Blog Home  Home Feed your aggregator (RSS 2.0)  
LDAP://Yusufs.Directory.Blog/ - Wednesday, November 29, 2006
Wieviele Sprachen sprechen Sie? Ich spreche bloß eine: LDAP!
 
About

Archive
<November 2006>
SunMonTueWedThuFriSat
2930311234
567891011
12131415161718
19202122232425
262728293012
3456789
Navigation
Search Filter Syntax
How the Active Directory Replication Model Works
How Active Directory Replication Topology Works
How the Data Store Works
How Core Group Policy Works
How the Kerberos v5 Authentication Protocol Works
SRV Resource Records
Windows Server 2008 R2 or Windows Server 2008 domain controller returns only 5000 attributes in a LDAP response
Active Directory and Network Address Translation
Description of support boundaries for Active Directory over NAT
When you run an LDAP query against a Windows Server 2008-based domain controller, you obtain a partial attribute list
Authentication fails when an external client tries to log on to a Windows Server 2008 server by using a read-only domain controller in a perimeter network
Active Directory Domain Services in the Perimeter Network
How to use unattended mode to install and remove Active Directory Domain Services on Windows Server 2008-based domain controllers
Active Directory Administration with Windows PowerShell
Active Directory Domain Services for Windows Server 2008 R2
Read-Only Domain Controller (RODC) Branch Office Guide
Active Directory Domain Services
Windows Server 2008 R2: Active Directory
Categories
 
 
 
 
 
 
 
MVP

Blogroll
 ActiveDir
 AD Documentation Team
 AD-Powershell Blog
 Aktives Verzeichnis
 DS-Team Blog
 Eric Fleischman
 Server Core
 Tim Springston
 Windows Server Division
 Wolfgang Sauer
Contact
Send mail to the author(s) Email Me

Disclaimer
The opinions expressed herein are my own personal opinions and do not represent my employer's view in anyway.

Sign In
 Wednesday, November 29, 2006
Domänencontroller am Standort

Standorte im Sinne des Active Directorys sind eine physikalische Komponente des Active Directorys.

Diese zu erstellen gehört zu einem sauberen Design einer Active Directory-Domäne dazu, falls Domänencontroller auch
in Aussenstellen platziert sind und z.B. die Notwendigkeit der Einflussnahme in Bezug auf die AD-Replikation besteht.

Ein AD-Standort kann dabei durchaus mehrere Domänen enthalten und eine einzige Domäne kann mehreren AD-Standorten angehören.

Durch das Erstellen von AD-Standorten wird die standortübergreifende (Inter-Site) Replikation planbar und der Verkehr auf den WAN-Verbindungen wird entlastet.

Mehr Informationen über Standorte, erhält man im folgenden Artikel:

Active Directory-Replikation

http://www.faq-o-matic.net/2006/04/26/active-directory-replikation/

 

 

 

Wie findet ein Client einen Domänencontroller an seinem Standort?

 

Wie so oft, spielt auch dabei die DNS-Namensauflösung eine große Rolle.

Die Voraussetzungen damit ein Client einen lokalen DC nutzt sind folgende:

 

  • Im Snap-In "Active Directory-Standorte und -Dienste" müssen entsprechende Standorte erstellt sein

  • Diesen Standorten muss das entsprechende IP-Subnetz bzw. Subnetze zugeordnet sein

  • Die Server-Icons der jeweiligen Domänencontroller müssen sich in ihrem Active Directory Standort befinden.
    Falls es nicht der Fall ist, müssen diese dort an ihren richtigen Standort verschoben werden.

    Hinweis: Wenn ein DC an einen anderen Standort verschoben wurde, ist zwingend das DNS zu bereinigen.
    Dazu sind die SRV-Einträge des DCs, aus dem Pfad _tcp.<Name des Standorts>._sites.dc._msdcs.Domäne
    vom alten Standort zu entfernen.

