Blog Home  Home Feed your aggregator (RSS 2.0)  
LDAP://Yusufs.Directory.Blog/ - Friday, September 15, 2006
Wieviele Sprachen sprechen Sie? Ich spreche bloß eine: LDAP!
 
About

Archive
<September 2006>
SunMonTueWedThuFriSat
272829303112
3456789
10111213141516
17181920212223
24252627282930
1234567
Navigation
Search Filter Syntax
How the Active Directory Replication Model Works
How Active Directory Replication Topology Works
How the Data Store Works
How Core Group Policy Works
How the Kerberos v5 Authentication Protocol Works
SRV Resource Records
Windows Server 2008 R2 or Windows Server 2008 domain controller returns only 5000 attributes in a LDAP response
Active Directory and Network Address Translation
Description of support boundaries for Active Directory over NAT
When you run an LDAP query against a Windows Server 2008-based domain controller, you obtain a partial attribute list
Authentication fails when an external client tries to log on to a Windows Server 2008 server by using a read-only domain controller in a perimeter network
Active Directory Domain Services in the Perimeter Network
How to use unattended mode to install and remove Active Directory Domain Services on Windows Server 2008-based domain controllers
Active Directory Administration with Windows PowerShell
Active Directory Domain Services for Windows Server 2008 R2
Read-Only Domain Controller (RODC) Branch Office Guide
Active Directory Domain Services
Windows Server 2008 R2: Active Directory
Categories
 
 
 
 
 
 
 
MVP

Blogroll
 ActiveDir
 AD Documentation Team
 AD-Powershell Blog
 Aktives Verzeichnis
 DS-Team Blog
 Eric Fleischman
 Server Core
 Tim Springston
 Windows Server Division
 Wolfgang Sauer
Contact
Send mail to the author(s) Email Me

Disclaimer
The opinions expressed herein are my own personal opinions and do not represent my employer's view in anyway.

Sign In
 Friday, September 15, 2006
Asynchrones Startverhalten beim Windows XP

Windows XP verwendet für den schnellen Start- sowie für den Anmeldungvorgang, eine "optimierte" (das kann man sehen wie man will) Anmeldung.

 

Anders als zu Windows 2000 Zeiten werden die Gruppenrichtlinien in Windows XP, beim starten des Rechners und der Anmeldung des Benutzers asynchron verarbeitet. Dadurch wird der Anmeldebildschirm als auch die Arbeitsoberfläche (Desktop) für den Benutzer schneller zur Verfügung gestellt.
Es gibt aber Situationen, in denen Windows XP die Gruppenrichtlinien synchron verarbeitet, als die wären:

  • Bei dem ersten Startvorgang eines Computers in der Domäne
  • Bei der ersten Anmeldung eines Domänen-Users an einem Client
  • Wenn der User (oder Computer) über synchron zu verarbeitende Skripte verfügt
  • Wenn der User ein konfiguriertes Basisverzeichnis (Home-Laufwerk) besitzt
  • Wenn der Benutzer über ein servergespeichertes Profil verfügt

Durch diese "scheinbar" Verbesserung kommt es aber desöfteren vor, dass dieses Verhalten eher als "störend" empfunden wird, wenn man sich z.B. anmeldet und findet keine Netzlaufwerke vor oder die Netzlaufwerke im Explorer erst nach und nach erscheinen etc.

 

Deshalb sollten diese beiden Richtlinien aktiviert werden, damit Windows XP die Gruppenrichtlinien während des Startvorgangs bzw. bei der Anmeldung des Benutzers synchron verarbeitet:

Computerkonfiguration/Administrative Vorlagen/System/Skripts\Anmeldeskripts gleichzeitig ausführen
Computerkonfiguration/Administrative Vorlagen/System/Anmeldung\Beim Neustart des Computers und bei der Anmeldung immer auf das Netzwerk warten

 

 

Weitere Informationen:
Description of the Windows XP Professional Fast Logon Optimization feature

 

Friday, September 15, 2006 12:00:22 PM (W. Europe Standard Time, UTC+01:00)  #      Gruppenrichtlinien  | 
Die LAN-Verbindung reparieren

Was passiert eigentlich im Hintergrund, wenn man die LAN-Verbindung "repariert" ?

