Wenn man einen DNS-Server installiert, richtet man überlicherweise nach der Installation seine DNS-Zonen ein.

Natürlich nur, wenn es kein "only Cache DNS-Server" sein soll.

Klickt man mit rechts auf den Server im DNS Snap-In, kann man z.B. die Option "Neue Zone..." auswählen.

Danach wird man vom Assistenten gefragt, ob man eine Forward Lookup Zone oder eine Reverse Lookup Zone einrichten möchte.

Das ganze geht natürlich auch gezielter, in dem man direkt (mit rechts) auf die Container "Forward-Lookupzonen" um eine FLZ bzw. auf "Reverse-Lookupzonen" um eine RLZ einzurichten. 

Somit muss man zwei Wege gehen, um eine FLZ sowie RLZ für "eine" Zone einzurichten.

Das ganze geht auch in einem Vorgang.

Klickt man mit rechts auf den DNS-Server (im DNS-Snap-In) und wählt die Option "DNS-Server konfigurieren..." aus, kann man eine FLZ sowie RLZ gleichzeitig einrichten.

Wer mit Gruppenrichtlinien arbeitet, sollte sich auch Gedanken über die Sicherung sowie Wiederherstellung der GPOs (Group Policy Object) machen. Das Sichern von GPOs ist zwar möglich, das Rücksichern einzelner Richtlinien gestaltet sich da schon schwieriger. Durch das Sichern eines Gruppenrichtlinienobjektes werden die Daten des GPOs in das Dateisystem kopiert

Sichern und Wiederherstellen von GPOs über die GPMC

DCDIAG überprüft den Status der Domänencontroller in Active Directory auf ihre Funktionsfähigkeit. Es prüft die Replikation, die Topologie und Funktion von Active Directory und liefert eine Zusammenfassung der Ergebnisse mit detaillierten Informationen zu jedem getesteten Domänencontroller und eine Diagnose etwaiger Sicherheitsfehler. Des Weiteren wird DNS (Domain Name System) bezüglich der folgenden Punkte geprüft: Konnektivität, Verfügbarkeit von Diensten, Weiterleitungen und Stammhinweise, Delegierung, dynamische Updates, Registrierung von Locatoreinträgen, externe Namensauflösung und Unternehmensinfrastruktur.

Domänencontroller mit DCDIAG prüfen

Das Attribut „tombstoneLifetime“ im Active Directory bestimmt, wie lange ein gelöschtes Objekt in der Active-Directory-Datenbank bestehen bleibt (Tombstone = Grabstein), bis es von dem „Garbage Collection“ Prozess auf einem DC endgültig gelöscht bzw. entfernt wird. Seit Windows 2000 lag die Tomstone Lifetime bei 60 Tagen; mit dem Service Pack 1 für Windows Server 2003 wurde sie auf 180 Tage erweitert. Allerdings gibt es einige Besonderheiten zu entdecken.

Das Geheimnis der Tombstone Lifetime

Die Tombstone Lifetime

Wie kann man das Active Directory fragen, welche Benutzer Mitglied einer Gruppe sind ?

Wenn man wissen möchte, welche Benutzer Mitglied einer bestimmten Gruppe sind, kann man dies mit folgendem Befehl abfragen:
 

DSGET GROUP "Distinguished Name (DN)-DER-GRUPPE" -members -expand

Wenn man beispielsweise eine Gruppe mit dem Namen „Verkauf“ hat, die sich in der Organisationseinheit „Newsgroup“ befindet und die
Domäne „intra.dikmenoglu.de" heißt, würde der Befehl wie folgt lauten:

DSGET GROUP „CN=Verkauf,OU=Newsgroup,DC=intra,DC=dikmenoglu,DC=de” -members -expand

Wenn sich die User sowie die Gruppen im Standard-Container USERS befinden (im Snap-In „Active Directory-Benutzer und -Computer“), so würde der Befehl folgendermaßen lauten:

DSGET GROUP „CN=<Gruppenname>,CN=Users,DC=intra,DC=dikmenoglu,DC=de“ -members -expand

Der Schalter -members zeigt eine Liste der Gruppenmitglieder an. Der Schalter -expand bewirkt im Falle des „-members“-Parameters,
dass die rekursiv (umgekehrt) expandierte (also „auseinander gezogene" im Sinne von vollständig angezeigte) Liste der Mitglieder der Gruppe
angezeigt wird. Dieser Parameter übernimmt die unmittelbare Liste der Mitglieder der Gruppe und expandiert rekursiv jede Gruppe in dieser Liste,
um sowohl die Gruppenzugehörigkeit festzustellen als auch ein komplettes „closure set“ der Mitglieder zu erhalten.

Wenn dieser Befehl nun noch mit dem Befehl „> C:\dsget.txt“ erweitert wird, kann man sich das Ergebnis in eine Textdatei exportieren lassen.
Die Syntax lautet für das angegebene Beispiel:
DSGET GROUP „CN=Verkauf,OU=Newsgroup,DC=intra,DC=dikmenoglu,DC=de” -members –expand > C:\dsget.txt

Eine weitere Alternative wäre:
dsquery group -samid <Gruppe> | dsget group -members

Hinweis: Unter Windows Server 2008 R2 und Windows 7 liefert dsget nicht die korrekten Daten.
Das lässt sich jedoch durch einen Hotfix beheben:

The "dsget user -memberof -expand" command returns incorrect results in Windows Server 2008 R2 and in Windows 7

Es gibt aber noch eine recht einfache Variante: Net Group <Gruppenname> /Domain

Es ist auch möglich, die Mitglieder einer Gruppe, mit LDIFDE zu exportieren.

Der Befehl könnte z.B. folgendermaßen aussehen:

Ldifde -m -f "C:\Ldifde.txt" -r "(sAMAccountname=<Gruppenname>)" -l name,member