    Siehe auch:
    Einen Domänencontroller an einen anderen Standort verschieben

 

Die Vorgehensweise wie ein Client einen DC findet, ist wie folgt:

  • Der Client fragt im DNS nach, welche DCs es gibt.
  • Falls der Client noch keine Standortinformationen hat, erhält er bei dem ersten Kontakt mit einem Domänencontroller
    von diesem die richtigen Informationen übermittelt, zu welchem Standort der Client gehört. Wenn ein Client dann erneut startet,
    versucht er über das DNS immer zuerst einen DC zu finden, der sich an seinem Standort befindet.
  • Er erhält eine Liste aus der DNS-Antwort und geht diese durch, um einen DC zu finden der funktioniert und auch online ist.
    Dabei nimmt er bevorzugt einen DC aus seinem Standort. Die DNS-Abfrage die der Client in diesem Moment stellt, wäre: _ldap._tcp.<Standort>._sites.dc._msdcs.<Domäne>.
  • Der Client setzt dann in seiner Registry unter HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters 
    den Eintrag DynamicSiteName mit dem Standort, an dem er sich befindet.
  • Erst wenn der Client bei dieser Anfrage von einem DC aus seinem Standort keine Antwort erhält (wenn z.B. kein
    Domänencontroller an seinem Standort existiert)     oder er noch keine Standortinformationen hat (z.B. nach einer Neuinstallation),
    fragt er mit einer zweiten Anfrage nach einem DC diesmal aus seiner Domäne nach. Die Abfrage lautet:
    _ldap._tcp.dc._msdcs.<Domäne>.

    Spätestens bei dieser Abfrage erhält der Client einen DC mitgeteilt.

 

 

Auf der Gegenseite geht der DC der die Anfrage eines Clients erhält wie folgt vor:

  • Der Domänencontroller reicht die Clientanfrage an seinen NETLOGON-Prozess durch, der dann die Client-IP in seiner
    Subnet to Site Mapping Table nachsieht und dann das treffende Standort-Objekt heraussucht.

  • Der Netlogon-Prozess des DCs übergibt an den DC die folgenden Infos:

    1. Den Namen des Standorts, in der sich der befragte Domänencontroller befindet.
    2. Den Standortnamen, in dem sich der Client befindet.
    3. Ein Flag das angezeigt wird, wenn sich der angefragte DC im gleichen Standort befindet (Bit gesetzt)
    oder ob der DC ausserhalb des Standortes ist (Bit nicht gesetzt).

 

 

Diese Informationen werden dann an den Client gesendet, der sich nun die Informationen wie folgt anschaut:

  • Wenn sich der Domänencontroller an dem gleichen (oder nächstgelegenen) Standort befindet (gesetztes Bit),
    nimmt der Client bevorzugt diesen DC.

  • Wenn sich kein DC an dem Standort des Clients befindet, entscheidet das Design in der
    MMC "Active Directory-Standorte und -Dienste", an welchem DC sich der Client authentifiziert.
    Der Client verwendet einen Domänencontroller der am nächsten zu seinem Standort ist.
    Dabei ist z.B. die Einstellung der Verbindungskosten entscheidend.

  • Nachdem der Client einen DC ermittelt hat, wird dieser Eintrag des DCs zwischengespeichert.
    Falls sich der DC nicht an dem Standort des Clients oder an einem nicht günstigen Standort befinden sollte (Verbindungskosten),
    leert der Client nach 15 Minuten den Zwischenspeicher und verwirft somit den zwischengespeicherten DC.
    Der Client versucht dann erneut einen nächstgelegenen DC, idealerweise an seinem eigenen Standort zu finden.

 

Prinzipiell könnte man den Client zwingen, sich an einem vorgegebenen Standort zu authentifizieren.

Dazu muss im Registry-Pfad HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters

der Eintrag SiteName erzeugt und als Wert der entsprechende Standort eingetragen werden.
Das wiederum hat aber den Nachteil, dass wenn der Client an einen anderen Standort verschoben werden sollte,

er sich versucht an seinem eingetragenen Standort zu authentifizieren.

Das führt dann zu einem langsamen Anmeldeverhalten.

 

Des Weiteren wird bei den Abfragen auch ein Auswahlverfahren angewendet.

Alle Domänencontroller sind, samt ihren SRV-Records, im DNS eingetragen und die jeweiligen Einträge enthalten eine Gewichtung sowie Priorität.

Der Domänencontroller, der mit seiner niedrigsten Zahl im Feld Priorität eingetragen ist (umso niedriger die Zahl, desto höher ist die Priorität),

wird vom Client als bevorzugter Domänencontroller genutzt. Existieren mehrere Domänencontroller mit der gleichen Priorität, entscheidet die Gewichtung.

Dabei gilt, je höher die Zahl (zwischen 1 und 65535), desto höher ist die Gewichtung und somit steht der Domänencontroller höher in

den Abfrageergebnissen die der Client geliefert bekommt.

 

 

 

 

 

Es können auch Standorte existieren, an denen kein Domänencontroller vor Ort besteht.

 

Hinweis: Standorte sollten auch dann erstellt werden, wenn kein Domänencontroller vor Ort existiert,

wenn z.B. mit standortabhängigen Richtlinien zu arbeiten ist.

 

Dann nimmt sich ein Domänencontroller aus einem anderen Standort, der dem Standort ohne Domänencontroller am nächsten ist

(anhand der Kosten der Standortverknüpfungen) dessen an und trägt sich im DNS als Domänencontroller für diesen Standort ein.

Dieses Verfahren nennt sich "Automatic Site Coverage" [1]. 

 

Es ist ebenso möglich einem bestimmten Domänencontroller mehrere Standorte zuzuweisen so dass dieser sich für mehrere Standorte im DNS einträgt.

Dazu fügt man unter Windows 2000 in der Registry des Domänencontrollers, unter dem folgenden Pfad:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters

den Schlüssel "SiteCoverage" (REG_MULTI_SZ) hinzu und trägt als Wert dann den/die Standort(e) ein [2].

 

Unter Windows Server 2003 gibt es dafür eine Richtlinie:

Computerkonfiguration\Administrative Vorlagen\System\Netzwerkanmeldung\
Domänencontrollerlocator-DNS-Einträge\“Standorte, die durch DC-Locator-DNS-SRV-Einträge abgedeckt werden“

Die dort eingetragenen Standorte (jeweils getrennt durch ein Leerzeichen), werden vom NETLOGON-Dienst des Domänencontrollers im DNS registriert.

 


 

 

Neuerung ab Windows Vista und Windows Server 2008

 

Mit Vista und Windows Server 2008 wurde ein neues Feature (genauer eine Richtlinie) eingeführt, dass das Verhalten zum auffinden eines DCs verbessert.
Das Standardverhalten eines Clients und Mitgliedservers ist, dass zuerst im DNS nach einem DC am gleichen AD-Standort gesucht wird.
Schlägt dieser Versuch fehl, wird nach einem Zufallsprinzip ein DC aus der Domäne (von einem entfernten AD-Standort) ausgewählt,

der die Authentifizierung der Clients bzw. Mitgliedsserver durchführt.

 

Nun kann ab Vista und Windows Server 2008 die folgende Richtlinie aktiviert werden:
Computerkonfiguration\Administrative Vorlagen\System\Netzwerkanmeldung\Domänencontrollerlocator-DNS-Einträge\"Am nächstgelegenen Standort suchen"

 


Ist diese Richtlinie aktiviert, ändert sich das Verhalten ab Vista und Windows Server 2008 wie folgt:

  • Es wird weiterhin zuerst nach einem (beschreibbaren) DC am gleichen AD-Standort gesucht.

  • Wenn sich am gleichen AD-Standort kein DC befindet, wird durch die aktivierte Richtlinie ein DC am nächstgelegenen AD-Standort gesucht.
    Ein DC am nächstgelegenen AD-Standort wird durch die Kosten die in der MMC Active Directory-Standorte und -Dienste konfiguriert ist, bestimmt.
    Dabei werden AD-Standorte wo lediglich ein RODC existiert nicht beachtet.

  • Befindet sich am nächstgelegenen AD-Standort ebenfalls kein DC, wird nach einem Zufallsprinzip ein DC aus der Domäne ausgewählt.


Mit dieser Richtlinie lässt sich in größeren AD-Umgebungen mit mehreren AD-Standorten die zur Verfügung stehende Bandbreite effizienter nutzen.
Denn wenn an einem AD-Standort der DC ausfällt, können die Clients durch die aktivierte Richtlinie einen DC am nächstgelegenen AD-Standort

für ihre Authentifizierung verwenden, der am kostengünstigsten zu ihrem AD-Standort angebunden ist.

 

Enabling Clients to Locate the Next Closest Domain Controller

 


 

 

Weitere Informationen:
[1] How DNS Support for Active Directory Works

[2] Configure a Domain Controller for Membership in Multiple Sites
Gründe für das Einrichten eines Einzelstandortes oder separater Standorte
Finding a Domain Controller in the Closest Site

Sites (Übersicht)
Sites and Subnets

How to optimize the location of a domain controller or global catalog that resides outside of a client's site

How Domain Controllers Are Located in Windows

How Domain Controllers Are Located in Windows XP

Replikation: Standorte & Standortverknüpfungsbrücken

 

 

Wednesday, November 29, 2006 12:14:22 AM (W. Europe Standard Time, UTC+01:00)  #      Active Directory  | 
 Sunday, November 19, 2006
Dateizugriff überwachen


Den Dateizugriff auf einem NTFS formatierten Datenträger kann man mit Windows-Boardmitteln überwachen.
Der Einsatz dieser Funktion sollte aber gut durchdacht sein, denn 

  1. ist diese Einstellung vom Betriebsrat zu genehmigen bzw. ist Mitbestimmungspflichtig und
  2. sollte man sich Gedanken darüber gemacht haben, was mit den gesammelten Informationen geschehen soll.

 

Findet diese Aufzeichnung statt, um längerfristige statistische Aussagen über das Zugriffsverhalten der Benutzer zu erlangen, so sollte die Protokollgröße vergrößert (in den Eigenschaften des jeweiligen Logs) oder die Protokolle des öfteren archiviert werden.

Die Überwachung sollte sich auf die (wenigen) wichtigsten Dateien/Ordner beschränken, denn es werden Rechenleistung sowie Speicherplatz beansprucht.

 

 

Im ersten Schritt gilt es, die folgende Richtlinie entweder auf Lokaler-, Standort-, Domänen- oder OU-Ebene zu aktivieren:

 

Computerkonfiguration\Windows-Einstellungen\

Sicherheitseinstellungen\Lokale Richtlinien\Überwachungsrichtlinie\Objektzugriffsversuche überwachen

 

Mit dieser Richtlinie, überwacht man die Ressourcenauslastung des Systems für Dateien, Verzeichnisse, Freigaben, Drucker und Active Directory Objekte.

 

 

Als zweiten Schritt gilt es, die Überwachungsebene (System Access Control List, SACL) für einzelne Ordner und Dateien festzulegen, damit eine genaue Überwachung des Zugriffs stattfinden kann. Dieses muss für jedes Objekt das überwacht werden soll, konfiguriert werden.

Zum konfigurieren der Datei- und Ordnerüberwachung geht man folgendermaßen vor:

 

 

  • Im Kontextmenü der zu überwachenden Datei bzw. Ordner, wählt man die Option Eigenschaften aus
  • Auf der Registerkarte Sicherheitseinstellungen gilt es auf Erweitert zu klicken
  • Im Dialogfeld Erweiterte Sicherheitseinstellungen für <Dateiname/Ordnername> wählt man die Registerkarte Überwachung aus

 

 

  • Soll an dieser Stelle die Vererbung der Überwachungseinstellungen eines übergeordneten Ordners aktiviert werden, so gilt es im Reiter Berechtigungen die Option Berechtigungen übergeordneter Objekte, sofern vererbbar, über alle untergeordneten Objekte verbreiten. Diese Objekte inklusive den hier definierten Einträgen mit einbeziehen zu aktivieren
     
  • Ist es stattdessen gewünscht, die Einstellungen des aktuellen Ordners an die untergeordneten Dateien sowie Ordner zu vererben, so wählt man die Option Überwachungseinträge für alle untergeordneten Objekte durch die angezeigten Einträge, sofern anwendbar, ersetzen aus
     
  • Im Listenfeld Überwachungseinträge können entweder der Benutzer, die Gruppe oder die Computer ausgewählt werden, deren Aktionen überwacht werden sollen
     
  • Um einen bestimmten Benutzer, eine bestimmte Gruppe oder einen Computer auszuwählen, klickt man auf Hinzufügen… und wählt dann im darauf folgenden Dialogfeld Benutzer, Computer oder Gruppen wählen das entsprechende Objekt aus.
      

Anschließend wird das folgende Dialogfeld Überwachungseintrag für <Datei-/Ordnername> angezeigt. In der Dropdownliste Übernehmen für: kann die Überwachungseinstellung unter anderem für „Nur diesen Ordner“, „diesen Ordner, Unterordner und Dateien“, „Nur Dateien“ sowie weitere Kombinationen angewendet werden. Danach wählt man die erfolgreichen und/oder fehlgeschlagenen zu überwachenden Ereignisse aus und beendet die Auswahl-Fenster jeweils mit einem Klick auf OK:

 

 

 

 

Hinweis: Ausgeschlossen davon ist die Überwachung der Synchronisierung von Offlinedateien und -ordnern.

Sunday, November 19, 2006 10:32:49 AM (W. Europe Standard Time, UTC+01:00)  #      Gruppenrichtlinien  | 
 Sunday, November 12, 2006
Gruppenrichtlinien zurücksetzen

Möchte man unter Windows Server 2000, die beiden Richtlinien „Default Domain Controllers Policy“ sowie „Default Domain Policy“ in den Auslieferungszustand zurücksetzen, so kann man das mit dem „Windows 2000 Default Group Policy Restore Tool“ „RecreateDefPol.exe“ erledigen:

Windows 2000 Default Group Policy Restore Tool

 

Hinweis: Dieses Tool gilt nur für Windows Server 2000!

 

 

Unter Windows Server 2003 kann man die beiden Richtlinien folgendermaßen zurücksetzen:

DCGPOFIX auf einem DC/Exchange

 

 

Es ist auch möglich, die Richtlinien „händisch“ zurückzusetzen:

How to reset user rights in the Default Domain Controllers Group Policy object

How to reset security settings in the default Domain GPO in Windows 2000

How To Reset User Rights in the Default Domain Group Policy in Windows Server 2003

 

 

Falls ein Exchange Server im (Windows Server 2000 oder Windows Server 2003) Netzwerk existiert,
muss anschließend das Exchangesetup „setup.exe“ mit dem Schalter „/Domainprep“ von der Exchange Server CD ausgeführt werden:

Exchange Server permissions are removed by the RecreateDefPol.exe tool in Windows 2000 Server

The Dcgpofix tool does not restore security settings in the Default Domain Controller Policy to their original state

 

 

 

Einen Windows 2000/XP - Client, kann man ebenfalls von den angewendeten Richtlinien „befreien“.
Das geht, in dem alle Ordner sowie Unterschlüssel unter den folgenden Registry-Pfaden gelöscht werden:

 

- HKEY_CURRENT_USER\Software\Policies

- HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies

- HKEY_LOCAL_MACHINE\SOFTWARE\Policies

- HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies

 

 

Als nächstes navigiert man zu folgendem Verzeichnis: „%windir%\system32\GroupPolicy“.

Dort existieren (unter anderem) ein Ordner Namens "Machine" und ein Ordner "User".

In diesen beiden Ordnern, befindet sich jeweils die Datei "registry.pol", die es ebenfalls zu löschen gilt. 

Zu guter Letzt gilt es noch, die "user.pol" (%userprofile%\ntuser.pol) zu löschen, denn diese enthält die Verweise,
welche Einstellung aus welcher GPO kommt/kam. Anschließend ist ein Neustart fällig.

 

 

Möchte man, dass der Client erneut die Richtlinien von seiner Active Directory-Domäne bekommt, muss auf diesem ein „Gpupdate /Force“ ausgeführt werden, denn aufgrund der Policy-History (und der gpt.ini) die sich auf dem Client befindet, meint dieser, dass er immer noch mit den aktuellen Richtlinien ausgestattet ist und wird deshalb die Richtlinien, nicht von alleine übernehmen. Es sei denn, man würde die Policy-History löschen, dann würde es ebenfalls funktionieren.

Group Policy History Stored in Registry

 

 

Weitere Informationen:

Wiederherstellung der Default Richtlinien

 

Sunday, November 12, 2006 1:46:51 PM (W. Europe Standard Time, UTC+01:00)  #      Gruppenrichtlinien  | 
 Sunday, November 05, 2006
Langsame Netzwerkverbindung

Was kann man tun, wenn die Netzwerkverbindung zwischen einem Client und dem Server "träge" ist?

Das läßt sich leider so pauschal nicht beantworten, denn das kann viele Ursachen haben und kommt auch auf die vor Ort existierenden Gegebenheiten an.

 

Die folgenden Punkte sollen einen Ansatz liefern, die man in solch einem Fall überprüfen sollte:

·         Zuallererst sollte die Netzwerkverkabelung überprüft werden (OSI Layer 1). Wenn ein Meßgerät verfügbar ist, sollte die Leitung durchgemessen werden, von der Client-Dose bis zum Patchfeld (bei einer neuen Netzwerk-Verkabelung, sollte man stets ein Meßprotokoll fordern).

·         Die Patchkabel sollten ausgetauscht werden (evtl. gegen ein STP-CAT6/7-Patchkabel) und die bereits verwendeten,
sollten in jedem Fall mindestens STP-CAT5e Patchkabel sein.
http://de.wikipedia.org/wiki/Twisted-Pair-Kabel

·         Existiert im Server-Raum ein Potentialausgleich (Erdung) und sind die aktiven Komponenten (Switch/Router) daran angebunden?

·         Es sollte zum Testen ein anderer Switch-Port oder besser, ein anderer Switch verwendet werden.

