Blog Home  Home Feed your aggregator (RSS 2.0)  
LDAP://Yusufs.Directory.Blog/ - Thursday, September 14, 2006
Wieviele Sprachen sprechen Sie? Ich spreche bloß eine: LDAP!
 
About

Archive
<September 2006>
SunMonTueWedThuFriSat
272829303112
3456789
10111213141516
17181920212223
24252627282930
1234567
Navigation
Search Filter Syntax
How the Active Directory Replication Model Works
How Active Directory Replication Topology Works
How the Data Store Works
How Core Group Policy Works
How the Kerberos v5 Authentication Protocol Works
SRV Resource Records
Windows Server 2008 R2 or Windows Server 2008 domain controller returns only 5000 attributes in a LDAP response
Active Directory and Network Address Translation
Description of support boundaries for Active Directory over NAT
When you run an LDAP query against a Windows Server 2008-based domain controller, you obtain a partial attribute list
Authentication fails when an external client tries to log on to a Windows Server 2008 server by using a read-only domain controller in a perimeter network
Active Directory Domain Services in the Perimeter Network
How to use unattended mode to install and remove Active Directory Domain Services on Windows Server 2008-based domain controllers
Active Directory Administration with Windows PowerShell
Active Directory Domain Services for Windows Server 2008 R2
Read-Only Domain Controller (RODC) Branch Office Guide
Active Directory Domain Services
Windows Server 2008 R2: Active Directory
Categories
 
 
 
 
 
 
 
MVP

Blogroll
 ActiveDir
 AD Documentation Team
 AD-Powershell Blog
 Aktives Verzeichnis
 DS-Team Blog
 Eric Fleischman
 Server Core
 Tim Springston
 Windows Server Division
 Wolfgang Sauer
Contact
Send mail to the author(s) Email Me

Disclaimer
The opinions expressed herein are my own personal opinions and do not represent my employer's view in anyway.

Sign In
 Thursday, September 14, 2006
Globaler Katalog (Global Catalog - GC)

Wer oder was ist der globale Katalog (GC)?

 

Wenn Suchoperationen in einem Active Directory nach bestimmten Informationen durchgeführt werden sollen, kann es in größeren Umgebungen länger
dauern, wenn dafür jedes Objekt und jedes Attribut einzeln angefasst werden müsste. Um die Suche im Active Directory schnell abwickeln zu können,
benutzt das Active Directory den „globalen Katalog“.

 

Der globale Katalog hat keine eigene, sondern eine vom Active Directory abgeleitete Datenbank. Denn schließlich macht es keinen Sinn,
alle Objekte die bereits im Active Directory existieren, doppelt im globalen Katalog zu führen.

 

In den globalen Katalog werden alle Active Directory-Objekte einer Gesamtstruktur repliziert. Der GC speichert die vollständige Domänenpartition
(alle Objekte samt allen Attributen) der eigenen Domäne, in der sich der globale Katalog befindet. Alle Objekte der Domänenpartition anderer Domänen
befinden sich ebenfalls im GC, es werden aber nicht alle Attribute der Objekte gespeichert. Lediglich die Attribute, die für eine Suchoperation relevant
sein könnten (z.B. der DN eines Objekts) werden gespeichert. Des Weiteren hat der GC einen Index, in dem hinterlegt ist, welches Objekt auf welchem
Domänencontroller im Active Directory liegt. Weiterhin kennt er jede Domänenpartition in der Gesamtstruktur und weiß z.B. welcher Domänencontroller
an welchem Standort steht.  

 

Innerhalb seiner Domäne sind die Informationen sofort auch über den GC verfügbar. Die Informationen aus den anderen Domänen werden über die
normale Replikation auf die Server übertragen.

 

Der erste Domänencontroller der in einer Gesamtstruktur installiert wird, ist automatisch auch ein globaler Katalog.
Alle weiteren Domänencontroller sind standardmäßig keine GCs.   

 

Wenn man auf einem weiteren Domänencontroller den GC aktivieren möchte, so gilt es das Snap-In Active Directory-Standorte und -Dienste aufzurufen,
den Standort in dem sich der Domänencontroller befindet auszuwählen, den Server zu erweitern damit dann in den NTDS-Eigenschaften
der Haken für den globalen Katalog gesetzt werden kann.