 

Falls Kommunikationsprobleme, die nicht mit der Infrastruktur (Verkabelung, Switch) zusammenhängen auftreten, gestattet Windows XP sowie Windows Server 2003 das "Reparieren der LAN-Verbindung". Hierbei passiert folgendes :

  • Der Computer-interne Cache von ARP wird geleert
  • Der Computer-interne Cache von NetBIOS wird geleert
  • Der Computer-interne Cache von DNS wird geleert

Anschließend wird veranlasst, dass die TCP/IP-Konfiguration durch versenden einer DHCP-Anfrage (DHCPDISCOVER) an einen DHCP-Server erneuert wird.
Dieses Vorgehen wird desweiteren ergänzt von einer erneuten Registrierung beim DNS-Server und falls vorhanden WINS-Server und falls die Verbindung die 802.1x-Authentifizierung verwendet, findet zudem auch hier eine dementsprechende Re-Authentifizierung statt.

Die Reparier-Funktion ist keine neue Funktion die Microsoft erfunden hat, vielmehr handelt es sich hierbei um eine Reihe von Befehlen (samt spezieller Parameter) die ansonsten in einer Kommandozeile händisch eingegeben werden müssten. Die Befehle lauten:

  • IPCONFIG /Renew (zum erneuern der IP-Adresse)
  • NBTSTATT -RR (zum registrieren im WINS) 
  • IPCONFIG /REGISTERDNS (zum registrieren im DNS)

Eine weitere Möglichkeit wäre noch, dass das TCP/IP - Stack einen Schaden hätte.
Diesen kann man zwar nicht mehr deinstallieren (wie zu Windows 2000 Zeiten), sondern nur noch deaktivieren, aber man kann ihn resetten.
Der Befehl hierzu lautet: "netsh int ip reset C:\resetlog.txt".
Was genau der Vorgang gemacht hat, kann man sich in der Datei C:\resetlog.txt anzeigen lassen.

 

Zum reparieren der LAN-Verbindung klickt man mit rechts auf die Netzwerkverbindung (sei es rechts unten in der Taskleise oder über die Systemsteuerung - Netzwerkverbindungen) und wählt "Reparieren" aus.

Friday, September 15, 2006 11:03:31 AM (W. Europe Standard Time, UTC+01:00)  #      Networking  | 
 Thursday, September 14, 2006
Globaler Katalog (Global Catalog - GC)

Wer oder was ist der globale Katalog (GC)?

 

Wenn Suchoperationen in einem Active Directory nach bestimmten Informationen durchgeführt werden sollen, kann es in größeren Umgebungen länger
dauern, wenn dafür jedes Objekt und jedes Attribut einzeln angefasst werden müsste. Um die Suche im Active Directory schnell abwickeln zu können,
benutzt das Active Directory den „globalen Katalog“.

 

Der globale Katalog hat keine eigene, sondern eine vom Active Directory abgeleitete Datenbank. Denn schließlich macht es keinen Sinn,
alle Objekte die bereits im Active Directory existieren, doppelt im globalen Katalog zu führen.

 

In den globalen Katalog werden alle Active Directory-Objekte einer Gesamtstruktur repliziert. Der GC speichert die vollständige Domänenpartition
(alle Objekte samt allen Attributen) der eigenen Domäne, in der sich der globale Katalog befindet. Alle Objekte der Domänenpartition anderer Domänen
befinden sich ebenfalls im GC, es werden aber nicht alle Attribute der Objekte gespeichert. Lediglich die Attribute, die für eine Suchoperation relevant
sein könnten (z.B. der DN eines Objekts) werden gespeichert. Des Weiteren hat der GC einen Index, in dem hinterlegt ist, welches Objekt auf welchem
Domänencontroller im Active Directory liegt. Weiterhin kennt er jede Domänenpartition in der Gesamtstruktur und weiß z.B. welcher Domänencontroller
an welchem Standort steht.  

 

Innerhalb seiner Domäne sind die Informationen sofort auch über den GC verfügbar. Die Informationen aus den anderen Domänen werden über die
normale Replikation auf die Server übertragen.