·         HUBs sollten in den heutigen Netzwerken nicht mehr verwendet werden.
http://de.wikipedia.org/wiki/Hub_%28Netzwerk%29

·         Die Routingtabelle des Routers sollte überprüft werden, evtl. besteht eine Schleife.

·         Ist das STP (Spanning Tree Protokoll) auf dem Switch aktiviert, so sollte es zum Test deaktiviert werden.

·         Die Netzwerkkartentreiber des Client sowie Server sollten aktualisiert werden. Im Idealfall existiert im Server eine Gigabit-Netzwerkkarte.

·         Falls der Server zwei Netzwerkkarten besitzt, sollte eine zum Testen ausgebaut werden.

·         Das Netzwerk sollte auf alle Fälle mit einem Sniffer überprüft werden, ob z.B. eine defekte Netzwerkkarte einen Broadcaststorm verursacht.
Ethereal: http://www.ethereal.com/

·         Auf beiden Seiten (Netzwerkkarte des Client/Server sowie Switch) sollte die Verhandlung der Übertragungsrate auf „Autonegotiation“ (Automatische Aushandlung) stehen.
Zum Testen kann man auf allen Geräten 100 M/Bit Fullduplex einstellen.
Aber Vorsicht: http://support.microsoft.com/kb/247609/en-us

·         Das BIOS (Mainboard) vom Client/Server sowie die Firmware des Switch`s sollten auf dem aktuellsten Stand sein.

·         Evtl. hat der TCP/IP-Stack einen Schaden. Das TCP/IP-Protokoll kann unter Windows 2000 Professional/Server in den
Netzwerkeigenschaften deinstalliert- und erneut installiert werden. Unter Windows XP/Server 2003 reicht es i.d.R. aus,
dass TCP/IP-Protokoll zu reseten,  mit dem Befehl „netsh int ip reset C:\resetlog.txt“.
Zurücksetzen von "Internetprotokoll (TCP/IP)" in Windows XP http://support.microsoft.com/kb/299357/de
Zurücksetzen der Komponente "Internetprotokoll (TCP/IP)" in Windows Server 2003
http://support.microsoft.com/kb/317518
Entfernen und Neuinstallieren von TCP/IP auf einem Windows Server 2003-Domänencontroller
http://support.microsoft.com/kb/325356/de
ACHTUNG: Danach stehen die Netzwerkeinstellungen auf „automatisch beziehen“!

·         Der Arbeitsspeicher und die Festplatten sollten auf dem Client/Server nach Fehlern
(auf den HDD`s nach Grown Defects/zu vielen Bad Sectore`s) untersucht werden:
http://www.memtest86.com/

·         Ein Indiz für eine langsame Anmeldung ist oftmals das DNS. Es sollte geprüft werden, ob der DNS-Server erreichbar ist und ordnungsgemäß funktioniert. Dem Client muss die IP-Adresse eines DNS-Server`s bekannt sein. Die Namensauflösung ist wichtig, deshalb sollte auch heute noch ein WINS-Server in der Domäne existieren:
Wie sollte WINS konfiguriert werden?

·         Eine andere mögliche Fehlerquelle, könnte eine „verkonfigurierte“ Gruppenrichtlinie darstellen (z.B. eine fehlerhafte Ordnerumleitung etc.).
Mit RSOP (Resultant Set of Policy - Richtlinienergebnissatz) kann auf dem Client geprüft werden,
welche Benutzer- sowie Computerrichtlinien angewendet werden.
Anschließend sollten die Einstellungen der angewendeten GPOs überprüft werden:
Resultant Set of Policy http://www.microsoft.com/resources/documentation/windows/xp/all/proddocs/en-us/rspintro.mspx?mfr=true
Das ganze gilt es ebenfalls auf dem Server zu überprüfen:
Welche Verfahrensweise zu Installation und Anwendungsrichtlinienergebnissatz in Windows Server 2003
http://support.microsoft.com/kb/323276
Oder man überprüft welche Richtlinien auf dem Client/Server wirken mit GPRESULT.
Behandlung von Problemen bei der Anwendung von Gruppenrichtlinien
http://support.microsoft.com/kb/250842/de

·         Das SMB-Signing sollte so eingestellt werden:
http://www.gruppenrichtlinien.de/index.html?/HowTo/SMB_Signing.htm
http://www.gruppenrichtlinien.de/index.html?/HowTo/DOS_Clients_an_Windows_2003_Server.htm

·         Mit PING sollte die Latenz und mit TRACERT der Weg den die Netzwerk-Pakete nehmen, überprüft werden:
Problembehandlung bei TCP/IP-Verbindungen in Windows XP
http://support.microsoft.com/kb/314067/de
How to Use TRACERT to Troubleshoot TCP/IP Problems in Windows
http://support.microsoft.com/kb/314868/en-us

·         Der Virenscanner/lokale Firewall sollte zum Testen auf dem Client sowie Server deaktiviert (besser deinstalliert) werden.

·         Alle Dienste/Programme (Filesharing) die zusätzlich die Netzwerkverbindung bzw. die Systeme belasten, sollten deaktiviert werden. Hilfreich wären hier die Programme: Taskmanager/Systemmonitor/Netzwerkmonitor:
Aufzeichnen von Netzverkehr mit dem Netzwerkmonitor
http://support.microsoft.com/kb/148942/de
Systemmonitor (Übersicht)
http://technet2.microsoft.com/WindowsServer/de/Library/9aa3769d-f7b0-4c7e-bafe-5d3e57f089a81031.mspx?mfr=true
Verwalten der Leistungsindikatoren des Systemmonitors in Windows XP
http://support.microsoft.com/kb/305610

·         Falls die Clients geimaget wurden, ist das SYSPREP angewendet worden?

  •   Auf dem Client sowie Server sollte die Ereignisanzeige nach Fehlern durchsucht werden.

 

Weitere Informationen:
Verbindung zwischen zugeordnetem Laufwerk und Netzwerkfreigabe geht eventuell verloren
http://support.microsoft.com/kb/297684/de
Niedrige Netzwerkleistung beim Kopieren von Dateien auf einen Domänencontroller,
auf dem Windows 2000 oder Windows Server 2003 ausgeführt wird
http://support.microsoft.com/kb/321098/de
Das Öffnen von Word-Dokumenten dauert sehr lange
http://support.microsoft.com/kb/D43829/de
Dateien auf Netzwerkfreigaben werden langsam oder schreibgeschützt geöffnet, oder eine Fehlermeldung wird angezeigt
http://support.microsoft.com/kb/814112/de
Die Installation des Sicherheitsupdates MS05-019 oder von Windows Server 2003 Service Pack 1 kann dazu führen,
dass die Netzwerkverbindungen zwischen Clients und Servern fehlschlagen
http://support.microsoft.com/kb/898060/de
Bei dem Arbeiten auf einem Windows Server 2003- oder einem Windows 2000 Server-Computer über das Netzwerk
mit Dateien können verschiedene Probleme auftreten
http://support.microsoft.com/kb/923360/de
Ein Domänencontroller, auf dem Microsoft Windows Server 2003 ausgeführt wird, reagiert möglicherweise
für einen Zeitraum von 2 bis 15 Minuten mehrmals am Tag nicht mehr
http://support.microsoft.com/kb/908370/de
Dateifreigabe in dem Netzwerk ist langsamer als erwartet in Windows Server 2003 SP1
http://support.microsoft.com/kb/904160/de
Langsame Netzwerkverbindung beim Öffnen einer Datei in einem freigegebenen Ordner auf einem Remotecomputer im Netzwerk
http://support.microsoft.com/kb/829700/de
Erwartetes Verhalten von mehreren Adaptern im gleichen Netzwerk
http://support.microsoft.com/kb/175767/de
TRACERT zum Beheben von TCP/IP-Problemen
http://support.microsoft.com/kb/162326/de
Diagnose und Behandlung von Black-Hole-Routern
http://support.microsoft.com/kb/q159211/
DNS-Abfrageantworten durchlaufen Firewall in Windows Server 2003 nicht
http://support.microsoft.com/kb/828263/de

Sunday, November 05, 2006 1:42:54 PM (W. Europe Standard Time, UTC+01:00)  #      Networking  | 
 Sunday, October 29, 2006
DNS Server umziehen

Wie kann man einen DNS-Server bzw. die DNS-Zonen umziehen ?

 

Falls sich der vorhandene DNS-Server auf einem Domänencontroller befindet und dieser seine DNS-Zonen im Active Directory speichert,

repliziert sich das DNS automatisch mit anderen Domänencontrollern (die ebenfalls das DNS installiert haben),

sofern mehrere Domänencontroller vorhanden sind.

 

Wenn die DNS-Zonen nicht im Active Directory gespeichert werden,

befinden sich die DNS-Zonendateien im Verzeichnis „%windir%\system32\dns“. Dort befinden sich die Zonendateien mit dem Namen „NamederFLZ.dns“.

Diese kopiert man auf den anderen/neuen Server in das gleiche Verzeichnis „%windir%\system32\dns“ und richtet dort im DNS Snap-In

(das DNS muss bereits installiert sein) eine neue Zone ein. Man folgt den Anweisungen des „Assistenten zum Erstellen neuer Zonen“

und gibt im Menü-Punkt „Zonendatei“ den Namen der vorhandenen (kopierten) Zonendatei ein:

 

  


 

Eine weitere Möglichkeit stellt das Tool „dnscmd“ (aus den Windows Support Tools, dass sich im Verzeichnis Support auf der Windows Server 2003 CD befindet)

dar, worauf ich hier auf die wichtigsten Befehle eingehen möchte, denn das Tool kann weitaus mehr [1].

 

Mit dem Befehl „dnscmd <Servername> /ZoneExport <Zonenname> <Zonendatei>“ kann man eine Active Directory integrierte Zone exportieren,

wobei die exportierte Text-Datei im Verzeichnis „%windir%\system32\dns“ gespeichert wird.

 

Der Export-Befehl sieht folgendermaßen aus [2]:

dnscmd mzdcon01.contoso.com /ZoneExport intra.contoso.com intra.contoso.com.dns

 

 

Der Import einer Zonendatei, die aus einer primären Active Directory integrierten Zone exportiert wurde, kann über folgenden Befehl realisiert werden:

dnscmd <Servername> /Zoneadd <Zonenname> /Primary /File <Dateiname> /Load

 

dnscmd mzdcon01.contoso.com /Zoneadd intra.contoso.com /Primary /File intra.contoso.com.dns /Load

 

 

 

Damit diese Zone im Active Directory integriert gespeichert werden soll, gilt es folgenden Befehl einzugeben [3]:

dnscmd <Servername> /ZoneResetType <Zonenname> /Dsprimary

 

dnscmd mzdcon01.contoso.com /ZoneResetType intra.contoso.com /Dsprimary

 

 

 

Des Weiteren kann man z.B. noch die Option „Nur sichere dynamische Updates zulassen“ aktivieren. Dies geht mit dem Befehl [4]:

dnscmd <Servername> /Config <Zonenname> /AllowUpdate 1

 

dnscmd mzdcon01.contoso.com /Config intra.contoso.com /AllowUpdate 1

 

 

Eine Erleichterung stellt dieses Skript [5] dar. Damit lassen sich nicht nur die Zonen exportieren,

sondern auch die DNS-Server Konfiguration abspeichern. Das Skript muss als *.CMD gespeichert werden, bevor es ausgeführt werden kann.

 

 

Eine andere Variante wäre noch, dass man eine Kopie (sekundäre Zone) von der primären Zone erstellt und diese dann ggf. zur primären Zone deklariert.

Wenn eine sekundäre- zu einer primären Zone gestuft wird, müssen allerdings alle anderen sekundären Zonenserver umkonfiguriert werden,

um ihre Kopien vom „neuen“ primären Zonenserver anzufordern.

 

 

 

Weitere Informationen:

 

[1] Dnscmd Syntax

http://technet2.microsoft.com/WindowsServer/en/library/d652a163-279f-4047-b3e0-0c468a4d69f31033.mspx?mfr=true

[2] Dnscmd Examples

http://technet2.microsoft.com/WindowsServer/en/library/ed0e4eeb-34a5-420e-aa6a-961ae5fa0f291033.mspx?mfr=true

[3] Ändern des Zonentyps

http://www.microsoft.com/technet/prodtechnol/windowsserver2003/de/library/ServerHelp/6bf2981f-085c-4ed8-bce0-53412a83463f.mspx?mfr=true

[4] Zulassen von dynamischen Updates

http://www.microsoft.com/technet/prodtechnol/windowsserver2003/de/library/ServerHelp/f90323fc-dcd0-4242-9b2c-755053670b78.mspx?mfr=true

[5] http://www.reskit.net/DNS/dnsdump.cm_

How to move Windows 2000 DNS zones to another Windows 2000-based server

http://support.microsoft.com/kb/280061/en-us

 

Sunday, October 29, 2006 9:43:11 PM (W. Europe Standard Time, UTC+01:00)  #      DNS  | 
Copyright © 2012 Yusuf Dikmenoglu. All rights reserved.
DasBlog 'Portal' theme by Johnny Hughes.
Pick a theme: