Steht eine Migration bevor, z.B. von Windows 2000 auf Windows Server 2003, sollte stets die Ausgangsbasis kontrolliert werden.Bevor ein solcher Schritt durchgeführt wird, wäre es empfehlenswert, den Zustand der Domänencontroller zu überprüfen um während der Migration keine bösen Überraschungen zu erleben. Auf der anderen Seite ist es eines der Routineaufgaben des Administrators, den Status …
Continue reading Fehler im User-Account-Control Attribut des DC-ComputerobjektsActive Directory|Administration
Einer der Neuerungen im Windows Server 2008, ist die Möglichkeit des stoppen und starten des Dienstes Active Directory-Domänendienste (Active Directory Domain Services – AD-DS). Dieser Dienst existiert standardmäßig auf jedem Windows Server 2008 Domänencontroller.Der Domänenfunktionsmodus bzw. Gesamtstrukturfunktionsmodus spielt dabei keine Rolle. Das Active Directory ist kein Dienst so wie es die anderen Dienste in der Dienstesteuerung (services.msc) …
Continue reading Active Directory-Domänendienste (AD-DS)Wenn ein Objekt im Active Directory gelöscht wird, verschwindet das Objekt nicht sofort aus dem Verzeichnis. Denn in größeren Gesamtstrukturenmit einer komplexen Replikationstopologie könnte es durchaus vorkommen, dass ein Domänencontroller der von dieser Löschung noch nichts mitbekommen hat,dass Objekt zurückrepliziert. Deshalb werden (weiter unten stehende) diverse Attribute eines Objekts behalten und als gelöscht markiert.Anschließend wird …
Continue reading Lingering Objects (veraltete Objekte)Standorte sind eine (neben Domänencontrollern) physikalische Komponente des Active Directorys. Durch das erstellen von Standorten kann: die Replikation (Inter-Site) zwischen Domänencontrollern (DC) optimiert (standortübergreifend werden die Daten komprimiert) und den Clients, der Zugriff auf Netzwerkressourcen die sich an deren physischen Standort befinden gewährleistet werden, ohne die WAN-Verbindung zu belasten. Grundsätzlich gilt, durch das Festlegen von …
Continue reading Einen Domänencontroller an einen anderen Standort verschiebenDie nachfolgende Beschreibung von NETDIAG erfolgt am Beispiel eines Windows Server 2003 R2. Für die unterschiedlichen Windows Server Versionen gibt es spezifische Versionen von NETDIAG. Die beschriebenen Ausgaben und Schalter von NETDIAG gelten aber auch für andere Server Versionen. NETDIAG ist das Akronym für„Network Diagnostic“ (Netzwerkdiagnose). Das Tool findet sich in den Windows …
Continue reading Domänencontroller Diagnose mit NETDIAGWenn es notwendig ist, dass Domänencontroller durch eine Firewall miteinander kommunizieren (replizieren) müssen, sollten folgende Dienste mit ihren entsprechenden Ports und Protokollen zu den Domänencontrollern durchgeleitet werden: RPC: 135 TCP und UDP Network Basic Input/Output System (NetBIOS) name service: 137 TCP und UDP, 138 UDP und 139 TCP Dynamische RPC Portzuweisung: 1024-65535 TCP Server Message …
Continue reading Active Directory Replikation durch eine FirewallMöchte man die Protokollierung auf einem DC was das Active Directory (AD) betrifft erhöhen, so kann man dies in der Registrierung (Registry) des DCs einstellen. Denn standardmäßig werden kritische Ereignisse und Fehlerereignisse im Verzeichnisdienstprotokoll des DCs protokolliert. Durch die entsprechende Bearbeitung der Registry auf dem DC kann die Protokollierungsstufe des AD erhöht werden, um auch andere Ereignisse …
Continue reading Die Protokollierung des Active Directory`s konfigurierenFalls die Active Directory-Datenbank (NTDS.DIT) einen Schaden haben oder Inkonsistent sein sollte, kann man diese versuchen zu reparieren.Dazu geht man folgendermaßen vor: Zuerst muss der Domänencontroller unter Windows 2000 sowie Windows Server 2003 im Modus Verzeichnisdienstwiederherstellung (Windows-Domänencontroller) gestartet werden.Auf das Auswahl-Menü gelangt man, wenn man im Bootvorgang des DCs die F8-Taste drückt. Die Anmeldung erfolgt dabei mit dem …
Continue reading Die Active Directory-Datenbank reparierenSeit Windows 2000 gibt es nicht mehr die beiden Funktionen BDC (Backup Domain Controller) sowie PDC (Primary Domain Controller), die es zu Zeiten von NT gab. Damals konnten Änderungen nur auf dem PDC ausgeführt werden (Single Master Replikation). Das Active Directory (AD) ab Windows 2000 verhält sich grundlegend anders als Windows NT 4.0-Domänen, denn eine Unterscheidung (ob BDC oder PDC) gibt es …
Continue reading Die FSMO-Rollen verschiebenNatürlich sollte man heutzutage die Festplatten sowie die Partitionierung dieser auf den Domänencontrollern, zukunftsorientiert aus- bzw. einrichten. Falls einem dann doch mal die Systempartition C: worauf die Active Directory-Datenbank sowie Logs darauf liegen, knapp wird, ist es möglich die AD-Datenbank samt Logs auf eine andere Partition zu verschieben. Das Verschieben unter Windows …
Continue reading Active Directory Datenbank (NTDS.DIT) samt Logs (EDB*.LOG) verschieben