 

Der erste Domänencontroller der in einer Gesamtstruktur installiert wird, ist automatisch auch ein globaler Katalog.
Alle weiteren Domänencontroller sind standardmäßig keine GCs.   

 

Wenn man auf einem weiteren Domänencontroller den GC aktivieren möchte, so gilt es das Snap-In Active Directory-Standorte und -Dienste aufzurufen,
den Standort in dem sich der Domänencontroller befindet auszuwählen, den Server zu erweitern damit dann in den NTDS-Eigenschaften
der Haken für den globalen Katalog gesetzt werden kann.


 

Man kann auch auf einem Domänencontroller den GC, auf folgende Weise aktivieren:

  • Über die Kommandozeile: REPADMIN /OPTIONS <DC> +IS_GC

  • Über die Kommandozeile: DSMOD Server "CN=DC-NAME,OU=Domain Controllers,DC=intra,DC=dikmenoglu,dc=de" -isgc yes

  • Per Skript: http://www.microsoft.com/technet/scriptcenter/scripts/ad/computer/cptrvb05.mspx?mfr=true

  • Sollen auf allen DCs einer bestimmten Domäne der GC aktiviert werden, so kann folgender Befehl verwendet werden:
    DSQUERY Server -domain intra.dikmenoglu.de | DSMOD Server -isgc yes

 

Es können beliebig viele GCs in der Gesamtstruktur existieren (es gibt keine physikalische Grenze).
Möchte man sich alle globalen Kataloge in der Gesamtstruktur anzeigen, so kann man das NSLOOKUP dazu verwenden.

Der Befehl würde lauten: nslookup gc._msdcs.<Root-Domäne>.
Der Nachteil an diesem Befehl ist, dass lediglich die IP-Adressen angezeigt werden und keine Servernamen.

Eine weitere Variante über das DNS die globalen Kataloge der Gesamtstruktur abzufragen, wäre wie folgt:
Dnscmd %Logonserver% /Enumrecords %Userdnsdomain% _tcp | find /i "3268"


Möchte man alle DCs in der Gesamtstruktur, auf denen der GC aktiviert ist mit ihren Namen angezeigt bekommen,
so lässt sich dies mit folgendem Befehl lösen: Dsquery server –forest -isgc


Oder so:
Dsquery * "CN=Configuration,DC=Root-Domäne" -Filter "(&(objectCategory=nTDSDSA)(options:1.2.840.113556.1.4.803:=1))"

Alle globalen Katalogserver einer bestimmten Domäne, werden mit folgendem Befehl angezeigt:
Dsquery server -domain intra.dikmenoglu.de -isgc.

Die globalen Katalogserver eines bestimmten Standorts, können mit diesem Befehl angezeigt werden:
Dsquery server –site <Standortname> -isgc

 

Des Weiteren bekommt man auch, auf einen Blick die GCs in der Gesamtstruktur mit ihrem NetBIOS-Namen, im REPLMON zu sehen.
Dazu gilt es im REPLMON (das sich in den Windows Support Tools befindet) eine Verbindung zu einem DC herzustellen,
einen Rechtsklick auf den Servernamen zu tätigen und dann die Option "Show Global Catalog Servers in Enterprise" auszuwählen.   


 

 

Welche Attribute werden denn im globalen Katalog gespeichert?

 

Microsoft hat vorgegeben, welche Attribute in den globalen Katalog repliziert werden.

Common Default Attributes Set for Active Directory and Global Catalog

 

Natürlich ist es möglich, weitere Attribute die für die eigene Umgebung relevant wären (wenn z.B. das Active Directory durch eine Applikation erweitert
wird), mit in den globalen Katalog aufzunehmen, aber Achtung - das bedeutet mehr Speicherplatz!

 

Möchte man nun weitere Attribute in den GC repliziert haben, so gilt es in einer MMC das „Active Directory-Schema“ Snap-In aufzurufen.

 

Hinweis: Das Schema Snap-In ist erst sichtbar, wenn vorher unter Start - Ausführen der Befehl „regsvr32 schmmgmt.dll“ ausgeführt wurde.

