Seit Windows Server 2003 ist es möglich einen Server mit Hilfe einer Systemstatus-Sicherung (System State) von einem
bestehenden Domänencontroller (DC), durch die Install from Media (IFM) Funktion, zu einem zusätzlichen DC hochzustufen.
Diese Art des Heraufstufens zu einem DC bietet sich in den Fällen an, in denen ein Server an einem entfernten Standort zum
DC heraufgestuft werden soll und vor Ort nur eine geringe Bandbreite zur Verfügung steht. Damit dann eben nicht die gesamte
Active Directory-Datenbank (NTDS.dit) über die schmale Leitung repliziert werden muss, kann das Volumen der Replizierung Dank
der Sicherung gering gehalten werden. Es werden lediglich die Änderungen die seit der Sicherung stattgefunden haben über
die Leitung repliziert. Dadurch hat die IFM-Funktion zum einen den Vorteil, dass weniger Netzwerkressourcen in Anspruch
genommen und zum anderen, dass der Domänencontroller früher bereitgestellt werden kann.

So kann nun ein Server in der Zentrale installiert und an den Standort verschickt werden, ohne ihn vorher zum DC zu stufen.
Damit wäre sichergestellt, dass auf dem Weg zum Ziel-Ort der DC (und somit die Domäne bzw. Gesamtstruktur)
nicht kompromittiert werden kann. Auf einem anderen Weg kann dann das Sicherungsmedium auf dem die
Systemstatus-Sicherung enthalten ist, getrennt vom Server verschickt werden.

Ganz wichtig ist aber, wenn das Sicherungsmedium auf dem sich die Systemstatus-Sicherung befindet an einen
anderen Ort versandt werden sollte (auf welchem Weg auch immer), ist die gleiche Sicherheit zu gewährleisten,
wie bei einem Transport eines DCs. Denn in der Systemstatus-Sicherung befinden sich unter anderem sämtliche
Kennwörter der Domäne sowie die Objekt-SIDs.


Nach dem Heraufstufen müssen zusätzliche Aufgaben weiterhin ausgeführt werden, wie z.B. den DNS Dienst zu installieren.


Einen zusätzlichen DC in die Domäne hinzufügen




IFM unter Windows Server 2003


Diese Art des Heraufstufens zu einem DC, ist nur bei einem zusätzlichen Domänencontroller einer bereits existierenden Domäne möglich!
Die Sicherung des Systemstatus muss von einem Windows Server 2003 DC aus der gleichen Domäne stammen.
 
Dabei kann eine Sicherung von einem bestehenden Windows 2000 DC nicht als Grundlage dienen!
Des Weiteren wird die IFM-Funktion bei Nutzung einer Sicherung eines 32Bit DCs, dass als Grundlage für das Heraufstufen
eines 64Bit Servers dienen soll nicht unterstützt. Das gleiche gilt auch im umgekehrten Fall.

Zum Sichern des Systemstatus eignet sich das im Betriebssystem enthaltene Sicherungsprogramm NTBACKUP.
Mit dem Sichern des Systemstatus werden die folgenden Elemente gesichert:



  1. Active Directory (NTDS.dit)
  2. Systemstart Dateien
  3. COM+ Datenbank zur Registrierung von Klassen
  4. Registry
  5. SYSVOL
  6. Falls eine CA auf dem DC installiert wäre, dann auch diese


In der Praxis ist es für den Administrator hilfreich, wenn er bereits im Dateinamen der Sicherungsdatei erkennen kann,
welche Informationen in der Sicherung enthalten sind. Im Dateinamen könnte sich z.B. der FQDN, SP-Stand, GC und das Datum
des gesicherten DCs befinden. Wichtig ist das Datum, denn die Sicherung darf nur solange verwendet werden,
bis die Tombstone Lifetime (TSL) ausläuft. Die Tombstone Lifetime beträgt in den meisten Umgebungen 60 Tage.
Erst wenn beim Erstellen einer Gesamtstruktur, der erste DC ein Windows Server 2003 SP1 ist, beträgt die TSL 180 Tage.


Es ist darauf zu achten das beim Heraufstufen mit der IFM-Funktion, der Ziel-Server auf dem gleichen Service Pack-Stand
wie der Quell-DC ist. Damit der neue Server zu einem zusätzlichen DC gestuft werden kann, benötigt er zum Zeitpunkt der
Ausführung von DCPROMO eine bestehende Namensauflösung. Dazu ist ein bestehender DNS-Server in den TCP/IP-Einstellungen
einzutragen, der natürlich während dem Heraufstufen erreichbar sein muss. Es ist wohl naheliegend das der Server eine Verbindung
zu der Domäne dem er hinzugefügt werden soll haben muss, damit er unter anderem den Träger der FSMO-Rollen (z.B. RID-Master)
erreichen kann.


Sollen die bestehenden Anwendungsverzeichnispartitionen wie es z.B. DomainDNSZones oder ForestDNSZones darstellen,
ebenfalls mit der IFM-Funktion bereitgestellt werden, muss der Quell-DC mindestens das Service Pack 1 installiert haben.
Zusätzlich muss sich der Gesamtstrukturfunktionsmodus auf Windows Server 2003 befinden.
Wenn auf dem neuen DC auch der globale Katalog (GC) aktiviert werden soll, können die Daten eines GCs ebenfalls mit der
IFM-Funktion bereitgestellt werden. Dazu muss auf dem Quell-DC auf dem die Sicherung durchgeführt werden soll,
ebenfalls der GC aktiviert sein.


Die Sicherungsdatei in der die Systemstatus-Sicherung enthalten ist, muss wiederhergestellt werden. Ein simples Hineinkopieren
der Sicherungsdatei auf ein lokales Laufwerk reicht nicht aus. Die wiederhergestellten Systemstatusdateien könnte man auf eine
CD/DVD oder auf einen USB-Stick/HDD kopieren. Anschließend kann beim Ausführen des Active Directory-Assistenten DCPROMO
auf das entsprechende Medium verwiesen werden. Wichtig ist, dass es sich dabei um ein lokales Laufwerk handelt.
Das Auswählen der Systemstatusdateien über die Angabe eines UNC-Pfads oder ein verbundenes Netzlaufwerk, wird nicht unterstützt.


Sollen die Systemstatusdateien auf dem Ziel-Server wiederhergestellt werden, ist darauf zu achten die Wiederherstellung
in ein alternatives Verzeichnis und keinesfalls an den ursprünglichen Bereich durchzuführen. Nach dem Heraufstufen sollte
dieses temporäre Verzeichnis gelöscht werden. Wenn stattdessen die Dateien an ihren Ursprungsort wiederhergestellt werden,
können das System und das AD irreparable Schäden annehmen. Denn mit Rücksichern der Systemstatusdateien wird auch die
Registry wiederhergestellt, in der bekanntlich nicht nur Hardware- sowie Treiberinformationen enthalten sind, sondern auch der Computername.


Auf dem Ziel-Server muss das Dcpromo mit dem Parameter /ADV (für Advanced) zum Heraufstufen aufgerufen werden.
Erst mit diesem Befehl ist es möglich, eine Sicherung anzugeben.

Die einzelnen Schritte unter Windows Server 2003, können in diesem Artikel nachgelesen werden:
How to use the Install from Media feature to promote Windows Server 2003-based domain controllers


 



IFM unter Windows Server 2008


Die IFM-Option ist weiterhin auch unter Windows Server 2008 verfügbar. Wobei nun unter Windows Server 2008 der
erweiterte Schalter /ADV (der weiterhin funktioniert) in den Dcpromo-Assistenten eingebaut wurde. Direkt beim Aufruf von Dcpromo
lässt sich auf der Willkommens-Seite die Option Installation im erweiterten Modus verwenden aktivieren.





 





Während unter Windows Server 2003 eine Sicherung des Systemstatus z.B. mit Ntbackup erstellt werden muss, wird das nun
unter Windows Server 2008 mit NTDSUTIL erledigt. Denn das Ntbackup existiert nicht mehr unter Windows Server 2008.



Zum erstellen einer Sicherung gilt es folgende Schritte durchzuführen:





  1. In einer Kommandozeile oder über Start-Ausführen gilt es zuerst NTDSUTIL zu starten.



  2. Als nächstes muss die NTDS-Instanz aktiviert werden.
    Dieses erreicht man durch die Eingabe von
    Activate Instance NTDS.


  3. Mit Eingabe von IFM gilt es auf die Install from Media-Ebene zu gelangen.


  4. Dort angelangt, kann nun die IFM-Sicherung erstellt werden.


  5. Erstellt man die IFM-Sicherung auf einem beschreibbaren DC, so können Sicherungsmedien für einen beschreibbaren
    DC oder für einen RODC erstellt werden. Man kann dabei wählen, ob jeweils das SYSVOL-Verzeichnis mit gesichert
    werden soll oder nicht.


  6. Wird hingegen die IFM-Sicherung auf einem RODC erstellt, kann ausschließlich das Sicherungsmedium für einen RODC erstellt
    werden und nicht für einen beschreibbaren DC. In der erstellten IFM-Sicherung werden dabei alle replizierten Kennwörter entfernt.


  7. Auf einem Server Core können die gleichen IFM-Sicherungen erstellt werden, wie auf einem beschreibbaren DC.


Wird das SYSVOL-Verzeichnis nicht mit gesichert, wird es beim Heraufstufen eines DCs über die Leitung repliziert.




 


Unter Windows Server 2008 ist es jetzt möglich, IFM-Sicherungen auf einem 32Bit System zu erstellen, um diese als Grundlage
auf einem 64Bit System zu nutzen. Im umgekehrten Fall ist das ebenfalls möglich. Eine IFM-Sicherung die auf einem 64Bit System
erstellt wurde, kann auf einem 32Bit System verwendet werden.


Beim Erstellen eines Sicherungsmediums kommt die Volume Shadow Copy Service (VSS) Technologie zum Einsatz.
Im laufenden Betrieb wird ein Snapshot von der Active Directory-Datenbank erstellt und anschließend offline defragmentiert.


Die IFM-Sicherung die auf einem beschreibbaren DC erstellt wurde, kann zum Heraufstufen eines beschreibbaren DC,
RODC oder für eine Active Directory Lightweight Directory Services (AD LDS, ehemals ADAM) Instanz verwendet werden.


 



Weitere Informationen:
Error message when you try to create a RODC IFM in Windows Server 2008 if an earlier IFM procedure was canceled or has closed unexpectedly: “Could not initialize the Jet engine: Jet Error -1216”

Comments are closed, but trackbacks and pingbacks are open.