 

Man kann auch auf einem Domänencontroller den GC, auf folgende Weise aktivieren:

  • Über die Kommandozeile: REPADMIN /OPTIONS <DC> +IS_GC

  • Über die Kommandozeile: DSMOD Server "CN=DC-NAME,OU=Domain Controllers,DC=intra,DC=dikmenoglu,dc=de" -isgc yes

  • Per Skript: http://www.microsoft.com/technet/scriptcenter/scripts/ad/computer/cptrvb05.mspx?mfr=true

  • Sollen auf allen DCs einer bestimmten Domäne der GC aktiviert werden, so kann folgender Befehl verwendet werden:
    DSQUERY Server -domain intra.dikmenoglu.de | DSMOD Server -isgc yes

 

Es können beliebig viele GCs in der Gesamtstruktur existieren (es gibt keine physikalische Grenze).
Möchte man sich alle globalen Kataloge in der Gesamtstruktur anzeigen, so kann man das NSLOOKUP dazu verwenden.

Der Befehl würde lauten: nslookup gc._msdcs.<Root-Domäne>.
Der Nachteil an diesem Befehl ist, dass lediglich die IP-Adressen angezeigt werden und keine Servernamen.

Eine weitere Variante über das DNS die globalen Kataloge der Gesamtstruktur abzufragen, wäre wie folgt:
Dnscmd %Logonserver% /Enumrecords %Userdnsdomain% _tcp | find /i "3268"


Möchte man alle DCs in der Gesamtstruktur, auf denen der GC aktiviert ist mit ihren Namen angezeigt bekommen,
so lässt sich dies mit folgendem Befehl lösen: Dsquery server –forest -isgc


Oder so:
Dsquery * "CN=Configuration,DC=Root-Domäne" -Filter "(&(objectCategory=nTDSDSA)(options:1.2.840.113556.1.4.803:=1))"

Alle globalen Katalogserver einer bestimmten Domäne, werden mit folgendem Befehl angezeigt:
Dsquery server -domain intra.dikmenoglu.de -isgc.

Die globalen Katalogserver eines bestimmten Standorts, können mit diesem Befehl angezeigt werden:
Dsquery server –site <Standortname> -isgc

 

Des Weiteren bekommt man auch, auf einen Blick die GCs in der Gesamtstruktur mit ihrem NetBIOS-Namen, im REPLMON zu sehen.
Dazu gilt es im REPLMON (das sich in den Windows Support Tools befindet) eine Verbindung zu einem DC herzustellen,
einen Rechtsklick auf den Servernamen zu tätigen und dann die Option "Show Global Catalog Servers in Enterprise" auszuwählen.   


 

 

Welche Attribute werden denn im globalen Katalog gespeichert?

 

Microsoft hat vorgegeben, welche Attribute in den globalen Katalog repliziert werden.

Common Default Attributes Set for Active Directory and Global Catalog

 

Natürlich ist es möglich, weitere Attribute die für die eigene Umgebung relevant wären (wenn z.B. das Active Directory durch eine Applikation erweitert
wird), mit in den globalen Katalog aufzunehmen, aber Achtung - das bedeutet mehr Speicherplatz!

 

Möchte man nun weitere Attribute in den GC repliziert haben, so gilt es in einer MMC das „Active Directory-Schema“ Snap-In aufzurufen.

 

Hinweis: Das Schema Snap-In ist erst sichtbar, wenn vorher unter Start - Ausführen der Befehl „regsvr32 schmmgmt.dll“ ausgeführt wurde.

 

Da diese Einstellung eine Änderung am Schema bedeutet, dürfen diese Anpassungen auch nur von der Gruppe „Schema-Admins“ vorgenommen werden.

 

Natürlich sollten Modifizierungen am Schema mit größter Vorsicht (wenn überhaupt nötig) getätigt und die gewünschten Änderungen vorher in einer
Testumgebung getestet worden sein, damit es in der Produktionsumgebung keine bösen Überraschungen gibt.