 

Da diese Einstellung eine Änderung am Schema bedeutet, dürfen diese Anpassungen auch nur von der Gruppe „Schema-Admins“ vorgenommen werden.

 

Natürlich sollten Modifizierungen am Schema mit größter Vorsicht (wenn überhaupt nötig) getätigt und die gewünschten Änderungen vorher in einer
Testumgebung getestet worden sein, damit es in der Produktionsumgebung keine bösen Überraschungen gibt.

 

In den Eigenschaften eines Attributs kann man sehen, dass mehrere Optionen gesetzt werden können:

 


Die beiden markierten Optionen sind von besonderer Bedeutung was die Effizienz bei Zugriffen auf das Active Directory betrifft:

  • Die Option "Attribut in Active Directory indizieren" bedeutet, dass auf dem globalen Katalog eine Indexierung des Attributs erfolgen soll
  • Mit der Option "Attribut in den globalen Katalog replizieren" wird festgelegt, dass ein Attribut in den globalen Katalog aufgenommen werden soll.
    Aber Achtung, falls ein Attribut in den GC aufgenommen wird, repliziert sich in einer Multi-Domänen Gesamtstruktur der GC komplett neu mit
    den anderen GCs, wenn sich der Gesamtstrukturfunktionsmodus nicht auf der Ebene "Windows Server 2003" befindet. Befindet sich hingegen der
    Gesamtstrukturfunktionsmodus auf "Windows Server 2003", so wird nur das Attribut repliziert, das in den GC aufgenommen wurde. 

 

Weiterführende Informationen:
Funktion des globalen Katalogs
Globaler Katalog – Sein oder nicht sein
How to Modify Attributes That Replicate to the Global Catalog
How to create or move a global catalog in Windows Server 2003, Windows 2000, or Small Business Server 2000

Thursday, September 14, 2006 3:12:45 PM (W. Europe Standard Time, UTC+01:00)  #      Active Directory  | 
Einen zusätzlichen DC in die Domäne hinzufügen

Was ist zu beachten, wenn man einen zusätzlichen Domänencontroller in die Domäne hinzufügt?

1. Auf dem neuen Server, muss in seinen TCP/IP-Einstellungen ein bereits bestehender DC/DNS (auf dem idealerweise
das DNS AD-integriert installiert ist und "Nur sichere" Updates zulässt) als "Bevorzugter DNS-Server" eingetragen sein.
Nach der Betriebssysteminstallation kann der Server direkt mit DCPROMO zum DC gestuft werden und muss nicht vorher, als Mitgliedsserver zur
Domäne hinzugefügt werden. Dabei spart man sich einen Schritt und somit einen Neustart. Denn während dem Ausführen von DCPROMO auf dem neuen Server,
möchte der Assistent an einer Stelle ein Benutzerkonto angegeben haben, dass berechtigt ist auf dem Server das AD zu installieren.

Ansonsten kann man natürlich den Server vorher zur Domäne hinzufügen und führt anschließend das DCPROMO aus.


2. Danach ruft man auf dem neuen Server den Active Directory-Assistenten "DCPROMO" auf und wählt an entsprechender Stelle den Punkt
"zusätzlichen Domänencontroller für eine bestehende Domäne" aus.

Ist der zusätzliche Server, der erste Windows Server 2003 R2 DC in der Gesamtstruktur, so muss das AD-Schema vorher wie folgt aktualisiert werden:
Schemaupdate beim Windows Server 2003 R2

Ist der zusätzliche Server, der erste Windows Server 2008 DC in der Gesamtstruktur, so muss das AD-Schema vorher so aktualisiert werden:
Den ersten Windows Server 2008 DC zu einer Windows 2000/2003/R2 Gesamtstruktur hinzufügen

Ist der zusätzliche Server, der erste Windows Server 2008 R2 DC in der Gesamtstruktur, so muss das AD-Schema vorher folgendermaßen aktualisiert werden:
Den ersten Windows Server 2008 R2 DC zur Gesamtstruktur hinzufügen


3. Wenn der DCPROMO-Assistent abgeschlossen und der neue DC neu gestartet wurde, sollte anschließend (oder vorher) das DNS nur installiert und nicht konfiguriert werden.
Denn das DNS ist (auf dem ersten DC) schon konfiguriert. Die DNS-Konfiguration gilt es abzubrechen.
Danach wartet man die Replikation ab und somit sollte der neue DC alle Informationen mittlerweile repliziert bekommen haben.
Ab Windows Server 2008 kann man das DNS während dem DCPROMO Vorgang mit installieren, was zu empfehlen ist!


4. Wenn die Replikation stattgefunden hat, gilt es den neuen Server mit seiner echten IP als zusätzlichen DNS-Server in den TCP/IP-Einstellungen einzutragen.
Die empfohlenen Vorgehensweisen können hier nachgelesen werden:
Welcher DNS-Server sollte eingetragen werden ?


5. Danach oder ab Windows Server 2008 während dem DCPROMO Vorgang sollte auf diesem DC, der GC aktiviert werden. Dazu geht man im Snap-In "Standorte und -Dienste" auf den Standort
in dem sich dieser DC befindet, auf den neuen Server und setzt den Haken in den NTDS-Eigenschaften bei "globaler Katalog":
Globaler Katalog (Global Catalog - GC)


6. Wenn es gewünscht ist sollten noch die fünf FSMO-Rollen auf diesen verschoben werden oder man belässt sie auf dem ersten/anderen DC.
Dabei ist zu beachten, dass die FSMO-Rollen sich stets auf dem DC, das mit dem aktuellsten Serverbetriebssystem installiert ist befinden sollten.
Die FSMO-Rollen verschieben


Hinweis: Nahezu jede Domäne „sollte“ einen zweiten Domänencontroller haben, einfach aus gründen der Redundanz. Denn schließlich kann sich jeder
ausmalen, was passiert, wenn der einzigste Domänencontroller ausfällt, dann hat man „erstmal“ die Domäne verloren.

Thursday, September 14, 2006 12:37:46 PM (W. Europe Standard Time, UTC+01:00)  #      Active Directory  | 
 Wednesday, September 13, 2006
Migration von Windows Server 2000 auf Windows Server 2003 (Inplace-Update)

Welche Schritte müssen beachtet werden, wenn man einen Windows Server 2000 auf Windows Server 2003 R2 aktualisieren möchte ?

 

Ich gehe an diesem Beispiel davon aus, dass auf dem 2000er Domänencontroller das DNS, Active Directory-integriert installiert ist.

 

1. Bevor man anfängt, sollte natürlich ein Backup der Daten und vorallem vom SYSTEM STATE existieren: 

http://support.microsoft.com/kb/240363/de

Desweiteren muss sich auf allen DCs die Datei "NTDSA.DLL" im Pfad %windir%\system32 befinden, die einen höheren Datumsstempel als den 04. Juni 2001
sowie eine höhere Dateiversion als 5.0.2195.3673 hat. Der Virenscanner sollte während dem Update deaktiviert werden.

 

2. Zuerst sollte mit der Option „/checkupgradeonly“ das System auf Kompatibilität geprüft werden und falls die Routine an etwas meckert, sollten
zuerst die gemeldeten Probleme beseitigt werden.

http://www.microsoft.com/technet/prodtechnol/windowsserver2003/de/library/ServerHelp/1e2541bb-d42c-49ef-9f8a-18e30b4f2667.mspx?mfr=true

 

3. Zuallererst gilt es auf dem Windows 2000 DC, dass EFS – Zertifikat zu sichern (falls dieser der erste DC in der Domäne ist):

http://www.faq-o-matic.net/2003/08/18/was-muss-ich-tun-um-den-ersten-dc-zu-deinstallieren/

http://support.microsoft.com/kb/241201/de

 

4. Auf dem Windows Server 2000 Domänencontroller muss mindestens das SP 2 installiert sein (heutzutage schon das SP4)
(http://www.microsoft.com/windowsserver2003/evaluation/whyupgrade/win2k/w2ktows03-2.mspx).

Die Zeiten der Domänencontroller sollten synchronisiert und auf allen gleich sein.
Danach muss auf dem 2000er DC, der die Rolle des Schemamasters innehat (idealerweise trägt dieser DC alle Rollen sowie den GC),
die Windows Server 2003 CD eingelegt und auf der Kommandozeile (START – AUSFÜHREN – CMD) ins Verzeichnis I386 gewechselt werden, 
um „ADPREP /FORESTPREP“ auszuführen. Anschließend muss auf dem DC, der die Rolle des Infrastrukturmasters innehat in der Domäne,
in der der neue DC hinzugefügt werden soll, noch das „ADPREP /DOMAINPREP /GPPREP“ ausgeführt werden.
Das Active Directory Preparation Tool - ADPREP


Möchte man auf Windows Server 2003 R2 aktualisieren, so gilt es ADPREP von der zweiten R2 CD auszuführen und nicht von der ersten:
Schemaupdate beim Windows Server 2003 R2
 

5. Migriert man auf "Windows Server 2003 mit SP1" (oder R2), sollte noch das „ADPREP /DOMAINPREP /GPPREP“ ausgeführt werden.
Näheres siehe: http://support.microsoft.com/kb/324392/en-us

 

6. Anschließend führt man auf dem Windows 2000 Domänencontroller das SETUP von der CD aus und folgt den Anweisungen,
damit das Update auf den Windows Server 2003 beginnen kann.

 

7. Folgendes ist zu beachten, falls Exchange 2000 auf der gleichen Maschine laufen sollte:
Zuerst muss das Exchange 2000 auf Exchange 2003 upgedatet werden. Denn Exchange 2003 läuft unter Windows Server 2000,
aber nicht umgekehrt (Exchange 2000 auf Windows Server 2003), dass geht nicht.

Daher MUß zuerst ein Exchange update gemacht werden und dann das Betriebssystemupdate von Windows Server 2000 auf Windows Server 2003
(es müssen zwei Schemaupdates durchgeführt werden, einmal für Exchange und dann für das Active Directory).
Bevor man mit dem Betriebssystemupdate beginnt, sollte von der Exchange-CD aus dem Verzeichnis "support\exdeploy" das Tool "policytest.exe" ausgeführt werden,

um sicher zu gehen, dass die entsprechenden Berechtigungen im Active Directory bestehen.

 

 

How to upgrade Windows 2000 domain controllers to Windows Server 2003

Migration Exchange 2000 auf 2003

 

Windows Server 2003 adprep /forestprep command causes mangled attributes in Windows 2000 forests that contain Exchange 2000 servers

http://redmondmag.com/columns/article.asp?EditorialsID=663

 

 

Hier noch weitere hilfreiche Links: 

 

What do I need to do to prepare my Windows 2000 forest for the installation of the first Windows Server 2003 DC?

http://www.petri.co.il/windows_2003_adprep.htm

Common Mistakes When Upgrading Exchange 5.5/2000 To a Exchange 2003

http://support.microsoft.com/kb/555262/en-us

Considerations when you upgrade to Exchange Server 2003

http://support.microsoft.com/kb/822942/en-us

Common Mistakes When Upgrading a Windows 2000 Domain To a Windows 2003 Domain

http://support.microsoft.com/kb/555040/en-us

Cannot Upgrade Windows 2000 Server to Windows Server 2003 with Windows Services for UNIX 2.0 Installed

http://support.microsoft.com/kb/293783/en-us

When you run the "Adprep /forestprep" command to prepare Windows 2000 Active Directory for Windows Server 2003, the forest preparation operation fails

http://support.microsoft.com/kb/924175/en-us

Enhancements to Adprep.exe in Windows Server 2003 Service Pack 1 and in hotfix 324392

http://support.microsoft.com/kb/324392/en-us - sowie

http://technet2.microsoft.com/WindowsServer/en/library/bc5ebbdb-a8d7-4761-b38a-e207baa734191033.mspx?mfr=true

 

Wednesday, September 13, 2006 9:01:37 PM (W. Europe Standard Time, UTC+01:00)  #      Active Directory | Migration  | 
Copyright © 2012 Yusuf Dikmenoglu. All rights reserved.
DasBlog 'Portal' theme by Johnny Hughes.
Pick a theme: