstellung mit der Domäne und dem angegebenen Bereich und allen vertrauenswürdigen Bereichen einzurichten, klicken Sie auf Transitiv und dann auf Weiter. 7. Klicken Sie auf der Seite Richtung der Vertrauensstellung auf Bidirektional, und klicken Sie dann auf Weiter. Weitere Informationen zu den möglichen Richtungen finden Sie im Abschnitt "Richtung der Vertrauensstellung" im Kapitel Anhang: Der Neue Vertrauensstellung-Assistent. 8. Geben Sie auf der Seite Vertrauenskennwort das Kennwort ein, und klicken Sie auf Weiter. 9. Klicken Sie auf Weiter. 10. Klicken Sie auf Fertigstellen. Anmerkung: Damit die Vertrauensstellung korrekt funktioniert, muss der Administrator der Gegenseite ebenfalls eine Vertrauensstellung mit dem gleichen Kennwort erstellen, das hier verwendet wurde. Konfiguration von Domänen- und Gesamtstrukturvertrauensstellungen Sie können nur manuelle erstelle Vertrauensstellungen entfernen. Standardmäßige bidirektionale transitive Vertrauensstellungen können nicht entfernt werden. Führen Sie zum Entfernen von Vertrauensstellungen die folgenden Aufgaben aus: Prüfen und Entfernen von Vertrauensstellungen Bearbeiten der Namenssuffix-Einstellungen Prüfen und Entfernen von Vertrauensstellungen Nachdem eine Vertrauensstellung erstellt wurde möchten Sie möglicherweise prüfen ob diese wie gewünscht arbeitet oder das die Kommunikation über die Vertrauensstellung funktioniert. Anforderungen Die nachfolgenden Aufgaben können Sie mit den folgenden Tools ausführen: Active Directory-Domänen und -Vertrauensstellungen Netdom.exe Weitere Informationen zum Kommandozeilentool Netdom finden Sie in der Technischen Referenz zu Windows Server 2003 unter http://go.microsoft.com/fwlink/?LinkId=41700. Um diese Aufgabe auszuführen, sind die folgenden Schritte erforderlich: Prüfen einer Vertrauensstellung Entfernen einer manuell erstellten Vertrauensstellung Prüfen einer Vertrauensstellung Sie können alle Vertrauensstellungen zwischen Domänen überprüfen Vertrauensstellungen zwischen Realms jedoch nicht. Hierzu können Sie den Assistenten oder Netdom verwenden. Weitere Informationen zum Kommandozeilentool Netdom finden Sie in der Technischen Referenz zu Windows Server 2003 unter http://go.microsoft.com/fwlink/?LinkId=41700. Administrative Berechtigungen Um diese Schritte ausführen zu können, müssen Sie Mitglied der Gruppe DomänenAdmins oder der Gruppe Organisations-Admins sein. Prüfen einer Vertrauensstellung Mithilfe der Windows-Oberfläche Mithilfe der Eingabeaufforderung Mithilfe der Windows-Oberfläche 1. Öffnen Sie Active Directory-Domänen und -Vertrauensstellungen. 2. Klicken Sie in der Konsolenstruktur mit der rechten Maustaste auf die Domäne mit der Vertrauensstellung, die Sie prüfen möchten, und klicken Sie dann auf Eigenschaften. 3. Klicken Sie auf der Registerkarte Vertrauensstellungen unter Domänen, denen diese Domäne vertraut (ausgehende Vertrauensstellungen) oder Domänen, die dieser Domäne vertrauen (eingehende Vertrauensstellungen), auf die Vertrauensstellung, die Sie prüfen möchten, und klicken Sie dann auf Eigenschaften. 4. Klicken Sie auf Überprüfen. 5. Führen Sie eine der folgenden Aktionen aus, und klicken Sie dann auf OK: Klicken Sie auf Nein, eingehende Vertrauensstellung nicht überprüfen. Wenn Sie diese Option auswählen, sollten Sie diesen Schritt für die reziproke Domäne wiederholen. Klicken Sie auf Ja, eingehende Vertrauensstellung überprüfen. Wenn Sie diese Option auswählen, müssen Sie ein Benutzerkonto und ein Kennwort mit administrativen Anmeldeinformationen für die reziproke Domäne eingeben. Mithilfe der Eingabeaufforderung 1. Öffnen Sie eine Eingabeaufforderung. 2. Geben Sie den folgenden Befehl ein, und drücken Sie dann die EINGABETASTE: netdom trust NameDerVertrauendenDomäne /d:NameDerVertrauenswürdigenDomäne /verify Term Definition NameDerVertrauendenDomäne Der DNS- oder NetBIOS-Name der vertrauenden Domäne in der Vertrauensstellung, die geprüft wird. NameDerVertrauenswürdigenDomäne Der DNS- oder NetBIOS-Name der vertrauenswürdigen Domäne in der Vertrauensstellung, die geprüft wird. Entfernen einer manuell erstellten Vertrauensstellung Sie können manuell erstellte Verknüpfungsvertrauensstellungen, externe Vertrauensstellungen, Bereichsvertrauensstellungen und Gesamtstrukturvertrauensstellungen entfernen. Standardmäßige Vertrauensstellungen und bidirektionale, transitive Vertrauensstellungen zwischen Domänen eine Gesamtstruktur können nicht entfernt werden. Wenn Sie planen, diese neu zu erstellen, ist es besonders wichtig, das erfolgreiche Entfernen der Vertrauensstellung zu überprüfen. Sie können zum Entfernen von Vertrauensstellungen den Assistenten oder Netdom verwenden. Weitere Informationen zum Kommandozeilentool Netdom finden Sie in der Technischen Referenz zu Windows Server 2003 unter http://go.microsoft.com/fwlink/?LinkId=41700. Administrative Berechtigungen Um diese Schritte ausführen zu können, müssen Sie Mitglied der Gruppe DomänenAdmins oder der Gruppe Organisations-Admins sein. Entfernen einer manuell erstellten Vertrauensstellung Mithilfe der Windows-Oberfläche Mithilfe der Eingabeaufforderung Mithilfe der Windows-Oberfläche 1. Öffnen Sie Active Directory-Domänen und -Vertrauensstellungen. 2. Klicken Sie in der Konsolenstruktur mit der rechten Maustaste auf die Domäne mit der Vertrauensstellung, die Sie entfernen möchten, und klicken Sie dann auf Eigenschaften. 3. Klicken Sie auf der Registerkarte Vertrauensstellungen unter Domänen, denen diese Domäne vertraut (ausgehende Vertrauensstellungen) oder Domänen, die dieser Domäne vertrauen (eingehende Vertrauensstellungen), auf die Vertrauensstellung, die Sie entfernen möchten, und klicken Sie dann auf Entfernen. 4. Führen Sie eine der folgenden Aktionen aus, und klicken Sie dann auf OK: Klicken Sie auf Nein, die Vertrauensstellung nur aus der lokalen Domäne entfernen. Wenn Sie diese Option auswählen, sollten Sie diesen Schritt für die reziproke Domäne wiederholen. Klicken Sie auf Ja, die Vertrauensstellung aus der lokalen und der anderen Domäne entfernen. Wenn Sie diese Option auswählen, müssen Sie ein Benutzerkonto und ein Kennwort mit administrativen Anmeldeinformationen für die reziproke Domäne eingeben. Mithilfe der Eingabeaufforderung 1. Öffnen Sie eine Eingabeaufforderung. 2. Geben Sie den folgenden Befehl ein, und drücken Sie dann die EINGABETASTE: netdom trust NameDerVertrauendenDomäne /d:NameDerVertrauenswürdigenDomäne /remove /UserD:Benutzer /PasswordD: * Term Definition NameDerVertrauendenDomäne Der DNS- oder NetBIOS-Name der vertrauenden Domäne in der Vertrauensstellung, die geprüft wird. NameDerVertrauenswürdigenDomäne Der DNS- oder NetBIOS-Name der vertrauenswürdigen Domäne in der Vertrauensstellung, die geprüft wird. Anmerkung Wenn Sie Netdom verwenden, müssen Sie die Option /force am Ende anfügen (hinter /remove). Ändern der Routingeinstellungen eines Namensuffixes Namensuffixrouting ist ein Mechanismus, der zum Routen von Authentifizierungsanfragen in durch Gesamtstrukturvertrauensstellungen verbundenen Windows Server 2003-Gesamtstrukturen genutzt wird. Um die Administration von Authentifizierungsanfragen zu vereinfachen, werden alle eindeutigen Namensuffixes standardmäßig geroutet. Ein eindeutiger Namensuffix ist ein Namensuffix in einer Gesamtstruktur, der keinem anderen Namensuffix untergeordnet ist (zum Beispiel ein UPN-Suffix, SPN-Suffix oder ein DNS-Gesamtstruktur- oder -Strukturname. Der DNSGesamtstrukturname fabrikam.com ist zum Beispiel in der Gesamtstruktur fabrikam.com ein eindeutiger Namensuffix. Weitere Informationen zu Namensuffixes finden Sie unter http://go.microsoft.com/fwlink/?LinkId=35414. Anmerkung Ein Namensuffix, das Konflikte hervorruft, kann nicht aktiviert werden. Falls der Konflikt mit einem lokalen Benutzerprinzipalnamen-Suffix besteht, müssen Sie das lokale Benutzerprinzipalnamen-Suffix löschen, bevor Sie den Routingnamen aktivieren können. Falls der Konflikt mit einem Namen besteht, der von einem anderen Vertrauensstellungspartner beansprucht wird, müssen Sie den Namen in der anderen Vertrauensstellung deaktivieren, bevor Sie ihn für diese Vertrauensstellung aktivieren können. Anforderungen Die nachfolgenden Aufgaben können Sie mit den folgenden Tools ausführen: Active Directory-Domänen und -Vertrauensstellungen Netdom.exe Weitere Informationen zum Kommandozeilentool Netdom finden Sie in der Technischen Referenz zu Windows Server 2003 unter http://go.microsoft.com/fwlink/?LinkId=41700. Diese Aufgabe können Sie mithilfe der folgenden Schritte ausführen: Ändern des Routingstatus’ eines Namensuffixes Aktivieren oder Deaktivieren eines bestehenden Namensuffixes für das Routing Ausschließen eines Namensuffixes vom Routing in der lokalen Gesamtstruktur Ändern des Routingstatus’ eines Namensuffixes Sie können den Routingstatus mit dem Assistenten oder mithilfe von Netdom aktivieren und deaktivieren. Weitere Informationen zum Kommandozeilentool Netdom finden Sie in der Technischen Referenz zu Windows Server 2003 unter http://go.microsoft.com/fwlink/?LinkId=41700. Administrative Berechtigungen Um dieses Verfahren ausführen zu können, müssen Sie Mitglied der Gruppe DomänenAdmins oder der Gruppe Organisations-Admins sein. Ändern des Routingstatus eines Namensuffixes Mithilfe der Windows-Oberfläche 1. Öffnen Sie Active Directory-Domänen und -Vertrauensstellungen. 2. Klicken Sie in der Konsolenstruktur mit der rechten Maustaste auf den Domänenknoten der zu verwaltenden Domäne, und klicken Sie dann auf Eigenschaften. 3. Klicken Sie auf der Registerkarte Vertrauensstellungen unter Domänen, denen diese Domäne vertraut (ausgehende Vertrauensstellungen), oder Domänen, die dieser Domäne vertrauen (eingehende Vertrauensstellungen), auf die Gesamtstrukturvertrauensstellung, die Sie verwalten möchten, und klicken Sie dann auf Eigenschaften. 4. Klicken Sie auf der Registerkarte Namensuffixrouting unter Namensuffixe in der Gesamtstruktur x.x auf das Namensuffix, für das Sie den Routingstatus ändern möchten, und klicken Sie dann auf Bearbeiten. 5. Klicken Sie unter Bestehende Namensuffixe in x.x auf das Suffix, das Sie ändern möchten, und klicken Sie dann auf Aktivieren oder Deaktivieren. Aktivieren oder Deaktivieren eines bestehenden Namensuffixes für das Routing Mit diesem Verfahren können Sie verhindern, dass Authentifizierungsanfragen für bestimmte Namensuffixe an eine Gesamtstruktur geroutet werden. Weitere Informationen zum Kommandozeilentool Netdom finden Sie in der Technischen Referenz zu Windows Server 2003 unter http://go.microsoft.com/fwlink/?LinkId=41700. Anmerkung Wenn Sie ein Namensuffix deaktivieren, werden alle untergeordneten Objekte dieses DNS-Namens ebenfalls deaktiviert. Administrative Berechtigungen Um dieses Verfahren ausführen zu können, müssen Sie Mitglied der Gruppe DomänenAdmins oder der Gruppe Organisations-Admins sein. Aktivieren oder Deaktivieren eines bestehenden Namensuffixes für das Routing Mithilfe der Windows-Oberfläche 1. Öffnen Sie Active Directory-Domänen und -Vertrauensstellungen. 2. Klicken Sie in der Konsolenstruktur mit der rechten Maustaste auf den Domänenknoten der zu verwaltenden Domäne, und klicken Sie dann auf Eigenschaften. 3. Klicken Sie auf der Registerkarte Vertrauensstellungen unter Domänen, denen diese Domäne vertraut (ausgehende Vertrauensstellungen), oder Domänen, die dieser Domäne vertrauen (eingehende Vertrauensstellungen), auf die Gesamtstrukturvertrauensstellung, die Sie verwalten möchten, und klicken Sie dann auf Eigenschaften. 4. Führen Sie auf der Registerkarte Namensuffixrouting unter Namensuffixe in der Gesamtstruktur x.x eine der folgenden Aktionen aus: Um ein Namensuffix zu aktivieren, klicken Sie auf das Suffix, das Sie aktivieren möchten, und klicken Sie dann auf Aktivieren. Falls die Schaltfläche Aktivieren abgeblendet dargestellt ist, ist das Namensuffix bereits aktiviert. Um ein Namensuffix zu deaktivieren, klicken Sie auf das Suffix, das Sie deaktivieren möchten, und klicken Sie dann auf Deaktivieren. Falls die Schaltfläche Deaktivieren abgeblendet dargestellt ist, ist das Namensuffix bereits deaktiviert. Ausschließen eines Namensuffixes vom Routing in der lokalen Gesamtstruktur Mit diesem Verfahren können Sie verhindern, dass Authentifizierungsanfragen für bestimmte Namensuffixe an eine Gesamtstruktur geroutet werden. Weitere Informationen zum Kommandozeilentool Netdom finden Sie in der Technischen Referenz zu Windows Server 2003 unter http://go.microsoft.com/fwlink/?LinkId=41700. Anmerkung Wenn Sie ein Namensuffix deaktivieren, werden alle untergeordneten Objekte dieses DNS-Namens ebenfalls deaktiviert. Administrative Berechtigungen Um dieses Verfahren ausführen zu können, müssen Sie Mitglied der Gruppe DomänenAdmins oder der Gruppe Organisations-Admins sein. Ausschließen eines Namensuffixes vom Routing in der lokalen Gesamtstruktur Mithilfe der Windows-Oberfläche 1. Öffnen Sie Active Directory-Domänen und -Vertrauensstellungen. 2. Klicken Sie in der Konsolenstruktur mit der rechten Maustaste auf den Domänenknoten der zu verwaltenden Domäne, und klicken Sie dann auf Eigenschaften. 3. Klicken Sie auf der Registerkarte Vertrauensstellungen unter Domänen, denen diese Domäne vertraut (ausgehende Vertrauensstellungen), oder Domänen, die dieser Domäne vertrauen (eingehende Vertrauensstellungen), auf die Gesamtstrukturvertrauensstellung, die Sie verwalten möchten, und klicken Sie dann auf Eigenschaften. 4. Klicken Sie auf der Registerkarte Namensuffixrouting unter Namensuffixe in der Gesamtstruktur x.x auf das eindeutige Namensuffix, das Sie vom Routing ausschließen möchten, und klicken Sie dann auf Bearbeiten. 5. Klicken Sie unter Vom Weiterleiten nach x.x auszuschließende Namensuffixe auf Hinzufügen, geben Sie ein DNS-Namensuffix (Domain Name System) ein, das dem eindeutigen Namensuffix untergeordnet ist, und klicken Sie dann auf OK. Absichern von Domänen- und Gesamtstrukturvertrauensstellungen Beim Erstellen von Sicherheitsprinzipalen in einer Domäne wird die Domänen-SID in die Sicherheitsprinzipal-SID eingeschlossen, um die Domäne zu identifizieren, in der das Sicherheitsprinzipal erstellt wurde. Die Domänen-SID ist ein wichtiges Merkmal eines Sicherheitsprinzipals, weil sie vom Sicherheits-Subsystem von Windows zum Überprüfen der Authentizität des Sicherheitsprinzipals verwendet wird. Ähnlich wird bei ausgehenden externen Vertrauensstellungen, die von der vertrauenden Domäne aus erstellt werden, mithilfe der SID-Filterung überprüft, ob eingehende Authentifizierungsanforderungen von Sicherheitsprinzipalen in der vertrauenswürdigen Domäne nur SIDs von Sicherheitsprinzipalen in der vertrauenswürdigen Domäne enthalten. Dazu werden die SIDs des eingehenden Sicherheitsprinzipals mit der Domänen-SID der vertrauenswürdigen Domäne verglichen. Wenn eine der Sicherheitsprinzipal-SIDs eine Domänen-SID enthält, die nicht die der vertrauenswürdigen Domäne ist, wird diese SID von der Vertrauensstellung entfernt. In diesem Kapitel werden folgenden Aufgaben beschreiben: Konfiguration von SID-Filtereinstellungen Konfiguration von selektiven Authentifizierungseinstellungen Weitere Informationen finden Sie unter http://go.microsoft.com/fwlink/?LinkId=35413. Konfiguration von SID-Filtereinstellungen Sicherheitsprinzipale in Active Directory haben ein Attribut mit dem Namen SIDHistory. In diesem Attribut können Administratoren alte SIDs des Benutzers eintragen. Dies ist bei Active Directory-Migrationen sehr praktisch - der Administrator muss nämlich so keine ACLs bearbeiten, und der Benutzer kann mit seiner alten SID auf die Ressourcen zugreifen. Unter bestimmten Umständen ist es jedoch für Domänenadministratoren möglich, das SIDHistory-Attribut zu nutzen, um SIDs neuen Benutzerkonten zuzuweisen und sich selbst Rechte zu verschaffen die er nicht haben sollte. Um einen solchen Angriff zu verhindern, aktiviert Windows Server 2003 die SID-Filterung automatisch für alle externen Vertrauensstellungen und Gesamtstrukturvertrauensstellungen, die unter Windows Server 2003 erstellt wurden. Bei externen Vertrauensstellungen, die unter Windows 2000 Server mit Service Pack 3 (SP3) oder früher erstellt wurden, muss die SID-Filterung manuell aktiviert werden. Anmerkung Sie können nicht das Standardverhalten deaktivieren, mit dem die SID-Filterung für neu erstellte externe Vertrauensstellungen aktiviert wird. Sie können die SID-Filterung nutzen, um migrierte SIDs aus bestimmten Domänen zu filtern. Wenn es zum Beispiel eine externe Vertrauensstellung gibt, durch die die Domäne Noam (unter Windows 2000 Server) der Domäne Acquired vertraut (ebenfalls unter Windows 2000 Server), dann kann ein Administrator der Domäne Noam manuell eine SID-Filterung für die Domäne Acquired einrichten, mit der alle SIDs mit einer DomänenSID der Domäne Acquired erlaubt und alle anderen SIDs (zum Beispiel die migrierten, in SIDHistory gespeicherten SIDs) verboten sind. Anmerkung Wenden Sie die SID-Filterung nicht auf Domänen innerhalb einer Gesamtstruktur an. In diesem Fall würden SIDs entfernt, die für die Active Directory-Replikation notwendig sind. Außerdem wird es zu Authentifizierungsfehlern bei Benutzer kommen, die sich in Domänen befinden, denen transitiv über die isolierte Domäne vertraut wird. Zur weiteren Erhöhung der Gesamtstruktursicherheit sollten Sie möglicherweise die SIDFilterung für alle vorhandenen externen Vertrauensstellungen aktivieren, die mit Domänencontrollern unter Windows 2000 Service Pack 3 (oder früher) erstellt wurden. Sie können dazu mit Netdom.exe die SID-Filterung für vorhandene externe Vertrauensstellungen aktivieren, oder Sie können diese externen Vertrauensstellungen von einem Domänencontroller unter einem Betriebssystem der Windows Server 2003Produktfamilie oder Windows 2000 Service Pack 4 (oder höher) neu erstellen. Weitere Informationen zur Aktivierung der SID-Filterung für Vertrauensstellungen, die unter Windows 2000 Server erstellt wurden, finden Sie unter http://go.microsoft.com/fwlink/?LinkId=18545. Weitere Informationen zur SID-Filterung finden Sie unter http://go.microsoft.com/fwlink/?LinkId=35413. Anforderungen Die nachfolgenden Aufgaben können Sie mit den folgenden Tools ausführen: Active Directory-Domänen und -Vertrauensstellungen Netdom.exe Weitere Informationen zum Kommandozeilentool Netdom finden Sie in der Technischen Referenz zu Windows Server 2003 unter http://go.microsoft.com/fwlink/?LinkId=41700. Um diese Aufgabe auszuführen, sind die folgenden Schritte erforderlich: Deaktivieren der SID-Filterung Aktivieren der SID-Filterung Deaktivieren der SID-Filterung Sie können die SID-Filterung für eine externe Vertrauensstellung mit dem Tool Netdom.exe deaktivieren; dies wird jedoch nicht empfohlen. Sie sollten das Deaktivieren der SID-Filterung nur in den folgenden Situationen in Betracht ziehen: Sie vertrauen allen Administratoren, die über physikalischen Zugriff auf Domänencontroller in der vertrauenswürdigen Domäne verfügen, genauso sehr wie den Administratoren der vertrauenden Domäne. Es ist unumgänglich, universelle Gruppen zu Ressourcen in der vertrauenden Domäne zuzuweisen, die nicht in der vertrauenswürdigen Domäne erstellt wurden. Beim Migrieren von Benutzern in die vertrauenswürdige Domäne wurden ihre SIDVerläufe beibehalten, und Sie möchten ihnen Zugriff auf Ressourcen in der vertrauenden Domäne basierend auf dem SIDHistory-Attribut gewähren. Weitere Informationen zur Arbeitsweise der SID-Filterung finden Sie unter http://go.microsoft.com/fwlink/?LinkId=35413. Weitere Informationen zum Kommandozeilentool Netdom finden Sie in der Technischen Referenz zu Windows Server 2003 unter http://go.microsoft.com/fwlink/?LinkId=41700. Administrative Berechtigungen Um diese Schritte ausführen zu können, müssen Sie Mitglied der Gruppe DomänenAdmins oder der Gruppe Organisations-Admins sein. Deaktivieren der SID-Filterung 1. Öffnen Sie eine Eingabeaufforderung. 2. Geben Sie den folgenden Befehl ein, und drücken Sie dann die EINGABETASTE: Netdom trust NameDerVertrauendenDomäne /domain: NameDerVertrauenswürdigenDomäne /quarantine:No /userD:Domänenadministratorkonto/passwordD:Domänenadministratorkennwort Anmerkung Sie können die SID-Filterung nur von der vertrauenden Seite der Vertrauensstellung aus aktivieren oder deaktivieren. Bei einer bidirektionalen Vertrauensstellung können Sie die SID-Filterung in der vertrauenswürdigen Domäne außerdem mithilfe der Domänenadministrator-Anmeldeinformationen für die vertrauenswürdige Domäne deaktivieren. Vertauschen Sie dazu die Werte für NameDerVertrauendenDomäne und NameDerVertrauenswürdigenDomäne in der Befehlszeilensyntax. Aktivieren der SID-Filterung Administrative Berechtigungen Um diese Schritte ausführen zu können, müssen Sie Mitglied der Gruppe DomänenAdmins oder der Gruppe Organisations-Admins sein. Aktivieren der SID-Filterung 1. Öffnen Sie eine Eingabeaufforderung. 2. Geben Sie den folgenden Befehl ein, und drücken Sie dann die EINGABETASTE: Netdom trust NameDerVertrauendenDomäne /domain: NameDerVertrauenswürdigenDomäne /quarantine:Yes /userD:Domänenadministratorkonto/passwordD:Domänenadministratorkennwort Konfiguration von selektiven Authentifizierungseinstellungen Trusts that are created between Windows Server 2003 forests can use legacy authentication settings (settings that were used in Windows 2000 Server) or selective authentication. Selective authentication is a security setting that can be enabled on external trusts and forest trusts between Windows Server 2003 forests. Selective authentication provides Active Directory administrators who manage a trusting forest more control over which groups of users in a trusted forest can access shared resources in the trusting forest. Because creating an external trust or forest trust provides a pathway for all authentication requests between the forests, this increased control is especially important when administrators need to grant access to shared resources in their organization’s forest to a limited set of users in another organization’s forest. For more information about how selective authentication settings work, see “Security Considerations for Trusts” in the Windows Server 2003 Technical Reference on the Microsoft Web site (http://go.microsoft.com/fwlink/?LinkId=35413). Alles ENGLISCH!!!!! Anforderungen Die nachfolgenden Aufgaben können Sie mit den folgenden Tools ausführen: Active Directory-Domänen und -Vertrauensstellungen Netdom.exe Weitere Informationen zum Kommandozeilentool Netdom finden Sie in der Technischen Referenz zu Windows Server 2003 unter http://go.microsoft.com/fwlink/?LinkId=41700. Um diese Aufgabe auszuführen, sind die folgenden Schritte erforderlich: Aktivieren der selektiven Authentifizierung über eine externe Vertrauensstellung Aktivierten der selektiven Authentifizierung über eine Gesamtstrukturvertrauensstellung Aktivieren der domänenweiten Authentifizierung über eine externe Vertrauensstellung Aktivieren der gesamtstrukturweiten Authentifizierung über eine Gesamtstrukturvertrauensstellung Zuweisen der Berechtigung „Authentifizierung zulassen“ auf Computern in der vertrauenden Domäne oder Gesamtstruktur Aktivieren der selektiven Authentifizierung über eine externe Vertrauensstellung Die selektive Authentifizierung über eine externe Vertrauensstellung schränkt den Zugriff auf die Benutzer der vertrauten Domäne ein, denen explizit Authentifizierungsrechte für Computerobjekte (Ressourcencomputer) in der vertrauenden Domäne zugewiesen wurden. Um diese Rechte zuzuweisen, muss der Administrator diesen Benutzern das Recht Authentifizierung zulassen in Active Directory zuweisen. Weitere Informationen finden Sie im Artikel Zuweisen der Berechtigung „Authentifizierung zulassen“ auf Computern in der vertrauenden Domäne oder Gesamtstruktur. Weitere Informationen zur selektiven Authentifizierung finden Sie unter http://go.microsoft.com/fwlink/?LinkId=35413. Administrative Berechtigungen Um diese Schritte ausführen zu können, müssen Sie Mitglied der Gruppe DomänenAdmins oder der Gruppe Organisations-Admins sein. Aktivieren der selektiven Authentifizierung über eine externe Vertrauensstellung Mithilfe der Windows-Oberfläche 1. Öffnen Sie das Snap-In Active Directory-Domänen und -Vertrauensstellungen. 2. Klicken Sie im Konsolenbereich mit rechts auf entsprechende Domäne und dann auf Eigenschaften. 3. Klicken Sie auf der Registerkarte Vertrauensstellungen unter Domänen, denen diese Domäne vertraut (ausgehende Vertrauensstellungen), oder unter Domänen, die dieser Domäne vertrauen (eingehende Vertrauensstellungen), auf die ausgehenden Vertrauensstellungen, die Sie bearbeiten möchten. Klicken Sie dann auf Eigenschaften. 4. Klicken Sie auf der Registerkarte Authentifizierung auf Selektive Authentifizierung und dann auf OK. Anmerkung Wenn Sie auf Eigenschaften und dann auf die Registerkarte Authentifizierung klicken, werden nur Authentifizierungseinstellungen für ausgehende Vertrauensstellungen angezeigt. Um die Einstellungen für eingehende Vertrauensstellungen zu sehen, müssen Sie sich mit dem entsprechenden Domänencontroller verbinden. Aktivierten der selektiven Authentifizierung über eine Gesamtstrukturvertrauensstellung Die selektive Authentifizierung über eine Gesamtstrukturvertrauensstellung schränkt den Zugriff auf die Benutzer der vertrauten Gesamtstruktur ein, denen explizit Authentifizierungsrechte für Computerobjekte (Ressourcencomputer) in der vertrauenden Gesamtstruktur zugewiesen wurden. Um diese Rechte zuzuweisen, muss der Administrator diesen Benutzern das Recht Authentifizierung zulassen in Active Directory zuweisen. Weitere Informationen finden Sie im Artikel Zuweisen der Berechtigung „Authentifizierung zulassen“ auf Computern in der vertrauenden Domäne oder Gesamtstruktur. Weitere Informationen zur selektiven Authentifizierung finden Sie unter http://go.microsoft.com/fwlink/?LinkId=35413. Administrative Berechtigungen Um diese Schritte ausführen zu können, müssen Sie Mitglied der Gruppe DomänenAdmins (in der Stammdomäne der Gesamtstruktur) oder der Gruppe OrganisationsAdmins sein. Aktivierten der selektiven Authentifizierung über eine Gesamtstrukturvertrauensstellung Mithilfe der Windows-Oberfläche 1. Öffnen Sie das Snap-In Active Directory-Domänen und -Vertrauensstellungen. 2. Klicken Sie im Konsolenbereich mit rechts auf die Stammdomäne und dann auf Eigenschaften. 3. Klicken Sie auf der Registerkarte Vertrauensstellungen unter Domänen, denen diese Domäne vertraut (ausgehende Vertrauensstellungen), oder unter Domänen, die dieser Domäne vertrauen (eingehende Vertrauensstellungen), auf die ausgehenden Vertrauensstellungen, die Sie bearbeiten möchten. Klicken Sie dann auf Eigenschaften. 4. Klicken Sie auf der Registerkarte Authentifizierung auf Selektive Authentifizierung und dann auf OK. Anmerkung Wenn Sie auf Eigenschaften und dann auf die Registerkarte Authentifizierung klicken, werden nur Authentifizierungseinstellungen für ausgehende Vertrauensstellungen angezeigt. Um die Einstellungen für eingehende Vertrauensstellungen zu sehen, müssen Sie sich mit dem entsprechenden Domänencontroller verbinden. Aktivieren der domänenweiten Authentifizierung über eine externe Vertrauensstellung Die domänenweite Authentifizierung ermöglicht allen Benutzern der vertrauten Domäne einen uneingeschränkten Zugriff auf Ressourcen der vertrauenden Domäne. Diese Einstellung ist die Standardeinstellung für externe Vertrauensstellungen. Weitere Informationen zur domänenweiten Authentifizierung finden Sie unter http://go.microsoft.com/fwlink/?LinkId=35413. Administrative Berechtigungen Um diese Schritte ausführen zu können, müssen Sie Mitglied der Gruppe DomänenAdmins oder der Gruppe Organisations-Admins sein. Aktivieren der domänenweiten Authentifizierung über eine externe Vertrauensstellung Mithilfe der Windows-Oberfläche 1. Öffnen Sie das Snap-In Active Directory-Domänen und -Vertrauensstellungen. 2. Klicken Sie im Konsolenbereich mit rechts auf die entsprechende Domäne und dann auf Eigenschaften. 3. Klicken Sie auf der Registerkarte Vertrauensstellungen unter Domänen, denen diese Domäne vertraut (ausgehende Vertrauensstellungen), oder unter Domänen, die dieser Domäne vertrauen (eingehende Vertrauensstellungen), auf die ausgehenden Vertrauensstellungen, die Sie bearbeiten möchten. Klicken Sie dann auf Eigenschaften. 4. Klicken Sie auf der Registerkarte Authentifizierung auf Domänenweite Authentifizierung und dann auf OK. Anmerkung Wenn Sie auf Eigenschaften und dann auf die Registerkarte Authentifizierung klicken, werden nur Authentifizierungseinstellungen für ausgehende Vertrauensstellungen angezeigt. Um die Einstellungen für eingehende Vertrauensstellungen zu sehen, müssen Sie sich mit dem entsprechenden Domänencontroller verbinden. Aktivieren der gesamtstrukturweiten Authentifizierung über eine Gesamtstrukturvertrauensstellung Die gesamtstrukturweite Authentifizierung ermöglicht allen Benutzern der vertrauten Gesamtstruktur einen uneingeschränkten Zugriff auf Ressourcen der vertrauenden Gesamtstruktur. Diese Einstellung ist die Standardeinstellung für Gesamtstrukturvertrauensstellungen. Weitere Informationen hierzu finden Sie unter http://go.microsoft.com/fwlink/?LinkId=35413. Administrative Berechtigungen Um diese Schritte ausführen zu können, müssen Sie Mitglied der Gruppe DomänenAdmins oder der Gruppe Organisations-Admins sein. Aktivieren der gesamtstrukturweiten Authentifizierung über eine Gesamtstrukturvertrauensstellung Mithilfe der Windows-Oberfläche 1. Öffnen Sie das Snap-In Active Directory-Domänen und -Vertrauensstellungen. 2. Klicken Sie im Konsolenbereich mit rechts auf die Stammdomäne und dann auf Eigenschaften. 3. Klicken Sie auf der Registerkarte Vertrauensstellungen unter Domänen, denen diese Domäne vertraut (ausgehende Vertrauensstellungen), oder unter Domänen, die dieser Domäne vertrauen (eingehende Vertrauensstellungen), auf die ausgehenden Vertrauensstellungen, die Sie bearbeiten möchten. Klicken Sie dann auf Eigenschaften. 4. Klicken Sie auf der Registerkarte Authentifizierung auf Gesamtstrukturweite Authentifizierung und dann auf OK. Anmerkung Wenn Sie auf Eigenschaften und dann auf die Registerkarte Authentifizierung klicken, werden nur Authentifizierungseinstellungen für ausgehende Vertrauensstellungen angezeigt. Um die Einstellungen für eingehende Vertrauensstellungen zu sehen, müssen Sie sich mit dem entsprechenden Domänencontroller verbinden. Zuweisen der Berechtigung Authentifizierung zulassen auf Computern in der vertrauenden Domäne oder Gesamtstruktur Damit Benutzer in vertrauten Windows Server 2003-Domänen oder -Gesamtstrukturen in der Lage sind, auf Ressourcen zuzugreifen, muss diesen das Recht Authentifizierung zulassen in Active Directory explizit zugewiesen werden. Weitere Informationen finden Sie unter http://go.microsoft.com/fwlink/?LinkId=35413. Anmerkung Die Berechtigung Authentifizierung zulassen kann für Computerobjekte von Servern unter Windows NT Server 4.0, Windows 2000 Server und Windows Server 2003 verwendet werden. Anmerkung Standardmäßig können nur Mitglieder der Gruppen Kontenoperatoren, Administratoren, Domänen-Admins, Organisations-Admins und SYSTEM die Einstellung bearbeiten. Die folgenden Verfahren müssen von der vertrauenden Domäne aus durchgeführt werden. Administrative Berechtigungen Um dieses Verfahren ausführen zu können, müssen Sie Mitglied der Gruppe DomänenAdmins oder der Gruppe Organisations-Admins sein. Zuweisen der Berechtigung Authentifizierung zulassen auf Computern in der vertrauenden Domäne oder Gesamtstruktur Mithilfe der Windows-Oberfläche 1. Öffnen Sie Active Directory-Benutzer und -Computer. 2. Klicken Sie im Konsolenbereich auf den Container Computer oder auf den Container, in dem sich die Computerobjekte befinden. 3. Klicken Sie mit rechts auf das Computerobjekte, auf das Sie den Benutzern der vertrauten Domäne Zugriff gewähren möchten. Klicken Sie auf Eigenschaften. 4. Klicken Sie auf der Registerkarte Sicherheit auf eine der folgenden Einstellungen: Klicken Sie unter Gruppen- oder Benutzernamen auf die Gruppen oder Benutzer, denen ein Zugriff gewährt werden soll. Klicken Sie auf das Kontrollkästchen Zulassen neben Authentifizierung zulassen, und klicken Sie dann auf OK. Klicken Sie auf Hinzufügen. Geben Sie den Namen des Benutzers ein, dem Sie Zugriff gewähren möchten. Klicken Sie dann auf OK. Klicken Sie auf das Kontrollkästchen Zulassen neben Authentifizierung zulassen, und klicken Sie dann auf OK. Anhang: Der Neue VertrauensstellungAssistent Dieses Kapitel beschäftigt sich mit den zwei komplexesten Seiten im Neue Vertrauensstellung-Assisten: Richtung der Vertrauensstellung Seite der Vertrauensstellung Richtung der Vertrauensstellung Auf dieser Seite konfiguriert der Administrator, ob Authentifizierungsanfragen von dieser Domäne zu einer anderen Domäne oder von einer anderen Domäne zu dieser Domäne oder frei zwischen beiden Domänen geroutet werden sollen. Die folgenden Optionen stehen zur Verfügung: Bidirektional: Eine bidirektionale Vertrauensstellung ermöglicht die Authentifizierung von beiden Domänen oder Gesamtstrukturen aus in der jeweils anderen Domäne oder Gesamtstruktur. Unidirektional: eingehend: Eine solche Vertrauensstellung ermöglicht Authentifizierungsanfragen von Benutzern aus Ihrer Domäne oder Gesamtstruktur für Ressourcen in der anderen Domäne oder Gesamtstruktur. Unidirektional: ausgehend: Eine solche Vertrauensstellung ermöglicht Authentifizierungsanfragen von Benutzern in der anderen Domäne oder Gesamtstruktur für Ressourcen aus Ihrer Domäne oder Gesamtstruktur. Bidirektional Mit dieser Option können alle Benutzer Ressourcen in zwei Domänen oder Gesamtstrukturen gemeinsam nutzen. Anmerkung In der Dokumentation zur Domänen- und Gesamtstrukturvertrauensstellungen werden seit langem die Begriffe "Vertraut" und "Vertrauend" verwendet. Sie helfen dem Administrator dabei, die Richtung einer Vertrauensstellung festzulegen. Diese Terminologie wird zwar weiterhin zur Definition und Betrachtung von Vertrauensstellungen genutzt, sie weicht jedoch von der im Assistenten verwendeten Terminologie ab. Unidirektional: eingehend Mit dieser Option lassen Sie Authentifizierungsanfragen von Ihrer Domäne oder Gesamtstruktur für Ressourcen in einer anderen Domäne oder Gesamtstruktur zu. "Unidirektional" bedeutet hierbei, dass mit dieser Auswahl eine neue unidirektionale Vertrauensstellung erstellt wird, die Authentifizierungsanfragen nur in eine Richtung routet (der Zugriff der Benutzer auf die Ressourcen findet in der entgegen gesetzten Richtung statt). "Eingehend" bezeichnet die Richtung der Vertrauensstellung selbst nicht die Richtung der Authentifizierungsanfragen. Mit anderen Worten: Eine unidirektionale, eingehende Vertrauensstellung bedeutet, dass Ihre Domäne oder Gesamtstruktur die Domäne oder Gesamtstruktur ist, die Zugriff auf Ressourcen aus der anderen Domäne empfängt. Unidirektional: ausgehend Mit dieser Option lassen Sie Authentifizierungsanfragen der Benutzer einer anderen Domäne oder Gesamtstruktur für Ressourcen in Ihrer Domäne oder Gesamtstruktur zu. "Unidirektional: ausgehend" bedeutet hierbei, dass mit dieser Auswahl eine neue unidirektionale Vertrauensstellung erstellt wird, die Authentifizierungsanfragen nur in eine Richtung routet (der Zugriff der Benutzer auf die Ressourcen findet in der entgegen gesetzten Richtung statt). "Ausgehend" bezeichnet die Richtung der Vertrauensstellung selbst - nicht die Richtung der Authentifizierungsanfragen. Mit anderen Worten: Eine unidirektionale, ausgehende Vertrauensstellung bedeutet, dass Ihre Domäne oder Gesamtstruktur die Domäne oder Gesamtstruktur ist, die Benutzern aus einer anderen Domäne oder Gesamtstruktur Zugriff auf Ressourcen der eigenen Domäne oder Gesamtstruktur gewährt. Seiten der Vertrauensstellung Unter Windows NT 4.0 und Windows 2000 gab es über die Windows-Oberfläche nur die Möglichkeit, pro Schritt jeweils eine Seite einer neuen Vertrauensstellung einzurichten. Unter Windows Server 2003 haben Sie nun auch die Möglichkeit, beide Seiten simultan einzurichten. Nur diese Domäne Mit dieser Option müssen Sie beide Seiten separat erstellen. Das heißt, sie müssen den Assistenten zweimal ausführen - einmal in jeder Domäne, die Teil der Vertrauensstellung ist. In diesem Fall müssen Sie auf beiden Seiten das gleiche Vertrauensstellungskennwort angeben. Diese Domäne und die angegebene Domäne Bei dieser Option muss der Administrator entsprechende administrative Anmeldeinformationen für beide Domänen der Vertrauensbeziehung angeben. Sie erstellt in einem Schritt beide Seiten der Vertrauensstellung. Das Kennwort wird automatisch erstellt. Administration des WindowsZeitdienstes Die Zeitsynchronisation ist ein kritischer Faktor für den fehlerfreien Betrieb vieler Windows-Dienste und Anwendungen. Der Windows-Zeitdienst nutzt das NTP-Protokoll (Network Time Protocol) zur Synchronisation der Computeruhren im Netzwerk. In diesem Kapitel erfahren Sie mehr zur Administration des Windows-Zeitdienstes unter Microsoft Windows Server 2003. Einführung in die Administration des Windows-Zeitdienstes Verwaltung des Windows-Zeitdienstes Danksagung Veröffentlicht: März 2005 Betrifft: Windows Server 2003 Erstellt durch: Microsoft Windows Server User Assistance Team Autor: Shala Brandolini Redaktion: Justin Hall Einführung in die Administration des Windows-Zeitdienstes Der Microsoft® Windows Server™ 2003 Windows-Zeitdienst, auch W32Time genannt, synchronisiert das Datum und die Uhrzeit aller Computer in einem Windows Server 2003Netzwerk. Zweck des Zeitdienstes ist es, sicherzustellen, dass alle Computer unter Windows 2000 oder neueren Versionen innerhalb einer Organisation die gleiche Zeit verwenden. Um dies zu garantieren, nutzt der Zeitdienst eine Hierarchie, über die eine Autorität festgelegt ist und Schleifen verhindert werden. Standardmäßig nutzen Windows-Computer die folgenden Hierarchien: Alle Clientcomputer nominieren den authentifizierenden Domänencontroller als eingehenden Zeitpartner. Alle Mitgliedserver gehen wie Clientcomputer vor. Domänencontroller nominieren den PDC-Betriebsmaster oder den übergeordneten Domänencontroller als eingehenden Zeitpartner. Alle PDC-Betriebsmaster folgen bei der Auswahl ihrer eingehenden Zeitpartner der Domänenhierarchie. Durch diese Hierarchie ist der PDC in der Stammdomäne der Gesamtstruktur der autorisierende Zeitgeber der Organisation. Dieser kann die genaue Zeit über einen externen NTP-Server ermitteln (zum Beispiel über ein Hardwaregerät oder über das Internet). Wenn Sie eine äußerst genaue Zeitsynchronisation benötigen, jedoch keine Verbindung zu einem externen Zeitgeber aufbauen können, dann empfehlen wir, entsprechende Hardware (zum Beispiel einen GPS-Empfänger) zu verwenden. Weitere Informationen zum Windows-Zeitdienst und eine vollständige Dokumentation zum w32tm-Tool finden Sie unter http://go.microsoft.com/fwlink/?LinkId=40648. Verwaltung des Windows-Zeitdienst Die erste Konfiguration des Windows 2003-Zeitdienstes (W32Time) wird bei der Bereitstellung der Stammdomäne der Active Directory-Gesamtstruktur durchgeführt. Danach sind nur wenige tägliche Verwaltungsaufgaben notwendig. Wenn Sie jedoch Änderungen am Netzwerk vorgenommen haben, zum Beispiel das Hinzufügen von Clients, das Verschieben des PDC-Emulators oder das Ändern des Zeitgebers, kann es notwendig werden, eine oder mehrere der folgenden Aufgaben auszuführen. Konfiguration eines Zeitgebers für die Gesamtstruktur Konfiguration von Windows-Clients für die Zeitsynchronisation Wiederherstellen der Standardeinstellungen des Windows-Zeitdienstes Konfiguration eines Zeitgebers für die Gesamtstruktur Es gibt normalerweise zwei Situationen, in denen eine Neukonfiguration des Zeitdienstes auf dem PDC-Emulator notwendig wird: Nach dem Verschieben der Rolle auf einen anderen Computer. In diesem Fall müssen Sie den Zeitdienst auf dem neuen Computer konfigurieren. Nach einer Änderung des Zeitgebers des PDC-Emulators. Zum Beispiel, wenn Sie von einem externen Zeitgeber zu einem Hardwaregerät wechseln. Gehen Sie bei der Konfiguration des Zeitgebers für den PDC-Emulator der Stammdomäne Ihrer Gesamtstruktur nach den folgenden Best Practices und in dieser Reihenfolge vor: Installieren Sie das Hardwaregerät (zum Beispiel einen GPS-Empfänger) als Zeitgeber für den PDC. Konfigurieren Sie den Zeitdienst für eine Synchronisation mit einem externen Zeitgeber. Der Zeitserver von Microsoft (time.windows.com) nutzt das NIST (National Institute of Standards and Technology in Boulder, Colorado) als externen Zeitgeber. Das NIST stellt den Automated Computer Time Service (ACTS) zur Verfügung, mit dem eine Computeruhr mit einer Abweichung von nicht mehr als zehn Millisekunden konfiguriert werden kann. Anmerkung Da die Synchronisation mit einem externen Zeitgeber nicht authentifiziert wird, ist sie als nicht sehr sicher zu betrachten. Üblicherweise ist der PDC der Stammdomäne der autorisierende Zeitgeber für die Gesamtstruktur. Er nutzt normalerweise einen externen Zeitgeber. Sollte dies nicht der Fall sein, konfigurieren Sie ihn für eine Synchronisation mit der internen Hardwareuhr. Die Rolle des PDC-Emulators kann auf andere Computer verschoben werden. Bei jedem Verschieben muss auf dem neuen PDC eine Neukonfiguration des Zeitdienstes durchgeführt werden. Auf dem alten PDC muss die Konfiguration entfernt werden. Um diesen Aufwand zu vermeiden, konfigurieren Sie einen Domänencontroller in der Stammdomäne, der nicht als PDC-Emulator arbeitet, als Zeitgeber. In diesem Fall spielt es keine Rolle, welcher Computer als PDC-Emulator arbeitet. Wenn Sie sich für die Implementierung einer anderen Zeitsynchronisation, die ebenfalls mit NTP arbeitet, entscheiden, müssen Sie den Windows-Zeitdienst deaktivieren. Alle NTP-Server verwenden UDP-Port 123. Wenn W32Time ausgeführt wird, ist dieser Port belegt. Anforderungen Um die unten beschriebenen Aufgaben ausführen zu können, sind die folgenden Tools notwendig: W32tm.exe Snap-In Dienste: Wenn Sie den Zeitdienst deaktivieren müssen. Mit den folgenden Verfahren können Sie einen Zeitgeber für Ihre Gesamtstruktur konfigurieren: 1. Konfigurieren des Windows-Zeitdienstes auf dem PDC-Emulator 2. Wenn Sie den PDC-Emulator auf einen anderen Domänencontroller verschieben, führen Sie die Aufgabe Ändern der Windows-Zeitdienst-Konfiguration auf dem alten PDC-Emulator aus. 3. Wenn Sie davon ausgehen, dass der PDC-Emulator irgendwann auf einen anderen Computer verschoben wird und Sie keine Neukonfiguration des Zeitdienstes durchführen möchten, führen Sie die Aufgabe Konfiguration eines Domänencontrollers in der übergeordneten Domäne als Zeitgeber aus. 4. Wenn der PDC-Emulator nicht zur Verwendung eines anderen Zeitgebers konfiguriert ist und als Zeitgeber für die Domäne arbeitet, führen Sie die Aufgabe Konfiguration des PDC-Emulators für eine Synchronisation mit der internen Hardwareuhr aus. 5. Wenn Sie ein anderes Produkt zur Zeitsynchronisation verwenden, das ebenfalls mit NTP arbeitet, dann führen Sie die Aufgabe Deaktivieren des Windows-Zeitdienstes aus. Konfigurieren des Windows-Zeitdienstes auf dem PDC-Emulator Wenn Sie eine neue Stammdomäne für die Gesamtstruktur erstellen oder den PDCEmulator verschieben, müssen Sie den Windows-Zeitdienst auf dem PDC-Emulator konfigurieren. Wenn Sie den PDC-Emulator verschieben, müssen Sie außerdem die Aufgabe Ändern der Windows-Zeitdienst-Konfiguration auf dem alten PDC-Emulator ausführen. Bevor Sie den Zeitdienst konfigurieren können, sollten Sie zum Testen der NTPKommunikation die Differenz zwischen der lokalen Zeit und dem Zeitgeber ermitteln. Überwachen Sie nach der Konfiguration des Zeitdienstes das Systemprotokoll auf W32Time-Fehler. Anmerkung Weitere Informationen zum Befehl w32tm erhalten Sie mit dem Befehl w32tm /? oder unter http://go.microsoft.com/fwlink/?LinkId=42984. Administrative Berechtigungen Um dieses Verfahren lokal auf dem PDC-Emulator ausführen zu können, müssen Sie Mitglied der Gruppe Administratoren sein. Um das Verfahren von einem Remotecomputer ausführen zu können, müssen Sie Mitglied der Gruppe DomänenAdmins sein. Konfigurieren des Windows-Zeitdienstes auf dem PDC-Emulator 1. Öffnen Sie eine Eingabeaufforderung. 2. Mit dem folgenden Befehl zeigen Sie die Differenz zwischen der lokalen Zeit und der des Zeitgebers an: w32tm /stripchart /computer:ziel /samples:n/dataonly Value Definition Ziel DNS-Name oder IP-Adresse des NTPServers, der als Zeitgeber arbeiten soll (zum Beispiel time.windows.com). n Anzahl der Zeitwerte, die vom Zeitgeber zurückgegeben werden sollen. 3. Öffnen Sie UDP-Port 123 für ausgehenden Netzwerkverkehr. 4. Öffnen Sie UDP-Port 123 (oder einen anderen Port, wenn ein anderer Port konfiguriert wurde) für eingehenden NTP-Netzwerkverkehr. 5. Mit dem folgenden Befehl konfigurieren Sie den Zeitdienst: w32tm /config /manualpeerlist:peers /syncfromflags:manual /reliable:yes /update Peers ist eine Liste mit DNS-Namen oder IP-Adressen der NTP-Zeitgeber, mit denen sich der PDC-Emulator synchronisiert. Wenn Sie mehrere Zeitgeber angeben, trennen Sie diese mit Leerzeichen und schließen Sie die Namen in Anführungszeichen ein. Ändern der Windows-ZeitdienstKonfiguration auf dem alten PDCEmulator Mit dem folgenden Verfahren ändern Sie die Windows-Zeitdienst-Konfiguration auf dem alten PDC-Emulator nach dem Verschieben der Rolle auf einen neuen Domänencontroller. Der alte PDC-Emulator synchronisiert seine Zeit automatisch über die Domänenhierarchie. Anmerkung Weitere Informationen zum Befehl w32tm erhalten Sie mit dem Befehl w32tm /? oder unter http://go.microsoft.com/fwlink/?LinkId=42984. Administrative Berechtigungen Um dieses Verfahren lokal auf dem PDC-Emulator ausführen zu können, müssen Sie Mitglied der Gruppe Administratoren sein. Um das Verfahren von einem Remotecomputer ausführen zu können, müssen Sie Mitglied der Gruppe DomänenAdmins sein. Ändern der Windows-Zeitdienst-Konfiguration auf dem alten PDC-Emulator 1. Öffnen Sie eine Eingabeaufforderung. 2. Geben Sie den folgenden Befehl ein, und drücken Sie die EINGABETASTE: w32tm /config /syncfromflags:domhier /reliable:no /update 3. Geben Sie den folgenden Befehl ein, und drücken Sie die EINGABETASTE: net stop w32time 4. Geben Sie den folgenden Befehl ein, und drücken Sie die EINGABETASTE: net start w32time Konfiguration eines Domänencontrollers in der übergeordneten Domäne als Zeitgeber Verwenden Sie dieses Verfahren, wenn Sie davon ausgehen, dass der PDC-Emulator irgendwann auf einen anderen Computer verschoben wird und Sie keine Neukonfiguration des Zeitdienstes durchführen möchten. Wenn Sie den Domänencontroller als Zeitgeber für die Stammdomäne konfigurieren, führen Sie zusätzlich das Verfahren Ändern der Windows-Zeitdienst-Konfiguration auf dem alten PDC-Emulator aus. Auch wenn Sie den PDC nicht verschoben haben, müssen Sie den bestehenden PDC so konfigurieren, dass er nicht weiterhin als Zeitgeber für die Domäne arbeitet. Anmerkung Weitere Informationen zum Befehl w32tm erhalten Sie mit dem Befehl w32tm /? oder unter http://go.microsoft.com/fwlink/?LinkId=42984. Administrative Berechtigungen Um dieses Verfahren lokal auf dem Domänencontroller ausführen zu können, müssen Sie Mitglied der Gruppe Administratoren sein. Um das Verfahren von einem Remotecomputer ausführen zu können, müssen Sie Mitglied der Gruppe DomänenAdmins sein. Konfiguration eines Domänencontrollers in der übergeordneten Domäne als Zeitgeber 1. Öffnen Sie eine Eingabeaufforderung. 2. Geben Sie den folgenden Befehl ein, und drücken Sie die EINGABETASTE: W32tm /config /reliable:yes /update Konfiguration des PDC-Emulators für eine Synchronisation mit der internen Hardwareuhr Mit dem folgenden Verfahren konfigurieren Sie den PDC in der Stammdomäne für eine Synchronisation mit der internen Hardwareuhr und als Zeitgeber der Stammdomäne der Gesamtstruktur. Anmerkung Weitere Informationen zum Befehl w32tm erhalten Sie mit dem Befehl w32tm /? oder unter http://go.microsoft.com/fwlink/?LinkId=42984. Administrative Berechtigungen Um dieses Verfahren lokal auf dem PDC-Emulator ausführen zu können, müssen Sie Mitglied der Gruppe Administratoren sein. Um das Verfahren von einem Remotecomputer ausführen zu können, müssen Sie Mitglied der Gruppe DomänenAdmins sein. Konfiguration des PDC-Emulators für eine Synchronisation mit der internen Hardwareuhr 1. Öffnen Sie eine Eingabeaufforderung. 2. Geben Sie den folgenden Befehl ein, und drücken Sie die EINGABETASTE: w32tm /config /syncfromflags:domhier /reliable:yes /update 3. Geben Sie den folgenden Befehl ein, und drücken Sie die EINGABETASTE: net stop w32time 4. Geben Sie den folgenden Befehl ein, und drücken Sie die EINGABETASTE: net start w32time Deaktivieren des Windows-Zeitdienstes Mit diesem Verfahren deaktivieren Sie den Windows-Zeitdienst (zum Beispiel, wenn Sie sich für die Implementierung eines anderen Zeitdienstes entscheiden). Administrative Berechtigungen Um dieses Verfahren auf dem lokalen Computer ausführen zu können, müssen Sie Mitglied der Gruppe Administratoren auf dem PDC-Emulator sein. Um das Verfahren von einem Remotecomputer ausführen zu können, müssen Sie Mitglied der Gruppe Domänen-Admins sein. To Deaktivieren des Windows-Zeitdienst 1. Öffnen Sie das Snap-In Dienste. 2. Klicken Sie mit recht auf Windows-Zeitgeber und dann auf Eigenschaften. 3. Wählen Sie im Feld Starttyp den Wert Deaktiviert aus. 4. Klicken Sie auf OK. Konfiguration von Windows-Clients für die Zeitsynchronisation Es gibt mehrere Windows-Clients, die keine automatische Synchronisation mit der Active Directory-Domäne durchführen: Clientcomputer, die in einer Pre-Windows 2000-Domänenumgebung ausgeführt werden. Clientcomputer, die in einer UNIX-Umgebung ausgeführt werden. Computer, die keiner Domäne angehören. Diese Computer müssen so konfiguriert werden, dass Sie ihre Zeit von einem bestimmten Zeitgeber beziehen - zum Beispiel dem Domänencontroller der Domäne. Wenn Sie keinen Zeitgeber konfigurieren, synchronisieren sich diese Computer mit der internen Hardwareuhr. Anforderungen Um die unten beschriebene Aufgabe ausführen zu können, sind die folgenden Tools erforderlich: W32tm Mit den folgenden Verfahren können Sie die Zeit von Windows-Clients synchronisieren: Konfigurieren eines manuellen Zeitgebers für einen bestimmten Clientcomputer • oder Konfigurieren eines Clientcomputers für die automatische DomänenZeitsynchronisation Konfigurieren eines manuellen Zeitgebers für einen bestimmten Clientcomputer Bevor Sie den Zeitdienst konfigurieren können, sollten Sie zum Testen der NTPKommunikation die Differenz zwischen der lokalen Zeit und dem Zeitgeber ermitteln. Überwachen Sie nach der Konfiguration des Zeitdienstes das Systemprotokoll auf W32Time-Fehler. Anmerkung Weitere Informationen zum Befehl w32tm erhalten Sie mit dem Befehl w32tm /? oder unter http://go.microsoft.com/fwlink/?LinkId=42984. Administrative Berechtigungen Um dieses Verfahren ausführen zu können, müssen Sie Mitglied der Gruppe Administratoren auf dem lokalen Computer sein. Um das Verfahren von einem Remotecomputer ausführen zu können, müssen Sie Mitglied der Gruppe DomänenAdmins sein. Konfigurieren eines manuellen Zeitgebers für einen bestimmten Clientcomputers 1. Öffnen Sie eine Eingabeaufforderung. 2. Mit dem folgenden Befehl zeigen Sie die Differenz zwischen der lokalen Zeit und der des Zeitgebers an: w32tm /stripchart /computer:ziel /samples:n/dataonly Value Definition Ziel DNS-Name oder IP-Adresse des NTPServers, der als Zeitgeber arbeiten soll (zum Beispiel time.windows.com). n Anzahl der Zeitwerte, die vom Zeitgeber zurückgegeben werden sollen. 3. Öffnen Sie UDP-Port 123 für ausgehenden Netzwerkverkehr. 4. Öffnen Sie UDP-Port 123 (oder einen anderen Port, wenn ein anderer Port konfiguriert wurde) für eingehenden NTP-Netzwerkverkehr. 5. Mit dem folgenden Befehl konfigurieren Sie den Zeitdienst: w32tm /config /manualpeerlist:peers /syncfromflags:manual /reliable:yes /update Peers ist eine Liste mit DNS-Namen oder IP-Adressen der NTP-Zeitgeber, mit denen sich der PDC-Emulator synchronisiert. Wenn Sie mehrere Zeitgeber angeben, trennen Sie diese mit Leerzeichen und schließen Sie die Namen in Anführungszeichen ein. Konfigurieren eines Clientcomputers für die automatische DomänenZeitsynchronisation Einige Computer, die einer Domäne beitreten, können mit einem manuellen Zeitgeber konfiguriert sein. Mit dem folgenden Verfahren konfigurieren Sie diese Computer zur Synchronisation mit der Domäne. Anmerkung Weitere Informationen zum Befehl w32tm erhalten Sie mit dem Befehl w32tm /? oder unter http://go.microsoft.com/fwlink/?LinkId=42984. Administrative Berechtigungen Um dieses Verfahren ausführen zu können, müssen Sie Mitglied der Gruppe Administratoren auf dem lokalen Computer sein. Um das Verfahren von einem Remotecomputer ausführen zu können, müssen Sie Mitglied der Gruppe DomänenAdmins sein. Konfigurieren eines Clientcomputers für die automatische DomänenZeitsynchronisation 1. Öffnen Sie eine Eingabeaufforderung. 2. Geben Sie den folgenden Befehl ein, und drücken Sie die EINGABETASTE: w32tm /config /syncfromflags:domhier /update 3. Geben Sie den folgenden Befehl ein, und drücken Sie die EINGABETASTE: net stop w32time 4. Geben Sie den folgenden Befehl ein, und drücken Sie die EINGABETASTE: net start w32time Wiederherstellen der Standardeinstellungen des WindowsZeitdienstes Wenn die Einstellungen des Zeitdienstes fehlerhaft konfiguriert sind, können Sie diese auf die Standardeinstellungen zurücksetzen. Anforderungen Um die unten beschriebenen Aufgaben ausführen zu können, sind die folgenden Tools notwendig: W32tm.exe Mit dem folgenden Verfahren können Sie den Windows-Zeitdienst lokal auf die Standardeinstellungen zurücksetzen: Zurücksetzen des Windows-Zeitdienstes auf dem lokalen Computer auf die Standardeinstellungen Zurücksetzen des Windows-Zeitdienstes auf dem lokalen Computer auf die Standardeinstellungen Anmerkung Weitere Informationen zum Befehl w32tm erhalten Sie mit dem Befehl w32tm /? oder unter http://go.microsoft.com/fwlink/?LinkId=42984. Administrative Berechtigungen Um dieses Verfahren ausführen zu können, müssen Sie Mitglied der Gruppe Administratoren auf dem lokalen Computer sein. Um das Verfahren von einem Remotecomputer ausführen zu können, müssen Sie Mitglied der Gruppe DomänenAdmins sein. Zurücksetzen des Windows-Zeitdienstes auf dem lokalen Computer auf die Standardeinstellungen 1. Öffnen Sie eine Eingabeaufforderung. 2. Geben Sie den folgenden Befehl ein, und drücken Sie die EINGABETASTE: net stop w32time 3. Geben Sie den folgenden Befehl ein, und drücken Sie die EINGABETASTE: w32tm /unregister 4. Geben Sie den folgenden Befehl ein, und drücken Sie die EINGABETASTE: w32tm /register 5. Geben Sie den folgenden Befehl ein, und drücken Sie die EINGABETASTE: net start w32time SYSVOL-Administration In diesem Kapitel finden Sie Informationen zur Administration der SYSVOL-Freigabe von Active Directory unter Microsoft Windows Server 2003. Das Kapitel ist in die folgenden Abschnitte aufgeteilt: Einführung in die Administration von SYSVOL Verwaltung von SYSVOL Danksagung Veröffentlicht: März2005 Betrifft: Windows Server 2003 Erstellt durch: Microsoft Windows Server User Assistance Team Autor: Mary Hillman Redaktion: Jim Becker Einführung in die Administration von SYSVOL Das Windows Server 2003 System Volume (SYSVOL) ist eine Sammlung von Ordnern und Bereitstellungspunkten im Dateisystem, die es auf jedem Domänencontroller einer Domäne gibt. SYSVOL ist der Standardspeicherort für wichtige Elemente aus Gruppenrichtlinienobjekten und Scripts. Der Dateireplikationsdienst (File Replication Service - FRS) kann sie über diesen Weg auf die anderen Domänencontroller der Domäne verteilen. Anmerkung Nur die Gruppenrichtlinienvorlage (Group Policy Template - GPT) wird über SYSVOL repliziert. Der Gruppenrichtliniencontainer (Group Policy Container GPC) wird über die Active Directory-Replikation repliziert. Damit die Gruppenrichtlinieneinstellungen effektiv werden, müssen sich beide Komponenten auf einem Domänencontroller befinden. Der FRS überwacht SYSVOL. Wenn eine Änderung an einer in SYSVOL gespeicherten Datei auftritt, repliziert FRS diese automatisch an die SYSVOL-Ordner auf den anderen Domänencontrollern. Im täglichen Betrieb läuft dies automatisch ab. Es ist normalerweise kein Eingriff durch den Administrator notwendig. Gelegentlich kann es jedoch sein, dass bei Netzwerkänderungen einige Wartungsarbeiten ausgeführt werden sollten. In diesem Kapitel werden die grundlegenden Aufgaben beschrieben, die zur Verwaltung von SYSVOL gehören. Grundlegende Überlegungen zur Administration von SYSVOL Stellen Sie sicher, dass der FRS die SYSVOL-Daten korrekt repliziert und es genügend Speicherplatz gibt. Implementieren Sie eine Überwachung, mit der Situationen mit zu wenig verfügbarem Speicherplatz erkannt werden. Ein praktisches Tool hierzu ist Ultrasound (Sie können das bei www.microsoft.com herunterladen - suchen Sie einfach nach dem Betriff Ultrasound). Weitere Schlüsselfaktoren für die Verwaltung von SYSVOL: Kapazität Abhängig von der Konfiguration Ihrer Domäne kann SYSVOL eine große Menge an Festplattenplatz benötigen. Während der ersten Bereitstellung kann SYSVOL zwar den benötigten Speicherplatz reservieren, aber trotzdem kann es sein, dass durch ein Anwachsen Ihres Active Directory irgendwann nicht mehr genügend Speicherplatz zur Verfügung steht. Wenn das passiert, ermitteln Sie den Grund für diesen Zustand. Liegt es an zu wenig physischen Speicherplatz auf dem Datenträger, oder schränkt eine Registrierungseinstellung die Größe des Stagingbereiches ein? Statt SYSVOL zu verschieben, können Sie zum Beispiel den Stagingbereich vergrößern, indem Sie die entsprechende Einstellung ändern. Dieses Verfahren ist weit weniger aufwendig als das Verschieben von SYSVOL. Leistung Jede Änderung an SYSVOL wird automatisch an die anderen Domänencontroller repliziert. Wenn sich die in SYSVOL gespeicherten Dateien regelmäßig ändern, steigt auch der Replikationsaufwand. Hostet das Volumen auch andere Systemdateien (zum Beispiel die Verzeichnisdatenbank oder die Auslagerungsdatei), dann kann sich dies zusammen mit dem erhöhten Replikationsaufwand auf die Leistung des Servers auswirken. Hardwarewartung Systemarbeiten, wie zum Beispiel das Entfernen einer Festplatte, können dazu führen, dass Sie SYSVOL verschieben müssen. Selbst wenn sich solche Arbeiten auf andere Festplatten beziehen, sollten Sie auf jeden Fall sicherstellen, dass das Systemvolumen nicht ebenfalls betroffen ist (zum Beispiel könnten sich die Laufwerksbuchstaben ändern). Der FRS findet SYSVOL mithilfe von Zeigern, die im Verzeichnis und in der Registrierung gespeichert sind. Wenn sich der Laufwerksbuchstabe ändert oder Festplatten entfernt oder hinzugefügt werden, werden diese Zeiger nicht automatisch aktualisiert. Sicherung von Gruppenrichtlinienobjekten (Group Policy Objects - GPOs) Der erfolgreiche Betrieb von Gruppenrichtlinien hängt in hohem Maße vom zuverlässigen Betrieb von SYSVOL ab. Einige Schlüsselkomponenten von GPOs werden in SYSVOL gespeichert (im Unterverzeichnis Policies). Es ist grundlegend wichtig, dass diese mit den entsprechenden Komponenten in Active Directory synchronisiert bleiben. Daher ist die Sicherung der SYSVOL-Komponenten nicht als vollständige Sicherung von GPOs anzusehen. Über die Gruppenrichtlinienverwaltungskonsole (Group Policy Management Console - GPMC) stehen grafische und scriptbasierende Verfahren zur Sicherung von GPOs zur Verfügung. Direkt nachdem Sie eine neue Domäne eingerichtet haben, sollten die GPOs Default Domain Policy und Default Domain Controller Policy gesichert werden. Dies sollte außerdem nach jeder Änderung geschehen. Die SYSVOL-Ordnerstruktur Bevor Sie versuchen, einen Teil oder das gesamte Systemvolumen zu verschieben, sollten Sie über ein klares Verständnis der Ordnerstruktur und der Beziehungen der Ordner und den in der Registrierung und dem Verzeichnis gespeicherten Pfadinformationen verfügen. Wenn Ordner verschoben werden, muss auch jeder entsprechende gespeicherte Parameter geändert werden. Außerdem gibt es in der Ordnerstruktur Bereitstellungspunkte, die ebenfalls aktualisiert werden müssen. Das Pflegen der Beziehungen zwischen Ordnern, Bereitstellungspunkten und gespeicherten Parametern ist beim Verschieben von SYSVOL also sehr wichtig. Wenn Sie dies nicht durchführen, kann das dazu führen, dass Dateien nicht oder fehlerhaft repliziert werden (ohne dass der FRS Fehler anzeigt, weil er zum Beispiel einfach am falschen Speicherort nach zu replizierenden Dateien sucht). Die vom Systemvolumen verwendete Ordnerstruktur nutzt Bereitstellungspunkte. Bereitstellungspunkte sehen wie normale Ordner aus und verhalten sich auch so (im Windows Explorer sind sie nicht von normalen Ordnern zu unterscheiden) - es sind jedoch keine Ordner. Ein Bereitstellungspunkt ist eine Verknüpfung mit einem anderen Ordner. Wenn er von einem Programm geöffnet wird, leitet er das Programm an den Ordner, auf den er verweist, um. Dieser Vorgang ist für Benutzer und Anwendungen vollständig transparent. Wenn Sie zum Beispiel zwei Ordner erstellen (C:\Folder1 und C:\Folder2) und dann einen Bereitstellungspunkt mit dem Namen C:\Folder3 erstellen, der auf Folder1 verweist, dann werden im Windows Explorer die folgenden drei Ordner angezeigt: \Folder1 \Folder2 \Folder3 Wenn Sie Folder3 öffnen, wird der Windows Explorer direkt an Folder1 umgeleitet und zeigt dessen Inhalte. Sie werden nicht über diesen Vorgang benachrichtigt. Wenn Sie sich den Inhalt von Folder1 ansehen, finden Sie exakt die gleichen Inhalte wie unter Folder3. Wenn Sie die Verzeichnisse in einer Eingabeaufforderung auflisten, werden alle drei angezeigt. Die ersten beiden sind vom Typ <DIR>, und Folder3 ist vom Typ <JUNCTION>. Anmerkung Zum Erstellen von Bereitstellungspunkten benötigen Sie das Tool Linkd.exe aus dem Windows 2000 Server Resource Kit. Standardmäßig befindet sich das Systemvolumen im Ordner %systemroot%\SYSVOL. In diesem Ordner kann sich eine Vielzahl von Unterordnern befinden - abhängig davon, wie der FRS in Ihrem Netzwerk genutzt wird. Wenn Sie Ordner verschieben, stellen Sie sicher, dass alle Ordner verschoben werden (inklusive der versteckten Ordner). Beim Verschieben müssen Sie die ersten drei Unterebenen in SYSVOL besonders beachten. Dort befinden sich Bereitstellungspunkte und Einstellungen. Zu diesen drei Unterebenen gehören: %systemroot%\SYSVOL %systemroot%\SYSVOL\Domäne %systemroot%\SYSVOL\Domäne\DO_NOT_REMOVE_Ntfrs_ Preinstalled_Directory %systemroot%\SYSVOL\Domäne\Policies %systemroot%\SYSVOL\Domäne\Scripts %systemroot%\SYSVOL\Staging %systemroot%\SYSVOL\Staging\Domäne %systemroot%\SYSVOL\Staging Areas %systemroot%\SYSVOL\Staging Areas FQDN %systemroot%\SYSVOL\Sysvol %systemroot%\SYSVOL\Sysvol FQDN (Wobei FQDN der voll qualifizierte Domänenname der Domäne ist, die der Domänencontroller hostet) Anmerkung Wenn Ordner nicht angezeigt werden, klicken Sie auf Extras, Ordneroptionen und dann auf die Registerkarte Ansicht. Aktivieren Sie die Option Versteckte Dateien und Ordner anzeigen. Wenn Sie die Ordner mit dem Windows Explorer betrachten, werden sie als normale Ordner angezeigt. In der Eingabeaufforderung werden jedoch zwei spezielle Ordner angezeigt (vom Typ <JUNCTION>). Diese beiden Ordner sind Bereitstellungspunkte. Der Bereitstellungspunkt in %systemroot%\SYSVOL\Sysvol verweist auf %systemroot%\SYSVOL\Domäne. Der Bereitstellungspunkt in %systemroot%\SYSVOL\Staging Areas verweist auf %systemroot%\SYSVOL\Staging\Domäne. Wenn Sie den Pfad, auf den die Bereitstellungspunkte verweisen, ändern, müssen Sie die Bereitstellungspunkt ebenfalls ändern. Neben diesen Bereitstellungspunkten gibt es auch in der Registrierung und im Verzeichnis Verweise auf Ordner. Diese Verweise enthalten zum Beispiel Pfade, die ebenfalls geändert werden müssen. Der FRS verwendet zwei Werte aus dem Verzeichnis. Der erste Wert, fRSRootPath, verweist auf den Speicherort der Richtlinien und Scripte. Standardmäßig ist dies %systemroot%\SYSVOL\Domäne. Der zweite Wert, fRSStagingPath, verweist auf die Ordner, die als Stagingbereich genutzt werden. Standardmäßig ist dies %systemroot%\SYSVOL\Staging\Domäne. Der NetLogon-Dienst verwendet Parameter aus der Registrierung, um den Speicherort der Ordner zu finden, die zur Erstellung der SYSVOL- und NETLOGON-Freigabepunkte notwendig sind. Standardmäßig ist die %systemroot%\SYSVOL\Sysvol. Wenn Sie die Pfade dieser Ordner ändern, müssen die entsprechenden Werte ebenfalls geändert werden. Wenn Sie SYSVOL verschieben, dann verschieben Sie erst die gesamte Ordnerstruktur an einen neuen Speicherort. Aktualisieren Sie dann alle Bereitstellungspunkte und Parameter. Optional können Sie den Stagingbereich verschieben und den Rest des Systemvolumens am alten Speicherort belassen. In diesem Fall müssen Sie den Parameter fRSStagingPath im Verzeichnis und den Bereitstellungspunkt unter %systemroot%\SYSVOL\staging areas ändern. Verwaltung von SYSVOL Im diesem Abschnitt werden die folgenden Verwaltungsaufgaben für SYSVOL beschrieben: Ändern des für den Stagingbereich reservierten Speicherplatzes Verschieben des Stagingbereichs Manuelles Verschieben von SYSVOL Aktualisierung des Systemvolumen-Pfades Wiederherstellen und Wiederaufbauen von SYSVOL Ändern des für den Stagingbereich reservierten Speicherplatzes Der Stagingbereich speichert Dateien, bevor diese repliziert werden, und gerade über eine Replikation empfangene Dateien. Auch wenn der FRS die Daten und Attribute von replizierten Dateien komprimiert, kann es sein, dass eine relativ große Menge an Festplattenplatz für den Stagingbereich notwendig ist. Standardmäßig ist der Stagingbereich 660 MB groß. Seine Minimalgröße beträgt zehn MB, und die Maximalgröße zwei TB Sie können die Größe in Kilobyte (KB) über den Registrierungseintrag HKEY_Local_Machine\System\CurrentControlSet\Services\NtFrs\Parameters definieren. Weitere Informationen hierzu finden Sie im Artikel 329491 in der Microsoft Knowledge Base. Anforderungen Um die unten beschriebenen Aufgaben ausführen zu können, sind die folgenden Tools notwendig: Net.exe Regedit.exe Ereignisanzeige Um die Aufgabe auszuführen, sind die folgenden Verfahren in der unten genannten Reihenfolge notwendig: 1. Anhalten des Dateireplikationsdienstes 2. Ändern des vom Staging Area-Ordner belegten Speicherplatzes 3. Starten des Dateireplikationsdienstes Anhalten des Dateireplikationsdienstes Mit diesem Verfahren können Sie den Dateireplikationsdienst anhalten. Administrative Berechtigungen Um die Aufgabe durchführen zu können, müssen Sie Mitglied der Gruppe DomänenAdmins sein. Anhalten des Dateireplikationsdienstes 1. Öffnen Sie eine Eingabeaufforderung. 2. Führen Sie den folgenden Befehl aus: net stop ntfrs Ändern des vom Staging Area-Ordner belegten Speicherplatzes Vorsicht Der Registrierungseditor umgeht die normalen Sicherheitsfunktionen. Sie können so Einstellungen vornehmen, die das System beschädigen können oder sogar dafür sorgen können, dass Windows neu installiert werden muss. Sichern Sie vor einer Bearbeitung der Registrierung den Systemstatus. Weitere Informationen hierzu finden Sie unter: Administering Active Directory Backup and Restore. Administrative Berechtigungen Um dieses Verfahren ausführen zu können, müssen Sie Mitglied der Gruppe DomänenAdmins oder der Gruppe Organisations-Admins sein. Ändern des vom Staging Area-Ordner belegten Speicherplatzes 1. Klicken Sie auf Start und dann auf Ausführen. 2. Geben Sie den Befehl regedit ein, und drücken Sie Enter. 3. Navigieren Sie zu HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NtFrs\Parame ters. 4. Klicken Sie doppelt auf Staging Space Limit in KB. 5. Wählen Sie unter Basis auf Dezimal. 6. Geben Sie unter Wert: einen Wert zwischen 10000 und 2000000000 ein. Verwenden Sie keine Kommas. Klicken Sie auf OK. 7. Schließen Sie den Registrierungseditor. Starten des Dateireplikationsdienstes Administrative Berechtigungen Um das unten aufgeführte Verfahren ausführen zu können, müssen Sie Mitglied der Gruppe Domänen-Admins sein. Starten des Dateireplikationsdienstes 1. Öffnen Sie eine Eingabeaufforderung. 2. Führen Sie den folgenden Befehl aus: net start ntfrs 3. Mit der Ereignisanzeige können Sie überprüfen, ob NTFRS korrekt gestartet wurde. Ereignis-ID 13501 zeigt an, dass der Dienst neu gestartet wurde. Mit Ereignis-ID 13516 wird angezeigt, dass der Domänencontroller ausgeführt wird und bereit ist. Ereignis-IDs 13553 und 13556 zeigen ein erfolgreiches Verschieben an. Verschieben des Stagingbereichs Standardmäßig wird der Staging Area-Ordner in SYSVOL installiert. Der Active DirectoryInstallationsassistent erstellt zwei Ordner - Staging und Staging Area. Dies nutzt der FRS für das Staging. Es gibt zwei Parameter, die den Speicherort des Stagingbereiches definieren. fRSStagingPath wird im Verzeichnis gespeichert und enthält den Pfad zu dem Speicherort, den der FRS zum Staging von Dateien nutzt. Der andere Parameter ist ein Bereitstellungspunkt, der sich im Ordner Staging Area in SYSVOL befindet und auf den Speicherort verweist, den FRS für das Staging von Dateien nutzt. Wenn Sie den Stagingbereich verschieben, müssen beide Parameter geändert werden. Wenn nicht anders angegeben, führen Sie die genannten Schritte auf dem Domänencontroller aus, auf dem sich der zu verschiebende Staging Area-Ordner befindet. Anforderungen Damit Sie diese Aufgabe korrekt ausführen können, sollten Sie über ein Verständnis der Ordnerstruktur des Systemvolumens verfügen. Lesen Sie hierzu den Abschnitt Einführung in die Administration von SYSVOL. Um die unten beschriebenen Aufgaben ausführen zu können, sind die folgenden Tools notwendig: Active Directory-Standorte und -Dienste (Administrative Tool) Ereignisanzeige Net.exe Dcdiag.exe (Windows Support Tools) Regedit.exe ADSI Edit.msc (Windows Support Tools) Linkd.exe (Windows Server 2003 Resource Kit Tools) Anmerkung Zum Erstellen von Bereitstellungspunkten benötigen Sie das Tool Linkd.exe, das Sie unter http://go.microsoft.com/fwlink/?LinkId=16544 finden. Um diese Aufgabe auszuführen, sind die folgenden Verfahren in der unten genannten Reihenfolge notwendig. 1. Identifizieren der Replikationspartner 2. Den Status der SYSVOL-Freigabe überprüfen Sie müssen den Test nicht auf jedem Partner ausführen. Führen Sie jedoch genügend Tests aus, um sicherzustellen, dass die Systemvolumen auf den Partnern nicht beschädigt sind. 3. Überprüfen der Replikation mit anderen Domänencontrollern 4. Zusammenstellen der SYSVOL-Pfadinformationen 5. Zurücksetzen des Dateireplikationsdienst-Stagingordners auf einem anderen logischen Laufwerk Identifizieren der Replikationspartner Mit diesem Verfahren überprüfen Sie die Verbindungsobjekte eines Domänencontrollers und ermitteln seine Replikationspartner fest. Administrative Berechtigungen Damit Sie dieses Verfahren durchführen können, müssen Sie Mitglied der Gruppe Domänen-Admins sein. Identifizieren von Replikationspartnern 1. Öffnen Sie Active Directory-Standorte und -Dienste. 2. Erweitern Sie den Container Standorte. 3. Klicken Sie doppelt auf den Standort, in dem sich der Domänencontroller befindet. Anmerkung Wenn Sie nicht wissen, wo sich der Domänencontroller befindet, geben Sie in einer Eingabeaufforderung den Befehl ipconfig ein und fragen so die IP-Adresse des Domänencontrollers ab. Vergleichen Sie die IPAdresse mit den Subnetzen, und ermitteln Sie so den Standort. 4. Erweitern Sie den Ordner Server. 5. Erweitern Sie den Namen des Domänencontrollers. 6. Klicken Sie doppelt auf NTDSSettings, um die Verbindungsobjekte anzuzeigen (angezeigt werden die für die Replikation verwendeten eingehenden Verbindungen). In der Spalte Von Server finden Sie die Namen der Replikationspartner. Den Status der SYSVOL-Freigabe überprüfen Anmerkung Sie müssen dieses Verfahren nicht auf jedem Partner ausführen. Führen Sie jedoch genügend Tests aus, um sicherzustellen, dass die Systemvolumen auf den Partnern nicht beschädigt sind. Administrative Berechtigungen Um die folgenden Schritte ausführen zu können, müssen Sie Mitglied der Gruppe Domänen-Admins oder der Gruppe Organisations-Admins sein. Prüfen des Status der SYSVOL-Freigabe 1. Öffnen Sie die Ereignisanzeige. 2. Klicken Sie auf Dateireplikationsdienst. 3. Suchen Sie nach Ereignis 13516 mit einem Datum und Zeitstempel, der dem Zeitpunkt des Neustarts entspricht. Es kann bis zu 15 Minuten oder mehr dauern, bis das Ereignis angezeigt wird. Ereignis 13508 zeigt an, dass der FRS den Dienst gerade startet. 13509 zeigt an, dass der Dienst erfolgreich gestartet wurde. 4. Prüfen Sie, ob die Freigabe erstellt wurde, indem Sie sich mit net share eine Liste der freigegebenen Ordner anzeigen lassen. 5. Geben Sie den Befehl dcdiag /test:netlogons ein. 6. Suchen Sie nach einem Eintrag, der computername passed test NetLogons lautet. Wenn dieser Eintrag nicht angezeigt wird, gibt es ein Problem mit der Replikation. Der Test überprüft, ob die für die Replikation notwendigen Anmeldeprivilegien vorhanden sind. Wenn der Test fehlschlägt, überprüfen Sie die Berechtigungen für die Freigaben Net Logon und SYSVOL. Überprüfen der Replikation mit anderen Domänencontrollern Diese Tests prüfen verschiedene Aspekte der Replikationstopologie. Außerdem prüfen Sie, ob Objekte repliziert werden und ob die korrekten Anmeldeberechtigungen für die Replikation vorhanden sind. Administrative Berechtigungen Um die folgenden Schritte ausführen zu können, müssen Sie Mitglied der Gruppe Domänen-Admins oder der Gruppe Organisations-Admins sein. Prüfen der Replikation mit anderen Domänencontrollern 1. Öffnen Sie eine Eingabeaufforderung. 2. Geben Sie den folgenden Befehl ein, und drücken Sie dann die EINGABETASTE: dcdiag /test:replications Anmerkung Es steht zusätzlich die Option /v zur Verfügung. Sie zeigt jedoch keine wichtigen Informationen an. 3. Mit dem folgenden Verfahren prüfen Sie, ob die korrekten Berechtigungen für die Replikation vorhanden sind: dcdiag /test:netlogons Alle Tests sollten als erfolgreich angezeigt werden. Zusammenstellen der SYSVOLPfadinformationen Wenn Sie SYSVOL verschieben, dann verschieben Sie erst die gesamte Ordnerstruktur an einen neuen Speicherort. Aktualisieren Sie dann alle Bereitstellungspunkte und Parameter. Optional können Sie den Stagingbereich verschieben und den Rest des Systemvolumens am alten Speicherort belassen. In diesem Fall müssen Sie den Parameter fRSStagingPath im Verzeichnis und den Bereitstellungspunkt unter %systemroot%\SYSVOL\staging areas ändern. Administrative Berechtigungen Um die folgenden Schritte ausführen zu können, müssen Sie Mitglied der Gruppe Domänen-Admins oder der Gruppe Organisations-Admins sein. Rufen Sie die Pfadinformationen mit den unten angegebenen Verfahren ab, und halten Sie die Werte in der folgenden Tabelle fest. Um den Stagingbereich zu verschieben, benötigen Sie die Informationen aus Zeile 2 und 5. Anmerkung Zum Wiederherstellen von SYSVOL benötigen Sie Informationen zum Domänencontroller, die in den Zeilen 1, 2 und 3 festgehalten werden. In den Zeilen 4 und 5 halten Sie Informationen zu den Bereitstellungspunkten fest. Parameter 1 fRSRootPath 2 fRSStagingPath 3 Sysvol parameter in registry 4 Sysvol junction 5 Staging junction Aktueller Wert Neuer Wert Sammeln der SYSVOL-Pfadinformationen fRSRootPath und fRSStagingPath 1. Klicken Sie auf Start, klicken Sie auf Ausführen, geben Sie adsiedit.msc ein, und drücken Sie die EINGABETASTE. 2. Klicken Sie doppelt auf Domain [computername] (wobei computername der Name des Domänencontrollers ist). Stellen Sie sicher, dass die Domäne bis zum Ordner DC= erweitert wird. 3. Klicken Sie auf DC, um die Container und OUs anzuzeigen. 4. Klicken Sie doppelt auf OU=Domain Controllers. 5. Klicken Sie doppelt auf den Container, der dem Domänencontroller entspricht (CN=computername). 6. Klicken Sie auf den Container CN=NTFRS Subscriptions. 7. Klicken Sie mit rechts auf CN=Domain System Volume und dann auf Eigenschaften. 8. Stellen Sie sicher, dass Verpflichtende Attribute anzeigen ausgewählt ist. 9. Suchen Sie unter Attribute nach fRSRootPath und fRSStagingPath, und halten Sie die Werte in der oben gezeigten Tabelle fest. 10. Tragen Sie die neuen Pfade in die Tabelle ein. 11. Klicken Sie auf Abbrechen. SYSVOL-Parameter aus der Registrierung 1. Klicken Sie auf Start und auf Ausführen. Geben Sie regedit ein, und drücken Sie die EINGABETASTE. 2. Navigieren Sie zu HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netlogon\Parame ters. 3. Rechts wird Sysvol angezeigt. Der aktuelle Wert wird in der Spalte Daten angezeigt. 4. Tragen Sie den Wert in die Tabelle ein. Tragen Sie den vorgesehenen neuen Wert in die Tabelle ein. SYSVOL-Bereitstellungspunkt 1. Öffnen Sie eine Eingabeaufforderung. 2. Wechseln Sie zum Verzeichnis %systemroot%\SYSVOL\Sysvol. Anmerkung Es wird davon ausgegangen, dass sich SYSVOL noch am Standardspeicherort befindet. 3. Geben Sie dir ein. Prüfen Sie, ob der FQDN als <JUNCTION> angezeigt wird. 4. Geben Sie linkd fqdn ein (wobei fqdn der Domänenname aus der Ausgabe von Dir ist). 5. Tragen Sie den Wert in die Tabelle ein. Tragen Sie den vorgesehenen neuen Wert in die Tabelle ein. Staging-Bereitstellungspunkt 1. Öffnen Sie eine Eingabeaufforderung. 2. Wechseln Sie zum Verzeichnis %systemroot%\SYSVOL\Staging Areas. Anmerkung Es wird davon ausgegangen, dass sich Staging Areas noch am Standardspeicherort befindet. 3. Geben Sie dir ein. Prüfen Sie, ob der FQDN als <JUNCTION> angezeigt wird. 4. Geben Sie linkd fqdn ein (wobei fqdn der Domänenname aus der Ausgabe von Dir ist). 5. Tragen Sie den Wert in die Tabelle ein. Tragen Sie den vorgesehenen neuen Wert in die Tabelle ein. Zurücksetzen des Dateireplikationsdienst-Stagingordners auf einem anderen logischen Laufwerk Administrative Berechtigungen Um die folgenden Schritte ausführen zu können, müssen Sie Mitglied der Gruppe Domänen-Admins oder der Gruppe Organisations-Admins sein. Zurücksetzen des Dateireplikationsdienst-Stagingordners auf einem anderen logischen Laufwerk 1. Klicken Sie auf Start und Ausführen. Geben Sie adsiedit.msc ein, und drücken Sie die EINGABETASTE. 2. Suchen Sie unter Domain [computername] das NtFrs Subscriber-Objekt unter dem Hostcomputerkonto in Active Directory. Der Pfad für dieses Attribut ist: CN=Name des Replikationssatzes,CN=NTFRS Subscriptions,CN=Computername,DC=Domänenname,DC=COM. Um den Stagingpfad für den SYSVOL-Replikationsatz von Domänencontroller \\DC1 in contoso.com zurückzusetzen, ist der DN-Pfad für FrsStagingPath zum Beispiel: CN=Domain System Volume (SYSVOL share), CN=NTFRS Subscriptions,CN=DC1,DC=CONTOSO,DC=COM 3. Klicken Sie mit rechts auf CN=Domain System Volume und dann auf Eigenschaften. 4. Stellen Sie sicher, dass Verpflichtende Attribute anzeigen ausgewählt ist. 5. Klicken Sie unter Attribute auf fRSStagingPath und dann auf Bearbeiten. 6. Geben Sie den Pfad für den neuen Speicherort des FRS-Stagingordners ein, und klicken Sie auf OK. 7. Klicken Sie auf OK. 8. Stellen Sie sicher, dass der Stagingpfad in der Registrierung aktualisiert wurde: a. Klicken Sie auf Start und auf Ausführen. Geben Sie regedit ein, und drücken Sie die EINGABETASTE. b. Navigieren Sie zu HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\NtFrs\Parameters\Replica Sets c. Klicken Sie doppelt auf Replica Sets. d. Suchen Sie den Replikationssatz, den Sie geändert haben. Klicken Sie auf eine GUID, und suchen Sie im Detailbereich nach Replica Set Name. Wiederholen Sie dies, bis Sie den richtigen Satz gefunden haben. e. Klicken Sie mit rechts auf Replica Set Stage und dann auf Bearbeiten. f. Geben Sie unter Daten den neuen Pfad ein, und klicken Sie auf OK. Wenn der Dienst eine Änderung am Stagingpfad erkennt, wird Ereignis 13563 zusammen mit Anweisungen für die weiteren durchzuführenden Schritte protokolliert: Typ: Warnung Quelle: NtFrs Kategorie: keine ID: 13563 Datum: 3/6/2005 Zeit: 7:13:01 PM Benutzer: N/A Computer: <Computername> Beschreibung: Der Dateireplikationsdienst hat festgestellt, dass das Stagingverzeichnis für den Replikatsatz %1 geändert wurde. Aktuelles Stagingverzeichnis = %2 Neues Stagingverzeichnis = %3 Nach dem Neustart beginnt der Dienst, das neue Stagingverzeichnis zu verwenden. Der Dienst ist so konfiguriert, dass er nach jedem Neustart des Computers ebenfalls neu gestartet wird. Es wird empfohlen, den Dienst manuell neu zu starten, um Datenverluste im Stagingverzeichnis zu vermeiden. Gehen Sie folgendermaßen vor, um den Dienst manuell neu zu starten: [1] Führen Sie den Befehl "net stop ntfrs" aus, oder verwenden Sie das Snap-In "Dienste", um den Dateireplikationsdienst (FRS) anzuhalten. [2] Verschieben Sie alle Stagingdateien, die zu Replikatsatz %1 gehören, in den neuen Stagingbereich. Wenn das aktuelle Stagingverzeichnis von mehr als einem Replikatsatz verwendet wird, ist es sicherer, die Stagingdateien in das neue Stagingverzeichnis zu verschieben. [3] Führen Sie den Befehl "net stop ntfrs" aus, oder verwenden Sie das Snap-In "Dienste", um den Dateireplikationsdienst zu starten. . 9. Führen Sie die Schritte 1 bis 3 aus dem Ereignis aus: 10. Geben Sie den folgenden Befehl ein, und drücken Sie die EINGABETASTE: net stop ntfrs 11. Verschieben Sie alle Stagingdateien des Replikationssatzes an den neuen Speicherort. Sollte mehr als ein Replikationssatz den aktuellen Stagingordner verwenden, ist es sicherer, die Dateien zu kopieren statt sie zu verschieben. 12. Geben Sie den folgenden Befehl ein, und drücken Sie die EINGABETASTE: net start ntfrs Manuelles Verschieben von SYSVOL Wenn Sie den gesamten SYSVOL-Ordner verschieben müssen und nicht nur den Staging Area-Ordner, dann können Sie dies nur manuell machen. Es gibt kein Tool, mit dem dieser Prozess automatisiert werden kann. Sie können SYSVOL zwar auch über den Active Directory-Assistenten verschieben, hierzu ist es jedoch erforderlich, dass Sie Active Directory entfernen und neu installieren. Vorsicht Dieses Verfahren kann zur Veränderung von Sicherheitseinstellungen führen. Nach dem Durchführen des Verfahrens sind die Sicherheitseinstellungen des neuen Systemvolumens so, wie sie nach der Installation von Active Directory konfiguriert sind. Sie müssen die alten Sicherheitseinstellungen auf das neue Systemvolumen übertragen. Dies führt zu zusätzlichem Replikationsaufwand. Anforderungen Um die unten beschriebenen Aufgaben ausführen zu können, sind die folgenden Tools notwendig: Active Directory-Standorte und -Dienste Ereignisanzeige Windows Explorer Dcdiag.exe (Windows Support Tools) Regedit.exe ADSI Edit.msc (Windows Support Tools) Linkd.exe (Windows Server 2003 Resource Kit Tools) Net.exe Secedit.exe Notepad.exe Um diese Aufgabe auszuführen, sind die folgenden Schritte erforderlich: 1. Identifizieren der Replikationspartner 2. Den Status der SYSVOL-Freigabe überprüfen 3. Überprüfen der Replikation mit anderen Domänencontrollern 4. Zusammenstellen der SYSVOL-Pfadinformationen 5. Anhalten des Dateireplikationsdienstes 6. Erstellen der SYSVOL-Ordnerstruktur 7. Festlegen des SYSVOL-Pfades 8. Festlegen des Staging Area-Pfades Wenn Sie den Staging Area-Ordner bereits an einen anderen Speicherort verschoben haben, ist dieser Schritt nicht erforderlich. 9. Vorbereiten eines Domänencontrollers für einen nicht autorisierenden SYSVOLNeustart 10. Aktualisieren der Sicherheitseinstellungen für den neuen SYSVOL-Ordner 11. Starten des Dateireplikationsdienstes 12. Den Status der SYSVOL-Freigabe überprüfen Identifizieren der Replikationspartner Mit diesem Verfahren überprüfen Sie die Verbindungsobjekte eines Domänencontrollers und ermitteln seine Replikationspartner fest. Administrative Berechtigungen Damit Sie dieses Verfahren durchführen können, müssen Sie Mitglied der Gruppe Domänen-Admins sein. Identifizieren von Replikationspartnern 1. Öffnen Sie Active Directory-Standorte und -Dienste. 2. Erweitern Sie den Container Standorte. 3. Klicken Sie doppelt auf den Standort, in dem sich der Domänencontroller befindet. Anmerkung Wenn Sie nicht wissen, wo sich der Domänencontroller befindet, geben Sie in einer Eingabeaufforderung den Befehl ipconfig ein und fragen so die IP-Adresse des Domänencontrollers ab. Vergleichen Sie die IP- Adresse mit den Subnetzen, und ermitteln Sie so den Standort. 4. Erweitern Sie den Ordner Server. 5. Erweitern Sie den Namen des Domänencontrollers. 6. Klicken Sie doppelt auf NTDSSettings, um die Verbindungsobjekte anzuzeigen (angezeigt werden die für die Replikation verwendeten eingehenden Verbindungen). In der Spalte Von Server finden Sie die Namen der Replikationspartner. Den Status der SYSVOL-Freigabe überprüfen Anmerkung Sie müssen dieses Verfahren nicht auf jedem Partner ausführen. Führen Sie jedoch genügend Tests aus, um sicherzustellen, dass die Systemvolumen auf den Partnern nicht beschädigt sind. Administrative Berechtigungen Um die folgenden Schritte ausführen zu können, müssen Sie Mitglied der Gruppe Domänen-Admins oder der Gruppe Organisations-Admins sein. Prüfen des Status der SYSVOL-Freigabe 1. Öffnen Sie die Ereignisanzeige. 2. Klicken Sie auf Dateireplikationsdienst. 3. Suchen Sie nach Ereignis 13516 mit einem Datum und Zeitstempel, der dem Zeitpunkt des Neustarts entspricht. Es kann bis zu 15 Minuten oder mehr dauern, bis das Ereignis angezeigt wird. Ereignis 13508 zeigt an, dass der FRS den Dienst gerade startet. 13509 zeigt an, dass der Dienst erfolgreich gestartet wurde. 4. Prüfen Sie, ob die Freigabe erstellt wurde, indem Sie sich mit net share eine Liste der freigegebenen Ordner anzeigen lassen. 5. Geben Sie den Befehl dcdiag /test:netlogons ein. 6. Suchen Sie nach einem Eintrag, der computername passed test NetLogons lautet. Wenn dieser Eintrag nicht angezeigt wird, gibt es ein Problem mit der Replikation. Der Test überprüft, ob die für die Replikation notwendigen Anmeldeprivilegien vorhanden sind. Wenn der Test fehlschlägt, überprüfen Sie die Berechtigungen für die Freigaben Net Logon und SYSVOL. Überprüfen der Replikation mit anderen Domänencontrollern Diese Tests prüfen verschiedene Aspekte der Replikationstopologie. Außerdem prüfen Sie, ob Objekte repliziert werden und ob die korrekten Anmeldeberechtigungen für die Replikation vorhanden sind. Administrative Berechtigungen Um die folgenden Schritte ausführen zu können, müssen Sie Mitglied der Gruppe Domänen-Admins oder der Gruppe Organisations-Admins sein. Prüfen der Replikation mit anderen Domänencontrollern 1. Öffnen Sie eine Eingabeaufforderung. 2. Geben Sie den folgenden Befehl ein, und drücken Sie dann die EINGABETASTE: dcdiag /test:replications Anmerkung Es steht zusätzlich die Option /v zur Verfügung. Sie zeigt jedoch keine wichtigen Informationen an. 3. Mit dem folgenden Verfahren prüfen Sie, ob die korrekten Berechtigungen für die Replikation vorhanden sind: dcdiag /test:netlogons Alle Tests sollten als erfolgreich angezeigt werden. Zusammenstellen der SYSVOLPfadinformationen Wenn Sie SYSVOL verschieben, dann verschieben Sie erst die gesamte Ordnerstruktur an einen neuen Speicherort. Aktualisieren Sie dann alle Bereitstellungspunkte und Parameter. Optional können Sie den Stagingbereich verschieben und den Rest des Systemvolumens am alten Speicherort belassen. In diesem Fall müssen Sie den Parameter fRSStagingPath im Verzeichnis und den Bereitstellungspunkt unter %systemroot%\SYSVOL\staging areas ändern. Administrative Berechtigungen Um die folgenden Schritte ausführen zu können, müssen Sie Mitglied der Gruppe Domänen-Admins oder der Gruppe Organisations-Admins sein. Rufen Sie die Pfadinformationen mit den unten angegebenen Verfahren ab, und halten Sie die Werte in der folgenden Tabelle fest. Um den Stagingbereich zu verschieben, benötigen Sie die Informationen aus Zeile 2 und 5. Anmerkung Zum Wiederherstellen von SYSVOL benötigen Sie Informationen zum Domänencontroller, die in den Zeilen 1, 2 und 3 festgehalten werden. In den Zeilen 4 und 5 halten Sie Informationen zu den Bereitstellungspunkten fest. Parameter 1 fRSRootPath 2 fRSStagingPath 3 Sysvol parameter in registry 4 Sysvol junction 5 Staging junction Aktueller Wert Neuer Wert Anhalten des Dateireplikationsdienstes Mit diesem Verfahren können Sie den Dateireplikationsdienst anhalten. Administrative Berechtigungen Um die Aufgabe durchführen zu können, müssen Sie Mitglied der Gruppe DomänenAdmins sein. Anhalten des Dateireplikationsdienstes 1. Öffnen Sie eine Eingabeaufforderung. 2. Führen Sie den folgenden Befehl aus: net stop ntfrs Erstellen der SYSVOL-Ordnerstruktur Der Ordner %systemroot%\SYSVOL befindet sich direkt im Windows-Systemvolumen. Es gibt außerdem einen Unterordner in %systemroot%\SYSVOL, der ebenfalls sysvol. heißt. Stellen Sie sicher, dass Sie nicht versehentlich diesen Ordner verschieben, sondern %systemroot%\SYSVOL. Administrative Berechtigungen Um die folgenden Schritte ausführen zu können, müssen Sie Mitglied der Gruppe Domänen-Admins oder der Gruppe Organisations-Admins sein. Erstellen der SYSVOL-Ordnerstruktur 1. Navigieren Sie im Windows Explorer zum SYSVOL-Ordner (standardmäßig %systemroot%\SYSVOL). 2. Klicken Sie mit rechts auf den SYSVOL-Ordner und dann auf Kopieren. 3. Navigieren Sie zum neuen Speicherort, und klicken Sie mit recht auf diesen. Klicken Sie auf Einfügen. 4. Prüfen Sie, ob die gesamte Ordnerstruktur korrekt kopiert wurde. Vergleichen Sie die beiden Ordnerstrukturen mit dem Befehl dir /s Festlegen des SYSVOL-Pfades Vorsicht Der Registrierungseditor umgeht die normalen Sicherheitsfunktionen. Sie können so Einstellungen vornehmen, die das System beschädigen können oder sogar dafür sorgen können, dass Windows neu installiert werden muss. Sichern Sie vor einer Bearbeitung der Registrierung den Systemstatus. Weitere Informationen hierzu finden Sie unter: Administering Active Directory Backup and Restore. Administrative Berechtigungen Um die folgenden Schritte ausführen zu können, müssen Sie Mitglied der Gruppe Domänen-Admins oder der Gruppe Organisations-Admins sein. Festlegen des SYSVOL-Pfades 1. Klicken Sie auf Start und auf Ausführen. Geben Sie regedit ein, und drücken Sie die EINGABETASTE. 2. Navigieren Sie zu HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netlogon\Parame ters. 3. Klicken Sie mit rechts auf SysVol und dann auf Ändern. 4. Geben Sie den neuen Pfad inklusive des Laufwerkbuchstabens ein, und klicken Sie auf OK. Anmerkung Der Pfad verweist auf den SYSVOL-Ordner, der sich innerhalb des SYSVOLOrdners befindet. Stellen Sie sicher, dass auch der neue Pfad auf den SYSVOLOrdner im SYSVOL-Ordner verweist. Festlegen des Staging Area-Pfades Mit diesem Verfahren ändern Sie den fRSStagingPath-Parameter für einen Domänencontroller. Führen Sie es auf dem Domänencontroller aus, der den zu konfigurierenden SYSVOL-Ordner hostet. Administrative Berechtigungen Um die folgenden Schritte ausführen zu können, müssen Sie Mitglied der Gruppe Domänen-Admins oder der Gruppe Organisations-Admins sein. Festlegen des Staging Area-Pfades 1. Klicken Sie auf Start, klicken Sie auf Ausführen, geben Sie adsiedit.msc ein, und drücken Sie die EINGABETASTE. 2. Klicken Sie doppelt auf Domain [computername] (wobei computername der Name des Domänencontrollers ist). Stellen Sie sicher, dass die Domäne bis zum Ordner DC= erweitert wird. 3. Klicken Sie auf DC, um die Container und OUs anzuzeigen. 4. Klicken Sie doppelt auf OU=Domain Controllers. 5. Klicken Sie doppelt auf den Container, der dem Domänencontroller entspricht (CN=computername). 6. Klicken Sie auf den Container CN=NTFRS Subscriptions. 7. Klicken Sie mit rechts auf CN=Domain System Volume und dann auf Eigenschaften. 8. Stellen Sie sicher, dass Verpflichtende Attribute anzeigen ausgewählt ist. 9. Suchen Sie unter Attribute nach fRSRootPath, und klicken Sie auf Bearbeiten. Geben Sie den neuen Pfad ein, und klicken Sie auf OK. 10. Schließen Sie ADSI-Edit. 11. Öffnen Sie eine Eingabeaufforderung. 12. Wechseln Sie zum Ordner %systemroot%\SYSVOL\staging areas. 13. Führen Sie den folgenden Befehl aus: dir Überprüfen Sie, ob <JUNCTION> in der Ausgabe auftaucht. 14. Aktualisieren Sie den Bereitstellungspunkt so, dass er auf den neuen Speicherort verweist: linkd NameDesBereitstellungspunktes neuerpfad Wobei neuerpfad der Wert ist, den Sie vorher unter fRSStagingPath eingetragen haben. Vorbereiten eines Domänencontrollers für einen nicht autorisierenden SYSVOLNeustart Durch das Bearbeiten der BurFlags-Registrierungseinträge (Backup/Restore-Flags) können Sie einen nicht autorisierenden SYSVOL-Neustart initiieren. Setzen Sie den Wert auf D2 (Hexadecimal) oder 210 (Dezimal), und beim nächsten Start des Domänencontrollers wird der SYSVOL-Neustart durchgeführt. Es gibt die folgenden Einträge: Um einen SYSVOL-Neustart zu erreichen, wenn es nur diesen einen Replikationssatz für den Domänencontroller gibt, verwenden Sie den Wert unter HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\NtFrs\Parameter s\Backup/Restore\Process at Startup Wenn es andere Replikationssätze gibt und Sie SYSVOL nur aktualisieren möchten, verwenden Sie den Wert unter HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\NtFrs\Parameter s\Cumulative Replica Sets\SYSVOL GUID Vorsicht Der Registrierungseditor umgeht die normalen Sicherheitsfunktionen. Sie können so Einstellungen vornehmen, die das System beschädigen können oder sogar dafür sorgen können, dass Windows neu installiert werden muss. Sichern Sie vor einer Bearbeitung der Registrierung den Systemstatus. Weitere Informationen hierzu finden Sie unter: Administering Active Directory Backup and Restore. Administrative Berechtigungen Um die folgenden Schritte ausführen zu können, müssen Sie Mitglied der Gruppe Domänen-Admins oder der Gruppe Organisations-Admins sein. Vorbereiten eines Domänencontrollers auf einen nicht autorisierenden SYSVOL-Neustart 1. Klicken Sie auf Start und Ausführen. Geben Sie regedit ein, und klicken auf OK. 2. Navigieren Sie zu HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\NtFrs\Parameters 3. Erweitern Sie Parameters. 4. Bearbeiten Sie einen der BurFlags-Einträge wie folgt: a. Erweitern Sie Backup/Restore, und klicken Sie auf Process at Startup. b. Klicken Sie rechts auf BurFlags und dann auf Bearbeiten. c. Geben Sie D2 als Hexadezimalwert oder 210 als Dezimalwert ein. d. Klicken Sie auf OK. oder a. Erweitern Sie Cumulative Replica Sets und Replica Sets. b. Suchen Sie nach der GUID unter Replica Sets, die der GUID unter Cumulative Replica Sets entspricht, und klicken Sie auf die entsprechende GUID unter Cumulative Replica Sets. c. Klicken Sie rechts auf BurFlags und dann auf Bearbeiten. d. Geben Sie D2 als Hexadezimalwert oder 210 als Dezimalwert ein. e. Klicken Sie auf OK. Aktualisieren der Sicherheitseinstellungen für den neuen SYSVOL-Ordner Mit diesem Verfahren wenden Sie die Standardsicherheitseinstellungen auf den neuen SYSVOL-Ordner an. Diese entsprechen denen direkt nach der Active DirectoryInstallation. Wenn es zusätzliche Sicherheitseinstellungen gab, müssen Sie diese manuell hinzufügen. Vorsicht Das fehlerhafte Setzen von Sicherheitseinstellungen kann zu nicht autorisierten Zugriffen auf An- und Abmeldescripte und auf GPOs führen. Administrative Berechtigungen Um die folgenden Schritte ausführen zu können, müssen Sie Mitglied der Gruppe Domänen-Admins oder der Gruppe Organisations-Admins sein. Aktualisieren der Sicherheitseinstellungen für den neuen SYSVOL-Ordner 1. Klicken Sie auf Start und auf Ausführen. Geben Sie regedit ein, und drücken Sie die EINGABETASTE. 2. Navigieren Sie zu HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\ Services\Netlogon\Parameters. Notieren Sie sich den Pfad unter SysVol. 3. Klicken Sie in der Systemsteuerung doppelt auf System. 4. Klicken Sie unter Erweitert auf Umgebungsvariablen. 5. Klicken Sie unter Systemvariablen auf Neu. 6. Geben Sie als Variablename den Wert sysvol ein. 7. Geben Sie als Variablenwert den Pfad ein, den Sie in Schritt 2 notiert haben. 8. Klicken Sie dreimal auf OK. 9. Öffnen Sie Notepad, und geben Sie folgendes ein: [Unicode] Unicode=yes [Version] signature=”$CHICAGO$” Revision=1 [Profile Description] Description=default perms for sysvol [File Security] ;”%SystemRoot%\SYSVOL”,0,”D:AR(A;OICI;FA;;;BA)” “%Sysvol%”,2,”D:P(A;CIOI;GRGX;;;AU)(A;CIOI;GRGX;;;SO) (A;CIOI;GA;;;BA)(A;CIOI;GA;;;SY)(A;CIOI;GA;;;CO)” “%Sysvol%\domain\policies”,2,”D:P(A;CIOI;GRGX;;;AU) (A;CIOI;GRGX;;;SO)(A;CIOI;GA;;;BA)(A;CIOI;GA;;;SY) (A;CIOI;GA;;;CO)(A;CIOI;GRGWGXSD;;;PA)” Speichern Sie die Datei als Sysvol.inf. Anmerkung Do not include a space after (A;CIOI;GRGX;;;SO), (A;CIOI;GRGX;;;AU), or (A;CIOI;GA;;;SY). 10. Öffnen Sie eine Eingabeaufforderung. Verwenden Sie keine vorhandene Eingabeaufforderung (diese verfügt noch nicht über die notwendigen Umgebungsvariablen). Wechseln Sie zum Ordner mit der Datei Sysvol.inf. 11. Führen Sie den folgenden Befehl aus: SECEDIT /Configure /cfg sectemplatepfad\sysvol.inf /db sectemplatepfad\sysvol.db /overwrite Wobei sectemplatepfad der Pfad ist, unter dem Sie die Datei Sysvol.inf gespeichert haben. Starten des Dateireplikationsdienstes Administrative Berechtigungen Um das unten aufgeführte Verfahren ausführen zu können, müssen Sie Mitglied der Gruppe Domänen-Admins sein. Starten des Dateireplikationsdienstes 1. Öffnen Sie eine Eingabeaufforderung. 2. Führen Sie den folgenden Befehl aus: net start ntfrs 3. Mit der Ereignisanzeige können Sie überprüfen, ob NTFRS korrekt gestartet wurde. Ereignis-ID 13501 zeigt an, dass der Dienst neu gestartet wurde. Mit Ereignis-ID 13516 wird angezeigt, dass der Domänencontroller ausgeführt wird und bereit ist. Ereignis-IDs 13553 und 13556 zeigen ein erfolgreiches Verschieben an. Aktualisierung des SystemvolumenPfades Wenn sich Laufwerksbuchstaben ändern und sich der SYSVOL- oder Staging AreaOrdner auf dem betreffenden Laufwerk befinden, kann der FRS diese nicht mehr finden. Sie müssen die entsprechenden Pfade aktualisieren. Außerdem sind eine Aktualisierung der Bereitstellungspunkte und ein Neustart des FRS erforderlich. Anforderungen Um die unten beschriebenen Aufgaben ausführen zu können, sind die folgenden Tools notwendig: ADSI Edit.msc Net.exe Regedit.exe Linkd.exe Um diese Aufgabe auszuführen, müssen Sie die folgenden Schritte in der unten genannten Reihenfolge durchführen: 1. Zusammenstellen der SYSVOL-Pfadinformationen 2. Anhalten des Dateireplikationsdienstes 3. Festlegen des SYSVOL-Pfades 4. Festlegen des Staging Area-Pfades 5. Starten des Dateireplikationsdienstes Zusammenstellen der SYSVOLPfadinformationen Wenn Sie SYSVOL verschieben, dann verschieben Sie erst die gesamte Ordnerstruktur an einen neuen Speicherort. Aktualisieren Sie dann alle Bereitstellungspunkte und Parameter. Optional können Sie den Stagingbereich verschieben und den Rest des Systemvolumens am alten Speicherort belassen. In diesem Fall müssen Sie den Parameter fRSStagingPath im Verzeichnis und den Bereitstellungspunkt unter %systemroot%\SYSVOL\staging areas ändern. Administrative Berechtigungen Um die folgenden Schritte ausführen zu können, müssen Sie Mitglied der Gruppe Domänen-Admins oder der Gruppe Organisations-Admins sein. Rufen Sie die Pfadinformationen mit den unten angegebenen Verfahren ab, und halten Sie die Werte in der folgenden Tabelle fest. Um den Stagingbereich zu verschieben, benötigen Sie die Informationen aus Zeile 2 und 5. Anmerkung Zum Wiederherstellen von SYSVOL benötigen Sie Informationen zum Domänencontroller, die in den Zeilen 1, 2 und 3 festgehalten werden. In den Zeilen 4 und 5 halten Sie Informationen zu den Bereitstellungspunkten fest. Parameter 1 fRSRootPath 2 fRSStagingPath 3 Sysvol parameter in registry Aktueller Wert Neuer Wert Parameter 4 Sysvol junction 5 Staging junction Aktueller Wert Neuer Wert Anhalten des Dateireplikationsdienstes Mit diesem Verfahren können Sie den Dateireplikationsdienst anhalten. Administrative Berechtigungen Um die Aufgabe durchführen zu können, müssen Sie Mitglied der Gruppe DomänenAdmins sein. Anhalten des Dateireplikationsdienstes 1. Öffnen Sie eine Eingabeaufforderung. 2. Führen Sie den folgenden Befehl aus: net stop ntfrs Festlegen des SYSVOL-Pfades Vorsicht Der Registrierungseditor umgeht die normalen Sicherheitsfunktionen. Sie können so Einstellungen vornehmen, die das System beschädigen können oder sogar dafür sorgen können, dass Windows neu installiert werden muss. Sichern Sie vor einer Bearbeitung der Registrierung den Systemstatus. Weitere Informationen hierzu finden Sie unter: Administering Active Directory Backup and Restore. Administrative Berechtigungen Um die folgenden Schritte ausführen zu können, müssen Sie Mitglied der Gruppe Domänen-Admins oder der Gruppe Organisations-Admins sein. Festlegen des SYSVOL-Pfades 1. Klicken Sie auf Start und auf Ausführen. Geben Sie regedit ein, und drücken Sie die EINGABETASTE. 2. Navigieren Sie zu HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netlogon\Parame ters. 3. Klicken Sie mit rechts auf SysVol und dann auf Ändern. 4. Geben Sie den neuen Pfad inklusive des Laufwerkbuchstabens ein, und klicken Sie auf OK. Anmerkung Der Pfad verweist auf den SYSVOL-Ordner, der sich innerhalb des SYSVOLOrdners befindet. Stellen Sie sicher, dass auch der neue Pfad auf den SYSVOLOrdner im SYSVOL-Ordner verweist. Festlegen des Staging Area-Pfades Mit diesem Verfahren ändern Sie den fRSStagingPath-Parameter für einen Domänencontroller. Führen Sie es auf dem Domänencontroller aus, der den zu konfigurierenden SYSVOL-Ordner hostet. Administrative Berechtigungen Um die folgenden Schritte ausführen zu können, müssen Sie Mitglied der Gruppe Domänen-Admins oder der Gruppe Organisations-Admins sein. Festlegen des Staging Area-Pfades 1. Klicken Sie auf Start, klicken Sie auf Ausführen, geben Sie adsiedit.msc ein, und drücken Sie die EINGABETASTE. 2. Klicken Sie doppelt auf Domain [computername] (wobei computername der Name des Domänencontrollers ist). Stellen Sie sicher, dass die Domäne bis zum Ordner DC= erweitert wird. 3. Klicken Sie auf DC, um die Container und OUs anzuzeigen. 4. Klicken Sie doppelt auf OU=Domain Controllers. 5. Klicken Sie doppelt auf den Container, der dem Domänencontroller entspricht (CN=computername). 6. Klicken Sie auf den Container CN=NTFRS Subscriptions. 7. Klicken Sie mit rechts auf CN=Domain System Volume und dann auf Eigenschaften. 8. Stellen Sie sicher, dass Verpflichtende Attribute anzeigen ausgewählt ist. 9. Suchen Sie unter Attribute nach fRSRootPath, und klicken Sie auf Bearbeiten. Geben Sie den neuen Pfad ein, und klicken Sie auf OK. 10. Schließen Sie ADSI-Edit. 11. Öffnen Sie eine Eingabeaufforderung. 12. Wechseln Sie zum Ordner %systemroot%\SYSVOL\staging areas. 13. Führen Sie den folgenden Befehl aus: dir Überprüfen Sie, ob <JUNCTION> in der Ausgabe auftaucht. 14. Aktualisieren Sie den Bereitstellungspunkt so, dass er auf den neuen Speicherort verweist: linkd NameDesBereitstellungspunktes neuerpfad Wobei neuerpfad der Wert ist, den Sie vorher unter fRSStagingPath eingetragen haben. Starten des Dateireplikationsdienstes Administrative Berechtigungen Um das unten aufgeführte Verfahren ausführen zu können, müssen Sie Mitglied der Gruppe Domänen-Admins sein. Starten des Dateireplikationsdienstes 1. Öffnen Sie eine Eingabeaufforderung. 2. Führen Sie den folgenden Befehl aus: net start ntfrs 3. Mit der Ereignisanzeige können Sie überprüfen, ob NTFRS korrekt gestartet wurde. Ereignis-ID 13501 zeigt an, dass der Dienst neu gestartet wurde. Mit Ereignis-ID 13516 wird angezeigt, dass der Domänencontroller ausgeführt wird und bereit ist. Ereignis-IDs 13553 und 13556 zeigen ein erfolgreiches Verschieben an. Wiederherstellen und Wiederaufbauen von SYSVOL Wenn das Verschieben von SYSVOL oder eine andere Aktion fehlschlägt, müssen Sie SYSVOL möglicherweise auf einem einzelnen Domänencontroller wiederherstellen oder neu erstellen. Versuchen Sie eine Wiederherstellung nur dann, wenn SYSVOL auf allen anderen Domänencontrollern korrekt arbeitet. Versuchen Sie nicht SYSVOL wiederherzustellen, bevor Sie nicht mögliche Probleme mit dem FRS innerhalb der Domäne behoben haben. Verwenden Sie die unten genannten Verfahren nur dann, wenn Sie es mit einem Domänencontroller zu tun haben, der nicht über ein funktionierendes SYSVOL verfügt. Anforderungen Um die unten beschriebenen Aufgaben ausführen zu können, sind die folgenden Tools notwendig: Active Directory-Standorte und -Dienste Ereignisanzeige Dcdiag.exe ADSIEdit.msc Net.exe Regedit.exe Windows Explorer Linkd.exe Ultrasound Um diese Aufgabe auszuführen, sind die folgenden Schritte in der unten genannten Reihenfolge notwendig: 1. Identifizieren der Replikationspartner 2. Den Status der SYSVOL-Freigabe überprüfen Da Sie das Systemvolumen von einem der Partner kopieren, müssen Sie sicherstellen, dass dieses aktuell ist. 3. Überprüfen der Replikation mit anderen Domänencontrollern 4. Lokaler Neustart des Domänencontrollers im Verzeichnisdienstwiederherstellungsmodus 5. Zusammenstellen der SYSVOL-Pfadinformationen 6. Anhalten des Dateireplikationsdienstes 7. Vorbereiten eines Domänencontrollers für einen nicht autorisierenden SYSVOLNeustart 8. Import der SYSVOL-Ordnerstruktur 9. Starten des Dateireplikationsdienstes 10. Den Status der SYSVOL-Freigabe überprüfen Identifizieren der Replikationspartner Mit diesem Verfahren überprüfen Sie die Verbindungsobjekte eines Domänencontrollers und ermitteln seine Replikationspartner fest. Administrative Berechtigungen Damit Sie dieses Verfahren durchführen können, müssen Sie Mitglied der Gruppe Domänen-Admins sein. Identifizieren von Replikationspartnern 1. Öffnen Sie Active Directory-Standorte und -Dienste. 2. Erweitern Sie den Container Standorte. 3. Klicken Sie doppelt auf den Standort, in dem sich der Domänencontroller befindet. Anmerkung Wenn Sie nicht wissen, wo sich der Domänencontroller befindet, geben Sie in einer Eingabeaufforderung den Befehl ipconfig ein und fragen so die IP-Adresse des Domänencontrollers ab. Vergleichen Sie die IPAdresse mit den Subnetzen, und ermitteln Sie so den Standort. 4. Erweitern Sie den Ordner Server. 5. Erweitern Sie den Namen des Domänencontrollers. 6. Klicken Sie doppelt auf NTDSSettings, um die Verbindungsobjekte anzuzeigen (angezeigt werden die für die Replikation verwendeten eingehenden Verbindungen). In der Spalte Von Server finden Sie die Namen der Replikationspartner. Den Status der SYSVOL-Freigabe überprüfen Anmerkung Sie müssen dieses Verfahren nicht auf jedem Partner ausführen. Führen Sie jedoch genügend Tests aus, um sicherzustellen, dass die Systemvolumen auf den Partnern nicht beschädigt sind. Administrative Berechtigungen Um die folgenden Schritte ausführen zu können, müssen Sie Mitglied der Gruppe Domänen-Admins oder der Gruppe Organisations-Admins sein. Prüfen des Status der SYSVOL-Freigabe 1. Öffnen Sie die Ereignisanzeige. 2. Klicken Sie auf Dateireplikationsdienst. 3. Suchen Sie nach Ereignis 13516 mit einem Datum und Zeitstempel, der dem Zeitpunkt des Neustarts entspricht. Es kann bis zu 15 Minuten oder mehr dauern, bis das Ereignis angezeigt wird. Ereignis 13508 zeigt an, dass der FRS den Dienst gerade startet. 13509 zeigt an, dass der Dienst erfolgreich gestartet wurde. 4. Prüfen Sie, ob die Freigabe erstellt wurde, indem Sie sich mit net share eine Liste der freigegebenen Ordner anzeigen lassen. 5. Geben Sie den Befehl dcdiag /test:netlogons ein. 6. Suchen Sie nach einem Eintrag, der computername passed test NetLogons lautet. Wenn dieser Eintrag nicht angezeigt wird, gibt es ein Problem mit der Replikation. Der Test überprüft, ob die für die Replikation notwendigen Anmeldeprivilegien vorhanden sind. Wenn der Test fehlschlägt, überprüfen Sie die Berechtigungen für die Freigaben Net Logon und SYSVOL. Überprüfen der Replikation mit anderen Domänencontrollern Diese Tests prüfen verschiedene Aspekte der Replikationstopologie. Außerdem prüfen Sie, ob Objekte repliziert werden und ob die korrekten Anmeldeberechtigungen für die Replikation vorhanden sind. Administrative Berechtigungen Um die folgenden Schritte ausführen zu können, müssen Sie Mitglied der Gruppe Domänen-Admins oder der Gruppe Organisations-Admins sein. Prüfen der Replikation mit anderen Domänencontrollern 1. Öffnen Sie eine Eingabeaufforderung. 2. Geben Sie den folgenden Befehl ein, und drücken Sie dann die EINGABETASTE: dcdiag /test:replications Anmerkung Es steht zusätzlich die Option /v zur Verfügung. Sie zeigt jedoch keine wichtigen Informationen an. 3. Mit dem folgenden Verfahren prüfen Sie, ob die korrekten Berechtigungen für die Replikation vorhanden sind: dcdiag /test:netlogons Alle Tests sollten als erfolgreich angezeigt werden. Lokaler Neustart des Domänencontrollers im Verzeichnisdienstwiederherstellungsmod us Wenn Sie physischen Zugriff auf den Domänecontroller haben, können Sie diesen lokal im Verzeichnisdienstwiederherstellungsmodus starten. Im Verzeichnisdienstwiederherstellungsmodus wird das lokale Administratorkonto über die Security Accounts Manager-Datenbank (SAM) überprüft. Daher benötigen Sie das Wiederherstellungskennwort - nicht das normale Administratorkennwort. Administrative Berechtigungen Um dieses Verfahren durchführen zu können, benötigen Sie das Verzeichnisdienstwiederherstellungskennwort. Lokaler Neustart des Domänencontrollers im Verzeichnisdienstwiederherstellungsmodus 1. Starten Sie den Domänencontroller neu. 2. Wenn die Betriebssystemauswahl angezeigt wird, drücken Sie F8. 3. Wählen Sie unter Erweiterte Optionen die Option Verzeichnisdienstwiederherstellungsmodus. 4. Melden Sie sich als lokaler Administrator an. Siehe auch Neustart des Domänencontrollers im Verzeichnisdienstwiederherstellungsmodus von einem Remotestandort aus Zusammenstellen der SYSVOLPfadinformationen Wenn Sie SYSVOL verschieben, dann verschieben Sie erst die gesamte Ordnerstruktur an einen neuen Speicherort. Aktualisieren Sie dann alle Bereitstellungspunkte und Parameter. Optional können Sie den Stagingbereich verschieben und den Rest des Systemvolumens am alten Speicherort belassen. In diesem Fall müssen Sie den Parameter fRSStagingPath im Verzeichnis und den Bereitstellungspunkt unter %systemroot%\SYSVOL\staging areas ändern. Administrative Berechtigungen Um die folgenden Schritte ausführen zu können, müssen Sie Mitglied der Gruppe Domänen-Admins oder der Gruppe Organisations-Admins sein. Rufen Sie die Pfadinformationen mit den unten angegebenen Verfahren ab, und halten Sie die Werte in der folgenden Tabelle fest. Um den Stagingbereich zu verschieben, benötigen Sie die Informationen aus Zeile 2 und 5. Anmerkung Zum Wiederherstellen von SYSVOL benötigen Sie Informationen zum Domänencontroller, die in den Zeilen 1, 2 und 3 festgehalten werden. In den Zeilen 4 und 5 halten Sie Informationen zu den Bereitstellungspunkten fest. Parameter 1 fRSRootPath 2 fRSStagingPath 3 Sysvol parameter in registry Aktueller Wert Neuer Wert Parameter 4 Sysvol junction 5 Staging junction Aktueller Wert Neuer Wert Anhalten des Dateireplikationsdienstes Mit diesem Verfahren können Sie den Dateireplikationsdienst anhalten. Administrative Berechtigungen Um die Aufgabe durchführen zu können, müssen Sie Mitglied der Gruppe DomänenAdmins sein. Anhalten des Dateireplikationsdienstes 1. Öffnen Sie eine Eingabeaufforderung. 2. Führen Sie den folgenden Befehl aus: net stop ntfrs Vorbereiten eines Domänencontrollers für einen nicht autorisierenden SYSVOLNeustart Durch das Bearbeiten der BurFlags-Registrierungseinträge (Backup/Restore-Flags) können Sie einen nicht autorisierenden SYSVOL-Neustart initiieren. Setzen Sie den Wert auf D2 (Hexadecimal) oder 210 (Dezimal), und beim nächsten Start des Domänencontrollers wird der SYSVOL-Neustart durchgeführt. Es gibt die folgenden Einträge: Um einen SYSVOL-Neustart zu erreichen, wenn es nur diesen einen Replikationssatz für den Domänencontroller gibt, verwenden Sie den Wert unter HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\NtFrs\Parameter s\Backup/Restore\Process at Startup Wenn es andere Replikationssätze gibt und Sie SYSVOL nur aktualisieren möchten, verwenden Sie den Wert unter HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\NtFrs\Parameter s\Cumulative Replica Sets\SYSVOL GUID Vorsicht Der Registrierungseditor umgeht die normalen Sicherheitsfunktionen. Sie können so Einstellungen vornehmen, die das System beschädigen können oder sogar dafür sorgen können, dass Windows neu installiert werden muss. Sichern Sie vor einer Bearbeitung der Registrierung den Systemstatus. Weitere Informationen hierzu finden Sie unter: Administering Active Directory Backup and Restore. Administrative Berechtigungen Um die folgenden Schritte ausführen zu können, müssen Sie Mitglied der Gruppe Domänen-Admins oder der Gruppe Organisations-Admins sein. Vorbereiten eines Domänencontrollers auf einen nicht autorisierenden SYSVOL-Neustart 1. Klicken Sie auf Start und Ausführen. Geben Sie regedit ein, und klicken auf OK. 2. Navigieren Sie zu HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\NtFrs\Parameters 3. Erweitern Sie Parameters. 4. Bearbeiten Sie einen der BurFlags-Einträge wie folgt: a. Erweitern Sie Backup/Restore, und klicken Sie auf Process at Startup. b. Klicken Sie rechts auf BurFlags und dann auf Bearbeiten. c. Geben Sie D2 als Hexadezimalwert oder 210 als Dezimalwert ein. d. Klicken Sie auf OK. oder a. Erweitern Sie Cumulative Replica Sets und Replica Sets. b. Suchen Sie nach der GUID unter Replica Sets, die der GUID unter Cumulative Replica Sets entspricht, und klicken Sie auf die entsprechende GUID unter Cumulative Replica Sets. c. Klicken Sie rechts auf BurFlags und dann auf Bearbeiten. d. Geben Sie D2 als Hexadezimalwert oder 210 als Dezimalwert ein. e. Klicken Sie auf OK. Import der SYSVOL-Ordnerstruktur Mit diesem Verfahren können Sie die SYSVOL-Ordnerstruktur von einem anderen Domänencontroller kopieren. Damit Sie das beschriebene Verfahren nutzen können, muss die Standardfreigabe Admin$ auf dem Domänencontroller vorhanden sein, auf den Sie die Ordnerstruktur kopieren möchten. Sollte die Freigabe nicht vorhanden sein, müssen Sie den Ordner %systemroot% freigeben und die Freigabe in Admin$ umbenennen. Wenn Sie %systemroot% freigeben, stellen Sie sicher, dass Sie die Freigabe hinterher wieder entfernen. Sollte Admin$ nur umbenannt worden sein, verwenden Sie statt Admin$ den neuen Namen. Vorsicht Kopieren Sie keine Informationen von einem SYSVOL auf einem Domänencontroller in ein SYSVOL auf einem anderen Domänencontroller, ohne vorher den FRS angehalten und SYSVOL für eine nicht autorisierende Wiederherstellung konfiguriert zu haben. Wenn Sie dies vergessen, kann es sein, dass die Daten nicht mehr repliziert werden können und inkonsistent werden. Administrative Berechtigungen Um die folgenden Schritte ausführen zu können, müssen Sie Mitglied der Gruppe Domänen-Admins oder der Gruppe Organisations-Admins sein. Import der SYSVOL-Ordnerstruktur 1. Öffnen Sie den Windows Explorer. 2. Navigieren Sie zum vorhandenen %systemroot%\SYSVOL, den Sie neu erstellen möchten, und löschen Sie diesen. 3. Verbinden Sie sich mit der Freigabe Admin$ auf dem Domänencontroller, den Sie als Replikationspartner identifiziert haben und von dem die Ordnerstruktur kopiert werden soll. 4. Klicken Sie dann mit rechts auf den SYSVOL-Ordner und auf Kopieren. 5. Klicken Sie im gleichen Ordner irgendwo mit rechts auf den Hintergrund, und klicken Sie auf Einfügen. Wenn ein Dialogfenster angezeigt wird, das Sie darüber informiert, dass Dateien bereits vorhanden sind, klicken Sie jedes Mal auf Nein. 6. Prüfen Sie, ob nun der Original SYSVOL-Ordner und ein neuer Ordner mit dem Namen Kopie von SYSVOL vorhanden sind. Klicken Sie mit rechts auf Kopie von SYSVOL und auf Umbenennen. Geben Sie SYSVOL2 ein, und drücken Sie die EINGABETASTE. 7. Öffnen Sie eine Eingabeaufforderung. Wechseln Sie zu dem Laufwerk, unter dem Sie mit dem Remotedomänencontroller verbunden sind. 8. Wechseln Sie in das Verzeichnis SYSVOL2\sysvol. 9. Geben Sie dir ein. Prüfen Sie, ob der Eintrag <JUNCTION> gefolgt vom Namen der Domäne in der Ausgabe auftaucht. 10. Sie müssen den Pfad für diesen Bereitstellungspunkt auf den neuen Speicherort aktualisieren. Geben Sie den folgenden Befehl ein: linkd NameDesBereitstellungspunktes NeuePfad Wobei NeuerPfad der neue Pfad ist, den Sie in Zeile 4 der Tabelle in der Aufgabe Zusammenstellen der SYSVOL-Pfadinformationen festgehalten haben. 11. Wenn Staging Area verschoben wurde und sich nicht in SYSVOL befindet, überspringen Sie die Schritte 10 und 11 und fahren mit Schritt 12 fort. Wechseln Sie in der Eingabeaufforderung zum Ordner \SYSVOL2\staging areas. Geben Sie dir ein, und prüfen Sie, ob <JUNCTION> in der Ausgabe erscheint. 12. Sie müssen den Pfad für diesen Bereitstellungspunkt auf den neuen Speicherort aktualisieren. Geben Sie den folgenden Befehl ein: linkd NameDesBereitstellungspunktes NeuePfad Wobei NeuerPfad der neue Pfad ist, den Sie in Zeile 5 der Tabelle in der Aufgabe Zusammenstellen der SYSVOL-Pfadinformationen festgehalten haben. 13. Wechseln Sie zum Pfad %systemroot% des Domänencontrollers, den Sie reparieren. 14. Verwenden Sie den Befehl Xcopy, um den Ihnalt von \SYSVOL2 in einen neuen SYSVOL-Ordner auf dem lokalen Laufwerk zu kopieren. Verwenden Sie den folgenden Befehl: xcopy laufwerk:\sysvol2\*.* sysvol\*.* /s /e /h /c /y Wobei laufwerk der Laufwerksbuchstabe ist, unter dem Sie mit dem Remotedomänencontroller verbunden sind. 15. Prüfen Sie, ob die Ordnerstruktur korrekt kopiert wurde. Vergleichen Sie die Ordnerstruktur mit SYSVOL auf dem Remotedomänencontroller (nicht mit SYSVOL2). Verwenden Sie den Befehl dir, um die Inhalte des Ordners anzeigen zu lassen. 16. Entfernen Sie den Ordner SYSVOL2 vom Remotedomänencontroller. 17. Trennen Sie die Verbindung mit dem Remotedomänencontroller. Wenn Sie eine Freigabe erstellt hatten, entfernen Sie diese nun wieder. 18. Starten Sie den Domänencontroller im normalen Modus neu. Starten des Dateireplikationsdienstes Administrative Berechtigungen Um das unten aufgeführte Verfahren ausführen zu können, müssen Sie Mitglied der Gruppe Domänen-Admins sein. Starten des Dateireplikationsdienstes 1. Öffnen Sie eine Eingabeaufforderung. 2. Führen Sie den folgenden Befehl aus: net start ntfrs 3. Mit der Ereignisanzeige können Sie überprüfen, ob NTFRS korrekt gestartet wurde. Ereignis-ID 13501 zeigt an, dass der Dienst neu gestartet wurde. Mit Ereignis-ID 13516 wird angezeigt, dass der Domänencontroller ausgeführt wird und bereit ist. Ereignis-IDs 13553 und 13556 zeigen ein erfolgreiches Verschieben an. Administration des globalen Katalogs In diesem Kapitel finden Sie Informationen zur Administration des globalen Katalogs von Active Directory unter Microsoft Windows Server 2003. Das Kapitel umfasst die folgenden Abschnitte: Einführung in die Administration des globalen Katalogs Verwaltung des globalen Katalogs Danksagung Veröffentlicht: März 2005 Betrifft: Windows Server 2003 SP1 Erstellt von: Microsoft Windows Server User Assistance Team Autor: Mary Hillman Redaktion: Jim Becker Einführung in die Administration des globalen Katalogs Globale Katalog Server dienen zur gesamtstrukturweiten Suche im Verzeichnis und zur Durchführung von Clientanmeldungen, wenn universelle Gruppen verwendet werden (dies ist der Fall, wenn eine Domäne in der Funktionsebene Windows Server 2003 oder Windows 2000 pur arbeitet). Wenn universelle Gruppen zur Verfügung stehen, muss ein Domänencontroller in der Lage sein, einen globalen Katalogserver abzufragen, um eine Anmeldeanforderung bearbeiten zu können. Platzierung des globalen Katalogs Die Platzierung von globalen Katalog Servern innerhalb der Standorte geschieht bei der Bereitstellung der Gesamtstruktur. Wenn die Gesamtstruktur wächst, kann es notwendig sein, weitere globale Katalog Server bereitzustellen. Um die Anmelde- und Suchgeschwindigkeit zu verbessern, sollte sich mindestens ein globaler Katalog an jedem Standort befinden, und mindestens zwei, wenn der Standort über mehrere Domänencontroller verfügt. Als Best Practice sollte die Hälfte der Domänencontroller in einem Standort als globaler Katalog konfiguriert sein, wenn es mehr als drei Domänencontroller gibt. Wenn es nur eine Domäne gibt, konfigurieren Sie alle Domänencontroller als globalen Katalog. Bei der Platzierung von globalen Katalog Servern sollten Sie die folgenden Überlegungen anstellen: Hat ein Standort keinen globalen Katalog? Welche Domänencontroller sind in einem Standort als globaler Katalog vorgesehen? Initiale Replikation des globalen Katalogs Wenn Sie einen globalen Katalog zu einem Standort hinzufügen, aktualisiert der KCC (Knowledge Consistency Checker) die Replikationstopologie. Beim Hinzufügen weiterer globaler Kataloge ist nur eine Replikation innerhalb des Standortes notwendig. Die Netzwerkleistung wird somit nicht beeinträchtigt. Dies passiert nur, wenn der erste globale Katalog zu einem Standort hinzugefügt wird. Hierbei hängen die Auswirkungen auf die Leistung von den folgenden Faktoren ab: Der Geschwindigkeit und Zuverlässigkeit der WAN-Verbindungen des Standortes. Der Größe der Gesamtstruktur. Verfügbarkeit des globalen Katalogs Der globale Katalog steht den Clients zur Verfügung, wenn er über das DNS als globaler Katalog Server identifizierbar ist. Bevor dies der Fall ist, müssen jedoch mehrere Bedingungen erfüllt sein. Diese Bedingungen werden in sieben Stufen unterteilt (0 bis 6) und werden Betriebslevel genannt. Auf jedem Level muss ein bestimmtes Maß an Synchronisation erreicht sein, bevor zum nächsten Level gewechselt wird. Standardmäßig müssen bei Domänencontrollern unter Windows Server 2003 alle Level abgeschlossen sein, bevor der globale Katalog zur Verwendung bereit ist. Auf Level 6 sind alle teilweisen nur lesbaren Verzeichnispartitionen erfolgreich an den globalen Katalog repliziert worden. Wenn die Anforderungen aller Level erfüllt sind, registriert der NetLogon-Dienst auf dem globalen Katalog Server einen DNS-Diensteintrag (SRV), der den Domänencontroller innerhalb des Standortes und der Gesamtstruktur als globalen Katalog identifiziert. Zusammenfassend bedeutet das also, dass ein globaler Katalog für die Clients bereit ist, wenn die folgenden Ereignisse in dieser Reihenfolge aufgetreten sind: Alle Betriebslevel sind abgeschlossen. Das rootDSE-Attribut isGlobalCatalogReady ist auf TRUE gesetzt. Der NetLogon-Dienst auf dem Domänencontroller hat den DNS mit einem SRVEintrag aktualisiert. Zu diesem Zeitpunkt kann der globale Katalog über Port 3268 und 3269 abgefragt werden. Entfernen des globalen Katalogs Wenn Sie den globalen Katalog entfernen, hört der Domänencontroller sofort damit auf, sich im DNS als globaler Katalog Server einzutragen. Der KCC entfernt die nur lesbaren Repliken vom Domänencontroller. Bei Domänencontrollern unter Windows Server 2003 passiert dies im Hintergrund - so wird der normale Betrieb nicht beeinflusst. Ein Grund, aus dem Sie möglicherweise einen globalen Katalog entfernen möchten, ist die Verfügbarkeit des Cachings für universelle Gruppemitgliedschaften unter Windows Server 2003. An bestimmten Standorten kann es sein, dass somit kein globaler Katalog mehr erforderlich ist. Die minimalen Hardwareanforderungen für globale Katalog Server hängen von der Anzahl der Benutzer in einem Standort ab. Informationen zu dem benötigten Festplattenplatz und zur Datenbankspeicherung finden Sie unter http://go.microsoft.com/fwlink/?LinkId=45434. Siehe auch http://go.microsoft.com/fwlink/?LinkId=44139 Verwaltung des globalen Katalogs Mit den folgenden Verfahren veralten Sie den globalen Katalog: Konfiguration eines globalen Katalog Servers Überprüfen der Bereitschafft des globalen Katalogs Entfernen des globalen Katalogs Konfiguration eines globalen Katalog Servers Wenn das Hinzufügen eines globalen Katalog Servers an einem Standort erforderlich ist, können Sie einen Domänencontroller zum globalen Katalog machen. Der KCC aktualisiert dann sofort die Topologie, und nachdem dies geschehen ist, werden die nur lesbaren Domänenpartitionen auf den entsprechenden Domänencontroller repliziert. Wenn die Replikation zwischen Standorten durchgeführt wird, legt der Zeitplan für die Standortverknüpfungen fest, wann dies geschieht. Anforderungen Um die unten beschriebenen Aufgaben ausführen zu können, sind die folgenden Tools notwendig: Active Directory-Standorte und -Dienste Repadmin.exe Dcdiag.exe Um diese Aufgabe auszuführen, sind die folgenden Schritte erforderlich: Anmerkung Einige Schritte sind nur dann erforderlich, wenn Sie den ersten globalen Katalog an einem Standort bereitstellen. 1. Feststellen, ob ein Domänencontroller ein globaler Katalogserver ist 2. Konfigurieren eines Domänencontrollers als globaler Katalog Server 3. Überwachen des Replikationsprozesses des globalen Katalogs 4. Überprüfen der erfolgreichen Replikation mit einem anderen Domänencontroller Feststellen, ob ein Domänencontroller ein globaler Katalogserver ist Mit dem NTDS-Settings-Objekt können Sie festlegen, ob ein Domänencontroller ein globaler Katalog ist oder nicht. Administrative Berechtigungen Um dieses Verfahren durchführen zu können, müssen Sie Mitglied der Gruppe Domänen-Admins sein. Feststellen, ob ein Domänencontroller ein globaler Katalogserver ist 1. Öffnen Sie Active Directory-Standorte und -Dienste. 2. Erweitern Sie den Container Standorte und den Standort, in dem sich der betreffende Domänencontroller befindet. Erweitern Sie den Container Servers und das Server-Objekt. 3. Klicken Sie mit rechts auf das NTDS-Settings-Objekt und dann auf Eigenschaften. 4. Wenn auf der Registerkarte Allgemein das Feld Globaler Katalog ausgewählt ist, arbeitet der Domänencontroller als globaler Katalog Server. Konfigurieren eines Domänencontrollers als globaler Katalog Server Administrative Berechtigungen Um dieses Verfahren durchführen zu können, müssen Sie Mitglied der Gruppe Domänen-Admins in der Domäne sein, in der sich der der als globaler Katalog vorgesehene Domänencontroller befindet. Konfigurieren eines Domänencontrollers als globaler Katalog Server 1. Öffnen Sie Active Directory-Standorte und -Dienste. 2. Erweitern Sie den Container Standorte und den Standort, in dem sich der betreffende Domänencontroller befindet. Erweitern Sie den Container Servers und das Server-Objekt. 3. Klicken Sie mit rechts auf das NTDS-Settings-Objekt und dann auf Eigenschaften. 4. Aktivieren Sie die Option Globaler Katalog, und klicken Sie dann auf OK. Überwachen des Replikationsprozesses des globalen Katalogs Mit dem folgenden Verfahren können Sie feststellen, wie viel Prozent der nur lesbaren Verzeichnispartition bereits auf den neuen globalen Katalog Server repliziert wurden. Anmerkung Exchange 2003 Server nutzen den globalen Katalog zur Suche nach Adressen. Daher kann es beim Bekannt geben eines globalen Katalog Servers, bevor dieser alle Repliken erhalten hat, zu Problemen mit Adressbüchern und der Mailzustellung kommen. Damit ein MAPI-Zugriff auf Active Directory möglich ist, muss der Name Service Provider Interface (NSPI) auf einem globalen Katalog Server ausgeführt werden. Um den NSPI zu aktivieren, müssen Sie den globalen Katalog nach dem Erhalt aller Repliken neu starten. Administrative Berechtigungen Um das unten aufgeführte Verfahren ausführen zu können, müssen Sie Mitglied der Gruppe Domänen-Admins sein. Überwachen des Replikationsprozesses des globalen Katalogs 1. Öffnen Sie eine Eingabeaufforderung. 2. Geben Sie den folgenden Befehl ein, und drücken Sie die EINGABETASTE: dcdiag /v /s:servername| find “%” Wert servername Beschreibung Name des neuen globalen Katalog Servers. 3. Wiederholen Sie den Befehl regelmäßig, und prüfen Sie so den Fortschritt der Replikation. Wenn keine Ausgaben angezeigt werden, ist die Replikation vollständig. Überprüfen der Bereitschaft des globalen Katalogs Nach der Replikation der Verzeichnispartition gibt der Domänencontroller bekannt, dass er globaler Katalog ist und nimmt Anfragen entgegen. Wenn dies geschieht, bevor die Replikation vollständig ist, kann es sein, dass er fehlerhafte Informationen zurückgibt. Mit den folgenden Schritten können Sie feststellen, ob der globale Katalog Server bereit ist. Anforderungen Um die unten beschriebenen Aufgaben ausführen zu können, sind die folgenden Tools notwendig: Ldp.exe Nltest.exe DNS snap-in Anmerkung Der globale Katalog Server muss nach der Replikation erst einmal neu gestartet werden. Um diese Aufgabe auszuführen, sind die folgenden Schritte erforderlich: 1. Prüfen der Bereitschaft des globalen Katalogs 2. Prüfen der DNS-Einträge des globalen Katalogs Prüfen der Bereitschaft des globalen Katalogs Wenn die Replikation abgeschlossen ist, wird das rootDSE-Attribut isGlobalCatalogReady rootDSE auf TRUE gesetzt. Administrative Berechtigungen Um dieses Verfahren durchführen zu können, müssen Sie Mitglied der Gruppe Domänenbenutzer sein. Prüfen der Bereitschaft des globalen Katalogs Mithilfe der Windows-Oberfläche Mithilfe der Eingabeaufforderung Mithilfe der Windows-Oberfläche 1. Klicken Sie auf Start, klicken Sie auf Run, geben Sie Ldp ein, und klicken Sie dann auf OK. 2. Klicken Sie im Menü Verbindung auf Verbinden. 3. Geben Sie den Namen des Servers ein, den Sie überprüfen möchten. 4. Geben Sie unter Port 389 ein. 5. Deaktivieren Sie die Option Verbindungslos, und klicken Sie dann auf OK. 6. Prüfen Sie, ob das Attribut isGlobalCatalogReady den Wert TRUE hat. 7. Klicken Sie im Menü Verbindung auf Trennen. Mithilfe der Eingabeaufforderung 1. Öffnen Sie eine Eingabeaufforderung. 2. Geben Sie den folgenden Befehl ein, und drücken Sie die EINGABETASTE: nltest /server:servername /dsgetdc:domänenname Wert Beschreibung servername Name des globalen Katalog Servers. domänenname Name der Domäne des Servers. 3. Wenn in der Ausgabe unter Flags: GC angezeigt wird, ist der globale Katalog mit der Replikation fertig. Prüfen der DNS-Einträge des globalen Katalogs Über die DNS-SRV-Einträge des globalen Katalogs können Sie feststellen, ob der globale Katalog in der Domäne bekannt ist. Starten Sie den globalen Katalog Server neu, bevor Sie die Einträge überprüfen. Administrative Berechtigungen Um dieses Verfahren durchführen zu können, müssen Sie Mitglied der Gruppe Domänenbenutzer sein. Prüfen der DNS-Einträge des globalen Katalogs 1. Öffnen Sie das DNS-Snap-In, und verbinden Sie sich mit einem Domänencontroller in der Stammdomäne. 2. Erweitern Sie Forward Lookup Zones und dann die Stammdomäne. 3. Klicken Sie auf den Container _tcp. 4. Suchen Sie in der Spalte Name nach _gc und in der Spalte Daten nach dem Namen des Servers. Entfernen des globalen Katalogs Um einen globalen Katalog zu entfernen, reicht es, die Option in den NTDS-Settings zu deaktivieren. Der Domänencontroller hört dann sofort auf, sich selbst über den DNS als globaler Katalog Server bekannt zu machen und beantwortet keine LDAP-Anfragen über die Ports 3268 und 3269 mehr. Anforderungen Um die unten beschriebene Aufgabe ausführen zu können, sind die folgenden Tools erforderlich: Active Directory-Standorte und -Dienste Um diese Aufgabe auszuführen, sind die folgenden Schritte erforderlich: 1. Deaktivieren der globaler Katalog-Einstellung 2. Überwachen der Ereignisanzeige Deaktivieren der globaler KatalogEinstellung Administrative Berechtigungen Um diese Aufgabe ausführen zu können, müssen Sie Mitglied der Gruppe DomänenAdmins in der Domäne sein, in der sich der globale Katalog Server befindet. Deaktivieren der Einstellung 1. Öffnen Sie Active Directory-Standorte und -Dienste. 2. Erweitern Sie den Container Standorte und den Standort, in dem sich der betreffende Domänencontroller befindet. Erweitern Sie den Container Servers und das Server-Objekt. 3. Klicken Sie mit rechts auf das NTDS-Settings-Objekt und dann auf Eigenschaften. 4. Deaktivieren Sie die Option Globaler Katalog, und klicken Sie dann auf OK. Überwachen der Ereignisanzeige Um das erfolgreiche Entfernen des globalen Katalogs zu überprüfen, müssen Sie die Ereignisanzeige überwachen. Der KCC trägt Ereignis 1268 ein, wenn der globale Katalog entfernt wurde. Administrative Berechtigungen Um dieses Verfahren durchführen zu können, müssen Sie Mitglied der Gruppe Domänenbenutzer sein. Überwachen der Ereignisanzeige 1. Öffnen Sie die Ereignisanzeige. 2. Klicken Sie mit rechts auf Ereignisanzeige (Lokal) und dann auf Mit einem anderen Computer verbinden. 3. Klicken Sie auf Anderer Computer, und geben Sie den Namen des Servers ein, von dem Sie den globalen Katalog entfernt haben. Klicken Sie dann auf OK. 4. Klicken Sie unter Ereignisanzeige auf Verzeichnisdienstprotokoll. 5. Suchen Sie nach Ereignis-ID 1268. Administration von Betriebsmasterrollen In diesem Kapitel finden Sie Informationen zur Administration der Active DirectoryBetriebsmasterrollen unter Microsoft Windows Server 2003. In diesem Kapitel finden Sie die folgenden Abschnitte: Einführung in die Administration von Betriebsmasterrollen Verwaltung von Betriebsmasterrollen Danksagung Veröffentlicht: März 2005 Betrifft: Windows Server 2003 Erstellt durch: Microsoft Windows Server User Assistance Team Autor: Shala Brandolini Redaktion: Jim Becker Einführung in die Administration von Betriebsmasterrollen Betriebsmaster führen bestimmte Aufgaben durch, die von keinem anderen Domänencontroller ausgeführt werden dürfen. Es gibt in jeder Domäne drei eindeutige Betriebsmaster: PDC-Emulator: Wenn eine Domäne Computer ohne Windows 2000 oder Windows XP Professional-Clientsoftware oder Reservedomänencontroller (BDCs) unter Windows NT umfasst, übernimmt der PDC-Emulationsmaster die Funktion eines primären Windows NT-Domänencontrollers. Dieser Master verarbeitet Kennwortänderungen von Clients und repliziert Aktualisierungen auf die Reservedomänencontroller. RID-Master: Der RID-Master ordnet den verschiedenen Domänencontrollern seiner Domäne Sequenzen relativer IDs (RIDs) zu. nfrastrukturmaster: Der Infrastrukturmaster dient dazu, Objektreferenzen in seiner Domäne auf Objekte in anderen Domänen zu aktualisieren. Zusätzlich zu den drei in jeder Domäne vorhandenen Betriebsmastern gibt es in jeder Gesamtstruktur zwei weitere Betriebsmaster: Schemamaster: Der Domänencontroller mit der Funktion des Schemamasters überwacht alle Aktualisierungen und Änderungen am Schema. Domänennamenmaster: Der Domänencontroller mit der Funktion des Domänennamenmasters steuert das Hinzufügen oder Entfernen von Domänen in der Gesamtstruktur. Die Domänencontroller mit den Betriebsmasterrollen müssen durchgehend verfügbar sein. Sie müssen sich in zuverlässigen Netzwerkbereichen befinden. Wenn Sie Ihrer Gesamtstruktur Domänen und Standorte hinzufügen, wird die Platzierung von Betriebsmastern immer wichtiger. Richtlinien zur Platzierung der Rollen Durch das falsche Platzieren der Betriebsmaster kann es zum Beispiel dazu kommen, dass Clients nicht in der Lage sind, ihr Kennwort zu ändern oder nicht in Domänen aufgenommen werden können. Wenn Sie Ihre Umgebung ändern, müssen Sie dafür sorgen, dass es nicht zu Problemen mit den Betriebsmasterrollen kommt. Möglicherweise müssen Sie diese daher anderen Domänencontrollern zuweisen. Auch wenn Sie die gesamtstrukturweiten und domänenweiten Rollen jedem Domänencontroller zuweisen können, sollten Sie den unten aufgeführten Vorgaben folgen. Sie verringern so den administrativen Aufwand und verbessern die Leistung von Active Dirctory. Belassen Sie die beiden gesamtstrukturweiten Rollen auf einem Domänencontroller der Stammdomäne. Platzieren Sie die drei domänenweiten Rollen auf dem gleichen Domänencontroller. Platzieren Sie die domänenweiten Rollen nicht auf einem globalen Katalog Server. Platzieren Sie die domänenweiten Rollen auf einem Domänencontroller mit mehr Leistung. Passen Sie - wenn notwendig - die Auslastung der Betriebsmaster an. Wählen Sie einen weiteren Domänencontroller als Standby-Betriebsmaster für die gesamtstrukturweiten Rollen und einen Domänencontroller als Standby für die domänenweiten Rollen aus. Platzieren der gesamtstrukturweiten Rollen in der Stammdomäne Der erste Domänencontroller der Gesamtstruktur wird automatisch Schemamaster und Domänennamensmaster. Wenn Sie diese Rollen auf diesem Domänencontroller belassen, vereinfachen Sie die Administration und Sicherung. Die Leistung verbessert sich nicht durch das Verschieben der Rollen. Wenn Sie die Rollen trennen, sorgt dies nur für größeren administrativen Aufwand. Im Gegensatz zu anderen Rollen sorgen die gesamtstrukturweiten Rollen nur selten für eine spürbare Auslastung des Domänencontrollers. Platzieren der gesamtstrukturweiten Rollen auf einem globalen Katalog Server Zusätzlich zu den beiden anderen Rollen ist der erste Domänencontroller einer Gesamtstruktur auch gleichzeitig globaler Katalog Server. Platzieren der domänenweiten Rollen auf dem gleichen Domänencontroller Die drei domänenweiten Rollen werden dem ersten Domänencontroller einer neuen Domäne zugewiesen. Außer in der Stammdomäne sollten Sie die Rollen auf diesem Domänencontroller belassen - es sei denn, die Auslastung des Domänencontrollers rechtfertigt ein Verschieben. Da ältere Clients mit dem PDC-Emulator kommunizieren, benötigt der entsprechende Betriebsmaster eine größere Anzahl an RIDs. Platzieren Sie den PDC-Emulator und den RID-Master auf dem gleichen Domänencontroller. Wenn Sie die Rollen trennen müssen, können Sie trotzdem einen StandbyBetriebsmaster für alle drei Rollen nutzen. Sie müssen allerdings in diesem Fall sicherstellen, dass dieser auch mit allen drei Rolleninhabern repliziert. Keine domänenweiten Rollen auf globalen Katalog Servern Platzieren Sie auf einem Domänencontroller, der als globaler Katalog arbeitet, keinen Infrastrukturmaster. Der Infrastrukturmaster aktualisiert die Namen von Sicherheitsprinzipalen. Wenn ein Benutzer aus einer Domäne zum Beispiel Mitglied in einer Gruppe in einer anderen Domäne ist und sich sein Name in der ersten Domäne ändert, dann wird die zweite Domäne nicht über diesen Vorgang in Kenntnis gesetzt. Da Domänencontroller einer Domäne nicht mit Domänencontroller in anderen Domänen replizieren, werden die Domänencontroller in der zweiten Domäne niemals über diese Änderung informiert. Der Infrastrukturmaster überwacht Gruppenmitgliedschaften und sucht nach Sicherheitsprinzipalen aus anderen Domänen. Wenn er eine solche findet, überprüft er die Domäne des Sicherheitsprinzipals und stellt fest, ob es Änderungen gegeben hat. Wenn dies der Fall ist, führt der Infrastrukturmaster die Änderung lokal durch und repliziert diese dann an die anderen Domänencontroller in der Domäne. Es gibt zwei Ausnahmen für diese Regel. Erstens: Wenn alle Domänencontroller globale Katalog Server sind, ist es egal, welcher Domänencontroller Infrastrukturmaster ist. Globale Kataloge replizieren die betreffenden Informationen so oder so – egal, zu welcher Domäne sie gehören. Zweitens: Wenn es nur eine Domäne in der Gesamtstruktur gibt, ist kein Infrastrukturmaster nötig - es gibt ja keine Sicherheitsprinzipale aus anderen Domänen. Platzierung der domänenweiten Rollen auf einem Domänencontroller mit mehr Leistung Der PDC-Emulator produziert von allen Rollen am meisten Auslastung. Der PDCEmulator hat außerdem die größten Auswirkungen auf den täglichen Betrieb des Verzeichnisdienstes. Platzieren Sie diesen daher auf einem Domänencontroller mit entsprechender Kapazität. Sie können die Auslastung des eines Domänencontrollers über die Gewichtung des DNS-Eintrags steuern. Außerdem haben Sie die Möglichkeit, die Priorität anzupassen. Richtlinien für das Übertragen von Rollen Das Übertragen von Rollen ist die bevorzugte Methode, den Betriebsmaster zu wechseln. Während einer solchen Übertragung replizieren die Domänencontroller und stellen so sicher, dass keine Informationen verloren gehen. Der ursprüngliche Rolleninhaber konfiguriert sich selbst so, dass er nicht länger die Rolle ausführt. Der neue Rolleninhaber übernimmt automatisch seine Aufgaben. Durch dieses Verfahren wird verhindert, dass es möglicherweise zwei Rolleninhaber gibt. Es gibt zwei Möglichkeiten, um Betriebsmasterrollen zu verschieben: Das Übertragen und (als letzten Ausweg) das Übernehmen. Wichtig Wenn Sie eine Rolle übernehmen müssen, dürfen Sie den alten Rolleninhaber niemals wieder mit dem Netzwerk verbinden, ohne dass Sie diesen über die in diesem Dokument beschriebenen Schritte neu konfiguriert haben. Andernfalls kann es zu einer Beschädigung des Active Directory kommen. Verwaltung von Betriebsmasterrollen In diesem Abschnitt werden die folgenden Aufgaben zur Verwaltung von Betriebsmastern beschrieben: Festlegen eines Standby-Betriebsmasters Übertragen einer Betriebsmasterrolle Übernehmen einer Betriebsmasterrolle Reduzierung der Auslastung auf dem PDC-Emulator Festlegen eines StandbyBetriebsmasters Ein Standby-Betriebsmaster ist ein Domänencontroller, der die Betriebsmasterrolle bei Problemen mit dem originalen Betriebsmaster übernehmen kann. Hierbei kann ein Domänencontroller als Standby für alle Rollen dienen, oder es kann für jede Rolle einen eigenen Standby geben. Es sind keine besonderen Schritte notwendig, um einen Domänencontroller zu einem Standby zu machen. Der aktuelle Betriebsmaster und der Standby sollten jedoch über eine gute Verbindung verfügen. Das bedeutet, dass die Netzwerkverbindung zwischen beiden mindestens eine Kapazität von zehn Megabit haben und ständig verfügbar sein sollte. Außerdem sollten Sie den aktuellen Rolleninhaber und den Standby als direkte Replikationspartner konfigurieren, da dies beim Verschieben von Betriebsmasterrollen Zeit sparen kann. Bevor Sie eine Rolle übertragen, stellen Sie auf jeden Fall sicher, dass die Replikation zwischen den betreffenden Domänencontrollern korrekt arbeitet. Wenn Sie einen Standby einrichten, minimiert dies außerdem das Risiko, dass ein Übernehmen einer Rolle notwendig wird. Wenn Sie einen Standby auswählen, sollten Sie hierbei nach den Empfehlungen aus dem Abschnitt Einführung in die Administration von Betriebsmasterrollen vorgehen. Für die gesamtstrukturweiten Rollen wählen Sie einen globalen Katalog Server aus. Für die domänenweiten Rollen achten Sie darauf, dass der Domänencontroller kein globaler Katalog ist. Anforderungen Um die unten beschriebenen Aufgaben ausführen zu können, sind die folgenden Tools notwendig: Active Directory-Standorte und -Dienste Repadmin.exe. Um diese Aufgabe auszuführen, sind die folgenden Schritte erforderlich: 1. Feststellen, ob ein Domänencontroller ein globaler Katalogserver ist 2. Erstellen eines Verbindungsobjekts auf dem aktuellen Betriebsmaster 3. Erstellen eines Verbindungsobjekts auf dem Standby-Betriebsmaster 4. Überprüfen der erfolgreichen Replikation mit einem anderen Domänencontroller Feststellen, ob ein Domänencontroller ein globaler Katalogserver ist Mit dem NTDS-Settings-Objekt können Sie festlegen, ob ein Domänencontroller ein globaler Katalog ist oder nicht. Administrative Berechtigungen Um dieses Verfahren durchführen zu können, müssen Sie Mitglied der Gruppe Domänen-Admins sein. Feststellen, ob ein Domänencontroller ein globaler Katalogserver ist 1. Öffnen Sie Active Directory-Standorte und -Dienste. 2. Erweitern Sie den Container Standorte und den Standort, in dem sich der betreffende Domänencontroller befindet. Erweitern Sie den Container Servers und das Server-Objekt. 3. Klicken Sie mit rechts auf das NTDS-Settings-Objekt und dann auf Eigenschaften. 4. Wenn auf der Registerkarte Allgemein das Feld Globaler Katalog ausgewählt ist, arbeitet der Domänencontroller als globaler Katalog Server. Erstellen eines Verbindungsobjekts auf dem aktuellen Betriebsmaster Um die Replikation mit den Standby sicherzustellen, erstellen Sie auf beiden Domänencontrollern manuell ein Verbindungsobjekt. Dies sollten Sie auch dann machen, wenn automatisch ein Verbindungsobjekt erstellt wurde. Es kann vorkommen, dass automatisch erstellte Verbindungsobjekte vom System verändert werden. Die passiert bei manuell erstellten Objekten nicht. Um das folgende Verfahren ausführen zu können, muss Ihnen der aktuelle Betriebsmaster bekannt sein. Um zu ermitteln, welcher Domänencontroller Betriebsmaster ist, führen Sie die Aufgabe Anzeigen der aktuellen Betriebsmaster aus. Administrative Berechtigungen Um die folgenden Schritte ausführen zu können, müssen Sie Mitglied der Gruppe Domänen-Admins oder der Gruppe Organisations-Admins sein. Erstellen eines Verbindungsobjekts auf dem aktuellen Betriebsmaster 1. Öffnen Sie Active Directory-Standorte und -Dienste. 2. Erweitern Sie den Container Standorte und den Standort, in dem sich der Standby-Domänencontroller befindet. Erweitern Sie den Container Servers und das Server-Objekt. 3. Erweitern Sie den Namen des Servers, der im Moment Betriebsmaster ist. 4. Klicken Sie mit rechts auf das NTDS-Settings-Objekt und dann auf Neu und auf Verbindung. 5. Wählen Sie den Namen des Standby-Servers aus, und klicken Sie dann auf OK. 6. Geben Sie einen Namen für das neue Verbindungsobjekt ein, und klicken Sie auf OK. Erstellen eines Verbindungsobjekts auf dem Standby-Betriebsmaster Administrative Berechtigungen Um die folgenden Schritte ausführen zu können, müssen Sie Mitglied der Gruppe Domänen-Admins oder der Gruppe Organisations-Admins sein. Erstellen eines Verbindungsobjekts auf dem Standby-Betriebsmaster 1. Öffnen Sie Active Directory-Standorte und -Dienste. 2. Erweitern Sie den Container Standorte und den Standort, in dem sich der Standby-Domänencontroller befindet. Erweitern Sie den Container Servers und das Server-Objekt. 3. Erweitern Sie den Namen des Servers, der Standby-Betriebsmaster werden soll. 4. Klicken Sie mit rechts auf das NTDS-Settings-Objekt und dann auf Neu und auf Verbindung. 5. Wählen Sie den Namen des aktuellen Betriebsmasters aus, und klicken Sie dann auf OK. 6. Geben Sie einen Namen für das neue Verbindungsobjekt ein, und klicken Sie auf OK. Überprüfen der erfolgreichen Replikation mit einem anderen Domänencontroller Mit dem Befehl repadmin /showrepl können Sie feststellen, ob die Replikation mit einem bestimmten Domänencontroller erfolgreich war. Wenn Sie den Befehl nicht auf dem Domänencontroller ausführen, dessen Replikation Sie testen möchten, können Sie auch einen Ziel-Domänencontroller angeben. Repadmin zeigt unter INBOUND NEIGHBORS die DNs aller Verzeichnispartitionen auf, für die eine eingehende Verzeichnisreplikation versucht wurde - zusammen mit dem Standort und Namen des QuellDomänencontrollers und dem Erfolg oder Misserfolg der Replikation. Die Ausgabe sieht zum Beispiel so aus: Last attempt @ YYYY-MM-DD HH:MM.SS was successful. Last attempt @ [Never] was successful. Wenn @ [Never] angezeigt wird, heißt dies, dass die Partition noch nie erfolgreich repliziert wurde. Administrative Berechtigungen Um das folgende Verfahren ausführen zu können, müssen Sie Mitglied der Gruppe Domänen-Admins auf dem Ziel-Domänencontroller sein. Überprüfen der erfolgreichen Replikation mit einem anderen Domänencontroller 1. Öffnen Sie eine Eingabeaufforderung. 2. Geben Sie den folgenden Befehl ein, und drücken Sie dann die EINGABETASTE: repadmin /showrepl servername /u:domänenname\benutzername /pw:* Parameter Beschreibung servername Name des Ziel-Domänencontrollers. domänenname NetBIOS-Name der Domäne des ZielDomänencontrollers (es ist kein FQDN notwendig). Benutzername Der Name eines administrativen Kontos in der Domäne 3. Wenn Sie zur Eingabe eines Kennwortes aufgefordert werden, geben Sie das Kennwort des Benutzerkontos ein. Repadmin kann außerdem Detailinformationen zur Replikation mit allen Replikationspartnern anzeigen. Die entsprechende Ausgabe sieht so aus: Showrepl_COLUMNS Destination DC Site Destination DC Naming Context Source DC Site Source DC Transport Type Number of Failures Last Failure Time Last Success Time Last Failure Status Mit dem folgenden Verfahren können Sie eine solche Ausgabe generieren: Erweiterte Ausgabe mit repadmin /showrepl 1. Öffnen Sie eine Eingabeaufforderung. 2. Geben Sie den folgenden Befehl ein, und drücken Sie dann die EINGABETASTE: repadmin /showrepl * /csv >showrepl.csv 3. Öffnen Sie Microsoft Excel. 4. Klicken Sie im Menü Datei auf Öffnen, und öffnen Sie die Datei showrepl.csv. Die letzte erfolgreiche Replikation sollte mit dem Zeitplan für die Replikation zwischen Standorten übereinstimmen. Wenn Repadmin eine der folgenden Informationen ausgibt, fahren Sie mit dem Abschnitt Fehlersuche bei Active Directory-Replikationsproblemen fort: Die letzte erfolgreiche Replikation zwischen Standorten war vor der letzten geplanten Replikation. Die letzte Replikation zwischen Standorten ist länger als eine Stunde her. Es gab keine erfolgreiche Replikation. Siehe auch Fehlersuche bei Active Directory-Replikationsproblemen Übertragen einer Betriebsmasterrolle Ändern Sie nicht unbedacht die Konfiguration des globalen Katalogs auf einem Domänencontroller, der eine Betriebsmasterrolle ausführen soll. Eine solche Änderung kann mehrere Tage benötigen, bis sie vollständig ausgeführt wurde - und der Domänencontroller steht während dieses Zeitraumes möglicherweise nicht zur Verfügung. Übertragen Sie die Betriebsmasterrollen stattdessen auf einen anderen Domänencontroller, der bereits passend konfiguriert ist. Übertragen an einen Standby-Betriebsmaster Wenn Sie den Empfehlungen gefolgt sind, ist der Standby-Betriebsmaster ein direkter Replikationspartner des aktuellen Betriebsmasters. Er ist somit bereit, die Rolle zu übernehmen. Denken Sie daran, außerdem einen neuen Standby auszuwählen. Übertragen der Betriebsmasterrollen, wenn kein Standby bereit ist Wenn Sie den Empfehlungen nicht gefolgt sind und keinen Standby-Betriebsmaster eingerichtet haben, müssen Sie einen Domänencontroller entsprechend vorbereiten. Dieser Prozess entspricht der Einrichtung eines Standbys. Anforderungen Um die unten beschriebenen Aufgaben ausführen zu können, sind die folgenden Tools notwendig: Repadmin.exe Active Directory-Standorte und -Dienste Active Directory-Domänen und -Vertrauensstellungen Active Directory Schema Snap-In Active Directory-Benutzer und -Computer Ntdsutil.exe Um diese Aufgabe auszuführen, sind die folgenden Schritte erforderlich: 1. Überprüfen der erfolgreichen Replikation mit einem anderen Domänencontroller 2. Feststellen, ob ein Domänencontroller ein globaler Katalogserver ist 3. Installation des Schema-Snap-Ins 4. Übertragen der Rolle Schemamaster 5. Übertragen der Rolle Domänennamensmaster 6. Übertragen der domänenbezogenen Betriebsmasterrollen 7. Anzeigen der aktuellen Betriebsmaster Überprüfen der erfolgreichen Replikation mit einem anderen Domänencontroller Mit dem Befehl repadmin /showrepl können Sie feststellen, ob die Replikation mit einem bestimmten Domänencontroller erfolgreich war. Wenn Sie den Befehl nicht auf dem Domänencontroller ausführen, dessen Replikation Sie testen möchten, können Sie auch einen Ziel-Domänencontroller angeben. Repadmin zeigt unter INBOUND NEIGHBORS die DNs aller Verzeichnispartitionen auf, für die eine eingehende Verzeichnisreplikation versucht wurde - zusammen mit dem Standort und Namen des QuellDomänencontrollers und dem Erfolg oder Misserfolg der Replikation. Die Ausgabe sieht zum Beispiel so aus: Last attempt @ YYYY-MM-DD HH:MM.SS was successful. Last attempt @ [Never] was successful. Wenn @ [Never] angezeigt wird, heißt dies, dass die Partition noch nie erfolgreich repliziert wurde. Administrative Berechtigungen Um das folgende Verfahren ausführen zu können, müssen Sie Mitglied der Gruppe Domänen-Admins auf dem Ziel-Domänencontroller sein. Überprüfen der erfolgreichen Replikation mit einem anderen Domänencontroller 1. Öffnen Sie eine Eingabeaufforderung. 2. Geben Sie den folgenden Befehl ein, und drücken Sie dann die EINGABETASTE: repadmin /showrepl servername /u:domänenname\benutzername /pw:* Parameter Beschreibung servername Name des Ziel-Domänencontrollers. domänenname NetBIOS-Name der Domäne des ZielDomänencontrollers (es ist kein FQDN notwendig). Benutzername Der Name eines administrativen Kontos in der Domäne 3. Wenn Sie zur Eingabe eines Kennwortes aufgefordert werden, geben Sie das Kennwort des Benutzerkontos ein. Repadmin kann außerdem Detailinformationen zur Replikation mit allen Replikationspartnern anzeigen. Die entsprechende Ausgabe sieht so aus: Showrepl_COLUMNS Destination DC Site Destination DC Naming Context Source DC Site Source DC Transport Type Number of Failures Last Failure Time Last Success Time Last Failure Status Mit dem folgenden Verfahren können Sie eine solche Ausgabe generieren: Erweiterte Ausgabe mit repadmin /showrepl 1. Öffnen Sie eine Eingabeaufforderung. 2. Geben Sie den folgenden Befehl ein, und drücken Sie dann die EINGABETASTE: repadmin /showrepl * /csv >showrepl.csv 3. Öffnen Sie Microsoft Excel. 4. Klicken Sie im Menü Datei auf Öffnen, und öffnen Sie die Datei showrepl.csv. Die letzte erfolgreiche Replikation sollte mit dem Zeitplan für die Replikation zwischen Standorten übereinstimmen. Wenn Repadmin eine der folgenden Informationen ausgibt, fahren Sie mit dem Abschnitt Fehlersuche bei Active Directory-Replikationsproblemen fort: Die letzte erfolgreiche Replikation zwischen Standorten war vor der letzten geplanten Replikation. Die letzte Replikation zwischen Standorten ist länger als eine Stunde her. Es gab keine erfolgreiche Replikation. Siehe auch Fehlersuche bei Active Directory-Replikationsproblemen Feststellen, ob ein Domänencontroller ein globaler Katalogserver ist Mit dem NTDS-Settings-Objekt können Sie festlegen, ob ein Domänencontroller ein globaler Katalog ist oder nicht. Administrative Berechtigungen Um dieses Verfahren durchführen zu können, müssen Sie Mitglied der Gruppe Domänen-Admins sein. Feststellen, ob ein Domänencontroller ein globaler Katalogserver ist 1. Öffnen Sie Active Directory-Standorte und -Dienste. 2. Erweitern Sie den Container Standorte und den Standort, in dem sich der betreffende Domänencontroller befindet. Erweitern Sie den Container Servers und das Server-Objekt. 3. Klicken Sie mit rechts auf das NTDS-Settings-Objekt und dann auf Eigenschaften. 4. Wenn auf der Registerkarte Allgemein das Feld Globaler Katalog ausgewählt ist, arbeitet der Domänencontroller als globaler Katalog Server. Installation des Schema-Snap-Ins Administrative Berechtigungen Um dieses Verfahren ausführen zu können, müssen Sie Mitglied der Gruppe DomänenAdmins oder der Gruppe Organisations-Admins sein. Installation des Schema-Snap-Ins 1. Öffnen Sie die Eingabeaufforderung. 2. Geben Sie Folgendes ein: regsvr32 schmmgmt.dll Dieser Befehl registriert schmmgmt.dll auf Ihrem Computer. Weitere Informationen zum Verwenden von regsvr32 finden Sie unter "Verwandte Themen". 3. Klicken Sie im Startmenü auf Ausführen, geben Sie mmc/a ein, und klicken Sie anschließend auf OK. 4. Klicken Sie im Menü Datei auf Snap-In hinzufügen/entfernen und dann auf Hinzufügen. 5. Doppelklicken Sie unter Verfügbare eigenständige Snap-Ins auf Active Directory-Schema, klicken Sie auf Schließen, und klicken Sie dann auf OK. 6. Zum Speichern dieser Konsole klicken Sie im Menü Datei auf Speichern. 7. Zeigen Sie unter Speichern in auf das Verzeichnis systemroot\system32. 8. Geben Sie schmmgmt.msc in das Feld Dateiname ein, und klicken Sie auf Speichern. 9. Führen Sie die folgenden Schritte aus, um eine Verknüpfung im Startmenü einzurichten: Klicken Sie mit der rechten Maustaste im Startmenü auf Öffnen – Alle Benutzer, doppelklicken Sie auf den Ordner Programme, und doppelklicken Sie dann auf den Ordner Verwaltung. Zeigen Sie im Menü Datei auf Neu, und klicken Sie dann auf Verknüpfung. Geben Sie im Assistenten zum Erstellen von Verknüpfungen in das Feld Geben Sie den Speicherort des Elements ein die Zeichenfolge schmmgmt.msc ein, und klicken Sie dann auf Weiter. Geben Sie auf der Seite Programmbezeichnung auswählen in das Feld Geben Sie den Namen für die Verknüpfung ein den Namen Active Directory-Schema ein, und klicken Sie dann auf Fertig stellen. . Vorsicht Das Ändern des Active Directory-Schemas ist eine schwierige Aufgabe, die am besten von erfahrenen Programmierern und Systemadministratoren durchgeführt wird. Ausführliche Informationen zum Ändern des Active Directory-Schemas finden Sie im Active Directory Programmer's Guide auf der Microsoft-Website. Übertragen der Rolle Schemamaster Wenn das Schema-Snap-In noch nicht installiert ist, führen Sie erst die Schritte aus dem Abschnitt Installation des Schema-Snap-Ins aus. Anmerkung Dieses Verfahren beschreibt die Verwendung der MMC. Es kann jedoch auch mithilfe von Ntdsutil.exe ausgeführt werden. Weitere Informationen dazu erhalten Sie, wenn Sie ? in der Ntdsutil.exe-Eingabeaufforderung eingeben. Administrative Berechtigungen Um dieses Verfahren ausführen zu können, müssen Sie Mitglied der Gruppe SchemaAdmins sein. Übertragen der Rolle Schemamaster 1. Öffnen Sie das Active Directory-Schema-Snap-In. 2. Klicken Sie in der Konsolenstruktur mit der rechten Maustaste auf Active Directory-Schema, und klicken Sie dann auf Domänencontroller ändern. 3. Klicken Sie auf Namen angeben, und geben Sie den Namen des Domänencontrollers ein, der die Rolle des Schemamasters haben soll. 4. Klicken Sie in der Konsolenstruktur mit der rechten Maustaste auf Active Directory-Schema und dann auf Betriebsmaster. 5. Klicken Sie auf Ändern. Übertragen der Rolle Domänennamensmaster Anmerkung Dieses Verfahren beschreibt die Verwendung der MMC. Es kann jedoch auch mithilfe von Ntdsutil.exe ausgeführt werden. Weitere Informationen dazu erhalten Sie, wenn Sie ? in der Ntdsutil.exe-Eingabeaufforderung eingeben. Administrative Berechtigungen Um dieses Verfahren ausführen zu können, müssen Sie Mitglied der Gruppe Organisations-Admins sein. Übertragen der Rolle Domänennamensmaster 1. Öffnen Sie Active Directory-Domänen und -Vertrauensstellungen. 2. Klicken Sie in der Konsolenstruktur mit der rechten Maustaste auf Active Directory-Domänen und -Vertrauensstellungen, und klicken Sie dann auf Verbindung mit Domänencontroller herstellen. 3. Geben Sie in das Feld Geben Sie den Namen eines weiteren Domänencontrollers ein den Namen des Domänencontrollers ein, der die Rolle des Domänennamenmasters haben soll. Oder klicken Sie in der Liste mit den verfügbaren Domänencontrollern auf den gewünschten Domänencontroller. 4. Klicken Sie in der Konsolenstruktur mit der rechten Maustaste auf Active Directory-Domänen und -Vertrauensstellungen, und klicken Sie dann auf Betriebsmaster. 5. Klicken Sie auf Ändern. Übertragen der domänenbezogenen Betriebsmasterrollen Mit diesem Verfahren übertragen Sie die Rollen PDC-Emulator, RID-Master und Infrastrukturmaster. Anmerkung Dieses Verfahren beschreibt die Verwendung der MMC. Es kann jedoch auch mithilfe von Ntdsutil.exe ausgeführt werden. Weitere Informationen dazu erhalten Sie, wenn Sie ? in der Ntdsutil.exe-Eingabeaufforderung eingeben. Administrative Berechtigungen Um die folgenden Schritte ausführen zu können, müssen Sie Mitglied der Gruppe Domänen-Admins oder der Gruppe Organisations-Admins sein. Übertragen der domänenbezogenen Betriebsmasterrollen 1. Öffnen Sie Active Directory-Benutzer und -Computer. 2. Klicken Sie in der Konsolenstruktur mit der rechten Maustaste auf Active Directory-Benutzer und -Computer, und klicken Sie dann auf Verbindung mit Domänencontroller herstellen. 3. Geben Sie in das Feld Geben Sie den Namen eines weiteren Domänencontrollers ein den Namen des Domänencontrollers ein, der die Rolle des RID-Masters haben soll. Oder klicken Sie in der Liste mit den verfügbaren Domänencontrollern auf den gewünschten Domänencontroller. 4. Klicken Sie in der Konsolenstruktur mit der rechten Maustaste auf Alle Tasks, und klicken Sie dann auf Betriebsmaster. 5. Klicken Sie auf die Rolle, die übertragen werden soll, und dann auf Ändern. Anzeigen der aktuellen Betriebsmaster Nachdem Sie Rollen übertragen haben, sollten Sie überprüfen, dass dies funktioniert hat. Die Änderung muss auf alle relevanten Domänenmitglieder repliziert werden, damit sie tatsächlich effektiv wird. Sie können die aktuellen Betriebsmaster mit Ntdsutil.exe anzeigen. Administrative Berechtigungen Um die folgenden Schritte ausführen zu können, müssen Sie als Benutzer oder Administrator angemeldet sein. Anzeigen der aktuellen Betriebsmaster 1. Öffnen Sie die Eingabeaufforderung. 2. Geben Sie Folgendes ein: ntdsutil 3. Geben Sie Folgendes an der ntdsutil-Eingabeaufforderung ein: roles 4. Geben Sie Folgendes an der fsmo maintenance-Eingabeaufforderung ein: connections 5. Geben Sie Folgendes an der server connections-Eingabeaufforderung ein: connect to server Domänencontroller. Wobei Domänencontroller ein Domänencontroller ist, der zu der Domäne mit den gesuchten Betriebsmastern gehört. 6. Geben Sie Folgendes an der server connections-Eingabeaufforderung ein: quit 6. Geben Sie Folgendes ein: select operation target 7. Geben Sie Folgendes ein: list roles for connected server Es wird eine Liste mit den aktuellen Rollen und dem LDAP-Namen ausgegeben. Übernehmen einer Betriebsmasterrolle Beim Übernehmen von Betriebsmasterrollen weisen Sie die Rolle einem neuen Domänencontroller zu, ohne dass der alte Rolleninhaber an diesem Vorgang beteiligt ist (Normalerweise geschieht das, weil dieser offline ist). Hierbei kann es unter zwei Umständen zu Problemen kommen. Daher sollte das Übernehmen nur als letzter Ausweg durchgeführt werden. Erstens beginnt der neue Rolleninhaber mit den Daten, die er in seiner aktuellen Verzeichnispartition findet. Es kann aber sein, dass er schlicht noch nicht alle Informationen vom alten Rolleninhaber erhalten hatte. Die kann zu Inkonsistenzen der Verzeichnisdatenbank führen. Um dieses Risiko zu minimieren, sollten Sie keine Rolle übernehmen, bevor nicht genügend Zeit für eine vollständige Replikation im gesamten Netzwerk vergangen ist. Zweitens wird der alte Rolleninhaber nicht über den Wechsel informiert. Dies ist kein Problem, solange er offline bleibt. Sollte er jedoch jemals wieder online sein (zum Beispiel, weil er repariert wurde), so wird er seine Arbeit als Betriebsmaster wieder aufnehmen. Dies kann dazu führen, dass es zwei gleiche Betriebsmaster gibt. Anforderungen Repadmin.exe Ntdsutil.exe Um diese Aufgabe auszuführen, sind die folgenden Schritte erforderlich: 1. Überprüfen der erfolgreichen Replikation mit einem anderen Domänencontroller Auf dem Domänencontroller, der die Rolle übernehmen soll. 2. Übernehmen der Betriebsmasterrolle 3. Anzeigen der aktuellen Betriebsmaster Überprüfen der erfolgreichen Replikation mit einem anderen Domänencontroller Mit dem Befehl repadmin /showrepl können Sie feststellen, ob die Replikation mit einem bestimmten Domänencontroller erfolgreich war. Wenn Sie den Befehl nicht auf dem Domänencontroller ausführen, dessen Replikation Sie testen möchten, können Sie auch einen Ziel-Domänencontroller angeben. Repadmin zeigt unter INBOUND NEIGHBORS die DNs aller Verzeichnispartitionen auf, für die eine eingehende Verzeichnisreplikation versucht wurde - zusammen mit dem Standort und Namen des QuellDomänencontrollers und dem Erfolg oder Misserfolg der Replikation. Die Ausgabe sieht zum Beispiel so aus: Last attempt @ YYYY-MM-DD HH:MM.SS was successful. Last attempt @ [Never] was successful. Wenn @ [Never] angezeigt wird, heißt dies, dass die Partition noch nie erfolgreich repliziert wurde. Administrative Berechtigungen Um das folgende Verfahren ausführen zu können, müssen Sie Mitglied der Gruppe Domänen-Admins auf dem Ziel-Domänencontroller sein. Überprüfen der erfolgreichen Replikation mit einem anderen Domänencontroller 1. Öffnen Sie eine Eingabeaufforderung. 2. Geben Sie den folgenden Befehl ein, und drücken Sie dann die EINGABETASTE: repadmin /showrepl servername /u:domänenname\benutzername /pw:* Parameter Beschreibung servername Name des Ziel-Domänencontrollers. domänenname NetBIOS-Name der Domäne des ZielDomänencontrollers (es ist kein FQDN notwendig). Benutzername Der Name eines administrativen Kontos in der Domäne 3. Wenn Sie zur Eingabe eines Kennwortes aufgefordert werden, geben Sie das Kennwort des Benutzerkontos ein. Repadmin kann außerdem Detailinformationen zur Replikation mit allen Replikationspartnern anzeigen. Die entsprechende Ausgabe sieht so aus: Showrepl_COLUMNS Destination DC Site Destination DC Naming Context Source DC Site Source DC Transport Type Number of Failures Last Failure Time Last Success Time Last Failure Status Mit dem folgenden Verfahren können Sie eine solche Ausgabe generieren: Erweiterte Ausgabe mit repadmin /showrepl 1. Öffnen Sie eine Eingabeaufforderung. 2. Geben Sie den folgenden Befehl ein, und drücken Sie dann die EINGABETASTE: repadmin /showrepl * /csv >showrepl.csv 3. Öffnen Sie Microsoft Excel. 4. Klicken Sie im Menü Datei auf Öffnen, und öffnen Sie die Datei showrepl.csv. Die letzte erfolgreiche Replikation sollte mit dem Zeitplan für die Replikation zwischen Standorten übereinstimmen. Wenn Repadmin eine der folgenden Informationen ausgibt, fahren Sie mit dem Abschnitt Fehlersuche bei Active Directory-Replikationsproblemen fort: Die letzte erfolgreiche Replikation zwischen Standorten war vor der letzten geplanten Replikation. Die letzte Replikation zwischen Standorten ist länger als eine Stunde her. Es gab keine erfolgreiche Replikation. Siehe auch Fehlersuche bei Active Directory-Replikationsproblemen Übernehmen der Betriebsmasterrolle Sie können eine Betriebsmasterrolle mit Ntdsutil.exe übernehmen. Ntdsutil.exe versucht hierbei zuerst, die Rolle normal zu übertragen. Wenn dies fehlschlägt, wird die Rolle übernommen. Das Verfahren ist für alle Rollen nahezu identisch. Administrative Berechtigungen Um dieses Verfahren ausführen zu können, müssen Sie Mitglied der Gruppe DomänenAdmins oder der Gruppe Organisations-Admins sein. Übernehmen der Betriebsmasterrolle 1. Öffnen Sie die Eingabeaufforderung. 2. Geben Sie Folgendes ein: ntdsutil 3. Geben Sie Folgendes an der ntdsutil-Eingabeaufforderung ein: roles 4. Geben Sie Folgendes an der fsmo maintenance-Eingabeaufforderung ein: connections 5. Geben Sie Folgendes an der server connections-Eingabeaufforderung ein: connect to server Domänencontroller. Wobei Domänencontroller der Domänencontroller ist, der die Betriebsmasterrolle übernehmen soll. Geben Sie quit ein. 6. Abhängig von der zu übernehmenden Rolle geben Sie folgendes ein: Rolle Notwendige Befehl Berechtigungen Domänennamenmaster Organisations-Admins Seize domain naming master Schemamaster Organisations-Admins Seize schema master Infrastrukturmaster Domänen-Admins Seize infrastructure master PDC-Emulator Domänen-Admins Seize pdc RID-Master Domänen-Admins Seize rid master Wenn eine Warnung angezeigt wird, klicken Sie zum Fortfahren auf Yes. Anzeigen der aktuellen Betriebsmaster Nachdem Sie Rollen übertragen haben, sollten Sie überprüfen, dass dies funktioniert hat. Die Änderung muss auf alle relevanten Domänenmitglieder repliziert werden, damit sie tatsächlich effektiv wird. Sie können die aktuellen Betriebsmaster mit Ntdsutil.exe anzeigen. Administrative Berechtigungen Um die folgenden Schritte ausführen zu können, müssen Sie als Benutzer oder Administrator angemeldet sein. Anzeigen der aktuellen Betriebsmaster 1. Öffnen Sie die Eingabeaufforderung. 2. Geben Sie Folgendes ein: ntdsutil 3. Geben Sie Folgendes an der ntdsutil-Eingabeaufforderung ein: roles 4. Geben Sie Folgendes an der fsmo maintenance-Eingabeaufforderung ein: connections 5. Geben Sie Folgendes an der server connections-Eingabeaufforderung ein: connect to server Domänencontroller. Wobei Domänencontroller ein Domänencontroller ist, der zu der Domäne mit den gesuchten Betriebsmastern gehört. 6. Geben Sie Folgendes an der server connections-Eingabeaufforderung ein: quit 6. Geben Sie Folgendes ein: select operation target 7. Geben Sie Folgendes ein: list roles for connected server Es wird eine Liste mit den aktuellen Rollen und dem LDAP-Namen ausgegeben. Reduzierung der Auslastung auf dem PDC-Emulator Zusätzlich zu seinen normalen Aufgaben muss sich der PDC-Emulator noch um Kennwortänderungen kümmern. Sie können jedoch dafür sorgen, dass sich die normale Auslastung des PDCs verringert. Sie können den DNS so konfigurieren, dass der Domänencontroller weniger häufig als andere abgefragt wird. Die Clients ermitteln die Domänencontroller über den DNS. Standardmäßig verteilt der DNS hierbei die Last auf alle Domänencontroller. Durch die Gewichtung und die Priorität können Sie dieses Verhalten anpassen. Anpassen der Gewichtung für DNS-SRVEinträge über die Registrierung Wenn Sie die Gewichtung für einen Domänencontroller unter den Wert der anderen Domänencontroller setzen, verringert das die Anzahl der Anfragen an den entsprechenden Domänencontroller. Die Gewichtung wird im Registrierungseintrag LdapSrvWeight gespeichert. Der Standardwert ist 100 und kann auf Werte zwischen 0 und 65535 geändert werden. Wenn Sie die Auslastung für einen Domänencontroller verringern wollen, können Sie den Wert zum Beispiel auf 50 setzen. Dies führt dazu, dass die anderen Domänencontroller (100) doppelt so oft abgefragt werden wie der geänderte Domänencontroller (50). Anpassen der Priorität für DNS-SRV-Einträge über die Registrierung Die Priorität sorgt nicht für eine Umverteilung der Auslastung. Stattdessen werden immer erst die Domänencontroller mit der niedrigsten Priorität abgefragt. Die Domänencontroller mit hoher Priorität werden erst dann abgefragt, wenn Domänencontroller mit geringerer Priorität nicht zur Verfügung stehen. Haben zwei oder mehr Domänencontroller den gleichen Wert, wird einer von diesen per Zufall ausgewählt. Die Priorität wird in der Registrierung gespeichert. Der NetLogon-Dienst führt beim Start des Domänencontrollers eine Registrierung im DNS durch. Zu dieser Registrierung gehört auch der Prioritätswert. Der Wert wird im Registrierungseintrag LdapSrvPriority gespeichert und hat den Standardwert 0. Er kann Werte zwischen 0 und 65535 annehmen. Anmerkung Ein kleinerer Wert für LdapSrvPriority steht für eine höhere Priorität. Ein Domänencontroller mit dem Wert 100 hat eine kleinere Priorität als ein Domänencontroller mit dem Wert 10. Clients werden also zuerst versuchen, den Domänencontroller mit der Priorität 10 abzufragen. Anforderungen Um die unten beschriebene Aufgabe ausführen zu können, sind die folgenden Tools erforderlich: Regedit.exe. Um diese Aufgabe auszuführen, sind die folgenden Schritte erforderlich: 1. Ändern der Gewichtung von DNS-SRV-Einträgen in der Registrierung 2. Ändern der Priorität von DNS-SRV-Einträgen in der Registrierung Ändern der Gewichtung von DNS-SRVEinträgen in der Registrierung Vorsicht Der Registrierungseditor umgeht die normalen Sicherheitsfunktionen. Sie können so Einstellungen vornehmen, die das System beschädigen können oder sogar dafür sorgen können, dass Windows neu installiert werden muss. Sichern Sie vor einer Bearbeitung der Registrierung den Systemstatus. Weitere Informationen hierzu finden Sie unter: Administering Active Directory Backup and Restore. Administrative Berechtigungen Um die folgenden Schritte ausführen zu können, müssen Sie Mitglied der Gruppe Domänen-Admins oder der Gruppe Organisations-Admins sein. Ändern der Gewichtung von DNS-SRV-Einträgen in der Registrierung 1. Klicken Sie auf Start, klicken Sie auf Ausführen, geben Sie regedit ein, und drücken Sie die EINGABETASTE. 2. Navigieren Sie im Registrierungseditor zu HKLM\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters 3. Klicken Sie auf Bearbeiten, klicken Sie auf Neu, und klicken Sie dann auf DWORD. 4. Geben Sie als Name LdapSrvWeight ein. 5. Klicken Sie doppelt auf den neu erstellten Wert. 6. Geben Sie einen Wert zwischen 0 und 65535 ein. Der Standardwert ist 100. 7. Klicken Sie auf Dezimal und dann auf OK. Ändern der Priorität von DNS-SRVEinträgen in der Registrierung Vorsicht Der Registrierungseditor umgeht die normalen Sicherheitsfunktionen. Sie können so Einstellungen vornehmen, die das System beschädigen können oder sogar dafür sorgen können, dass Windows neu installiert werden muss. Sichern Sie vor einer Bearbeitung der Registrierung den Systemstatus. Weitere Informationen hierzu finden Sie unter: Administering Active Directory Backup and Restore. Administrative Berechtigungen Um die folgenden Schritte ausführen zu können, müssen Sie Mitglied der Gruppe Domänen-Admins oder der Gruppe Organisations-Admins sein. Ändern der Priorität von DNS-SRV-Einträgen in der Registrierung 1. Klicken Sie auf Start, klicken Sie auf Ausführen, geben Sie regedit ein, und drücken Sie die EINGABETASTE. 2. Navigieren Sie im Registrierungseditor zu HKLM\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters 3. Klicken Sie auf Bearbeiten, klicken Sie auf Neu, und klicken Sie dann auf DWORD. 4. Geben Sie als Name LdapSrvPriority ein. 5. Klicken Sie doppelt auf den neu erstellten Wert. 6. Geben Sie einen Wert zwischen 0 und 65535 ein. Der Standardwert ist 0. 7. Klicken Sie auf Dezimal und dann auf OK. Administration der Active DirectorySicherung und -Wiederherstellung In diesem Kapitel finden Sie Informationen zur Sicherung und Wiederherstellung von Active Directory unter Microsoft Windows Server 2003. Das Kapitel enthält die folgenden Abschnitte: Einführung in die Administration der Active Directory-Sicherung und Wiederherstellung Verwaltung der Active Directory-Sicherung und -Wiederherstellung Danksagung Erstellt durch: Microsoft Windows Server User Assistance Team Autor: Mary Hillman Redaktion: Jim Becker Einführung in die Administration der Active Directory-Sicherung und Wiederherstellung Active Directory-Sicherungen müssen in den täglichen Betrieb mit einbezogen werden. Sie müssen festlegen, welche Domänencontroller gesichert werden sollen. Die Wiederherstellung gehört im Gegensatz zur Sicherung nicht zu den täglichen Aufgaben. Sie wird nur dann ausgeführt, wenn es zu Problemen mit Domänencontrollern kommt. Systemstatus-Komponenten Active Directory wird als Teil des Systemstatus gesichert. Der Systemstatus setzt sich aus verschiedenen Systemkomponenten, die voneinander abhängen, zusammen. Diese Komponenten müssen zusammen gesichert und wiederhergestellt werden. Auf einem Domänencontroller gehören die folgenden Komponenten zum Systemstatus: Startdateien (Bootdateien): Diese Dateien sind für den Start von Windows Server 2003 erforderlich. Registrierung Klassenregistrierungsdatenbank mit Komponentendiensten. Das COM-Model (Component Object Model) ist ein binärer Standard für Komponenten in einer verteilten Systemumgebung. Systemvolumen (SYSVOL): SYSVOL ist der Standardspeicherort für Dateien, die in einer Domäne gemeinsam genutzt werden. Er enthält die folgenden Komponenten: Net Logon-Freigaben: In diesen Ordnern befinden sich normalerweise die Richtlinieneinstellungen für Clients mit Betriebssystemen, die älter als Windows 2000 sind. An- und Abmeldeskripte Systemrichtlinien Gruppenrichtlinieneinstellungen FRS-Stagingverzeichnisse und –dateien, die repliziert werden müssen. Active Directory - umfasst die folgenden Komponenten: Die Active Directory-Datenbank (Ntds.dit) Die Prüfpunktdatei (Edb.chk) Die Transaktionsprotokolle - jeweils zehn MB (Edb*.log) Reservierte Transaktionsprotokolle (Res1.log und Res2.log) Wenn Sie Cluster- oder Zertifikatsdienste auf einem Domänencontroller installieren, müssen auch diese Komponenten gesichert werden. Sinn regelmäßiger Sicherungen Für die folgenden Aufgaben benötigen Sie eine aktuelle, überprüfte und zuverlässige Sicherung: Wiederherstellen von Active Directory-Daten, die verloren gegangen sind. Sie können einzelne Objekte oder ganze Partitionen wiederherstellen. Wiederherstellen von Domänencontrollern, die nicht mehr gestartet werden können. Installation von Active Directory über ein Sicherungsmedium (mit dcpromo /adv). Mit diesem Verfahren können Sie Domänencontroller an Standorten mit langsamen Netzwerkverbindungen auch bei einer großen Datenbank schnell zur Domäne hinzufügen. Wiederherstellung einer Gesamtstruktur bei gesamtstrukturweiten Fehlern. Anforderungen und Empfehlungen für die Wiederherstellung Der Tombstone-Lebensdauer-Wert einer Active Directory-Gesamtstruktur legt fest, wie lange in Tagen ein Domänencontroller gelöschte Objekte vorhält. Er definiert somit gleichzeitig den Zeitraum, über den eine Sicherung für eine Wiederherstellung brauchbar ist. Active Directory schützt sich selbst vor einer Wiederherstellung von Daten, die älter sind als die Tombstone-Lebensdauer. Wichtig Sie sollten auf keinen Fall versuchen, über eine Änderung der Systemuhr eine zu alte Sicherung wiederherzustellen. Die Wiederherstellung des Systemstatus sollte als letzte Option durchgeführt werden nicht als Standardverfahren. Richtlinien für die Sicherung Die folgenden Richtlinien stellen sicher, dass die Active Directory-Daten korrekt gesichert werden: Führen Sie normale Sicherungen durch. Die normale Sicherung ist die einzige Sicherungsart, die für Active Directory möglich ist. Führen Sie eine tägliche Sicherung jeder Partition auf mindestens zwei verschiedenen Domänencontrollern durch. Achten Sie hierbei besonders auf Gesamtstrukturen mit nur einem Domänencontroller, Domänen mit nur einem Domänencontroller und leere Stammdomänen. Wenn Partitionen nur an einem Standort vorhanden sind, lagern Sie die Sicherungsdateien an einem anderen Standort. Die Sicherungsdateien und Partition sollten sich nicht beide ausschließlich an einem einzigen Standort befinden. Sorgen Sie dafür, dass sich die Sicherungen an einem sicheren Ort befinden. Sichern Sie die DNS-Zonen. Wenn Sie Active Directory-integrierte Zonen verwenden, werden diese bereits zusammen mit dem Systemstatus gesichert. Andernfalls müssen Sie jede Zone auf einer ausreichenden Anzahl von DNS-Servern sichern. Anmerkung DNS-Server speichern Einstellungen in der Registrierung. Daher ist für DNSServer eine Systemstatussicherung notwendig - unabhängig davon, ob die Zonendateien in Active Directory gespeichert werden oder nicht. Wenn Sie Anwendungspartitionen nutzen, stellen Sie sicher, dass Sie die Domänencontroller mit den entsprechenden Partitionen sichern. Erstellen Sie an jedem geografischen Standort, der den folgenden Kriterien entspricht, zusätzliche Sicherungen: Ausführung von geschäftskritischen Aufgaben. WAN-Ausfälle könnten die geschäftlichen Abläufe gefährden. Die folgenden Aufgaben wären aufgrund von langsamen Netzwerkverbindungen oder aufgrund einer großen Datenbank sehr kostenintensiv: Erstellen eines Domänencontrollers über das Netzwerk oder Kopieren oder Transportieren einer Systemstatussicherung von dessen Lageroder Speicherort zu dem entsprechenden Standort, um dort eine Installation von einem Sicherungsmedium durchzuführen. Anmerkung Eine Sicherung kann nur zur Wiederherstellung auf dem Domänencontroller dienen, auf dem sie gemacht wurde. Alternativ können jedoch neue in der gleichen Domäne erstellt werden. Es ist nicht möglich, mit einer Sicherung einen anderen Domänencontroller wiederherzustellen oder einen neuen Domänencontroller auf einer anderen Hardware zu installieren. Eine Sicherung eines Domänencontrollers unter Windows 2000 Server kann natürlich nicht zur Wiederherstellung eines Domänencontrollers unter Windows Server 2003 verwendet werden. Sicherungshäufigkeit Die Häufigkeit der Sicherung hängt von Kriterien ab, die von Umgebung zu Umgebung unterschiedlich sind. In den meisten Umgebungen werden täglich Änderungen an Verzeichnisobjekten vorgenommen. Computerkonten (inklusive Domänencontroller) ändern ihr Kennwort zum Beispiel standardmäßig alle 30 Tage. Dies führt dazu, dass sich wahrscheinlich jeden Tag ein paar Computerkennwörter ändern werden. Das Wiederherstellen von Computerkennworten kann sich auf die Authentifizierung und die Replikation auswirken. Ähnliches gilt zum Beispiel für die Benutzerkennwörter. Grundsätzlich kann man sagen, dass die potenziellen Probleme mit steigender Sicherungshäufigkeit abnehmen. Je mehr Active Directory-Objekte und Domänencontroller es gibt, desto häufiger sollten Sicherungen durchgeführt werden. In großen Organisationen kann es zum Beispiel sein, dass Sie nach einer Wiederherstellung einer versehentlich gelöschten OU aus einer mehrere Tage oder Wochen alten Sicherung hunderte von Benutzerkonten neu erstellen müssen. Kriterien für die Sicherungshäufigkeit Mit den folgenden Kriterien können Sie die Sicherungshäufigkeit bestimmen: Kleine Umgebungen mit nur einen Domänencontroller oder Domänen, die sich vollständig an einen physischen Standort befinden, sollten mindestens einmal am Tag gesichert werden. Mittlere (10 bis 49 Domänencontroller) und große (50 bis 1.000 Domänencontroller) Umgebungen: Führen Sie eine tägliche Sicherung jeder Partition auf mindestens zwei verschiedenen Domänencontrollern durch. Achten Sie hierbei besonders auf Gesamtstrukturen mit nur einem Domänencontroller, Domänen mit nur einem Domänencontroller und leere Stammdomänen. Steigern Sie die Häufigkeit der Sicherungen so lange, bis Sie sicher gehen können, dass seit der letzten Sicherung erstellte und geänderte (und somit verlorene Objekte) nicht zu schwerwiegenden Problemen des Betriebsablaufes führen. Umfangreiche Änderungen sollten daher zu einer sofortigen Sicherung führen. Anmerkung Sie sollten immer mindestens zwei Domänencontroller in jeder Domäne einsetzen. Sofortige Sicherung Zusätzlich zu den regelmäßigen Sicherungen sollte in den folgenden Situationen eine sofortige Sicherung durchgeführt werden: Verschieben der Active Directory-Datenbank- oder -Protokolldateien. Aktualisierung eines Domänencontrollers von Windows 2000 Server auf Windows Server 2003 und jegliche andere Betriebssystemaktualisierungen. Installation eines Servicepacks. Installation eines Hotfixes, der Änderungen an der Active Directory-Datenbank durchführt. Änderung der Tombstone-Lebensdauer. Sicherungs-Latenzintervall Auf Domänencontrollern unter Windows Server 2003 mit Service Pack 1 (SP1) gibt es ein neues Ereignis (ID 2089), das den Sicherungsstatus eines jeder Partition anzeigt, die auf dem Domänencontroller vorhanden ist - inklusive von Anwendungspartitionen. Das Ereignis wird dann angezeigt, wenn Partitionen nicht regelmäßig genug gesichert werden. Regelmäßig bedeutet hierbei, dass die Sicherungshäufigkeit unter dem Latenzintervall liegen muss. Das Latenzintervall wird in der Registrierung unter dem Eintrag Backup Latency Threshold (days) unter HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\Parameters gespeichert. Standardmäßig ist Backup Latency Threshold (days) halb so groß wie die TombstoneLebensdauer. Wenn eine Partition nach der halben Lebensdauer noch nicht gesichert wurde, wird also das Ereignis 2089 angezeigt. Dies wiederholt sich täglich so lange, bis die Partition gesichert wurde. Das Ereignis soll Administratoren warnen und entsprechende Anwendungen auf das Fehlen der Sicherung hinweisen. Es wird allerdings empfohlen, Sicherungen weit häufiger durchzuführen. Siehe auch Installation eines Domänencontrollers in einer bestehenden Domäne mithilfe von Sicherungsmedien Verwaltung der Active DirectorySicherung und -Wiederherstellung Mit den folgenden Verfahren können Sie Active Directory sichern und wiederherstellen: Sichern von Active Directory-Komponenten Durchführen einer nicht autorisierenden Wiederherstellung eines Domänencontrollers Durchführen einer autorisierenden Wiederherstellung von Active Directory-Objekten Durchführen einer autorisierenden Wiederherstellung einer Anwendungspartition Durchführen einer autorisierenden Wiederherstellung eines Gruppenrichtlinienobjektes Wiederherstellung eines Domänencontrollers über eine Neuinstallation gefolgt von einer Wiederherstellung einer Sicherung Wiederherstellung eines Domänencontrollers über eine Neuinstallation Sichern von Active DirectoryKomponenten Benennung von Sicherungsdateien Um eine korrekte Handhabung der Sicherungsdateien zu gewährleisten, sollten die .bkfDateien nach den folgenden Vorgaben benannt werden: FQDN des Domänencontrollers, auf dem die Sicherung ausgeführt wurde. Informationen dazu, ob es sich um einen Domänencontroller oder einen globalen Katalog handelt. Informationen dazu, ob es MD5-Checksummendaten für Sysvol gibt. Datum der Sicherung. Ein Name für eine Sicherungsdatei könnte also so aussehen: X:\FQDN.Build_Number.Service_Pack_Revision. [No]GC.[No]MD5.TSL.YYYYMMDD.bkf FQDN des Domänencontrollers. Build Number ist die Build-Nummer des Betriebssystems. Service_Pack_Revision ist die Build-Nummer des Service Packs, das installiert ist. [No]GC, um anzuzeigen, ob es sich um einen globalen Katalog handelt. [No]MD5, um anzuzeigen, ob MD5-Checksummen vorhanden sind. Weitere Informationen zu MD5-Checksummen finden Sie unter Vorbereiten eine Servers auf die Installation von einem Sicherungsmedium. TSL Wert in Tagen des Attributs tombstoneLifetime. YYYYMMDD Jahr, Monat, Tag der Sicherung. DC1.CONTOSO.COM.3790.SP0.GC.MD5.60.2005.07.01.BKF Eine Sicherung von DC1 vom 1.7.2005 bleibt bis zum 29.8.2005 gültig. Für die nächsten 60 Tage können Sie die Sicherung zur Werderherstellung nutzen. Anforderungen Um die unten beschriebenen Aufgaben ausführen zu können, sind die folgenden Tools notwendig: Sicherungs- und Wiederherstellungsassistenten (Ntbackup) Bandlaufwerk oder ein anderes Sicherungsmedium Abhängig von Ihren Anforderungen müssen Sie die folgenden Schritte ausführen: Sicherung des Systemstatus Sicherung des Systemstatus und des Systemvolumens Siehe auch Installation eines Domänencontrollers in einer bestehenden Domäne mithilfe von Sicherungsmedien Hinzufügen von Domäencontrollern an Remotestandorten Sicherung des Systemstatus Wenn Sie den Systemstatus mit Ntbackup.exe sichern, können Sie die geschützten Systemdateien mit sichern oder nicht. Diese Dateien sind für eine Installation mithilfe einer wiederhergestellten Sicherung nicht notwendig - in diesem Fall können Sie die Option deaktivieren. Sie verkleinern so die Größe der Sicherungsdatei und verringern den notwendigen Zeitaufwand. Mit den folgenden Verfahren können Sie nur den Systemstatus sichern. Das Systemvolumen oder andere Daten auf dem Domänencontroller werden nicht berücksichtigt. Mit dem ersten Verfahren, "Sicherung des Systemstatus inklusive der geschützten Systemdateien", können Sie Routinesicherungen des Systemstatus durchführen. Mit dem zweiten Verfahren, "Sicherung des Systemstatus exklusive der geschützten Systemdateien", können Sie eine kleinere Sicherung durchführen, die zur Installation von Domänencontrollern über Sicherungsmedien verwendet werden kann. Anmerkung Um den Systemstatus sichern zu können, müssen Sie als lokaler Administrator am Domänencontroller angemeldet sein. Alternativ muss der Remotedesktop aktiviert sein. Administrative Berechtigungen Um die folgenden Verfahren ausführen zu können, müssen Sie Mitglied der Gruppe Domänen-Admins oder Sicherungsoperatoren sein. Sicherung des Systemstatus inklusive der geschützten Systemdateien 1. Klicken Sie auf Start, klicken Sie auf Ausführen, geben Sie ntbackup ein, und klicken Sie dann auf OK. In diesem Verfahren verwenden Sie den Assistentenmodus. Standardmäßig ist die Option Immer im Assistentenmodus starten im Sicherungs- und Wiederherstellungsassistenten aktiviert. Klicken Sie andernfalls auf Assistentenmodus. 2. Klicken Sie auf Weiter. 3. Klicken Sie auf Dateien und Einstellungen sichern, und klicken Sie dann auf Weiter. 4. Klicken Sie auf Elemente für die Sicherung selbst auswählen, und klicken Sie dann auf Weiter. 5. Klicken Sie doppelt auf Arbeitsplatz. 6. Klicken Sie auf Systemstatus, und klicken Sie dann auf Weiter. 7. Wählen Sie einen Speicherort für die Sicherung aus: Anmerkung Sie sollten die Sicherung nicht auf einer lokalen Festplatte speichern. 8. Geben Sie einen Namen ein. Halten Sie sich an die Empfehlungen aus dem Abschnitt Sichern von Active Directory-Komponenten, und klicken Sie dann auf Weiter. 9. Klicken Sie auf Erweitert. 10. Klicken Sie auf Weiter. 11. Aktivieren Sie Daten nach der Sicherung prüfen, und klicken Sie dann auf Weiter. 12. Wählen Sie eine der Optionen aus, und klicken Sie dann auf Weiter. 13. Wenn Sie bestehende Sicherungen ersetzen, wählen Sie die Option, mit der nur dem Besitzer und dem Administrator Zugriff auf die Sicherungsdaten gewährt wird. Klicken Sie dann auf Weiter. 14. Wählen Sie eine für Sie passende Option aus, und klicken Sie dann auf Weiter. 15. Klicken Sie auf Fertigstellen. Anmerkung Sie können Ntbackup auch über die Eingabeaufforderung nutzen. Weitere Informationen erhalten Sie mit dem Befehl ntbackup /?. Sicherung des Systemstatus exklusive der geschützten Systemdateien 1. Klicken Sie auf Start, klicken Sie auf Ausführen, geben Sie ntbackup ein, und klicken Sie dann auf OK. 2. Klicken Sie auf Erweiterter Modus, und klicken Sie dann auf die Registerkarte Sichern. 3. Wählen Sie Systemstatus aus. 8. Geben Sie einen Namen ein. Halten Sie sich an die Empfehlungen aus dem Abschnitt Sichern von Active Directory-Komponenten, und klicken Sie dann auf Weiter. 5. Klicken Sie auf Sicherung starten, und klicken Sie dann auf Erweitert. 6. Deaktivieren Sie Geschützte Systemdateien automatisch mit dem Systemstatus sichern, und klicken Sie dann auf OK. 7. Klicken Sie auf Sicherung starten. Siehe auch Aktivieren von Remotedesktop Erstellen einer Remotedesktopverbindung Sicherung des Systemstatus und des Systemvolumens Mit diesem Verfahren können Sie den Systemstatus und das Systemvolumen sichern. Anmerkung Sie müssen lokal am Domänencontroller angemeldet sein. Alternativ muss Remotedesktop aktiviert sein. Administrative Berechtigungen Sie müssen Mitglied der Gruppe Domänen-Admins oder der Gruppe Sicherungsoperatoren sein. Sicherung des Systemstatus und des Systemvolumens 1. Klicken Sie auf Start, klicken Sie auf Ausführen, geben Sie ntbackup ein, und klicken Sie dann auf OK. 2. Klicken Sie auf Sicherungs-Assistent (Erweitert). 3. Klicken Sie auf Weiter. 4. Klicken Sie auf Ausgewählte Dateien, Laufwerke oder Netzwerkdateien sichern, und klicken Sie dann auf Weiter. 5. Klicken Sie auf Systemstatus. Markieren Sie außerdem das Laufwerk mit den Systemdateien, und klicken Sie dann auf Weiter. Wählen Sie einen Speicherort für die Sicherung aus: Anmerkung Sie sollten die Sicherung nicht auf einer lokalen Festplatte speichern. 7. Klicken Sie auf Erweitert. 8. Klicken Sie auf Weiter. 9. Aktivieren Sie Daten nach der Sicherung prüfen, und klicken Sie dann auf Weiter. 10. Wählen Sie eine der Optionen aus, und klicken Sie dann auf Weiter. 11. Wenn Sie bestehende Sicherungen ersetzen, wählen Sie die Option, mit der nur dem Besitzer und dem Administrator Zugriff auf die Sicherungsdaten gewährt wird. Klicken Sie dann auf Weiter. 12. Wählen Sie eine für Sie passende Option aus, und klicken Sie dann auf Weiter. 13. Klicken Sie auf Fertigstellen. Siehe auch Aktivieren von Remotedesktop Erstellen einer Remotedesktopverbindung Durchführen einer nicht autorisierenden Wiederherstellung eines Domänencontrollers Die nicht autorisierende Wiederherstellung ist das Standardverfahren zur Wiederherstellung von Active Directory. Um sie durchführen zu können, müssen Sie in der Lage sein, den Domänencontroller im Verzeichnisdienstwiederherstellungsmodus zu starten. Nachdem Sie den Domänencontroller wiederhergestellt haben, wird das Active Directory über die normale Replikation aktualisiert. Eine nicht autorisierende Wiederherstellung versetzt den Domänencontroller in den Status, den er zum Zeitpunkt der Sicherung hatte, und überschreibt diesen Status dann mit allen seit diesem Zeitpunkt erfolgten Änderungen. Wenn Sie gelöschte Objekte wiederherstellen möchten, sollten sie hingegen eine autorisierende Wiederherstellung durchführen. Anmerkung Durch eine nicht autorisierende Wiederherstellung wird auch automatisch eine nicht autorisierende Wiederherstellung von SYSVOL durchgeführt. Anforderungen Um die unten beschriebene Aufgabe ausführen zu können, sind die folgenden Tools erforderlich: NTBackup.exe. Um diese Aufgabe auszuführen, sind die folgenden Schritte erforderlich: 1. Starten Sie den Domänencontroller mit einem der folgenden Verfahren im Verzeichnisdienstwiederherstellungsmodus: Lokaler Neustart des Domänencontrollers im Verzeichnisdienstwiederherstellungsmodus Neustart des Domänencontrollers im Verzeichnisdienstwiederherstellungsmodus von einem Remotestandort aus Anmerkung Wenn Sie das Betriebssystem wiederherstellen müssen, brauchen Sie keine nicht autorisierende Wiederherstellung im Verzeichnisdienstwiederherstellungsmodus durchführen. Sie können die Wiederherstellung in diesem Fall nach einem normalen Systemstart durchführen. 2. Wiederherstellung mithilfe eines Sicherungsmediums 3. Überprüfen der Active Directory-Wiederherstellung Siehe auch Durchführen einer autorisierenden Wiederherstellung von Active DirectoryObjekten Aktivieren von Remotedesktop Erstellen einer Remotedesktopverbindung Lokaler Neustart des Domänencontrollers im Verzeichnisdienstwiederherstellungsmod us Wenn Sie physischen Zugriff auf den Domänecontroller haben, können Sie diesen lokal im Verzeichnisdienstwiederherstellungsmodus starten. Im Verzeichnisdienstwiederherstellungsmodus wird das lokale Administratorkonto über die Security Accounts Manager-Datenbank (SAM) überprüft. Daher benötigen Sie das Wiederherstellungskennwort - nicht das normale Administratorkennwort. Administrative Berechtigungen Um dieses Verfahren durchführen zu können, benötigen Sie das Verzeichnisdienstwiederherstellungskennwort. Lokaler Neustart des Domänencontrollers im Verzeichnisdienstwiederherstellungsmodus 1. Starten Sie den Domänencontroller neu. 2. Wenn die Betriebssystemauswahl angezeigt wird, drücken Sie F8. 3. Wählen Sie unter Erweiterte Optionen die Option Verzeichnisdienstwiederherstellungsmodus. 4. Melden Sie sich als lokaler Administrator an. Siehe auch Neustart des Domänencontrollers im Verzeichnisdienstwiederherstellungsmodus von einem Remotestandort aus Neustart des Domänencontrollers im Verzeichnisdienstwiederherstellungsmod us von einem Remotestandort aus Wenn Remotedesktop auf dem Domänencontroller aktiviert ist, können Sie eine Remotedesktopverbindung nutzen. Mit einer Remotedesktopverbindung müssen Sie zuerst die Datei Boot.ini bearbeiten, bevor Sie den Domänencontroller remote im Verzeichniswiederherstellungsmodus starten können - ansonsten verlieren Sie beim Neustart die Verbindung zum Domänencontroller. Zum Start im Verzeichnisdienstwiederherstellungsmodus sind das lokale Administratorkonto und das Wiederherstellungskennwort notwendig. Dieses wird von der lokalen SAM authentifiziert. Administrative Berechtigungen Um dieses Verfahren durchführen zu können, müssen Sie das Administratorkennwort für den Verzeichnisdienstwiederherstellungsmodus kennen. Neustart des Domänencontrollers im Verzeichnisdienstwiederherstellungsmodus von einem Remotestandort aus 1. Verbinden Sie sich über eine Remotedesktopverbindung mit dem Domänencontroller. 2. Klicken Sie mit rechts auf Arbeitsplatz, klicken Sie auf Eigenschaften, und klicken Sie dann auf die Registerkarte Erweitert. 3. Klicken Sie unter Starten und Wiederherstellen auf Einstellungen. 4. Klicken Sie auf Bearbeiten. 5. Erweitern Sie den Standardeintrag um /SAFEBOOT:DSREPAIR: multi(0)disk(0)rdisk(0)partition(2)\WINNT=”IhrServerName” /fastdetect /SAFEBOOT:DSREPAIR Anmerkung /SAFEBOOT:DSREPAIR kann für Windows 2000 Server und Windows Server 2003 verwendet werden. 6. Speichern Sie die Datei. 7. Starten Sie den Server neu. 8. Verbinden Sie sich neu mit dem Server. 9. Melden Sie sich als lokaler Administrator an. 10. Klicken Sie mit rechts auf Arbeitsplatz, klicken Sie auf Eigenschaften, und klicken Sie dann auf die Registerkarte Erweitert. 11. Klicken Sie unter Starten und Wiederherstellen auf Einstellungen. 12. Klicken Sie auf Bearbeiten. 13. Löschen Sie die Option /SAFEBOOT:DSREPAIR wieder. Siehe auch Aktivieren von Remotedesktop Erstellen einer Remotedesktopverbindung Lokaler Neustart des Domänencontrollers im Verzeichnisdienstwiederherstellungsmodus Wiederherstellung mithilfe eines Sicherungsmediums Anmerkung Zur Wiederherstellung müssen Sie sich lokal am Domänencontroller oder über eine Remotedesktopverbindung anmelden. Administrative Berechtigungen Um dieses Verfahren durchführen zu können, müssen Sie das Administratorkennwort für den Verzeichnisdienstwiederherstellungsmodus kennen. Wiederherstellung mithilfe eines Sicherungsmediums 1. Starten Sie den Computer im Verzeichnisdienstwiederherstellungsmodus. 2. Klicken Sie auf Start, klicken Sie auf Ausführen, geben Sie ntbackup ein, und klicken Sie dann auf OK. In diesem Verfahren verwenden Sie den Assistentenmodus. Standardmäßig ist die Option Immer im Assistentenmodus starten im Sicherungs- und Wiederherstellungsassistenten aktiviert. Klicken Sie andernfalls auf Assistentenmodus. 3. Klicken Sie auf Weiter. 4. Klicken Sie auf Dateien und Einstellungen wiederherstellen, und klicken Sie dann auf Weiter. 5. Klicken Sie auf Systemstatus, und klicken Sie dann auf Weiter. 6. Klicken Sie auf Erweitert. 7. Klicken Sie auf Ursprünglicher Bereich, und klicken Sie dann auf Weiter. 8. Klicken Sie auf Vorhandene Dateien beibehalten (empfohlen), und klicken Sie dann auf Weiter. 9. Wählen Sie die folgenden Optionen aus, und klicken Sie dann auf Weiter: Sicherheitseinstellungen wiederherstellen Nur Abzweigungspunkte wiederherstellen, nicht die Ordner und Dateidaten, auf die verwiesen wird Vorhandene Bereitstellungspunkte beibehalten 10. Für eine primäre Wiederherstellung von SYSVOL müssen Sie außerdem die folgende Option auswählen: Die wiederhergestellten Daten bei einer Wiederherstellung von Replikationssätzen als primäre Dateien für alle Replikate markieren. Eine primäre Wiederherstellung ist dann notwendig, wenn der Domänencontroller der einzige Domänencontroller der Domäne ist. 11. Klicken Sie auf Fertigstellen. 12. Führen Sie nach der Wiederherstellung eine der folgenden Aufgaben aus: Wenn Sie keine Objekte autorisierend wiederherstellen möchten, klicken Sie auf Ja und starten Sie den Computer neu. Wenn sie Objekte autorisierend wiederherstellen möchten, klicken Sie auf Nein und führen Sie die Aufgabe Durchführen einer autorisierenden Wiederherstellung von Active Directory-Objekten aus. Siehe auch Lokaler Neustart des Domänencontrollers im Verzeichnisdienstwiederherstellungsmodus Aktivieren von Remotedesktop Erstellen einer Remotedesktopverbindung Neustart des Domänencontrollers im Verzeichnisdienstwiederherstellungsmodus von einem Remotestandort aus Wiederherstellen des Systemstatus an einem anderen Speicherort Durchführen einer autorisierenden Wiederherstellung von Active DirectoryObjekten Überprüfen der Active DirectoryWiederherstellung Nach einer Wiederherstellung sollten Sie diese überprüfen. Administrative Berechtigungen Um dieses Verfahren ausführen zu können, müssen Sie Mitglied der Gruppe DomänenAdmins sein. Überprüfen der Active Directory-Wiederherstellung 1. Starten Sie den Domänencontroller im normalen Modus. Es wird daraufhin automatisch eine Integritätsprüfung und eine Neuindizierung der Datenbank durchgeführt. 2. Prüfen Sie nach der Anmeldung, ob alle Objekte in Active Directory vorhanden sind. Durchführen einer autorisierenden Wiederherstellung von Active DirectoryObjekten Eine autorisierende Wiederherstellung versetzt die entsprechenden Objekte oder Container in den Status, den diese zum Zeitpunkt der Sicherung gehabt haben. Sie können eine autorisierende Wiederherstellung zum Beispiel dann durchführen, wenn versehentlich eine OU und eine größere Anzahl von Benutzern gelöscht wurden. Mit einer nicht autorisierenden Wiederherstellung ist keine Wiederherstellung von gelöschten Objekten möglich. Dies liegt daran, dass die wiederhergestellten Objekte in diesem Fall nach der Wiederherstellung mit den seit der Sicherung aufgetretenen Änderungen (zum Beispiel der Löschung) aktualisiert wurden. Wenn Sie Objekte für eine autorisierende Wiederherstellung markieren, wird deren Versionsnummer so weit erhöht, dass diese größer ist als die Versionsnummer des aktuellen (gelöschten) Objektes. Diese Änderung führt dazu, dass die so wiederhergestellten Daten repliziert und die vorhandenen Daten überschrieben werden. Eine autorisierende Wiederherstellung sollte nicht zur Wiederherstellung eines ganzen Domänencontrollers oder als Teil einer Änderung der Infrastruktur verwendet werden. Wiederherstellung von Gruppenmitgliedschaften nach einer autorisierende Wiederherstellung Wenn ein Benutzerobjekt versehentlich gelöscht wurde, können Sie es mit einer autorisierenden Wiederherstellung wiederherstellen. Es kann allerdings sein, dass die Gruppenmitgliedschaften des Benutzers mit diesem Verfahren nicht wiederhergestellt werden - dies hängt von der Funktionsebene der Gesamtstruktur und vom Zeitpunkt der Erstellung der Gruppe, der der Benutzer angehört, ab. LVR und die Wiederherstellung von Gruppenmitgliedschaften Die Wiederherstellung von Gruppenmitgliedschaften hängt davon ab, ob die Gruppe vor oder nach der Implementierung einer Windows Server 2003-Funktionalität mit dem Namen LVR (Linked-Value Replication) erstellt wurde. LVR ist ein Feature, das erst zur Verfügung steht, wenn die Funktionsebene der Gesamtstruktur Windows Server 2003interim oder Windows Server 2003 ist. Bei Gruppen, die vorher erstellt wurden, wird das Mitglieder-Attribut als Einzelwert repliziert. Daher führt jede Änderung der Gruppenmitgliedschaften zu einer Replikation des gesamten Attributes. In den Gruppen, die mit LVR erstellt wurden, werden Aktualisierungen des Gruppenmitglieder-Attributes einzeln repliziert. Dies führt dazu, dass bei einer autorisierenden Wiederherstellung auch die Gruppenmitgliedschaften wiederhergestellt werden. Das Attribut memberOf (forward-link) verweist nur auf das member-Attribut (backwardlink). Daher ist es für eine Wiederherstellung der Gruppenmitgliedschaften notwendig, das member-Attribut der jeweiligen Gruppe zu aktualisieren. Anmerkung Nur forward-link-Attributwerte können aktualisiert und repliziert werden. Backlink-Attributwerte werden nur generiert, wenn auf sie zugegriffen wird. Sie werden nicht gespeichert. Die Version von Ntdsutil, die mit Windows Server 2003 Service Pack 1 (SP1) zur Verfügung stellt wird verfügt über weiter verfeinerte Möglichkeiten zur Wiederherstellung von Gruppenmitgliedschaften, die vor der Nutzung von LVR erstellt wurden. Verbesserung der autorisierenden Wiederherstellung unter Windows Server 2003 SP1 Unter Windows Server 2003 mit SP1 erstellt Ntdsutil jetzt eine Textdatei mit den autorisierend wiederhergestellten Objekten und nutzt diese Datei, um eine LDIF-Datei zu erstellen. Diese Datei kann dann dazu genutzt werden, alle back-links der wiederhergestellten Objekte zu erneuern. Sie müssen diesen Vorgang in jeder Domäne Ihrer Gesamtstruktur durchführen. Sie beginnen eine autorisierende Wiederherstellung immer mit einer nicht autorisierenden Wiederherstellung von einem Sicherungsmedium. Dann führen Sie die zusätzlich für die autorisierende Wiederherstellung erforderlichen Schritte aus und stellen, wenn notwendig, die Gruppenmitgliedschaften wieder her. Verfahren für Domänencontroller unter Windows Server 2003 SP1 Dieses Verfahren schließt das Erstellen eine LDIF-Datei zur Wiederherstellung von Gruppenmitgliedschaften mit ein. Anforderungen Um die unten beschriebenen Aufgaben ausführen zu können, sind die folgenden Tools notwendig: Ntbackup.exe Ntdsutil.exe Repadmin.exe 1. Wiederherstellung mithilfe eines Sicherungsmediums Stellen Sie den Systemstatus wieder her. Damit keine Replikation durchgeführt wird, klicken Sie zum Schluss auf Nein und vermeiden den Neustart. 2. Markieren von Objekten als autorisierend Markieren Sie die entsprechenden Objekte so, dass diese nicht von der Replikation überschrieben werden. 3. Starten Sie den Domänencontroller neu. 4. Synchronisation der Replikation mit allen Partnern Damit die wiederhergestellten Objekte für alle Domänencontroller zur Verfügung stehen, muss eine Replikation durchgeführt werden. Stellen Sie sicher, dass alle Domänencontroller der Domäne und alle globalen Katalog Server der Gesamtstruktur die wiederhergestellten Objekte erhalten haben. 5. Mit dem folgenden Verfahren führen Sie die in Schritt zwei erstellte LDIF-Datei auf dem Domänencontroller aus und fügen die fehlenden Gruppenmitgliedschaften für diese Domäne hinzu. Ausführen eine LDIF-Datei zur Wiederherstellung von Back-Links 6. Wenn Sie Benutzer- oder Gruppenobjekte in einer Gesamtstruktur mit mehr als einer Domäne wiederherstellen, führen Sie die folgenden Schritte auf einem Domänencontroller einer anderen Domäne aus: a. Lokaler Neustart des Domänencontrollers im Verzeichnisdienstwiederherstellungsmodus b. Wiederherstellung mithilfe eines Sicherungsmediums c. Im Verzeichnisdienstwiederherstellungsmodus nutzen Sie Ntdsutil, um das Verfahren Erstellen einer LDIF-Datei zur Wiederherstellung von Back-Links auszuführen. d. Starten Sie den Domänencontroller normal. e. Führen Sie die Aufgabe Ausführen eine LDIF-Datei zur Wiederherstellung von Back-Links auf einem anderen Domänencontroller als dem, auf dem Sie die LDIF-Datei erstellt haben, aus. 7. Wiederholen Sie Schritt 6 für jede weitere Domäne. Verfahren für Domänencontroller unter Windows Server 2003 ohne Service Pack Anmerkung Wenn zu den gelöschten Objekten keine Gruppen gehören, können Sie die Schritte 3 bis 10 überspringen. Sollte es in den gelöschten Gruppen nur Objekte geben, die ebenfalls gelöscht wurden, können Sie die Schritte ebenfalls überspringen. 1. Wiederherstellung mithilfe eines Sicherungsmediums Stellen Sie den Systemstatus wieder her. Damit keine Replikation durchgeführt wird, klicken Sie zum Schluss auf Nein und vermeiden den Neustart. 2. Markieren von Objekten als autorisierend Markieren Sie die entsprechenden Objekte so, dass diese nicht von der Replikation überschrieben werden. 3. Starten Sie den Computer normal, aber isoliert. Sie haben so die Möglichkeit, die Replikation so zu steuern, dass die wiederhergestellten Objekte nicht durch eine eingehende Replikation aktualisiert werden, bevor eine ausgehende Replikation durchgeführt werden konnte. Am einfachsten ist es, den Domänencontroller physisch vom Netzwerk zu trennen. Es ist wichtig, die Kommunikation mit allen anderen Domänencontrollern zu unterbinden. Außerdem sollte der Domänencontroller von allen Clients isoliert werden, die möglicherweise Änderungen an Objekten vornehmen könnten. 4. Deaktivieren der eingehenden Replikation Dieser Schritt ist nur dann notwendig, wenn die Domäne oder Gesamtstruktur in der Funktionsebene Windows 2000-pur oder einer untergeordneten Funktionsebene arbeitet. 5. Verbinden Sie den Computer wieder mit dem Netzwerk. 6. Synchronisation der Replikation mit allen Partnern Damit die wiederhergestellten Objekte auf allen Domänencontroller zur Verfügung stehen, muss eine Replikation stattfinden. 7. Lokaler Neustart des Domänencontrollers im Verzeichnisdienstwiederherstellungsmodus 8. Markieren von Objekten als autorisierend Eines der Probleme beim Wiederherstellen von Objekten und den Gruppenmitgliedschaften ist die Tatsache, dass Mitgliedschaften und Objekte in unterschiedlicher Reihenfolge repliziert werden können. Wenn eine Mitgliedschaft vor dem wiederhergestellten Benutzer repliziert wird, aktualisiert der Domänencontroller diese nicht - denn der Benutzer ist ja nicht vorhanden. Um diesen Effekt zu beheben ist es notwendig, die wiederhergestellten Objekte nach der Replikation ein zweites Mal als autorisierend zu markieren. 9. Starten sie den Computer normal. 10. Aktivieren der eingehenden Replikation Wiederherstellung mithilfe eines Sicherungsmediums Anmerkung Zur Wiederherstellung müssen Sie sich lokal am Domänencontroller oder über eine Remotedesktopverbindung anmelden. Administrative Berechtigungen Um dieses Verfahren durchführen zu können, müssen Sie das Administratorkennwort für den Verzeichnisdienstwiederherstellungsmodus kennen. Wiederherstellung mithilfe eines Sicherungsmediums 1. Starten Sie den Computer im Verzeichnisdienstwiederherstellungsmodus. 2. Klicken Sie auf Start, klicken Sie auf Ausführen, geben Sie ntbackup ein, und klicken Sie dann auf OK. In diesem Verfahren verwenden Sie den Assistentenmodus. Standardmäßig ist die Option Immer im Assistentenmodus starten im Sicherungs- und Wiederherstellungsassistenten aktiviert. Klicken Sie andernfalls auf Assistentenmodus. 3. Klicken Sie auf Weiter. 4. Klicken Sie auf Dateien und Einstellungen wiederherstellen, und klicken Sie dann auf Weiter. 5. Klicken Sie auf Systemstatus, und klicken Sie dann auf Weiter. 6. Klicken Sie auf Erweitert. 7. Klicken Sie auf Ursprünglicher Bereich, und klicken Sie dann auf Weiter. 8. Klicken Sie auf Vorhandene Dateien beibehalten (empfohlen), und klicken Sie dann auf Weiter. 9. Wählen Sie die folgenden Optionen aus, und klicken Sie dann auf Weiter: Sicherheitseinstellungen wiederherstellen Nur Abzweigungspunkte wiederherstellen, nicht die Ordner und Dateidaten, auf die verwiesen wird Vorhandene Bereitstellungspunkte beibehalten 10. Für eine primäre Wiederherstellung von SYSVOL müssen Sie außerdem die folgende Option auswählen: Die wiederhergestellten Daten bei einer Wiederherstellung von Replikationssätzen als primäre Dateien für alle Replikate markieren. Eine primäre Wiederherstellung ist dann notwendig, wenn der Domänencontroller der einzige Domänencontroller der Domäne ist. 11. Klicken Sie auf Fertigstellen. 12. Führen Sie nach der Wiederherstellung eine der folgenden Aufgaben aus: Wenn Sie keine Objekte autorisierend wiederherstellen möchten, klicken Sie auf Ja und starten Sie den Computer neu. Wenn sie Objekte autorisierend wiederherstellen möchten, klicken Sie auf Nein und führen Sie die Aufgabe Durchführen einer autorisierenden Wiederherstellung von Active Directory-Objekten aus. Siehe auch Lokaler Neustart des Domänencontrollers im Verzeichnisdienstwiederherstellungsmodus Aktivieren von Remotedesktop Erstellen einer Remotedesktopverbindung Neustart des Domänencontrollers im Verzeichnisdienstwiederherstellungsmodus von einem Remotestandort aus Wiederherstellen des Systemstatus an einem anderen Speicherort Durchführen einer autorisierenden Wiederherstellung von Active DirectoryObjekten Markieren von Objekten als autorisierend Mit diesem Verfahren wählen Sie aus, welche Objekte als autorisierend markiert werden. Administrative Berechtigungen Um dieses Verfahren durchführen zu können, müssen Sie das Administratorkennwort für den Verzeichnisdienstwiederherstellungsmodus kennen. Markieren von Objekten als autorisierend 1. Klicken Sie im Verzeichnisdienstwiederherstellungsmodus auf Start, klicken Sie auf Ausführen, geben Sie ntdsutil ein, und drücken Sie die EINGABETASTE. 2. Geben Sie authoritative restore ein, und drücken Sie die EINGABETASTE. 3. Geben Sie einen der folgenden Befehle ein, und drücken Sie die EINGABETASTE: Um einen Container und die Untercontainer wiederherzustellen (zum Beispiel eine OU und alle Objekte in der OU): restore subtree DistinguishedName Um ein einzelnes Objekte wiederherzustellen: restore object DistinguishedName 4. Klicken Sie auf Ja. Wenn Sie zum Beispiel eine gelöschte OU mit dem Namen Marketing NorthAm in der Domäne corp.contoso.com wiederherstellen möchten, lautet der Befehl: restore subtree “OU=Marketing NorthAm,DC=corp,DC=contoso,DC=com” Ntdsutil versucht, die Objekte zu markieren. Wenn Fehler auftreten, liegt dies meistens an einem falsch geschriebenen DN. Unter Windows Server 2003 Service Pack 1 (SP1) zeigt Ntdsutil an, ob es wiederherzustellende Back-Links gibt. Wenn dies der Fall ist, erstellt Ntdsutil Dateien, mit denen diese wiederhergestellt werden können. Die entsprechende Ausgabe unter Windows Server 2003 SP1 sieht zum Beispiel so aus: Successfully updated 3 records. The following text file with a list of authoritatively restored objects has been created in the current working directory: ar_20050209-091249_objects.txt One or more specified objects have back-links in this domain. The following LDIF files with link restore operations have been created in the current working directory: ar_20050209-091249_links_Test1.com.ldf Authoritative Restore completed successfully. 5. Merken Sie sich die Speicherorte der Daten. Sie benötigen sie zur Wiederherstellung der Back-Links. Mit der txt-Datei können Sie LDIF-Dateien erstellen, mit denen Sie die Back-Links für andere Domänen wiederherstellen können. 6. Geben Sie zweimal quit ein. 7. Starten Sie den Domänencontroller im normalen Modus: a. Bei einem Domänencontroller unter Windows Server 2003 ohne Service Pack trennen Sie diesen vom Netzwerk, und starten Sie ihn normal. Gehen Sie nach den Anweisungen aus dem Abschnitt Durchführen einer autorisierenden Wiederherstellung von Active Directory-Objekten vor. b. Bei einem Domänencontroller unter Windows Server 2003 mit SP1 starten Sie diesen normal, und gehen Sie nach den Anweisungen im Abschnitt Durchführen einer autorisierenden Wiederherstellung von Active DirectoryObjekten vor. Synchronisation der Replikation mit allen Partnern Administrative Berechtigungen Um dieses Verfahrung durchführen zu können, müssen Sie Mitglied der Gruppe Domänen-Admins in der Domäne des entsprechenden Domänencontrollers oder der Gruppe Organisations-Admins sein. Wenn Sie die Schema- und Konfigurationspartition synchronisieren möchten, müssen Sie Domänen-Admin in der Stammdomäne oder Organisations-Admin sein. Synchronisation der Replikation mit allen Partnern 1. Geben Sie den folgenden Befehl ein, und drücken Sie dann die EINGABETASTE: repadmin /syncall DCName /e /d /A /P /q Parameter Beschreibung DCName DNS-Name des Domänencontrollers, der mit allen Partnern synchronisiert werden soll. /e Alle Partner /d Identifiziert Server über DNs. /A Alle. Synchronisiert alle Partitionen auf dem Server. /P Repliziert Änderungen vom Server. /q Stiller Modus. Ausführen ohne Rückmeldungen. 2. Prüfen Sie, ob es Replikationsfehler gibt. Siehe auch Überprüfen der erfolgreichen Replikation mit einem anderen Domänencontroller Ausführen einer LDIF-Datei zur Wiederherstellung von Back-Links Mit der autorisierenden Wiederherstellung wird mit SP1 eine LDIF-Datei ausgegeben, mit der die Back-Links aktualisiert werden können. Sie müssen für jedes wiederherzustellende Objekt die LDIF-Datei auf einem Domänencontroller in jeder Domäne, in denen es Gruppen gibt in denen das Objekt Mitglied ist ausführen. Anmerkung Dieses Verfahren ist nur für Benutzer-, Gruppen- und Computerobjekte wichtig trotzdem wirkt es sich auf alle wiederhergestellten Objekte aus, die über BackLink-Attribute verfügen. Administrative Berechtigungen Um dieses Verfahrung durchführen zu können, müssen Sie Mitglied der Gruppe Domänen-Admins in der Domäne des Domänencontrollers sein, auf dem Sie die Befehle ausführen. Ausführen einer LDIF-Datei zur Wiederherstellung von Back-Links 1. Öffnen Sie eine Eingabeaufforderung, und wechseln Sie in das Verzeichnis mit der LDIF-Datei. 2. Geben Sie den folgenden Befehl ein, und drücken Sie dann die EINGABETASTE: ldifde -i -k -f Dateiname Dateiname Name der LDIF-Datei. Beispiel: ar_20050609174604_links_corp.contoso.com.ldf Siehe auch Erstellen einer LDIF-Datei zur Wiederherstellung von Back-Links Lokaler Neustart des Domänencontrollers im Verzeichnisdienstwiederherstellungsmod us Wenn Sie physischen Zugriff auf den Domänecontroller haben, können Sie diesen lokal im Verzeichnisdienstwiederherstellungsmodus starten. Im Verzeichnisdienstwiederherstellungsmodus wird das lokale Administratorkonto über die Security Accounts Manager-Datenbank (SAM) überprüft. Daher benötigen Sie das Wiederherstellungskennwort - nicht das normale Administratorkennwort. Administrative Berechtigungen Um dieses Verfahren durchführen zu können, benötigen Sie das Verzeichnisdienstwiederherstellungskennwort. Lokaler Neustart des Domänencontrollers im Verzeichnisdienstwiederherstellungsmodus 1. Starten Sie den Domänencontroller neu. 2. Wenn die Betriebssystemauswahl angezeigt wird, drücken Sie F8. 3. Wählen Sie unter Erweiterte Optionen die Option Verzeichnisdienstwiederherstellungsmodus. 4. Melden Sie sich als lokaler Administrator an. Siehe auch Neustart des Domänencontrollers im Verzeichnisdienstwiederherstellungsmodus von einem Remotestandort aus Erstellen einer LDIF-Datei zur Wiederherstellung von Back-Links Mit dem folgenden Verfahren können Sie eine LDIF-Datei zur Wiederherstellung der Back-Links erstellen. Führen Sie das Verfahren auf einem Domänencontroller der Domäne mit den Back-Links aus. Bevor Sie das Verfahren ausführen, muss folgendes erledigt sein: Kopieren Sie die txt-Datei, die Ntdsutil erstellt hat, auf diesen Domänencontroller oder in eine Freigabe. Stellen Sie den Domänencontroller vom Sicherungsmedium wieder her. Führen Sie dieses Verfahren aus, wenn der Domänencontroller noch im Verzeichnisdienstwiederherstellungsmodus ist. Administrative Berechtigungen Sie benötigen das Administratorkennwort für den Verzeichnisdienstwiederherstellungsmodus. Erstellen einer LDIF-Datei zur Wiederherstellung von Back-Links 1. Im Verzeichnisdienstwiederherstellungsmodus klicken Sie auf Start, klicken Sie auf Ausführen, geben Sie ntdsutil ein, und drücken Sie die EINGABETASTE. 2. Geben Sie authoritative restore ein, und drücken Sie die EINGABETASTE. 3. Geben Sie den folgenden Befehl ein, und drücken Sie dann die EINGABETASTE: create ldif files from TextFilePath TextFilePath ist der Speicherort der txt-Datei, die von Ntdsutil erstellt wurde. 4. Geben Sie quit ein. Siehe auch Wiederherstellung mithilfe eines Sicherungsmediums Ausführen eine LDIF-Datei zur Wiederherstellung von Back-Links Deaktivieren der eingehenden Replikation Administrative Berechtigungen Um dieses Verfahrung durchführen zu können, müssen Sie Mitglied der Gruppe Domänen-Admins in der Domäne des Domänencontroller sein, dessen Replikation Sie deaktivieren möchten, oder der Gruppe Organisations-Admins sein. Deaktivieren der eingehenden Replikation 1. Öffnen Sie eine Eingabeaufforderung. 2. Geben Sie den folgenden Befehl ein, und drücken Sie dann die EINGABETASTE: repadmin /options ServerName +DISABLE_INBOUND_REPL ServerName ist der NetBIOS des Domänencontrollers. 3. Prüfen Sie, ob die Option aktiviert ist. Es muss die folgende Ausgabe angezeigt werden: New DC Options: DISABLE_INBOUND_REPL Siehe auch Aktivieren der eingehenden Replikation Aktivieren der eingehenden Replikation Administrative Berechtigungen Um dieses Verfahrung durchführen zu können, müssen Sie Mitglied der Gruppe Domänen-Admins in der Domäne des Domänencontroller sein, dessen Replikation Sie aktivieren möchten, oder der Gruppe Organisations-Admins sein. Aktivieren der eingehenden Replikation 1. Öffnen Sie eine Eingabeaufforderung. 2. Geben Sie den folgenden Befehl ein, und drücken Sie dann die EINGABETASTE: repadmin /options ServerName -DISABLE_INBOUND_REPL ServerName ist der NetBIOS des Domänencontrollers. 3. Prüfen Sie, ob die Option aktiviert ist. Es muss die folgende Ausgabe angezeigt werden: Current DC options: DISABLE_INBOUND_REPL New DC Options: <none Siehe auch Deaktivieren der eingehenden Replikation Durchführen einer autorisierenden Wiederherstellung einer Anwendungspartition Mit diesem Verfahren markieren Sie alle Daten in der Anwendungspartition als autorisierend. Die entsprechenden Daten werden auf alle Domänencontroller repliziert, die die Anwendungspartition hosten. Anforderungen Um die unten beschriebenen Aufgaben ausführen zu können, sind die folgenden Tools notwendig: Backup.exe Ntdsutil.exe Um diese Aufgabe auszuführen, sind die folgenden Schritte erforderlich: 1. Wiederherstellung mithilfe eines Sicherungsmediums 2. Markieren der Anwendungspartition als autorisierend 3. Starten Sie den Computer neu. Wiederherstellung mithilfe eines Sicherungsmediums Anmerkung Zur Wiederherstellung müssen Sie sich lokal am Domänencontroller oder über eine Remotedesktopverbindung anmelden. Administrative Berechtigungen Um dieses Verfahren durchführen zu können, müssen Sie das Administratorkennwort für den Verzeichnisdienstwiederherstellungsmodus kennen. Wiederherstellung mithilfe eines Sicherungsmediums 1. Starten Sie den Computer im Verzeichnisdienstwiederherstellungsmodus. 2. Klicken Sie auf Start, klicken Sie auf Ausführen, geben Sie ntbackup ein, und klicken Sie dann auf OK. In diesem Verfahren verwenden Sie den Assistentenmodus. Standardmäßig ist die Option Immer im Assistentenmodus starten im Sicherungs- und Wiederherstellungsassistenten aktiviert. Klicken Sie andernfalls auf Assistentenmodus. 3. Klicken Sie auf Weiter. 4. Klicken Sie auf Dateien und Einstellungen wiederherstellen, und klicken Sie dann auf Weiter. 5. Klicken Sie auf Systemstatus, und klicken Sie dann auf Weiter. 6. Klicken Sie auf Erweitert. 7. Klicken Sie auf Ursprünglicher Bereich, und klicken Sie dann auf Weiter. 8. Klicken Sie auf Vorhandene Dateien beibehalten (empfohlen), und klicken Sie dann auf Weiter. 9. Wählen Sie die folgenden Optionen aus, und klicken Sie dann auf Weiter: Sicherheitseinstellungen wiederherstellen Nur Abzweigungspunkte wiederherstellen, nicht die Ordner und Dateidaten, auf die verwiesen wird Vorhandene Bereitstellungspunkte beibehalten 10. Für eine primäre Wiederherstellung von SYSVOL müssen Sie außerdem die folgende Option auswählen: Die wiederhergestellten Daten bei einer Wiederherstellung von Replikationssätzen als primäre Dateien für alle Replikate markieren. Eine primäre Wiederherstellung ist dann notwendig, wenn der Domänencontroller der einzige Domänencontroller der Domäne ist. 11. Klicken Sie auf Fertigstellen. 12. Führen Sie nach der Wiederherstellung eine der folgenden Aufgaben aus: Wenn Sie keine Objekte autorisierend wiederherstellen möchten, klicken Sie auf Ja und starten Sie den Computer neu. Wenn sie Objekte autorisierend wiederherstellen möchten, klicken Sie auf Nein und führen Sie die Aufgabe Durchführen einer autorisierenden Wiederherstellung von Active Directory-Objekten aus. Siehe auch Lokaler Neustart des Domänencontrollers im Verzeichnisdienstwiederherstellungsmodus Aktivieren von Remotedesktop Erstellen einer Remotedesktopverbindung Neustart des Domänencontrollers im Verzeichnisdienstwiederherstellungsmodus von einem Remotestandort aus Wiederherstellen des Systemstatus an einem anderen Speicherort Durchführen einer autorisierenden Wiederherstellung von Active DirectoryObjekten Markieren der Anwendungspartition als autorisierend Vor diesem Verfahren müssen Sie eine nicht autorisierende Wiederherstellung abgeschlossen haben. Der Domänencontroller darf jedoch nicht neu gestartet werden, sondern muss im Verzeichnisdienstwiederherstellungsmodus verbleiben. Administrative Berechtigungen Sie benötigen das Administratorkennwort für den Verzeichnisdienstwiederherstellungsmodus. Markieren der Anwendungspartition als autorisierend 1. Öffnen Sie im Verzeichnisdienstwiederherstellungsmodus eine Eingabeaufforderung. 2. Geben Sie den folgenden Befehl ein, und drücken Sie dann die EINGABETASTE: ntdsutil 3. Geben Sie authoritative restore ein, und drücken Sie die EINGABETASTE. 4. Geben Sie List NC CRs, und drücken Sie die EINGABETASTE. Ntdsutil zeigt eine Liste mit Partionen an, die nach der Wiederherstellung verfügbar sind, und die entsprechenden Kreuzreferenzen an. Notieren Sie sich die DNs der Kreuzreferenzen und Anwendungspartitionen, die der Partition entsprechen, die wiederhergestellt werden soll. 5. Geben Sie den Befehl restore subtree App Partition DN an (wobei App Partition DN der DN der wiederherzustellenden Anwendungspartition ist). 6. Klicken Sie auf Yes. 7. Geben Sie den Befehl restore object Cross Ref DN ein (wobei Cross Ref DN der DN der Anwendungspartition-Kreuzreferenz ist, die wiederhergestellt werden soll), und drücken Sie die EINGABETASTE. 8. Klicken Sie auf Yes. Durchführen einer autorisierenden Wiederherstellung eines Gruppenrichtlinienobjektes Sie können sowohl gelöschte GPOs wiederherstellen als auch geänderte GPOs. Die ursprüngliche GPO GUID bleibt auch dann erhalten, wenn das GPO gelöscht wurde. Wenn Sie GPOs importieren, ist dies nicht der Fall (dieses Verfahren wird weiter unten besprochen). Eine Wiederherstellung ersetzt die folgenden Komponenten eines GPOs: GPO-Einstellungen ACLs des GPOs WMI-Filterlinks (jedoch nicht die Filter selbst) Es werden keine SOM-Links wiederhergestellt (Scope of Management). Alle vorhandenen Links werden weiterhin verwendet. Wenn ein GPO jedoch gelöscht wurde, müssen die Links nach der Wiederherstellung neu erstellt werden. Weitere Informationen finden Sie im Dokument Administering Group Policy with the GPMC unter http://go.microsoft.com/fwlink/?LinkId=17528. Anforderungen Um die unten beschriebene Aufgabe ausführen zu können, sind die folgenden Tools erforderlich: Gruppenrichtlinienverwaltungskonsole Um diese Aufgabe auszuführen, sind die folgenden Schritte erforderlich: Wiederherstellen eines GPOs Wiederherstellen eines GPOs Administrative Berechtigungen Sie benötigen die Rechte Bearbeiten, Löschen und Ändern für das GPO. Wiederherstellen eines GPOs 1. Öffnen Sie die Gruppenrichtlinienverwaltungskonsole (GPMC). 2. Klicken Sie doppelt auf Domänen. 3. Klicken sie doppelt auf die entsprechende Domäne. 4. Klicken Sie mit rechts auf Gruppenrichtlinienobjekte und auf Sicherungen verwalten. 5. Klicken Sie mit rechts auf das wiederherzustellende Objekt und dann auf Aus Sicherung wiederherstellen. 6. Wählen Sie den Speicherort der Sicherung aus, und klicken Sie auf die wiederherzustellende Sicherung. Klicken Sie dann auf Wiederherstellen. 7. Klicken Sie auf OK. Wiederherstellung eines Domänencontrollers über eine Neuinstallation gefolgt von einer Wiederherstellung einer Sicherung Wenn Sie den Domänencontroller nicht im Wiederherstellungsmodus starten können, haben Sie noch die Möglichkeit, diesen über eine Neuinstallation des Betriebssystems und einer nachfolgenden Wiederherstellung von Active Directory aus einer Sicherung wiederherzustellen. Führen Sie nach der Installation von Windows Server 2003 eine nicht autorisierende Wiederherstellung des Systemstatus und des Systemvolumens durch. Ein solches Verfahren kann zum Beispiel in den folgenden Situationen notwendig werden: Ein Domänencontroller ist ausgefallen und kann nicht im Wiederherstellungsmodus gestartet werden. Sie verfügen über eine Sicherung des Domänencontrollers, die nicht älter als die Tombstone-Lebensdauer ist. Der Domänencontroller führt andere Dienste wie zum Beispiel Exchange aus oder hostet Daten, die aus der Sicherung wiederhergestellt werden müssen. Sie verfügen über die folgenden Informationen zum ausgefallenen Domänencontroller: Festplattenkonfiguration: Sie müssen wissen, welche Volumen und Festplattenpartitionen vorhanden sind. Windows Server 2003 muss unter dem gleichen Laufwerksbuchstaben wie vorher installiert werden. Sie müssen vor der Wiederherstellung des Systemstatus die gesamte Festplattenkonfiguration wiederherstellen. Computername: Sie müssen wissen, wie der Computername lautete. Kennwort des lokalen Administratorkontos. Sie müssen das Kennwort kennen, das bei der Erstellung der Sicherung verwendet wurde. Anforderungen Um die unten beschriebene Aufgabe ausführen zu können, sind die folgenden Tools erforderlich: Ntbackup.exe Um diese Aufgabe auszuführen, sind die folgenden Schritte erforderlich: 1. Installation von Windows Server 2003. Anmerkung In diesem Handbuch erhalten Sie keine Informationen zur Installation von Windows Server 2003. 2. Wiederherstellung mithilfe eines Sicherungsmediums a. Beginnen Sie mit Schritt 2. b. Sie müssen sich als lokaler Administrator anmelden - nicht als Administrator für den Verzeichnisdienstwiederherstellungsmodus. c. Stellen Sie den Systemstatus wieder her - jedoch im normalen Modus. d. Starten Sie den Server nach der Wiederherstellung im normalen Modus. 3. Überprüfen der Active Directory-Wiederherstellung Wiederherstellung mithilfe eines Sicherungsmediums Anmerkung Zur Wiederherstellung müssen Sie sich lokal am Domänencontroller oder über eine Remotedesktopverbindung anmelden. Administrative Berechtigungen Um dieses Verfahren durchführen zu können, müssen Sie das Administratorkennwort für den Verzeichnisdienstwiederherstellungsmodus kennen. Wiederherstellung mithilfe eines Sicherungsmediums 1. Starten Sie den Computer im Verzeichnisdienstwiederherstellungsmodus. 2. Klicken Sie auf Start, klicken Sie auf Ausführen, geben Sie ntbackup ein, und klicken Sie dann auf OK. In diesem Verfahren verwenden Sie den Assistentenmodus. Standardmäßig ist die Option Immer im Assistentenmodus starten im Sicherungs- und Wiederherstellungsassistenten aktiviert. Klicken Sie andernfalls auf Assistentenmodus. 3. Klicken Sie auf Weiter. 4. Klicken Sie auf Dateien und Einstellungen wiederherstellen, und klicken Sie dann auf Weiter. 5. Klicken Sie auf Systemstatus, und klicken Sie dann auf Weiter. 6. Klicken Sie auf Erweitert. 7. Klicken Sie auf Ursprünglicher Bereich, und klicken Sie dann auf Weiter. 8. Klicken Sie auf Vorhandene Dateien beibehalten (empfohlen), und klicken Sie dann auf Weiter. 9. Wählen Sie die folgenden Optionen aus, und klicken Sie dann auf Weiter: Sicherheitseinstellungen wiederherstellen Nur Abzweigungspunkte wiederherstellen, nicht die Ordner und Dateidaten, auf die verwiesen wird Vorhandene Bereitstellungspunkte beibehalten 10. Für eine primäre Wiederherstellung von SYSVOL müssen Sie außerdem die folgende Option auswählen: Die wiederhergestellten Daten bei einer Wiederherstellung von Replikationssätzen als primäre Dateien für alle Replikate markieren. Eine primäre Wiederherstellung ist dann notwendig, wenn der Domänencontroller der einzige Domänencontroller der Domäne ist. 11. Klicken Sie auf Fertigstellen. 12. Führen Sie nach der Wiederherstellung eine der folgenden Aufgaben aus: Wenn Sie keine Objekte autorisierend wiederherstellen möchten, klicken Sie auf Ja und starten Sie den Computer neu. Wenn sie Objekte autorisierend wiederherstellen möchten, klicken Sie auf Nein und führen Sie die Aufgabe Durchführen einer autorisierenden Wiederherstellung von Active Directory-Objekten aus. Siehe auch Lokaler Neustart des Domänencontrollers im Verzeichnisdienstwiederherstellungsmodus Aktivieren von Remotedesktop Erstellen einer Remotedesktopverbindung Neustart des Domänencontrollers im Verzeichnisdienstwiederherstellungsmodus von einem Remotestandort aus Wiederherstellen des Systemstatus an einem anderen Speicherort Durchführen einer autorisierenden Wiederherstellung von Active DirectoryObjekten Überprüfen der Active DirectoryWiederherstellung Nach einer Wiederherstellung sollten Sie diese überprüfen. Administrative Berechtigungen Um dieses Verfahren ausführen zu können, müssen Sie Mitglied der Gruppe DomänenAdmins sein. Überprüfen der Active Directory-Wiederherstellung 1. Starten Sie den Domänencontroller im normalen Modus. Es wird daraufhin automatisch eine Integritätsprüfung und eine Neuindizierung der Datenbank durchgeführt. 2. Prüfen Sie nach der Anmeldung, ob alle Objekte in Active Directory vorhanden sind. Wiederherstellung eines Domänencontrollers über eine Neuinstallation Dieser Prozess entspricht der Neuinstallation eines Domänencontrollers. Damit der Domänencontroller in einen funktionierenden Zustand versetzt werden kann, ist eine Replikation notwendig. Das Verfahren kann nur durchgeführt werden, wenn es noch mindestens einen zweiten Domänencontroller in der Domäne gibt. Es wird normalerweise dann angewendet, wenn der Computer ausschließlich als Domänencontroller arbeitet. Wenn der Domänencontroller nicht gesichert wurde, ist dieses Verfahren die einzige Möglichkeit einer Wiederherstellung. Es sollte jedoch nicht als Ersatz für eine regelmäßige Sicherung angesehen werden. Einer der wichtigsten Faktoren für dieses Verfahren ist die verfügbare Bandbreite. Die erforderliche Bandbreite steht im direkten Verhältnis mit der Größe der Active DirectoryDatenbank. Im Idealfall sollte sich der replizierende Domänencontroller am gleichen Standort wie der neue Domänencontroller befinden. Anforderungen Um die unten beschriebenen Aufgaben ausführen zu können, sind die folgenden Tools notwendig: Ntdsutil.exe Netdiag.exe Dcdiag.exe Dcpromo.exe Um diese Aufgabe auszuführen, sind die folgenden Schritte erforderlich: 1. Wenn Sie planen, dem neuen Domänencontroller den gleichen Namen wie dem alten Domänencontroller zu geben, bereinigen Sie mit dem folgenden Verfahren die Metadaten: Bereinigen der Metadaten Wenn Sie dem neuen Server einen neuen Namen geben, sind zusätzlich die folgenden Verfahren notwendig: Löschen eines Serverobjektes aus einem Standort Löschen eines Computerobjektes aus der OU Domain Controllers 2. Installieren Sie Windows Server 2003 3. Überprüfung der DNS-Registrierung und -Funktionalität 4. Überprüfen der Kommunikation mit anderen Domänencontrollern 5. Überprüfen der Verfügbarkeit der Betriebsmaster 6. Installieren von Active Directory Wenn Sie den Domänencontroller unter einem neuen Namen installieren möchten, führen Sie die Schritte Installieren eines Domänencontrollers in einer bestehenden Domäne aus. 7. Überprüfen der Active Directory-Installation Bereinigen der Metadaten Die Bereinigung der Metadaten wird mit Ntdsutil.exe durchgeführt. Es entfernt alle Daten aus Active Directory, die einen Domänencontroller identifizieren. Unter Windows Server 2003 Service Pack 1 (SP1) entfern das Verfahren außerdem automatisch FRS-Verbindungen und versucht, alle Betriebsmasterrollen, die der alte Domänencontroller innehatte, zu übertragen oder zu übernehmen. Administrative Berechtigungen Um das Verfahren durchführen zu können, müssen Sie Mitglied der Gruppe Organisations-Admins sein. Bereinigen der Metadaten 1. Öffnen Sie eine Eingabeaufforderung. 2. Geben Sie den folgenden Befehl ein, und drücken Sie dann die EINGABETASTE: ntdsutil 3. Führen Sie den folgenden Befehl aus: metadata cleanup Wenn Sie Ntdsutil.exe unter Windows Server 2003 SP1 nutzen, führen Sie den folgenden Befehl aus: remove selected server ServerName oder remove selected server ServerName1 on ServerName2 Wert Beschreibung ServerName, ServerName1 DNs der Domänencontroller, dessen Metadaten Sie löschen wollen. (cn=ServerName,cn=Servers,cn=Standortname, cn=Sites,cn=Configuration,dc=Stammdomäne ServerName2 DNS-Name des Domänencontrollers, von dem Sie die Metadaten entfernen möchten. Wenn Sie Ntdsutil.exe unter Windows Server 2003 ohne SP ausführen, gehen Sie folgendermaßen vor: a. Geben Sie den folgenden Befehl ein: connection b. Geben Sie den folgenden Befehl ein: connect to server Server c. Geben Sie den folgenden Befehl ein: quit d. Geben Sie den folgenden Befehl ein: select operation target e. Geben Sie den folgenden Befehl ein: list sites Eine Liste mit Standorten wird angezeigt. f. Geben Sie den folgenden Befehl ein: select site Standortnummer g. Geben Sie den folgenden Befehl ein: list domains in site Es sollte eine Liste mit den Domänen am ausgewählten Standort angezeigt werden. h. Geben Sie den folgenden Befehl ein: select domain Domänennummer i. Geben Sie den folgenden Befehl ein: list servers in site Eine Liste mit Servern wird angezeigt. j. Geben Sie den folgenden Befehl ein: select server ServerNummer k. Geben Sie den folgenden Befehl ein: quit l. Geben Sie den folgenden Befehl ein: remove selected server Nun sollte Active Directory bestätigen, dass der Domänencontroller entfernt wurde. 5. Geben Sie quit ein. Löschen eines Serverobjektes aus einem Standort Wenn es unter dem Server in Active Directory-Standorte und -Dienste keine Unterobjekte mehr gibt, können Sie das Serverobjekt entfernen. Administrative Berechtigungen Um dieses Verfahrung durchführen zu können, müssen Sie Mitglied der Gruppe Domänen-Admins sein. Löschen eines Serverobjektes aus einem Standort 1. Öffnen Sie Active Directory-Standorte und -Dienste. 2. Erweitern Sie Standorte und den Standort, aus dem Sie den Server löschen möchten. 3. Wenn es keine Objekte unter dem Server gibt, klicken Sie mit rechts auf den Server, und klicken Sie dann auf Löschen. Wichtig Löschen Sie keinen Server mit untergeordneten Objekten. 4. Klicken Sie auf Ja. Löschen eines Computerobjektes aus der OU Domain Controllers Administrative Berechtigungen Um dieses Verfahrung durchführen zu können, müssen Sie Mitglied der Gruppe Domänen-Admins sein. Löschen eines Computerobjektes aus der OU Domain Controllers 1. Öffnen Sie Active Directory-Benutzer und -Computer. 2. Klicken Sie auf die OU Domain Controllers. 3. Klicken Sie mit rechts auf das Computerobjekt, das gelöscht werden soll, und dann auf Löschen. Klicken Sie dann auf Ja. Siehe auch Das Entfernen eines Domänencontrollers erzwingen Bereinigen der Metadaten Löschen eines Serverobjektes aus einem Standort Überprüfung der DNS-Registrierung und -Funktionalität Administrative Berechtigungen Um die folgenden Schritte ausführen zu können, müssen Sie Mitglied der Gruppe Domänen-Admins oder der Gruppe Organisations-Admins sein. Überprüfung der DNS-Registrierung und -Funktionalität 1. Öffnen Sie eine Eingabeaufforderung. 2. Geben Sie den folgenden Befehl ein, und drücken Sie die EINGABETASTE: netdiag /test:dns Anmerkung Mit /v erhalten Sie mehr Informationen. Wenn DNS korrekt funktioniert, sollte die letzte Zeile so lauten: DNS Test…..: Passed. Überprüfen der Kommunikation mit anderen Domänencontrollern Administrative Berechtigungen Um die folgenden Schritte ausführen zu können, müssen Sie Mitglied der Gruppe Domänenbenutzer sein. Überprüfen der Kommunikation mit anderen Domänencontrollern 1. Öffnen Sie eine Eingabeaufforderung. 2. Geben Sie den folgenden Befehl ein, und drücken Sie die EINGABETASTE: netdiag /test:dsgetdc Anmerkung Mit /v erhalten Sie mehr Informationen. Wenn DNS korrekt funktioniert, sollte die letzte Zeile so lauten: DC discovery test……..: Passed. Überprüfen der Verfügbarkeit der Betriebsmaster Administrative Berechtigungen Um die folgenden Schritte ausführen zu können, müssen Sie Mitglied der Gruppe Domänenbenutzer sein. Anmerkung Sie können diese Tests vor und nach der Installation von Active Directory ausführen. Vor der Installation müssen Sie die Option /s zum Angeben des verwendeten Domänencontrollers nutzen. Nach der Installation ist die Option nicht mehr notwendig. Überprüfen der Verfügbarkeit der Betriebsmaster 1. Öffnen Sie eine Eingabeaufforderung. 2. Geben Sie den folgenden Befehl ein, und drücken Sie die EINGABETASTE: dcdiag /s: Domänencontrollerr /test:knowsofroleholders /verbose wobei Domänencontroller der Name eines Domänencontrollers der Domäne ist, zu der Sie den neuen Domänencontroller hinzufügen möchten. Am Ende der Ausgabe sollte der Test als erfolgreich angezeigt werden. 3. Geben Sie den folgenden Befehl ein, und drücken Sie die EINGABETASTE: dcdiag /s: Domänencontrollerr /test:fsmocheck wobei Domänencontroller der Name eines Domänencontrollers der Domäne ist, zu der Sie den neuen Domänencontroller hinzufügen möchten. Am Ende der Ausgabe sollte der Test als erfolgreich angezeigt werden. Installieren von Active Directory Administrative Berechtigungen Um die folgenden Schritte ausführen zu können, müssen Sie Mitglied der Gruppe Domänen-Admins sein. Installieren von Active Directory 1. Klicken Sie auf Start, klicken Sie auf Ausführen, geben Sie dcpromo ein, und drücken Sie die EINGABETASTE. 2. Klicken Sie auf Weiter. 3. Wählen Sie Zusätzlicher Domänencontroller für eine bestehende Domäne. Klicken Sie auf Weiter. 4. Geben Sie Benutzername, Kennwort und Domäne eines Kontos ein, das den neuen Domänencontroller in die Domäne aufnehmen darf. Klicken Sie auf Weiter. 5. Geben Sie den Namen der Domäne ein. Klicken Sie auf Weiter. 6. Geben Sie die Pfade für die Datenbank und die Protokolldateien ein. Für eine bessere Leistung sollten Sie die Datenbank und die Protokolle auf unterschiedlichen physischen Festplatten speichern. Klicken Sie auf Weiter. 7. Geben Sie den Pfad für SYSVOL ein. Klicken Sie auf Weiter. 8. Geben Sie ein Kennwort Verzeichnisdienstwiederherstellungsmodus ein. Klicken Sie auf Weiter. 9. Klicken Sie dann auf Weiter. 10. Klicken Sie auf Fertigstellen. 11. Klicken Sie auf Neustart. 12. Wenn Dienste nicht gestartet werden können, starten Sie den Domänencontroller ein zweites Mal. Solle das Problem weiter bestehen, überprüfen Sie das Ereignisprotokoll auf Fehler. Administrieren der Replikation zwischen Standorten In diesem Kapitel finden Sie die folgenden Abschnitte: Einführung in die Administration der Replikation zwischen Standorten Verwalten der Replikation zwischen Standorten Danksagung Veröffentlicht: März2005 Betrifft: Windows Server 2003 Erstellt durch: Microsoft Windows Server User Assistance Team Autor: Mary Hillman Redaktion: Jim Becker 6.5 Einführung in die Administration der Replikation zwischen Standorten Ein Active Directory-Standort besteht aus einem oder mehreren IP-Subnetzen, die normalerweise ein physisches LAN bilden. Mehrere Standorte können für die Replikation über Standortverknüpfungen verbunden werden. Standorte haben zwei Aufgaben: Den Clients ermöglichen, auf Netzwerkressourcen zuzugreifen, die sich möglichst nahe an deren physischen Standort befinden und somit den Netzwerkverkehr über WAN-Verbindung zu verringern. Optimierung der Replikation zwischen Domänencontrollern. Anmerkung Die Verwaltung von großen Hub-and-Spoke-Topologien oder die Nutzung von SMTP zur Replikation zwischen Standorten wird in diesem Dokument nicht besprochen. Der KCC und die Replikationstopologie Der Knowledge Consistency Checker (KCC) nutzt die Konfiguration der Standortverknüpfungen, um einen optimierten Replikationsverkehr zu ermöglichen. Hierzu erstellt er eine möglichst günstige Replikationstopologie. Innerhalb eines Standortes baut der KCC für jede Verzeichnispartition eine Ringtopologie auf und versucht, die maximale Anzahl der Replikationsverbindungen zwischen allen Domänencontrollern bei drei oder kleiner zu halten. Zwischen Standorten erstellt der KCC eine übergreifende Replikationsstruktur. Wenn Standorte und Domänen zur Gesamtstruktur hinzugefügt werden, steigt somit die Auslastung des KCC. Bevor Sie einen Standort hinzufügen, sollten Sie die Richtlinien aus dem Abschnitt "Hinzufügen eines neuen Standortes" weiter unten in diesem Dokument kennen. Umfangreiche Änderungen der Standorttopologie können zu einer Veränderung der Hardwareanforderungen für Domänencontroller führen. Weitere Informationen hierzu finden Sie unter http://go.microsoft.com/fwlink/?LinkId=42682. Auswahl der Bridgeheadserver Standardmäßig werden die Bridgeheadserver automatisch durch den Intersite Topology Generator (ISTG) ausgewählt. Alternativ können Sie diese jedoch auch über Active Directory-Standorte und -Dienste selbst festlegen. Dies wird jedoch nicht empfohlen. Das Auswählen der bevorzugten Bridgeheadserver schränkt die Auswahl der Bridgeheadserver ein, die dem KCC zur Verfügung stehen. Wenn Sie die Bridgeheadserver über Active Directory-Standorte und -Dienste selbst festlegen, müssen Sie so viele Server wie möglich auswählen und diese für alle Domänen definieren, die an andere Standorte repliziert werden müssen. Wenn Sie bevorzugte Bridgeheadserver für eine Domäne festlegen und diese alle nicht mehr zur Verfügung stehen, findet keine Replikation mehr statt. Wenn Sie die ausgewählten Bridgeheadserver alle wieder aus der Liste entfernen, stellt der ISTG wieder automatisch eine Topologie her. Verwalten der Replikation zwischen Standorten In diesem Abschnitt werden die folgenden Aufgaben beschrieben: Hinzufügen eines neuen Standortes Verknüpfen von Standorten für die Replikation Ändern der Eigenschaften von Standortverknüpfungen Verschieben eines Domänencontrollers an einen anderen Standort Entfernen eines Standorts Hinzufügen eines neuen Standortes Zwar erstellen Sie typischerweise Subnetze für alle Adressbereiche eines Netzwerkes, es ist jedoch nicht zwingend notwendig, auch Standorte zu erstellen. Grundsätzlich sind Standorte dann erforderlich, wenn es Domänencontroller und andere Server gibt, die von einer Standorttopologie abhängig sind (zum Beispiel DFS). Wenn dem Netzwerk ein neuer IP-Adressbereich hinzugefügt wird, erstellen Sie für diesen ein Subnetz-Objekt. Wenn Sie ein neues Subnetz erstellen, müssen Sie dieses einem Standort zuordnen. Sie können es entweder einem bestehenden Standort zuordnen oder erst einen neuen Standort erstellen und diesem dann das neue Subnetz zuordnen. Anforderungen Um die unten beschriebene Aufgabe ausführen zu können, sind die folgenden Tools erforderlich: Active Directory-Standorte und -Dienste Um diese Aufgabe auszuführen, sind die folgenden Schritte erforderlich: 1. Erstellen eines Standortobjektes und Hinzufügen zu einer bestehenden Standortverknüpfung 2. Zuweisen eines IP-Adressbereiches zu einem Standort: Erstellen eines Subnetzobjektes und Zuweisen des Objektes zu einem neuen Standort oder Zuweisen eines bestehenden Subnetzobjektes zu einem neuen Standort 3. Wenn Sie einen neuen Standort und eine neue Standortverknüpfung erstellen, nachdem Sie einen neuen Standort erstellt und diesen zu einer Standortverknüpfung hinzugefügt haben, dann führen Sie die Aufgabe Erstellen einer Standortverknüpfung und Hinzufügen der entsprechenden Standorte aus. Entfernen Sie dann den Standort aus der ersten Standortverknüpfung, zu der Sie ihn bei seiner Erstellung hinzugefügt hatten. 4. Entfernen eines Standortes aus einer Standortverknüpfung Erstellen eines Standortobjektes und Hinzufügen zu einer bestehenden Standortverknüpfung Um einen neuen Standort zu erstellen, müssen Sie ein Standortobjekt erstellen und dieses zu einer Standortverknüpfung hinzufügen. Administrative Berechtigungen Um dieses Verfahren ausführen zu können, müssen Sie Mitglied der Gruppe Organisations-Admins sein. Erstellen eines Standortobjektes und Hinzufügen zu einer bestehenden Standortverknüpfung 1. Öffnen Sie Active Directory-Standorte und -Dienste. 2. Klicken Sie mit rechts auf Standorte, und klicken Sie dann auf Neuer Standort. 3. Geben Sie den Namen des Standortes ein. 4. Klicken Sie auf eine Standortverknüpfung für diesen Standort, und klicken Sie dann auf OK. 5. Klicken Sie auf OK. Erstellen eines Subnetzobjektes und Zuweisen des Objektes zu einem neuen Standort Zum Erstellen eines Subnetzobjektes und Zuweisen des Objektes zu einem neuen Standort benötigen Sie die folgenden Informationen: Den Standort, dem das Subnetz zugewiesen werden soll. Die Netzwerkadresse oder einen IP-Adressbereich. Die Subnetzmaske. Administrative Berechtigungen Um dieses Verfahren ausführen zu können, müssen Sie Mitglied der Gruppe Organisations-Admins sein. Erstellen eines Subnetzobjektes und Zuweisen des Objektes zu einem neuen Standort 1. Öffnen Sie Active Directory-Standorte und -Dienste. 2. Erweitern Sie Standorte, klicken Sie mit rechts auf Subnetze, und klicken Sie dann auf Neues Subnetz. 3. Geben Sie die Netzwerkadresse oder eine IP-Adresse ein. 4. Geben Sie die Subnetzmaske ein. 5. Klicken Sie auf den Standort, dem Sie das Subnetz zuordnen wollen. Klicken Sie dann auf OK. Zuweisen eines bestehenden Subnetzobjektes zu einem neuen Standort Weisen Sie in den folgenden Fällen ein bestehendes Subnetz einem neuen Standort zu: Wenn der alte Standort entfernt wird. Wenn das Subnetz temporär einem anderen Standort zugewiesen war. Administrative Berechtigungen Um dieses Verfahren ausführen zu können, müssen Sie Mitglied der Gruppe Organisations-Admins sein. Zuweisen eines bestehenden Subnetzobjektes zu einem neuen Standort 1. Öffnen Sie Active Directory-Standorte und -Dienste. 2. Erweitern Sie Standorte, und klicken Sie dann auf Subnetze. 3. Klicken Sie mit rechts auf das Subnetz, das Sie einem Standort zuweisen möchten, und dann auf Eigenschaften. 4. Klicken Sie auf den Standort, dem das Subnetz zugewiesen werden soll, und klicken Sie dann auf OK. Erstellen einer Standortverknüpfung und Hinzufügen der entsprechenden Standorte Mit diesem Verfahren erstellen Sie eine Standortverknüpfung im IP-Container und fügen ihr die entsprechenden Standorte hinzu. Administrative Berechtigungen Um dieses Verfahren ausführen zu können, müssen Sie Mitglied der Gruppe Organisations-Admins sein. Erstellen eine Standortverknüpfungsobjektes 1. Öffnen Sie Active Directory-Standorte und -Dienste. 2. Erweitern Sie Standorte und Inter-Site Transports. 3. Klicken Sie mit rechts auf IP, und klicken Sie dann auf Neue Standortverknüpfung. 4. Geben Sie einen Namen für die Standortverknüpfung ein. 5. Klicken Sie unter Sites not in this site link auf die Standorte, die zur Standortverknüpfung hinzugefügt werden sollten. Mit der HOCHSTELLTASTE und STRG können sie mehrere Standorte markieren. . 6. Klicken Sie auf Hinzufügen, und klicken Sie dann auf OK. Entfernen eines Standortes aus einer Standortverknüpfung Administrative Berechtigungen Um dieses Verfahren ausführen zu können, müssen Sie Mitglied der Gruppe Organisations-Admins sein. Entfernen eines Standortes aus einer Standortverknüpfung 1. Öffnen Sie Active Directory-Standorte und -Dienste. 2. Erweitern Sie Standorte und Inter-Site Transports. 3. Erweitern Sie IP, und klicken Sie dann mit rechts auf die Standortverknüpfung, die Sie bearbeiten möchten, und auf Eigenschaften. 5. Klicken Sie unter Standorte außerhalb dieser Standortverknüpfung auf die Standorte, die entfernt werden sollen. 6. Klicken Sie auf Entfernen, und klicken Sie dann auf OK. Verknüpfen von Standorten für die Replikation Um Standorte für die Replikation zu verknüpfen, müssen Sie im IP-Container ein Standortverknüpfungsobjekt erstellen und zwei oder mehr Standorte hinzufügen. Verwenden Sie Namen, die zeigen, welche Standorte verknüpft werden. Wenn Sie beispielsweise die Standorte Seattle und Boston verknüpfen, dann verwenden Sie einen Namen wie SEA-BOS. Informationen zum Ändern der Standardeigenschaften von Standortverknüpfung finden Sie unter Ändern der Eigenschaften von Standortverknüpfungen. Es muss in jeder Standortverknüpfung mindestens zwei Standorte geben. Wenn Sie einen neuen Standort mit einem bestehenden verknüpfen möchten, erstellen Sie erst den neuen Standort und dann die Standortverknüpfung. Anforderungen Um die unten beschriebene Aufgabe ausführen zu können, sind die folgenden Tools erforderlich: Active Directory-Standorte und -Dienste Um diese Aufgabe auszuführen, sind die folgenden Schritte erforderlich: 1. Erstellen einer Standortverknüpfung und Hinzufügen der entsprechenden Standorte 2. Standardmäßig wird der KCC alle 15 Minuten ausgeführt und erstellt eine Replikationstopologie. Mit den folgenden zwei Verfahren können Sie sofort eine Replikationstopologie erstellen: Ermitteln der ISTG-Rolle für einen Standort Erstellen der Replikationstopologie auf dem ISTG-Server Erstellen einer Standortverknüpfung und Hinzufügen der entsprechenden Standorte Mit diesem Verfahren erstellen Sie eine Standortverknüpfung im IP-Container und fügen ihr die entsprechenden Standorte hinzu. Administrative Berechtigungen Um dieses Verfahren ausführen zu können, müssen Sie Mitglied der Gruppe Organisations-Admins sein. Erstellen eine Standortverknüpfungsobjektes 1. Öffnen Sie Active Directory-Standorte und -Dienste. 2. Erweitern Sie Standorte und Inter-Site Transports. 3. Klicken Sie mit rechts auf IP, und klicken Sie dann auf Neue Standortverknüpfung. 4. Geben Sie einen Namen für die Standortverknüpfung ein. 5. Klicken Sie unter Sites not in this site link auf die Standorte, die zur Standortverknüpfung hinzugefügt werden sollten. Mit der HOCHSTELLTASTE und STRG können sie mehrere Standorte markieren. . 6. Klicken Sie auf Hinzufügen, und klicken Sie dann auf OK. Ermitteln der ISTG-Rolle für einen Standort Mit diesem Verfahren stellen Sie fest, wer Intersite Topology Generator (ISTG) für einen Standort ist. Administrative Berechtigungen Um dieses Verfahren ausführen zu können, müssen Sie Mitglied der Gruppe Domänenbenutzer sein. Ermitteln der ISTG-Rolle für einen Standort 1. Öffnen Sie Active Directory-Standorte und -Dienste. 2. Klicken Sie auf den Standort, dessen ISTG Sie ermitteln möchten. 3. Klicken Sie mit rechts auf NTDS Site Settings, und klicken Sie dann auf Eigenschaften. Im Feld Server finden Sie den aktuellen Rolleninhaber. Erstellen der Replikationstopologie auf dem ISTG-Server Mit dem folgenden Verfahren haben Sie die Möglichkeit, diese Vorgänge auf dem KCC anzustoßen: Erstellen einer Topologie für die Replikation zwischen Standorten. Führen Sie hierzu den KCC auf dem Domänencontroller aus, der ISTG für den Standort ist. Erstellen eine Topologie für die Replikation innerhalb des Standortes. Führen Sie hierzu den KCC auf dem Domänencontroller aus, der nicht ISTG für den Standort ist. Anmerkung Vor diesem Verfahren müssen Sie die Aufgabe Ermitteln der ISTG-Rolle für einen Standort ausführen. Administrative Berechtigungen Um dieses Verfahren ausführen zu können, müssen Sie Mitglied der Gruppe Organisations-Admins sein. Erstellen der Replikationstopologie auf dem ISTG-Server 1. Öffnen Sie Active Directory-Standorte und -Dienste. 2. Erweitern Sie Standorte und den Server, auf dem Sie den KCC ausführen möchten. 3. Erweitern Sie Servers, und klicken Sie dann auf das Serverobjekt des ISTG. 4. Klicken Sie mit rechts auf NTDS Settings, klicken Sie auf Alle Tasks, und klicken Sie dann auf Replikationstopologie prüfen. 5. Klicken Sie auf OK. Ändern der Eigenschaften von Standortverknüpfungen Mit diesem Verfahren können Sie steuern, welche Standorte wann miteinender replizieren. Hierbei gibt es drei verschiedene Einflussfaktoren: Zeitplan: Zeitraum, während dessen eine Replikation stattfinden kann (standardmäßig immer). Intervall: Zeit in Minuten, nach der Replikationspartner innerhalb des Zeitplans eine Replikation anstoßen (standardmäßig 180 Minuten). Kosten: Relative Priorität der Verknüpfung (standardmäßig 100). Geringere Kosten haben eine höhere Priorität gegenüber hohen Kosten. Anforderungen Um die unten beschriebene Aufgabe ausführen zu können, sind die folgenden Tools erforderlich: Active Directory-Standorte und -Dienste Um diese Aufgabe auszuführen, sind die folgenden Schritte erforderlich: 1. Konfigurieren eine Zeitplans für eine Standortverknüpfung 2. Konfigurieren eines Intervalls für eine Standortverknüpfung 3. Konfigurieren der Kosten für eine Standortverknüpfung 4. Mit den folgenden zwei Verfahren können Sie eine Topologie für die Replikation zwischen Standorten erstellen: Ermitteln der ISTG-Rolle für einen Standort Erstellen der Replikationstopologie auf dem ISTG-Server Konfigurieren eines Zeitplans für eine Standortverknüpfung Administrative Berechtigungen Um dieses Verfahren ausführen zu können, müssen Sie Mitglied der Gruppe Organisations-Admins sein. Konfigurieren eines Zeitplans für eine Standortverknüpfung 1. Öffnen Sie Active Directory-Standorte und -Dienste. 2. Erweitern Sie Standorte und Inter-Site Transports, und klicken Sie dann auf IP. 3. Klicken Sie mit rechts auf die Standortverknüpfung, die Sie konfigurieren möchten, und klicken Sie dann auf Eigenschaften. 4. Klicken Sie auf Zeitplan ändern. 5. Konfigurieren Sie den entsprechenden Zeitplan. 6. Klicken Sie zweimal auf OK. Konfigurieren eines Intervalls für eine Standortverknüpfung Administrative Berechtigungen Um dieses Verfahren ausführen zu können, müssen Sie Mitglied der Gruppe Organisations-Admins sein. Konfigurieren eines Intervalls für eine Standortverknüpfung 1. Öffnen Sie Active Directory-Standorte und -Dienste. 2. Erweitern Sie Standorte und Inter-Site Transports, und klicken Sie dann auf IP. 3. Klicken Sie mit rechts auf die Standortverknüpfung, die Sie konfigurieren möchten, und klicken Sie dann auf Eigenschaften. 4. Geben Sie unter Replizieren alle: den gewünschten Wert ein. 5. Klicken Sie auf OK. Konfigurieren der Kosten für eine Standortverknüpfung Administrative Berechtigungen Um dieses Verfahren ausführen zu können, müssen Sie Mitglied der Gruppe Organisations-Admins sein. Konfigurieren der Kosten für eine Standortverknüpfung 1. Öffnen Sie Active Directory-Standorte und -Dienste. 2. Erweitern Sie Standorte und Inter-Site Transports, und klicken Sie dann auf IP. 3. Klicken Sie mit rechts auf die Standortverknüpfung, die Sie konfigurieren möchten, und klicken Sie dann auf Eigenschaften. 4. Geben Sie unter Kosten: den gewünschten Wert ein. 5. Klicken Sie auf OK. Ermitteln der ISTG-Rolle für einen Standort Mit diesem Verfahren stellen Sie fest, wer Intersite Topology Generator (ISTG) für einen Standort ist. Administrative Berechtigungen Um dieses Verfahren ausführen zu können, müssen Sie Mitglied der Gruppe Domänenbenutzer sein. Ermitteln der ISTG-Rolle für einen Standort 1. Öffnen Sie Active Directory-Standorte und -Dienste. 2. Klicken Sie auf den Standort, dessen ISTG Sie ermitteln möchten. 3. Klicken Sie mit rechts auf NTDS Site Settings, und klicken Sie dann auf Eigenschaften. Im Feld Server finden Sie den aktuellen Rolleninhaber. Erstellen der Replikationstopologie auf dem ISTG-Server Mit dem folgenden Verfahren haben Sie die Möglichkeit, diese Vorgänge auf dem KCC anzustoßen: Erstellen einer Topologie für die Replikation zwischen Standorten. Führen Sie hierzu den KCC auf dem Domänencontroller aus, der ISTG für den Standort ist. Erstellen eine Topologie für die Replikation innerhalb des Standortes. Führen Sie hierzu den KCC auf dem Domänencontroller aus, der nicht ISTG für den Standort ist. Anmerkung Vor diesem Verfahren müssen Sie die Aufgabe Ermitteln der ISTG-Rolle für einen Standort ausführen. Administrative Berechtigungen Um dieses Verfahren ausführen zu können, müssen Sie Mitglied der Gruppe Organisations-Admins sein. Erstellen der Replikationstopologie auf dem ISTG-Server 1. Öffnen Sie Active Directory-Standorte und -Dienste. 2. Erweitern Sie Standorte und den Server, auf dem Sie den KCC ausführen möchten. 3. Erweitern Sie Servers, und klicken Sie dann auf das Serverobjekt des ISTG. 4. Klicken Sie mit rechts auf NTDS Settings, klicken Sie auf Alle Tasks, und klicken Sie dann auf Replikationstopologie prüfen. 5. Klicken Sie auf OK. Verschieben eines Domänencontrollers an einen anderen Standort Wenn Sie die IP-Adresse oder die Subnetz/Standort-Zuordnung für einen Domänencontroller nach der Installation von Active Directory ändern, werden diese Änderungen nicht automatisch für das Serverobjekte durchgeführt - Sie müssen dieses per Hand erledigen. TCP/IP-Einstellungen Wenn Sie einen Domänencontroller verschieben, müssen Sie seine TCP/IPEinstellungen ändern. Bevor Sie einen Domänencontroller verschieben, stellen Sie sicher, dass die folgenden Einstellungen dem neuen Standort entsprechen: IP-Adresse (inkl. der Subnetzmaske und der Standardgateways). Adressen der DNS-Server. Adressen der WINS-Server. Wenn Sie einen Domänencontroller verschieben, der DNS-Server ist, sind außerdem folgende Schritte notwendig: Ändern der TCP/IP-Einstellungen auf allen Clients, die mit statischen Einträgen auf diesen DNS-Server zugreifen. Überprüfen, ob die übergeordnete DNS-Zone aller auf diesem DNS-Server gehosteten Zonen Delegierungen für diesen DNS-Server enthält. Wenn dies der Fall ist, aktualisieren Sie die IP-Adressen für diese Delegierungen. Weitere Informationen finden Sie im Abschnitt Überprüfen der Active Directory-Installation. Status als bevorzugter Bridgeheadserver Bevor Sie ein Serverobjekt verschieben, sollten Sie überprüfen, ob er als bevorzugter Bridgeheadserver arbeitet. In diesem Fall wirkt sich das folgendermaßen auf den ISTG beider Standorte aus: Standort, in den Sie den Server verschieben: Wenn Sie einen bevorzugten Bridgeheadserver verschieben, wird er auch bevorzugter Bridgeheadserver des neuen Standortes. Wenn es am neuen Standort keine bevorzugten Bridgeheadserver gibt, ändert sich das Verhalten des ISTG, um den neuen bevorzugten Bridgeheadserver zu nutzen. Aus diesem Grund müssen Sie den Server entweder so konfigurieren, dass er kein bevorzugter Bridgeheadserver mehr ist (empfohlen), oder zusätzliche bevorzugte Bridgeheadserver im neuen Standort auswählen (nicht empfehlenswert). Standort, aus dem Sie den Server verschieben: Wenn der Server der letzte bevorzugte Bridgeheadserver ist und kein andere Domänencontroller an diesem Standort vorhanden ist, wählt der ISTG einen Bridgeheadserver für die Domäne aus. Wenn Sie bevorzugte Bridgeheadserver einsetzen, wählen Sie immer mehr als einen Server als bevorzugten Bridgeheadserver pro Domäne aus. Sollte nach dem Verschieben nur noch ein Domänencontroller als bevorzugter Bridgeheadserver vorhanden sein, müssen Sie den Server entweder so konfigurieren, dass er kein bevorzugter Bridgeheadserver mehr ist (empfohlen), oder zusätzliche bevorzugte Bridgeheadserver im neuen Standort auswählen (nicht empfehlenswert). Anmerkung Wenn Sie bevorzugte Bridgeheadserver nutzen und alle bevorzugten Bridgeheadserver für eine Domäne an einem Standort nicht verfügbar sind, wählt der ISTG keinen neuen Bridgeheadserver. In diesem Fall findet keine Replikation statt. Anforderungen Netzwerkumgebung DNS-Snap-in Active Directory-Standorte und -Dienste Adsiedit.msc Führen Sie die folgenden Schritte in der unten gezeigten Reihenfolge aus: 1. Ändern der statischen IP-Adresse eines Domänencontrollers 2. Erstellen einer Delegierung für einen Domänencontroller Aktualisieren Sie die IP-Adressen für diese Delegierungen. Wenn Ihre Stammdomäne eine übergeordnete DNS-Domäne hat, führen Sie das Verfahren auf einem DNS-Server der übergeordneten Domäne aus. Wenn Sie nur einen neuen Domänencontroller zur untergeordneten Domäne hinzugefügt haben, führen Sie das Verfahren auf dem DNS-Server in der übergeordneten Domäne aus. 3. Überprüfen, ob eine IP-Adresse einem Subnetz entspricht, und Ermitteln der Standortzuordnung. 4. Feststellen, ob ein Server ein Bridgeheadserver ist 5. Einen Server so konfigurieren, dass er kein bevorzugter Bridgeheadserver ist 6. Verschieben eines Serverobjekts in einen neuen Standort Ändern der statischen IP-Adresse eines Domänencontrollers Mit diesem Verfahren ändern Sie alle relevanten TCP/IP-Einstellungen. Administrative Berechtigungen Um dieses Verfahren ausführen zu können, müssen Sie Mitglied der Gruppe DomänenAdmins sein. Ändern der statischen IP-Adresse eines Domänencontrollers 1. Melden Sie sich lokal am Domänencontroller an. 2. Klicken Sie mit rechts auf Netzwerkumgebung, und klicken Sie dann auf Eigenschaften. 3. Klicken Sie unter Netzwerkverbindungen mit rechts auf LAN Verbindung, und klicken Sie dann auf Eigenschaften. 4. Klicken Sie in den Eigenschaften doppelt auf Internet Protocol (TCP/IP). 5. Geben Sie die neue Adresse ein. 6. Geben Sie die neue Subnetzmaske ein. 7. Geben Sie das neue Standardgateway ein. 8. Geben Sie die beiden DNS-Server-Adressen ein. 9. Geben Sie, wenn notwendig, einen neuen WINS-Server ein. Erstellen einer Delegierung für einen Domänencontroller Mit diesem Verfahren erstellen Sie in der übergeordneten DNS-Domäne eine Delegierung für einen neuen Domänencontroller, der außerdem DNS-Server ist. Administrative Berechtigungen Um dieses Verfahren ausführen zu können, müssen Sie Mitglied der Gruppe DomänenAdmins sein. Erstellen einer Delegierung für einen Domänencontroller 1. Öffnen Sie das DNS-Snap-In. 2. Navigieren Sie zu UntergeordneteDomäne (wobei UntergeordneteDomäne der Name der untergeordneten Domäne ist). 3. Klicken Sie im Konsolenbereich mit rechts auf UntergeordneteDomäne, und klicken Sie dann auf Eigenschaften. 4. Klicken Sie auf der Registerkarte Nameserver auf Hinzufügen. 5. Geben Sie UntergeordneterDC.UntergeordneteDomäne.ÜbergeordneteDomäne ein. 6. Geben Sie die IP-Adresse ein. Klicken Sie auf Hinzufügen, und klicken Sie dann auf OK. Überprüfen, ob eine IP-Adresse einem Subnetz entspricht, und Ermitteln der Standortzuordnung Mit diesem Verfahren stellen Sie fest, zu welchem Standort ein neuer oder verschobener Server gehört. Administrative Berechtigungen Um dieses Verfahren ausführen zu können, müssen Sie Mitglied der Gruppe Domänenbenutzer sein. Überprüfen, ob eine IP-Adresse einem Subnetz entspricht, und Ermitteln der Standortzuordnung 1. Melden Sie sich lokal am Domänencontroller an. 2. Klicken Sie mit rechts auf Netzwerkumgebung, und klicken Sie dann auf Eigenschaften. 3. Klicken Sie unter Netzwerkverbindungen mit rechts auf LAN Verbindung, und klicken Sie dann auf Eigenschaften. 4. Klicken Sie in den Eigenschaften doppelt auf Internet Protocol (TCP/IP). 5. Berechnen Sie die Adresse des Subnetzes mit der IP-Adresse und der Subnetzmaske, und klicken Sie dann auf OK. 7. Öffnen Sie Active Directory-Standorte und -Dienste. 8. Erweitern Sie Standorte, und klicken Sie dann auf Subnetze. 9. Suchen Sie das Subnetz, das der berechneten Subnetzadresse entspricht. 10. Stellen Sie fest, welchem Standort das Subnetz zugeordnet ist. Feststellen, ob ein Server ein Bridgeheadserver ist Administrative Berechtigungen Um dieses Verfahren ausführen zu können, müssen Sie Mitglied der Gruppe Domänenbenutzer sein. Feststellen, ob ein Server ein Bridgeheadserver ist 1. Klicken Sie auf Start, klicken Sie auf Ausführen, geben Sie den folgenden Befehl ein, und drücken Sie die EINGABETASTE: adsiedit.msc 2. Erweitern Sie Configuration Container und CN=Configuration,DC=NameDerStammdomäne, CN=Sites und CN=Inter-Site Transports. 3. Klicken Sie mit rechts auf CN=IP, und klicken Sie dann auf Eigenschaften. 4. Klicken Sie doppelt auf bridgeheadServerListBL. 5. Wenn bevorzugte Bridgeheadserver ausgewählt sind, werden unter Values die DNs der jeweiligen Serverobjekte angezeigt. Einen Server so konfigurieren, dass er kein bevorzugter Bridgeheadserver ist Administrative Berechtigungen Um dieses Verfahren ausführen zu können, müssen Sie Mitglied der Gruppe DomänenAdmins sein. Einen Server so konfigurieren, dass er kein bevorzugter Bridgeheadserver ist 1. Öffnen Sie Active Directory-Standorte und -Dienste. 2. Erweitern Sie Standorte und dann den Standort mit dem Bridgeheadserver. 3. Erweitern Sie Servers. 4. Klicken Sie mit rechts auf den Server, den Sie konfigurieren möchten, und klicken Sie dann auf Eigenschaften. 5. Wenn in der Liste IP angezeigt wird, ist der Server ein IP-Bridgeheadserver. Klicken Sie auf IP, klicken Sie auf Entfernen, und klicken Sie dann auf OK. Verschieben eines Serverobjekts in einen neuen Standort Administrative Berechtigungen Um dieses Verfahren ausführen zu können, müssen Sie Mitglied der Gruppe Organisations-Admins sein. Verschieben eines Serverobjekts in einen neuen Standort 1. Öffnen Sie Active Directory-Standorte und -Dienste. 2. Erweitern Sie Standorte und dann den Standort mit dem Bridgeheadserver. 3. Erweitern Sie Servers. 4. Klicken Sie mit rechts auf den Server, den Sie verschieben möchten, und klicken Sie dann auf Verschieben. 5. Klicken Sie auf den Zielstandort, und klicken Sie dann auf OK. 6. Erweitern Sie das Standortobjekt, an den Sie den Server verschoben haben, und dann den Container Servers. 7. Prüfen Sie, ob der Server hier angezeigt wird. 8. Erweitern Sie das Serverobjekt und prüfen Sie, ob das NTDS-Settings-Objekt vorhanden ist. Der NetLogon-Dienst auf dem Domänencontroller sollte die neuen Informationen innerhalb einer Stunde auf dem DNS registriert haben. Warten Sie eine Stunde, und öffnen Sie dann die Ereignisanzeige auf dem verschobenen Domänencontroller. Prüfen Sie das Verzeichnisprotokoll auf Fehler. NetLogon-Ereignis ID 5774 zeigt an, dass die DNS-Registrierung fehlgeschlagen ist. Entfernen eines Standortes Bevor Sie einen Standort löschen, müssen Sie alle Domänencontroller von diesem Standort verschieben oder löschen. Domänencontroller können andere Anwendungen hosten, die von der Standorttopologie abhängig sind. Wenn zum Beispiel MOM auf einem Domänencontroller ausgeführt wird, erstellt diese Anwendung Unterobjekte unter dem Serverobjekt. Ein Server mit Message, der kein Domänencontroller ist, erstellt außerdem ein Serverobjekt im Container Standorte. Das Entfernen der Anwendung vom Server entfernt das Unterobjekt des Serverobjektes automatisch. Das Serverobjekt selbst wird jedoch nicht automatisch entfernt. Wenn keine Unterobjekte mehr vorhanden sind, können Sie das Serverobjekt entfernen. Es kann allerdings sein, dass eine Replikation notwendig ist, bevor alle Unterobjekte entfernt sind. Nachdem die Serverobjekte entfernt oder verschoben sind und bevor Sie das Standortobjekt löschen, sollten Sie die folgenden Komponenten abstimmen: IP-Adressen: Wenn die Adressen neu für einen anderen Standort zugewiesen werden, weisen Sie das Subnetzobjekt oder die Subnetzobjekte dem neuen Standort zu. Alle Clients, die Adressen aus dem alten Standort nutzen, werden dann automatisch dem anderen Standort zugewiesen. Wenn IP-Adressen nicht weiter genutzt werden, löschen Sie das entsprechende Subnetz oder die Subnetze. Standortverknüpfungsobjekte: Wenn der Standort, der entfernt wird, einer Standortverknüpfung angehört, der nur zwei Standorte zugeordnet sind, löschen Sie die Standortverknüpfung. Wenn der Standort, der entfernt wird, einer Standortverknüpfung angehört, der mehr als zwei Standorte zugeordnet sind, löschen Sie die Standortverknüpfung nicht. Bevor Sie einen Standort löschen, sollten Sie die Auswirkungen dieser Aktion bedenken. Wenn der Standort über mehr als eine Standortverknüpfung verbunden ist, könnte es sich um einen Standort handeln, der zwei andere Standorte verbindet. Anforderungen Um die unten beschriebene Aufgabe ausführen zu können, sind die folgenden Tools erforderlich: Active Directory-Standorte und -Dienste Um diese Aufgabe auszuführen, sind die folgenden Schritte erforderlich: 1. Ermitteln, ob ein Serverobjekt über Unterobjekte verfügt 2. Löschen eines Serverobjektes aus einem Standort 3. Löschen einer Standortverknüpfung 4. Zuordnen des Subnetzes oder der Subnetze zum entsprechenden Standort 5. Löschen des Standortobjektes 6. Um Replikationsfehler mit anderen Standorten zu verhindern, erstellen Sie in den verbundenen Standorten eine neue Topologie für die Standortreplikation. Verwenden Sie hierzu eines der beiden folgenden Verfahren: Ermitteln der ISTG-Rolle für einen Standort Erstellen der Replikationstopologie auf dem ISTG-Server Ermitteln, ob ein Serverobjekt über Unterobjekte verfügt Administrative Berechtigungen Um dieses Verfahren ausführen zu können, müssen Sie Mitglied der Gruppe Domänenbenutzer sein. Ermitteln, ob ein Serverobjekt über Unterobjekte verfügt 1. Öffnen Sie Active Directory-Standorte und -Dienste. 2. Erweitern Sie Standorte und den entsprechenden Standort. 3. Erweitern Sie Servers und das entsprechende Serverobjekt. Löschen eines Serverobjektes aus einem Standort Wenn es unter dem Server in Active Directory-Standorte und -Dienste keine Unterobjekte mehr gibt, können Sie das Serverobjekt entfernen. Administrative Berechtigungen Um dieses Verfahrung durchführen zu können, müssen Sie Mitglied der Gruppe Domänen-Admins sein. Löschen eines Serverobjektes aus einem Standort 1. Öffnen Sie Active Directory-Standorte und -Dienste. 2. Erweitern Sie Standorte und den Standort, aus dem Sie den Server löschen möchten. 3. Wenn es keine Objekte unter dem Server gibt, klicken Sie mit rechts auf den Server, und klicken Sie dann auf Löschen. Wichtig Löschen Sie keinen Server mit untergeordneten Objekten. 4. Klicken Sie auf Ja. Löschen einer Standortverknüpfung Administrative Berechtigungen Um dieses Verfahren ausführen zu können, müssen Sie Mitglied der Gruppe Organisations-Admins sein. Löschen einer Standortverknüpfung 1. Öffnen Sie Active Directory-Standorte und -Dienste. 2. Erweitern Sie Standorte und den Inter-Site Transports, und klicken Sie dann auf IP. 3. Klicken Sie mit rechts auf das Standortverknüpfungsobjekt, das gelöscht werden soll. Klicken Sie dann auf Löschen. 4. Klicken Sie auf Ja. Zuordnen des Subnetzes oder der Subnetze zum entsprechenden Standort Weisen Sie einem bestehenden Subnetz einen neuen Standort zu, wenn folgendes zutrifft: Wenn Sie den Standort entfernen, dem das Subnetz zugeordnet wurde. Wenn Sie das Subnetz temporär einem anderen Standort zugeordnet hatten. Administrative Berechtigungen Um dieses Verfahren ausführen zu können, müssen Sie Mitglied der Gruppe Organisations-Admins sein. Subnetze zum entsprechenden Standort 1. Öffnen Sie Active Directory-Standorte und -Dienste. 2. Erweitern Sie Standorte, und klicken Sie dann auf Standorte. 3. Klicken Sie mit rechts auf das Subnetz, das dem Standort zugewiesen werden soll, und klicken Sie dann auf Eigenschaften. 4. Klicken Sie auf den Standort, dem das Subnetz zugewiesen werden soll, und klicken Sie dann auf OK. Löschen des Standortobjektes Löschen Sie einen Standort erst dann, wenn Sie alle Serverobjekte verschoben und alle Subnetze einem neuen Standort zugewiesen haben. Administrative Berechtigungen Um dieses Verfahren ausführen zu können, müssen Sie Mitglied der Gruppe Organisations-Admins sein. Löschen des Standortobjektes 1. Öffnen Sie Active Directory-Standorte und –Dienste, und klicken Sie auf Standorte. 2. Klicken Sie mit rechts auf den zu löschenden Standort, und klicken Sie dann auf Delete. 3. Klicken Sie zweimal auf Ja. Ermitteln der ISTG-Rolle für einen Standort Mit diesem Verfahren stellen Sie fest, wer Intersite Topology Generator (ISTG) für einen Standort ist. Administrative Berechtigungen Um dieses Verfahren ausführen zu können, müssen Sie Mitglied der Gruppe Domänenbenutzer sein. Ermitteln der ISTG-Rolle für einen Standort 1. Öffnen Sie Active Directory-Standorte und -Dienste. 2. Klicken Sie auf den Standort, dessen ISTG Sie ermitteln möchten. 3. Klicken Sie mit rechts auf NTDS Site Settings, und klicken Sie dann auf Eigenschaften. Im Feld Server finden Sie den aktuellen Rolleninhaber. Erstellen der Replikationstopologie auf dem ISTG-Server Mit dem folgenden Verfahren haben Sie die Möglichkeit, diese Vorgänge auf dem KCC anzustoßen: Erstellen einer Topologie für die Replikation zwischen Standorten. Führen Sie hierzu den KCC auf dem Domänencontroller aus, der ISTG für den Standort ist. Erstellen eine Topologie für die Replikation innerhalb des Standortes. Führen Sie hierzu den KCC auf dem Domänencontroller aus, der nicht ISTG für den Standort ist. Anmerkung Vor diesem Verfahren müssen Sie die Aufgabe Ermitteln der ISTG-Rolle für einen Standort ausführen. Administrative Berechtigungen Um dieses Verfahren ausführen zu können, müssen Sie Mitglied der Gruppe Organisations-Admins sein. Erstellen der Replikationstopologie auf dem ISTG-Server 1. Öffnen Sie Active Directory-Standorte und -Dienste. 2. Erweitern Sie Standorte und den Server, auf dem Sie den KCC ausführen möchten. 3. Erweitern Sie Servers, und klicken Sie dann auf das Serverobjekt des ISTG. 4. Klicken Sie mit rechts auf NTDS Settings, klicken Sie auf Alle Tasks, und klicken Sie dann auf Replikationstopologie prüfen. 5. Klicken Sie auf OK. Administration der Active DirectoryDatenbank In diesem Kapitel finden Sie die folgenden zwei Abschnitte: Einführung in die Administration der Active Directory-Datenbank Verwalten der Active Directory-Datenbank Danksagung Veröffentlicht: März 2005 Betrifft: Windows Server 2003 Erstellt durch: Microsoft Windows Server User Assistance Team Autor: Mary Hillman Redaktion: Jim Becker Einführung in die Administration der Active Directory-Datenbank Active Directory wird in der Datenbank Ntds.dit gespeichert. Der Verzeichnisdienst nutzt Protokolldateien, in denen die Transaktionen gespeichert werden, bevor diese übertragen werden. Um die Leistung zu optimieren, sollten Sie diese beiden Komponenten auf unterschiedlichen Festplatten speichern. Für die Datenbank ist normalerweise keine permanente Wartung notwendig (bis auf eine regelmäßige Sicherung). In den folgenden Situationen können jedoch Maßnamen erforderlich werden: Geringer Festplattenplatz. Bevorstehender oder aufgetretener Hardwareausfall. Wiederherstellung von freiem Festplattenplatz nach dem Löschen einer umfangreichen Menge von Objekten oder dem Entfernen des globalen Katalogs. Überwachen Sie den freien Festplattenplatz auf den Partitionen der Datenbank und der Protokolldatei. Die folgenden Empfehlungen gelten für den verfügbaren Festplattenplatz: Ntds.dit-Partition: Mehr als 20 Prozent der Größe von Ntds.dit oder 500 MB. Protokolldatei-Partition: Mehr als 20 Prozent der Größe aller Protokolldateien oder 500 MB. Ntds.dit und Protokolldateien in der gleichen Partition: Mehr als 20 Prozent der Größe von Ntds.dit und der Protokolldateien oder 1 GB. Während der normalen Nutzung werden immer wieder Objekte aus Active Directory gelöscht. Wenn dies passiert, führt das zu ungenutztem Speicherplatz in der Datenbank. Die Datenbank gibt diesen freien Platz regelmäßig über eine Defragmentierung frei. Er wird dann bei der Erstellung von neuen Objekten verwendet (was in diesem Fall nicht zu einer Vergrößerung der Datenbank führt). Diese automatische Onlinedefragmentierung verringert also nicht die Größe der Datenbank. Erst mit einer Offlinedefragmentierung werden die leeren Teile der Datenbank für das Dateisystem freigegeben. Sie haben außerdem die Möglichkeit, die Festplatte, auf der sich Datenbank oder Protokolldateien befinden, zu aktualisieren oder zu ersetzen. Natürlich können Sie die Dateien auch verschieben. Vor dem Ausführen irgendeiner Aktion, die sich auf die Verzeichnisdatenbank auswirkt, sollten Sie eine aktuelle Sicherung des Systemstatus machen. Weitere Informationen hierzu finden Sie im Abschnitt Sicherung des Systemstatus. Anmerkung Für die Datenbank und die Protokolldateien wird keine NTFS-Komprimierung unterstützt. Verwalten der Active DirectoryDatenbank In diesem Abschnitt werden die folgenden beiden Aufgaben zur Verwaltung der Active Directory-Datenbank beschrieben: Verschieben der Active Directory-Datenbankdateien Freigeben von ungenutztem Festplattenplatz in der Active Directory-Datenbank Verschieben der Active DirectoryDatenbankdateien Ein Verschieben der Datenbankdateien kann in den folgenden Situationen notwendig werden: Hardwarearbeiten. Zu wenig Festplattenplatz. In diesem Fall können Sie eines der beiden folgenden Verfahren durchführen: Erweitern Sie die Partition. Verschieben Sie die Dateien mit Ntdsutil. Wenn sich der Pfad zur Datenbankdatei oder zu den Protokollen ändert, stellen Sie folgendes sicher: Verschieben Sie die Dateien mit Ntdsutil.exe, anstatt sie einfach zu kopieren. Auf diese Art wird auch die Registrierung aktualisiert. Führen Sie eine Sicherung des Systemstatus durch, sobald das Verschieben abgeschlossen ist. Prüfen Sie, ob auf allen verschobenen Ordnern die korrekten Berechtigungen angewandt sind. Beim Verschieben der Datenbank bearbeitet Ntdsutil.exe die folgenden Registrierungsschlüssel: In HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\ Datenbanksicherungspfad DSA Datenbankdatei DSA Arbeitsverzeichnis Beim Verschieben der Protokolle bearbeitet Ntdsutil.exe die folgenden Registrierungsschlüssel: In HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\ Datenbankprotokolldateipfad Speicherplatzanforderungen für das Verschieben der Active DirectoryDatenbankdateien Temporäres Verschieben: Mindestens die Größe der aktuellen Dateien. Permanentes Verschieben: Mindestens die unten definierte Größte plus ausreichend Speicherplatz für ein Anwachsen der Dateien. Vorsicht Das Ziellaufwerk muss mit NTFS formatiert sein. Ntds.dit-Partition: Mehr als 20 Prozent der Größe von Ntds.dit oder 500 MB. Protokolldatei-Partition: Mehr als 20 Prozent der Größe aller Protokolldateien oder 500 MB. Ntds.dit und Protokolldateien in der gleichen Partition: Mehr als 20 Prozent der Größe von Ntds.dit und der Protokolldateien oder 1 GB. Wichtig Diese Empfehlungen stellen das Minimum dar. Anforderungen Um die unten beschriebenen Aufgaben ausführen zu können, sind die folgenden Tools notwendig: net use dir xcopy Ntdsutil.exe Sicherungssoftware Windows Explorer Anmerkung Bevor Sie Laufwerke verschieben können, auf denen SYSVOL gespeichert ist, müssen Sie erst SYSVOL selbst verschieben. Weitere Informationen hierzu unter Manuelles Verschieben von SYSVOL. Um diese Aufgabe auszuführen, sind die folgenden Schritte erforderlich: 1. Stellen Sie mit einem der folgenden Verfahren fest, wo sich die Active DirectoryDatenbank befindet und wie groß sie ist: Online feststellen, wo die Datenbank gespeichert ist und wie groß diese ist Offline feststellen, wo die Datenbank gespeichert ist und wie groß diese ist 2. Vergleich der Größe der Verzeichnisdatenbank mit der Volumengröße 3. Sicherung des Systemstatus 4. Neustart des Domänencontrollers im Verzeichnisdienstwiederherstellungsmodus über eines der folgenden Verfahren: Lokaler Neustart des Domänencontrollers im Verzeichnisdienstwiederherstellungsmodus Neustart des Domänencontrollers im Verzeichnisdienstwiederherstellungsmodus von einem Remotestandort aus 5. Verschieben oder Kopieren der Verzeichnisdatenbank mithilfe eines der folgenden Verfahren: Verschieben der Verzeichnisdatenbank und Protokolldateien auf ein lokales Laufwerk Verschieben der Verzeichnisdatenbank und Protokolldateien auf eine Remotefreigabe 6. Sicherung des Systemstatus Online feststellen, wo die Datenbank gespeichert ist und wie groß diese ist Wenn Sie die Größe online ermitteln, wird diese in Byte zurückgegeben. Standardmäßig befinden sich Datenbank und Protokolldateien unter %systemroot%\NTDS. Wichtig Die Größe wird bei einer Onlineprüfung anders zurückgegeben als bei einer Offlineprüfung. Administrative Berechtigungen Für das folgende Verfahren müssen Sie Mitglied der Gruppe Domänen-Admins sein. Online feststellen, wo die Datenbank gespeichert ist und wie groß diese ist 1. Öffnen Sie eine Eingabeaufforderung, und wechseln Sie in das entsprechende Verzeichnis. 2. Führen Sie den Befehl dir aus. C:\WINDOWS\NTDS>dir Datenträger in Laufwerk C: ist xxx Volumeseriennummer: 8498-F405 Verzeichnis von C:\WINDOWS\NTDS 19.11.2006 17:36 <DIR> . 19.11.2006 17:36 <DIR> .. 16.11.2006 21:50 <DIR> Drop 19.11.2006 22:49 8.192 edb.chk 19.11.2006 17:36 10.485.760 edb.log 19.11.2006 17:36 12.599.296 ntds.dit 16.11.2006 21:26 10.485.760 res1.log 16.11.2006 21:26 10.485.760 res2.log 19.11.2006 17:36 2.113.536 temp.edb 6 Datei(en), 46.178.304 Bytes 3 Verzeichnis(se), 15.253.229.568 Bytes frei Offline feststellen, wo die Datenbank gespeichert ist und wie groß diese ist Bei diesem Verfahren wird die Größe in MB zurückgegeben. Administrative Berechtigungen Für das folgende Verfahren müssen Sie lokaler Administrator sein. Offline feststellen, wo die Datenbank gespeichert ist und wie groß diese ist 1. Starten Sie den Domänencontroller im Verzeichnisdienstwiederherstellungsmodus, und führen Sie in einer Eingabeaufforderung den Befehl ntdsutil aus. 2. Geben Sie files ein, und drücken Sie die EINGABETASTE. 3. Geben Sie info ein und drücken Sie die EINGABETASTE. Vergleich der Größe der Verzeichnisdatenbank mit der Volumengröße Administrative Berechtigungen Für einen Onlinevergleich müssen Sie Mitglied der Gruppe Domänenbenutzer sein. Für einen Offlinevergleich müssen Sie lokaler Administrator sein. Vergleich der Größe der Verzeichnisdatenbank mit der Volumengröße 1. Klicken Sie im Windows Explorer auf Arbeitsplatz. 2. Klicken Sie im Menü Ansicht auf Details. 3. Suchen Sie nach dem entsprechenden Volumen. Notieren Sie sich die Gesamtgröße des Volumens. 4. Navigieren Sie zu dem Ordner, in dem die Dateien gespeichert sind. 5. Klicken Sie mit rechts auf den Ordner und dann auf Eigenschaften. Notieren Sie sich den Wert Größe auf dem Datenträger. 6. Wenn SYSVOL ebenfalls auf dem Volumen gespeichert ist, navigieren Sie zu diesem Ordner und wiederholen Schritt 5. 7. Vergleichen Sie die ermittelten Größen. Sicherung des Systemstatus Wenn Sie den Systemstatus mit Ntbackup.exe sichern, können Sie die geschützten Systemdateien mit sichern oder nicht. Diese Dateien sind für eine Installation mithilfe einer wiederhergestellten Sicherung nicht notwendig - in diesem Fall können Sie die Option deaktivieren. Sie verkleinern so die Größe der Sicherungsdatei und verringern den notwendigen Zeitaufwand. Mit den folgenden Verfahren können Sie nur den Systemstatus sichern. Das Systemvolumen oder andere Daten auf dem Domänencontroller werden nicht berücksichtigt. Mit dem ersten Verfahren, "Sicherung des Systemstatus inklusive der geschützten Systemdateien", können Sie Routinesicherungen des Systemstatus durchführen. Mit dem zweiten Verfahren, "Sicherung des Systemstatus exklusive der geschützten Systemdateien", können Sie eine kleinere Sicherung durchführen, die zur Installation von Domänencontrollern über Sicherungsmedien verwendet werden kann. Anmerkung Um den Systemstatus sichern zu können, müssen Sie als lokaler Administrator am Domänencontroller angemeldet sein. Alternativ muss der Remotedesktop aktiviert sein. Administrative Berechtigungen Um die folgenden Verfahren ausführen zu können, müssen Sie Mitglied der Gruppe Domänen-Admins oder Sicherungsoperatoren sein. Sicherung des Systemstatus inklusive der geschützten Systemdateien 1. Klicken Sie auf Start, klicken Sie auf Ausführen, geben Sie ntbackup ein, und klicken Sie dann auf OK. In diesem Verfahren verwenden Sie den Assistentenmodus. Standardmäßig ist die Option Immer im Assistentenmodus starten im Sicherungs- und Wiederherstellungsassistenten aktiviert. Klicken Sie andernfalls auf Assistentenmodus. 2. Klicken Sie auf Weiter. 3. Klicken Sie auf Dateien und Einstellungen sichern, und klicken Sie dann auf Weiter. 4. Klicken Sie auf Elemente für die Sicherung selbst auswählen, und klicken Sie dann auf Weiter. 5. Klicken Sie doppelt auf Arbeitsplatz. 6. Klicken Sie auf Systemstatus, und klicken Sie dann auf Weiter. 7. Wählen Sie einen Speicherort für die Sicherung aus: Anmerkung Sie sollten die Sicherung nicht auf einer lokalen Festplatte speichern. 8. Geben Sie einen Namen ein. Halten Sie sich an die Empfehlungen aus dem Abschnitt Sichern von Active Directory-Komponenten, und klicken Sie dann auf Weiter. 9. Klicken Sie auf Erweitert. 10. Klicken Sie auf Weiter. 11. Aktivieren Sie Daten nach der Sicherung prüfen, und klicken Sie dann auf Weiter. 12. Wählen Sie eine der Optionen aus, und klicken Sie dann auf Weiter. 13. Wenn Sie bestehende Sicherungen ersetzen, wählen Sie die Option, mit der nur dem Besitzer und dem Administrator Zugriff auf die Sicherungsdaten gewährt wird. Klicken Sie dann auf Weiter. 14. Wählen Sie eine für Sie passende Option aus, und klicken Sie dann auf Weiter. 15. Klicken Sie auf Fertigstellen. Anmerkung Sie können Ntbackup auch über die Eingabeaufforderung nutzen. Weitere Informationen erhalten Sie mit dem Befehl ntbackup /?. Sicherung des Systemstatus exklusive der geschützten Systemdateien 1. Klicken Sie auf Start, klicken Sie auf Ausführen, geben Sie ntbackup ein, und klicken Sie dann auf OK. 2. Klicken Sie auf Erweiterter Modus, und klicken Sie dann auf die Registerkarte Sichern. 3. Wählen Sie Systemstatus aus. 8. Geben Sie einen Namen ein. Halten Sie sich an die Empfehlungen aus dem Abschnitt Sichern von Active Directory-Komponenten, und klicken Sie dann auf Weiter. 5. Klicken Sie auf Sicherung starten, und klicken Sie dann auf Erweitert. 6. Deaktivieren Sie Geschützte Systemdateien automatisch mit dem Systemstatus sichern, und klicken Sie dann auf OK. 7. Klicken Sie auf Sicherung starten. Siehe auch Aktivieren von Remotedesktop Erstellen einer Remotedesktopverbindung Lokaler Neustart des Domänencontrollers im Verzeichnisdienstwiederherstellungsmod us Wenn Sie physischen Zugriff auf den Domänecontroller haben, können Sie diesen lokal im Verzeichnisdienstwiederherstellungsmodus starten. Im Verzeichnisdienstwiederherstellungsmodus wird das lokale Administratorkonto über die Security Accounts Manager-Datenbank (SAM) überprüft. Daher benötigen Sie das Wiederherstellungskennwort - nicht das normale Administratorkennwort. Administrative Berechtigungen Um dieses Verfahren durchführen zu können, benötigen Sie das Verzeichnisdienstwiederherstellungskennwort. Lokaler Neustart des Domänencontrollers im Verzeichnisdienstwiederherstellungsmodus 1. Starten Sie den Domänencontroller neu. 2. Wenn die Betriebssystemauswahl angezeigt wird, drücken Sie F8. 3. Wählen Sie unter Erweiterte Optionen die Option Verzeichnisdienstwiederherstellungsmodus. 4. Melden Sie sich als lokaler Administrator an. Siehe auch Neustart des Domänencontrollers im Verzeichnisdienstwiederherstellungsmodus von einem Remotestandort aus Neustart des Domänencontrollers im Verzeichnisdienstwiederherstellungsmod us von einem Remotestandort aus Wenn Remotedesktop auf dem Domänencontroller aktiviert ist, können Sie eine Remotedesktopverbindung nutzen. Mit einer Remotedesktopverbindung müssen Sie zuerst die Datei Boot.ini bearbeiten, bevor Sie den Domänencontroller remote im Verzeichniswiederherstellungsmodus starten können - ansonsten verlieren Sie beim Neustart die Verbindung zum Domänencontroller. Zum Start im Verzeichnisdienstwiederherstellungsmodus sind das lokale Administratorkonto und das Wiederherstellungskennwort notwendig. Dieses wird von der lokalen SAM authentifiziert. Administrative Berechtigungen Um dieses Verfahren durchführen zu können, müssen Sie das Administratorkennwort für den Verzeichnisdienstwiederherstellungsmodus kennen. Neustart des Domänencontrollers im Verzeichnisdienstwiederherstellungsmodus von einem Remotestandort aus 1. Verbinden Sie sich über eine Remotedesktopverbindung mit dem Domänencontroller. 2. Klicken Sie mit rechts auf Arbeitsplatz, klicken Sie auf Eigenschaften, und klicken Sie dann auf die Registerkarte Erweitert. 3. Klicken Sie unter Starten und Wiederherstellen auf Einstellungen. 4. Klicken Sie auf Bearbeiten. 5. Erweitern Sie den Standardeintrag um /SAFEBOOT:DSREPAIR: multi(0)disk(0)rdisk(0)partition(2)\WINNT=”IhrServerName” /fastdetect /SAFEBOOT:DSREPAIR Anmerkung /SAFEBOOT:DSREPAIR kann für Windows 2000 Server und Windows Server 2003 verwendet werden. 6. Speichern Sie die Datei. 7. Starten Sie den Server neu. 8. Verbinden Sie sich neu mit dem Server. 9. Melden Sie sich als lokaler Administrator an. 10. Klicken Sie mit rechts auf Arbeitsplatz, klicken Sie auf Eigenschaften, und klicken Sie dann auf die Registerkarte Erweitert. 11. Klicken Sie unter Starten und Wiederherstellen auf Einstellungen. 12. Klicken Sie auf Bearbeiten. 13. Löschen Sie die Option /SAFEBOOT:DSREPAIR wieder. Siehe auch Aktivieren von Remotedesktop Erstellen einer Remotedesktopverbindung Lokaler Neustart des Domänencontrollers im Verzeichnisdienstwiederherstellungsmodus Verschieben der Verzeichnisdatenbank und Protokolldateien auf ein lokales Laufwerk Sie können die Dateien mit Ntdsutil.exe oder remote (temporär) mithilfe des copy-Befehls verschieben. Sie sollten jedoch auch beim temporären Verschieben Ntdsutil.exe nutzen nur so bleibt die Registrierung aktuell. Administrative Berechtigungen Für das folgende Verfahren müssen Sie lokaler Administrator sein. Verschieben der Verzeichnisdatenbank und Protokolldateien auf ein lokales Laufwerk 1. Öffnen Sie im Verzeichnisdienstwiederherstellungsmodus eine Eingabeaufforderung, und wechseln Sie zu dem Verzeichnis mit den Dateien, die verschoben werden sollten. 2. Führen Sie den Befehl dir aus, und notieren Sie sich die aktuelle Größe der Dateien. 3. Geben Sie den Befehl ntdsutil ein, und drücken Sie die EINGABETASTE. 4. Geben Sie den Befehl files ein, und drücken Sie die EINGABETASTE. 5. Mit den folgenden Befehlen können Sie die Dateien verschieben: Ntds.dit: move db to Laufwerk:\verzeichnis Protokolldateien: move logs to Laufwerk:\verzeichnisy Anmerkung Wenn sich Leerzeichen im Verzeichnispfad befinden, müssen Sie diesen in Anführungsstriche einschließen. 6. Geben Sie zweimal quit ein, und drücken Sie ENTER. 7. Wechseln Sie zum Zielverzeichnis, und prüfen Sie mit dir, ob die Dateien dort vorhanden sind. Prüfen Sie die Dateigrößen mit den in Schritt zwei aufgezeichneten Daten. 8. Wenn die Dateien permanent verschoben werden sollten, fahren Sie mit Schritt 9 fort. Wenn die Dateien nur temporär verschoben werden sollten, wiederholen Sie Schritt 1 bis 7, um sie zurück zu verschieben. Wenn sich der Pfad zu den Dateien nicht geändert hat, fahren Sie mit Schritt 10 fort. 9. Wenn sich der Pfad geändert hat, prüfen Sie die Berechtigungen für den Ordner (im Verzeichnisdienstwiederherstellungsmodus): a. Klicken Sie im Windows Explorer mit rechts auf den Ordner, und klicken Sie dann auf Eigenschaften. b. Klicken Sie auf die Registerkarte Sicherheit, und prüfen Sie, ob folgende Berechtigungen vorhanden sind: Administratoren = Vollzugriff zulassen. System = Vollzugriff zulassen. Vererbung von Berechtigungen ist deaktiviert. Es werden keine Berechtigungen verweigert. c. Wenn die Berechtigungen korrekt sind, fahren Sie mit Schritt 10 fort. Passen Sie die Berechtigungen andernfalls vorher an. 10. Geben Sie ntdsutil in der Eingabeaufforderung ein, und drücken Sie die EINGABETASTE. 11. Geben Sie files ein, und drücken Sie die EINGABETASTE. 12. Geben Sie integrity ein, und drücken Sie die EINGABETASTE. 13. Wenn die Integritätsprüfung erfolgreich war, schließen Sie Ntdsutil.exe. 14. Starten Sie den Domänencontroller normal. Wenn Sie dieses Verfahren remote durchführen, stellen Sie sicher, dass Sie die Boot.ini angepasst haben. Sollten beim Neustart Fehler angezeigt werden: a. Starten Sie den Domänencontroller im Verzeichnisdienstwiederherstellungsmodus. b. Suchen Sie in der Ereignisanzeige nach Fehlern: Ereignis-ID 1046. “The Active Directory database engine caused an exception with the following parameters.” In diesem Fall müssen Sie Active Directory aus einer Sicherung wiederherstellen. Ereignis-ID 1168. “Internal error: An Active Directory error has occurred.” In diesem Fall fehlen Informationen in der Registrierung. Sie müssen eine Sicherung wiederherstellen. Verschieben der Verzeichnisdatenbank und Protokolldateien auf eine Remotefreigabe Sie sollten immer die Datenbankdatei und die Protokolldateien kopieren. Administrative Berechtigungen Für das folgende Verfahren müssen Sie lokaler Administrator sein. Verschieben der Verzeichnisdatenbank und Protokolldateien auf eine Remotefreigabe 1. Öffnen Sie im Verzeichnisdienstwiederherstellungsmodus eine Eingabeaufforderung, und wechseln Sie zu dem Verzeichnis mit den Dateien, die verschoben werden sollten. 2. Führen Sie den Befehl dir aus, und notieren Sie sich die aktuelle Größe der Dateien. 3. Erstellen Sie eine Netzwerkverbindung mit der Freigabe. In diesem Beispiel ist \\SERVER1\NTDS der Name der Freigabe. K: ist das Laufwerk dem die Freigabe zugeordnet wird. Nachdem Sie die erste Zeile eingegeben und die EINGABETASTE gedrückt haben fordert Sie Ntdsutil.exe zur Eingabe Kennwortes auf. H:\>net use K: \\SERVER1\NTDS /user:Domänenname\Benutzername* 4. Kopieren Sie die Dateien mit xcopy in die Freigabe: H:>xcopy WINNT\NTDS K:\DB 5. Wechseln Sie zur Freigabe und geben Sie den Befehl dir ein. Vergleichen Sie die kopierten Dateien mit den Originalen. 6. Nun können Sie die Originaldaten löschen. 7. Wenn das Ziellaufwerk vorbereitet ist verbinden Sie sich wieder mit der Freigabe. 8. Kopieren Sie die Dateien aus der Freigabe zurück an ihren ursprünglichen Speicherort. 9. Geben Sie ntdsutil in der Eingabeaufforderung ein, und drücken Sie die EINGABETASTE. 10. Geben Sie files ein, und drücken Sie die EINGABETASTE. 11. Geben Sie integrity ein, und drücken Sie die EINGABETASTE. 12. Wenn die Integritätsprüfung erfolgreich war, schließen Sie Ntdsutil.exe. 13. Starten Sie den Domänencontroller normal. Wenn Sie dieses Verfahren remote durchführen, stellen Sie sicher, dass Sie die Boot.ini angepasst haben. Sollten beim Neustart Fehler angezeigt werden: a. Starten Sie den Domänencontroller im Verzeichnisdienstwiederherstellungsmodus. b. Suchen Sie in der Ereignisanzeige nach Fehlern: Ereignis-ID 1046. “The Active Directory database engine caused an exception with the following parameters.” In diesem Fall müssen Sie Active Directory aus einer Sicherung wiederherstellen. Ereignis-ID 1168. “Internal error: An Active Directory error has occurred.” In diesem Fall fehlen Informationen in der Registrierung. Sie müssen eine Sicherung wiederherstellen. Freigeben von ungenutztem Festplattenplatz in der Active DirectoryDatenbank Bei jedem Garbage-Collection-Vorgang (alle zwölf Stunden) wird der ungenutzte Platz in der Active Directory-Datenbank optimiert. Hierbei wird jedoch kein Festplattenplatz freigegeben. Dies ist nur mit einer Offlinedefragmentierung möglich. In dem Sie das Garbage-Collection-Protokollierungslevel in der Registrierung festlegen, können Sie bestimmen, wie viel Speicherplatz freigegeben werden kann. Wenn Sie den Eintrag von 0 auf 1 ändern, führt dies dazu, dass im Verzeichnisprotokoll das Ereignis 1646 protokolliert wird. In diesem Ereignis steht, wie viel Platz freigegeben werden kann. Mit dem Wert 0 werden nur kritische Ereignisse und Fehler protokolliert. Mit dem Wert 1 werden zusätzlich die folgenden Ereignisse protokolliert: 700 und 701: Start und Ende der Onlinedefragmentierung. 1646: Freier Speicherplatz in der Datenbank. Vorsicht Wenn Sie den Wert auf mehr als 3 setzen, kann dies Auswirkungen auf die Serverleistung haben. Führen Sie nach der Offlinedefragmentierung eine Integritätsprüfung durch. Mit dieser werden Datenbankfehler erkannt. Der Zeitbedarf für die Prüfung ist von der Größe der Datenbank und der Hardware des Domänencontrollers abhängig. Im Allgemeinen werden ca. zwei GB pro Stunde geprüft. Anforderungen Um die unten beschriebenen Aufgaben ausführen zu können, sind die folgenden Tools notwendig: Regedit.exe Sicherungssoftware Ntdsutil.exe Um diese Aufgabe auszuführen, sind die folgenden Schritte erforderlich: 1. Ändern des Garbage-Collection-Protokollierungslevel auf 1 2. Sicherung des Systemstatus 3. Verwenden Sie eines der folgenden Verfahren: Lokaler Neustart des Domänencontrollers im Verzeichnisdienstwiederherstellungsmodus Neustart des Domänencontrollers im Verzeichnisdienstwiederherstellungsmodus von einem Remotestandort aus 4. Komprimieren der Datenbank (Offlinedefragmentierung) 5. Durchführen einer Semantikanalyse bei einem Fehlschlag der Integritätsprüfung Ändern des Garbage-CollectionProtokollierungslevel auf 1 Suchen Sie im Verzeichnisprotokoll nach Ereignis 1646. In diesem finden Sie die Größe des ungenutzten Speicherplatzes. Administrative Berechtigungen Um dieses Verfahren ausführen zu können, müssen Sie Mitglied der Gruppe DomänenAdmins sein. Vorsicht Der Registrierungseditor umgeht die normalen Sicherheitsfunktionen. Sie können so Einstellungen vornehmen, die das System beschädigen können oder sogar dafür sorgen können, dass Windows neu installiert werden muss. Sichern Sie vor einer Bearbeitung der Registrierung den Systemstatus. Weitere Informationen hierzu finden Sie unter: Einführung in die Administration der Active DirectorySicherung und -Wiederherstellung. Ändern des Garbage-Collection-Protokollierungslevels 1. Klicken Sie auf Start, klicken Sie auf Ausführen, geben Sie regedit ein, und drücken Sie die EINGABETASTE. 2. Navigieren Sie zum Eintrag Garbage Collection unter HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\Diagno stics 3. Klicken Sie doppelt auf Garbage Collection, und klicken Sie auf Dezimal. 4. Geben Sie 1 ein, und klicken Sie dann auf OK. Sicherung des Systemstatus Wenn Sie den Systemstatus mit Ntbackup.exe sichern, können Sie die geschützten Systemdateien mit sichern oder nicht. Diese Dateien sind für eine Installation mithilfe einer wiederhergestellten Sicherung nicht notwendig - in diesem Fall können Sie die Option deaktivieren. Sie verkleinern so die Größe der Sicherungsdatei und verringern den notwendigen Zeitaufwand. Mit den folgenden Verfahren können Sie nur den Systemstatus sichern. Das Systemvolumen oder andere Daten auf dem Domänencontroller werden nicht berücksichtigt. Mit dem ersten Verfahren, "Sicherung des Systemstatus inklusive der geschützten Systemdateien", können Sie Routinesicherungen des Systemstatus durchführen. Mit dem zweiten Verfahren, "Sicherung des Systemstatus exklusive der geschützten Systemdateien", können Sie eine kleinere Sicherung durchführen, die zur Installation von Domänencontrollern über Sicherungsmedien verwendet werden kann. Anmerkung Um den Systemstatus sichern zu können, müssen Sie als lokaler Administrator am Domänencontroller angemeldet sein. Alternativ muss der Remotedesktop aktiviert sein. Administrative Berechtigungen Um die folgenden Verfahren ausführen zu können, müssen Sie Mitglied der Gruppe Domänen-Admins oder Sicherungsoperatoren sein. Sicherung des Systemstatus inklusive der geschützten Systemdateien 1. Klicken Sie auf Start, klicken Sie auf Ausführen, geben Sie ntbackup ein, und klicken Sie dann auf OK. In diesem Verfahren verwenden Sie den Assistentenmodus. Standardmäßig ist die Option Immer im Assistentenmodus starten im Sicherungs- und Wiederherstellungsassistenten aktiviert. Klicken Sie andernfalls auf Assistentenmodus. 2. Klicken Sie auf Weiter. 3. Klicken Sie auf Dateien und Einstellungen sichern, und klicken Sie dann auf Weiter. 4. Klicken Sie auf Elemente für die Sicherung selbst auswählen, und klicken Sie dann auf Weiter. 5. Klicken Sie doppelt auf Arbeitsplatz. 6. Klicken Sie auf Systemstatus, und klicken Sie dann auf Weiter. 7. Wählen Sie einen Speicherort für die Sicherung aus: Anmerkung Sie sollten die Sicherung nicht auf einer lokalen Festplatte speichern. 8. Geben Sie einen Namen ein. Halten Sie sich an die Empfehlungen aus dem Abschnitt Sichern von Active Directory-Komponenten, und klicken Sie dann auf Weiter. 9. Klicken Sie auf Erweitert. 10. Klicken Sie auf Weiter. 11. Aktivieren Sie Daten nach der Sicherung prüfen, und klicken Sie dann auf Weiter. 12. Wählen Sie eine der Optionen aus, und klicken Sie dann auf Weiter. 13. Wenn Sie bestehende Sicherungen ersetzen, wählen Sie die Option, mit der nur dem Besitzer und dem Administrator Zugriff auf die Sicherungsdaten gewährt wird. Klicken Sie dann auf Weiter. 14. Wählen Sie eine für Sie passende Option aus, und klicken Sie dann auf Weiter. 15. Klicken Sie auf Fertigstellen. Anmerkung Sie können Ntbackup auch über die Eingabeaufforderung nutzen. Weitere Informationen erhalten Sie mit dem Befehl ntbackup /?. Sicherung des Systemstatus exklusive der geschützten Systemdateien 1. Klicken Sie auf Start, klicken Sie auf Ausführen, geben Sie ntbackup ein, und klicken Sie dann auf OK. 2. Klicken Sie auf Erweiterter Modus, und klicken Sie dann auf die Registerkarte Sichern. 3. Wählen Sie Systemstatus aus. 8. Geben Sie einen Namen ein. Halten Sie sich an die Empfehlungen aus dem Abschnitt Sichern von Active Directory-Komponenten, und klicken Sie dann auf Weiter. 5. Klicken Sie auf Sicherung starten, und klicken Sie dann auf Erweitert. 6. Deaktivieren Sie Geschützte Systemdateien automatisch mit dem Systemstatus sichern, und klicken Sie dann auf OK. 7. Klicken Sie auf Sicherung starten. Siehe auch Aktivieren von Remotedesktop Erstellen einer Remotedesktopverbindung Lokaler Neustart des Domänencontrollers im Verzeichnisdienstwiederherstellungsmod us Wenn Sie physischen Zugriff auf den Domänecontroller haben, können Sie diesen lokal im Verzeichnisdienstwiederherstellungsmodus starten. Im Verzeichnisdienstwiederherstellungsmodus wird das lokale Administratorkonto über die Security Accounts Manager-Datenbank (SAM) überprüft. Daher benötigen Sie das Wiederherstellungskennwort - nicht das normale Administratorkennwort. Administrative Berechtigungen Um dieses Verfahren durchführen zu können, benötigen Sie das Verzeichnisdienstwiederherstellungskennwort. Lokaler Neustart des Domänencontrollers im Verzeichnisdienstwiederherstellungsmodus 1. Starten Sie den Domänencontroller neu. 2. Wenn die Betriebssystemauswahl angezeigt wird, drücken Sie F8. 3. Wählen Sie unter Erweiterte Optionen die Option Verzeichnisdienstwiederherstellungsmodus. 4. Melden Sie sich als lokaler Administrator an. Siehe auch Neustart des Domänencontrollers im Verzeichnisdienstwiederherstellungsmodus von einem Remotestandort aus Neustart des Domänencontrollers im Verzeichnisdienstwiederherstellungsmod us von einem Remotestandort aus Wenn Remotedesktop auf dem Domänencontroller aktiviert ist, können Sie eine Remotedesktopverbindung nutzen. Mit einer Remotedesktopverbindung müssen Sie zuerst die Datei Boot.ini bearbeiten, bevor Sie den Domänencontroller remote im Verzeichniswiederherstellungsmodus starten können - ansonsten verlieren Sie beim Neustart die Verbindung zum Domänencontroller. Zum Start im Verzeichnisdienstwiederherstellungsmodus sind das lokale Administratorkonto und das Wiederherstellungskennwort notwendig. Dieses wird von der lokalen SAM authentifiziert. Administrative Berechtigungen Um dieses Verfahren durchführen zu können, müssen Sie das Administratorkennwort für den Verzeichnisdienstwiederherstellungsmodus kennen. Neustart des Domänencontrollers im Verzeichnisdienstwiederherstellungsmodus von einem Remotestandort aus 1. Verbinden Sie sich über eine Remotedesktopverbindung mit dem Domänencontroller. 2. Klicken Sie mit rechts auf Arbeitsplatz, klicken Sie auf Eigenschaften, und klicken Sie dann auf die Registerkarte Erweitert. 3. Klicken Sie unter Starten und Wiederherstellen auf Einstellungen. 4. Klicken Sie auf Bearbeiten. 5. Erweitern Sie den Standardeintrag um /SAFEBOOT:DSREPAIR: multi(0)disk(0)rdisk(0)partition(2)\WINNT=”IhrServerName” /fastdetect /SAFEBOOT:DSREPAIR Anmerkung /SAFEBOOT:DSREPAIR kann für Windows 2000 Server und Windows Server 2003 verwendet werden. 6. Speichern Sie die Datei. 7. Starten Sie den Server neu. 8. Verbinden Sie sich neu mit dem Server. 9. Melden Sie sich als lokaler Administrator an. 10. Klicken Sie mit rechts auf Arbeitsplatz, klicken Sie auf Eigenschaften, und klicken Sie dann auf die Registerkarte Erweitert. 11. Klicken Sie unter Starten und Wiederherstellen auf Einstellungen. 12. Klicken Sie auf Bearbeiten. 13. Löschen Sie die Option /SAFEBOOT:DSREPAIR wieder. Siehe auch Aktivieren von Remotedesktop Erstellen einer Remotedesktopverbindung Lokaler Neustart des Domänencontrollers im Verzeichnisdienstwiederherstellungsmodus Komprimieren der Datenbank (Offlinedefragmentierung) Die Offlinedefragmentierung erstellt eine neue und komprimierte Version der Datenbank. Diese kann sich am gleichen Speicherort oder an einem anderen Speicherort befinden. Um mögliche Probleme zu verhindern, sollten Sie die Offlinedefragmentierung jedoch lokal durchführen. Nachdem Sie die Datenbank an einem temporären Speicherort defragmentiert haben, kopieren Sie diese an ihren ursprünglichen Speicherort. Wenn möglich, behalten Sie eine Kopie der Originaldatenbank. Anmerkung Um dieses Verfahren ausführen zu können, müssen Sie den Domänencontroller im Verzeichnisdienstwiederherstellungsmodus starten. Administrative Berechtigungen Sie müssen Administrator des lokalen Domänencontrollers sein. Festplattenplatz Aktuelles Laufwerk der Datenbank. Mindestens 15 Prozent der aktuellen Datenbankgröße. Ziellaufwerk. Mindestens die Größe der aktuellen Datenbank. Komprimieren der Datenbank 1. Gehen Sie im Verzeichnisdienstwiederherstellungsmodus folgendermaßen vor: Komprimierung in ein lokales Verzeichnis: Weiter mit Schritt 2. Komprimierung in ein Remoteverzeichnis: Erstellen Sie eine Netzwerkverbindung zum Zielordner. Beispiel H:\>net use K: \\SERVER1\NTDS /user:Domänenname\Benutername* 2. Geben Sie den folgenden Befehl an einer Eingabeaufforderung ein, und drücken Sie die EINGABETASTE: ntdsutil 3. Geben Sie files ein, und drücken Sie die EINGABETASTE. 4. Geben Sie compact to laufwerk:\lokalerverzeichnispfad ein, und drücken Sie die EINGABETASTE. Wenn Sie in eine Freigabe komprimieren wollen, geben Sie den Laufwerksbuchstaben an, dem Sie die Freigabe zugeordnet haben. 5. Wenn keine Fehler auftreten, gehen Sie zu Schritt 6. Wenn Fehler auftreten, machen Sie mit Schritt 9 weiter. Vorsicht Überschreiben Sie nicht die originale Datenbank oder löschen Protokolldateien. 6. Folgen Sie den Anweisungen von Ntdsutil: a. Löschen aller Protokolldateien mit dem Befehl: del Laufwerk:\PfadZuDenProtokolldateien\*.log Anmerkung Die Datei Edb.chk wird nicht gelöscht. b. Wenn Sie die Möglichkeit dazu haben, sichern Sie die originale Datenbank an einem anderen Speicherort. c. Kopieren Sie die komprimierte Datenbank an den Originalspeicherort: copy temporäreslauferk:\ntds.dit OriginalLaufwerk:\PfadZurOriginaldatenbankdatei\ntds.dit 7. Geben Sie ntdsutil ein, und drücken Sie die EINGABETASTE. 8. Geben Sie files ein, und drücken Sie die EINGABETASTE. 9. Geben Sie integrity ein, und drücken Sie die EINGABETASTE. Wenn die Integritätsprüfung fehlschlägt, fahren Sie mit Schritt 6.3 fort. Wenn die Prüfung wieder fehlschlägt: Kontaktieren Sie den Microsoft-Produktsupport. -oder- Kopieren Sie die Originalversion der Datenbank, die Sie in Schritt 6.2 gesichert haben, an den ursprünglichen Platz zurück, und wiederholen Sie das gesamte Verfahren. 10. Wenn die Integritätsprüfung erfolgreich ist, schließen Sie Ntdsutil.exe. 11. Starten Sie den Domänencontroller im normalen Modus. Wenn beim Neustart des Domänencontrollers Fehler auftreten: 1. Starten Sie den Domänencontroller im Verzeichnisdienstwiederherstellungsmodus. 2. Suchen Sie in der Ereignisanzeige nach Fehlern: Ereignis ID 1046. “The Active Directory database engine caused an exception with the following parameters.” Stellen Sie eine Sicherung wieder her. Ereignis ID 1168. “Internal error: An Active Directory error has occurred.” Stellen Sie eine Sicherung wieder her. 3. Prüfen Sie die Datenbankintegrität, und gehen Sie folgendermaßen vor: Wenn die Prüfung fehlschlägt, wiederholen Sie die Schritte 6.3 bis 9 und prüfen Sie die Integrität noch einmal. Wenn diese wieder fehlschlägt, gehen sie folgendermaßen vor: Kontaktieren Sie den Microsoft-Produktsupport. -oder- Kopieren Sie die Originalversion der Datenbank, die Sie in Schritt 6.2 gesichert haben, an den ursprünglichen Platz zurück, und wiederholen Sie das gesamte Verfahren. Wenn die Prüfung erfolgreich ist, führen Sie eine Semantikanalyse durch. 4. Wenn die Semantikanalyse erfolgreich ist, verlassen Sie Ntdsutil.exe und starten den Domänencontroller im normalen Modus neu. Wenn die Semantikanalyse fehlschlägt, kontaktieren Sie den Microsoft-Produktsupport. Durchführen einer Semantikanalyse bei einem Fehlschlag der Integritätsprüfung Wenn Sie die Semantikanalyse mit dem Befehl Go Fixup statt Go starten, werden Fehler in der Datei Dsdit.dmp.xx protokolliert. Anmerkung Für dieses Verfahren muss der Domänencontroller im Verzeichnisdienstwiederherstellungsmodus gestartet werden. Administrative Berechtigungen Sie müssen Administrator auf dem lokalen Computer sein. Durchführen einer Semantikanalyse bei einem Fehlschlag der Integritätsprüfung 1. Öffnen Sie eine Eingabeaufforderung. 2. Geben Sie den folgenden Befehl ein, und drücken Sie die EINGABETASTE: ntdsutil: 3. Geben Sie semantic database analysis ein, und drücken Sie die EINGABETASTE. 4. Geben Sie verbose on ein, und drücken Sie die EINGABETASTE. 5. Geben Sie go fixup ein, und drücken Sie die EINGABETASTE. Wenn Fehler angezeigt werden, führen Sie eine Wiederherstellung der Verzeichnisdatenbank durch. Vorsicht Verwechseln Sie den Wiederherstellungsbefehl nicht mit dem Reparaturbefehl. Nutzen Sie auf keinen Fall den Reparaturbefehl von Ntdsutil.exe - dies könnte zu einem gesamtstrukturweiten Datenverlust führen. Wenn die Analyse erfolgreich ist, verlassen Sie Ntdsutil.exe und starten den Domänencontroller normal. Administration von Domänencontrollern In diesem Kapitel finden Sie die folgenden Abschnitte: Einführung in die Administration von Domänencontrollern Verwaltung von Domänencontrollern Danksagung Veröffentlicht: März 2005 Betrifft: Windows Server 2003 Erstellt durch: Microsoft Windows Server User Assistance Team Autor: Shala Brandolini Redaktion: Jim Becker Einführung in die Administration von Domänencontrollern Auch wenn bestehende Domänencontroller nur wenig Verwaltungsaufwand erfordern, kann es irgendwann dazu kommen, dass Sie Domänencontroller hinzufügen oder entfernen müssen. Hierbei können die folgenden Aufgaben erforderlich werden: Installieren oder Entfernen von Active Directory Umbenennen von Domänencontrollern Hinzufügen von Domänencontrollern an Remotestandorten Installieren und Entfernen von Active Directory Um einen neuen Domänencontroller einzurichten, installieren Sie Active Directory auf einem Computer, der unter Windows Server 2003 oder Windows Server 2003 mit SP 1 ausgeführt wird. Weitere Informationen zu Best Practices für die Bereitstellung von Domänencontrollern finden Sie unter http://go.microsoft.com/fwlink/?LinkId=45801. Das Entfernen eines Domänencontrollers ist dem Einrichten recht ähnlich. Umbenennen von Domänencontrollern Für das Umbenennen eines Domänencontrollers sind eine Aktualisierung der DNSRessourceneinträge und eine Replikation der SPNs (Service Principal Names) an alle Domänencontroller der Domäne notwendig. Außerdem müssen die FRS-Objekte aktualisiert werden. Hinzufügen von Domänencontrollern an Remotestandorten Wenn sich genügend Benutzer an einem Remotestandort befinden und es möglicherweise nur langsame WAN-Verbindungen gibt, kann es sinnvoll sein, einen Domänencontroller zu diesem Remotestandort hinzuzufügen. Sie können diesen entweder zentral installieren und dann an den Remotestandort überführen oder die Installation direkt vor Ort ausführenActive Directory-Replikation über WANVerbindungen oder Installation über ein Sicherungsmedium). Verwaltung von Domänencontrollern Zur Verwaltung von Domänencontrollern gehören die folgenden Aufgaben: Erstellen von neuen Domänencontroller in bestehenden Domänen. Hierzu können Sie die folgenden Verfahren nutzen: Ausführen des Active Directory-Installationsassistenten und Replikation, um eine Replik von Active Directory zu erstellen, plus FRS-Replikation, um eine Replik von SYSVOL zu erstellen. Ausführen des Active Directory-Installationsassistenten und Wiederherstellung des Systemstatus über ein Sicherungsmedium. Erstellen einer Antwortdatei und Ausführen des Active DirectoryInstallationsassistenten mit der Antwortdatei. Ausführen von Tests, um zu prüfen, ob Active Directory korrekt installiert ist und funktioniert. Hinzufügen von Domänencontrollern zu Remotestandorten. Entfernen von Active Directory von einen einwandfrei funktionierenden Domänencontroller (Dekomissionierung). Erzwingen der Entfernung eines nicht funktionierenden Domänencontrollers aus der Domäne. Umbenennen eines Domänencontrollers. Verwaltung von Antiviren-Software auf Domänencontrollern Da Domänencontroller kritische Dienste für die Clients anbieten, ist es extrem wichtig, die Risiken eines Ausfalls durch schädlichen Code zu minimieren. Sie können jedoch nicht einfach eine Antiviren-Software (von irgendeinem Hersteller) auf einem Domänencontroller installieren und alles scannen lassen. Stattdessen müssen Sie die Software so installieren, dass die Risiken bestmöglich beseitigt werden und sich gleichzeitig keine Auswirkungen auf die Leistung und Arbeit des Domänencontrollers ergeben. Richtlinien für die Verwaltung von Antivirus Software auf Domänencontrollern Die folgenden Empfehlungen sind allgemeiner Natur und sollten nicht wichtiger eingeschätzt werden als die Empfehlungen des Herstellers der Antiviren-Software. Anmerkung Testen Sie die Antiviren-Software sorgfältig in einer Testumgebung. Idealerweise sollte auf allen Servern und Clients, die mit dem Domänencontroller interagieren, Antiviren-Software installiert sein. Nutzen Sie eine Antiviren-Software, die mit Active Directory arbeitet und die richtigen APIs für den Zugriff auf die Dateien des Servers verwendet. Ältere Versionen der meisten Programme verändern oftmals die Metadaten der gescannten Dateien - was dazu führt, dass der FRS davon ausgeht, dass die Datei geändert wurde und sie repliziert. Weitere Informationen zu diesem Thema finden Sie unter http://go.microsoft.com/fwlink/?LinkID=4441. Vermeiden Sie die Nutzung von Domänencontrollern als Arbeitsstation. Auf Domänencontrollern sollte nicht im Internet gesurft werden. Wenn möglich, nutzen Sie Domänencontroller nicht als File-Sharing-Server. Dateien, die nicht infiziert werden können Die unten genannten Dateien sollten Sie vom Scannvorgang ausschließen. Für diese Dateien besteht kein Risiko einer Infektion durch Viren. Das Scannen der Dateien könnte zu ernsthaften Leistungsproblemen führen. Außerdem kann es dazu führen, dass FRS nicht mehr korrekt arbeitet. Die Antiviren-Software sollte keine der unten genannten Dateien verändern. NTDS-Datenbankdateien. Speicherort definiert in: HKLM\System\Services\NTDS\Parameters\DSA Database File Standardspeicherort: %windir%\ntds. Dateien, die auszuschließen sind: NTDS.dit (unter Windows 2000). Active Directory-Transaktionsprotokolle. Speicherort definiert in: HKLM\System\Services\NTDS\Parameters\Database Log Files Path Standardspeicherort: %windir%\ntds. Dateien, die auszuschließen sind: EDB*.log (können mehrere Dateien sein) RES1.log RES2.log NTDS-Arbeitsverzeichnis. Speicherort definiert in: HKLM\System\Services\NTDS\Parameters\DSA WorkingDirectory Dateien, die auszuschließen sind: TEMP.edb EDB.chk SYSVOL files FRS-Arbeitsverzeichnis. Speicherort definiert in: HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\NtFrs\Parameter s\Working Directory Dateien, die auszuschließen sind: FRS Working Dir\jet\sys\edb.chk FRS Working Dir\jet\ntfrs.jdb FRS Working Dir\jet\log\*.log FRS-Datenbankprotokolldateien. Speicherort definiert in: HKEY_LOCAL_MACHINE\system\currentcontrolset\services\NtFrs\Parameters\ DB Log File Directory Standardspeicherort: %windir%\ntds. Dateien, die auszuschließen sind: \jet\log\*.log (wenn der Registrierungsschlüssel nicht gesetzt ist) \log\*.log (wenn der Registrierungsschlüssel nicht gesetzt ist) FRS-Replikationsdateien. Speicherort definiert in: HKEY_LOCAL_MACHINE\system\currentcontrolset\services\NtFrs\Parameters\ Replica Sets\GUID\Replica Set Root Stagingverzeichnis. Speicherort definiert in: HKEY_LOCAL_MACHINE\system\currentcontrolset\services\NtFrs\Parameters\ Replica Sets\GUID\Replica Set Stage FRS-Preinstall-Verzeichnis. Speicherort definiert in: <Replica_root>\DO_NOT_REMOVE_NtFrs_PreInstall_Directory. Wenn FRS ausgeführt wird, ist das Verzeichnis permanent exklusiv geöffnet. Die folgenden Aufgaben zur Verwaltung von Domänencontrollern werden in diesem Kapitel beschreiben: Vorbereiten der Active Directory-Installation Installieren eines Domänencontrollers in einer bestehenden Domäne Hinzufügen von Domäencontrollern an Remotestandorten Installation eines Domänencontrollers in einer bestehenden Domäne mithilfe von Sicherungsmedien Ausführen einer unbeaufsichtigten Installation von Active Directory Überprüfen der Active Directory-Installation Umbennenen eines Domänencontrollers Dekomissionierung eines Domänencontrollers Das Entfernen eines Domänencontrollers erzwingen Vorbereiten der Active DirectoryInstallation Die saubere Vorbereitung der Installation von Active Directory verringert die Chance auf ein Auftreten von Problemen während des Installationsprozesses. Es gibt einige Anforderungen für die Installation von Active Directory auf einem neuen Domänencontroller in einer bestehenden Domäne. In diesem Abschnitt werden die Anforderungen in Bezug auf die DNS-Konfiguration, die Platzierung des Domänencontrollers in einem Standort und die Konnektivität für den Active DirectoryInstallationsassistent beschrieben. Vor der Installation sollten Sie testen, ob alle notwendigen Domänencontroller verfügbar sind. DNS-Konfiguration Der DNS-Client ist immer auf einem Server unter Windows Server 2003 vorhanden. Es muss außerdem einen DNS-Server geben. Beide sollten korrekt konfiguriert sein, und die Namensauflösung sollte einwandfrei funktionieren. Weitere Informationen finden Sie unter http://go.microsoft.com/fwlink/?LinkId=25466. Platzierung in einem Standort Während der Installation versucht der Active Directory-Installationsassistent, den neuen Domänencontroller in einem entsprechenden Standort zu platzieren. Der Standort wird hierbei anhand der IP-Adresse und der Subnetzmaske ermittelt. Wenn es das entsprechende Subnetz nicht gibt, platziert der Assistent den Domänencontroller in den Standort des Domänencontrollers, der die Datenbank an den neuen Domänencontroller repliziert hat. Stellen Sie vor der Ausführung des Assistenten sicher, dass es das entsprechende Subnetz gibt. Gehen Sie hierbei folgendermaßen vor: 1. Wenn Sie einen Standort in der Antwortdatei angeben, wird der Domänencontroller in diesem Standort platziert. 2. Wenn kein Standort angegeben ist, wird der Domänencontroller in den Standort platziert, der seiner IP-Adresse entspricht. 3. Wenn Sie einen Replikationspartner und keinen Standort in der Antwortdatei angegeben haben, wird der Domänencontroller im Standort des Partners platziert. 4. Wenn weder Partner noch Standort angegeben sind, wird der Domänencontroller in einen zufälligen Standort platziert. Dieser hängt dann von dem ersten Replikationspartner des neuen Domänencontrollers ab. Domänenkonnektivität Während der Installation muss der Active Directory-Installationsassistent mit anderen Domänencontrollern kommunizieren, um eine erste Replik der Datenbank zu erhalten. Außerdem muss er mit dem Domänennamenmaster kommunizieren, um zu Domänen hinzugefügt werden zu können. Er benötigt den RID-Master, um einen RID-Pool zu erhalten, und muss den SYSVOL-Ordner von einem anderen Domänencontroller bekommen. Mit Netdiag.exe und Dcdiag.exe können Sie die entsprechenden Verbindungen testen, bevor Sie den Active Directory-Installationsassistent starten. Anforderungen Sie benötigen Anmeldeinformationen, die über einen administrativen Zugriff auf das Verzeichnis verfügen. Die folgenden Bedingungen müssen vor der Installation gegeben sein: Es muss eine Gesamtstruktur-Stammdomäne geben. Wenn Sie den neuen Domänencontroller in einer untergeordneten Domäne installieren, sollte es mindestens zwei einwandfrei arbeitende Domänencontroller in der Stammdomäne geben. DNS muss korrekt funktionieren. Wir gehen hier davon aus, dass Sie Active Directory-integrierte DNS-Zonen verwenden. Es muss mindestens einen Domänencontroller geben, der als DNS-Server konfiguriert ist. Das Erstellen einer Domäne oder Gesamtstruktur wird in diesem Dokument nicht besprochen. Die folgenden Informationen und Tools sind für diese Aufgabe notwendig: Der Active Directory-Installationsassistent fragt die folgenden Informationen ab: Namen und Kennwort des Domänenadministrators. Speicherort für die Verzeichnisdatenbank und die Protokolldateien. Speicherort für SYSVOL. Kennwort für den Verzeichnisdienstwiederherstellungsmodus. FQDN der Domäne, in die der Domänencontroller aufgenommen werden soll. Netzwerkumgebung Adsiedit.msc Netdiag.exe Active Directory-Standorte und -Dienste Dcdiag.exe Um diese Aufgabe auszuführen, sind die folgenden Schritte erforderlich: 1. Installation des DNS-Serverdienstes 2. Überprüfung der DNS-Registrierung und -Funktionalität 3. Überprüfen, ob eine IP-Adresse einem Subnetz entspricht, und Ermitteln der Standortzuordnung 4. Überprüfen der Kommunikation mit anderen Domänencontrollern 5. Überprüfen der Verfügbarkeit der Betriebsmaster Installation des DNS-Serverdienstes Weisen Sie dem Server eine statische IP-Adresse zu. Um das folgende Verfahren durchführen zu können, muss bereits eine DNS-Infrastruktur vorhanden und als Active Directory-integrierte Zone konfiguriert sein. Dieses Verfahren beschreibt, wie ein zusätzlicher DNS-Server hinzugefügt wird. Administrative Berechtigungen Sie müssen Mitglied der Gruppe Domänen-Admins oder der Gruppe OrganisationsAdmins sein. Installation des DNS-Serverdienstes 1. Klicken Sie mit rechts auf Netzwerkumgebung und dann auf Eigenschaften. 2. Klicken Sie mit rechts auf die Verbindung, mit der der Computer mit dem Netzwerk verbunden ist. Klicken Sie auf Eigenschaften. 3. Klicken Sie einmal auf Internet Protocol (TCP/IP), und klicken Sie dann auf Eigenschaften. 4. Stellen Sie sicher, dass Die folgende IP-Adresse verwenden: ausgewählt ist und eine gültige IP-Adresse, Subnetzmaske und Gatewayadresse eingetragen sind. Klicken Sie zweimal auf OK. 5. Klicken Sie in der Systemsteuerung auf Programme hinzufügen/entfernen. Klicken Sie auf Windows-Komponenten hinzufügen/entfernen. 6. Klicken sie auf Netzwerkdienste. Klicken Sie auf Details. 7. Aktivieren Sie die Option Domain Name System (DNS). Klicken Sie auf OK. 8. Klicken Sie auf Weiter. Geben Sie den Speicherort der Installationsdateien an. Klicken Sie auf Fertigstellen. Überprüfung der DNS-Registrierung und -Funktionalität Administrative Berechtigungen Um die folgenden Schritte ausführen zu können, müssen Sie Mitglied der Gruppe Domänen-Admins oder der Gruppe Organisations-Admins sein. Überprüfung der DNS-Registrierung und -Funktionalität 1. Öffnen Sie eine Eingabeaufforderung. 2. Geben Sie den folgenden Befehl ein, und drücken Sie die EINGABETASTE: netdiag /test:dns Anmerkung Mit /v erhalten Sie mehr Informationen. Wenn DNS korrekt funktioniert, sollte die letzte Zeile so lauten: DNS Test…..: Passed. Überprüfen, ob eine IP-Adresse einem Subnetz entspricht, und Ermitteln der Standortzuordnung Mit diesem Verfahren stellen Sie fest, zu welchem Standort ein neuer oder verschobener Server gehört. Administrative Berechtigungen Um dieses Verfahren ausführen zu können, müssen Sie Mitglied der Gruppe Domänenbenutzer sein. Überprüfen, ob eine IP-Adresse einem Subnetz entspricht, und Ermitteln der Standortzuordnung 1. Melden Sie sich lokal am Domänencontroller an. 2. Klicken Sie mit rechts auf Netzwerkumgebung, und klicken Sie dann auf Eigenschaften. 3. Klicken Sie unter Netzwerkverbindungen mit rechts auf LAN Verbindung, und klicken Sie dann auf Eigenschaften. 4. Klicken Sie in den Eigenschaften doppelt auf Internet Protocol (TCP/IP). 5. Berechnen Sie die Adresse des Subnetzes mit der IP-Adresse und der Subnetzmaske, und klicken Sie dann auf OK. 7. Öffnen Sie Active Directory-Standorte und -Dienste. 8. Erweitern Sie Standorte, und klicken Sie dann auf Subnetze. 9. Suchen Sie das Subnetz, das der berechneten Subnetzadresse entspricht. 10. Stellen Sie fest, welchem Standort das Subnetz zugeordnet ist. Überprüfen der Kommunikation mit anderen Domänencontrollern Administrative Berechtigungen Um die folgenden Schritte ausführen zu können, müssen Sie Mitglied der Gruppe Domänenbenutzer sein. Überprüfen der Kommunikation mit anderen Domänencontrollern 1. Öffnen Sie eine Eingabeaufforderung. 2. Geben Sie den folgenden Befehl ein, und drücken Sie die EINGABETASTE: netdiag /test:dsgetdc Anmerkung Mit /v erhalten Sie mehr Informationen. Wenn DNS korrekt funktioniert, sollte die letzte Zeile so lauten: DC discovery test……..: Passed. Überprüfen der Verfügbarkeit der Betriebsmaster Administrative Berechtigungen Um die folgenden Schritte ausführen zu können, müssen Sie Mitglied der Gruppe Domänenbenutzer sein. Anmerkung Sie können diese Tests vor und nach der Installation von Active Directory ausführen. Vor der Installation müssen Sie die Option /s zum Angeben des verwendeten Domänencontrollers nutzen. Nach der Installation ist die Option nicht mehr notwendig. Überprüfen der Verfügbarkeit der Betriebsmaster 1. Öffnen Sie eine Eingabeaufforderung. 2. Geben Sie den folgenden Befehl ein, und drücken Sie die EINGABETASTE: dcdiag /s: Domänencontrollerr /test:knowsofroleholders /verbose wobei Domänencontroller der Name eines Domänencontrollers der Domäne ist, zu der Sie den neuen Domänencontroller hinzufügen möchten. Am Ende der Ausgabe sollte der Test als erfolgreich angezeigt werden. 3. Geben Sie den folgenden Befehl ein, und drücken Sie die EINGABETASTE: dcdiag /s: Domänencontrollerr /test:fsmocheck wobei Domänencontroller der Name eines Domänencontrollers der Domäne ist, zu der Sie den neuen Domänencontroller hinzufügen möchten. Am Ende der Ausgabe sollte der Test als erfolgreich angezeigt werden. Installieren eines Domänencontrollers in einer bestehenden Domäne In diesem Abschnitt wird die Installation von Active Directory auf einem Domänencontroller für eine bestehende Domäne beschrieben. Weitere Informationen zur Planung, zum Testen und zur Bereitstellung von Active Directory finden Sie unter http://go.microsoft.com/fwlink/?LinkId=27638. Anforderungen Die folgenden Tools sind zur Ausführung dieses Verfahrens notwendig: Dcpromo.exe Sie müssen die folgenden Schritte durchführen: Installieren von Active Directory Sie können Active Directory unbeaufsichtigt installieren. Weitere Informationen zu diesem Thema finden Sie unter Installation eines Domänencontrollers in eine bestehenden Domäne mithilfe von Sicherungsmedien und Ausführen eine unbeaufsichtigten Installation von Active Directory, Installieren von Active Directory Administrative Berechtigungen Um die folgenden Schritte ausführen zu können, müssen Sie Mitglied der Gruppe Domänen-Admins sein. Installieren von Active Directory 1. Klicken Sie auf Start, klicken Sie auf Ausführen, geben Sie dcpromo ein, und drücken Sie die EINGABETASTE. 2. Klicken Sie auf Weiter. 3. Wählen Sie Zusätzlicher Domänencontroller für eine bestehende Domäne. Klicken Sie auf Weiter. 4. Geben Sie Benutzername, Kennwort und Domäne eines Kontos ein, das den neuen Domänencontroller in die Domäne aufnehmen darf. Klicken Sie auf Weiter. 5. Geben Sie den Namen der Domäne ein. Klicken Sie auf Weiter. 6. Geben Sie die Pfade für die Datenbank und die Protokolldateien ein. Für eine bessere Leistung sollten Sie die Datenbank und die Protokolle auf unterschiedlichen physischen Festplatten speichern. Klicken Sie auf Weiter. 7. Geben Sie den Pfad für SYSVOL ein. Klicken Sie auf Weiter. 8. Geben Sie ein Kennwort Verzeichnisdienstwiederherstellungsmodus ein. Klicken Sie auf Weiter. 9. Klicken Sie dann auf Weiter. 10. Klicken Sie auf Fertigstellen. 11. Klicken Sie auf Neustart. 12. Wenn Dienste nicht gestartet werden können, starten Sie den Domänencontroller ein zweites Mal. Solle das Problem weiter bestehen, überprüfen Sie das Ereignisprotokoll auf Fehler. Installation eines Domänencontrollers in eine bestehenden Domäne mithilfe von Sicherungsmedien Mit der Installation von Active Directory über ein Sicherungsmedium können Sie den notwendigen Replikationsverkehr minimieren. Dies ist besonders an Remotestandorten sehr nützlich. Wenn Sie einen Domänencontroller installieren, der auch als DNS-Server arbeitet und Sie Active Directory-integrierte Zonen verwenden, fehlen Ihnen die Partitionen DomainDNSZones und ForestDNSZones in den Sicherungen. Wenn Sie diese in die Sicherungen mit aufnehmen möchten, sind weitere Schritte notwendig. Anforderungen Stellen Sie sicher, dass die folgenden Anforderungen erfüllt sind: Es muss in jeder Domäne, in der Sie neue Domänencontroller installieren, ein Domänencontroller unter Windows Server 2003 ausgeführt werden. Der gesicherte Systemstatus muss von einem Domänencontroller der gleichen Domäne stammen. Der zu installierende Domänencontroller muss unter Windows Server 2003 ausgeführt werden. Die Version muss der aus der Sicherung entsprechen. Der Prozessortyp des gesicherten Domänencontrollers muss dem des neu zu installierenden entsprechen. DCpromo prüft während der Installation, ob die Tombstone-Lebensdauer aus der Sicherung der der bestehenden Domänencontroller entspricht. Wenn Sie den Wert ändern möchten, sollten Sie dies vor der Sicherung machen. Wenn der neue Domänencontroller globaler Katalog Server sein soll, muss die Sicherung von einem globalen Katalog Server der entsprechenden Domäne stammen. Auf Servern unter Windows Server 2003 SP1 können Sie Sicherungen für Domänencontroller, die DNS-Server sind, wiederherstellen (DomainDNSZones und ForestDNSZones Anwendungspartitionen). Gleiches gilt auch für alle anderen Anwendungspartitionen. Stellen Sie hierzu sicher, dass die folgenden Anforderungen erfüllt sind: Die Gesamtstrukturfunktionsebene muss Windows Server 2003 sein. Der Domänencontroller, auf dem Sie die Sicherung erstellt haben, wird unter Windows Server 2003 SP1 ausgeführt. Der Domänencontroller, auf dem Sie die Sicherung erstellt haben, hostet die entsprechenden Anwendungspartitionen. Sie installieren Windows Server 2003 SP1. Sie haben eine Antwortdatei erstellt, in der die DNs (oder * für alle Namen) der Anwendungspartitionen enthalten sind. Um die unten beschriebenen Aufgaben ausführen zu können, sind die folgenden Tools notwendig: Ntbackup.exe Dcpromo.exe Ref.chm oder Unattend.txt oder beides (für die Installation von Anwendungspartitionen). Um das Verfahren auszuführen, gehen Sie folgendermaßen vor:: 1. Sicherung des Systemstatus 2. Als Option können Sie die Sicherungsdateien auf eine CD, DVD oder ein anderes Speichermedium kopieren, über das Sie dann nachfolgende zur Wiederherstellung der Sicherung nutzen können. 3. Wiederherstellen des Systemstatus an einem anderen Speicherort 4. Installation von Active Directory über ein Sicherungsmedium. Siehe auch Hinzufügen von Domäencontrollern an Remotestandorten Erstellen einer Antwortdatei für eine Domänencontrollerinstallation Sicherung des Systemstatus Wenn Sie den Systemstatus mit Ntbackup.exe sichern, können Sie die geschützten Systemdateien mit sichern oder nicht. Diese Dateien sind für eine Installation mithilfe einer wiederhergestellten Sicherung nicht notwendig - in diesem Fall können Sie die Option deaktivieren. Sie verkleinern so die Größe der Sicherungsdatei und verringern den notwendigen Zeitaufwand. Mit den folgenden Verfahren können Sie nur den Systemstatus sichern. Das Systemvolumen oder andere Daten auf dem Domänencontroller werden nicht berücksichtigt. Mit dem ersten Verfahren, "Sicherung des Systemstatus inklusive der geschützten Systemdateien", können Sie Routinesicherungen des Systemstatus durchführen. Mit dem zweiten Verfahren, "Sicherung des Systemstatus exklusive der geschützten Systemdateien", können Sie eine kleinere Sicherung durchführen, die zur Installation von Domänencontrollern über Sicherungsmedien verwendet werden kann. Anmerkung Um den Systemstatus sichern zu können, müssen Sie als lokaler Administrator am Domänencontroller angemeldet sein. Alternativ muss der Remotedesktop aktiviert sein. Administrative Berechtigungen Um die folgenden Verfahren ausführen zu können, müssen Sie Mitglied der Gruppe Domänen-Admins oder Sicherungsoperatoren sein. Sicherung des Systemstatus inklusive der geschützten Systemdateien 1. Klicken Sie auf Start, klicken Sie auf Ausführen, geben Sie ntbackup ein, und klicken Sie dann auf OK. In diesem Verfahren verwenden Sie den Assistentenmodus. Standardmäßig ist die Option Immer im Assistentenmodus starten im Sicherungs- und Wiederherstellungsassistenten aktiviert. Klicken Sie andernfalls auf Assistentenmodus. 2. Klicken Sie auf Weiter. 3. Klicken Sie auf Dateien und Einstellungen sichern, und klicken Sie dann auf Weiter. 4. Klicken Sie auf Elemente für die Sicherung selbst auswählen, und klicken Sie dann auf Weiter. 5. Klicken Sie doppelt auf Arbeitsplatz. 6. Klicken Sie auf Systemstatus, und klicken Sie dann auf Weiter. 7. Wählen Sie einen Speicherort für die Sicherung aus: Anmerkung Sie sollten die Sicherung nicht auf einer lokalen Festplatte speichern. 8. Geben Sie einen Namen ein. Halten Sie sich an die Empfehlungen aus dem Abschnitt Sichern von Active Directory-Komponenten, und klicken Sie dann auf Weiter. 9. Klicken Sie auf Erweitert. 10. Klicken Sie auf Weiter. 11. Aktivieren Sie Daten nach der Sicherung prüfen, und klicken Sie dann auf Weiter. 12. Wählen Sie eine der Optionen aus, und klicken Sie dann auf Weiter. 13. Wenn Sie bestehende Sicherungen ersetzen, wählen Sie die Option, mit der nur dem Besitzer und dem Administrator Zugriff auf die Sicherungsdaten gewährt wird. Klicken Sie dann auf Weiter. 14. Wählen Sie eine für Sie passende Option aus, und klicken Sie dann auf Weiter. 15. Klicken Sie auf Fertigstellen. Anmerkung Sie können Ntbackup auch über die Eingabeaufforderung nutzen. Weitere Informationen erhalten Sie mit dem Befehl ntbackup /?. Sicherung des Systemstatus exklusive der geschützten Systemdateien 1. Klicken Sie auf Start, klicken Sie auf Ausführen, geben Sie ntbackup ein, und klicken Sie dann auf OK. 2. Klicken Sie auf Erweiterter Modus, und klicken Sie dann auf die Registerkarte Sichern. 3. Wählen Sie Systemstatus aus. 8. Geben Sie einen Namen ein. Halten Sie sich an die Empfehlungen aus dem Abschnitt Sichern von Active Directory-Komponenten, und klicken Sie dann auf Weiter. 5. Klicken Sie auf Sicherung starten, und klicken Sie dann auf Erweitert. 6. Deaktivieren Sie Geschützte Systemdateien automatisch mit dem Systemstatus sichern, und klicken Sie dann auf OK. 7. Klicken Sie auf Sicherung starten. Siehe auch Aktivieren von Remotedesktop Erstellen einer Remotedesktopverbindung Wiederherstellen des Systemstatus an einem anderen Speicherort Mit diesem Verfahren können Sie ein Sicherungsmedium erstellen, mit dem Sie einen Domänencontroller wiederherstellen können oder eine autorisierende Wiederherstellung von SYSVOL durchführen können. Administrative Berechtigungen Für dieses Verfahren müssen Sie Mitglied der Gruppe Sicherungsoperatoren der Domäne sein. Für das Wiederherstellen auf einem Mitglieds- oder Arbeitsgruppenserver: Sicherungsoperator auf dem lokalen Computer. Für das Wiederherstellen des Systemstatus auf einem Domänencontroller: Sicherungsoperator der Domäne. Wiederherstellen des Systemstatus an einem anderen Speicherort 1. Melden Sie sich an dem wiederzustellenden Server an. 2. Klicken Sie auf Start, klicken Sie auf Ausführen, geben Sie ntbackup ein, und klicken Sie dann auf OK. 3. Klicken Sie auf Weiter. 4. Klicken Sie auf Dateien und Einstellungen wiederherstellen, und klicken Sie dann auf Weiter. 5. Klicken Sie auf Suchen und dann nach einmal auf Suchen. 6. Navigieren Sie zu der .bkf-Datei. 7. Klicken Sie auf die .bkf, die Sie wiederherstellen möchten, und klicken Sie dann auf Öffnen. 8. Klicken Sie auf OK. 9. Klicken Sie doppelt auf Datei und dann doppelt auf die .bkf-Datei, die wiederhergestellt werden soll. 10. Markieren Sie Systemstatus, und klicken Sie dann auf Weiter. 11. Klicken Sie auf Erweitert. 12. Klicken Sie auf Alternativer Bereich. 13. Geben Sie den Pfad zu dem lokalen Ordner ein, in dem Sie die Sicherung wiederherstellen wollen. Klicken Sie dann auf Weiter. Wir empfehlen, zur Wiederherstellung einen Ordner mit dem Namen NTDSRESTORE zu verwenden. 14. Klicken Sie dann auf Weiter. 15. Klicken Sie dann auf Weiter. 16. Klicken Sie auf Fertigstellen. Installation von Active Directory mithilfe eines Sicherungsmediums Administrative Berechtigungen Sie müssen Mitglied der Gruppe Domänen-Admins in der Domäne sein in der der Domänencontroller installiert werden soll. Installation von Active Directory mithilfe eines Sicherungsmediums 1. Klicken Sie auf Start, klicken Sie auf Ausführen, geben Sie dcpromo /adv ein, und drücken Sie die EINGABETASTE. 2. Wählen Sie Zusätzlichen Domänencontroller für eine bestehende Domäne aus. 3. Wählen Sie Aus diesen wiederhergestellten Sicherungsdateien aus, und geben Sie den Speicherort der wiederhergestellten Systemdaten an. 4. Wenn der Domänencontroller, von dem die Sicherung stammt, ein globaler Katalog Server war, fragt Sie der Assistent, ob der neue Domänencontroller ebenfall globaler Katalog sein soll. 5. Stellen Sie die erforderlichen Anmeldeinformationen bereit. 6. Geben Sie die Domäne für den neuen Domänencontroller an. Es muss sich um die Domäne des Domänencontrollers handeln, von dem die Sicherung stammt. 7. Führen Sie den Assistenten weiter aus. Nachdem die Installation erfolgreich abgeschlossen ist, können Sie die Ordner mit dem wiederhergestellten Systemstatus löschen. Siehe auch Wiederherstellen des Systemstatus an einem anderen Speicherort Einbeziehen von Anwendungspartitionen in die Active Directory-Installation über ein Sicherungsmedium Einbeziehen von Anwendungspartitionen in die Active Directory-Installation über ein Sicherungsmedium Mit diesem Verfahren installieren Sie Active Directory und die Anwendungspartitionen mithilfe eines Sicherungsmediums. Sie müssen hierzu bereits mit dem Verfahren Erstellen einer Antwortdatei für eine Domänencontrollerinstallation eine Antwortdatei erstellt haben. Administrative Berechtigungen Um dieses Verfahren ausführen zu können, müssen Sie Mitglied der Gruppe DomänenAdmins der Domäne sein, in der der neue Domänencontroller installiert werden soll. Einbeziehen von Anwendungspartitionen in die Active Directory-Installation über ein Sicherungsmedium 1. Öffnen Sie die Antwortdatei, die Sie zur Installation des Domänencontrollers erstellt haben. 2. Fügen Sie den folgenden Eintrag zur Anwendungspartition hinzu: ApplicationPartitionsToReplicate= 3. Legen Sie den Wert für den Eintrag folgendermaßen fest: Wenn Sie alle Anwendungspartitionen installieren möchten, geben Sie einen Stern an (*) Wenn Sie nur bestimmte Anwendungspartitionen installieren möchten, geben Sie die DNs der entsprechenden Partitionen an. Trennen Sie die DNs mit Leerzeichen, und schließen Sie die gesamte Liste in Anführungsstriche ein. Beispiel: ApplicationPartitionsToReplicate=”dc=app1,dc=contoso,dc=com dc=app2,dc=contoso,dc=com” 4. Tragen Sie den Parameter ReplicationSourcePath= mit dem Ordner mit den wiederhergestellten Sicherungsdateien ein. 5. Wenn Sie nicht möchten, dass Dcpromo nach dem Benutzernamen und dem Kennwort fragt, verwenden Sie den Eintrag Password= und SafeModeAdminPassword=. Speichern Sie die Datei. Anmerkung Die Kennwörter werden automatisch von Dcpromo aus der Antwortdatei gelöscht. 6. Öffnen Sie eine Eingabeaufforderung, und wechseln Sie zu dem Verzeichnis mit der Antwortdatei. 7. Geben Sie den folgenden Befehl ein, und drücken Sie dann die EINGABETASTE: dcpromo /adv /answer:”Laufwerk:\PfadZuAntwortdatei\Antwortdatei”. Hinzufügen von Domänencontrollern an Remotestandorten Wenn Sie einen zusätzlichen Domänencontroller an einem Remotestandort installieren, können Sie Active Directory entweder vor der Auslieferung des Servers an den Remotestandort oder aber danach installieren. Sie haben hierbei die folgenden Möglichkeiten: Liefern Sie den Computer als Arbeitsgruppencomputer aus, und installieren Sie Active Directory am Remotestandort. Aktivieren Sie vor der Auslieferung Remotedesktop auf dem Computer. Am Remotestandort haben Sie die folgenden Möglichkeiten: Installieren Sie Active Directory über die wiederhergestellte Sicherung. Installieren Sie Active Directory über das Netzwerk. Installieren Sie Active Directory an einem zentralen Standort, und liefern Sie den installieren Domänencontroller an den Remotestandort aus. Beide Verfahren haben Vor- und Nachteile. Weitere Informationen hierzu finden Sie unter Bekannte Probleme beim Hinzufügen von Domänencontrollern an Remotestandorten. Weitere Informationen zur Verwaltung von Domänencontroller an Remotestandorten finden Sie unter Best Practices für das Hinzufügen von Domänencontrollern an Remotestandorten. In den nächsten Abschnitten werden folgende Aufgaben zur Installation von Domänencontrollern an Remotestandorten beschrieben: Vorbereiten eines Servers auf die Installation von einem Sicherungsmedium Vorbereiten eines bestehenden Domänencontrollers auf die Ausliefung Einen Domänencontroller wieder mit dem Netzwerk verbinden Bekannte Probleme beim Hinzufügen von Domänencontrollern an Remotestandorten Mit den beiden folgenden Verfahren können Sie Domänencontroller an Remotestandorten hinzufügen: Liefern Sie einen Mitgliedscomputer an den Remotestandort aus, und installieren Sie Active Directory über dcpromo /adv. Installieren Sie Active Directory an einem zentralen Standort, und liefern Sie ihn an den Remotestandort aus. Die SYSVOL-Replikation hat potenzielle Auswirkungen auf beide Verfahren. Die entsprechenden Vor- und Nachteile werden im folgenden Abschnitt besprochen. Wichtig Versuchen Sie nicht ausschließlich nach den im folgenden Abschnitt gegebenen Empfehlungen vorzugehen. Die vollständigen Informationen zu den notwendigen Verfahrensweisen finden Sie in den jeweiligen aufgabenbezogenen Abschnitten dieses Handbuches. SYSVOL-Replikation SYSVOL ist eine Freigabe, in der Dateien gespeichert werden, die zwischen allen Domänencontrollern synchronisiert werden. Zu diesen Dateien gehören die NETLOGONFreigabe und FRS-Stagingdateien und -verzeichnisse. Hauptziel beider hier besprochenen Installationsverfahren ist das Vermeiden von Replikationsverkehr über WAN-Verbindungen. Dies wird mit beiden Verfahren erreicht. Abhängig von der Größe Ihres SYSVOL-Ordners kann es jedoch zusätzlich notwendig sein, sich auch mit der Replikation dieses Ordners zu befassen. Wenn Sie keine entsprechenden Maßnahmen ergreifen, wird SYSVOL ganz normal über eine Replikation auf den neuen Domänencontroller übertragen. Mit den folgenden vorbereitenden Schritten können Sie dieses Verhalten ändern: Vorbereiten eines Servers auf die Installation von einem Sicherungsmedium Vorbereiten eines bestehenden Domänencontrollers auf die Ausliefung Installation von Active Directory an einem Remotestandort mithilfe eines Sicherungsmediums Die Möglichkeit, einen Domänencontroller mithilfe einer Sicherung wiederherzustellen, ist ein neues Features von Windows Server 2003. Der Verfahren setzt sich aus drei grundlegenden Schritten zusammen: 1. Sicherung des Systemstatus auf einem Domänencontroller in der Domäne, in der sich auch der neue Domänencontroller befinden soll. Wenn es sich um einen globalen Katalog Server handeln soll, führen Sie die Sicherung auf einem globalen Katalog aus. Wenn es sich um einen DNS-Server handeln soll, wählen Sie einen DNS-Server. 2. Wiederherstellung der Sicherung an einem anderen Standort. Sie können die Sicherung direkt auf dem Computer wiederherstellen, den Sie als Domänencontroller installieren möchten, oder sie auf einem Wechseldatenträger speichern 3. Ausführen von Dcpromo mit der Option /adv. Dieses Verfahren hat mehrere Vorteile. Zum Beispiel reduziert es deutlich die notwendige Netzwerkbandbreite. Es gibt jedoch ein paar Probleme. Diese treten meist bei Bereitstellungen mit einer großen Anzahl von Remotestandorten auf. Wenn Sie mehr als 100 Standorte einsetzen, können zusätzliche Überlegungen notwendig werden. Mehr zu diesem Thema erfahren Sie unter http://go.microsoft.com/fwlink/?LinkId=42506. Vorteile Sie können viele Domänencontroller mit einem Sicherungsmedium installieren. Weitere Informationen zu diesem Thema finden Sie unter Vorbereiten eines Servers auf die Installation von einem Sicherungsmedium. Sie müssen den Domänencontroller nicht aus der Replikationstopologie entfernen. Daher kommt es zu keinen Ausfallzeiten. Weitere Informationen zu diesem Thema finden Sie unter Probleme. Sie vermeiden eine Replikation des gesamten Active Directory über eine WANVerbindung. Sie sind in der Lage, den Remotedesktop vor der Auslieferung des Computers zu aktivieren. Es muss sich am Remotestandort also kein Administrator befinden. Probleme im Zusammenhang mit der Installation von Active Directory über Sicherungsmedien an einem Remotestandort Domänen-Admins-Rechte und die Remoteinstallation: Ein Administrator muss zur Installation von Active Directory über Domänen-Admins-Rechte verfügen. Wenn Sie keinen Administrator am Remotestandort zu Verfügung haben, muss ein Administrator der Zentrale in der Lage sein, sich mit dem Server remote zu verbinden. Daher muss der Remotedesktop aktiviert sein. Zeitaufwand für die Wiederherstellung des Systemstatus: Die Installation wird durch das Wiederherstellen des gesicherten Systemstatus an einem anderen Speicherort vorbereitet. Sie benötigen also Zeit für die Erstellung der Sicherung und für die Wiederherstellung der Sicherung. Allerdings ist die Erstellung nur einmal notwendig, und Sie haben die Möglichkeit, die Sicherung möglichst klein zu halten. Wenn Sie die Sicherung auf der selben Festplatte wiederherstellen, auf der später die Datenbank gehostet wird, verkürzt sich die benötigte Zeit weiter - in diesem Fall wird die Datenbank aus der Sicherung verschoben statt kopiert. Weitere Informationen zu diesem Thema finden Sie unter Vorbereiten eines Servers auf die Installation von einem Sicherungsmedium. Sicherungsquelle für Anwendungspartitionen: Wenn DNS-Zonendaten in Anwendungspartitionen gespeichert werden, kann sich deren Replikation drastisch auswirken. Wenn die Sicherung unter Windows Server 2003 ohne SP durchgeführt wurde, schließt die Wiederherstellung des Systemstatus Anwendungspartitionen nicht mit ein. Für das Einschließen von Anwendungspartitionen in die Sicherung bestehen folgende Voraussetzungen: Der zu sichernde Domänencontroller und der Ziel-Domänencontroller müssen unter Windows Server 2003 Service Pack 1 (SP1) ausgeführt werden. Die Gesamtstrukturfunktionsebene muss Windows Server 2003 sein. Sie müssen eine Antwortdatei zur Installation von Active Directory verwenden. Über die Benutzeroberfläche von Dcpromo ist es nicht möglich, Anwendungspartitionen anzugeben. Weitere Informationen finden Sie unter Vorbereiten eines Servers auf die Installation von einem Sicherungsmedium. Lastverteilung auf dem Bridgeheadserver: Wenn Sie die Sicherung für viele Standorte verwenden und viele Domänencontroller zur gleichen Zeit installiert werden, kann es sein, dass es zu Leistungsproblemen auf den Bridgeheadservern kommt. Anmerkung Dieses Problem tritt nur in Situationen mit hunderten von Domänencontrollern, die zur gleichen Zeit installiert werden, auf. Weitere Informationen hierzu finden Sie unter http://go.microsoft.com/fwlink/?LinkId=42506. Replikation zwischen Standorten: Sie können die Auslastung von Standortverknüpfungen durch Replikation zwischen Standorten nicht gleichmäßig verteilen. Wenn Sie mehr als 100 Domänencontroller in Remotestandorten installieren, wird möglicherweise nach der Installation eine manuelle Anpassung der Standortverknüpfungen notwendig. Weitere Informationen zu diesem Thema finden Sie unter http://go.microsoft.com/fwlink/?LinkId=42506. FRS-Replikation: Da der FRS die CPU, den Speicher und die Datenträger auf dem Quellcomputer belastet, wird empfohlen, nicht mehr als zehn Domänencontroller in Remotestandorten gleichzeitig zu installieren. Wenn nur ein Domänencontroller als Quelle für die SYSVOL-Replikation dient, kann sich dies deutlich auf dessen Leistung auswirken. Sie können den entsprechenden Domänencontroller allerdings auch im Rahmen von Dcpromo explizit festlegen. Installation von Domänencontrollern vor deren Auslieferung an einen Remotestandort Wenn Sie einen Domänencontroller installieren und diesen dann für einen gewissen Zeitraum vom Netzwerk trennen, unterbinden Sie damit logischerweise auch seine Replikation. Dies führt zu Fehlern - zum Beispiel, wenn ein Domänencontroller versucht, mit dem betreffenden Domänencontroller zu replizieren. Solange Sie sich bewusst sind, was die Gründe für diese Fehler sind, stellt dies jedoch kein Problem dar. Vorteile der Installation von Domänencontrollern vor deren Auslieferung an einen Remotestandort Die Installation von Domänencontrollern vor deren Auslieferung an einen Remotestandort bringt Ihnen die folgenden Vorteile: Standardisierung: Sie installieren jeden Domänencontroller automatisiert und standardisiert. Wenn Sie nach den gezeigten Anweisungen vorgehen, ist am Remotestandort so nur noch ein Neustart des Domänencontrollers notwendig. Personal am Remotestandort: Nur am zentralen Standort ist Personal mit Domänen-Admins-Rechten erforderlich. Probleme Fehler durch nicht aktive Domänencontroller: Wenn Sie Domänencontroller vom Netzwerk trennen, versuchen andere Domänencontroller weiter, mit diesem zu replizieren. So werden Fehler generiert. Zusätzliche Vorbereitung: Damit der Domänencontroller wieder sauber mit dem Netzwerk verbunden werden kann, sind zusätzliche Vorbereitungen notwendig: Vorbereiten des nicht autorisierenden Neustarts von SYSVOL. Sicherstellen einer passenden Tombstone-Lebensdauer, um das Verbleiben von permanent gelöschten Objekten auf dem Domänencontroller zu vermeiden. Schutz bestehender Konten und Metadaten: Sie müssen sicherstellen, dass die Computerkonten und Metadaten des Domänencontroller nicht versehentlich gelöscht oder geändert werden, während dieser nicht in Betrieb ist. Risiko von dauerhaft bestehenden Objekten: Bei solchen Objekten handelt es sich um Objekte, die auf einem Domänencontroller ohne Netzwerkverbindung nach der Löschung von allen anderen Domänencontrollern erhalten bleiben. Löschvorgänge werden als Tombstone-Objekte repliziert. Diese Objekte haben nur eine eingeschränkte Lebensdauer. Nachdem ein Tombstone permanent aus Active Directory entfernt wurde, ist es nicht mehr möglich, die Löschung zu replizieren. Daher kann es sein, dass ein Domänencontroller, den Sie nach längerer Inaktivität wieder starten, nicht erkennt, dass ein Objekt gelöscht ist. Dieses bleibt dann auf dem entsprechenden Domänencontroller bestehen (jedoch auf keinem anderen Domänencontroller). Wenn Sie einen Domänencontroller tatsächlich für einen längeren Zeitraum außer Betrieb setzen möchten (länger als die TombstoneLebensdauer), dann müssen Sie die Verzeichniskonsistenz über weitere Schritte sicherstellen. Mehr Informationen erhalten Sie unter Fixing Replication Lingering Object Problems (Event IDs 1388, 1988, 2042). Erhalten der Verzeichniskonsistenz beim Trennen von Domänencontrollern vom Netzwerk Die folgenden Punkte sollten Ihnen bekannt sein, bevor Sie Domänencontroller vom Netzwerk trennen: Die Beziehung zwischen Tombstone-Lebensdauer und Active Directory-Sicherung. Schutz vor dauerhaft bestehenden Objekten. Verfügbarkeit von Betriebsmasterrollen in der Domäne und Gesamtstruktur. Aktualität der Active Directory-Replikation zum Zeitpunkt des Trennens vom Netzwerk. SYSVOL-Konsistenz beim erneuten Verbinden mit dem Netzwerk. Die folgenden Verfahren beschäftigen sich mit den oben genannten Punkten: Vorbereiten eines bestehenden Domänencontrollers auf die Ausliefung Einen Domänencontroller wieder mit dem Netzwerk verbinden Tombstone-Lebensdauer und die Sicherung Active Directory Sicherungen sind nur für die Dauer der Tombstone-Lebensdauer zur Wiederherstellung von Domänencontrollern brauchbar. Wenn ein Objekt gelöscht wird, repliziert Active Directory das Objekt als Tombstone (dieser besteht aus ein paar Attributen des gelöschten Objektes). Der Tombstone verbleibt in einer Gesamtstruktur standardmäßig 60 Tage. Unter Windows Server 2003 Service Pack 1 (SP1) ändert sich dieser Wert auf 180 Tage - jedoch nur bei Gesamtstrukturen, die direkt über Domänencontroller erstellt wurden, die unter Windows Server 2003 SP1 ausgeführt werden. NTBackup.exe stellt keine Systemstatussicherung wieder her, die älter als die Tombstone-Lebensdauer ist. Die zum Zeitpunkt der Aktualisierung der Domäne auf Windows Server 2003 SP1 gültige Tombstone-Lebensdauer wird nicht verändert. Sie bleibt so lange gültig, bis sie manuell verändert wird. Sie können die Lebensdauer über das Attribut tombstoneLifetime unter CN=Directory Service,CN=Windows NT,CN=Services,CN=Configuration,DC=Stammdomäne in ADSI Edit (adsiedit.msc) ermitteln. Sollte tombstoneLifetime den Wert <Not Set> haben, gilt der Standardwert von 60 Tagen (beziehungsweise 180 Tage unter Windows Server 2003 SP1). Nach dem Ablauf der Lebensdauer wird der Tombstone dauerhaft entfernt. Sollte ein Domänencontroller länger als die Lebensdauer nicht mit dem Netzwerk verbunden sein, erfährt er somit nichts vom Löschen eines Objektes. Aus diesem Grund können Sie keine Sicherungen wiederherstellen, die älter als die Tombstone-Lebensdauer sind. In Situationen, in denen Sie nicht verhindern können, dass ein Domänencontroller länger als die Tombstone-Lebensdauer vom Netzwerk getrennt ist, sollten Sie überlegen, ob Sie die Tombstone-Lebensdauer für diesen Zeitraum vergrößern. Weitere Informationen zu diesem Thema finden Sie unter Beheben von Fehlern im Zusammenhang mit zurückgebliebenen Objekten (Ereignis-ID 1388, 1988 und 2042). Verhindern von Problemen durch zurückgebliebene Objekte Sollte ein gelöschtes Objekt wie oben beschrieben auf einem längerfristig von Netzwerk getrennten Domänencontroller zurückgeblieben sein, kann es passieren, dass dieses Objekt wieder auf alle Domänencontroller der Domäne repliziert wird. Dies passiert dann, wenn das Objekt auf dem veralteten Domänencontroller bearbeitet wird. In diesem Fall repliziert Active Directory die Änderung am entsprechenden Objekt an einen Domänencontroller, auf dem das Objekt aufgrund der Löschung nicht mehr vorhanden ist. Unter Windows 2000 Server Service Pack 3 (SP3) oder Service Pack 4 (SP4) und Windows Server 2003 können Sie festlegen, was in einem solchen Fall auf einem Domänencontroller passieren soll. Hierzu dient der Registrierungseintrag strict replication consistency unter HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\Parameters. Der Eintrag kann die folgenden Werte haben: 1 (aktiviert): Die eingehende Replikation der entsprechenden Verzeichnispartition von dieser Quelle aus wird angehalten. Die Replikation wird auf beiden beteiligten Domänencontrollern angehalten. 0 (deaktiviert): Der Ziel-Domänencontroller fordert das vollständige Objekt vom QuellDomänencontroller an und erstellt eine vollständige Kopie. Das gelöschte Objekt ist somit in der Domäne wieder vorhanden. Weitere Informationen zu diesem Thema finden Sie unter Beheben von Fehlern im Zusammenhang mit zurückgebliebenen Objekten (Ereignis-ID 1388, 1988 und 2042). Aktualität der Active Directory-Replikation Stellen Sie sicher, dass ein Domänencontroller vor der Trennung vom Netzwerk aktualisiert wird. Stoßen Sie direkt vorher eine Replikation an und prüfen Sie, ob alle Verzeichnispartitionen repliziert wurden. Sie maximieren so den Zeitraum, über den der Domänencontroller problemlos vom Netzwerk getrennt werden kann. SYSVOL-Konsistenz Die SYSVOL-Replikation kann nicht manuell synchronisiert werden. Aus diesem Grund ist die Aktualisierung von SYSVOL vor der Trennung vom Netzwerk schwerer durchzuführen als die Verzeichnisaktualisierung. Um sicherzustellen, dass der Domänencontroller nach der erneuten Verbindung mit dem Netzwerk eine SYSVOLSynchronisation durchführt, bereiten Sie diesen auf einen nicht autorisierenden Neustart von SYSVOL vor - und zwar unabhängig davon, wie lange der Domänencontroller vom Netzwerk getrennt wird. Bei einem solchen Neustart findet automatisch eine SYSVOLSynchronisation statt. Siehe auch Vorbereiten eines Servers auf die Installation von einem Sicherungsmedium Vorbereiten eines bestehenden Domänencontrollers auf die Ausliefung Einen Domänencontroller wieder mit dem Netzwerk verbinden Best Practices für das Hinzufügen von Domänencontrollern an Remotestandorten Lesen Sie den Abschnitt Bekannte Probleme beim Hinzufügen von Domänencontrollern an Remotestandorten. Mit diesen Informationen können Sie entscheiden, welches Verfahren in Ihrer Umgebung am besten für die Installation von Domänencontrollern an Remotestandorten geeignet ist. Wichtig Versuchen Sie nicht ausschließlich nach den in diesem Abschnitt gegebenen Empfehlungen vorzugehen. Die vollständigen Informationen zu den notwendigen Verfahrensweisen finden Sie in den jeweiligen aufgabenbezogenen Abschnitten dieses Handbuches. Installation von Active Directory an einem Remotestandort mithilfe eines Sicherungsmediums Primärer Zweck der Installation mithilfe eines Sicherungsmediums ist es, alle Daten für die Domänen-, Konfigurations- und Schemapartition sowie, wenn notwendig, die Partitionen für den globalen Katalog und die DNS-Anwendungspartitionen lokal zur Verfügung zu stellen. Nur die seit der Sicherung durchgeführten Aktualisierungen müssen so repliziert werden. Zwar ist auch SYSVOL Teil der Sicherung des Systemstatus, aber unter bestimmten Bedingungen wird die Sicherung nicht zur Wiederherstellung von SYSVOL verwendet. Die Wiederherstellung von SYSVOL aus einer Sicherung ist komplizierter als die Wiederherstellung von Active Directory und somit möglicherweise nicht sonderlich lohnenswert. Weitere Informationen zu diesem Thema finden Sie unter Bekannte Probleme beim Hinzufügen von Domänencontrollern an Remotestandorten. Sie haben die folgenden zwei Möglichkeiten, einen oder mehrere Domänencontroller mithilfe einer Sicherung wiederherzustellen: Kopieren Sie die nicht wiederhergestellte .bkf-Datei auf einen Wechseldatenträger (CD oder DVD), den Sie zusammen mit dem Server an den Remotestandort versenden. Stellen Sie die Systemsicherung auf einem der lokalen Laufwerke des Servers wieder her, bevor Sie diesen an den Remotestandort versenden. Weitere Informationen zu den Vor- und Nachteilen dieser Methoden finden Sie unter Vorbereiten eines Servers auf die Installation von einem Sicherungsmedium. Mit der Option Dcpromo /adv von Windows Server 2003 sind Sie nicht mehr dazu gezwungen, einen Server vor dem Versenden zu einem Domänencontroller zu machen oder das gesamte Verzeichnis am Remotestandort über WAN-Verbindungen replizieren zu müssen. Beim Hinzufügen von Domänencontrollern an Remotestandorten gelten die folgenden Best Practices in Bezug auf die Optimierung der Datensicherheit und -konsistenz: Aktualisieren Sie auf Windows Server 2003 Service Pack 1 (SP1): Wenn Sie Active Directory-integriertes DNS verwenden oder Anwendungspartitionen mit in die Replikation einschließen möchten, aktualisieren Sie die Computer auf Windows Server 2003 SP1, bevor Sie Active Directory installieren. Anwendungspartitionen können sonst nicht berücksichtigt werden. Außerdem kann es zu deutlichen Replikationsbelastungen in Bezug auf DNS-Anwendungspartitionen kommen. Sichern Sie den Typ von Domänencontroller, den Sie hinzufügen möchten: Wenn Sie einen globalen Katalog Server hinzufügen möchten, müssen Sie auch einen globalen Katalog Server sichern. Wenn Sie einen DNS-Server hinzufügen möchten, gilt das Gleiche. Ergreifen Sie für die Versendung von Sicherungsmedien die gleichen Vorsichtsmaßnahmen, die Sie auch für die Versendung von installierten Domänencontrollern ergreifen würden: Weitere Informationen zu diesem Thema finden Sie unter http://go.microsoft.com/fwlink/?LinkId=28521. Minimieren Sie die Zeit zwischen Sicherung und Installation: Je geringer diese Zeitraum ist, desto weniger Aktualisierungen müssen nach der Installation repliziert werden. Installieren Sie das Betriebssystem, bevor der Server an den Remotestandort ausgeliefert wird: Wahrscheinlich läuft die Installation an Ihrem zentralen Standort sehr viel zuverlässiger und schneller ab. Außerdem kann es sein, dass am Remotestandort kein geeignetes Personal zu Verfügung steht. Versenden Sie den Server als Mitglied einer Arbeitsgruppe und nicht als Mitgliedsserver einer Domäne: Wenn der Server bereits einer Domäne angehört und während des Transports gestohlen wird, erhalten die Diebe Informationen zu Domänenamen, DNS-Suffixen und zur Anzahl der Domänen in der Gesamtstruktur, die sie für Angriffe nutzen können. Liefern Sie die Server mit korrekt konfigurierten TCP/IP-Einstellungen aus: Denken Sie daran, die Einstellungen an den Zielstandort anzupassen. Besonders sollten Sie darauf achten, dass der Domänencontroller nicht sich selbst als DNSServer verwendet. Aktivieren Sie den Remotedesktop: Diesen Schritt sollten Sie ausführen, wenn sie Active Directory remote installieren und verwalten möchten. Installation von Domänencontrollern vor dem Ausliefern an den Remotestandort Das größte Risiko für einen Domänencontroller, der vom Netzwerk getrennt ist, besteht darin, dass dieser länger vom Netzwerk getrennt ist als die Tombstone-Lebensdauer beträgt und somit Objekte entstehen, die gelöscht wurden und dauerhaft bestehen bleiben. Solche Objekte führen zu einer Inkonsistenz des Verzeichnisses und werden in einigen Fällen sogar im gesamten Verzeichnis wiederhergestellt. Weitere Informationen finden Sie unter Bekannte Probleme beim Hinzufügen von Domänencontrollern an Remotestandorten. Um diese Probleme zu verhindern, nutzen Sie die folgenden Best Practices: Aktualisieren Sie alle Domänencontroller unter Windows 2000 Server auf Windows Server 2003: Hierzu ist eine Änderung des Schemas der Gesamtstruktur mithilfe von adprep /forestprep notwendig. Danach können Sie die Domänencontroller aktualisieren. Die Schemaaktualisierung kann bei großen Datenbanken unter Umständen zu Replikationsverzögerungen führen. Daher sollten alle Domänencontroller unter Windows 2000 Server mindestens mit Windows 2000 Service Pack 2 (SP2) und allen Windows-Updates ausgeführt werden. Dringend empfohlen wird jedoch, Windows 2000 Service Pack 3 (SP3) auf allen Domänencontrollern zu installieren. Weitere Informationen zur Aktualisierung auf Windows Server 2003 finden Sie unter http://go.microsoft.com/fwlink/?LinkId=46082. Aktivieren Sie die Einstellung strict replication consistency auf allen Domänencontrollern: Sie können hierzu den Befehl Repadmin /regkey aus den Windows Support Tools zu Windows Server 2003 SP1 verwenden. Überwachen Sie die KCC-Topologie und -Replikation: Wenn Sie die Replikation überwachen, können Sie feststellen, ob es irgendwo zu Netzwerkfehlern, Dienstausfällen oder Konfigurationsfehlern kommt. Nutzen Sie Active Directory Management Pack zur Überwachung. Zu den zu überwachenden Ereignissen gehören: 1311, 1388, 1925, 1988, 2042, 2087 und 2088. Liefern Sie die Server mit korrekt konfigurierten TCP/IP-Einstellungen aus: Denken Sie daran, die Einstellungen an den Zielstandort anzupassen. Besonders sollten Sie darauf achten, dass der Domänencontroller nicht sich selbst als DNSServer verwendet. Korrekte Konfiguration der Tombstone-Lebensdauer: Die TombstoneLebensdauer liegt standardmäßig bei 60 Tagen. Unter Windows Server 2003 Service Pack 1 (SP1) ändert sich dieser Wert auf 180 Tage - jedoch nur bei Gesamtstrukturen, die direkt über Domänencontroller erstellt wurden, die unter Windows Server 2003 SP1 ausgeführt werden. Sollten Sie einen Domänencontroller für mehrere Wochen oder Monate vom Netzwerk trennen müssen, gehen Sie folgendermaßen vor: Stellen Sie fest, wie lange der Domänencontroller getrennt werden muss. Stellen Sie die aktuelle Tombstone-Lebensdauer fest: Der Wert wird unter tombstoneLifetime in CN=Directory Service,CN=Windows NT,CN=Services,CN=Configuration,DC=Stammdomäne gespeichert. Stellen Sie fest, wie lange der Domänencontroller maximal getrennt sein kann: Ziehen Sie den zu erwartenden Zeitraum für eine vollständige Replikation von der Tombstone-Lebensdauer ab. Stellen Sie fest, ob die Tombstone-Lebensdauer der Gesamtstruktur erhöht werden muss: Wenn die Zeit, für die der Domänencontroller getrennt wird, die maximal mögliche Zeit übersteigt, müssen Sie die Tombstone-Lebensdauer erhöhen. Außerdem sollten Sie dafür sorgen, dass auf allen Domänencontrollern ausreichend Platz für die zusätzlichen Tombstones vorhanden ist und dass die Änderung an alle Domänencontroller repliziert wurde. Bereiten Sie die Registrierung für einen automatischen, nicht autorisierenden Neustart von SYSVOL vor: SYSVOL kann nicht vor der Trennung manuell aktualisiert werden. Sie können jedoch eine SYSVOL-Aktualisierung beim Neustart des Domänencontrollers konfigurieren. Stellen Sie sicher, dass der Domänencontroller mit allen Replikationspartnern korrekt repliziert: Direkt bevor Sie den Domänencontroller trennen, stoßen Sie eine Replikation mit allen Partnern an. Prüfen Sie, ob die Replikation erfolgreich war. Beschriften Sie den Domänencontroller: Beschriften Sie den Domänencontroller so, dass sie Datum und Uhrzeit seiner Trennung vom Netzwerk, seinen Zielstandort und seine TCP/IP-Einstellungen feststellen können. Stellen Sie SYSVOL beim Verbinden des Domänencontrollers mit dem Netzwerk so schnell wie möglich wieder her: Der Domänencontroller kann seine Arbeit nicht aufnehmen, bevor SYSVOL nicht über eine Replikation aktualisiert wurde. Wenn es andere Domänencontroller am gleichen Standort gibt, ist es egal, wann Sie die Replikation anstoßen. Sollte es keine anderen Domänencontroller geben, müssen Sie dies zu einem Zeitpunkt erledigen, zu dem eine standortübergreifende Replikation stattfindet. Lassen Sie nicht zu, dass ein nicht aktueller Windows 2000 ServerDomänencontroller repliziert: Wenn ein Domänencontroller unter Windows 2000 Server für länger als die maximal mögliche Zeit vom Netzwerk getrennt wurde, lassen Sie keine Replikation zu. Führen Sie stattdessen eine Deinstallation von Active Directory aus, bereinigen Sie die Metadaten, und installieren Sie Active Directory neu. Weitere Informationen finden Sie unter Einen Domänencontroller wieder mit dem Netzwerk verbinden. Anmerkung Diese Empfehlungen gelten für zusätzliche Domänencontroller in einer bestehenden Domäne. Wenn der veraltete Domänencontroller der einzige Domänencontroller der Domäne ist, sollten Sie diesen wieder mit der Domäne verbinden und nach den Anweisungen in dem folgenden Artikel vorgehen: http://go.microsoft.com/fwlink/?LinkId=37924. Um Probleme mit der Zeitabstimmung zu vermeiden, sollten Sie sicherstellen, dass die Systemuhr mit dem Zeitgeber der Domäne synchronisiert ist: Verwenden Sie hierzu den folgenden Befehl: net time /domain:Domänenname /set /y Siehe auch Bekannte Probleme beim Hinzufügen von Domänencontrollern an Remotestandorten Vorbereiten eines Servers auf die Installation von einem Sicherungsmedium Vorbereiten eines bestehenden Domänencontrollers auf die Ausliefung Einen Domänencontroller wieder mit dem Netzwerk verbinden Verwaltung von SYSVOL Arbeitsweise des Active Direktory-Replikationsmodells Active Directory Management Pack Technical Reference for MOM 2005 Vorbereiten eines Servers auf die Installation von einem Sicherungsmedium Genaue Richtlinien zur Installation von Active Directory über ein Sicherungsmedium finden Sie unter Installation eines Domänencontrollers in eine bestehenden Domäne mithilfe von Sicherungsmedien. Lesen Sie diesen Abschnitt, bevor Sie hier fortfahren! Wenn Sie den Active Directory am Remotestandort mithilfe von Sicherungsmedien installieren möchten, müssen Sie sich überlegen, wie Sie die Sicherung wiederherstellen möchten. Außerdem müssen Sie entscheiden, ob Sie Wechseldatenträger verwenden möchten oder die Sicherung direkt auf dem auszuliefernden Server speichern möchten. Die tatsächliche Sicherung können Sie mit den Schritten aus dem Abschnitt Installation eines Domänencontrollers in eine bestehenden Domäne mithilfe von Sicherungsmedien ausführen. Mit den folgenden Schritten bereiten Sie einen Computer für die Installation über die Wiederherstellung von Sicherungsmedien vor: Sichern Sie den Systemstatus auf einem Domänencontroller aus der Domäne, der auch der neue Domänencontroller angehören soll. Gehen Sie hierbei nach den Empfehlungen im Abschnitt Installation eines Domänencontrollers in eine bestehenden Domäne mithilfe von Sicherungsmedien vor. Entscheiden Sie, ob Sie die Sicherung auf dem zu installierenden Domänencontroller oder auf einem Sicherungsmedium an den Remotestandort ausliefern wollen. Entscheiden Sie, auf welchem Volumen oder auf welchem Sicherungsmedium die Sicherung gespeichert werden soll. Eine große Ntds.dit-Datei kann sich auf die zur Installation von Active Directory notwendige Zeit auswirken. Wenn Sie einen großen SYSVOL-Ordner haben, kann sich diese Entscheidung außerdem darauf auswirken, ob während der Active Directory-Installation eine Replikation von SYSVOL stattfindet. Aktivieren Sie den Remotedesktop, bevor Sie den Server ausliefern. Sie können dies zwar auch remote über die Registrierung durchführen, aber diese Methode sollte nur angewandt werden, wenn die Aktivierung vorher vergessen wurde. Wenn Sie einen Domänencontroller unter Windows Server 2003 Service Pack 1 (SP1) in einer Gesamtstruktur mit der Funktionsebene Windows Server 2003 oder Windows Server 2003-interim installieren, können Sie Anwendungspartitionen in das Installationsmedium mit aufnehmen. Hierzu müssen Sie eine Antwortdatei erstellen. Wiederherstellen der Sicherung auf dem zu installierenden Domänencontroller oder Verwenden eines Wechseldatenträgers Sie haben die folgenden Möglichkeiten, eine Sicherung an den Remotestandort auszuliefern: Kopieren Sie die nicht wiederhergestellte .bkf-Datei auf einen Wechseldatenträger (CD oder DVD), den Sie zusammen mit dem Server an den Remotestandort versenden. Der Vorteil dieser Methode ist, dass Sie sich die Möglichkeit offen halten, SYSVOL ebenfalls mit in das Sicherungsmedium aufzunehmen. Stellen Sie die Systemsicherung auf einem der lokalen Laufwerke des Servers wieder her, bevor Sie diesen an den Remotestandort versenden. Am Remotestandort sind dann keine weiteren Aktivitäten erforderlich. Stellen Sie die Systemsicherung auf einem der lokalen Laufwerke des Servers wieder her, bevor Sie diesen an den Remotestandort versenden. Am Remotestandort sind dann keine weiteren Aktivitäten erforderlich. Stellen Sie die Sicherung an irgendeinem Speicherort auf irgendeinem Server wieder her, und kopieren Sie diese dann auf einen Wechseldatenträger. Der Vorteil dieses Verfahrens ist, dass Sie die Sicherung nur einmal wiederherstellen. Der Nachteil ist, dass Sie durch das Kopieren der wieder hergestellten Dateien die SYSVOL-Daten verlieren, die Sie zur Wiederherstellung von SYSVOL aus einer Sicherung benötigen. Weitere Informationen dazu, wie Sie sicherstellen, dass SYSVOL aus einer Sicherung wieder hergestellt wird, finden Sie unter http://go.microsoft.com/fwlink/?LinkId=37924. Festlegen des zur Wiederherstellung dienenden Volumens Um eine schnellere Wiederherstellung zu fördern, sollten Sie die Sicherung auf dem Volumen wiederherstellen, das später auch die Ntds.dit-Datei hosten soll. Andernfalls stellen Sie die Sicherung auf einem beliebigen Volumen her, das über genügend freien Speicherplatz verfügt. Wenn Sie die Sicherung auf dem gleichen Volumen wieder herstellen, wirkt sich dies folgendermaßen aus: Active Directory-Dateien: Das Volumen, auf dem Sie die Ntds.dit- und NTDSProtokolldateien wieder herstellen, wirkt sich auf die Installationsdauer aus und auch darauf, ob Sie nach der Installation Dateien löschen müssen: Wenn Sie das gleiche Volumen wählen, werden die Dateien während der Installation nur verschoben - was deutlich schneller als das Kopieren geht. Wenn Sie ein anderes Volumen wählen, werden die Dateien kopiert. Dies führt logischerweise dazu, dass Sie die Ursprungsdateien später löschen müssen. SYSVOL-Replikation: Durch die Auswahl des Wiederherstellungsvolumens legen Sie außerdem fest, ob der FRS die wieder hergestellten Dateien als Quelle für den SYSVOL-Ordner verwendet oder ob er diesen von einem anderen Domänencontroller repliziert. Um SYSVOL mit den Sicherungsdaten wieder herzustellen, müssen Sie die Sicherung auf dem gleichen Volumen wieder herstellen, das später SYSVOL hosten soll. Wenn nur ein Domänencontroller in der Domäne installiert wird (SYSVOL wurde nicht oder nur einmal zwischen zwei Domänencontroller der Domäne repliziert), ist für die Wiederherstellung von SYSVOL aus einer Sicherung die Konfiguration eines „Hilfsdomänencontrollers“ notwendig. Über diesen „Hilfsdomänencontroller“ wird SYSVOL vor der Wiederherstellung der Systemstatus-Sicherung vorbereitet. Anmerkung Im Hinblick auf die Redundanz und die Ausfallsicherheit sollten Sie in jeder Domäne mindestens zwei Domänencontroller bereitstellen. Weitere Informationen dazu, wie Sie sicherstellen, dass SYSVOL aus der Sicherung wieder hergestellt wird, finden Sie unter http://go.microsoft.com/fwlink/?LinkId=37924. Aktivieren von Remotedesktop Remotedesktop ist unter Windows Server 2003 standardmäßig deaktiviert und muss daher explizit vor der Auslieferung aktiviert werden. Erstellen einer Antwortdatei zur Domänencontrollerinstallation Wenn Sie Anwendungspartitionen mit in die Sicherung aufnehmen wollen, müssen Sie eine Antwortdatei zur Domänencontrollerinstallation installieren und eine unbeaufsichtigte Installation durchführen. Wenn Sie einen Domänencontroller installieren, der ebenfalls DNS-Server ist, können Sie außerdem die DNS-Anwendungspartition mit in die Sicherung aufnehmen. Um dieses Verfahren durchführen zu können, müssen die folgenden Vorraussetzungen erfüllt sein: Die Gesamtstruktur muss in der Funktionsebene Windows Server 2003 oder Windows Server 2003-interim ausgeführt werden. Der Domänencontroller, der zur Sicherung dient, und der zu installierende Domänencontroller müssen unter Windows Server 2003 SP1 ausgeführt werden. Zur Erstellung eines DNS-Servers müssen Active Directory-integrierte DNS-Zonen verwendet werden. Der Domänencontroller, der zur Sicherung dient, muss die Anwendungspartitionen hosten, die in die Sicherung eingeschlossen werden sollen. Anforderungen Um diese Aufgabe abzuschließen, sind die folgenden Tools erforderlich: Ntbackup.exe Systemsteuerung Dcpromo.exe Ref.chm von der Windows Server 2003-Installations-CD (nur für eine unbeaufsichtigte Installation) Um diese Aufgabe auszuführen, sind die folgenden Schritte erforderlich: 1. Sicherung des Systemstatus auf einem Domänencontroller in der Domäne in dem Sie den neuen Domänencontroller installieren möchten. Hierbei gelten für beide Server die folgenden Vorgaben: Der zu installierende Domänencontroller muss unter Windows Server 2003 ausgeführt werden. Die Version (inklusive der Service Packs) muss der aus der Sicherung entsprechen. Der Prozessortyp des gesicherten Domänencontrollers muss dem des neu zu installierenden entsprechen. Wenn der neue Domänencontroller globaler Katalog Server sein soll, muss die Sicherung von einem globalen Katalog Server der entsprechenden Domäne stammen. Wenn der neue Domänencontroller DNS-Server sein soll, muss die Sicherung von einem DNS-Server der entsprechenden Domäne stammen. 2. Wiederherstellen des Systemstatus an einem anderen Speicherort. Sie können die Sicherungsdaten auf einem lokalen Laufwerk des zu installierenden Servers oder an einem anderen Speicherort wieder herstellen. Alternativ können Sie die Daten über einen Wechseldatenträger kopieren. 3. Aktivieren von Remotedesktop auf dem Zielserver. 4. Wenn Sie einen DNS-Server installieren, führen Sie die Aufgabe Erstellen einer Antwortdatei für eine Domänencontrollerinstallation aus. 5. Versenden Sie den Domänencontroller und alle notwendigen Sicherungsmedien und die Antwortdatei an den Remotestandort. 6. Wenn der Server am Remotestandort in Betrieb ist, gehen Sie folgendermaßen vor: Erstellen einer Remotedesktopverbindung zum Remoteserver. Wenn Sie einen Domänencontroller ohne Anwendungspartitionen installieren, führen Sie die Schritte aus dem Abschnitt Installation von Active Directory mithilfe eines Sicherungsmediums aus. Wenn Sie einen Domänencontroller mit Anwendungspartitionen oder einen DNSServer installieren, führen Sie die Schritte aus dem Abschnitt Einbeziehen von Anwendungspartitionen in die Active Directory-Installation über ein Sicherungsmedium aus. 7. Wenn es sich um einen DNS-Server handelt, führen Sie nach der Installation von Active Directory die Schritte aus dem Abschnitt Installation des DNS-Serverdienstes aus. Siehe auch Installation eines Domänencontrollers in eine bestehenden Domäne mithilfe von Sicherungsmedien Sicherung des Systemstatus Wenn Sie den Systemstatus mit Ntbackup.exe sichern, können Sie die geschützten Systemdateien mit sichern oder nicht. Diese Dateien sind für eine Installation mithilfe einer wiederhergestellten Sicherung nicht notwendig - in diesem Fall können Sie die Option deaktivieren. Sie verkleinern so die Größe der Sicherungsdatei und verringern den notwendigen Zeitaufwand. Mit den folgenden Verfahren können Sie nur den Systemstatus sichern. Das Systemvolumen oder andere Daten auf dem Domänencontroller werden nicht berücksichtigt. Mit dem ersten Verfahren, "Sicherung des Systemstatus inklusive der geschützten Systemdateien", können Sie Routinesicherungen des Systemstatus durchführen. Mit dem zweiten Verfahren, "Sicherung des Systemstatus exklusive der geschützten Systemdateien", können Sie eine kleinere Sicherung durchführen, die zur Installation von Domänencontrollern über Sicherungsmedien verwendet werden kann. Anmerkung Um den Systemstatus sichern zu können, müssen Sie als lokaler Administrator am Domänencontroller angemeldet sein. Alternativ muss der Remotedesktop aktiviert sein. Administrative Berechtigungen Um die folgenden Verfahren ausführen zu können, müssen Sie Mitglied der Gruppe Domänen-Admins oder Sicherungsoperatoren sein. Sicherung des Systemstatus inklusive der geschützten Systemdateien 1. Klicken Sie auf Start, klicken Sie auf Ausführen, geben Sie ntbackup ein, und klicken Sie dann auf OK. In diesem Verfahren verwenden Sie den Assistentenmodus. Standardmäßig ist die Option Immer im Assistentenmodus starten im Sicherungs- und Wiederherstellungsassistenten aktiviert. Klicken Sie andernfalls auf Assistentenmodus. 2. Klicken Sie auf Weiter. 3. Klicken Sie auf Dateien und Einstellungen sichern, und klicken Sie dann auf Weiter. 4. Klicken Sie auf Elemente für die Sicherung selbst auswählen, und klicken Sie dann auf Weiter. 5. Klicken Sie doppelt auf Arbeitsplatz. 6. Klicken Sie auf Systemstatus, und klicken Sie dann auf Weiter. 7. Wählen Sie einen Speicherort für die Sicherung aus: Anmerkung Sie sollten die Sicherung nicht auf einer lokalen Festplatte speichern. 8. Geben Sie einen Namen ein. Halten Sie sich an die Empfehlungen aus dem Abschnitt Sichern von Active Directory-Komponenten, und klicken Sie dann auf Weiter. 9. Klicken Sie auf Erweitert. 10. Klicken Sie auf Weiter. 11. Aktivieren Sie Daten nach der Sicherung prüfen, und klicken Sie dann auf Weiter. 12. Wählen Sie eine der Optionen aus, und klicken Sie dann auf Weiter. 13. Wenn Sie bestehende Sicherungen ersetzen, wählen Sie die Option, mit der nur dem Besitzer und dem Administrator Zugriff auf die Sicherungsdaten gewährt wird. Klicken Sie dann auf Weiter. 14. Wählen Sie eine für Sie passende Option aus, und klicken Sie dann auf Weiter. 15. Klicken Sie auf Fertigstellen. Anmerkung Sie können Ntbackup auch über die Eingabeaufforderung nutzen. Weitere Informationen erhalten Sie mit dem Befehl ntbackup /?. Sicherung des Systemstatus exklusive der geschützten Systemdateien 1. Klicken Sie auf Start, klicken Sie auf Ausführen, geben Sie ntbackup ein, und klicken Sie dann auf OK. 2. Klicken Sie auf Erweiterter Modus, und klicken Sie dann auf die Registerkarte Sichern. 3. Wählen Sie Systemstatus aus. 8. Geben Sie einen Namen ein. Halten Sie sich an die Empfehlungen aus dem Abschnitt Sichern von Active Directory-Komponenten, und klicken Sie dann auf Weiter. 5. Klicken Sie auf Sicherung starten, und klicken Sie dann auf Erweitert. 6. Deaktivieren Sie Geschützte Systemdateien automatisch mit dem Systemstatus sichern, und klicken Sie dann auf OK. 7. Klicken Sie auf Sicherung starten. Siehe auch Aktivieren von Remotedesktop Erstellen einer Remotedesktopverbindung Wiederherstellen des Systemstatus an einem anderen Speicherort Mit diesem Verfahren können Sie ein Sicherungsmedium erstellen, mit dem Sie einen Domänencontroller wiederherstellen können oder eine autorisierende Wiederherstellung von SYSVOL durchführen können. Administrative Berechtigungen Für dieses Verfahren müssen Sie Mitglied der Gruppe Sicherungsoperatoren der Domäne sein. Für das Wiederherstellen auf einem Mitglieds- oder Arbeitsgruppenserver: Sicherungsoperator auf dem lokalen Computer. Für das Wiederherstellen des Systemstatus auf einem Domänencontroller: Sicherungsoperator der Domäne. Wiederherstellen des Systemstatus an einem anderen Standort 1. Melden Sie sich an dem wiederzustellenden Server an. 2. Klicken Sie auf Start, klicken Sie auf Ausführen, geben Sie ntbackup ein, und klicken Sie dann auf OK. 3. Klicken Sie auf Weiter. 4. Klicken Sie auf Dateien und Einstellungen wiederherstellen, und klicken Sie dann auf Weiter. 5. Klicken Sie auf Suchen und dann nach einmal auf Suchen. 6. Navigieren Sie zu der .bkf-Datei. 7. Klicken Sie auf die .bkf, die Sie wiederherstellen möchten, und klicken Sie dann auf Öffnen. 8. Klicken Sie auf OK. 9. Klicken Sie doppelt auf Datei und dann doppelt auf die .bkf-Datei, die wiederhergestellt werden soll. 10. Markieren Sie Systemstatus, und klicken Sie dann auf Weiter. 11. Klicken Sie auf Erweitert. 12. Klicken Sie auf Alternativer Bereich. 13. Geben Sie den Pfad zu dem lokalen Ordner ein, in dem Sie die Sicherung wiederherstellen wollen. Klicken Sie dann auf Weiter. Wir empfehlen, zur Wiederherstellung einen Ordner mit dem Namen NTDSRESTORE zu verwenden. 14. Klicken Sie dann auf Weiter. 15. Klicken Sie dann auf Weiter. 16. Klicken Sie auf Fertigstellen. Aktivieren von Remotedesktop Mit dem folgenden Verfahren können Sie den Remotedesktop auf dem zu installierenden Domänencontroller aktivieren. Administrative Berechtigungen Um dieses Verfahren ausführen zu können, müssen Sie Mitglied der lokalen Gruppe Administratoren sein. Aktivierung von Remotedesktop 1. Klicken Sie auf Start, Systemsteuerung, und klicken Sie dann auf System. 2. Klicken Sie auf der Registerkarte Remote unter RemoteDesktop auf Benutzer erlauben, eine Remotedesktopverbindung herzustellen, und klicken Sie dann auf OK. Anmerkung Unter Windows Server 2003 mit Service Pack 1 (SP1) aktivieren Sie die Option Remotedesktop auf diesem Computer aktivieren. Sollten Sie die Aktivierung vor der Auslieferung vergessen haben, können Sie den Remotedesktop remote über die Registrierung aktivieren. Administrative Berechtigungen Um dieses Verfahren ausführen zu können, müssen Sie Mitglied der lokalen Gruppe Administratoren sein. Aktivierung von Remotedesktop über die Registrierung 1. Klicken Sie auf einem Computer unter Windows Server 2003 oder Windows XP Professional auf Start, klicken Sie auf Ausführen, geben Sie regedit ein, und klicken Sie dann auf OK. 2. Klicken Sie im Menü Datei auf Mit Netzwerkregistrierung verbinden. 3. Geben Sie den Computernamen des Remoteserver ein, und klicken Sie dann auf Check Names. 4. Geben Sie das Kennwort eines Domänen-Admins ein, und klicken Sie dann auf OK. 5. Klicken Sie auf OK. 6. Navigieren Sie zu HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Parameterina l Server. 7. Klicken Sie auf Parameterinal Server, dann rechts doppelt auf fDenyTSConnections. 8. Geben Sie den Wert 0, und klicken Sie dann auf OK. 9. Damit die Änderung aktiv wird, müssen Sie den Server neu starten: Öffnen Sie eine Eingabeaufforderung, und geben Sie den folgenden Befehl ein: shutdown -m \\DomänencontrollerName -r Erstellen einer Antwortdatei für eine Domänencontrollerinstallation Mit diesem Verfahren erstellen Sie eine Antwortdatei, die Sie zur unbeaufsichtigten Installation eines Domänencontrollers verwenden können. Die Antwortdatei enthält möglicherweise sensible Informationen - speichern Sie sie daher an einem sicheren Ort. Administrative Berechtigungen Um dieses Verfahren ausführen zu können, müssen Sie Mitglied der Gruppe Authentifizierte Benutzer auf dem lokalen Computer sein. Erstellen einer Antwortdatei für eine Domänencontrollerinstallation 1. Legen Sie die Windows Server 2003 CD ein, und drücken Sie dabei die HOCHSTELLTASTE, um den automatischen Start der CD zu verhindern. 2. Starten Sie den Windows Explorer, und öffnen Sie den Ordner Support\Tools auf der CD. 3. Klicken Sie auf Tools und dann rechts doppelt auf Deploy.cab. 4. Klicken Sie mit rechts auf Ref.chm, und klicken Sie dann auf Entpacken. 5. Navigieren Sie zu einem passenden Ordner oder erstellen Sie einen, und klicken Sie dann auf Extract. 6. Öffnen Sie die Datei Ref.chm, die Sie soeben entpackt haben. 7. Klicken Sie auf der Registerkarte Inhalt links doppelt auf Unattend.txt, und klicken Sie dann auf [DCInstall]. 8. Scrollen Sie rechts zu Sample, und kopieren Sie das ganze Beispiel (beginnend mit [DCInstall]). 9. Öffnen Sie Notepad, und fügen Sie das Beispiel ein. 10. Bearbeiten Sie die Textdatei so, dass diese mindestens die folgenden Einträge umfasst (zusätzliche Einträge können Sie Ref.chm entnehmen): [DCINSTALL] UserName=SAM-Kontoname mit Domänen-Admins-Rechten in der Zieldomäne. Password=Kennwort für das Konto. Wenn Sie nichts eintragen, fragt Dcpromo das Kennwort ab. Wird nach der Installation gelöscht. UserDomain=Domänenname für das Konto unter UserName. DatabasePath=Speicherort der Ntds.dit-Datei (standardmäßig %systemroot%\ntds.) Wenn der Eintrag fehlt, wird der Standardpfad verwendet. LogPath=Speicherort der Protokolldateien (standardmäßig %systemroot%\ntds.) Wenn der Eintrag fehlt, wird der Standardpfad verwendet. SYSVOLPath=Speicherort von SYSVOL (standardmäßig %systemroot%\ntds.) Wenn der Eintrag fehlt, wird der Standardpfad verwendet. SafeModeAdminPassword=Kennwort für den Start im Verzeichnisdienstwiederherstellungsmodus. Wenn Sie nichts eintragen, fragt Dcpromo das Kennwort ab. Wird nach der Installation gelöscht. CriticalReplicationOnly=Yes oder no Legt fest, ob der nicht kritische Teil der Replikation übersprungen werden kann, damit Dcpromo fertig gestellt werden kann, bevor die Replikation vollständig ist. SiteName=Name des Active Directory-Standortes. ReplicaOrNewDomain=Entweder Replica für einen neuen Domänencontroller in einer bestehenden Domäne oder NewDomain für den ersten Domänencontroller in einer neuen Domäne. ReplicaDomainDNSName=FQDN der Domäne. ReplicationSourceDC=Name eines bestehenden Domänencontrollers, mit dem die erste Replikation ausgeführt wird. Diesen Eintrag können Sie zusammen mit ReplicateFromMedia verwenden um festzulegen von welchem Domänencontroller Änderungen repliziert werden. ReplicateFromMedia=Yes zur Installation über ein Sicherungsmedium, no zur Installation mit Replikation. ReplicationSourcePath=Wenn Installation mit Replikation, ist dies der Pfad zur Installations-CD oder -Freigabe. Wenn Installation mit Sicherungsmedium, ist dies der Pfad zur Sicherung. RebootOnSuccess=Yes Wenn der Domänencontroller nach der Installation neu gestartet werden soll. no wenn nicht. Alternativ können Sie NoAndNoPromptEither für einen Neustart ohne Rückfrage verwenden. ApplicationPartitionsToReplicate=Kommangetrennte DNs der Anwendungspartitionen. (* für alle Partitionen). Weitere Informationen finden Sie unter Einbeziehen von Anwendungspartitionen in die Active Directory-Installation über ein Sicherungsmedium. 11. Speichern Sie die Antwortdatei. Siehe auch Einbeziehen von Anwendungspartitionen in die Active Directory-Installation über ein Sicherungsmedium Erstellen einer Remotedesktopverbindung Wenn Remotedesktop auf einem Server aktiviert ist, können Sie den Server so von einem zentralen Standort aus verwalten. Administrative Berechtigungen Um dieses Verfahren durchführen zu können, müssen Sie der Gruppe Remotedesktopbenutzer oder der lokalen Gruppe Administratoren angehören. Wenn der Computer Domänencontroller ist, müssen Sie außerdem über das Privileg Lokal anmelden zulassen in der Default Domain Controllers Policy verfügen. Erstellen einer Remotedesktopverbindung 1. Klicken Sie auf Start, Programme, Alle Programmr, Zubehör, Kommunikation, und klicken Sie dann auf Remotedesktopverbindung. 2. Geben Sie einen Computernamen oder eine IP-Adresse ein, und klicken Sie auf Verbinden. 3. Geben Sie Ihren Benutzernamen, das Kennwort und die Domäne ein, und klicken Sie dann auf OK. Siehe auch Aktivieren von Remotedesktop Installation von Active Directory mithilfe eines Sicherungsmediums Administrative Berechtigungen Sie müssen Mitglied der Gruppe Domänen-Admins in der Domäne sein in der der Domänencontroller installiert werden soll. Installation von Active Directory mithilfe eines Sicherungsmediums 1. Klicken Sie auf Start, klicken Sie auf Ausführen, geben Sie dcpromo /adv ein, und drücken Sie die EINGABETASTE. 2. Wählen Sie Zusätzlichen Domänencontroller für eine bestehende Domäne aus. 3. Wählen Sie Aus diesen wiederhergestellten Sicherungsdateien aus, und geben Sie den Speicherort der wiederhergestellten Systemdaten an. 4. Wenn der Domänencontroller, von dem die Sicherung stammt, ein globaler Katalog Server war, fragt Sie der Assistent, ob der neue Domänencontroller ebenfall globaler Katalog sein soll. 5. Stellen Sie die erforderlichen Anmeldeinformationen bereit. 6. Geben Sie die Domäne für den neuen Domänencontroller an. Es muss sich um die Domäne des Domänencontrollers handeln, von dem die Sicherung stammt. 7. Führen Sie den Assistenten weiter aus. Nachdem die Installation erfolgreich abgeschlossen ist, können Sie die Ordner mit dem wiederhergestellten Systemstatus löschen. Siehe auch Wiederherstellen des Systemstatus an einem anderen Standort Einbeziehen von Anwendungspartitionen in die Active Directory-Installation über ein Sicherungsmedium Einbeziehen von Anwendungspartitionen in die Active Directory-Installation über ein Sicherungsmedium Mit diesem Verfahren können Sie eine oder mehrere Anwendungspartitionen in die Installation von Active Directory mithilfe einer Sicherung mit einbeziehen. Sie müssen vorher bereits mit den Schritten in Erstellen einer Antwortdatei für eine Domänencontrollerinstallation eine Antwortdatei erstellt haben. Administrative Berechtigungen Um dieses Verfahren ausführen zu können, müssen Sie Mitglied der Gruppe DomänenAdmins in der Domäne sein, in der der zusätzliche Domänencontroller installiert werden soll. Einbeziehen von Anwendungspartitionen in die Active Directory-Installation über ein Sicherungsmedium 1. Öffnen Sie die Antwortdatei, die Sie erstellt haben. 2. Mit dem folgenden Eintrag können Sie Anwendungspartitionen mit in die Installation einbeziehen: ApplicationPartitionsToReplicate= 3. Der Wert von ApplicationPartitionsToReplicate muss folgendermaßen aussehen: Mit * können Sie alle Anwendungspartitionen einbeziehen. Wenn Sie nur bestimmte Partitionen einbeziehen möchten, müssen Sie deren DNs getrennt durch Leerzeichen angeben. In diesem Fall muss die Liste der DNs in Anführungsstriche eingeschlossen sein. Beispiel: ApplicationPartitionsToReplicate=”dc=app1,dc=contoso,dc=com dc=app2,dc=contoso,dc=com” 4. Geben Sie unter ReplicationSourcePath= den Ordner mit den wiederhergestellten Sicherungsdaten an. 5. Öffnen Sie eine Eingabeaufforderung, und wechseln Sie zu dem Verzeichnis mit der Antwortdatei. 7. Geben Sie den folgenden Befehl ein, und drücken Sie dann die EINGABETASTE: dcpromo /adv /answer:”Laufwerk:\pfad\DateiNameDerAntwortdatei” Vorbereiten eines bestehenden Domänencontrollers auf die Auslieferung Wenn Sie einen Domänencontroller an einem Remotestandort bereitstellen, müssen Sie diesem vom Netzwerk und somit logischerweise auch aus der Replikationstopologie entfernen. Wenn dies für länger als die Tombstone-Lebensdauer passieren muss, müssen Sie einige vorbereitende Schritte durchführen. Ansonsten kann es zur Entstehung verbleibender Objekte kommen. Weitere Informationen zu diesem Thema finden Sie unter Bekannte Probleme beim Hinzufügen von Domänencontrollern an Remotestandorten. Um diese Aufgabe auszuführen, sind die folgenden Schritte erforderlich: 1. Ermitteln Sie, wie lange der Domänencontroller vom Netzwerk getrennt werden muss. 2. Ermitteln Sie die Tombstone-Lebensdauer der Gesamtstruktur. 3 Stellen Sie fest, wie lange der Domänencontroller maximal getrennt sein kann: Ziehen Sie den zu erwartenden Zeitraum für eine vollständige Replikation von der Tombstone-Lebensdauer ab. Stellen Sie fest, ob die Tombstone-Lebensdauer der Gesamtstruktur erhöht werden muss: Wenn die Zeit, für die der Domänencontroller getrennt wird, die maximal mögliche Zeit übersteigt, müssen Sie die Tombstone-Lebensdauer erhöhen. Außerdem sollten Sie dafür sorgen, dass auf allen Domänencontrollern ausreichend Platz für die zusätzlichen Tombstones vorhanden ist und dass die Änderung an alle Domänencontroller repliziert wurde. 4. Stellen Sie fest, ob der Domänencontroller ein Betriebsmaster ist 5. Übertragen der domänenbezogenen Betriebsmasterrollen (wenn notwendig) 6. Übertragen der Rolle Schemamaster (wenn notwendig). 7. Übertragen der Rolle Domänennamensmaster (wenn notwendig). 8. Vorbereiten eines Domänencontrollers für einen nicht autorisierenden SYSVOLNeustart auf dem Domänencontroller, den Sie vom Netzwerk trennen. Dieses Verfahren stellt sicher, dass SYSVOL aktuell ist. Weitere Informationen finden Sie unter http://go.microsoft.com/fwlink/?LinkId=37924. 9. Aktivieren der strikten Replikationskonsistenz weiterer Domänencontroller oder auf allen Domänencontrollern in der Gesamtstruktur. 10. Synchronisation der Replikation mit allen Partnern. 11. Überprüfen der erfolgreichen Replikation mit einem anderen Domänencontroller auf dem zu trennenden Domänencontroller. 12. Beschriften des Domänencontrollers mit dem Datum und der Uhrzeit sowie der maximalen Zeit, die er offline bleiben darf. Siehe auch Bekannte Probleme beim Hinzufügen von Domänencontrollern an Remotestandorten Verwaltung von Betriebsmasterrollen Verwaltung von SYSVOL Einen Domänencontroller wieder mit dem Netzwerk verbinden Windows Server 2003 Technical Reference Ermitteln der Tombstone-Lebensdauer der Gesamtstruktur Administrative Berechtigungen Um dieses Verfahren durchführen zu können, müssen Sie Mitglied der Gruppe Domänenbenutzer sein. Ermitteln der Tombstone-Lebensdauer der Gesamtstruktur 1. Klicken Sie auf Start, klicken Sie auf Ausführen, geben Sie adsiedit.msc ein, und klicken Sie dann auf OK. 2. Klicken Sie doppelt auf Configuration [Domänencontrollername], CN=Configuration,DC=[Stammdomäne], CN=Services und auf CN=Windows NT. 3. Klicken Sie mit rechts auf CN=Directory Service, und klicken Sie dann auf Eigenschaften. 4. Klicken Sie in der Spalte Attribute auf tombstoneLifetime. 5. Prüfen Sie den Wert von tombstoneLifetime. Wenn er nicht gesetzt ist, gilt der folgende Standardwert: Auf einem Domänencontroller in einer Gesamtstruktur, die auf einem Domänencontroller unter Windows Server 2003 Service Pack 1 (SP1) erstellt wurde: 180 Tage. Auf einem Domänencontroller in einer Gesamtstruktur, die auf einem Domänencontroller unter Windows 2000 Server oder Windows Server 2003 erstellt wurde: 60 Tage.. Anzeigen der aktuellen Betriebsmaster Nachdem Sie Rollen übertragen haben, sollten Sie überprüfen, dass dies funktioniert hat. Die Änderung muss auf alle relevanten Domänenmitglieder repliziert werden, damit sie tatsächlich effektiv wird. Sie können die aktuellen Betriebsmaster mit Ntdsutil.exe anzeigen. Administrative Berechtigungen Um die folgenden Schritte ausführen zu können, müssen Sie als Benutzer oder Administrator angemeldet sein. Anzeigen der aktuellen Betriebsmaster 1. Öffnen Sie die Eingabeaufforderung. 2. Geben Sie Folgendes ein: ntdsutil 3. Geben Sie Folgendes an der ntdsutil-Eingabeaufforderung ein: roles 4. Geben Sie Folgendes an der fsmo maintenance-Eingabeaufforderung ein: connections 5. Geben Sie Folgendes an der server connections-Eingabeaufforderung ein: connect to server Domänencontroller. Wobei Domänencontroller ein Domänencontroller ist, der zu der Domäne mit den gesuchten Betriebsmastern gehört. 6. Geben Sie Folgendes an der server connections-Eingabeaufforderung ein: quit 6. Geben Sie Folgendes ein: select operation target 7. Geben Sie Folgendes ein: list roles for connected server Es wird eine Liste mit den aktuellen Rollen und dem LDAP-Namen ausgegeben. Übertragen der domänenbezogenen Betriebsmasterrollen Mit diesem Verfahren übertragen Sie die Rollen PDC-Emulator, RID-Master und Infrastrukturmaster. Anmerkung Dieses Verfahren beschreibt die Verwendung der MMC. Es kann jedoch auch mithilfe von Ntdsutil.exe ausgeführt werden. Weitere Informationen dazu erhalten Sie, wenn Sie ? in der Ntdsutil.exe-Eingabeaufforderung eingeben. Administrative Berechtigungen Um die folgenden Schritte ausführen zu können, müssen Sie Mitglied der Gruppe Domänen-Admins oder der Gruppe Organisations-Admins sein. Übertragen der domänenbezogenen Betriebsmasterrollen 1. Öffnen Sie Active Directory-Benutzer und -Computer. 2. Klicken Sie in der Konsolenstruktur mit der rechten Maustaste auf Active Directory-Benutzer und -Computer, und klicken Sie dann auf Verbindung mit Domänencontroller herstellen. 3. Geben Sie in das Feld Geben Sie den Namen eines weiteren Domänencontrollers ein den Namen des Domänencontrollers ein, der die Rolle des RID-Masters haben soll. Oder klicken Sie in der Liste mit den verfügbaren Domänencontrollern auf den gewünschten Domänencontroller. 4. Klicken Sie in der Konsolenstruktur mit der rechten Maustaste auf Alle Tasks, und klicken Sie dann auf Betriebsmaster. 5. Klicken Sie auf die Rolle, die übertragen werden soll, und dann auf Ändern. Übertragen der Rolle Schemamaster Wenn das Schema-Snap-In noch nicht installiert ist, führen Sie erst die Schritte aus dem Abschnitt Installation des Schema-Snap-Ins aus. Anmerkung Dieses Verfahren beschreibt die Verwendung der MMC. Es kann jedoch auch mithilfe von Ntdsutil.exe ausgeführt werden. Weitere Informationen dazu erhalten Sie, wenn Sie ? in der Ntdsutil.exe-Eingabeaufforderung eingeben. Administrative Berechtigungen Um dieses Verfahren ausführen zu können, müssen Sie Mitglied der Gruppe SchemaAdmins sein. Übertragen der Rolle Schemamaster 1. Öffnen Sie das Active Directory-Schema-Snap-In. 2. Klicken Sie in der Konsolenstruktur mit der rechten Maustaste auf Active Directory-Schema, und klicken Sie dann auf Domänencontroller ändern. 3. Klicken Sie auf Namen angeben, und geben Sie den Namen des Domänencontrollers ein, der die Rolle des Schemamasters haben soll. 4. Klicken Sie in der Konsolenstruktur mit der rechten Maustaste auf Active Directory-Schema und dann auf Betriebsmaster. 5. Klicken Sie auf Ändern. Übertragen der Rolle Domänennamensmaster Anmerkung Dieses Verfahren beschreibt die Verwendung der MMC. Es kann jedoch auch mithilfe von Ntdsutil.exe ausgeführt werden. Weitere Informationen dazu erhalten Sie, wenn Sie ? in der Ntdsutil.exe-Eingabeaufforderung eingeben. Administrative Berechtigungen Um dieses Verfahren ausführen zu können, müssen Sie Mitglied der Gruppe Organisations-Admins sein. Übertragen der Rolle Domänennamensmaster 1. Öffnen Sie Active Directory-Domänen und -Vertrauensstellungen. 2. Klicken Sie in der Konsolenstruktur mit der rechten Maustaste auf Active Directory-Domänen und -Vertrauensstellungen, und klicken Sie dann auf Verbindung mit Domänencontroller herstellen. 3. Geben Sie in das Feld Geben Sie den Namen eines weiteren Domänencontrollers ein den Namen des Domänencontrollers ein, der die Rolle des Domänennamenmasters haben soll. Oder klicken Sie in der Liste mit den verfügbaren Domänencontrollern auf den gewünschten Domänencontroller. 4. Klicken Sie in der Konsolenstruktur mit der rechten Maustaste auf Active Directory-Domänen und -Vertrauensstellungen, und klicken Sie dann auf Betriebsmaster. 5. Klicken Sie auf Ändern. Vorbereiten eines Domänencontrollers für einen nicht autorisierenden SYSVOLNeustart Durch das Bearbeiten der BurFlags-Registrierungseinträge (Backup/Restore-Flags) können Sie einen nicht autorisierenden SYSVOL-Neustart initiieren. Setzen Sie den Wert auf D2 (Hexadecimal) oder 210 (Dezimal), und beim nächsten Start des Domänencontrollers wird der SYSVOL-Neustart durchgeführt. Es gibt die folgenden Einträge: Um einen SYSVOL-Neustart zu erreichen, wenn es nur diesen einen Replikationssatz für den Domänencontroller gibt, verwenden Sie den Wert unter HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\NtFrs\Parameter s\Backup/Restore\Process at Startup Wenn es andere Replikationssätze gibt und Sie SYSVOL nur aktualisieren möchten, verwenden Sie den Wert unter HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\NtFrs\Parameter s\Cumulative Replica Sets\SYSVOL GUID Vorsicht Der Registrierungseditor umgeht die normalen Sicherheitsfunktionen. Sie können so Einstellungen vornehmen, die das System beschädigen können oder sogar dafür sorgen können, dass Windows neu installiert werden muss. Sichern Sie vor einer Bearbeitung der Registrierung den Systemstatus. Weitere Informationen hierzu finden Sie unter: Administering Active Directory Backup and Restore. Administrative Berechtigungen Um die folgenden Schritte ausführen zu können, müssen Sie Mitglied der Gruppe Domänen-Admins oder der Gruppe Organisations-Admins sein. Vorbereiten eines Domänencontrollers auf einen nicht autorisierenden SYSVOL-Neustart 1. Klicken Sie auf Start und Ausführen. Geben Sie regedit ein, und klicken auf OK. 2. Navigieren Sie zu HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\NtFrs\Parameters 3. Erweitern Sie Parameters. 4. Bearbeiten Sie einen der BurFlags-Einträge wie folgt: a. Erweitern Sie Backup/Restore, und klicken Sie auf Process at Startup. b. Klicken Sie rechts auf BurFlags und dann auf Bearbeiten. c. Geben Sie D2 als Hexadezimalwert oder 210 als Dezimalwert ein. d. Klicken Sie auf OK. oder a. Erweitern Sie Cumulative Replica Sets und Replica Sets. b. Suchen Sie nach der GUID unter Replica Sets, die der GUID unter Cumulative Replica Sets entspricht, und klicken Sie auf die entsprechende GUID unter Cumulative Replica Sets. c. Klicken Sie rechts auf BurFlags und dann auf Bearbeiten. d. Geben Sie D2 als Hexadezimalwert oder 210 als Dezimalwert ein. e. Klicken Sie auf OK. Aktivieren der strikten Replikationskonsistenz Diese Einstellung ist im Eintrag Strict Replication Consistency unter HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\Parameters gespeichert. Die folgenden Werte sind möglich: Wert: 1 (0 = deaktiviert) Standardwert: 1 bei einer neuen Windows Server 2003-Gesamtstruktur - andernfalls 0. Datentyp: REG_DWORD Unter Windows Server 2003 Service Pack 1 (SP1) müssen Sie den Wert nicht direkt bearbeiten. Sie können stattdessen das Tool Repadmin verwenden. Dies ist jedoch nur mit der Repadmin-Version aus den Support Tools von Windows Server 2003 SP1 möglich und kann nur auf Domänencontrollern unter Windows Server 2003 SP1 ausgeführt werden. Administrative Berechtigungen Für einen einzelnen Domänencontroller müssen Sie Mitglied der Gruppe DomänenAdmins sein. Für alle Domänencontroller müssen Sie Mitglied der Gruppe Organisations-Admins sein. Anforderungen: Betriebssystem: Windows Server 2003 SP1 Aktivieren der strikten Replikationskonsistenz 1. Öffnen Sie eine Eingabeaufforderung, geben Sie den folgenden Befehl ein, und drücken Sie dann die EINGABETASTE: repadmin /regkey DC_LISTE {+|-}key Parameter Beschreibung DC_LIST Name (DNS oder DN) eines einzelnen Domänencontrollers (* für alle Domänencontroller der Gesamtstruktur). {+|-}key + aktivieren, - deaktivieren key = strict. Beispiel: +strict zum Aktivieren. Anmerkung Weitere Optionen von und Informationen zum DC_LISTE-Parameter erhalten Sie mit repadmin /listhelp. Synchronisation der Replikation mit allen Partnern Administrative Berechtigungen Um dieses Verfahrung durchführen zu können, müssen Sie Mitglied der Gruppe Domänen-Admins in der Domäne des entsprechenden Domänencontrollers oder der Gruppe Organisations-Admins sein. Wenn Sie die Schema- und Konfigurationspartition synchronisieren möchten, müssen Sie Domänen-Admin in der Stammdomäne oder Organisations-Admin sein. Synchronisation der Replikation mit allen Partnern 1. Geben Sie den folgenden Befehl ein, und drücken Sie dann die EINGABETASTE: repadmin /syncall DCName /e /d /A /P /q Parameter Beschreibung DCName DNS-Name des Domänencontrollers, der mit allen Partnern synchronisiert werden soll. /e Alle Partner /d Identifiziert Server über DNs. /A Alle. Synchronisiert alle Partitionen auf dem Server. /P Repliziert Änderungen vom Server. /q Stiller Modus. Ausführen ohne Rückmeldungen. 2. Prüfen Sie, ob es Replikationsfehler gibt. Siehe auch Überprüfen der erfolgreichen Replikation mit einem anderen Domänencontroller Überprüfen der erfolgreichen Replikation mit einem anderen Domänencontroller Mit dem Befehl repadmin /showrepl können Sie feststellen, ob die Replikation mit einem bestimmten Domänencontroller erfolgreich war. Wenn Sie den Befehl nicht auf dem Domänencontroller ausführen, dessen Replikation Sie testen möchten, können Sie auch einen Ziel-Domänencontroller angeben. Repadmin zeigt unter INBOUND NEIGHBORS die DNs aller Verzeichnispartitionen auf, für die eine eingehende Verzeichnisreplikation versucht wurde - zusammen mit dem Standort und Namen des QuellDomänencontrollers und dem Erfolg oder Misserfolg der Replikation. Die Ausgabe sieht zum Beispiel so aus: Last attempt @ YYYY-MM-DD HH:MM.SS was successful. Last attempt @ [Never] was successful. Wenn @ [Never] angezeigt wird, heißt dies, dass die Partition noch nie erfolgreich repliziert wurde. Administrative Berechtigungen Um das folgende Verfahren ausführen zu können, müssen Sie Mitglied der Gruppe Domänen-Admins auf dem Ziel-Domänencontroller sein. Überprüfen der erfolgreichen Replikation mit einem anderen Domänencontroller 1. Öffnen Sie eine Eingabeaufforderung. 2. Geben Sie den folgenden Befehl ein, und drücken Sie dann die EINGABETASTE: repadmin /showrepl servername /u:domänenname\benutzername /pw:* Parameter Beschreibung servername Name des Ziel-Domänencontrollers. domänenname NetBIOS-Name der Domäne des ZielDomänencontrollers (es ist kein FQDN notwendig). Benutzername Der Name eines administrativen Kontos in der Domäne 3. Wenn Sie zur Eingabe eines Kennwortes aufgefordert werden, geben Sie das Kennwort des Benutzerkontos ein. Repadmin kann außerdem Detailinformationen zur Replikation mit allen Replikationspartnern anzeigen. Die entsprechende Ausgabe sieht so aus: Showrepl_COLUMNS Destination DC Site Destination DC Naming Context Source DC Site Source DC Transport Type Number of Failures Last Failure Time Last Success Time Last Failure Status Mit dem folgenden Verfahren können Sie eine solche Ausgabe generieren: Erweiterte Ausgabe mit repadmin /showrepl 1. Öffnen Sie eine Eingabeaufforderung. 2. Geben Sie den folgenden Befehl ein, und drücken Sie dann die EINGABETASTE: repadmin /showrepl * /csv >showrepl.csv 3. Öffnen Sie Microsoft Excel. 4. Klicken Sie im Menü Datei auf Öffnen, und öffnen Sie die Datei showrepl.csv. Die letzte erfolgreiche Replikation sollte mit dem Zeitplan für die Replikation zwischen Standorten übereinstimmen. Wenn Repadmin eine der folgenden Informationen ausgibt, fahren Sie mit dem Abschnitt Fehlersuche bei Active Directory-Replikationsproblemen fort: Die letzte erfolgreiche Replikation zwischen Standorten war vor der letzten geplanten Replikation. Die letzte Replikation zwischen Standorten ist länger als eine Stunde her. Es gab keine erfolgreiche Replikation. Siehe auch Fehlersuche bei Active Directory-Replikationsproblemen Einen Domänencontroller wieder mit dem Netzwerk verbinden Wenn der Domänencontroller nicht für länger als dem maximal möglichen Zeitraum vom Netzwerk getrennt war (Tombstone-Lebensdauer minus Replikationsdauer), ist keine weitere Aktion notwendig. Standardmäßig wird der KCC fünf Minuten nach dem Start des Domänencontrollers ausgeführt. Er integriert den Domänencontroller automatisch in die Replikationstopologie. Verbinden eines veralteten Domänencontrollers Wenn Sie einen veralteten Domänencontroller mit dem Netzwerk verbinden möchten, gehen Sie folgendermaßen vor: Wenn es sich um einen Domänencontroller unter Windows Server 2003 handelt und ein autorisierender Domänencontroller unter Windows Server 2003 am Standort oder einem Nachbarstandort verfügbar ist, führen Sie die Schritte aus dem Abschnitt Entfernen von veralten Objekten mithilfe von Repadmin aus. Wenn es sich um einen Domänencontroller unter Windows Server 2003 handelt und ein autorisierender Domänencontroller unter Windows Server 2003 verfügbar ist, verbinden Sie den Domänencontroller mit dem Netzwerk und führen Sie die Schritte aus dem Knowledge Base-Artikel 314282 unter http://go.microsoft.com/fwlink/?LinkId=37924 aus. Wenn es sich um einen Domänencontroller unter Windows 2000 Server handelt und ein anderer Domänencontroller verfügbar ist, verbinden Sie den Domänencontroller nicht mit dem Netzwerk. Entfernen Sie Active Directory von diesem Domänencontroller, führen Sie eine Bereinigung der Metadaten aus, und installieren Sie Active Directory neu. (Das Entfernen eines Domänencontrollers erzwingen und Installieren eines Domänencontrollers in einer bestehenden Domäne). Wenn es sich um einen Domänencontroller unter Windows 2000 Server handelt und kein anderer Domänencontroller verfügbar ist, führen Sie die Schritte aus dem Knowledge Base-Artikel 314282 unter http://go.microsoft.com/fwlink/?LinkId=37924 aus. Aktualisierung von SYSVOL Wie im Abschnitt Vorbereiten eines bestehenden Domänencontrollers auf die Ausliefung beschrieben, ist es am besten, die Konsistenz von SYSVOL durch eine Änderung in der Registrierung zu erhalten. In diesem Fall wird SYSVOL beim Neustart automatisch aktualisiert. Wenn Sie eine vollständige Synchronisation von SYSVOL über eine standortübergreifende Replikation vermeiden wollen, müssen Sie vor dem Trennen vom Netzwerk einige vorbereitende Schritte durchführen. Mehr dazu, wie Sie SYSVOL lokal aktualisieren und dafür sorgen, dass nur Änderungen repliziert werden, erfahren Sie im Artikel unter http://go.microsoft.com/fwlink/?LinkId=37924. Damit SYSVOL nach dem Verbinden mit dem Netzwerk so schnell wie möglich repliziert wird, planen Sie die Replikation folgendermaßen: Wenn sich der nächste Replikationspartner für die Domäne an einem anderen Standort befindet, ermitteln Sie den entsprechenden Replikationszeitplan über die Standortverknüpfung. Starten Sie den Domänencontroller dann direkt nach dem Beginn des Replikationszeitraumes. Wenn sich der Partner am Standort befindet überprüfen Sie, ob die Replikation mit dem Partner erfolgreich ist, bevor Sie den Domänencontroller neu starten. Wichtig Kopieren Sie einen veralteten SYSVOL-Ordner nicht mit Tools wie Xcopy oder Robocopy. Dies wird dazu führen, dass die Daten nicht mehr repliziert werden können. Weitere Informationen zu diesem Thema finden Sie unter Wiederherstellen und Wiederaufbauen von SYSVOL. Um diese Aufgabe auszuführen, sind die folgenden Schritte erforderlich: 1. Ermitteln der Tombstone-Lebensdauer der Gesamtstruktur. 2. Stellen Sie fest, ob der maximale Zeitraum für die Trennung vom Netzwerk überschritten wurde oder nicht. 3. Wenn dies nicht der Fall ist, gehen Sie folgendermaßen vor: Wenn es am Standort einen oder mehrere andere autorisierende Domänencontroller für die Domäne gibt, starten Sie den Domänencontroller zu einem beliebigen Zeitpunkt. Wenn es am Standort keine anderen autorisierenden Domänencontroller für die Domäne gibt, gehen sie folgendermaßen vor: Ermitteln, wann die standortübergreifender Replikation startet: Fragen Sie die Replikationseigenschaften der Standortverknüpfung ab, die den Standort mit dem nächsten Standort verbindet, der über einen autorisierenden Domänencontroller für die Domäne verfügt. Starten Sie den Domänencontroller dann direkt nach dem Beginn des Replikationszeitraumes. Wenn der Zeitraum überschritten ist, gehen Sie nach den Schritten im Abschnitt “Verbinden eines veralteten Domänencontrollers” weiter oben vor. 4. Führen Sie nach Abschluss der Replikation die Aufgabe Überprüfen der erfolgreichen Replikation mit einem anderen Domänencontroller aus. Prüfen Sie die Replikation der Domänen-, Konfigurations- und Schemapartition. Wenn es sich um einen globalen Katalog Server handelt, prüfen Sie auch die Replikation aller weiteren Partitionen. Siehe auch Vorbereiten eines bestehenden Domänencontrollers auf die Ausliefung Ermitteln, wann die standortübergreifender Replikation startet Administrative Berechtigungen Um dieses Verfahren durchführen zu können, müssen Sie Mitglied der Gruppe Domänenbenutzer sein. Ermitteln, wann die standortübergreifender Replikation startet 1. Öffnen Sie Active Directory-Standorte und -Dienste. 2. Klicken Sie doppelt auf Sites, doppelt auf Inter-Site Transports und klicken Sie dann auf IP. 3. Klicken Sie mit rechts auf das Standortobjekt, das Sie abfragen möchten, und klicken Sie dann auf Eigenschaften. 4. Klicken Sie auf Zeitplan ändern. Notieren Sie sich den Zeitplan, und klicken Sie dann auf OK. 5. Notieren Sie sich den Wert im Feld Replizieren alle _____ Minuten, und klicken Sie dann auf OK. Entfernen von veralteten Objekten mit Repadmin Dieses Verfahren können Sie ebenfalls ausführen, wenn die Ereignisse 1388 oder 1988 auf einem Domänencontroller aufgetreten sind. Die erforderlichen Informationen finden Sie in den Beschreibungen der Ereignisse. Weitere Informationen zu den Ereignissen finden Sie unter Beheben von Fehlern im Zusammenhang mit zurückgebliebenen Objekten (Ereignis-ID 1388, 1988 und 2042. Wenn Sie dieses Verfahren präventiv durchführen, müssen Sie vorher die folgenden Informationen sammeln: Name des Servers, der möglicherweise über veraltete Objekte verfügt (DNS-Name, DN oder NetBIOS-Name). Die GUID des NTDS Settings-Objekts des Domänencontrollers, der autorisierend für die Domäne ist. Wenn nötig, können Sie mit dem folgenden Verfahren die GUID eines Domänencontrollers ermitteln: Administrative Berechtigungen Um dieses Verfahren ausführen zu können, müssen Sie Mitglied der Gruppe Domänenbenutzer sein. Ermitteln der GUID eines Domänencontrollers 1. Geben Sie den folgenden Befehl ein, und drücken Sie dann die EINGABETASTE: repadmin /showreplDomänencontrollerName Wobei DomänencontrollerName ein NetBIOS-Name sein muss. 2. Ganz am Anfang der Ausgabe finden Sie den Eintrag DC objekt GUID: Administrative Berechtigungen Um dieses Verfahren ausführen zu können, müssen Sie Mitglied der Gruppe DomänenAdmins der Domäne Verzeichnispartition sein. Entfernen von veralteten Objekten mit Repadmin 1. Geben Sie den folgenden Befehl ein, und drücken Sie dann die EINGABETASTE: repadmin /removelingeringobjects ServerName ServerGUID Verzeichnispartition/advisory_mode Parameter Beschreibung ServerName DNS-Name oder DN des Domänencontrollers mit den veralteten Objekten. ServerGUID GUID eines Domänencontrollers, der über eine aktuelle beschreibbare Kopie der Verzeichnispartition verfügt. Verzeichnispartition DN der Domänen-Verzeichnispartition mit veralteten Objekten. Beispiel, DC=RegionalDomänenname,DC=Stammdomäne,DC=com. Führen Sie den Befehl ebenfall gegen die Konfigurationspartition (CN=configuration,DC=Stammdomäne,DC=com) und die Schemapartition (CN=schema,CN=configuration,DC=Stammdomäne) aus. /advisory_mode protokolliert die entfernten Objekte, aber entfernt sie nicht. 2. Wenn Objekte gefunden werden, wiederholen Sie Schritt 1 ohne /advisory_mode und löschen Sie die Objekte. 3. Wiederholen Sie die Schritte 1 und 2 für jeden Domänencontroller, der möglicherweise veraltete Objekte hat. Anmerkung Der Parameter ServerName verwendet die DC_LIST-Syntax für repadmin. Sie können somit * für alle Domänencontroller in der Gesamtstruktur und gc: für alle globalen Katalog Server angeben. Siehe auch Beheben von Fehlern im Zusammenhang mit zurückgebliebenen Objekten (Ereignis-ID 1388, 1988 und 2042) Überprüfen der erfolgreichen Replikation mit einem anderen Domänencontroller Mit dem Befehl repadmin /showrepl können Sie feststellen, ob die Replikation mit einem bestimmten Domänencontroller erfolgreich war. Wenn Sie den Befehl nicht auf dem Domänencontroller ausführen, dessen Replikation Sie testen möchten, können Sie auch einen Ziel-Domänencontroller angeben. Repadmin zeigt unter INBOUND NEIGHBORS die DNs aller Verzeichnispartitionen auf, für die eine eingehende Verzeichnisreplikation versucht wurde - zusammen mit dem Standort und Namen des QuellDomänencontrollers und dem Erfolg oder Misserfolg der Replikation. Die Ausgabe sieht zum Beispiel so aus: Last attempt @ YYYY-MM-DD HH:MM.SS was successful. Last attempt @ [Never] was successful. Wenn @ [Never] angezeigt wird, heißt dies, dass die Partition noch nie erfolgreich repliziert wurde. Administrative Berechtigungen Um das folgende Verfahren ausführen zu können, müssen Sie Mitglied der Gruppe Domänen-Admins auf dem Ziel-Domänencontroller sein. Überprüfen der erfolgreichen Replikation mit einem anderen Domänencontroller 1. Öffnen Sie eine Eingabeaufforderung. 2. Geben Sie den folgenden Befehl ein, und drücken Sie dann die EINGABETASTE: repadmin /showrepl servername /u:domänenname\benutzername /pw:* Parameter Beschreibung servername Name des Ziel-Domänencontrollers. domänenname NetBIOS-Name der Domäne des ZielDomänencontrollers (es ist kein FQDN notwendig). Benutzername Der Name eines administrativen Kontos in der Domäne 3. Wenn Sie zur Eingabe eines Kennwortes aufgefordert werden, geben Sie das Kennwort des Benutzerkontos ein. Repadmin kann außerdem Detailinformationen zur Replikation mit allen Replikationspartnern anzeigen. Die entsprechende Ausgabe sieht so aus: Showrepl_COLUMNS Destination DC Site Destination DC Naming Context Source DC Site Source DC Transport Type Number of Failures Last Failure Time Last Success Time Last Failure Status Mit dem folgenden Verfahren können Sie eine solche Ausgabe generieren: Erweiterte Ausgabe mit repadmin /showrepl 1. Öffnen Sie eine Eingabeaufforderung. 2. Geben Sie den folgenden Befehl ein, und drücken Sie dann die EINGABETASTE: repadmin /showrepl * /csv >showrepl.csv 3. Öffnen Sie Microsoft Excel. 4. Klicken Sie im Menü Datei auf Öffnen, und öffnen Sie die Datei showrepl.csv. Die letzte erfolgreiche Replikation sollte mit dem Zeitplan für die Replikation zwischen Standorten übereinstimmen. Wenn Repadmin eine der folgenden Informationen ausgibt, fahren Sie mit dem Abschnitt Fehlersuche bei Active Directory-Replikationsproblemen fort: Die letzte erfolgreiche Replikation zwischen Standorten war vor der letzten geplanten Replikation. Die letzte Replikation zwischen Standorten ist länger als eine Stunde her. Es gab keine erfolgreiche Replikation. Siehe auch Fehlersuche bei Active Directory-Replikationsproblemen Ausführen einer unbeaufsichtigten Installation von Active Directory Anforderungen Für dieses Verfahren sind die folgenden Tools notwendig: Dcpromo.exe Für dieses Verfahren sind die folgenden Dateien notwendig: Ref.chm (im Ordner Support\Tools der Windows Server 2003-CD) Unattend.txt Antwortdatei. Um diese Aufgabe auszuführen, sind die folgenden Schritte erforderlich: 1. Erstellen einer Antwortdatei für eine Domänencontrollerinstallation 2. Installation von Active Directory mithilfe eine Antwortdatei Siehe auch Einbeziehen von Anwendungspartitionen in die Active Directory-Installation über ein Sicherungsmedium Erstellen einer Antwortdatei für eine Domänencontrollerinstallation Mit diesem Verfahren erstellen Sie eine Antwortdatei, die Sie zur unbeaufsichtigten Installation eines Domänencontrollers verwenden können. Die Antwortdatei enthält möglicherweise sensible Informationen - speichern Sie sie daher an einem sicheren Ort. Administrative Berechtigungen Um dieses Verfahren ausführen zu können, müssen Sie Mitglied der Gruppe Authentifizierte Benutzer auf dem lokalen Computer sein. Erstellen einer Antwortdatei für eine Domänencontrollerinstallation 1. Legen Sie die Windows Server 2003 CD ein, und drücken Sie dabei die HOCHSTELLTASTE, um den automatischen Start der CD zu verhindern. 2. Starten Sie den Windows Explorer, und öffnen Sie den Ordner Support\Tools auf der CD. 3. Klicken Sie auf Tools und dann rechts doppelt auf Deploy.cab. 4. Klicken Sie mit rechts auf Ref.chm, und klicken Sie dann auf Entpacken. 5. Navigieren Sie zu einem passenden Ordner, oder erstellen Sie einen, und klicken Sie dann auf Extract. 6. Öffnen Sie die Datei Ref.chm, die Sie soeben entpackt haben. 7. Klicken Sie auf der Registerkarte Inhalt links doppelt auf Unattend.txt, und klicken Sie dann auf [DCInstall]. 8. Scrollen Sie rechts zu Sample, und kopieren Sie das ganze Beispiel (beginnend mit [DCInstall]). 9. Öffnen Sie Notepad, und fügen Sie das Beispiel ein. 10. Bearbeiten Sie die Textdatei so, dass diese mindestens die folgenden Einträge umfasst (zusätzliche Einträge können Sie Ref.chm entnehmen): [DCINSTALL] UserName=SAM-Kontoname mit Domänen-Admins-Rechten in der Zieldomäne. Password=Kennwort für das Konto. Wenn Sie nichts eintragen, fragt Dcpromo das Kennwort ab. Wird nach der Installation gelöscht. UserDomain=Domänenname für das Konto unter UserName. DatabasePath=Speicherort der Ntds.dit-Datei (standardmäßig %systemroot%\ntds.) Wenn der Eintrag fehlt, wird der Standardpfad verwendet. LogPath=Speicherort der Protokolldateien (standardmäßig %systemroot%\ntds.) Wenn der Eintrag fehlt, wird der Standardpfad verwendet. SYSVOLPath=Speicherort von SYSVOL (standardmäßig %systemroot%\ntds.) Wenn der Eintrag fehlt, wird der Standardpfad verwendet. SafeModeAdminPassword=Kennwort für den Start im Verzeichnisdienstwiederherstellungsmodus. Wenn Sie nichts eintragen, fragt Dcpromo das Kennwort ab. Wird nach der Installation gelöscht. CriticalReplicationOnly=Yes oder no Legt fest, ob der nicht kritische Teil der Replikation übersprungen werden kann, damit Dcpromo fertig gestellt werden kann, bevor die Replikation vollständig ist. SiteName=Name des Active Directory-Standortes. ReplicaOrNewDomain=Entweder Replica für einen neuen Domänencontroller in einer bestehenden Domäne oder NewDomain für den ersten Domänencontroller in einer neuen Domäne. ReplicaDomainDNSName=FQDN der Domäne. ReplicationSourceDC=Name eines bestehend Domänencontrollers, mit dem die erste Replikation ausgeführt wird. Diesen Eintrag können Sie zusammen mit ReplicateFromMedia verwenden, um festzulegen, von welchem Domänencontroller Änderungen repliziert werden. ReplicateFromMedia=Yes zur Installation über ein Sicherungsmedium, no zur Installation mit Replikation. ReplicationSourcePath=Wenn Installation mit Replikation, ist dies der Pfad zur Installations-CD oder -Freigabe. Wenn Installation mit Sicherungsmedium, ist dies der Pfad zur Sicherung. RebootOnSuccess=Yes Wenn der Domänencontroller nach der Installation neu gestartet werden soll. no wenn nicht. Alternativ können Sie NoAndNoPromptEither für einen Neustart ohne Rückfrage verwenden. ApplicationPartitionsToReplicate=Kommangetrennte DNs der Anwendungspartitionen. (* für alle Partitionen). Weitere Informationen finden Sie unter Einbeziehen von Anwendungspartitionen in die Active Directory-Installation über ein Sicherungsmedium. 11. Speichern Sie die Antwortdatei. Siehe auch Einbeziehen von Anwendungspartitionen in die Active Directory-Installation über ein Sicherungsmedium Installation von Active Directory mithilfe eine Antwortdatei Administrative Berechtigungen Um dieses Verfahren ausführen zu können, müssen Sie Mitglied der Gruppe DomänenAdmins der Domäne des zu installierenden Domänencontrollers sein. Installation von Active Directory mithilfe eine Antwortdatei 1. Klicken Sie auf Start, klicken Sie auf Ausführen. Geben Sie dcpromo /answer:antwortdatei ein. Antwortdatei: Pfad zur Antwortdatei inklusive Dateiname. 2. Klicken Sie auf OK. Siehe auch Erstellen einer Antwortdatei für eine Domänencontrollerinstallation Einbeziehen von Anwendungspartitionen in die Active Directory-Installation über ein Sicherungsmedium Überprüfen der Active Directory-Installation Überprüfen der Active DirectoryInstallation Es gibt mehrere Überprüfungen, die Sie auf einem Computer mit neu installiertem Active Directory ausführen können. Wenn alle Überprüfungen erfolgreich abgeschlossen werden, können Sie davon ausgehen, dass der neue Domänencontroller korrekt funktioniert. Anforderungen Die folgenden Tools werden für die entsprechenden Aufgaben empfohlen: Active Directory-Standorte und -Dienste DNS-Verwaltung Ereignisanzeige Netdiag.exe Dcdiag.exe Ntdsutil.exe Um diese Aufgabe auszuführen, sind die folgenden Schritte erforderlich: 1. Ermitteln, ob ein Serverobjekt über Unterobjekte verfügt 2. Überprüfen, ob eine IP-Adresse einem Subnetz entspricht, und Ermitteln der Standortzuordnung Sie müssen prüfen, ob sich der Domänencontroller am richtigen Standort befindet. Sollte dies nicht der Fall sein, können Sie ihn mit dem Snap-In Active DirectoryStandorte und -Dienste an einen anderen Standort verschieben. Anmerkung Im letzten Dialogfenster des Active Directory-Installationsassistent wird der Standort des Domänencontrollers angezeigt. 3. Verschieben eines Serverobjekts in einen neuen Standort 4. Konfiguration von DNS-Weiterleitungen 5. Führen Sie alle Aufgaben aus dem Abschnitt Überprüfung der DNS-Konfiguration aus. 6. Den Status der SYSVOL-Freigabe überprüfen 7. Überprüfung der DNS-Registrierung und -Funktionalität 8. Überprüfen der Domänenmitgliedschaft eines neuen Domänencontrollers 9. Überprüfen der Kommunikation mit anderen Domänencontrollern 10. Überprüfen der Replikation mit anderen Domänencontrollern 11. Überprüfen der Verfügbarkeit der Betriebsmaster Ermitteln, ob ein Serverobjekt über Unterobjekte verfügt Administrative Berechtigungen Um dieses Verfahren ausführen zu können, müssen Sie Mitglied der Gruppe Domänenbenutzer sein. Ermitteln, ob ein Serverobjekt über Unterobjekte verfügt 1. Öffnen Sie Active Directory-Standorte und -Dienste. 2. Erweitern Sie Standorte und den entsprechenden Standort. 3. Erweitern Sie Servers und das entsprechende Serverobjekt. Überprüfen, ob eine IP-Adresse einem Subnetz entspricht, und Ermitteln der Standortzuordnung Mit diesem Verfahren stellen Sie fest, zu welchem Standort ein neuer oder verschobener Server gehört. Administrative Berechtigungen Um dieses Verfahren ausführen zu können, müssen Sie Mitglied der Gruppe Domänenbenutzer sein. Überprüfen, ob eine IP-Adresse einem Subnetz entspricht, und Ermitteln der Standortzuordnung 1. Melden Sie sich lokal am Domänencontroller an. 2. Klicken Sie mit rechts auf Netzwerkumgebung, und klicken Sie dann auf Eigenschaften. 3. Klicken Sie unter Netzwerkverbindungen mit rechts auf LAN Verbindung, und klicken Sie dann auf Eigenschaften. 4. Klicken Sie in den Eigenschaften doppelt auf Internet Protocol (TCP/IP). 5. Berechnen Sie die Adresse des Subnetzes mit der IP-Adresse und der Subnetzmaske, und klicken Sie dann auf OK. 7. Öffnen Sie Active Directory-Standorte und -Dienste. 8. Erweitern Sie Standorte, und klicken Sie dann auf Subnetze. 9. Suchen Sie das Subnetz, das der berechneten Subnetzadresse entspricht. 10. Stellen Sie fest, welchem Standort das Subnetz zugeordnet ist. Verschieben eines Serverobjekts in einen neuen Standort Administrative Berechtigungen Um dieses Verfahren ausführen zu können, müssen Sie Mitglied der Gruppe Organisations-Admins sein. Verschieben eines Serverobjekts in einen neuen Standort 1. Öffnen Sie Active Directory-Standorte und -Dienste. 2. Erweitern Sie Standorte und dann den Standort mit dem Bridgeheadserver. 3. Erweitern Sie Servers. 4. Klicken Sie mit rechts auf den Server, den Sie verschieben möchten, und klicken Sie dann auf Verschieben. 5. Klicken Sie auf den Zielstandort, und klicken Sie dann auf OK. 6. Erweitern Sie das Standortobjekt, an den Sie den Server verschoben haben, und dann den Container Servers. 7. Prüfen Sie, ob der Server hier angezeigt wird. 8. Erweitern Sie das Serverobjekt und prüfen Sie, ob das NTDS-Settings-Objekt vorhanden ist. Der NetLogon-Dienst auf dem Domänencontroller sollte die neuen Informationen innerhalb einer Stunde auf dem DNS registriert haben. Warten Sie eine Stunde, und öffnen Sie dann die Ereignisanzeige auf dem verschobenen Domänencontroller. Prüfen Sie das Verzeichnisprotokoll auf Fehler. NetLogon-Ereignis ID 5774 zeigt an, dass die DNS-Registrierung fehlgeschlagen ist. Konfiguration von DNS-Weiterleitungen Administrative Berechtigungen Um dieses Verfahren ausführen zu können, müssen Sie Mitglied der Gruppe DomänenAdmins sein. Konfiguration von DNS-Weiterleitungen 1. Wenn in Ihrem Netzwerk Stammhinweise als Weiterleitungsmethode verwendet werden, müssen Sie keine weiteren Aktionen ausführen. Stammhinweise werden bei der Installation automatisch konfiguriert. Führen Sie die Aufgabe nicht weiter aus. 2. Öffnen Sie das DNS-Snap-In. 3. Klicken Sie im Konsolenbereich mit rechts auf ComputerName (wobei ComputerName der Name des Domänencontrollers ist), und klicken Sie dann auf Eigenschaften. 4. Klicken Sie auf die Registerkarte Weiterleitungen, und aktivieren Sie Weiterleitungen aktivieren. 5. Geben Sie unter IP-Adresse die IP-Adresse des DNS-Server oder des nächsten Replikationspartners ein, von dem die Domäne delegiert ist. Klicken Sie auf Hinzufügen, und klicken Sie dann auf OK. Überprüfung der DNS-Konfiguration Anforderungen Um die unten beschriebenen Aufgaben ausführen zu können, sind die folgenden Tools notwendig: DNS Snap-In Netzwerkumgebung Um diese Aufgabe auszuführen, sind die folgenden Schritte erforderlich: 1. Erstellen einer Delegierung für einen Domänencontroller Wenn die übergeordnete DNS-Zone einer von diesem DNS-Server gehosteten Zone eine Delegierung für diesen DNS-Server enthält, aktualisieren Sie die IP-Adressen aller Delegierungen mit diesem Verfahren. Wenn die Stammdomäne eine übergeordnete DNS-Domäne hat, führen Sie dieses Verfahren auf einem DNS-Server der übergeordneten Domäne aus. Wenn Sie gerade einen neuen Domänencontroller zu einer untergeordneten Domäne hinzugefügt haben, führen Sie das Verfahren auf einem DNS-Server der übergeordneten Domäne aus. 2. Konfiguration von DNS-Clienteinstellungen 3. Erstellen einer sekundären Zone Erstellen einer Delegierung für einen Domänencontroller Mit diesem Verfahren erstellen Sie in der übergeordneten DNS-Domäne eine Delegierung für einen neuen Domänencontroller, der außerdem DNS-Server ist. Administrative Berechtigungen Um dieses Verfahren ausführen zu können, müssen Sie Mitglied der Gruppe DomänenAdmins sein. Erstellen einer Delegierung für einen Domänencontroller 1. Öffnen Sie das DNS-Snap-In. 2. Navigieren Sie zu UntergeordneteDomäne (wobei UntergeordneteDomäne der Name der untergeordneten Domäne ist). 3. Klicken Sie im Konsolenbereich mit rechts auf UntergeordneteDomäne, und klicken Sie dann auf Eigenschaften. 4. Klicken Sie auf der Registerkarte Nameserver auf Hinzufügen. 5. Geben Sie UntergeordneterDC.UntergeordneteDomäne.ÜbergeordneteDomäne ein. 6. Geben Sie die IP-Adresse ein. Klicken Sie auf Hinzufügen, und klicken Sie dann auf OK. Erstellen einer sekundären Zone Führen Sie dieses Verfahren nur auf neuen Domänencontrollern aus, die gleichzeitig DNS-Server sind und sich nicht in der Stammdomäne der Gesamtstruktur befinden. Administrative Berechtigungen Um dieses Verfahren ausführen zu können, müssen Sie Mitglied der Gruppe DomänenAdmins sein. Erstellen einer sekundären Zone 1. Öffnen Sie das DNS-Snap-In. 2. Klicken Sie im Konsolenbereich mit rechts auf den neuen Domänencontroller und auf Neue Zone. 3. klicken Sie auf Weiter. 4. Wählen Sie Sekundäre Zone, und klicken Sie auf Weiter. 5. Wählen Sie Forward lookup Zone, und klicken Sie auf Weiter. 6. Geben Sie als Zonenname _msdcs.FQDNDerStammdomäne ein, und klicken Sie auf Weiter. 7. Geben Sie die IP-Adressen von mindesten zwei DNS-Servern der Stammdomäne ein, und klicken Sie auf Weiter. 8. Klicken Sie auf Fertig stellen. Konfiguration von DNSClienteinstellungen Administrative Berechtigungen Um dieses Verfahren ausführen zu können, müssen Sie Mitglied der Gruppe DomänenAdmins sein. Konfiguration von DNS-Clienteinstellungen 1. Klicken Sie mit rechts auf Netzwerkumgebung und auf Eigenschaften. 2. Klicken Sie mit rechts auf die Verbindung, mit der der Domänencontroller mit dem Netzwerk verbunden ist. Klicken Sie auf Eigenschaften. 3. Klicken Sie einmal auf Internet Protocol (TCP/IP) und dann auf Eigenschaften. 4. Prüfen Sie, ob Die folgenden DNS-Serveradressen verwenden: aktiviert ist. 5. Wenn sich der neue Domänencontroller in der Stammdomäne befindet, tragen Sie unter Primärer DNS-Server die IP-Adresse eines anderen DNS-Servers der Stammdomäne ein. Versuchen Sie einen Server zu wählen, der sich in der Nähe dieses Servers befindet. Tragen Sie unter Sekundärer DNS-Server die IPAdresse dieses Domänencontrollers ein (so dass er auf sich selbst verweist). Wenn sich der neue Domänencontroller in einer Unterdomäne befindet, tragen Sie unter Primärer DNS-Server die IP-Adresse dieses Domänencontrollers ein (so dass er auf sich selbst verweist). Tragen Sie unter Sekundärer DNS-Server die IP-Adresse eines andern Domänencontrollers in der gleichen Domäne ein. Versuchen Sie einen Server zu wählen, der sich in der Nähe dieses Servers befindet. 6. Klicken Sie auf OK. Den Status der SYSVOL-Freigabe überprüfen Anmerkung Sie müssen dieses Verfahren nicht auf jedem Partner ausführen. Führen Sie jedoch genügend Tests aus, um sicherzustellen, dass die Systemvolumen auf den Partnern nicht beschädigt sind. Administrative Berechtigungen Um die folgenden Schritte ausführen zu können, müssen Sie Mitglied der Gruppe Domänen-Admins oder der Gruppe Organisations-Admins sein. Prüfen des Status der SYSVOL-Freigabe 1. Öffnen Sie die Ereignisanzeige. 2. Klicken Sie auf Dateireplikationsdienst. 3. Suchen Sie nach Ereignis 13516 mit einem Datum und Zeitstempel, der dem Zeitpunkt des Neustarts entspricht. Es kann bis zu 15 Minuten oder mehr dauern, bis das Ereignis angezeigt wird. Ereignis 13508 zeigt an, dass der FRS den Dienst gerade startet. 13509 zeigt an, dass der Dienst erfolgreich gestartet wurde. 4. Prüfen Sie, ob die Freigabe erstellt wurde, indem Sie sich mit net share eine Liste der freigegebenen Ordner anzeigen lassen. 5. Geben Sie den Befehl dcdiag /test:netlogons ein. 6. Suchen Sie nach einem Eintrag, der computername passed test NetLogons lautet. Wenn dieser Eintrag nicht angezeigt wird, gibt es ein Problem mit der Replikation. Der Test überprüft, ob die für die Replikation notwendigen Anmeldeprivilegien vorhanden sind. Wenn der Test fehlschlägt, überprüfen Sie die Berechtigungen für die Freigaben Net Logon und SYSVOL. Überprüfung der DNS-Registrierung und -Funktionalität Administrative Berechtigungen Um die folgenden Schritte ausführen zu können, müssen Sie Mitglied der Gruppe Domänen-Admins oder der Gruppe Organisations-Admins sein. Überprüfung der DNS-Registrierung und -Funktionalität 1. Öffnen Sie eine Eingabeaufforderung. 2. Geben Sie den folgenden Befehl ein, und drücken Sie die EINGABETASTE: netdiag /test:dns Anmerkung Mit /v erhalten Sie mehr Informationen. Wenn DNS korrekt funktioniert, sollte die letzte Zeile so lauten: DNS Test…..: Passed. Überprüfen der Kommunikation mit anderen Domänencontrollern Administrative Berechtigungen Um die folgenden Schritte ausführen zu können, müssen Sie Mitglied der Gruppe Domänenbenutzer sein. Überprüfen der Kommunikation mit anderen Domänencontrollern 1. Öffnen Sie eine Eingabeaufforderung. 2. Geben Sie den folgenden Befehl ein, und drücken Sie die EINGABETASTE: netdiag /test:dsgetdc Anmerkung Mit /v erhalten Sie mehr Informationen. Wenn DNS korrekt funktioniert, sollte die letzte Zeile so lauten: DC discovery test……..: Passed. Überprüfen der Replikation mit anderen Domänencontrollern Diese Tests prüfen verschiedene Aspekte der Replikationstopologie. Außerdem prüfen Sie, ob Objekte repliziert werden und ob die korrekten Anmeldeberechtigungen für die Replikation vorhanden sind. Administrative Berechtigungen Um die folgenden Schritte ausführen zu können, müssen Sie Mitglied der Gruppe Domänen-Admins oder der Gruppe Organisations-Admins sein. Prüfen der Replikation mit anderen Domänencontrollern 1. Öffnen Sie eine Eingabeaufforderung. 2. Geben Sie den folgenden Befehl ein, und drücken Sie dann die EINGABETASTE: dcdiag /test:replications Anmerkung Es steht zusätzlich die Option /v zur Verfügung. Sie zeigt jedoch keine wichtigen Informationen an. 3. Mit dem folgenden Verfahren prüfen Sie, ob die korrekten Berechtigungen für die Replikation vorhanden sind: dcdiag /test:netlogons Alle Tests sollten als erfolgreich angezeigt werden. Überprüfen der Verfügbarkeit der Betriebsmaster Administrative Berechtigungen Um die folgenden Schritte ausführen zu können, müssen Sie Mitglied der Gruppe Domänenbenutzer sein. Anmerkung Sie können diese Tests vor und nach der Installation von Active Directory ausführen. Vor der Installation müssen Sie die Option /s zum Angeben des verwendeten Domänencontrollers nutzen. Nach der Installation ist die Option nicht mehr notwendig. Überprüfen der Verfügbarkeit der Betriebsmaster 1. Öffnen Sie eine Eingabeaufforderung. 2. Geben Sie den folgenden Befehl ein, und drücken Sie die EINGABETASTE: dcdiag /s: Domänencontrollerr /test:knowsofroleholders /verbose wobei Domänencontroller der Name eines Domänencontrollers der Domäne ist, zu der Sie den neuen Domänencontroller hinzufügen möchten. Am Ende der Ausgabe sollte der Test als erfolgreich angezeigt werden. 3. Geben Sie den folgenden Befehl ein, und drücken Sie die EINGABETASTE: dcdiag /s: Domänencontrollerr /test:fsmocheck wobei Domänencontroller der Name eines Domänencontrollers der Domäne ist, zu der Sie den neuen Domänencontroller hinzufügen möchten. Am Ende der Ausgabe sollte der Test als erfolgreich angezeigt werden. Überprüfen der Domänenmitgliedschaft eines neuen Domänencontrollers Anmerkung Mit der Option /v to erhalten Sie eine detailliertere Ausgabe. Administrative Berechtigungen Um dieses Verfahren ausführen zu können, müssen Sie Mitglied der Gruppe Domänenbenutzer sein. Überprüfen der Domänenmitgliedschaft eines neuen Domänencontrollers 1. Öffnen Sie eine Eingabeaufforderung. 2. Geben Sie den folgenden Befehl ein, und drücken Sie die EINGABETASTE: netdiag /test:member 3. Wenn der Test erfolgreich ist, sollte die folgende Ausgabe angezeigt werden: Domain membership test Passed. Umbenennen eines Domänencontrollers Unter Windows Server 2003 haben Sie im Gegensatz zu Windows 2000 Server die Möglichkeit, einen Domänencontroller umzubenennen. Ihnen stehen somit die folgenden Optionen offen: Restrukturierung Ihres Netzwerkes. Einfachere Verwaltung und administrative Kontrolle. Das Umbenennen von Domänencontrollern ist in vielen Organisationen eine häufig genutzte Praxis. Es geschieht zum Beispiel in den folgenden Situationen: Bestehende Hardware eines Domänencontrollers wird durch neue ersetzt. Domänencontroller werden außer Betrieb gestellt oder entsprechen nicht mehr den Namenskonventionen. Domänencontroller werden an andere Standorte verschoben. Anmerkung Das Umbenennen von Domänencontrollern hat primär Auswirkungen auf die Administration - nicht auf den Zugriff durch Clients. Sie können einen Domänencontroller zwar wie jeden anderen Computer auch über die Systemeigenschaften umbenennen, aber mit diesem Verfahren kann es durch die Active Directory- und DNS-Replikationslatenz zu einem temporären Ausfall des entsprechenden Domänencontrollers für die Benutzer kommen. Wenn Sie das Tool Netdom für diesen Vorgang verwenden, vermeiden Sie einen solchen Ausfall. Anforderungen Um die unten beschriebenen Aufgaben ausführen zu können, sind die folgenden Tools notwendig: Systemeigenschaften oder Netdom.exe Ldp.exe oder Adsiedit.msc Wenn Sie Netdom nutzen möchten, muss die Funktionsebene der Domäne Windows Server 2003 sein. Die folgenden Aufgaben sind für dieses Verfahren notwendig: 1. Umbenennen eines Domänencontrollers über die Systemeigenschaften 2. Aktualisieren des FRS-Mitgliedobjektes oder 1. Umbenennen eines Domänencontrollers mithilfe von Netdom 2. Aktualisieren des FRS-Mitgliedobjektes Umbenennen eines Domänencontrollers über die Systemeigenschaften Administrative Berechtigungen Um dieses Verfahren ausführen zu können, müssen Sie Mitglied der Gruppe DomänenAdmins oder der Gruppe Organisations-Admins sein. Umbenennen eines Domänencontrollers über die Systemeigenschaften 1. Klicken Sie auf Start, und klicken Sie dann auf Systemsteuerung. 2. Klicken Sie doppelt auf Systemeigenschaften. 3. Klicken Sie auf Ändern. 4. Klicken Sie auf OK. 5. Geben Sie den neuen Namen ein. 6. Klicken Sie auf OK. 7. Wenn Sie dazu aufgefordert werden, geben Sie den Benutzernamen und das Kennwort eines Administrators an, der Mitglied der Gruppe Domänen-Admins oder Unternehmens-Admins ist. Siehe auch Umbenennen eines Domänencontrollers mithilfe von Netdom Umbenennen eines Domänencontrollers mithilfe von Netdom Netdom aktualisiert die SPN-Attribute des Computerkontos in Active Directory und registriert DNS-Ressourceneinträge für den neuen Computernamen. Der SPN-Wert muss an alle Domänencontroller der Domäne repliziert werden, und die DNS-Einträge müssen an alle autorisierenden DNS-Server der DNS-Domäne übermittelt werden. Administrative Berechtigungen Um dieses Verfahren ausführen zu können, müssen Sie Mitglied der Gruppe DomänenAdmins oder Organisations-Admins sein Umbenennen eines Domänencontrollers mithilfe von Netdom 1. Öffnen Sie die Eingabeaufforderung. 2. Geben Sie Folgendes ein: netdom computername AktuellerComputername /add:NeuerComputername Dieser Befehl aktualisiert die Attribute für den Dienstprinzipalnamen (Service Principal Name, SPN) in Active Directory für dieses Computerkonto und registriert DNS-Ressourceneinträge für den neuen Computernamen. Der SPN-Wert des Computerkontos muss auf alle Domänencontroller für die Domäne repliziert werden, und die DNS-Ressourceneinträge für den neuen Computernamen müssen an alle autorisierenden DNS-Server für den Domänennamen verteilt werden. Falls die Updates und Registrierungen nicht vor dem Löschen des alten Computernamens vorgenommen werden, können manche Clients diesen Computer unter Verwendung des neuen oder alten Namens möglicherweise nicht mehr auffinden. 3. Vergewissern Sie sich, dass die Updates der Computerkonten und die DNSRegistrierungen abgeschlossen sind, und geben Sie dann Folgendes ein: netdom computername AktuellerComputername /makeprimary:NeuerComputername 4. Starten Sie den Computer neu. 5. Geben Sie Folgendes an der Eingabeaufforderung ein: netdom computername NeuerComputername /remove:AlterComputername Wert Beschreibung AktuellerComputername Der aktuelle oder primäre Computername bzw. die IPAdresse des Computers, den Sie umbenennen. NeuerComputername Der neue Name für den Computer. NeuerComputername muss ein voll qualifizierter Domänenname (Fully Qualified Domain Name, FQDN) sein. Das primäre DNS-Suffix, das im FQDN für NeuerComputername angegeben wird, muss mit dem primären DNS-Suffix von AktuellerComputername identisch sein, oder es muss in der Liste der zulässigen DNS-Suffixe, die für das domainDns-Objekt im msDSAllowedDNSSuffixes-Attribut definiert sind, vorhanden sein. AlterComputername Der alte Name des umbenannten Computers. Siehe auch Umbenennen eines Domänencontrollers über die Systemeigenschaften Aktualisieren des FRS-Mitgliedobjektes Administrative Berechtigungen Um dieses Verfahren ausführen zu können, müssen Sie Mitglied der Gruppe DomänenAdmins oder der Gruppe Organisations-Admins sein. Aktualisieren des FRS-Mitgliedobjektes 1. Suchen Sie das Computerobjekte des umbenannten Domänencontrollers mithilfe von Ldp.exe (oder ADSI-Edit). 2. Führen Sie eine rekursive Suche nach dem Objekttyp nTFRSSubscriber und dem Computernamen “Domain System Volume (SYSVOL share)” unter dem Computerobjekt aus. 3. Der Suchfilter lautet: “(&((cn=Domain System Volume (SYSVOL share))(objectclass=ntfrssubscriber)))”. 4. Suchen Sie das Attribut fRSMemberReference des von der Suche zurückgegebenen Objektes. 5. Suchen Sie das Objekt, dessen Domänenname im Attribut fRSMemberReference hinterlegt ist - dieses Objekt gehört zum umbenannten Domänencontroller. 6. Ändern Sie den Computernamen des Ntfrsmember-Objektes auf den neuen Namen des Domänencontrollers. Dekomissionierung eines Domänencontrollers Anforderungen Um die unten beschriebenen Aufgaben ausführen zu können, sind die folgenden Tools notwendig: Ntdsutil.exe Active Directory-Domänen und -Vertrauensstellungen Active Directory-Benutzer und -Computer Active Directory-Standorte und -Dienste Netdiag.exe Dcdiag.exe Um diese Aufgabe auszuführen, sind die folgenden Schritte erforderlich: 1. Anzeigen der aktuellen Betriebsmaster Übertragen Sie alle Betriebsmasterrollen auf einen anderen Domänencontroller, bevor Sie den Active Directory-Installationsassistent ausführen und den Domänencontroller zurückstufen. Vorsicht Der Active Directory-Installationsassistent versucht, alle verbliebenen Betriebsmasterrollen ohne einen Eingriff des Benutzers zu übertragen. Wenn dies fehlschlägt, fährt er trotzdem mit der Zurückstufung des Domänencontrollers fort. Sie haben außerdem keine Kontrolle darüber, an welchen Domänencontroller die Rollen übertragen werden, und der Assistent informiert Sie auch nicht darüber, wer neuer Betriebsmaster ist. 2. Übertragen der Rolle Schemamaster 3. Übertragen der Rolle Domänennamensmaster 4. Übertragen der domänenbezogenen Betriebsmasterrollen 5. Feststellen, ob ein Domänencontroller ein globaler Katalogserver ist Wenn Sie einen Domänencontroller zurückstufen, der globaler Katalog ist, weist der Active Directory-Installationsassistent Sie darauf hin, und Sie müssen diesen Vorgang explizit bestätigen. Entfernen Sie nicht den einzigen globalen Katalog einer Umgebung. Ohne globalen Katalog Server können sich keine Benutzer anmelden. 6. Überprüfung der DNS-Registrierung und -Funktionalität 7. Überprüfen der Kommunikation mit anderen Domänencontrollern Während der Zurückstufung ist es notwendig, dass eine Kommunikation mit anderen Domänencontrollern möglich ist: Alle noch nicht replizierten Änderungen müssen repliziert werden. Der Domänencontroller muss aus dem Verzeichnis entfernt werden. Betriebsmasterrollen müssen übertragen werden. Wenn der Domänencontroller nicht mit anderen Domänencontrollern kommunizieren kann, schlägt der Vorgang fehl. 8. Überprüfen der Verfügbarkeit der Betriebsmaster 9. Deinstallation von Active Directory 10. Ermitteln, ob ein Serverobjekt über Unterobjekte verfügt 11. Löschen eines Serverobjektes aus einem Standort Anmerkung Sollte der Server andere Anwendungen hosten (zum Beispiel Microsoft Exchange), kann es sein, dass das Serverobjekt bestehen bleiben muss. Anzeigen der aktuellen Betriebsmaster Nachdem Sie Rollen übertragen haben, sollten Sie überprüfen, dass dies funktioniert hat. Die Änderung muss auf alle relevanten Domänenmitglieder repliziert werden, damit sie tatsächlich effektiv wird. Sie können die aktuellen Betriebsmaster mit Ntdsutil.exe anzeigen. Administrative Berechtigungen Um die folgenden Schritte ausführen zu können, müssen Sie als Benutzer oder Administrator angemeldet sein. Anzeigen der aktuellen Betriebsmaster 1. Öffnen Sie die Eingabeaufforderung. 2. Geben Sie Folgendes ein: ntdsutil 3. Geben Sie Folgendes an der ntdsutil-Eingabeaufforderung ein: roles 4. Geben Sie Folgendes an der fsmo maintenance-Eingabeaufforderung ein: connections 5. Geben Sie Folgendes an der server connections-Eingabeaufforderung ein: connect to server Domänencontroller. Wobei Domänencontroller ein Domänencontroller ist, der zu der Domäne mit den gesuchten Betriebsmastern gehört. 6. Geben Sie Folgendes an der server connections-Eingabeaufforderung ein: quit 6. Geben Sie Folgendes ein: select operation target 7. Geben Sie Folgendes ein: list roles for connected server Es wird eine Liste mit den aktuellen Rollen und dem LDAP-Namen ausgegeben. Übertragen der Rolle Schemamaster Wenn das Schema-Snap-In noch nicht installiert ist, führen Sie erst die Schritte aus dem Abschnitt Installation des Schema-Snap-Ins aus. Anmerkung Dieses Verfahren beschreibt die Verwendung der MMC. Es kann jedoch auch mithilfe von Ntdsutil.exe ausgeführt werden. Weitere Informationen dazu erhalten Sie, wenn Sie ? in der Ntdsutil.exe-Eingabeaufforderung eingeben. Administrative Berechtigungen Um dieses Verfahren ausführen zu können, müssen Sie Mitglied der Gruppe SchemaAdmins sein. Übertragen der Rolle Schemamaster 1. Öffnen Sie das Active Directory-Schema-Snap-In. 2. Klicken Sie in der Konsolenstruktur mit der rechten Maustaste auf Active Directory-Schema, und klicken Sie dann auf Domänencontroller ändern. 3. Klicken Sie auf Namen angeben, und geben Sie den Namen des Domänencontrollers ein, der die Rolle des Schemamasters haben soll. 4. Klicken Sie in der Konsolenstruktur mit der rechten Maustaste auf Active Directory-Schema und dann auf Betriebsmaster. 5. Klicken Sie auf Ändern. Übertragen der Rolle Domänennamensmaster Anmerkung Dieses Verfahren beschreibt die Verwendung der MMC. Es kann jedoch auch mithilfe von Ntdsutil.exe ausgeführt werden. Weitere Informationen dazu erhalten Sie, wenn Sie ? in der Ntdsutil.exe-Eingabeaufforderung eingeben. Administrative Berechtigungen Um dieses Verfahren ausführen zu können, müssen Sie Mitglied der Gruppe Organisations-Admins sein. Übertragen der Rolle Domänennamensmaster 1. Öffnen Sie Active Directory-Domänen und -Vertrauensstellungen. 2. Klicken Sie in der Konsolenstruktur mit der rechten Maustaste auf Active Directory-Domänen und -Vertrauensstellungen, und klicken Sie dann auf Verbindung mit Domänencontroller herstellen. 3. Geben Sie in das Feld Geben Sie den Namen eines weiteren Domänencontrollers ein den Namen des Domänencontrollers ein, der die Rolle des Domänennamenmasters haben soll. Oder klicken Sie in der Liste mit den verfügbaren Domänencontrollern auf den gewünschten Domänencontroller. 4. Klicken Sie in der Konsolenstruktur mit der rechten Maustaste auf Active Directory-Domänen und -Vertrauensstellungen, und klicken Sie dann auf Betriebsmaster. 5. Klicken Sie auf Ändern. Übertragen der domänenbezogenen Betriebsmasterrollen Mit diesem Verfahren übertragen Sie die Rollen PDC-Emulator, RID-Master und Infrastrukturmaster. Anmerkung Dieses Verfahren beschreibt die Verwendung der MMC. Es kann jedoch auch mithilfe von Ntdsutil.exe ausgeführt werden. Weitere Informationen dazu erhalten Sie, wenn Sie ? in der Ntdsutil.exe-Eingabeaufforderung eingeben. Administrative Berechtigungen Um die folgenden Schritte ausführen zu können, müssen Sie Mitglied der Gruppe Domänen-Admins oder der Gruppe Organisations-Admins sein. Übertragen der domänenbezogenen Betriebsmasterrollen 1. Öffnen Sie Active Directory-Benutzer und -Computer. 2. Klicken Sie in der Konsolenstruktur mit der rechten Maustaste auf Active Directory-Benutzer und -Computer, und klicken Sie dann auf Verbindung mit Domänencontroller herstellen. 3. Geben Sie in das Feld Geben Sie den Namen eines weiteren Domänencontrollers ein den Namen des Domänencontrollers ein, der die Rolle des RID-Masters haben soll. Oder klicken Sie in der Liste mit den verfügbaren Domänencontrollern auf den gewünschten Domänencontroller. 4. Klicken Sie in der Konsolenstruktur mit der rechten Maustaste auf Alle Tasks, und klicken Sie dann auf Betriebsmaster. 5. Klicken Sie auf die Rolle, die übertragen werden soll, und dann auf Ändern. Feststellen, ob ein Domänencontroller ein globaler Katalog Server ist Mit dem NTDS-Settings-Objekt können Sie festlegen, ob ein Domänencontroller ein globaler Katalog ist oder nicht. Administrative Berechtigungen Um dieses Verfahren durchführen zu können, müssen Sie Mitglied der Gruppe Domänen-Admins sein. Feststellen, ob ein Domänencontroller ein globaler Katalogserver ist 1. Öffnen Sie Active Directory-Standorte und -Dienste. 2. Erweitern Sie den Container Standorte und den Standort, in dem sich der betreffende Domänencontroller befindet. Erweitern Sie den Container Servers und das Server-Objekt. 3. Klicken Sie mit rechts auf das NTDS-Settings-Objekt und dann auf Eigenschaften. 4. Wenn auf der Registerkarte Allgemein das Feld Globaler Katalog ausgewählt ist, arbeitet der Domänencontroller als globaler Katalog Server. Überprüfung der DNS-Registrierung und -Funktionalität Administrative Berechtigungen Um die folgenden Schritte ausführen zu können, müssen Sie Mitglied der Gruppe Domänen-Admins oder der Gruppe Organisations-Admins sein. Überprüfung der DNS-Registrierung und -Funktionalität 1. Öffnen Sie eine Eingabeaufforderung. 2. Geben Sie den folgenden Befehl ein, und drücken Sie die EINGABETASTE: netdiag /test:dns Anmerkung Mit /v erhalten Sie mehr Informationen. Wenn DNS korrekt funktioniert, sollte die letzte Zeile so lauten: DNS Test…..: Passed. Überprüfen der Kommunikation mit anderen Domänencontrollern Administrative Berechtigungen Um die folgenden Schritte ausführen zu können, müssen Sie Mitglied der Gruppe Domänenbenutzer sein. Überprüfen der Kommunikation mit anderen Domänencontrollern 1. Öffnen Sie eine Eingabeaufforderung. 2. Geben Sie den folgenden Befehl ein, und drücken Sie die EINGABETASTE: netdiag /test:dsgetdc Anmerkung Mit /v erhalten Sie mehr Informationen. Wenn DNS korrekt funktioniert, sollte die letzte Zeile so lauten: DC discovery test……..: Passed. Überprüfen der Verfügbarkeit der Betriebsmaster Administrative Berechtigungen Um die folgenden Schritte ausführen zu können, müssen Sie Mitglied der Gruppe Domänenbenutzer sein. Anmerkung Sie können diese Tests vor und nach der Installation von Active Directory ausführen. Vor der Installation müssen Sie die Option /s zum Angeben des verwendeten Domänencontrollers nutzen. Nach der Installation ist die Option nicht mehr notwendig. Überprüfen der Verfügbarkeit der Betriebsmaster 1. Öffnen Sie eine Eingabeaufforderung. 2. Geben Sie den folgenden Befehl ein, und drücken Sie die EINGABETASTE: dcdiag /s: Domänencontrollerr /test:knowsofroleholders /verbose wobei Domänencontroller der Name eines Domänencontrollers der Domäne ist, zu der Sie den neuen Domänencontroller hinzufügen möchten. Am Ende der Ausgabe sollte der Test als erfolgreich angezeigt werden. 3. Geben Sie den folgenden Befehl ein, und drücken Sie die EINGABETASTE: dcdiag /s: Domänencontrollerr /test:fsmocheck wobei Domänencontroller der Name eines Domänencontrollers der Domäne ist, zu der Sie den neuen Domänencontroller hinzufügen möchten. Am Ende der Ausgabe sollte der Test als erfolgreich angezeigt werden. Deinstallation von Active Directory Um Active Directory über den Active Directory-Installationsassistent zu entfernen, müssen Sie das Kennwort des lokalen Administratorkontos kennen. Administrative Berechtigungen Um dieses Verfahren ausführen zu können, müssen Sie Mitglied der Gruppe DomänenAdmins sein. Deinstallation von Active Directory 1. Klicken Sie auf Start, klicken Sie auf Ausführen, geben Sie dcpromo ein, und klicken Sie dann auf OK. 2. Klicken Sie auf Weiter. 3. Wenn Sie Dieses Server ist der letzte Domänencontroller der Domäne auswählen, versucht der Assistent, die Domäne aus der Gesamtstruktur zu entfernen. Deaktivieren Sie die Option. Klicken Sie auf Weiter. 4. Geben Sie das Kennwort für das lokale Administratorkonto ein. Klicken Sie auf Weiter. 5. Klicken Sie dann auf Weiter. 6. Klicken Sie auf Finish. 7. Klicken Sie auf Neustart. Ermitteln, ob ein Serverobjekt über Unterobjekte verfügt Administrative Berechtigungen Um dieses Verfahren ausführen zu können, müssen Sie Mitglied der Gruppe Domänenbenutzer sein. Ermitteln, ob ein Serverobjekt über Unterobjekte verfügt 1. Öffnen Sie Active Directory-Standorte und -Dienste. 2. Erweitern Sie Standorte und den entsprechenden Standort. 3. Erweitern Sie Servers und das entsprechende Serverobjekt. Löschen eines Serverobjektes aus einem Standort Wenn es unter dem Server in Active Directory-Standorte und -Dienste keine Unterobjekte mehr gibt, können Sie das Serverobjekt entfernen. Administrative Berechtigungen Um dieses Verfahrung durchführen zu können, müssen Sie Mitglied der Gruppe Domänen-Admins sein. Löschen eines Serverobjektes aus einem Standort 1. Öffnen Sie Active Directory-Standorte und -Dienste. 2. Erweitern Sie Standorte und den Standort, aus dem Sie den Server löschen möchten. 3. Wenn es keine Objekte unter dem Server gibt, klicken Sie mit rechts auf den Server, und klicken Sie dann auf Löschen. Wichtig Löschen Sie keinen Server mit untergeordneten Objekten. 4. Klicken Sie auf Ja. Das Entfernen eines Domänencontrollers erzwingen Das Erzwingen der Entfernung eines Domänencontrollers ist die letzte Möglichkeit, mit der Sie eine Neuinstallation des Betriebssystems auf dem nicht wieder herstellbaren Domänencontroller vermeiden können. Wenn ein Domänencontroller nicht in Betrieb ist, können Sie Active Directory nicht auf die normale Art und Weise entfernen. Hierzu wäre eine Verbindung mit der Domäne notwendig. Active Directory speichert einige Metadaten zu Domänencontrollern. Während der normalen Zurückstufung eines Domänencontrollers werden diese Metadaten mithilfe anderer Domänencontroller der gleichen Domäne entfernt. Wenn Sie das Zurückstufen jedoch erzwingen, wird dieser Schritt nicht durchgeführt. Daher sollten Sie nach einem solchen Schritt immer eine Bereinigung der Metadaten durchführen. Auf dem letzten Domänencontroller einer Domäne sollten Sie die Zurückstufung auf keinen Fall erzwingen. Anforderungen Um die unten beschriebenen Aufgaben ausführen zu können, sind die folgenden Tools notwendig: Active Directory-Standorte und -Dienste Dcpromo.exe Ntdsutil.exe Um diese Aufgabe auszuführen, sind die folgenden Schritte erforderlich: 1. Identifizieren der Replikationspartner. Sie müssen in Schritt 3 zum Bereinigen der Metadaten auf einen dieser Domänencontroller zugreifen. 2. Erzwingen der Zurückstufung des Domänencontrollers 3. Bereinigen der Metadaten Identifizieren der Replikationspartner Mit diesem Verfahren überprüfen Sie die Verbindungsobjekte eines Domänencontrollers und ermitteln seine Replikationspartner fest. Administrative Berechtigungen Damit Sie dieses Verfahren durchführen können, müssen Sie Mitglied der Gruppe Domänen-Admins sein. Identifizieren von Replikationspartnern 1. Öffnen Sie Active Directory-Standorte und -Dienste. 2. Erweitern Sie den Container Standorte. 3. Klicken Sie doppelt auf den Standort, in dem sich der Domänencontroller befindet. Anmerkung Wenn Sie nicht wissen, wo sich der Domänencontroller befindet, geben Sie in einer Eingabeaufforderung den Befehl ipconfig ein und fragen so die IP-Adresse des Domänencontrollers ab. Vergleichen Sie die IPAdresse mit den Subnetzen, und ermitteln Sie so den Standort. 4. Erweitern Sie den Ordner Server. 5. Erweitern Sie den Namen des Domänencontrollers. 6. Klicken Sie doppelt auf NTDSSettings, um die Verbindungsobjekte anzuzeigen (angezeigt werden die für die Replikation verwendeten eingehenden Verbindungen). In der Spalte Von Server finden Sie die Namen der Replikationspartner. Erzwingen der Zurückstufung des Domänencontrollers Administrative Berechtigungen Um dieses Verfahren ausführen zu können, müssen Sie Mitglied der Gruppe DomänenAdmins sein. Erzwingen der Zurückstufung des Domänencontrollers 1. Klicken Sie auf Start, klicken Sie auf Ausführen, geben Sie den folgenden Befehl ein, und drücken Sie die EINGABETASTE: Dcpromo /forceremoval 2. Klicken Sie auf Weiter. 3. Klicken Sie auf Weiter. 4. Geben Sie das Kennwort für das lokale Administratorkonto an. Klicken Sie dann auf Weiter. 5. Klicken Sie auf Weiter. Bereinigen der Metadaten Die Bereinigung der Metadaten wird mit Ntdsutil.exe durchgeführt. Es entfernt alle Daten aus Active Directory, die einen Domänencontroller identifizieren. Unter Windows Server 2003 Service Pack 1 (SP1) entfern das Verfahren außerdem automatisch FRS-Verbindungen und versucht, alle Betriebsmasterrollen, die der alte Domänencontroller innehatte, zu übertragen oder zu übernehmen. Administrative Berechtigungen Um das Verfahren durchführen zu können, müssen Sie Mitglied der Gruppe Organisations-Admins sein. Bereinigen der Metadaten 1. Öffnen Sie eine Eingabeaufforderung. 2. Geben Sie den folgenden Befehl ein, und drücken Sie dann die EINGABETASTE: ntdsutil 3. Führen Sie den folgenden Befehl aus: metadata cleanup Wenn Sie Ntdsutil.exe unter Windows Server 2003 SP1 nutzen, führen Sie den folgenden Befehl aus: remove selected server ServerName oder remove selected server ServerName1 on ServerName2 Wert Beschreibung ServerName, ServerName1 DNs der Domänencontroller, dessen Metadaten Sie löschen wollen. (cn=ServerName,cn=Servers,cn=Standortname, cn=Sites,cn=Configuration,dc=Stammdomäne ServerName2 DNS-Name des Domänencontrollers, von dem Sie die Metadaten entfernen möchten. Wenn Sie Ntdsutil.exe unter Windows Server 2003 ohne SP ausführen, gehen Sie folgendermaßen vor: a. Geben Sie den folgenden Befehl ein: connection b. Geben Sie den folgenden Befehl ein: connect to server Server c. Geben Sie den folgenden Befehl ein: quit d. Geben Sie den folgenden Befehl ein: select operation target e. Geben Sie den folgenden Befehl ein: list sites Eine Liste mit Standorten wird angezeigt. f. Geben Sie den folgenden Befehl ein: select site Standortnummer g. Geben Sie den folgenden Befehl ein: list domains in site Es sollte eine Liste mit den Domänen am ausgewählten Standort angezeigt werden. h. Geben Sie den folgenden Befehl ein: select domain Domänennummer i. Geben Sie den folgenden Befehl ein: list servers in site Eine Liste mit Servern wird angezeigt. j. Geben Sie den folgenden Befehl ein: select server ServerNummer k. Geben Sie den folgenden Befehl ein: quit l. Geben Sie den folgenden Befehl ein: remove selected server Nun sollte Active Directory bestätigen, dass der Domänencontroller entfernt wurde. 5. Geben Sie quit ein. Zusätzliche Ressourcen zur Administration von Active Directory Allgemeine Informationen zur Arbeitsweise von Active Directory und zur Bereitstellung, Überwachung und Delegierung finden Sie unter den folgenden Quellen: Active Directory Technical Reference unter http://go.microsoft.com/fwlink/?LinkId=26094 Designing and Deploying Directory and Security Services unter http://go.microsoft.com/fwlink/?LinkId=27638 “Monitoring Active Directory Health” unter http://go.microsoft.com/fwlink/?LinkId=43127 Best Practices for Delegating Active Directory Administration unter http://go.microsoft.com/fwlink/?LinkId=46579 Detaillierte Informationen zur Fehlersuche finden Sie unter den folgenden Quellen: Troubleshooting Active Directory Operations Identity and Directory Services Community unter http://go.microsoft.com/fwlink/?LinkId=20151 Windows Server Active Directory Newsgroup unter http://go.microsoft.com/fwlink/?LinkId=43065 Entwicklerinformationen finden Sie unter den folgenden Quellen: Active Directory Platform SDK unter http://go.microsoft.com/fwlink/?linkid=142 Lightweight Directory Access Protocol Platform SDK unter http://go.microsoft.com/fwlink/?LinkID=2972 RFCs und Internet-Drafts unter Internet Engineering Task Force Web site (http://go.microsoft.com/fwlink/?LinkID=121 Behebung von Fehlern beim Betrieb von Active Directory In diesem Kapitel finden Sie Informationen zur Fehlersuche und der Behebung von Fehlern in Bezug auf Active Directory unter Microsoft Windows Server 2003 und Windows Server 2003 Service Pack 1 (SP1). Das Kapitel setzt sich aus den folgenden Abschnitten zusammen: Konfiguration eines Computers für die Active Directory-Fehlersuche Fehlersuche bei Active Directory-Replikationsproblemen Zusätzliche Ressourcen zur Active Directory-Fehlersuche Dieses Kapitel konzentriert sich hauptsächlich auf die Reaktion auf Ereignisse im Verzeichnisprotokoll, die durch Repadmin.exe und Dcdiag.exe erstellt werden. Für bessere Diagnosemöglichkeiten durch die Windows Support Tools und Ntdsutil.exe wird die Installation von Windows Server 2003 SP1 empfohlen. Danksagung Technisches Review: Arren Conner, Gregory Johnson, Rob Kochman, Ajit Krishnan, Dave Tesar Konfiguration eines Computers für die Active Directory-Fehlersuche Bevor Sie mit einer detaillierten Fehlersuche beginnen können, müssen Sie den Computer entsprechend konfigurieren und benötigen ein grundlegendes Verständnis zu den Konzepten, Verfahren und Tools, die mit der Fehlersuche unter Windows Server 2003 im Zusammenhang stehen. Weitere Informationen zu den Überwachungstools für Windows Server 2003 finden Sie unter http://go.microsoft.com/fwlink/?LinkId=59526. Konfigurationsschritte für die Fehlersuche Die folgenden Aufgaben sollten Sie ausführen: Installation von Windows Server 2003 SP1 Installation der Windows Support Tools Installation des Netzwerkmonitors Definieren des Protokollierungslevels Installation von Windows Server 2003 SP1 Wenn möglich, aktualisieren Sie die Domänencontroller auf Windows Server 2003 Service Pack 1 (SP1). Installation der Windows Support Tools Um die Diagnosemöglichkeiten zu verbessern, sollten Sie die Windows Support Tools von Windows Server 2003 SP1 installieren. Zur SP1-Version der Windows Support Tools gehören verbesserte Versionen von Dcdiag.exe und Repadmin.exe. Optionen für das Ausführen der SP1-Windows Support Tools Unter den folgenden Betriebssystemen können Sie die Windows Support Tools von Windows Server 2003 SP1 ausführen: Windows Server 2003 mit SP1 Windows Server 2003 ohne SP1 Einige Tools, wie Repadmin.exe und Dcdiag.exe, können auch unter Windows XP Professional, Windows XP Professional SP1 und Windows XP Professional Service Pack 2 (SP2) ausgeführt werden. Optionen für die Installation der SP1-Windows Support Tools Sie können die SP1-Version der Windows Support Tools als .msi-Paket nur unter Windows Server 2003 SP1 installieren. Um Repadmin und Dcdiag auf Computern unter Windows Server 2003 ohne SP1 oder unter Windows XP Professional auszuführen, müssen Sie diese erst auf diese Computer kopieren. Anforderungen Administrative Berechtigungen: Um dieses Verfahren ausführen zu können, müssen Sie Mitglied der Gruppe Administratoren sein. Betriebssystem: Windows Server 2003 mit SP1. Die SP1-Version der Windows Support Tools können unter Windows Server 2003 ohne SP1 nicht installiert werden. Installation der Windows Support Tools 1. Legen Sie die Windows-CD ein. 2. Wenn Sie zur Installation von Windows aufgefordert werden, klicken Sie auf Nein. 3. Klicken Sie auf Zusätzliche Aufgaben ausführen, und klicken Sie dann auf Diese CD durchsuchen. 4. Wechseln Sie zum Ordner \Support\Tools. 5. Klicken Sie doppelt auf suptools.msi. 6. Folgen Sie den angezeigten Anweisungen. Installation des Netzwerkmonitors Mit dem Netzwerkmonitor können Sie Konnektivitätsprobleme ermitteln. Weitere Informationen finden Sie unter http://go.microsoft.com/fwlink/?LinkId=42987. Definieren der Protokollierungslevels Wenn die im Verzeichnisdienstprotokoll in der Ereignisanzeige angezeigten Informationen für eine Fehlersuche nicht ausreichen, können Sie die Protokollierungslevel über den Registrierungsschlüssel HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\Diagnostics erhöhen. Standardmäßig sind alle Einträge mit 0 konfiguriert - was den minimal möglichen Informationen entspricht. Sie können die Level bis auf 5 heraufsetzen. Das Heraufsetzen führt dazu, dass zusätzliche Ereignisse protokolliert werden. Verzeichnisdienst-Diagnoseprotokollierung Mit dem folgenden Verfahren können Sie die Einträge ändern. Vorsicht Der Registrierungseditor umgeht die normalen Sicherheitsfunktionen. Sie können so Einstellungen vornehmen, die das System beschädigen können oder sogar dafür sorgen können, dass Windows neu installiert werden muss. Wenn möglich, verwenden Sie statt des Registrierungseditors Gruppenrichtlinien oder andere Windows-Tools, um die Einstellungen zu konfigurieren und Aufgaben durchzuführen. Anforderungen Administrative Berechtigungen: Um dieses Verfahren ausführen zu können, müssen Sie Mitglied der Gruppe Domänen-Admins in der Domäne des Domänencontrollers sein, auf dem Sie das Protokollierungslevel ändern möchten. Tools: Regedit.exe Definieren der Protokollierungslevels 1. Klicken Sie auf Start, klicken Sie auf Ausführen, geben Sie regedit ein, und klicken Sie dann auf OK. 2. Navigieren Sie zum Schlüssel HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\Diagnos tics. 3. Klicken Sie doppelt auf den Eintrag und auf Dezimal. 4. Geben Sie einen Wert zwischen 0 und 5 ein, und klicken Sie dann auf OK. Fehlersuche bei Active DirectoryReplikationsproblemen Active Directory-Replikationsprobleme können verschiedenste Ursachen haben - zum Beispiel DNS-Probleme, Netzwerkprobleme oder Sicherheitseinstellungen. Fehler der eingehenden und ausgehenden Replikation können dazu führen, dass Active Directory-Objekte inkonsistent werden. Dies führt entweder zu Fehlern im Betrieb von Active Directory oder zu inkonsistenten Ergebnissen. Empfehlungen aus Ereignissen Idealerweise geben Fehler und Warnungen aus dem Ereignisprotokoll den Grund an, der zu einem Replikationsfehler geführt hat. Wenn im Ereignis Schritte als Lösung vorgeschlagen werden, sollten Sie die Schritte ausführen. Auch Repadmin und andere Tools stellen Informationen zur Verfügung, die zur Lösung von Fehlern genutzt werden können. Ausschließen des offensichtlichen Manchmal treten Replikationsfehler durch gewollte Aktionen auf. Diese Fehlerquellen sollten Sie als erstes ausschließen. Richtige Reaktion für Domänencontroller unter Windows 2000 Server, die zu lange inaktiv waren Wenn ein Domänencontroller unter Windows 2000 Server länger als die TombstoneLebensdauer inaktiv war, sollten Sie die folgenden Schritte ausführen: 1. Verschieben Sie den Server aus dem Unternehmensnetzwerk in ein privates Netzwerk. 2. Erzwingen Sie die Entfernung von Active Directory, oder installieren Sie das Betriebssystem neu. 3. Entfernen Sie die Server-Metadaten aus Active Directory. Anmerkung Gelöschte NTDS-Settings-Objekte werden normalerweise nach 14 Tagen automatisch neu erstellt. Wenn Sie die Server-Metadaten nicht entfernen, sind diese daher nach 14 Tagen wieder im Verzeichnis vorhanden - was logischerweise zu Fehlern führen kann Fehlerursachen Wenn Sie offensichtliche Fehler ausgeschlossen haben, kommen nur noch die folgenden Fehlerursachen in Frage: Netzwerkkonnektivität Namensauflösung Authentifizierung und Autorisierung Datenbankspeicher (Transaktionen werden möglicherweise nicht schnell genug ausgeführt und führen zu Timeouts). Replikationsengine (möglicherweise können nicht alle anstehenden Replikationen während eines standortübergreifenden Replikationsfensters ausgeführt werden). Replikationstopologie Grundsätzliche Vorgehensweise zur Behebung von Problemen 1. Überwachen Sie täglich das korrekte Funktionieren der Replikation, oder fragen sie den Replikationsstatus täglich mit Repadmin.exe ab. 2. Versuchen Sie, alle Fehler zeitnah zu beheben. 3. Wenn Sie das Problem nicht beheben können, entfernen Sie den Domänencontroller. Weitere Informationen hierzu finden Sie unter Dekomissionierung eines Domänencontrollers. 4. Wenn Active Directory nicht normal entfernt werden kann, nutzen Sie eines der folgenden Verfahren: Erzwingen Sie das Entfernen von Active Directory im Verzeichnisdienstwiederherstellungsmodus, bereinigen Sie die Metadaten, und installieren Sie Active Directory neu. Installieren Sie das Betriebssystem neu, und richten Sie den Domänencontroller neu ein. Weitere Informationen zum Entfernen von Active Directory finden Sie unter Das Entfernen eines Domänencontrollers erzwingen. Überwachung der funktionierenden Replikation Mit den folgenden Verfahren können Sie das Funktionieren der Replikation überwachen: Nutzen Sie eine Überwachungsanwendung, mit der bestimmte Fehler und Ereignisse überwacht werden können. Nutzen Sie Repadmin. Verwenden einer Überwachungsanwendung Sie können Microsoft Operations Manager (MOM) oder eine andere entsprechende Anwendung nutzen. Weitere Informationen zu MOM finden Sie unter http://go.microsoft.com/fwlink/?LinkId=41369. Abfragen des Replikationsstatus mit Repadmin Wen die Replikation korrekt funktioniert, können Sie sichergehen, dass alle Domänencontroller online sind. Außerdem wissen Sie in diesem Fall, dass die folgenden Systeme und Dienste korrekt arbeiten: DNS-Infrastruktur Kerberos Windows Time Service (W32time) Remote Procedure Call (RPC) Netzwerkkonnektivität Mit Repadmin können Sie eine .csv-Datei erstellen, in der Replikationsfehler eingetragen werden. Mit den folgenden Verfahren fragen Sie den Replikationsstatus aller Domänencontroller in der Gesamtstruktur ab: Anforderungen Administrative Berechtigungen: Um dieses Verfahren abschließen zu können, müssen Sie Mitglied der Gruppe Domänen-Admins in der Stammdomäne oder der Gruppe Organisations-Admins der Gesamtstruktur sein. Tools: Repadmin.exe (Windows Support Tools) Excel (Microsoft Office) Abfrage des Replikationsstatus 1. Öffnen Sie eine Eingabeaufforderung, geben Sie den folgenden Befehl ein, und drücken Sie dann die EINGABETASTE: repadmin /showrepl * /csv >showrepl.csv 2. Klicken Sie in Excel auf Datei und auf Öffnen. 3. Klicken Sie auf Testdatei (*.prn;*.txt;*.csv). 4. Navigieren Sie zur Datei showrepl.csv, und klicken Sie dann auf Öffnen. 5. Klicken Sie mit rechts auf die Spalte mit dem Namen showrepl_COLUMNS (Spalte A), und klicken Sie dann auf Verstecken. Wiederholen Sie die für die Spalte Transport Type. 6. Klicken Sie auf die Zeile unter den Überschriften, und klicken Sie dann im Menü Fenster auf Fixieren. 7. Klicken Sie auf die linke obere Ecke der Tabelle, um die ganze Tabelle zu markieren. Klicken Sie im Menü Daten auf Filter und klicken Sie dann auf AutoFilter. 8. Sortieren Sie die Spalte Last Success aufsteigend. 9. Sortieren Sie Spalte Source DC benutzerdefiniert. Legen Sie den folgenden Filter fest: a. Source DC = enthält nicht. b. del für alle gelöschten Domänencontroller. 10. Sortieren Sie die Spalte Last Failure benutzerdefiniert:: a. Last Failure = entspricht nicht b. 0 für alle Domänencontroller mit Fehlern Mit der Option Autofilter lassen Sie so jeweils nur bestimmte Domänencontroller anzeigen (fehlerfrei, Fehler, etc.). Beheben von Problemen Replikationsfehler werden über Ereignisse und Fehlermeldungen angezeigt. Die meisten Probleme werden in den Ereignissen oder in den Ausgaben von repadmin /showrepl genauer definiert. repadmin /showrepl-Fehlermeldungen die Replikationsprobleme anzeigen In der folgenden Tabelle finden Sie die von repadmin /showrepl ausgegebenen Fehlermeldungen und den Grund sowie eine Lösung für die entsprechenden Fehler. repadmin /showrepl-Fehler Repadmin-Fehler Ursache Lösung The time since last replication with this server has exceeded the tombstone lifetime. Ein Domänencontroller hat zu lange nicht eine eingehende Replikation mit dem Quelldomänencontroller durchgeführt, als dass eine korrekte Löschung mithilfe von Tombstones durchgeführt werden könnte. Ereigniss-ID 2042: Zeitraum seit der letzten Replikation zu lang No inbound neighbors. Wenn unter “Inbound Neighbors” nichts angezeigt wird, hat der Domänencontroller keine Replikationsverbindungen mit anderen Domänencontrollern. Beheben von Konntektivitätsproblemen (Ereignis-ID 1925) Access is denied. Es gibt eine Replikationsverbindung, aber die kann aufgrund von Authentifizierungsfehlern nicht durchgeführt werden. Beheben von Sicherheitsproblemen im Zusammenhang mit der Replikation Last attempt at <date - time> failed with the “Target account name is incorrect.” Dieses Problem kann durch eine fehlende Konnektivität oder durch DNS- oder Authentifizierungsfehler entstehen. Bei einem DNS-Fehler könnte der Domänencontroller den GUID-basierten DNS-Namen des Partners nicht auflösen. Beheben von DNSLookup-Problemen (Ereignis-IDs 1925, 2087, 2088) Beheben von Sicherheitsproblemen im Zusammenhang mit der Replikation Beheben von Konnektivitätsproblemen (Ereignis-ID 1925) LDAP Error 49. Das Konto des Domänencontrollers ist möglicherweise nicht mit dem KDC synchronisiert (Key Distribution Center). Beheben von Sicherheitsproblemen im Zusammenhang mit der Replikation Repadmin-Fehler Ursache Lösung Cannot open LDAP connection to local host Konnte Active Directory nicht kontaktieren. Beheben von DNSLookup-Problemen (Ereignis-IDs 1925, 2087, 2088) Active Directory replication has been preempted. Eingehende Replikation wurde wegen einer Anfrage mit höherer Priorität abgebrochen. (Beispielsweise durch eine Anfrage aufgrund von repadmin /sync). Auf die Replikation warten. Diese Meldung ist normal. Replication posted, waiting. Der Domänencontroller wartet auf eine Antwort auf eine Replikationsanfrage. Auf die Replikation warten. Diese Meldung ist normal. Ereignisse, die auf Active Directory-Replikationsprobleme hinweisen In der folgenden Tabelle finden Sie Ereignisse, die auf Probleme mit der Active DirectoryReplikation hinweisen können. Ereignisse, die auf Active Directory-Replikationsprobleme hinweisen Ereignis-ID und Ursache Lösung 1311 - NTDS KCC Replikationskonfiguration entspricht nicht der Netzwerktopologie. Beheben von Problemen mit der Replikationstopologie (Ereignis-ID1311) 1388 - NTDS Replikation Strikte Replikationskonsistenz ist nicht in Kraft, und es wurde ein veraltetes Objekt repliziert. Beheben von Fehlern im Zusammenhang mit zurückgebliebenen Objekten (Ereignis-ID 1388, 1988 und 2042) Quelle Ereignis-ID und Ursache Lösung Versuch, eine Replikationsverbindung für eine beschreibbare Partition aufzubauen, fehlgeschlagen. Kann verschiedene Ursachen haben. Beheben von Konnektivitätsproblemen (Ereignis-ID 1925) 1988 - NTDS Replikation Domänencontroller versuchte, ein Objekt vom QuellDomänencontroller zu replizieren, das es durch eine Löschung mit Garbage Collection hier nicht mehr gibt. Keine weitere Replikation mit diesem Partner, bevor das Problem nicht behoben ist. Beheben von Fehlern im Zusammenhang mit zurückgebliebenen Objekten (Ereignis-ID 1388, 1988 und 2042) 2042 - NTDS Replikation Keine Replikation mit dem Partner für den Zeitraum der TombstoneLebensdauer. Replikation kann nicht fortgeführt werden. Beheben von Fehlern im Zusammenhang mit zurückgebliebenen Objekten (Ereignis-ID 1388, 1988 und 2042) 2087 - NTDS Replikation Active Directory kann den DNSHostnamen des Quelldomänencontrollers nicht auflösen. Replikation fehlgeschlagen. Beheben von DNS-LookupProblemen (Ereignis-IDs 1925, 2087, 2088) 2088 - NTDS Replikation Active Directory kann den DNSHostnamen des Quelldomänencontrollers nicht auflösen. Replikation erfolgreich. Beheben von DNS-LookupProblemen (Ereignis-IDs 1925, 2087, 2088) Quelle 1925 - NTDS KCC Beheben von DNS-LookupProblemen (Ereignis-IDs 1925, 2087, 2088) Ereignis-ID und Ursache Lösung 2095 - NTDS Replikation USN-Rollback und Replikation angehalten. Zeigt eine fehlerhafte Active Directory-Wiederherstellung an. Möglicherweise über eine .vhdDatei. Eine genaue Erklärung dieses Problems und mögliche Lösungen finden Sie unter Running Domain Controllers in Virtual Server 2005 unter http://go.microsoft.com/fwlink/ ?LinkId=38330). 5805 - NetLogon Computerkonto konnte nicht authentifiziert werden. Normalerweise ein Hinweise auf mehrfache Computernamen oder einer unvollständige Replikation auf den Domänencontrollern. Beheben von Sicherheitsproblemen im Zusammenhang mit der Replikation Quelle Weitere Informationen zu Replikationskonzepten finden Sie unter http://go.microsoft.com/fwlink/?LinkId=41950. Im folgenden Abschnitt finden Sie diese Informationen: Beheben von Fehlern im Zusammenhang mit zurückgebliebenen Objekten (Ereignis-ID 1388, 1988 und 2042) Beheben von Sicherheitsproblemen im Zusammenhang mit der Replikation Beheben von DNS-Lookup-Problemen (Ereignis-IDs 1925, 2087, 2088) Beheben von Konnektivitätsproblemen (Ereignis-ID 1925) Beheben von Problemen mit der Replikationstopologie (Ereignis-ID1311) Beheben von Fehlern im Zusammenhang mit zurückgebliebenen Objekten (Ereignis-ID 1388, 1988 und 2042) Wenn ein Domänencontroller für einen längeren Zeitraum als der TombstoneLebensdauer nicht repliziert hat und dann wieder in die Replikationstopologie integriert wird, verbleiben gelöschte Objekte auf diesem Domänencontroller als veraltete Objekte. Die Tombstone-Lebensdauer und die Replikation von Löschungen Wenn ein Objekt gelöscht wird, repliziert Active Directory das Objekt als Tombstone (dieser besteht aus ein paar Attributen des gelöschten Objektes). Der Tombstone verbleibt in einer Gesamtstruktur standardmäßig 60 Tage. Unter Windows Server 2003 Service Pack 1 (SP1) ändert sich dieser Wert auf 180 Tage - jedoch nur bei Gesamtstrukturen, die direkt über Domänencontroller erstellt wurden, die unter Windows Server 2003 SP1 ausgeführt werden. Nach dem Ablauf der Lebensdauer wird der Tombstone dauerhaft entfernt. Sollte ein Domänencontroller länger als die Lebensdauer nicht mit dem Netzwerk verbunden sein, erfährt er somit nichts vom Löschen eines Objektes und das Objekt bleibt auf dem Domänencontroller als veraltetes Objekt bestehen. Anmerkung Die Tombstone-Lebensdauer wird bei einer Aktualisierung auf Windows Server 2003 SP1 nicht verändert. Sie müssen dies manuell erledigen. Entstehung von veralteten Objekten Sollte ein gelöschtes Objekt wie oben beschrieben auf einem längerfristig von Netzwerk getrennten Domänencontroller zurückgeblieben sein, kann es passieren, dass dieses Objekt wieder auf alle Domänencontroller der Domäne repliziert wird. Dies passiert dann, wenn das Objekt auf dem veralteten Domänencontroller bearbeitet wird. In diesem Fall repliziert Active Directory die Änderung am entsprechenden Objekt an einen Domänencontroller, auf dem das Objekt aufgrund der Löschung nicht mehr vorhanden ist. In solchen Situationen kann der Ziel-Domänencontroller der Replikation auf zwei Arten reagieren: Wenn der Domänencontroller mit aktivierter strikter Replikationskonsistenz arbeitet, erkennt er, dass er ein Objekt nicht aktualisieren kann und stoppt die eingehende Replikation der Partition vom Quell-Domänencontroller. Wenn die strikte Replikationskonsistenz nicht aktiviert ist, fordert er eine komplette Replik des betreffenden Objektes an und schreibt dieses in sein Verzeichnis. Gründe für längerfristig vom Netzwerk getrennte Domänencontroller Ein Domänencontroller wird irgendwo abgestellt und vergessen, oder die Auslieferung eines Domänencontrollers an einen Remotestandort dauert länger als erwartet. Die Replikation schlägt fehl, und es gibt keine Überwachung. Replikationsfehler können durch die folgenden Ursachen entstehen: Es kommt durch die zugrunde liegende Netzwerkkonnektivität zu Fehlern bei der eingehenden Replikation. Ein Bridgeheadserver ist überlastet, und die Replikation kann nicht vollständig ausgeführt werden. Zum Beispiel bei globalen Katalog Servern und zu kleinen Zeitfenstern. Anmerkung Globale Katalog Server replizieren nur lesbare Versionen aller Domänenpartitionen der Gesamtstruktur. Die Replikation dieser Partitionen hat eine geringere Priorität als die von beschreibbaren Partitionen. Zusätzlich sind globale Katalog Server oftmals Bridgeheadserver. Somit ist ihre Auslastung oft besonders hoch, und es kann vorkommen, dass die nur lesbaren Partitionen nicht mehr innerhalb eines Zeitfensters repliziert werden können. So kann es zu veralteten Objekten auf dem Server kommen. WAN-Verbindungen stehen für längere Zeiträume nicht zur Verfügung. Ein Administrator hat die Tombstone-Lebensdauer verkürzt, um eine Löschung der Tombstones zu erzwingen (Garbage Collection). Die Systemuhr auf einem der Domänencontroller geht falsch. Solche Situationen entstehen oft nach einem Neustart des Systems und können die folgenden Ursachen haben: Probleme mit der Batterie der Systemuhr oder des Mainboards. Der Zeitgeber ist nicht korrekt konfiguriert. Die Systemuhr wurde von einem Administrator umgestellt, damit dieser eine Systemsicherung wiederherstellen kann oder um einen Garbage CollectionVorgang zu erzwingen. Feststellen, ob ein Domänencontroller über veraltete Objekte verfügt Es kann sein, dass veraltete Objekte vorhanden sind und dies nicht bemerkt wird - und zwar so lange, bis ein Administrator, ein Dienst oder eine Anwendung versucht, das veraltete Objekt zu bearbeiten oder ein neues Objekte mit dem gleichen UPN erstellt. Symptome, die auf veraltete Objekte hinweisen Ein gelöschtes Benutzer- oder Gruppekonto verbleibt in der globalen Adressliste von Exchange. Das Versenden von Emails an dieses Konto führt jedoch zu Fehlern. Es werden mehrere Kopieren eines Objektes angezeigt, das eigentlich einzigartig sein sollte. Wenn beispielsweise die relativen DNs von zwei Objekten nicht aufgelöst werden können, wird der Text “*CNF:GUID” an deren Namen angehängt (CNF ist eine Konstante, die auf einen Konflikt in der Namensauflösung hinweist, und GUID ist der Wert aus dem Attribut objectGUID des Objektes). Emails werden nicht an den scheinbar aktuellen Benutzer zugestellt. Eine nicht mehr bestehende universelle Gruppe wird weiter im Zugriffstoken eines Benutzers angezeigt. Es kann sein, dass der Benutzer sogar weiterhin über Zugriffsmöglichkeiten verfügt, die er nicht mehr haben sollte. Ein neues Objekt oder ein Exchange-Postfach können nicht erstellt werden. Es gibt jedoch noch kein entsprechendes Objekt in Active Directory. Sie erhalten trotzdem eine Fehlermeldung, die besagt, dass das Objekt bereits besteht. Suchen, die Attribute eines bestehenden Objektes verwenden, geben fälschlicherweise mehrere Objekte mit dem gleichen Namen zurück. Wenn versucht wird, ein veraltetes Objekt zu bearbeiten, werden auf dem ZielDomänencontroller Ereignisse protokolliert. Sollte es das Objekt jedoch nur in einer Partition eines globalen Katalogs geben (nur lesbar), kann dies natürlich nicht aktualisiert werden - somit werden auch keine Ereignisse ausgelöst. Registrierungseinstellungen, mit denen festgelegt wird, ob veraltete Objekte repliziert werden Der Registrierungseintrag strict replication consistency unter HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\Parameters steuert das Verhalten bei veralteten Objekten: Der Eintrag kann die folgenden Werte haben: 1 (aktiviert): Die eingehende Replikation der entsprechenden Verzeichnispartition von dieser Quelle aus wird angehalten. 0 (deaktiviert): Der Ziel-Domänencontroller fordert das vollständige Objekt vom QuellDomänencontroller an und erstellt eine vollständige Kopie. Das gelöschte Objekt ist somit in der Domäne wieder vorhanden. Weitere Informationen zu diesem Thema finden Sie unter Beheben von Fehlern im Zusammenhang mit zurückgebliebenen Objekten (Ereignis-ID 1388, 1988 und 2042). Standardeinstellung für die strikte Replikationskonsistenz Die Standardeinstellung von strict replication consistency hängt davon ab, unter welchem Betriebssystem die Gesamtstruktur errichtet wurde. Anmerkung Das Anheben der Funktionsebene der Gesamtstruktur ändert nichts an dieser Einstellung. Aktiviert Die Stammdomäne einer neuen Gesamtstruktur wurde durch die Aktualisierung eines Windows NT 4.0-PDCs auf Windows Server 2003 mit der Windows Server 2003-Version von Winnt32.exe erstellt. Die Stammdomäne einer neuen Gesamtstruktur wurde durch die Installation von Active Directory auf einem Server unter Windows Server 2003 erstellt. Deaktiviert Ein Domänencontroller unter Windows 2000 Server wurde auf Windows Server 2003 aktualisiert. Ein Server unter Windows 2000 Server wird in eine Windows Server 2003Gesamtstruktur verschoben. Unter Windows Server 2003 mit SP1 brauchen Sie die Registrierung nicht bearbeiten. Stattdessen können Sie Repadmin nutzen. Weitere Informationen hierzu finden Sie unter Ereignis-ID 1388 oder 1988: Veraltete Objekte gefunden. Weitere Informationen zur strikten Replikationskonsistenz finden Sie unter http://go.microsoft.com/fwlink/?LinkId=27636. Tool für das Entfernen von veralteten Objekten Unter Windows Server 2003 oder Windows Server 2003 mit SP1 können Sie Repadmin.exe (aus den Windows Support Tools) zur Entfernung von veralten Objekten verwenden. Die Windows Server 2003-Version von Repadmin stellt die Option /removelingeringobjects zur Verfügung, mit der alle veralteten Objekte sicher aus nur lesbaren und beschreibbaren Partitionen entfernt werden können. Der Befehl repadmin /removelingeringobjects geht folgendermaßen vor: 1. Er vergleicht die Objekte auf einem Referenz-Domänencontroller mit den Objekten auf dem Ziel-Domänencontroller (der Domänencontroller, auf dem möglicherweise veraltete Objekte vorhanden sind). 2. Er entfernt die Objekte oder protokolliert sie: Mit /advisory_mode werden die Objekte nur im Verzeichnisprotokoll protokolliert. Mit /advisory_mode werden die Objekte gelöscht (nur auf dem ZielDomänencontroller). Gehen Sie nach den Schritten aus dem Eintrag der folgenden Liste vor, der Ihr Problem am besten beschreibt: Ereignis-ID 1388 oder 1988: Veraltete Objekte gefunden Ein gelöschtes Konto verbleibt im Adressbuch, Emails werden nicht empfangen, oder es bestehen doppelte Konten Ereignis-ID 2042: Zeitraum seit der letzten Replikation zu lang Siehe auch Konfiguration eines Computers für die Active Directory-Fehlersuche Ereignis-ID 1388 oder 1988: Veraltete Objekte gefunden Wenn die Ereignisse 1388 oder 1988 auf einem Domänencontroller auftreten, wurden veraltete Objekte gefunden: 1388: Auf dem Ziel-Domänencontroller ist eine eingehende Replikation eines veralteten Objekts aufgetreten. 1988: Die eingehende Replikation einer Verzeichnispartition mit veralteten Objekten wurde auf dem Ziel-Domänencontroller blockiert. Ereignis-ID 1388 Bei diesem Ereignis hat ein Domänencontroller ohne strikte Replikationskonsistenz eine Anfrage für die Aktualisierung eines lokal nicht vorhandenen Objektes erhalten. Daher hat er das vollständige Objekt vom entsprechenden Replikationspartner angefordert. Das Objekt wurde somit repliziert und auf dem Ziel-Domänencontroller neu erstellt. Wichtig Wenn einer der beiden Replikationspartner unter Windows 2000 Server ausgeführt wird, können Sie die veralteten Objekte nicht mit Repadmin entfernen. Weitere Informationen zu dieser Situation finden Sie unter http://go.microsoft.com/fwlink/?LinkId=41410. Beispielanzeige für das Ereignis: Ereignistyp:Fehler Ereignisquelle:NTDS Replication Ereigniskategorie:Replication Ereignis-ID:1388 Datum:2/21/2005 Uhrzeit:9:19:48 AM Benutzer:NT AUTHORITY\ANONYMOUS LOGON Computer:DC3 Beschreibung: Another domain controller (DC) has attempted to replicate into this DC an object which is not present in the local Active Directory database. The object may have been deleted and already garbage collected (a tombstone lifetime or more has past since the object was deleted) on this DC. The attribute set included in the update request is not sufficient to create the object. The object will be re-requested with a full attribute set and re-created on this DC. Source DC (Transport-specific network address): 4a8717eb-8e58-456c-995a-c92e4add7e8e._msdcs.contoso.com Object: CN=InternalApps,CN=Users,DC=contoso,DC=com Object GUID: a21aa6d9-7e8a-4a8f-bebf-c3e38d0b733a Directory partition: DC=contoso,DC=com Destination highest property USN: 20510 User Action: Verify the continued desire for the existence of this object. To discontinue re-creation of future similar objects, the following registry key should be created. Registry Key: HKLM\System\CurrentControlSet\Services\NTDS\Parameters\Strict Replication Consistency Ereignis-ID 1988 Bei diesem Ereignis hat ein Domänencontroller mit strikter Replikationskonsistenz eine Anfrage für die Aktualisierung eines lokal nicht vorhandenen Objektes erhalten. Er hat die Replikation der Verzeichnispartition, in der sich das Objekt befindet, blockiert. Beispielanzeige für das Ereignis: Ereignistyp:Fehler Ereignisquelle:NTDS Replication Ereigniskategorie:Replication Ereignis-ID:1988 Datum:2/21/2005 Uhrzeit:9:13:44 AM Benutzer:NT AUTHORITY\ANONYMOUS LOGON Computer:DC3 Beschreibung: Active Directory Replication encountered the existence of objects in the following partition that have been deleted from the local domain controllers (DCs) Active Directory database. Not all direct or transitive replication partners replicated in the deletion before the tombstone lifetime number of days passed. Objects that have been deleted and garbage collected from an Active Directory partition but still exist in the writable partitions of other DCs in the same domain, or read-only partitions of global catalog servers in other domains in the forest are known as “lingering objects”. This event is being logged because the source DC contains a lingering object which does not exist on the local DCs Active Directory database. This replication attempt has been blocked. The best solution to this problem is to identify and remove all lingering objects in the forest. Source DC (Transport-specific network address): 4a8717eb-8e58-456c-995a-c92e4add7e8e._msdcs.contoso.com Object: CN=InternalApps,CN=Users,DC=contoso,DC=com Object GUID: a21aa6d9-7e8a-4a8f-bebf-c3e38d0b733a Ursache Wenn ein Objekt gelöscht wird, repliziert Active Directory das Objekt als Tombstone (dieser besteht aus ein paar Attributen des gelöschten Objektes). Der Tombstone verbleibt in einer Gesamtstruktur standardmäßig 60 Tage. Unter Windows Server 2003 Service Pack 1 (SP1) ändert sich dieser Wert auf 180 Tage - jedoch nur bei Gesamtstrukturen, die direkt über Domänencontroller erstellt wurden, die unter Windows Server 2003 SP1 ausgeführt werden. Nach dem Ablauf der Lebensdauer wird der Tombstone dauerhaft entfernt. Sollte ein Domänencontroller länger als die Lebensdauer nicht mit dem Netzwerk verbunden sein, erfährt er somit nichts vom Löschen eines Objektes und das Objekt bleibt auf dem Domänencontroller als veraltetes Objekt bestehen. Lösung Sie können das veraltete Objekt aus dem Verzeichnis entfernen. Stellen Sie fest, auf welchem Domänencontroller sich das Objekt befindet, und führen Sie das Tool repadmin aus (repadmin /removelingeringobjects). Gehen Sie folgendermaßen vor: 1. Ermitteln Sie die folgenden Daten über den Ereignistext: a. Verzeichnispartition des Objekts. b. Quell-Domänencontroller, der versucht hat, das Objekte zu replizieren. 2. Installieren Sie die Windows Support Tools auf dem Domänencontroller, auf dem das Ereignis aufgetreten ist. Weitere Informationen finden Sie unter Konfiguration eines Computers für die Active Directory-Fehlersuche. 3. Ermitteln der GUID eines autorisierenden Domänencontrollers mit Repadmin 4. Entfernen von veralteten Objekten mit Repadmin 5. Aktivieren der strikten Replikationskonsistenz (wenn notwendig). Ermitteln der GUID eines autorisierenden Domänencontrollers mit Repadmin Für dieses Verfahren benötigen Sie die GUID eines aktuellen Domänencontrollers, der über eine beschreibbare Kopie der entsprechenden Partition verfügt. Die GUID ist im objectGUID-Attribut des NTDS-Settings-Objekts gespeichert. Anforderungen Administrative Berechtigungen: Sie müssen Mitglied der Gruppe Domänen-Admins der Domäne des Domänencontrollers ServerName sein. Tool: Repadmin.exe (Windows Support Tools) Ermitteln der GUID eines Domänencontrollers 1. Öffnen Sie eine Eingabeaufforderung. Geben Sie den folgenden Befehl ein, und drücken Sie dann die EINGABETASTE: repadmin /showrepl ServerName wobei ServerName der Name des Domänencontrollers ist, dessen GUID Sie suchen. 2. Im ersten Abschnitt der Ausgabe suchen Sie nach dem Eintrag objectGuid. Entfernen von veralteten Objekten mit Repadmin Wenn Ziel- und Quell-Domänencontroller unter Windows Server 2003 ausgeführt wird, können Sie Repadmin nutzen. Sollte einer der Domänencontroller unter Windows 2000 Server ausgeführt werden, gehen Sie nach den Informationen aus dem Artikel unter http://go.microsoft.com/fwlink/?LinkId=41410 vor. Anforderungen Betriebssystem: Windows Server 2003 auf beiden Servern. Administrative Berechtigungen: Sie müssen Mitglied der Gruppe Domänen-Admins in der Domäne aus der die Partition stammt. Tool: Repadmin.exe (Windows Support Tools) Entfernen von veralteten Objekten mit Repadmin 1. Geben Sie den folgenden Befehl ein, und drücken Sie dann die EINGABETASTE: repadmin /removelingeringobjects ServerName ServerGUID Verzeichnispartition/advisory_mode Parameter Beschreibung ServerName DNS-Name oder DN des Domänencontrollers mit den veralteten Objekten. ServerGUID GUID eines Domänencontrollers, der über eine aktuelle beschreibbare Kopie der Verzeichnispartition verfügt. Verzeichnispartition DN der Domänen-Verzeichnispartition mit veralteten Objekten. Beispiel, DC=RegionalDomänenname,DC=Stammdomäne,DC=com. Führen Sie den Befehl ebenfalls gegen die Konfigurationspartition (CN=configuration,DC=Stammdomäne,DC=com) und die Schemapartition (CN=schema,CN=configuration,DC=Stammdomäne) aus. /advisory_mode protokolliert die entfernten Objekte, aber entfernt sie nicht. 2. Wenn Objekte gefunden werden, wiederholen Sie Schritt 1 ohne /advisory_mode und löschen Sie die Objekte. 3. Wiederholen Sie die Schritte 1 und 2 für jeden Domänencontroller, der möglicherweise veraltete Objekte hat. Anmerkung Der Parameter ServerName verwendet die DC_LIST-Syntax für repadmin. Sie können somit * für alle Domänencontroller in der Gesamtstruktur und gc: für alle globalen Katalog Server angeben. Aktivieren der strikten Replikationskonsistenz Unter Windows Server 2003 Service Pack 1 (SP1) müssen Sie den Wert nicht direkt bearbeiten. Sie können stattdessen das Tool Repadmin verwenden. Dies ist jedoch nur mit der Repadmin-Version aus den Support Tools von Windows Server 2003 SP1 möglich und kann nur auf Domänencontrollern unter Windows Server 2003 SP1 ausgeführt werden. Verwenden von Repadmin zum Aktivieren der strikten Replikationskonsistenz Anforderungen: Betriebssystem: Windows Server 2003 mit SP1 Administrative Berechtigungen: Für einen einzelnen Domänencontroller müssen Sie Mitglied der Gruppe DomänenAdmins sein. Für alle Domänencontroller müssen Sie Mitglied der Gruppe Organisations-Admins sein. Tool: Repadmin.exe (Windows Support Tools von Windows Server 2003 SP1) Aktivieren der strikten Replikationskonsistenz 1. Öffnen Sie eine Eingabeaufforderung, geben Sie den folgenden Befehl ein, und drücken Sie dann die EINGABETASTE: repadmin /regkey DC_LISTE {+|-}key Parameter Beschreibung DC_LIST Name (DNS oder DN) eines einzelnen Domänencontrollers (* für alle Domänencontroller der Gesamtstruktur). {+|-}key + aktivieren, - deaktivieren key = strict. Beispiel: +strict zum Aktivieren. Anmerkung Weitere Optionen von und Informationen zum DC_LISTE-Parameter erhalten Sie mit repadmin /listhelp. Bearbeiten der Registrierung zur Aktivierung der strikten Replikationskonsistenz Unter Windows Server 2003 ohne SP müssen Sie die Registrierung bearbeiten. Die Einstellung ist im Eintrag Strict Replication Consistency unter HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\Parameters gespeichert. Die folgenden Werte sind möglich: Wert: 1 (0 to Deaktiviert) Standardwert: 1 bei einer neuen Windows Server 2003-Gesamtstruktur - andernfalls 0. Datentyp: REG_DWORD Anforderungen: Betriebssystem: Windows Server 2003, Windows 2000 Server mit SP3, Windows 2000 Server mit SP4 Administrative Berechtigungen: Um das Verfahren ausführen zu können, müssen Sie Mitglied der Gruppe Domänen-Admins sein. Tool: Registrierungseditor (Regedit.exe) Vorsicht Der Registrierungseditor umgeht die normalen Sicherheitsfunktionen. Sie können so Einstellungen vornehmen, die das System beschädigen können oder sogar dafür sorgen können, dass Windows neu installiert werden muss. Wenn möglich, verwenden Sie statt des Registrierungseditors Gruppenrichtlinien oder andere Windows-Tools, um die Einstellungen zu konfigurieren und Aufgaben durchzuführen. Aktivieren der strikten Replikationskonsistenz über die Registrierung 1. Öffnen Sie den Registrierungseditor. 2. Navigieren Sie zu Strict Replication Consistency unter HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\Parame ters. 3. Setzen Sie den Wert Strict Replication Consistency auf 1. Ein gelöschtes Konto verbleibt im Adressbuch, Emails werden nicht empfangen, oder es bestehen doppelte Konten Sollten diese Symptome auftreten und kein Fehlerereignis angezeigt werden, über das Sie das veraltete Objekt und die entsprechende Partition ermitteln können, müssen Sie im globalen Katalog nach diesen Informationen suchen. Lösung Je nach den Symptomen haben Sie wahrscheinlich schon eine Theorie dazu, welches Objekt die Probleme verursacht. Sie können das Problem mit den folgenden Schritten beheben: Identifizieren Sie das Objekt über den globalen Katalog. Ermitteln Sie die Partition des Objekts. Entfernen Sie die veralteten Objekte auf allen globalen Katalog Servern der Gesamtstruktur aus der Verzeichnispartition. Ermitteln des doppelten (veralteten) Objekts Mit dem folgenden Verfahren können Sie das doppelte (veraltete) Objekt ermitteln. Verwenden Sie ein Attribut, welches das Objekt eindeutig identifiziert, und suchen Sie im Verzeichnis nach dem Objekt. Anforderungen Administrative Berechtigungen: Um dieses Verfahren durchführen zu können, müssen Sie Mitglied der Gruppe Domänenbenutzer sein. Tool: Ldp.exe (Windows Support Tools) Ermitteln des DNs eines Objekts 1. Klicken Sie auf Start, klicken Sie auf Ausführen, geben Sie Ldp ein, und klicken Sie dann auf OK. 2. Klicken Sie auf Connect. 3. Geben Sie unter Port den Wert 3268 ein, und klicken Sie dann auf OK. 4. Klicken Sie auf Bind. 5. Geben Sie die Anmeldeinformationen eines Benutzerkontos aus der Gesamtstruktur ein, und klicken Sie dann auf OK. 6. Klicken Sie auf Tree. 7. Geben Sie unter BaseDN den DN der Stammdomäne ein, und klicken Sie dann auf OK. 8. Klicken Sie im Konsolenbereich mit rechts auf die Stammdomäne, und klicken Sie dann auf Search. 9. Geben Sie unter Filter einen Filter in der folgenden Form ein: (Attribut=Wert) Wobei Attribut der LAP-Name eines Attributs und Wert der Ihnen bekannte Wert ist. Mit ([email protected]), (sAMAccountName=JanD) oder (sn=Dryml) finden Sie zum Beispiel das Benutzerobjekt von Jan Dryml. Mit dem Stern (*) als Wert finden Sie alle Objekte. 10. Klicken Sie auf Subtree, und klicken Sie dann auf Run. 11. Klicken Sie auf Close, und prüfen Sie das Ergebnis. 12. Wenn nötig, wiederholen Sie die Schritte 8 bis 10, bis Sie das Objekt gefunden haben. Ermitteln der Verzeichnispartition eines Objekts Wenn Sie den DN haben, finden Sie die Verzeichnispartition im "DC="-Teil des DNs. Für den DN CN=Jan Dryml,CN=Users,DC=Region1,DC=Contoso,DC=com wäre die Partition also zum Beispiel DC=Region1,DC=Contoso,DC=com. Entfernen des veralteten Objekts Führen Sie die Schritte unter Ereignis-ID 1388 oder 1988: Veraltete Objekte gefunden aus. Ereignis-ID 2042: Zeitraum seit der letzten Replikation zu lang Wenn ein Objekt gelöscht wird, repliziert Active Directory das Objekt als Tombstone (dieser besteht aus ein paar Attributen des gelöschten Objektes). Der Tombstone verbleibt in einer Gesamtstruktur standardmäßig 60 Tage. Unter Windows Server 2003 Service Pack 1 (SP1) ändert sich dieser Wert auf 180 Tage - jedoch nur bei Gesamtstrukturen, die direkt über Domänencontroller erstellt wurden, die unter Windows Server 2003 SP1 ausgeführt werden. Nach dem Ablauf der Lebensdauer wird der Tombstone dauerhaft entfernt. Sollte ein Domänencontroller länger als die Lebensdauer nicht mit dem Netzwerk verbunden sein, erfährt er somit nichts vom Löschen eines Objektes und das Objekt bleibt auf dem Domänencontroller als veraltetes Objekt bestehen. Wenn dies passiert und eine Replikation stattfindet, wird Ereignis 2042 im Verzeichnisdienstprotokoll eingetragen. Beispielanzeige für das Ereignis: Ereignistyp:Fehler Ereignisquelle:NTDS Replication Ereigniskategorie:Replication Ereignis-ID:2042 Datum:3/22/2005 Uhrzeit:7:28:49 AM Benutzer:NT AUTHORITY\ANONYMOUS LOGON Computer:DC3 Beschreibung: It has been too long since this machine last replicated with the named source machine. The time between replications with this source has exceeded the tombstone lifetime. Replication has been stopped with this source. The reason that replication is not allowed to continue is that the two machine’s views of deleted objects may now be different. The source machine may still have copies of objects that have been deleted (and garbage collected) on this machine. If they were allowed to replicate, the source machine might return objects which have already been deleted. Time of last successful replication: 2005-01-21 07:16:03 Invocation ID of source: 0397f6c8-f6b8-0397-0100-000000000000 Name of source: 4a8717eb-8e58-456c-995a-c92e4add7e8e._msdcs.contoso.com Tombstone lifetime (days): 60 The replication operation has failed. User Action: Determine which of the two machines was disconnected from the forest and is now out of date. You have three options: 1. Demote or reinstall the machine(s) that were disconnected. 2. Use the “repadmin /removelingeringobjects” tool to remove inconsistent deleted objects and then resume replication. 3. Resume replication. Inconsistent deleted objects may be introduced. You can continue replication by using the following registry key. Once the systems replicate once, it is recommended that you remove the key to reinstate the protection. Registry Key: HKLM\System\CurrentControlSet\Services\NTDS\Parameters\Allow Replication With Divergent and Corrupt Partner repadmin /showrepl gibt außerdem Fehler Nummer 8416 aus: Source: Default-First-Site-Name\DC1 ******* 1502 CONSECUTIVE FAILURES since 2005-01-21 07:16:00 Last error: 8614 (0x21a6): The Active Directory cannot replicate with this server because the time since the last replication with this server has exceeded the tombstone lifetime. Lösung Gehen Sie folgendermaßen vor: Führen Sie den Befehl repadmin /showrepl auf dem Domänencontroller aus, auf dem der Fehler aufgetreten ist. Entfernen Sie die veralteten Objekte. Gehen Sie hierbei nach den Anweisungen aus dem Abschnitt Ereignis-ID 1388 oder 1988: Veraltete Objekte gefunden vor. Starten Sie die Replikation auf dem Ziel-Domänencontroller neu. Hierzu müssen Sie eine Registrierungseinstellung bearbeiten. Wenn Sie nicht auf das Entfernen der veralteten Objekte warten wollen, können Sie die Replikation mit diesem Verfahren auch sofort neu starten. Setzen Sie die Registrierungseinstellung zurück, um den Domänencontroller wieder vor veralteten Objekten zu schützen. Neustart der Replikation nach Ereignis-ID 2042 Um die eingehende Replikation auf einem Domänencontroller nach Ereignis-ID 2042 neu zu starten, müssen Sie den Wert Allow Replication With Divergent and Corrupt Partner unter HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\Parameters bearbeiten. Es ist kein Neustart des Domänencontrollers notwendig. Vorsicht Der Registrierungseditor umgeht die normalen Sicherheitsfunktionen. Sie können so Einstellungen vornehmen, die das System beschädigen können oder sogar dafür sorgen können, dass Windows neu installiert werden muss. Wenn möglich, verwenden Sie statt des Registrierungseditors Gruppenrichtlinien oder andere Windows-Tools, um die Einstellungen zu konfigurieren und Aufgaben durchzuführen. Anforderungen Administrative Berechtigungen: Sie müssen Mitglied der Gruppe Domänen-Admins in der Domäne sein, in der sich der Domänencontroller befindet. Tool: Regedit.exe Neustart der Replikation nach Ereignis-ID 2042 1. Klicken Sie auf Start, klicken Sie auf Ausführen, geben Sie regedit ein, und klicken Sie dann auf OK. 2. Navigieren Sie zu HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\Parame ters 3. Erstellen oder Bearbeiten Sie den Eintrag: Wenn der Eintrag vorhanden ist: a. Klicken Sie mit rechts auf Allow Replication With Divergent and Corrupt Partner, und klicken Sie dann auf Bearbeiten. b. Geben Sie 1 ein, und klicken Sie dann auf OK. Wenn der Eintrag nicht vorhanden ist: a. Klicken Sie mit rechts auf Parameters, klicken Sie auf Neu, und klicken Sie dann auf DWORD Wert. b. Geben Sie als Namen Allow Replication With Divergent and Corrupt Partner ein, und drücken Sie die EINGABETASTE. c. Klicken Sie doppelt auf den Eintrag. Geben Sie 1 ein, und klicken Sie dann auf OK. Zurücksetzen der Registrierungseinstellung für veraltete Objekte Wenn die Replikation wieder vor veralteten Objekten geschützt werden soll, müssen Sie den Registrierungswert Allow Replication With Divergent and Corrupt Partner wieder mit 0 konfigurieren. Beheben von Sicherheitsproblemen im Zusammenhang mit der Replikation Bei Sicherheitsproblemen werden diverse Ereignisse protokolliert. Repadmin-Ausgaben enthalten außerdem Fehlercodes, mit denen das Problem genauer identifiziert werden kann. Die Dcdiag.exe-Version aus den Windows Support Tools von Windows Server 2003 Service Pack 1 (SP1) stellt eine neue Funktionalität zur Verfügung, mit der Sie den Gesamtzustand der Replikation in Bezug auf Active Directory überprüfen können. Dcdiag erkennt die häufigsten Gründe, die zu Fehlern wie “Zugriff verweigert” und “Unbekanntes Konto” führen. In der folgenden Tabelle finden Sie die Fehlercodes von Dcdiag. Die mit einem Stern markierten Fehlercodes müssen nicht zwangsweise auf ein Sicherheitsproblem hinweisen. Fehlercode Beschreibung 5 Zugriff verweigert 1314* Der Client verfügt nicht über eine erforderliche Berechtigung. 1326 Anmeldefehler: Unbekannter Benutzername oder falsches Kennwort. 1396 Anmeldefehler: Ziel-Kontenname ist falsch. 1908 Kann keinen Domänencontroller für diese Domäne finden. 1397* Gegenseitige Authentifizierung fehlgeschlagen. Das Serverkennwort ist veraltet. 1398* Zeit- und/oder Datumsunterschied zwischen Client und Server. 1722* RPC-Server nicht verfügbar. 2202* Angegebener Benutzername ungültig. 8453 Replikationszugriff verweigert. Beheben Sie Sicherheitsprobleme in Bezug auf die Replikation mit den Schritten aus Abschnitt Ein "Zugriff verweigert"-Fehler oder ein anderer Sicherheitsfehler hat Replikationsprobleme verursacht. Ein "Zugriff verweigert"-Fehler oder ein anderer Sicherheitsfehler hat Replikationsprobleme verursacht Sie können entsprechende Replikationsfehler mit Dcdiag.exe aus den Windows Support Tools von Windows Server 2003 Service Pack 1 (SP1) diagnostizieren und beheben. Ursache Ein Domänencontroller kann aufgrund von Sicherheitsproblemen seinen Partner nicht erreichen und daher keine Replikation durchführen. Lösung Führen Sie die von Dcdiag aus den Windows Support Tools von Windows Server 2003 SP1 zur Verfügung gestellten Tests aus. Testen eines Domänencontroller auf Sicherheitsfehler bezüglich der Replikation Anforderungen Administrative Berechtigungen: Sie müssen Mitglied der Gruppe Domänen-Admins der Domäne des Domänencontrollers sein, den Sie testen wollen. Alternativ müssen Sie Mitglied der Gruppe Organisations-Admins sein. Tool: Dcdiag.exe (Windows Support Tools) von Windows Server 2003 SP1 Betriebssystem: Sie können die verbesserte Version von Dcdiag zwar auch unter Windows XP Professional und Windows Server 2003 ohne SP ausführen, aber um den Sicherheitstest (/test:CheckSecurityError) durchführen zu können, ist ein Domänencontroller unter Windows Server 2003 mit SP1 erforderlich. Sie können die Tests gegen Domänencontroller mit den folgenden Betriebssystemen durchführen: Windows 2000 Server Service Pack 3 (SP3) Windows 2000 Server Service Pack 4 (SP4) Windows Server 2003 Windows Server 2003 SP1 Testen eines Domänencontroller auf Sicherheitsfehler bezüglich der Replikation 1. Öffnen Sie eine Eingabeaufforderung. Geben Sie den folgenden Befehl ein, und drücken Sie dann die EINGABETASTE: dcdiag /test:CheckSecurityError /s:DomänencontrollerName wobei DomänencontrollerNameis der DNS- oder NetBIOS-Name oder der DN des zu testenden Domänencontrollers ist. Wenn Sie den Schalter /s: nicht verwenden, wird der Test gegen den lokalen Domänencontroller ausgeführt. Mit /e: testen Sie alle Domänencontroller der Gesamtstruktur. 2. Kopieren Sie den Bericht in Notepad. 3. Scrollen Sie zur Zusammenfassung am Ende. 4. Notieren Sie sich die Namen aller Domänencontroller, bei denen als Status “Warn” oder “Fail” angegeben ist. 5. Suchen Sie in den entsprechenden Abschnitt nach der genauen Problembeschreibung. 6. Nehmen Sie die notwendigen Änderungen auf den Domänencontrollern vor. Führen Sie Dcdiag /test:CheckSecurityError mit /e: oder /s: ein weiteres Mal aus. Testen der Verbindung zwischen zwei Domänencontrollern bei Sicherheitsproblemen In den folgenden Szenarien ist es sinnvoll, die Verbindung bei Sicherheitsproblemen bezüglich der Replikation zu testen: Es besteht eine Verbindung, aber Sie erhalten einen Sicherheitsfehler. Der KCC sollte automatisch eine Verbindung erstellen, und Sie möchten feststellen, warum dies nicht passiert. Sie versuchen, eine Verbindung zu erstellen, erhalten jedoch einen Sicherheitsfehler. Sie möchten feststellen, ob eine Verbindung erstell werden könnte. Anforderungen Administrative Berechtigungen: Sie müssen Mitglied der Gruppe Domänen-Admins in der Domäne sein, in der sich die Domänencontroller befinden, oder Mitglied der Gruppe Organisations-Admins, wenn Sie Verbindung zwischen Domänencontrollern in verschiedenen Domänen testen möchten. Tool: Dcdiag.exe (Windows Support Tools) von Windows Server 2003 SP1 Betriebssystem: Sie können die verbesserte Version von Dcdiag zwar auch unter Windows XP Professional und Windows Server 2003 ohne SP ausführen, aber um den Sicherheitstest (/test:CheckSecurityError) durchführen zu können, ist ein Domänencontroller unter Windows Server 2003 mit SP1 erforderlich. Sie können die Tests gegen Domänencontroller mit den folgenden Betriebssystemen durchführen: Windows 2000 Server Service Pack 3 (SP3) Windows 2000 Server Service Pack 4 (SP4) Windows Server 2003 Windows Server 2003 SP1 Testen der Verbindung zwischen zwei Domänencontrollern bei Sicherheitsproblemen 1. Öffnen Sie eine Eingabeaufforderung. Geben Sie den folgenden Befehl ein, und drücken Sie dann die EINGABETASTE: dcdiag /test:CheckSecurityError /ReplSource:QuellDomänencontrollerName wobei QuellDomänencontrollerName der DNS- oder NetBIOS-Name oder DN des Domänencontrollers ist, zu dem Sie die Verbindung testen möchten. 2. Kopieren Sie den Bericht in Notepad. 3. Scrollen Sie zu Zusammenfassung am Ende. 4. Notieren Sie sich die Namen aller Domänencontroller, bei denen als Status “Warn” oder “Fail” angegeben ist. 5. Suchen Sie in den entsprechenden Abschnitt nach der genauen Problembeschreibung. 6. Nehmen Sie die notwendigen Änderungen auf den Domänencontrollern vor. 7. Führen Sie Dcdiag /test:CheckSecurityError /ReplSource:QuellDomänencontrollerName ein weiteres Mal aus. Beheben von DNS-Lookup-Problemen (Ereignis-IDs 1925, 2087, 2088) Domänencontroller unter Windows 2000 Server oder Windows Server 2003 können Active Directory nicht replizieren, wenn DNS-Lookups fehlschlagen und somit einen Kontakt mit dem Replikationspartner verhindern. Lookupfehler treten dann auf, wenn ein Domänencontroller den GUID-basierten CNAME-Ressourceneintrag des anderen Domänencontrollers nicht in einer IP-Adresse auflösen kann. Die entsprechenden DNSEinträge werden in der Zone _msdcs.GesamtstrukturStammdomäne registriert. Die meisten DNS-Fehler treten durch Fehlkonfigurationen der DNS-Clienteinstellungen oder durch Fehlerkonfiguration der DNS-Server auf. Es kann sich außerdem um Netzwerkprobleme und nicht mit dem Netzwerk verbundene Domänencontroller handeln. Verbesserungen der DomänencontrollerNamensauflösung in SP1 Domänencontroller unter Windows Server 2003 mit SP1 reagieren robuster auf Fehler der DNS-Namensauflösung. Statt sofort einen Fehler auszulösen, versuchen diese Domänencontroller eine alternative Namensauflösung und halten diese Aktion im Ereignisprotokoll fest. Szenarien für DNS-Fehler Alle Domänencontroller registrieren mehrere SRV-Ressoruceneintrage (Service Location) und Hosteinträge (A) für jede ihrer IP-Adressen. Außerdem einen zusätzlichen Hosteintrag für jede IP-Adresse, wenn es sich um einen globalen Katalog Server handelt. Zusätzlich wird für jeden Domänencontroller ein CNAME-Eintrag registriert. In der folgenden Tabelle finden Sie alle DNS-Ressourceneinträge, die für ein korrektes Funktionieren von Domänencontrollern notwendig sind. Abkürzung Typ Ressourceneintrag pdc SRV _ldap._tcp.pdc._msdcs.DnsDomänenname gc SRV _ldap_tcp.gc._msdcs.DnsGesamtstrukturStammdomänenname GcIpAddress A _gc._msdcs.DnsGesamtstrukturStammdomänenname Abkürzung Typ Ressourceneintrag DsaCname CNAME DsaGuid._msdcs.DnsGesamtstrukturStammdomänenname kdc SRV _kerberos._tcp.dc._msdcs.DnsDomänenname dc SRV _ldap._tcp.dc._msdcs.DnsDomänenname None A DomänencontrollerFQDN Der CNAME-Eintrag (DSA_GUID._msdcs.DnsGesamtstrukturStammdomänenname), DSA_GUID ist die GUID aus dem NTDS-Settings-Objekt (auch Directory System Agent DAS-Objekt genannt) des Domänencontrollers. DnsGesamtstrukturStammdomänenname ist der DNS-Name der Gesamtstruktur, in der sich der Domänencontroller befindet. Ziel-Domänencontroller nutzen den CNAMEEintrag, um ihren Replikationspartner zu finden. Der NetLogon-Dienst auf dem Domänencontroller registriert beim Start des Betriebssystems alle SRV-Einträge. Außerdem aktualisiert er diese regelmäßig. Der DNS-Clientdienst registriert den A-Eintrag. Mit den folgenden Schritten findet ein Domänencontroller seinen Replikationspartner: 1. Er fragt seinen DNS-Server nach dem CNAME-Eintrag des Partners. Unter Windows 2000 Server oder Windows Server 2003 ohne SP wird bei einem Fehlerschlag ein Replikationsfehler ausgelöst. 2. Unter Windows Server 2003 mit SP1 wird bei einem Fehlerschlag nach dem AEintrag des Partners gesucht (Beispiel DC03.corp.contoso.com). 3. Wenn dies ebenfalls fehlschlägt, führt der Domänencontroller einen NetBIOSBroadcast durch und versucht, den Namen des Partners so aufzulösen. Wenn die Namensauflösung fehlschlägt, wird ein Eintrag im Verzeichnisprotokoll erstellt. DNS-Ereignisse bei fehlerhaften Namensauflösungen Unter Windows Server 2003 mit SP1 werden die beiden Ereignisse 2087 und 2088 protokolliert: Bei einem Fehlschlag wird Ereignis-ID 2087 protokolliert. Wenn die Namensauflösung zwar erfolgreich ist, jedoch der erste oder zweite Schritt fehlgeschlagen ist, wird Ereignis-ID 2088 protokolliert. Auf Domänencontrollern unter Windows 2000 Server oder Windows Server 2003 ohne SP hat der Domänencontroller bei Ereignis-ID 1925 keinen Replikationspartner gefunden. Unabhängig davon, ob die Replikation erfolgreich oder nicht erfolgreich ist, wird EreignisID 1925, Ereignis-ID 2087 oder Ereignis-ID 2088 protokolliert. Sie sollten auf jeden Fall den Grund für dieses Ereignis ermitteln. DNS-Anforderungen für einen erfolgreichen CNAME-Lookup Wenn CNAME-Lookup fehlschlägt, bedeutet dies im Allgemeinen, dass der DNS-Client oder der DNS-Server nicht korrekt konfiguriert ist. Das Auflösen eines vollqualifizierten, GUID-basierten CNAME-Eintrags setzt die folgenden DNS-Konfigurationen voraus: 1. In ihren TCP/IP-Clienteinstellungen müssen beide Domänencontroller so konfiguriert sein, dass Sie DNS-Server verwenden, die Zonenweiterleitungen oder delegierungen für die folgenden Zonen oder die direkten Zonen hosten. : a. _msdcs.ForestRootDNSDomänenname b. Die DNS-Zone, die dem primären DNS-Suffix des Ziel-Domänencontroller entspricht. Wenn die DNS-Server diese Zonen nicht direkt hosten, müssen Sie für eine Weiterleitung an die entsprechenden DNS-Server konfiguriert sein. 2. Der Quell-Domänencontroller muss die folgenden Ressourceneinträge registriert haben: GUID-basierter CNAME-Eintrag für die Zone _msdcs.ForestRootDNSDomänenname Host-Eintrag in der Zone, die seinem primären DNS-Suffix entspricht. Potenzielle Fehler aufgrund der Replikationslatenz Es kann sein, dass die DNS-Konfiguration auf beiden Domänencontroller korrekt ist, aber dass die DNS-Einträge aufgrund von Konfigurationsänderungen auf dem QuellDomänencontroller noch nicht in Kraft sind. In diesem Fall kann ein DNS-Lookup folgendermaßen fehlschlagen: Wenn der Quell-Domänencontroller den DNS-Server, auf dem er seine Einträge registriert, ändert, kann es sein, dass sich die Einträge des vom ZielDomänencontroller abgefragten DNS-Servers von den Einträgen auf dem neuen DNS-Server des Quell-Domänencontrollers unterscheiden. Dies kann passieren, wenn die Einträge noch nicht zum DNS-Server des Ziel-Domänencontrollers repliziert wurden. Sollte ein solches Problem auftreten, wählen Sie aus der folgenden Liste das Verfahren aus, das das Problem am besten beschreibt. Ereignis-ID 1925: Aufgrund eines DNS-Lookup-Problems fehlgeschlagener Versuch, eine Replikationsverbindung aufzubauen Ereignis-ID 2087: DNS-Lookup sorgt für einen Replikationsfehler Ereignis-ID 2088: DNS-Lookup-Fehler mit erfolgreicher Replikation Ereignis-ID 1925: Aufgrund eines DNSLookup-Problems fehlgeschlagener Versuch, eine Replikationsverbindung aufzubauen Bei Ereignis-ID 1925 ist die eingehende Replikation einer Verzeichnispartition fehlgeschlagen. Sie müssen das entsprechende DNS-Problem beheben. Beispielanzeige für das Ereignis: Ereignistyp:Warnung Ereignisquelle:NTDS KCC Ereigniskategorie:Knowledge Consistency Checker Ereignis-ID:1925 Datum:3/24/2005 Uhrzeit:9:15:46 AM Benutzer:NT AUTHORITY\ANONYMOUS LOGON Computer:DC3 Beschreibung: The attempt to establish a replication link for the following writable directory partition failed. Directory partition: CN=Configuration,DC=contoso,DC=com Source domain controller: CN=NTDS Settings,CN=DC1,CN=Servers,CN=Default-First-SiteName,CN=Sites,CN=Configuration,DC=contoso,DC=com Source domain controller address: f8786828-ecf5-4b7d-ad12-8ab60178f7cd._msdcs.contoso.com Intersite transport (if any): This domain controller will be unable to replicate with the source domain controller until this problem is corrected. User Action Verify if the source domain controller is accessible or network connectivity is available. Additional Data Error value: 8524 The DSA operation is unable to proceed because of a DNS lookup failure. Lösung Gehen Sie nach den im Abschnitt “Ereignis-ID 2087: DNS-Lookup sorgt für einen Replikationsfehler” beschriebenen Schritten vor. Ereignis-ID 2087: DNS-Lookup sorgt für einen Replikationsfehler Wenn ein Ziel-Domänencontroller unter Windows Server 2003 mit Service Pack 1 (SP1) das Ereignis 2087 auslöst, konnte der Name des Quell-Domänencontrollers über keinen der möglichen Wege aufgelöst werden. Beispielanzeige für das Ereignis: Ereignistyp:Fehler Ereignisquelle:NTDS Replication Ereigniskategorie:DS RPC Client Ereignis-ID:2087 Datum:3/9/2005 Uhrzeit:11:00:21 AM Benutzer:NT AUTHORITY\ANONYMOUS LOGON Computer:DC3 Beschreibung: Active Directory could not resolve the following DNS host name of the source domain controller to an IP address. This error prevents additions, deletions and changes in Active Directory from replicating between one or more domain controllers in the forest. Security groups, group policy, users and computers and their passwords will be inconsistent between domain controllers until this error is resolved, potentially affecting logon authentication and access to network resources. Source domain controller: dc2 Failing DNS host name: b0069e56-b19c-438a-8a1f-64866374dd6e._msdcs.contoso.com NOTE: By default, only up to 10 DNS failures are shown for any given 12 hour period, even if more than 10 failures occur. To log all individual failure events, set the following diagnostics registry value to 1: Registry Path: HKLM\System\CurrentControlSet\Services\NTDS\Diagnostics\22 DS RPC Client User Action: 1) If the source domain controller is no longer functioning or its operating system has been reinstalled with a different computer name or NTDSDSA object GUID, remove the source domain controller’s metadata with ntdsutil.exe, using the steps outlined in MSKB article 216498. 2) Confirm that the source domain controller is running Active Directory and is accessible on the network by typing “net view \\<source DC name>” or “ping <source DC name>”. 3) Verify that the source domain controller is using a valid DNS server for DNS services, and that the source domain controller’s host record and CNAME record are correctly registered, using the DNS Enhanced version of DCDIAG.EXE available on http://www.microsoft.com/dns dcdiag /test:dns 4) Verify that that this destination domain controller is using a valid DNS server for DNS services, by running the DNS Enhanced version of DCDIAG.EXE command on the console of the destination domain controller, as follows: dcdiag /test:dns 5) For further analysis of DNS error failures see KB 824449: http://support.microsoft.com/?kbid=824449 Additional Data Error value: 11004 The requested name is valid, but no data of the requested type was found. Ursache Ein Fehler bei der Auflösung des CNAME-Eintrags des Quell-Domänencontrollers kann die folgenden Ursachen haben: Der Quell-Domänencontroller ist nicht in Betrieb, offline oder in einem isolierten Netzwerk. Es liegt eine der folgenden Situationen vor: Der Quell-Domänencontroller hat seine SRV-Einträge nicht in DNS registriert. Der Ziel-Domänencontroller nutzt einen ungültigen DNS-Server. Der Quell-Domänencontroller nutzt einen ungültigen DNS-Server. Der DNS-Server, der vom Quell-Domänencontroller verwendet wird, hostet nicht die richtigen Zonen, oder die Zonen sind nicht für dynamische Änderungen konfiguriert. Die vom Ziel-Domänencontroller abgefragten DNS-Server können die Anfragen nicht auflösen und sind mit fehlerhaften Weiterleitungen oder Delegierungen konfiguriert. Active Directory wurde vom Quell-Domänencontroller entfernt und mit der gleichen IP-Adresse neu installiert. Die neue NTDS-Settings-GUID ist jedoch noch nicht auf dem Ziel-Domänencontroller angekommen. Active Directory wurde vom Quell-Domänencontroller entfernt und mit einer anderen IP-Adresse neu installiert. Der A-Eintrag für die IP-Adresse des QuellDomänencontrollers ist jedoch entweder nicht registriert oder ist auf dem DNS-Server des Ziel-Domänencontrollers noch nicht vorhanden. Das Betriebssystem des Quell-Domänencontrollers wurde mit einem anderen Computernamen neu installiert. Die Metadaten wurden jedoch nicht entfernt, oder die Änderung ist noch beim Ziel-Domänencontroller angekommen. Lösung Stellen Sie zuerst fest, ob der Quell-Domänencontroller korrekt arbeitet. Wenn dies nicht der Fall ist, entfernen Sie seine Metadaten. Wenn er korrekt arbeitet, fahren Sie mit den folgenden Schritten fort: Diagnose von DNS-Probleme mit Dcdiag. Registrieren der DNS-SRV-Einträge plus A-Eintrag. Synchronisation der Replikation zwischen Quell- und Ziel-Domänencontroller. Überprüfen der Konsistenz der NTDS-Settings-GUID. Prüfen, ob ein Domänencontroller korrekt arbeitet Anforderungen Administrative Berechtigungen: Sie müssen Mitglied der Gruppe Domänenbenutzer sein. Tools: Net view Prüfen, ob ein Domänencontroller korrekt arbeitet Geben Sie den folgenden Befehl ein, und drücken Sie dann die EINGABETASTE: net view \\Quell-DomänencontrollerName wobei Quell-DomänencontrollerName der NetBIOS-Name des Domänencontrollers ist. Dieser Befehl zeigt die Netlogon- und SYSVOL-Freigaben an. Sollte der Domänencontroller tatsächlich nicht korrekt arbeiten und nicht wiederhergestellt werden können, führen Sie die Schritte aus dem nächsten Abschnitt aus. Entfernen der Metadaten Die Bereinigung der Metadaten wird mit Ntdsutil.exe durchgeführt. Sie entfernt alle Daten aus Active Directory, die einen Domänencontroller identifizieren. Unter Windows Server 2003 Service Pack 1 (SP1) entfern das Verfahren außerdem automatisch FRS-Verbindungen und versucht, alle Betriebsmasterrollen, die der alte Domänencontroller innehatte, zu übertragen oder zu übernehmen. Administrative Berechtigungen Um das Verfahren durchführen zu können, müssen Sie Mitglied der Gruppe Organisations-Admins sein. Bereinigen der Metadaten 1. Öffnen Sie eine Eingabeaufforderung. 2. Geben Sie den folgenden Befehl ein, und drücken Sie dann die EINGABETASTE: ntdsutil 3. Führen Sie den folgenden Befehl aus: metadata cleanup Wenn Sie Ntdsutil.exe unter Windows Server 2003 SP1 nutzen, führen Sie den folgenden Befehl aus: remove selected server ServerName oder remove selected server ServerName1 on ServerName2 Wert Beschreibung ServerName, ServerName1 DNs der Domänencontroller, dessen Metadaten Sie löschen wollen. (cn=ServerName,cn=Servers,cn=Standortname, cn=Sites,cn=Configuration,dc=Stammdomäne ServerName2 DNS-Name des Domänencontrollers, von dem Sie die Metadaten entfernen möchten. Wenn Sie Ntdsutil.exe unter Windows Server 2003 ohne SP ausführen, gehen Sie folgendermaßen vor: a. Geben Sie den folgenden Befehl ein: connection b. Geben Sie den folgenden Befehl ein: connect to server Server c. Geben Sie den folgenden Befehl ein: quit d. Geben Sie den folgenden Befehl ein: select operation target e. Geben Sie den folgenden Befehl ein: list sites Eine Liste mit Standorten wird angezeigt. f. Geben Sie den folgenden Befehl ein: select site Standortnummer g. Geben Sie den folgenden Befehl ein: list domains in site Es sollte eine Liste mit den Domänen am ausgewählten Standort angezeigt werden. h. Geben Sie den folgenden Befehl ein: select domain Domänennummer i. Geben Sie den folgenden Befehl ein: list servers in site Eine Liste mit Servern wird angezeigt. j. Geben Sie den folgenden Befehl ein: select server ServerNummer k. Geben Sie den folgenden Befehl ein: quit l. Geben Sie den folgenden Befehl ein: remove selected server Nun sollte Active Directory bestätigen, dass der Domänencontroller entfernt wurde. 5. Geben Sie quit ein. Diagnose von DNS-Probleme mit Dcdiag Wenn der Domänencontroller online ist, nutzen Sie Dcdiag zur Diagnose und Behebung von DNS-Problemen. Verwenden Sie eines oder mehrere der folgenden Verfahren: Prüfen Sie die Konnektivität und die grundlegende DNS-Funktionalität. Prüfen Sie die Registrierung der CNAME-Einträge. Prüfen Sie, ob dynamische Aktualisierungen aktiviert sind. Bevor Sie mit weiteren Schritten beginnen, sammeln Sie die folgenden Informationen (Sie finden Sie im Text des Ereignisses 2087: Den FQDN des Quell- und Ziel-Domänencontrollers. Die IP-Adresse des Quell-Domänencontrollers. Die Dcdiag-Version aus den Windows Support Tools von Windows Server 2003 SP1 testet grundlegende und erweiterte DNS-Features. Mit ihm können Sie die grundlegende DNS-Funktionalität und die dynamischen Updates testen. Anforderungen Administrative Berechtigungen: Um die Tests der SP1-Version von Dcdiag durchführen zu können, müssen Sie Mitglied der Gruppe Organisations-Admins sein. Tools: Dcdiag.exe Betriebssystem: Die erweiterte Version können Sie unter den folgenden Betriebssystemen ausführen: Windows XP Professional Windows Server 2003 Windows Server 2003 mit SP1 Sie können die neuen Dcdiag-DNS-Tests gegen Microsoft DNS-Server ausführen, die unter den folgenden Betriebssystemen ausgeführt werden: Windows 2000 Server Service Pack 3 (SP3) Windows 2000 Server Service Pack 4 (SP4) Windows Server 2003 Windows Server 2003 mit SP1 Anmerkung Mit dem Schalter /f: können Sie die Ausgaben von Dcdiag in einer Textdatei speichern. Prüfen der grundlegenden DNS-Funktionalität Zu den grundlegenden DNS-Tests gehören: Konnektivität: Dieser Test prüft, ob die Domänencontroller angepingt werden können und ob eine LDAP/RPC-Konnektivität besteht. Wenn diese Tests fehlschlagen, werden keine weiteren Tests ausgeführt. Grundlegende Dienste: Dieser Test prüft die folgenden Dienste: DNS-Client NetLogon Key Distribution Center (KDC) DNS-Server DNS-Client-Konfiguration: Prüft, ob alle DNS-Server aller Adapter erreichbar sind. Registrierung der Ressourceneinträge: Prüft, ob ein A-Eintrag auf mindesten einem der DNS-Server des Clients registriert ist. Zone und SOA: Wenn der Domänencontroller den DNS-Server-Dienst ausführt, prüft der Test, ob die Active Directory-Domänen-Zone und ein SOA-Eintrag für die Zone vorhanden sind. Stammzone: Prüft, ob die Stammzone (.) vorhanden ist. Prüfen der grundlegenden DNS-Funktionalität . Öffnen Sie eine Eingabeaufforderung. Geben Sie den folgenden Befehl ein, und drücken Sie dann die EINGABETASTE: dcdiag /test:dns /s:DomänencontrollerName /DnsBasic wobei DomänencontrollerNameis der DNS- oder NetBIOS-Name oder der DN des zu testenden Domänencontrollers ist. Wenn Sie den Schalter /s: nicht verwenden, wird der Test gegen den lokalen Domänencontroller ausgeführt. Mit /e: testen Sie alle Domänencontroller der Gesamtstruktur. 2. Kopieren Sie den Bericht in Notepad. 3. Scrollen Sie zur Zusammenfassung am Ende. 4. Notieren Sie sich die Namen aller Domänencontroller, bei denen als Status “Warn” oder “Fail” angegeben ist. 5. Suchen Sie in den entsprechenden Abschnitt nach der genauen Problembeschreibung. 6. Nehmen Sie die notwendigen Änderungen vor. 7. Führen Sie Dcdiag /test:CheckSecurityError mit /e: oder /s: ein weiteres Mal aus. 7. Führen Sie dcdiag /test:dns /s:DomänencontrollerName /DnsBasic ein weiteres Mal aus. Prüfen der Registrierung der Ressourceneinträge Der Ziel-Domänencontroller nutzt den CNAME-Eintrag, um den Quell-Domänencontroller zu finden. Mit dcdiag /test:dns /DnsRecordRegistration können Sie prüfen, ob die folgenden Ressourceneinträge vorhanden sind: CNAME A LDAP SRV GC SRV PDC SRV Wenn der CNAME-Eintrag nicht registriert ist, prüfen Sie, ob dynamische Updates aktiviert werden. Prüfen der dynamischen Updates Mit diesem Test können Sie prüfen, ob der NetLogon-Dienst die Einträge möglicherweise nicht registrieren konnte. Der beim Test erstelle Eintrag wird hinterher automatisch wieder gelöscht. Prüfen der dynamischen Updates Öffnen Sie eine Eingabeaufforderung. Geben Sie den folgenden Befehl ein, und drücken Sie dann die EINGABETASTE: dcdiag /test:dns /s:Quell-DomänencontrollerName /DnsDynamicUpdate wobei Quell-DomänencontrollerName dern DN, NetBIOS- oder DNS-Name des Domänencontrollers ist. Mit /e: können Sie alle Domänencontroller prüfen. Wenn keine sicheren dynamischen Updates konfiguriert sind, gehen Sie folgendermaßen vor: Aktivieren von sicheren dynamischen Updates 1. Öffnen Sie die DNS-Konsole. 2. Klicken Sie im Konsolenbereich mit rechts auf die Zone, und klicken Sie dann auf Eigenschaften. 3. Stellen Sie sicher, dass die Zone unter der Registerkarte Allgemein als Active Directory-integriert angezeigt wird. 4. Klicken Sie unter Dynamische Updates auf Nur sichere. Registrieren der DNS-Ressourceneinträge Wenn keine DNS-Ressourceneinträge für den Quell-Domänencontroller vorhanden sind, müssen Sie diese manuell registrieren. Sie können dies über das folgende Verfahren erzwingen. Net Logon registriert die SRV-Einträge, und der DNS-Client registriert den AEintrag, auf den der CNAME-Eintrag verweist. Anforderungen Administrative Berechtigungen: Um dieses Verfahren ausführen zu können, müssen Sie Mitglied der Gruppe Domänen-Admins der Stammdomäne oder der Gruppe Organisations-Admins sein. Tools: net stop/start, ipconfig Registrieren der DNS-Ressourceneinträge 1. Führen Sie die folgenden Befehle aus: net stop net logon & net start net logon 2. Geben Sie die folgenden Befehle ein, und drücken Sie dann jeweils die EINGABETASTE: ipconfig /flushdns & ipconfig /registerdns 3. Warten Sie 15 Minuten, und prüfen Sie dann in der Ereignisanzeige, ob die Registrierung erfolgreich war. Synchronisation der Replikation zwischen Quell- und ZielDomänencontroller Wenn die DNS-Tests vollständig sind, synchronisieren Sie die Replikation für die eingehende Verbindung vom Quell-Domänencontroller an den Ziel-Domänencontroller. Anforderungen Administrative Berechtigungen: Sie müssen Mitglied der Gruppe Domänen-Admins in der Domäne des Ziel-Domänencontrollers sein. Tool: Active Directory-Standorte und -Dienste Synchronisation der Replikation zwischen Quell- und Ziel-Domänencontroller 1. Öffnen Sie Active Directory-Standorte und -Dienste. 2. Klicken Sie doppelt auf Sites, klicken Sie doppelt auf den Standort mit dem Domänencontroller, dessen Replikation Sie synchronisieren möchten. Klicken Sie doppelt auf Servers, klicken Sie doppelt auf den Domänencontroller, und klicken Sie dann auf NTDS Settings. 3. Suchen Sie unter der Spalte Von Server nach dem Verbindungsobjekt mit dem Namen des Quelldomänencontrollers. 4. Klicken Sie mit rechts auf das Verbindungsobjekt, und klicken Sie dann auf Jetzt replizieren. 5. Klicken Sie auf OK. Wenn die Replikation fehlschlägt, wiederholen Sie die Schritte aus diesem Abschnitt. Prüfen der Konsistenz der NTDS-Settings-GUID Wenn sie alle DNS-Tests und alle anderen Tests abgeschlossen haben und trotzdem keine erfolgreiche Replikation stattfindet, prüfen Sie die GUID des NTDS-SettingsObjekts, das der Ziel-Domänencontroller nutzt, um seinen Replikationspartner zu finden. Diese GUID muss der GUID entsprechen, die im Moment vom Quell-Domänencontroller verwendet wird. Anforderungen Administrative Berechtigungen: Sie müssen Mitglied in der Gruppe Domänen-Admins der Domäne des Ziel-Domänencontrollers sein. Tool: Ldp (Windows Support Tools) Prüfen der Konsistenz der NTDS-Settings-GUID 1. Klicken Sie auf Start, klicken Sie auf Ausführen, geben Sie Ldp ein, und klicken Sie dann auf OK. 2. Klicken Sie auf Connect. 3. Lassen Sie das Feld Server leer. 4. In Port geben Sie 389 ein, und klicken Sie dann auf OK. 5. Klicken Sie auf Bind. 6. Geben Sie Anmeldeinformationen eines Organisations-Admins ein. Wählen sie Domain aus. 7. Geben Sie den Namen der Stammdomäne ein, und klicken Sie dann auf OK. 8. Klicken Sie auf Tree. 9. Unter Tree View geben Sie den folgenden Wert ein: CN=Configuration,DC=Forest_Root_Domain und klicken Sie dann auf OK. 10. Navigieren Sie zu CN=NTDS Settings,CN=QuellServerName,CN=Servers,CN=Standortname, CN=Sites,CN=configuration,DC=GesamstrukturSTammdomäne. 11. Klicken Sie doppelt auf das NTDS Settings-Object, klicken Sie rechts mit der rechten Maustaste auf den Wert objectGUID, und kopieren Sie diese in Notepad. 12. Klicken Sie im Menü Connection auf Disconnect. 13. Wiederholen Sie die Schritte 2 bis 11 - geben Sie in Schritt 3 jedoch den Namen des Quell-Domänencontrollers ein. 14. Vergleichen Sie die zwei GUIDs in Notepad. 15. Wenn die Werte nicht übereinstimmen, muss der Ziel-Domänencontroller eine Replikation mit der gültigen GUID erhalten. Versuchen Sie den Domänencontroller mit einem Domänencontroller zu replizieren, der über die passende GUID verfügt. 16. Wenn die GUIDs übereinstimmen, prüfen Sie die GUID des Ressourceneintrags Dsa_Guid._msdcs.Dns_Domänen_Name: a. Alle DNS-Server, auf die der Domänencontroller zugreift, sollten diesen Ressourceneintrag direkt oder indirekt auflösen können. b. Ermitteln Sie den oder die autorisierenden DNS-Server für die Zone. c. Öffnen Sie auf den Servern aus Schritt b die DNS-Konsole, und klicken Sie doppelt auf die Forward-Lookup-Zone der Stammdomäne der Gesamtstruktur. Klicken Sie doppelt auf den Ordner _msdcs, und notieren Sie sich CNAME-Ressourceneinträge für den betreffenden Servernamen. d. Wenn es keine Ressourceneinträge gibt oder diese inkorrekt sind, lesen Sie den Artikel SRV Records Missing After Implementing Active Directory and Domain Name System unter http://go.microsoft.com/fwlink/?LinkId=69994. Ereignis-ID 2088: DNS-Lookup-Fehler mit erfolgreicher Replikation Wenn ein Ziel-Domänencontroller unter Windows Server 2003 Service Pack 1 (SP1) das Ereignis 2088 auslöst, ist das Auflösen des CNAME-Ressourceneintrags für den QuellDomänencontroller fehlgeschlagen. Der Domänencontroller versucht jedoch, den Namen über andere Wege aufzulösen. Auch wenn die Replikation so erfolgreich war, sollten Sie eine Diagnose durchführen. Beispielanzeige für das Ereignis: Ereignistyp:Warnung Ereignisquelle:NTDS Replication Ereigniskategorie:DS RPC Client Ereignis-ID:2088 Datum:3/21/2005 Uhrzeit:2:29:34 PM Benutzer:NT AUTHORITY\ANONYMOUS LOGON Computer:DC3 Beschreibung: Active Directory could not use DNS to resolve the IP address of the source domain controller listed below. To maintain the consistency of Security groups, group policy, users and computers and their passwords, Active Directory successfully replicated using the NetBIOS or fully qualified computer name of the source domain controller. Invalid DNS configuration may be affecting other essential operations on member computers, domain controllers or application servers in this Active Directory forest, including logon authentication or access to network resources. You should immediately resolve this DNS configuration error so that this domain controller can resolve the IP address of the source domain controller using DNS. Alternate server name: dc1 Failing DNS host name: 4a8717eb-8e58-456c-995a-c92e4add7e8e._msdcs.contoso.com NOTE: By default, only up to 10 DNS failures are shown for any given 12 hour period, even if more than 10 failures occur. To log all individual failure events, set the following diagnostics registry value to 1: Registry Path: HKLM\System\CurrentControlSet\Services\NTDS\Diagnostics\22 DS RPC Client User Action: 1) If the source domain controller is no longer functioning or its operating system has been reinstalled with a different computer name or NTDSDSA object GUID, remove the source domain controller’s metadata with ntdsutil.exe, using the steps outlined in MSKB article 216498. 2) Confirm that the source domain controller is running Active Directory and is accessible on the network by typing “net view \\<source DC name>” or “ping <source DC name>”. 3) Verify that the source domain controller is using a valid DNS server for DNS services, and that the source domain controller’s host record and CNAME record are correctly registered, using the DNS Enhanced version of DCDIAG.EXE available on http://www.microsoft.com/dns dcdiag /test:dns 4) Verify that that this destination domain controller is using a valid DNS server for DNS services, by running the DNS Enhanced version of DCDIAG.EXE command on the console of the destination domain controller, as follows: dcdiag /test:dns 5) For further analysis of DNS error failures see KB 824449: http://support.microsoft.com/?kbid=824449 Additional Data Error value: 11004 The requested name is valid, but no data of the requested type was found Ursache CNAME-Eintrag konnte nicht aufgelöst werden. Lösung Führen Sie die unter “Ereignis-ID 2087: DNS-Lookup sorgt für einen Replikationsfehler" beschriebenen DNS-Tests aus. Beheben von Konnektivitätsproblemen (Ereignis-ID 1925) Ein Problem mit der Netzwerkkonnektivität kann durch verschiedenste Ereignisse und Fehler angezeigt werden. Sie können solche Probleme mit den Schritten aus Ereignis-ID 1925: Versuch, eine Replikationsverbindung aufzubauen, schlug aufgrund von Konnektivitätsproblemen fehl diagnostizieren und beheben. Ereignis-ID 1925: Versuch, eine Replikationsverbindung aufzubauen, schlug aufgrund von Konnektivitätsproblemen fehl In der Beschreibung von Ereignis 1925 steht, dass der Versuch, eine Replikationsverbindung für eine Partition aufzubauen, fehlgeschlagen ist. Sie finden dort auch den DN der entsprechenden Partition. Der Fehlercode definiert das Problem außerdem genauer. Beispielanzeige für das Ereignis: Ereignistyp:Warnung Ereignisquelle:NTDS KCC Ereigniskategorie:Knowledge Consistency Checker Ereignis-ID:1925 Datum:3/24/2005 Uhrzeit:9:15:46 AM Benutzer:NT AUTHORITY\ANONYMOUS LOGON Computer:DC3 Beschreibung: The attempt to establish a replication link for the following writable directory partition failed. Directory partition: CN=Configuration,DC=contoso,DC=com Source domain controller: CN=NTDS Settings,CN=DC1,CN=Servers,CN=Default-First-SiteName,CN=Sites,CN=Configuration,DC=contoso,DC=com Source domain controller address: f8786828-ecf5-4b7d-ad12-8ab60178f7cd._msdcs.contoso.com Intersite transport (if any): CN=IP,CN=Inter-Site Transports,CN=Sites,CN=Configuration,DC=contoso,DC=com This domain controller will be unable to replicate with the source domain controller until this problem is corrected. User Action Verify if the source domain controller is accessible or network connectivity is available. Additional Data Error value: 1908 Could not find the domain controller for this domain. Ursache Wenn in Ereignis 1925 Fehler 1908 “Could not find the domain controller for this domain,” angezeigt wird, dann ist die Replikation aufgrund von Konnektivitätsproblemen zwischen dem Domänencontroller und seinem Replikationspartner fehlgeschlagen. Lösung Führen Sie die folgenden Tests durch: Prüfen der WAN-Konnektivität Ermitteln und wenn nötig Ändern der maximalen Paketgröße. Erzwingen einer Replikation und sammeln des Replikationsverkehrs mit dem Netzwerkmonitor. Analyse des Netzwerkverkehrs Prüfen der WAN-Konnektivität Weitere Informationen finden Sie im Artikel Description of the Portquery.exe commandline utility unter http://go.microsoft.com/fwlink/?LinkId=69995 und im Artikel Diagnoses and treatment of black hole routers unter http://go.microsoft.com/fwlink/?LinkId=69996. Ermitteln und wenn nötig Ändern der maximalen Paketgröße Das Kerberos-Authentifizierungsprotokoll von Windows 2000, Windows XP und Windows Server 2003 nutzt standardmäßig UDP - zumindest dann, wenn die Daten in Pakete passen, die kleiner als 2.000 Byte sind. Alle Daten, die über diesem Wert liegen, werden mit TCP übertragen. TCP-Pakete mit mehr als 1.500 Byte werden oft von Netzwerkgeräten verworfen. Um diese Probleme zu vermeiden, können Sie die Maximalgröße von Paketen festlegen. Über die Registrierung können Sie die maximale Menge an Byte, bei denen UDP verwendet wird, auf den kleinsten in Ihrem Netzwerk möglichen Wert festlegen (abzüglich acht Byte für den Header). Mit ping können Sie feststellen, wie groß die Pakete werden können: Anforderungen Administrative Berechtigungen: Sie müssen Mitglied der Gruppe Domänenbenutzer sein und das Recht Lokal anmelden auf dem Domänencontroller haben. Tool: PING 1. Pingen Sie vom Ziel-Domänencontroller aus den Quell-Domänencontroller an. Öffnen Sie eine Eingabeaufforderung. Geben Sie den folgenden Befehl ein, und drücken Sie dann die EINGABETASTE: ping IP_Addresse -f -l 1472 2. Pingen Sie vom Quell-Domänencontroller den Ziel-Domänencontroller an. 3. Wenn ping in beide Richtungen korrekt ausgeführt wird, sind keine weiteren Schritte erforderlich. 4. Wenn ping in eine der Richtungen fehlschlägt, verringern Sie die Zahl für den Parameter -l in kleinen Schritten, bis Sie die funktionierende Größe gefunden haben. Anmerkung Mit Dcdiag aus den Windows Server 2003 SP1 Support Tools können Sie den folgenden Test ausführen: dcdiag /test:CheckSecurityError /s:Quell-DomänencontrollerName Die Maximalgröße der Pakete können Sie über einen Registrierungsschlüssel festlegen (ziehen Sie acht Byte für den Header ab). Alternativ können Sie das permanente Verwenden von TCP erzwingen. Bearbeiten Sie den Wert MaxPacketSize unter HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\ Kerberos\Parameters. Vorsicht Der Registrierungseditor umgeht die normalen Sicherheitsfunktionen. Sie können so Einstellungen vornehmen, die das System beschädigen können oder sogar dafür sorgen können, dass Windows neu installiert werden muss. Wenn möglich, verwenden Sie statt des Registrierungseditors Gruppenrichtlinien oder andere Windows-Tools, um die Einstellungen zu konfigurieren und Aufgaben durchzuführen. Anforderungen Administrative Berechtigungen: Sie müssen Mitglied der Gruppe Domänen-Admins sein. Tool: Regedit.exe Ändern der maximalen Paketgröße 1. Klicken Sie auf Start, klicken Sie auf Ausführen, geben Sie regedit ein, und klicken Sie dann auf OK. 2. Navigieren Sie zu HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\ Kerberos\Parameters. 3. Bearbeiten oder erstellen Sie den Wert MaxPacketSize: Bearbeiten: Klicken Sie mit rechts auf MaxPacketSize; klicken Sie auf Ändern, geben Sie 1 ein, um Kerberos zu zwingen, TCP zu nutzen, oder geben Sie den ermittelten Wert ein. Erstellen: Klicken Sie mit rechts auf Parameters, klicken Sie auf Neuer DWORD Wert, geben Sie als Namen MaxPacketSize ein, und führen Sie Schritt 3 aus. 4. Klicken Sie auf OK. 5. Starten Sie den Domänencontroller neu. Weitere Informationen finden Sie unter http://go.microsoft.com/fwlink/?LinkId=69997. Erzwingen einer Replikation und sammeln des Replikationsverkehrs mit dem Netzwerkmonitor Mit dem Netzwerkmonitor können Sie den Netzwerkverkehr auf dem Quell- und ZielDomänencontroller sammeln. Starten Sie während der Datensammlung eine Replikation. Suchen Sie nach einer Kerberos-Fragmentierung, Out-of-order-Paketen, Latenzen oder Netzwerkverkehr, der auf einer Seite gesendet wird, aber auf der anderen Seite nicht ankommt. Informationen zur Verwendung des Netzwerkmonitors finden Sie unter http://go.microsoft.com/fwlink/?LinkId=42987. Erstellen einer Adressdatenbank Um Adresspaare in einem Filter verwenden zu können, müssen Sie erst eine Adressdatenbank erstellen. Anforderungen Administrative Berechtigungen: Sie müssen Mitglied der Gruppe Domänen-Admins der Stammdomäne oder der Gruppe Organisations-Admins sein. Tool: Netzwerkmonitor Erstellen einer Adressdatenbank 1. Öffnen Sie den Netzwerkmonitor. 2. Wenn Sie das lokale Netzwerk festlegen sollen, wählen Sie das Netzwerk, aus dem Sie Daten sammeln möchten. 3. Klicken sie unter Sammeln auf Start. 4. Klicken Sie unter Sammeln auf Beenden und Anzeigen. 5. Klicken Sie unter Anzeige auf Alle Namen finden. 6. Klicken Sie auf OK. Alle Adressen werden zur Datenbank hinzugefügt. 7. Klicken Sie unter Fenster auf die lokale Verbindung. Sammeln von Netzwerkrahmen Um Rahmen zu sammeln, die von einem bestimmten Computer an Ihren Computer gesendet wurden, müssen Sie ein oder mehrere Adresspaare in einem Filter angeben. Sie können bis zu vier Paare gleichzeitig überwachen. Ein Adresspaar besteht aus: Den Adressen der beiden Computer. Pfeilen, die die Richtung des zu überwachenden Netzwerkverkehrs angeben. Den Schlüsselworten INCLUDE oder EXCLUDE, die festlegen, wie der Netzwerkmonitor auf Rahmen reagieren soll, die den Filtereinstellungen entsprechen. Anforderungen Administrative Berechtigungen: Sie müssen Mitglied der Gruppe Domänen-Admins der Stammdomäne oder der Gruppe Organisations-Admins sein. Tool: Netzwerkmonitor Sammeln von Rahmen 1. Öffnen Sie den Netzwerkmonitor. 2. Wenn Sie das lokale Netzwerk festlegen sollen, wählen Sie das Netzwerk, aus dem Sie Daten sammeln möchten. 3. Klicken Sie unter Sammeln auf Puffereinstellungen. 4. Legen Sie die Größen von Puffer und Rahmen entsprechend fest, und klicken Sie dann auf OK. 5. Klicken Sie unter Sammeln auf Filter. 6. Klicken Sie doppelt auf Adresspaare. 7. Wählen Sie eine Adresse für Station 1 und eine für Station 2 aus. 8. Wählen Sie unter Richtung eines der folgenden Symbole: <--> um den Netzwerkverkehr in beide Richtungen zu überwachen. --> oder <-- um nur eine Richtung zu überwachen. 9. Klicken Sie zweimal auf OK. 10. Klicken Sie unter Sammeln auf Start. Erzwingen der Replikation Anforderungen Anmeldeinformationen: Um dieses Verfahren abschließen zu können, müssen Sie Mitglied der Gruppe Domänen-Admins in der Stammdomäne oder der Gruppe Organisations-Admins der Gesamtstruktur sein. Tools: Active Directory-Standorte und -Dienste (Administrative Tools) Starten der Replikation 1. Öffnen Sie Active Directory-Standorte und -Dienste. 2. Klicken Sie doppelt auf Sites, klicken Sie doppelt auf den Standort des Domänencontrollers, mit dem repliziert werden soll, klicken Sie doppelt auf Servers, klicken Sie doppelt auf das Serverobjekte des Domänencontrollers, und klicken Sie dann auf NTDS Settings. 3. Suchen Sie in der Spalte Von Server den Quell-Domänencontroller. 4. Klicken Sie mit rechts auf das entsprechende Verbindungsobjekt, und klicken Sie dann auf Jetzt replizieren. 5. Klicken Sie auf OK. Analysieren Sie den Netzwerkverkehr beider Domänencontroller, und stellen Sie fest, ob gesendeter Netzwerkverkehr möglicherweise nicht an anderen Domänencontrollern ankommt. Weitere Informationen zum Netzwerkmonitor finden Sie unter http://go.microsoft.com/fwlink/?LinkId=41936). Beheben von Problemen mit der Replikationstopologie (Ereignis-ID1311) Der Knowledge Consistency Checker (KCC) erstellt und pflegt die Active DirectoryReplikationstopologie automatisch. Alle 15 Minuten prüft er alle Replikationen, die sich auf den Domänencontrollern der Gesamtstruktur befinden, sowie alle vom Administrator definierten Standorte, Verbindungen und Standortverknüpfungen. Auch wenn die Erstellung der Topologie automatisch passiert, kann es zu administrativen Konfigurationsfehlern kommen, die dann zu einer Topologie führen, die nicht den physisch vorhandenen Verbindungen entspricht. Unter Active Directory ist es möglich, Verbindungsobjekte zu erstellen, obwohl gar keine physische Verbindung vorhanden ist. Der KCC versucht, diese Objekte zur Erstellung der Topologie zu verwenden. Wenn die Replikationskonfiguration von Active Directory nicht die physische Topologie widerspiegelt , wird Ereignis-ID 1311 im Verzeichnisprotokoll generiert. Sie können solche Probleme mit den Schritten aus Ereignis-ID 1311: Replikationskonfiguration entspricht nicht der physischen Topologie erkennen und beheben. Ereignis-ID 1311: Replikationskonfiguration entspricht nicht dem physischen Netzwerk Beispielanzeige für das Ereignis: Ereignistyp:Fehler Ereignisquelle:NTDS KCC Ereigniskategorie:Knowledge Consistency Checker Ereignis-ID:1311 Datum:3/9/2005 Uhrzeit:6:39:58 PM Benutzer:NT AUTHORITY\ANONYMOUS LOGON Computer:DC3 Beschreibung: The Knowledge Consistency Checker (KCC) has detected problems with the following directory partition. Directory partition: CN=Configuration,DC=contoso,DC=com There is insufficient site connectivity information in Active Directory Sites and Services for the KCC to create a spanning tree replication topology. Or, one or more domain controllers with this directory partition are unable to replicate the directory partition information. This is probably due to inaccessible domain controllers. User Action Use Active Directory-Standorte und -Dienste to perform one of the following actions: - Publish sufficient site connectivity information so that the KCC can determine a route by which this directory partition can reach this site. This is the preferred option. - Add a Connection object to a domain controller that contains the directory partition in this site from a domain controller that contains the same directory partition in another site. If neither of the Active Directory-Standorte und -Dienste tasks correct this condition, see previous events logged by the KCC that identify the inaccessible domain controllers. Ursache Das Problem kann die folgenden Ursachen haben: Für ein Netzwerk, das über keine physische Netzwerkkonnektivität zwischen zwei Domänencontrollern in verschiedenen über eine Standortverknüpfung verbundenen Standorten verfügt, ist Site-Link-Bridging aktiviert. Bridging für alle Standortverknüpfung ist in Active Directory-Standorte und Dienste aktiviert, aber es gibt keine Netzwerkkonnektivität zwischen zwei Domänencontrollern der Gesamtstruktur. Einer oder mehrere Standorte gehören keiner Standortverknüpfung an. Standortverknüpfungen umfassen alle Standorte, aber sie sind nicht miteinander verbunden. Einer oder mehrere Domänencontroller sind offline. Bridgehead-Domänencontroller sind online, aber wenn Sie versuchen, eine Verzeichnispartition zwischen Standorten zu replizieren, kommt es zu Fehlern. Vom Administrator definierte Bridgeheadserver sind online, sie können die benötigte Partition jedoch nicht hosten. Normalerweise aufgrund eines Servers, der nicht globaler Katalog ist als Bridgeheadserver. Bevorzugte Bridgeheadserver sind durch den Administrator definiert, aber offline. Der Bridgeheadserver ist überlastet. Der Knowledge Consistency Checker (KCC) hat einen alternativen Pfad für eine ausgefallene Standortverknüpfung erstellt, versucht aber alle 15 Minuten wieder, die ausgefallene Standortverknüpfung zu verwenden. Lösung Mit den folgenden Verfahren können Sie Fehler mit der Ereignis-ID 1311 beheben: Umfang des Problems ermitteln Site-Link-Bridging prüfen Prüfen, ob ein Netzwerk geroutet ist. Prüfen, ob alle Standorte verbunden sind. Prüfen von bevorzugten Bridgeheadservern. Umfang des Problems ermitteln Stellen Sie fest, ob das Problem auf allen Domänencontroller der Domäne besteht, die ISTG-Rolleninhaber sind, oder nur auf den standortspezifischen Domänencontrollern. Stellen Sie zuerst die ISTG-Rolleninhaber aller Standorte fest: Anforderungen Administrative Berechtigungen: Sie müssen Mitglied der Gruppe Domänen-Admins sein. Tool: Ldp (Windows Support Tools) Ermitteln der ISTG-Rolleninhalber aller Standorte 1. Klicken Sie auf Start, klicken Sie auf Ausführen, geben Sie Ldp ein, und klicken Sie dann auf OK. 2. Klicken Sie im Menü Connection auf Connect. 3. Geben Sie unter Server nichts ein. 4. In Port geben Sie 389 ein, und klicken Sie dann auf OK. 5. Klicken Sie unter Connection auf Bind. 6. Geben Sie Anmeldeinformationen eines Organisations-Admins ein. Wählen Sie Domain aus. 7. Geben Sie den Namen der Stammdomäne der Gesamtstruktur ein, und klicken Sie dann auf OK. 8. Klicken Sie im Menü Browse auf Search. 9. Geben Sie unter Base dn den folgenden Wert ein: CN=Sites,CN=Configuration,DC=Gesamtstruktur_Stammdomäne 10. Geben Sie unter Filter den folgenden Wert ein: (CN=NTDS Site Settings) 11. Klicken Sie auf Subtree. 12. Klicken Sie auf Options, und scrollen Sie unter Attributes bis zum Ende der Liste. Geben Sie den folgenden Wert ein: ;interSiteTopologyGenerator und klicken Sie dann auf OK. 13. Klicken Sie auf Run. 14. Notieren Sie sich die Einträge interSiteTopologyGenerator der Ausgabe. Prüfen Sie die Ereignisprotokolle aller ISTG-Rolleninhaber der Gesamtstruktur, oder prüfen Sie zumindest eine relevante Anzahl der Rolleninhaber. Wenn weiterhin Ereignis-ID 1311 auftritt, fahren Sie mit dem nächsten Schritt fort. Site-Link-Bridging prüfen Mit dem folgenden Verfahren stellen Sie fest, ob Site-Link-Bridging aktiviert ist. Anforderungen Administrative Berechtigungen: Sie müssen Mitglied der Gruppe Domänen-Admins sein. Tool: Active Directory-Standorte und -Dienste Site-Link-Bridging prüfen 1. Öffnen Sie Active Directory-Standorte und -Dienste. 2. Klicken Sie doppelt auf Sites, und klicken Sie doppelt auf Inter-Site Transports. 3. Klicken Sie mit rechts auf IP und auf Eigenschaften. Brücke zwischen allen Standortverknüpfungen herstellen sollte aktiviert sein. Für Brücke zwischen allen Standortverknüpfungen herstellen ist ein vollständig geroutetes Netzwerk notwendig. Andernfalls müssen Sie die Standortverknüpfungsbrücken manuell herstellen. Prüfen, ob ein Netzwerk geroutet ist Feststellen, ob zwei Standorte über ein vollständig geroutetes Netzwerk verbunden sind. Wenn das Netzwerk nicht vollständig geroutet ist, deaktivieren Sie Site-Link-Bridging und erstellen Sie die erforderlichen Standortverknüpfungen und Standortverknüpfungsbrücken manuell nach den Verfahren im Abschnitt Verknüpfen von Standorten für die Replikation. Anmerkung Site-Link-Bridging ist standardmäßig aktiviert. Als Best Practice sollte es in vollständig gerouteten Netzwerken aktiviert bleiben. Deaktivieren von Site-Link-Bridging Anforderungen Administrative Berechtigungen: Um dieses Verfahren ausführen zu können, müssen Sie Mitglied der Gruppe Domänen-Admins der Stammdomäne oder der Gruppe Organisations-Admins sein. Tool: Active Directory-Standorte und -Dienste Deaktivieren von Site-Link-Bridging 1. Öffnen Sie Active Directory-Standorte und -Dienste. 2. Klicken Sie doppelt auf Sites, und klicken Sie doppelt auf Inter-Site Transports. 3. Klicken Sie mit rechts auf IP und auf Eigenschaften. Wenn Brücke zwischen allen Standortverknüpfungen herstellen aktiviert ist, deaktivieren Sie die Einstellung. Erstellen einer Standortverknüpfungsbrücke Wenn das Netzwerk nicht vollständig geroutet ist, müssen Sie die Standortverknüpfungsbrücken manuell herstellen. Anforderungen Administrative Berechtigungen: Um dieses Verfahren ausführen zu können, müssen Sie Mitglied der Gruppe Domänen-Admins der Stammdomäne oder der Gruppe Organisations-Admins sein. Tool: Active Directory-Standorte und -Dienste Erstellen einer Standortverknüpfungsbrücke 1. Öffnen Sie Active Directory-Standorte und -Dienste. 2. Klicken Sie doppelt auf Sites, und klicken Sie doppelt auf Inter-Site Transports. 3. Klicken Sie mit rechts auf IP und auf Neue Standortverknüpfungsbrücke. 4. In Name geben Sie einen Namen für die Brücke ein. 5. Klicken Sie auf zwei oder mehr Standorte, die verbunden werden sollen, und dann auf Hinzufügen. Warten Sie einen Zeitraum ab der zweimal so groß wie das längste Replikationsintervall ist. Wenn weiterhin Ereignis-ID 1311 auf den ISTG-Rolleninhabern auftritt fahren Sie mit dem nächsten Schritt fort. Prüfen, ob alle Standorte verbunden sind Wenn das Netzwerk vollständig geroutet ist, verwenden Sie Repadmin, um sicherzustellen, dass die standortübergreifende Replikation zwischen Domänencontrollern in unterschiedlichen Standorten funktioniert. Anforderungen Administrative Berechtigungen: Um dieses Verfahren ausführen zu können, müssen Sie Mitglied der Gruppe Domänen-Admins oder der Gruppe Organisations-Admins sein der Stammdomäne sein. Tool: Repadmin.exe (Windows Support Tools) Anzeigen aller Standortverknüpfungen 1. Öffnen Sie eine Eingabeaufforderung. Geben Sie den folgenden Befehl ein, und drücken Sie dann die EINGABETASTE: repadmin /showism “CN=IP,CN=Inter-Site Transports,CN=Sites,CN=Configuration,DC=GesamtstrukturStammdomäne” 2. Prüfen Sie alle aufgelisteten Standorte. Für jeden Standort werden drei durch Doppelpunkte getrennte Werte angezeigt. Diese Werte stehen für <kosten>:<replikationsintervall>:<optionen>. Der Wert “-1:0:0” zeigt möglicherweise fehlende Standortverknüpfungen an. Prüfen von bevorzugten Bridgeheadservern Wenn Sie mit bevorzugten Bridgeheadservern arbeiten, wählt der ISTG die Bridgeheadserver nur unter diesen Servern aus. Wenn sich keine Server in der Liste befinden, wählt der ISTG Server aus. Wenn sich allerdings mindestens ein Server in der Liste befindet und dieser nicht zur Verfügung steht, passiert das nicht. Daher findet in diesem Fall auch keine Replikation statt. Prüfen Sie die Liste der bevorzugten Bridgeheadserver, und stellen Sie sicher, dass alle bevorzugten Bridgeheadserver verfügbar sind. Um sich alle bevorzugten Bridgeheadserver einer Gesamtstruktur anzeigen zu lassen, können Sie ADSI-Edit verwenden und das Attribut bridgeheadServerListBL des IPContainerobjekts abfragen. Anforderungen Administrative Berechtigungen: Sie müssen Mitglied der Gruppe Domänenbenutzer sein. Tool: Adsiedit.msc (Windows Support Tools) Abfragen der bevorzugten Bridgeheadserver 1. Klicken Sie auf Start, klicken Sie auf Ausführen, geben Sie adsiedit.msc ein, und klicken Sie dann auf OK. 2. Klicken Sie doppelt auf Configuration Container, klicken Sie doppelt auf CN=Configuration,DC=GesamtstrukturStammdomänenname, CN=Sites und auf CN=Inter-Site Transports. 3. Klicken Sie mit rechts auf CN=IP, und klicken Sie dann auf Eigenschaften. 4. Klicken Sie unter Attributes doppelt auf bridgeheadServerListBL. 5. Wenn bevorzugte Bridgeheadserver ausgewählt sind, wird unter Values der DN der Serverobjekte angezeigt. Stellen Sie sicher, dass alle Domänencontroller aus der Liste online sind und als Domänencontroller arbeiten. Anforderungen Administrative Berechtigungen: Sie müssen Mitglied der Gruppe Domänenbenutzer in der Domäne des Domänencontrollers sein. Tool: Net view Prüfen, ob ein Domänencontroller korrekt arbeitet Geben Sie den folgenden Befehl ein, und drücken Sie dann die EINGABETASTE: net view \\DomänencontrollerName wobei DomänencontrollerName der NetBIOS-Name des Domänencontrollers ist. Der Befehl zeigt die Freigaben Netlogon und SYSVOL an. Wenn der Test zeigt, dass der Domänencontroller nicht korrekt arbeitet, prüfen Sie, warum dies der Fall ist. Wenn ein bevorzugter Bridgeheadserver nicht verfügbar ist, wählen Sie einen neuen bevorzugten Bridgeheadserver: Anforderungen Administrative Berechtigungen: Um dieses Verfahren ausführen zu können, müssen Sie Mitglied der Gruppe Domänen-Admins in der Domäne des Domänencontrollers oder der Gruppe Organisations-Admins sein. Tool: Active Directory-Standorte und -Dienste Festlegen eines bevorzugten Bridgeheadservers 1. Öffnen Sie Active Directory-Standorte und -Dienste. 2. Klicken Sie doppelt auf Sites, und erweitern Sie Servers. 3. Klicken Sie mit rechts auf den Domänencontroller, der bevorzugter Bridgeheadserver werden soll, und klicken Sie dann auf Eigenschaften. 4. Klicken Sie unter Allgemein auf das entsprechende Transportprotokoll und auf Hinzufügen. Zusätzliche Ressourcen zur Active Directory-Fehlersuche Detaillierte Informationen zur Fehlersuche bei Active Directory-Problemen finden Sie unter den folgenden Ressourcen: Active Directory Management Pack Technical Reference for MOM 2005 unter http://go.microsoft.com/fwlink/?LinkId=41369) Informationen zu bekannten Problemen und Best Practices im Zusammenhang mit Active Directory finden Sie unter: Bekannte Probleme beim Erstellen von Domänen- und Gesamtstrukturvertrauensstellungen Best Practices in Bezug auf Domänen- und Gesamtstrukturvertrauensstellungen Allgemeine Informationen zur Arbeitsweise von Active Directory und zur Verwaltung und Konfiguration von Active Directory finden Sie unter: Administering Active Directory Operations Active Directory Collection unter http://go.microsoft.com/fwlink/?LinkId=34157)