 

In den Eigenschaften eines Attributs kann man sehen, dass mehrere Optionen gesetzt werden können:

 


Die beiden markierten Optionen sind von besonderer Bedeutung was die Effizienz bei Zugriffen auf das Active Directory betrifft:

  • Die Option "Attribut in Active Directory indizieren" bedeutet, dass auf dem globalen Katalog eine Indexierung des Attributs erfolgen soll
  • Mit der Option "Attribut in den globalen Katalog replizieren" wird festgelegt, dass ein Attribut in den globalen Katalog aufgenommen werden soll.
    Aber Achtung, falls ein Attribut in den GC aufgenommen wird, repliziert sich in einer Multi-Domänen Gesamtstruktur der GC komplett neu mit
    den anderen GCs, wenn sich der Gesamtstrukturfunktionsmodus nicht auf der Ebene "Windows Server 2003" befindet. Befindet sich hingegen der
    Gesamtstrukturfunktionsmodus auf "Windows Server 2003", so wird nur das Attribut repliziert, das in den GC aufgenommen wurde. 

 

Weiterführende Informationen:
Funktion des globalen Katalogs
Globaler Katalog – Sein oder nicht sein
How to Modify Attributes That Replicate to the Global Catalog
How to create or move a global catalog in Windows Server 2003, Windows 2000, or Small Business Server 2000

Thursday, September 14, 2006 3:12:45 PM (W. Europe Standard Time, UTC+01:00)  #      Active Directory  | 
Einen zusätzlichen DC in die Domäne hinzufügen

Was ist zu beachten, wenn man einen zusätzlichen Domänencontroller in die Domäne hinzufügt?

1. Auf dem neuen Server, muss in seinen TCP/IP-Einstellungen ein bereits bestehender DC/DNS (auf dem idealerweise
das DNS AD-integriert installiert ist und "Nur sichere" Updates zulässt) als "Bevorzugter DNS-Server" eingetragen sein.
Nach der Betriebssysteminstallation kann der Server direkt mit DCPROMO zum DC gestuft werden und muss nicht vorher, als Mitgliedsserver zur
Domäne hinzugefügt werden. Dabei spart man sich einen Schritt und somit einen Neustart. Denn während dem Ausführen von DCPROMO auf dem neuen Server,
möchte der Assistent an einer Stelle ein Benutzerkonto angegeben haben, dass berechtigt ist auf dem Server das AD zu installieren.

Ansonsten kann man natürlich den Server vorher zur Domäne hinzufügen und führt anschließend das DCPROMO aus.


2. Danach ruft man auf dem neuen Server den Active Directory-Assistenten "DCPROMO" auf und wählt an entsprechender Stelle den Punkt
"zusätzlichen Domänencontroller für eine bestehende Domäne" aus.

Ist der zusätzliche Server, der erste Windows Server 2003 R2 DC in der Gesamtstruktur, so muss das AD-Schema vorher wie folgt aktualisiert werden:
Schemaupdate beim Windows Server 2003 R2

Ist der zusätzliche Server, der erste Windows Server 2008 DC in der Gesamtstruktur, so muss das AD-Schema vorher so aktualisiert werden:
Den ersten Windows Server 2008 DC zu einer Windows 2000/2003/R2 Gesamtstruktur hinzufügen

Ist der zusätzliche Server, der erste Windows Server 2008 R2 DC in der Gesamtstruktur, so muss das AD-Schema vorher folgendermaßen aktualisiert werden:
Den ersten Windows Server 2008 R2 DC zur Gesamtstruktur hinzufügen


3. Wenn der DCPROMO-Assistent abgeschlossen und der neue DC neu gestartet wurde, sollte anschließend (oder vorher) das DNS nur installiert und nicht konfiguriert werden.
Denn das DNS ist (auf dem ersten DC) schon konfiguriert. Die DNS-Konfiguration gilt es abzubrechen.
Danach wartet man die Replikation ab und somit sollte der neue DC alle Informationen mittlerweile repliziert bekommen haben.
Ab Windows Server 2008 kann man das DNS während dem DCPROMO Vorgang mit installieren, was zu empfehlen ist!


4. Wenn die Replikation stattgefunden hat, gilt es den neuen Server mit seiner echten IP als zusätzlichen DNS-Server in den TCP/IP-Einstellungen einzutragen.
Die empfohlenen Vorgehensweisen können hier nachgelesen werden:
Welcher DNS-Server sollte eingetragen werden ?


5. Danach oder ab Windows Server 2008 während dem DCPROMO Vorgang sollte auf diesem DC, der GC aktiviert werden. Dazu geht man im Snap-In "Standorte und -Dienste" auf den Standort
in dem sich dieser DC befindet, auf den neuen Server und setzt den Haken in den NTDS-Eigenschaften bei "globaler Katalog":
Globaler Katalog (Global Catalog - GC)


6. Wenn es gewünscht ist sollten noch die fünf FSMO-Rollen auf diesen verschoben werden oder man belässt sie auf dem ersten/anderen DC.
Dabei ist zu beachten, dass die FSMO-Rollen sich stets auf dem DC, das mit dem aktuellsten Serverbetriebssystem installiert ist befinden sollten.
Die FSMO-Rollen verschieben


Hinweis: Nahezu jede Domäne „sollte“ einen zweiten Domänencontroller haben, einfach aus gründen der Redundanz. Denn schließlich kann sich jeder
ausmalen, was passiert, wenn der einzigste Domänencontroller ausfällt, dann hat man „erstmal“ die Domäne verloren.

Thursday, September 14, 2006 12:37:46 PM (W. Europe Standard Time, UTC+01:00)  #      Active Directory  | 
 Wednesday, September 13, 2006
Migration von Windows Server 2000 auf Windows Server 2003 (Inplace-Update)

Welche Schritte müssen beachtet werden, wenn man einen Windows Server 2000 auf Windows Server 2003 R2 aktualisieren möchte ?

 

Ich gehe an diesem Beispiel davon aus, dass auf dem 2000er Domänencontroller das DNS, Active Directory-integriert installiert ist.

 

1. Bevor man anfängt, sollte natürlich ein Backup der Daten und vorallem vom SYSTEM STATE existieren: 

http://support.microsoft.com/kb/240363/de

Desweiteren muss sich auf allen DCs die Datei "NTDSA.DLL" im Pfad %windir%\system32 befinden, die einen höheren Datumsstempel als den 04. Juni 2001
sowie eine höhere Dateiversion als 5.0.2195.3673 hat. Der Virenscanner sollte während dem Update deaktiviert werden.

 

2. Zuerst sollte mit der Option „/checkupgradeonly“ das System auf Kompatibilität geprüft werden und falls die Routine an etwas meckert, sollten
zuerst die gemeldeten Probleme beseitigt werden.

http://www.microsoft.com/technet/prodtechnol/windowsserver2003/de/library/ServerHelp/1e2541bb-d42c-49ef-9f8a-18e30b4f2667.mspx?mfr=true

 

3. Zuallererst gilt es auf dem Windows 2000 DC, dass EFS – Zertifikat zu sichern (falls dieser der erste DC in der Domäne ist):

http://www.faq-o-matic.net/2003/08/18/was-muss-ich-tun-um-den-ersten-dc-zu-deinstallieren/

http://support.microsoft.com/kb/241201/de

 

4. Auf dem Windows Server 2000 Domänencontroller muss mindestens das SP 2 installiert sein (heutzutage schon das SP4)
(http://www.microsoft.com/windowsserver2003/evaluation/whyupgrade/win2k/w2ktows03-2.mspx).

Die Zeiten der Domänencontroller sollten synchronisiert und auf allen gleich sein.
Danach muss auf dem 2000er DC, der die Rolle des Schemamasters innehat (idealerweise trägt dieser DC alle Rollen sowie den GC),
die Windows Server 2003 CD eingelegt und auf der Kommandozeile (START – AUSFÜHREN – CMD) ins Verzeichnis I386 gewechselt werden, 
um „ADPREP /FORESTPREP“ auszuführen. Anschließend muss auf dem DC, der die Rolle des Infrastrukturmasters innehat in der Domäne,
in der der neue DC hinzugefügt werden soll, noch das „ADPREP /DOMAINPREP /GPPREP“ ausgeführt werden.
Das Active Directory Preparation Tool - ADPREP


Möchte man auf Windows Server 2003 R2 aktualisieren, so gilt es ADPREP von der zweiten R2 CD auszuführen und nicht von der ersten:
Schemaupdate beim Windows Server 2003 R2
 

5. Migriert man auf "Windows Server 2003 mit SP1" (oder R2), sollte noch das „ADPREP /DOMAINPREP /GPPREP“ ausgeführt werden.
Näheres siehe: http://support.microsoft.com/kb/324392/en-us

 

6. Anschließend führt man auf dem Windows 2000 Domänencontroller das SETUP von der CD aus und folgt den Anweisungen,
damit das Update auf den Windows Server 2003 beginnen kann.

 

7. Folgendes ist zu beachten, falls Exchange 2000 auf der gleichen Maschine laufen sollte:
Zuerst muss das Exchange 2000 auf Exchange 2003 upgedatet werden. Denn Exchange 2003 läuft unter Windows Server 2000,
aber nicht umgekehrt (Exchange 2000 auf Windows Server 2003), dass geht nicht.

Daher MUß zuerst ein Exchange update gemacht werden und dann das Betriebssystemupdate von Windows Server 2000 auf Windows Server 2003
(es müssen zwei Schemaupdates durchgeführt werden, einmal für Exchange und dann für das Active Directory).
Bevor man mit dem Betriebssystemupdate beginnt, sollte von der Exchange-CD aus dem Verzeichnis "support\exdeploy" das Tool "policytest.exe" ausgeführt werden,

um sicher zu gehen, dass die entsprechenden Berechtigungen im Active Directory bestehen.

 

 

How to upgrade Windows 2000 domain controllers to Windows Server 2003

Migration Exchange 2000 auf 2003

 

Windows Server 2003 adprep /forestprep command causes mangled attributes in Windows 2000 forests that contain Exchange 2000 servers

http://redmondmag.com/columns/article.asp?EditorialsID=663

 

 

Hier noch weitere hilfreiche Links: 

 

What do I need to do to prepare my Windows 2000 forest for the installation of the first Windows Server 2003 DC?

http://www.petri.co.il/windows_2003_adprep.htm

Common Mistakes When Upgrading Exchange 5.5/2000 To a Exchange 2003

http://support.microsoft.com/kb/555262/en-us

Considerations when you upgrade to Exchange Server 2003

http://support.microsoft.com/kb/822942/en-us

Common Mistakes When Upgrading a Windows 2000 Domain To a Windows 2003 Domain

http://support.microsoft.com/kb/555040/en-us

Cannot Upgrade Windows 2000 Server to Windows Server 2003 with Windows Services for UNIX 2.0 Installed

http://support.microsoft.com/kb/293783/en-us

When you run the "Adprep /forestprep" command to prepare Windows 2000 Active Directory for Windows Server 2003, the forest preparation operation fails

http://support.microsoft.com/kb/924175/en-us

Enhancements to Adprep.exe in Windows Server 2003 Service Pack 1 and in hotfix 324392

http://support.microsoft.com/kb/324392/en-us - sowie

http://technet2.microsoft.com/WindowsServer/en/library/bc5ebbdb-a8d7-4761-b38a-e207baa734191033.mspx?mfr=true

 

Wednesday, September 13, 2006 9:01:37 PM (W. Europe Standard Time, UTC+01:00)  #      Active Directory | Migration  | 
Schemaupdate beim Windows Server 2003 R2

Wann muss beim hinzufügen des ersten Windows Server 2003 R2 zu einer Windows 2000/2003 Gesamtstruktur,
ein Schemaupdate durchgeführt werden?

  1. Möchte man den ersten Windows Server 2003 R2 Domänencontroller in eine Windows 2000/2003 Gesamtstruktur hinzufügen,
    dann ist ein Schemaupdate auf dem Schemamaster von der zweiten R2-CD notwendig.
    Siehe: Wie aktualisiert man einen DC auf Windows Server 2003 R2
    Mit dem Schalter /Forestprep werden die neuen R2-Features (die unter den Punkten zwei bis vier aufgezählt sind) dem Schema hinzugefügt.
    Falls die Domäne bereits auf Windows 2003 läuft, so ist der Schalter /Domainprep nicht anzuwenden.
    Nur wenn man in einer Windows 2000 Domäne, den ersten Windows Server 2003 R2 Domänencontroller hinzufügen möchte,
    so muss das ADPREP (neben dem Schalter /Forestprep) zusätzlich mit dem Schalter /Domainprep /Gpprep ausgeführt werden.
  2. Bei Nutzung von DFS-R (die neue DFS Replikation). DFS und DFS-R speichern Konfigurationsoptionen im Active Directory. Das DFS (Namespace) Schema gibt es schon, das Replikationsschema ist neu, da bisher FRS (File Replication Service) benutzt wurde, dass ja weiterhin (parallel) für die SYSVOL-Replikation genutzt wird. Das Schemaupdate für DFS ist auch dann notwendig, wenn DFS nur auf Memberservern läuft.
  3. Für das neue Druckermanagement in R2 ist ein Schemaupdate erforderlich. Bei diesem Schemaupdate werden dem Schema neue Objekt-Klassen hinzugefügt
  4. Auch für das "Indentity Management for Unix" ist ein Schemaupdate fällig und auch hier, werden dem Schema neue Objekt-Klassen hinzugefügt.


Wichtig ist, dass man ADPREP von der zweiten R2-CD auf dem Schemamaster ausführt (dabei wird das Schema auf die Version 31 aktualisiert) und nicht von der ersten, denn das ADPREP befindet sich auf beiden CDs.
Siehe auch: Das Geheimnis der Tombstone Lifetime
Auf der ersten R2-CD ist nichts weiter als ein Windows Server 2003 mit integriertem SP1 oder SP2 drauf. Erst mit der zweiten R2-CD werden die R2 Erweiterungen installiert bzw. das System auf R2 erweitert. Die zweite CD macht daraus ein "R2" indem Zusatzkomponenten unter Systemsteuerung - Software eingetragen werden, die man dann für bestimmte Szenarien nachinstallieren kann.
Wenn man im Ordner DOCS auf der zweiten R2-CD schaut, kann man in der dortigen Datei R2SETUP.CHM alle Informationen über R2 nachlesen.

Wer es noch genauer wissen möchte, der schaut sich die Datei "Sch31.ldf" auf der zweiten R2-CD an.

Möchte man einen Windows Server 2003 R2 Mitgliedsserver in eine 2000 oder 2003 (nicht R2) Domäne hinzufügen, auf dem die oben aufgeführten Punkte
(zwei bis vier) nicht in Frage kommen, so ist keine Schemaaktualisierung notwending und man kann den Mitgliedsserver mit beiden R2-CDs installieren und ihn in die Domäne hinzufügen.

 

Erster Windows Server 2003 R2 64 Bit Domänencontroller in einer Windows Server 2003 32 Bit Domäne

Falls der erste Windows Server 2003 R2 in der 64 Bit Edition in eine 32 Bit Windows Server 2003 Domäne hinzugefügt werden soll,
so kann diesmal nicht das ADPREP von der zweiten R2-CD verwendet werden. Denn es enthält nicht das ADPREP in
der 32 Bit Version das dazu benötigt wäre. Stattdessen gibt es einen Hotfix,
den man sich beim Microsoft Product Support Service (MS-PSS) kostenlos bestellen kann.
You cannot deploy a Windows Server 2003 R2 x64 Edition-based domain controller in a Windows Server 2003 forest

Als weitere Möglichkeit kann man auch die 32Bit Windows Server 2003 R2 Trial-Version downloaden und von dort das ADPREP ausführen.
Installing Windows Server 2003 R2 Standard or Enterprise Edition with SP2 (32-bit x86)

 

Erster Windows Server 2003 R2 Domänencontroller in einer SBS 2003 Domäne

Wenn man einen weiteren Domänencontroller mit der Version "Windows Server 2003 R2 Standard/Enterprise" in eine bestehende SBS 2003 oder SBS 2003 R2 Domäne hinzufügen möchte, so muss mit der zweiten CD des "Windows Server 2003 R2 Standard/Enterprise" das Schema der SBS 2003/R2 Domäne erweitert werden.
Dort gilt es ebenfalls, die zweite CD des Windows Server 2003 R2 Standard/Enterprise in den SBS einzulegen und durch Ausführen von ADPREP,
das Schema der SBS-Domäne auf die Version 31 zu aktualisieren.

Hinweis: Ein SBS 2003 R2 ist nicht die gleiche Version, wie ein Windows Server 2003 R2 Standard/Enterprise.
Wenn ein SBS 2003 R2 DC existiert und man einen Windows Server 2003 R2 Standard/Enterprise als zusätzlichen DC der SBS Domäne hinzufügen möchte,
muss ebenfalls das ADPREP mit dem Schalter /Forestprep von der zweiten Windows Server 2003 Standard/Enterprise R2-CD auf dem Schemamaster (SBS) ausgeführt werden. 


Weitere Informationen:
Active Directory Schema Update
Extending Your Active Directory Schema for New Features in Windows Server 2003 R2
Optimizing File Replication over Limited-Bandwidth Networks using Remote Differential Compression
Error message when you run the Active Directory Installation Wizard: "The version of the Active Directory schema of the source forest is not compatible with the version of Active Directory on this computer"
Wednesday, September 13, 2006 7:56:20 AM (W. Europe Standard Time, UTC+01:00)  #      Active Directory | Migration  | 
 Tuesday, September 12, 2006
Die Active Directory-Datenbank reparieren

Falls die Active Directory-Datenbank (NTDS.DIT) einen Schaden haben oder Inkonsistent sein sollte, kann man diese versuchen zu reparieren.
Dazu geht man folgendermaßen vor:

  • Zuerst muss der Domänencontroller unter Windows 2000 sowie Windows Server 2003 im Modus Verzeichnisdienstwiederherstellung (Windows-Domänencontroller) gestartet werden.
    Auf das Auswahl-Menü gelangt man, wenn man im Bootvorgang des DCs die F8-Taste drückt. Die Anmeldung erfolgt dabei mit dem "Kennwort für den Wiederherstellungsmodus" das beim Heraufstufen des DCs vergeben wurde.
  • Ab Windows Server 2008 ist es nicht zwingend notwendig den DC im Modus Verzeichnisdienstwiederherstellung zu starten, denn es kann im laufenden Betrieb der Dienst Active Directory-Domänendienste (AD-DS) samt den abhängigen Diensten Dateireplikationsdienst, Kerberos-Schlüsselverteilungsdienst, Standortübergreifender Messagingdienst und DNS-Server angehalten werden. Dazu ist entweder in der Dienstesteuerung (services.msc) der Dienst Active Directory-Domänendienste oder in der Kommandozeile mit net stop ntds anzuhalten.
  • Danach gilt es unter START-AUSFÜHREN oder aus der Kommandozeile heraus, dass NTDSUTIL aufzurufen.
    Ab Windows Server 2008 muss nach dem Starten von NTDSUTIL anschließend die Active Directory-Instanz aktiviert werden. Dieses ist mit dem Befehl activate instance ntds möglich.
  • In der NTDSUTIL-Kommandozeile gibt man FILES ein, um in die File-Maintenance Eingabeaufforderung zu gelangen.
  • Zuerst sollte ein Integritätstest der NTDS.DIT mit dem Befehl Integrity durchgeführt werden. Falls nach dem Test Fehler angezeigt werden, könnte man mit NTDSUTIL versuchen diese zu beheben. Nach dem Integritätstest wird ein Protokoll im Verzeichnis "%windir%\ntds\ntds.integ.raw" erstellt, in dem Informationen zum Gesundheitszustand der AD-Datenbank enthalten sind.

 

 

    • Mit "q" (oder quit) gilt es die File-Maintenance Ebene zu verlassen, um in die NTDSUTIL Ebene zu gelangen.
    • Hier gilt es den Befehl SEMANTIC DATABASE ANALYSIS einzugeben, damit man in die "Semantic Checker" Ebene gelangt.
    • Dort angelangt, aktiviert man mit dem Parameter VERBOSE ON die Option, um detaillierte Informationen zu erhalten.
    • Als nächstes gibt man den Befehl GO FIXUP ein, um eine Reparatur über die NTDS.DIT laufen zu lassen. Anschließend wird zum einen in der Kommandozeile eine Zusammenfassung angezeigt und zum anderen wird ein Protokoll im Verzeichnis "C:\dsdit.dmp.0" mit ausführlichen Informationen erstellt.

 

    • Anschließend verlässt man mit zweimaliger Eingabe von "q" die Kommandozeile und startet den Domänencontroller im normalen Modus neu.
      Ab Windows Server 2008 startet man den Dienst Active Directory-Domänendienste in der Dienstesteuerung oder in der Kommandozeile mit net start ntds.


Nach dem Neustart des DCs, gilt es die Funktionsfähigkeit der NTDS.DIT zu überprüfen.
Sollten immer noch Probleme existieren, können mit den Windows Support Tools DCDIAG [1] und NetDIAG, weiteres Troubleshooting betrieben werden. Falls auch dieses nicht zum Erfolg führt, sollte die Active Directory-Datenbank aus einer System State Sicherung wiederhergestellt und nach dem Restore, die Konsistenz der Datenbank überprüft werden.



Weitere Informationen:

[1] Domänencontroller mit DCDIAG prüfen
DCDiag and NetDiag in Windows 2000 Facilitate Domain Join and DC Creation

Tuesday, September 12, 2006 3:34:55 PM (W. Europe Standard Time, UTC+01:00)  #      Active Directory | Administration  | 
Copyright © 2012 Yusuf Dikmenoglu. All rights reserved.
DasBlog 'Portal' theme by Johnny Hughes.
Pick a theme: