… please fasten your Seat Belts. We are ready.for.take.off.
So langsam geht es zum Endspurt.
Es ist noch knapp einen Monat Zeit, um sich für den bisher größten Event den Microsoft in Deutschland veranstaltet anzumelden.
Wer also dabei sein möchte – was ich jedem nur ans Herz legen kann – der sollte sich diesen Launch nicht entgehen lassen.
Vom 19. bis 21. Februar 2008 findet in Frankfurt am Main der Launch zu Windows Server 2008, SQL Server 2008 sowie Visual Studio 2008 statt.
In der frühen Planungsphase hatten sich die Veranstalter das insgeheime Ziel gesetzt, dass berühmt berüchtigte TechED IT-Forum
in der Besucheranzahl zu toppen. Die Antwort darauf folgt von Michael Korp (Technical Evangelist, Microsoft).
Zitat:
Ein Ziel haben wir inzwischen erreicht: Der Launch hat schon mehr angemeldete Teilnehmer
als die im Schwerpunkt europäische Veranstaltung TechEd IT-Forum.
http://blogs.technet.com/mkorp/archive/2008/01/07/ein-frohes-neues-jahr.aspx
Neben den hochkarätigen Vorträgen werde ich mit einer Armada  an MVP-Kollegen als Ask the Expert (ATE) dabei sein.
Wer mir neben Active Directory-Fragen, weitere Fragen zum Windows Server 2008 oder gar mich persönlich kennenlernen möchte,
der kann mich am ATE-Stand treffen. Ich würde mich auf ein Treffen freuen.
Da der Launch quasi vor meiner Haustür stattfindet, werde ich an allen drei Tagen vor Ort sein.
Parallel findet die Deutsche Sharepoint Konferenz 2008 statt.
Egal für welche Konferenz man sich entscheidet, die Anmeldung erfolgt über diese Seite (solange noch Plätze frei sind):
http://www.microsoft.com/germany/aktionen/ready-for-take-off/default.aspx
Wir sehen uns in Frankfurt am Main.
Der Windows Server 2008 bringt einige Verbesserungen bzw. Funktionen mit, die aber erst im Domänenfunktionsmodus
Windows Server 2008 zur Verfügung stehen. Damit z.B. mehrere Kennwortrichtlinien (Password Settings Objects)
in einer Domäne eingesetzt werden können, muss sich der Domänenfunktionsmodus auf Windows Server 2008 befinden.
Oder die Replikation des Sysvol-Verzeichnisses über die Distributed File System Replikation (DFS-R), ist ebenfalls nur im
Domänenfunktionsmodus Windows Server 2008 möglich.
Damit diese (und weitere) Funktionen genutzt werden können, muss zuerst eine Domänenaktualisierung der bestehenden
Gesamtstruktur auf Windows Server 2008 erfolgen.
Was ist möglich?
-
In einer Windows 2000 Gesamtstruktur kann ein Windows Server 2008 als zusätzlicher Domänencontroller (DC)
zu einer bestehenden Domäne hinzugefügt werden.
-
In einer Windows Server 2003/R2 oder SBS 2003 SP1/R2 Gesamtstruktur kann ein Windows Server 2008
als zusätzlicher Domänencontroller zu einer bestehenden Domäne hinzugefügt werden.
-
Ein Windows Server 2003 mit mindestens dem Service Pack 1 oder Windows Server 2003 R2 Domänencontroller,
kann per Inplace-Update auf Windows Server 2008 aktualisiert werden.
Was ist nicht möglich?
-
Ein Inplace-Update von Windows NT auf Windows Server 2008 ist nicht möglich.
-
Ein Inplace-Update von Windows 2000 auf Windows Server 2008 ist nicht möglich.
-
Ein Inplace-Update von einem Windows Server 2003/R2 Domänencontroller (oder Mitgliedsserver) worauf der
Exchange Server 2007 ohne/mit SP1 installiert ist, kann auf Windows Server 2008 nicht durchgeführt werden.
Ein installierter Exchange-Server auf einem DC ist nur ein Beispiel. Es muss vor einem Inplace-Update geprüft werden,
ob die installierten Applikationen auf dem DC, unter Windows Server 2008 noch funktionieren.
-
Ein Inplace-Update von früheren Server Betriebssystemen, ist auf den Windows Server 2008 Core nicht möglich.
Windows Server 2008 Core
-
Ein Cross-Update von einem x86 auf x64 System wird nicht supportet.
-
Ein Cross-Update auf eine andere Betriebssystem-Sprache wird nicht unterstützt. Als Beispiel, auf einem deutschen
Windows Server 2003 DC wird die englische Windows Server 2008 DVD eingelegt um den DC, auf einen
englischen Windows Server 2008 DC zu aktualisieren.
Voraussetzungen für eine Windows 2000/2003/R2 Gesamtstruktur, damit der erste
Windows Server 2008 DC hinzugefügt werden kann
-
Die Domäne in der man den Windows Server 2008 DC hinzufügen möchte, muss sich im einheitlichen Domänenfunktionsmodus
(entweder Windows 2000 pur oder Windows Server 2003) befinden. Dabei spielt es keine Rolle, auf welchem Modus sich der
Gesamtstrukturfunktionsmodus befindet.
-
Ist jedoch der Einsatz eines RODCs in der Gesamtstruktur geplant, so ist das erst ab der Gesamtstrukturfunktionsebene
Windows Server 2003 möglich. Des Weiteren muss sich bereits ein Windows Server 2008 DC in der Domäne befinden,
in der man den RODC hinzufügen möchte!
-
Alle Domänencontroller in der Gesamtstruktur sollten sich mindestens auf Windows 2000 Server mit Service Pack 4 befinden.
Step-by-Step Anleitung für eine Windows 2000/2003/R2 Gesamtstruktur, damit der erste
Windows Server 2008 DC hinzugefügt werden kann
-
Im ersten Schritt muss das Active Directory Preparation-Tool ADPREP, das auf der Windows Server 2008 DVD im Verzeichnis
"<DVD-Laufwerk>:\Sources\Adprep" mitgeliefert wird, mit dem Parameter /Forestprep auf dem Windows 2000 Server bzw.
Windows Server 2003 Schema-Master ausgeführt werden. Dadurch wird die Gesamtstruktur auf Windows Server 2008 aktualisiert.
Der Parameter /Forestprep wird nur ein einziges Mal in der Gesamtstruktur ausgeführt. Das Benutzerkonto mit dem das
Adprep /Forestprep ausgeführt wird, muss Mitglied der folgenden drei Sicherheitsgruppen sein:
- Organisations-Admins
- Schema-Admins
- Domänen-Admins in der Domäne, in der der Schema-Master Mitglied ist Ruft man das Adprep /Forestprep nicht auf dem Schema-Master auf, bringt das Tool den Hinweis, dass die
Gesamtstrukturaktualisierung nur auf dem Schema-Master durchgeführt werden kann und bricht den Vorgang ab.
Es ist nun auch möglich, dass ADPREP von der 64Bit DVD des Windows Server 2008 auf einem
32Bit Windows Server 2003 DC auszuführen!
Microsoft empfiehlt das Verzeichnis <DVD-Laufwerk>:\Sources\Adprep vorher auf den Server zu kopieren, um z.B. Lesefehler
des DVD-Laufwerks während der Ausführung von Adprep zu vermeiden.
An error occurs when you run the ADPREP/FORESTPREP command on a Windows Server 2003-based or Windows Server 2008-based computer: "An attribute with the same link identifier already exists"
-
Mit Ausführen von Adprep /Forestprep wird die Gesamtstruktur auf Windows Server 2008 vorbereitet,
in dem neue Attribute sowie Klassen dem Schema hinzugefügt werden. Nach dem Aufruf von Adprep /Forestprep werden
abhängig von der Schema-Version die LDF-Dateien, die zur Schema-Aktualisierung benötigt werden, aus dem Verzeichnis
\Sources\Adprep in das Verzeichnis %windir%\system32 kopiert.
In einer Windows 2000 Gesamtstruktur werden die LDF-Dateien ab sch14.ldf, in einer Windows Server 2003
ab sch31.ldf und in einer Windows Server 2003 R2 Umgebung ab sch32.ldf bis zur sch44.ldf in das Schema importiert.
Das Schema wird somit auf die Version 44 aktualisiert.
Die Schema-Versionen wären (in Dezimal):
- Schema-Version 13 = Windows 2000 (ohne/mit allen SPs)
- Schema-Version 30 = Windows Server 2003 ohne/mit SP1/SP2 (und höhere SPs)
- Schema-Version 31 = Windows Server 2003 R2 ohne/mit SP2 (und höhere SPs)
- Schema-Version 44 = Windows Server 2008
- Schema-Version 47 = Windows Server 2008 R2
Die Schema-Version kann man sich auf jedem DC in der Gesamtstruktur zum einen in der Registry im Pfad:
HKLM\SYSTEM\CurrentControlSet\Services\NTDS\Parameters\<Schema Version>
… und zum anderen in dem Attribut objectVersion (z.B. mit ADSIEdit.msc oder LDP.exe), das sich in den
Eigenschaften der Schema-Partition CN=Schema,CN=Configuration,DC=<Domäne>,DC=<TLD> befindet, anzeigen lassen.
Auch mit Dsquery lässt sich die Schema-Version abfragen. Der Befehl lautet wie folgt:
dsquery * CN=Schema,CN=Configuration,DC=Root-Domäne -Scope Base -attr objectVersion
-
Wenn das Adprep /Forestprep durchgeführt wurde, wird in der Konfigurationspartition das Objekt
CN=ActiveDirectoryUpdate,CN=ForestUpdates,CN=Configuration,DC=<ForestRootDomäne> erstellt.
Dabei erhält das Attribut Revision im Objekt CN=ActiveDirectoryUpdate den Wert 2. Danach sollte sichergestellt werden,
dass sich dieses Objekt zuerst auf alle DCs der Gesamtstruktur repliziert, um dann den nächsten Schritt mit Adprep durchzuführen.
In erster Linie sollten die DC`s der einzelnen Domänen die Aktualisierung empfangen haben,
die die FSMO-Rolle des Infrastruktur-Master innehaben. Dazu gilt es den nächsten Punkt zu beachten.
Achtung: Wenn man das ADPREP /FORESTPREP auf dem Schema-Master ausführt und anschließend einfach nichts passiert,
also weder die Schemaerweiterung durchgeführt, noch eine Fehlermeldung angezeigt wird, so liegt mit hoher Wahrscheinlichkeit
ein "Sprach-Problem" vor. Wenn z.B. der Schema-Master auf einem englischen Betriebssystem läuft und man führt das ADPREP /FORESTPREP
von einer deutschen Windows Server 2008 DVD aus, so kommt es genau zu diesem Verhalten. Es ist zwingend notwendig auf einem
deutschen System, dass ADPREP von einer deutschen Windows Server 2008 DVD auszuführen.
Im zweiten Schritt muss das Adprep mit den Parametern „/Domainprep /Gpprep“ auf dem Infrastruktur-Master in der Domäne,
in der man den Windows Server 2008 als DC hinzufügen möchte, ausführen. Das Benutzerkonto, mit dem dieser Befehl ausgeführt wird,
muss Mitglied der Sicherheitsgruppe Domänen-Admins sein. Mit Ausführen von „/Domainprep /Gpprep“ wird die Domäne auf
Windows Server 2008 aktualisiert. Der Parameter /Domainprep bewirkt, dass neue Objekte erstellt sowie die ACLs an diversen
Objekten in der Domänenpartition geändert werden. Der Parameter /Gpprep sorgt dafür, dass die Berechtigungen der
Gruppenrichtlinienobjekte die sich im Sysvol-Verzeichnis befinden, angepasst werden.
Führt man diesen Befehl aus, noch bevor die Gesamtstrukturaktualisierung auf den Infrastruktur-Master repliziert wurde,
bricht der Vorgang ab. Dieser bricht auch dann ab, wenn der Befehl nicht auf dem Infrastruktur-Master ausgeführt wird.
Durch Ausführen dieses Befehls wird das folgende Objekt erstellt:
CN=ActiveDirectoryUpdate,CN=DomainUpdates,CN=System,DC=<Domäne>
Das Attribut Revision im Objekt CN=ActiveDirectoryUpdate bekommt dabei den Wert 3.
Es ist möglich zuerst das Adprep lediglich mit dem Parameter /Domainprep auszuführen und zu einem späteren Zeitpunkt
die Berechtigungen der GPOs, mit Adprep /Domainprep /Gpprep zu aktualisieren. Empfehlenswert ist es aber,
dass in einem Schritt durchzuführen.
Wenn der Einsatz eines Read-Only Domain Controllers in irgendeiner Domäne der Gesamtstruktur geplant ist,
dann ist das Adprep mit dem Parameter /Rodcprep lediglich einmalig aufzurufen. Der DC, auf dem dieser Befehl
ausgeführt wird, muss auch nicht der Träger der FSMO-Rollen sein. Beim Ausführen dieses Befehls werden die einzelnen
Infrastruktur-Master der Domänen kontaktiert, um die Berechtigungen (Security Descriptor, SD) der Domänen- sowie
Anwendungsverzeichnispartitionen DomainDNSZones und ForestDNSZones zu aktualisieren.
Error message when you run the "Adprep /rodcprep" command in Windows Server 2008: "Adprep could not contact a replica for partition DC=DomainDnsZones,DC=Contoso,DC=com"
Es reicht völlig aus, diesen Befehl erst vor dem Hinzufügen des ersten RODC`s in der Gesamtstruktur auszuführen.
Das Benutzerkonto, mit dem dieser Befehl ausgeführt wird, muss Mitglied in der Sicherheitsgruppe Organisations-Admins sein.
Nach Ausführung von /Rodcprep wird das folgende Objekt erstellt:
CN=ActiveDirectoryRodcUpdate,CN=ForestUpdates,CN=Configuration,DC=<ForestRootDomäne>.
Das Attribut Revision erhält dabei den Wert 2.
Read-Only Domain Controller (RODC)
Wenn eine Gesamtstruktur mit Windows Server 2008 erstellt wird, ist das Ausführen von Adprep in keinster Weise notwendig.
Weder der Parameter /Forestprep, noch „/Domainprep /Gpprep“ oder /Rodcprep müssen angewendet werden.
Es wird bei jedem Ausführen von Adprep im Verzeichnis %Systemroot%\Debug\Adprep\Logs ein Ordner erstellt,
dass als Namen das aktuelle Datum sowie die Uhrzeit erhält. Darin befindet sich das Adprep-Protokoll mit dem Namen ADPrep.log,
welches einen detaillierten Bericht zum Vorgang liefert. Wenn Adprep abbrechen oder einen Fehler melden sollte,
ist dieses Protokoll bei der Fehlersuche hilfreich.
Nach der Domänenaktualisierung auf Windows Server 2008, kann nun der neue Server als "zusätzlicher DC der bestehenden Domäne"
hinzugefügt werden. Während dem Heraufstufen zum DC sollte an entsprechender Stelle, dass DNS mit installiert und zusätzlich
der globale Katalog aktiviert werden. Anschließend sollten noch die FSMO-Rollen auf den Windows Server 2008 DC verschoben werden.
Globaler Katalog (Global Catalog - GC)
Der PDC-Emulator
Szenario 1
Migrations-Möglichkeiten von Windows NT auf Windows Server 2008
-
Es muss zuerst ein Inplace-Update vom Windows NT-PDC auf Windows Server 2003 mit mindestens dem Service Pack 1
durchgeführt werden. Erst dann kann per Inplace-Update auf Windows Server 2008 aktualisiert werden.
Das Update könnte mit einer VM durchgeführt werden.
Statt des Inplace-Updates von Windows Server 2003 auf Windows Server 2008, kann natürlich auch ein
zusätzlicher Windows Server 2008 hinzugefügt werden.
-
Im ersten Schritt kann von der NT-Domäne mit ADMT in eine Windows Server 2003 SP1 Domäne migriert und im zweiten Schritt
dann ein Inplace-Update auf Windows Server 2008 durchführt werden. Es bleibt abzuwarten, ob Microsoft ein aktualisiertes ADMT
veröffentlicht, wovon ich aber ausgehe.
Anstatt dann den Windows Server 2003 DC auf Windows Server 2008 zu aktualisieren, kann nach der Anwendung von Adprep ein
zusätzlicher Windows Server 2008 DC zur Domäne hinzugefügt werden.
Szenario 2
Migrations-Möglichkeiten von Windows 2000 auf Windows Server 2008
-
In einer Windows 2000 Active Directory Umgebung kann die Domänenaktualisierung auf Windows Server 2008 über einen
zusätzlichen Windows Server 2008 DC realisiert werden. Dazu ist zuerst die Step-by-Step Anleitung durchzuführen,
die am Anfang dieses Artikels beschrieben ist. Anschließend kann ein Windows Server 2008 als zusätzlicher Domänencontroller
der bereits bestehenden Domäne hinzugefügt werden.
-
Es ist zuerst ein Inplace-Update von Windows 2000 auf Windows Server 2003 mit mindestens dem Service Pack 1 durchzuführen.
Erst dann kann per Inplace-Update auf Windows Server 2008 migriert werden. Ein Windows 2000 DC kann nicht direkt auf Windows Server 2008 aktualisiert werden, denn dieses wird erst ab
Windows Server 2003 mit Service Pack 1 unterstützt. Migration von Windows Server 2000 auf Windows Server 2003 (Inplace-Update)
Szenario 3
Migrations-Möglichkeiten von Windows Server 2003 auf Windows Server 2008
-
Wie in einer Windows 2000 Gesamtstruktur kann auch in einer Windows Server 2003 Gesamtstruktur die Domänenaktualisierung über einen
zusätzlichen Windows Server 2008 Domänencontroller erfolgen. Natürlich auch nur dann, wenn die Step-by-Step Anleitung durchgeführt wurde.
-
Ist mindestens das Service Pack 1 für den Windows Server 2003 auf dem DC installiert, so kann mit einem Inplace-Update der
Windows Server 2003 DC auf Windows Server 2008 aktualisiert werden. Die Step-by-Step Anleitung die am Anfang dieses Artikels
beschrieben wird, ist dabei zuerst durchzuführen.
Szenario 4
Migrations-Möglichkeiten von Windows Server 2003 R2 auf Windows Server 2008
-
Da in einem Windows Server 2003 R2 ein Windows Server 2003 mit mindestens dem Service Pack 1 enthalten ist,
kann nach vorheriger Ausführung von Adprep ein zusätzlicher Windows Server 2008 DC zur bestehenden Gesamtstruktur hinzugefügt werden.
-
Des Weiteren kann ein Windows Server 2003 R2 DC per Inplace-Update auf Windows Server 2008 aktualisiert werden.
Probleme die nach dem Hinzufügen des ersten Windows Server 2008 DC entstehen können
Client computers may not work correctly when you add a Windows Server 2008-based domain controller to an existing pre-Windows Server 2008 domain
When a Windows NT 4.0-based computer tries to use the NETLOGON service to establish a security channel to a Windows Server 2008-based domain controller, the operation may fail
Modify Default Security Policies on Windows Server 2008-Based Domain Controllers
Group Policy settings are not applied on member computers that are running Windows Server 2008 or Windows Vista SP1 when certain SMB signing policies are enabled
Office Communications Server 2007 or Live Communications Server 2005 does not work correctly after you upgrade a domain controller to Windows Server 2008
You cannot locally configure or locally delete the application partitions that are created for IP telephony after you upgrade from Windows Server 2003 to Windows Server 2008
RODC Compatibility Pack
DCDIAG: NCSecDesc Fehler
Description of the Microsoft server applications that are supported on Windows Server 2008
You cannot remotely access encrypted files after you upgrade a Windows Server 2003 file server to Windows Server 2008
Weitere Informationen:
Den ersten Windows Server 2008 R2 DC zur Gesamtstruktur hinzufügen
Information and resources to use when you plan to upgrade Windows Server 2003 to Windows Server 2008
Adding a Server Running Windows Server 2008 to a Windows Small Business Server 2003 Network
How to Install Exchange 2007 SP1 Prerequisites on Windows Server 2008 or Windows Vista
How to back up and then restore printers when you upgrade from Windows Server 2003 to Windows Server 2008
Client computers may not work correctly when you add a Windows Server 2008-based domain controller to an existing pre-Windows Server 2008 domain
Upgrading Active Directory Domains to Windows Server 2008 and Windows Server 2008 R2 AD DS Domains
Microsoft führt mit dem Windows Server 2008 eine neue Installationsart ein.
Man könnte sagen, dass es ein abgespeckter Server ist. In dieser Installationsart steht z.B. weder der Windows Explorer,
noch eine GUI-Shell zur Verfügung. Bei dieser Variante der Installation, stehen lediglich einige wenige Serverrollen zur Verfügung.
Die Rede ist vom Windows Server Core. Die möglichen Rollen die auf einem Windows Server Core installiert werden können,
wären unter anderem: AD DS, AD LDS, DHCP, DNS, Hyper-V, Datei- Druck- sowie Webserver.
Welche Rollen oder Funktionen noch auf einem Server Core unterstützt werden, zeigt diese Seite:
Server Core Installation of Windows Server 2008
Dem Administrator steht nach der Betriebssysteminstallation lediglich eine Kommandozeile (CMD) zur Verfügung.
Für die Administratoren die sich schwer von der Maus trennen können (und wollen), hat Microsoft ebenfalls vorgesorgt.
Es besteht die Möglichkeit, sich remote über die MMCs auf einen Server Core zu verbinden, um diesen dann über die Snap-Ins zu administrieren.
Neben der Fernwartung durch die MMCs, lässt sich der Server Core mit den folgenden Punkten administrieren:
Darüber hinaus werden die Microsoft Operations Manager- sowie Systems Management Server-Agents, ebenso auf dem Server Core unterstützt.
Demzufolge das weniger Dienste und Applikationen auf einem Server Core laufen, reduziert sich die Verwaltung sowie Wartung des Servers.
Die Anzahl der zu installierenden Patches/SPs reduziert sich dabei ebenfalls, denn es gilt weniger Dienste abzusichern.
Der Server Core benötigt auch viel weniger Festplattenkapazität und ist schneller im Startverhalten als eine Vollinstallation.
Dadurch das weniger Funktionen bereitgestellt werden können, bietet der Server Core eine geringe Angriffsfläche an.
Folglich ist das Aufstellen eines solchen Servers z.B. in Umgebungen die eine hohe Sicherheitsanforderung haben, von Interesse.
Ein anderes Einsatzszenario wären Standorte. Dort wird oftmals ebenfalls ein Server vor Ort benötigt, sei es nun einen
Domänencontroller oder Mitgliedsserver, der aber dafür weniger Dienste als ein Server in der Zentrale bereitstellen muss.
Zusätzlich kommt noch hinzu, dass vor Ort in den Standorten meistens weniger IT Know-How als in der Zentrale zur Verfügung steht.
Auch in diesem Fall, würde sich das Aufstellen eines Server Cores vor Ort anbieten.
Falls vor Ort ein DC gewünscht ist, der nicht die gleiche physikalische Sicherheit wie ein DC in der Zentrale genießt,
würde sich eher der Read-Only Domain Controller (RODC) anbieten. Eine weitere Empfehlung wäre, Bitlocker einzusetzen.
Der Windows Server Core wurde in erster Linie für Umgebungen mit mehreren Servern entwickelt.
Der Großteil der Konfiguration des Server Cores, erfolgt mit dem Kommandozeilentool NETSH.
Anzeigen sowie installieren der Rollen bzw. optionalen Features
Mit Oclist werden nicht nur die zur Verfügung stehenden Serverrollen sowie die
optionalen Features angezeigt, sondern natürlich auch die bereits installierten.
Mit Ocsetup können die zur Verfügung stehenden Rollen sowie Features installiert- oder deinstalliert werden.
Zum installieren lautet die Syntax:
start /w ocsetup <Rolle>
start /w ocsetup <Feature>
Zum deinstallieren lautet es:
start /w ocsetup <Rolle> /uninstall
start /w ocsetup <Feature> /uninstall
Achtung: Die Installation der einzelnen Rollen bzw. Features mit Ocsetup ist - warum auch immer - case sensitive!
Die Einschränkungen des Server Core
-
Es ist nicht möglich, auf einen Server Core von früheren Server-Version
(Windows 2000 Server oder Windows Server 2003/R2) zu aktualisieren
-
Eine Vollinstallation vom Windows Server 2008 kann nicht auf den Server Core konvertiert werden.
-
Der Server Core kann ebenfalls nicht zu einer Vollinstallation konvertiert werden.
-
Der Server muss mit der gewünschten Version neu installiert werden.
-
Die verfügbaren APIs werden ausschließlich für die Entwicklung von Monitoring sowie Management Tools supportet.
-
Es existiert keine Explorer-Shell.
-
Es ist auch kein .Net Framework verfügbar. Im Windows Server 2008 R2 sind jedoch Teile des .NET Frameworks enthalten.
-
Der Server Core ist nicht die Plattform, auf dem die Entwicklung von Applikationen stattfinden sollte.
-
Es wird nicht die Windows Powershell unterstützt. Erst ab Windows Server 2008 R2 wird die Powershell auf dem Server Core unterstützt.
-
Es existieren keine MMCs auf dem Server Core.
Die Installation des Server Core
Das lokale Administrator-Kennwort vergeben
- Nach der Betriebssysteminstallation wird man nach der Eingabe des Benutzernamens Administrator (ohne Kennwort) aufgefordert,
ein Kennwort für den lokalen Administrator, dass den lokalen Sicherheitsrichtlinien entspricht, einzugeben (z.B. Pa$$w0rd!).
- Mit Eingabe von net user administrator * kann ein neues Kennwort vergeben werden.
Die Auflösung verändern
-
Standardmäßig existiert nach der Betriebssysteminstallation eine Auflösung von 640x480.
Dies kann in der Registry wie folgt geändert werden:
- HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Video\<GUID>\0000\
Der Wert im Schlüssel DefaultSettings.XResolution muss bearbeitet werden (z.B. 1280 Dezimal).
- HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Video\<GUID>\0000\
Der Wert im Schlüssel DefaultSettings.YResolution muss bearbeitet werden (z.B. 1024 Dezimal).
Unter Video existieren mehrere GUIDs. Die richtige GUID ist diejenige, die das Unterverzeichnis VolatileSettings beinhaltet.
Den Computernamen ändern
- Während der Betriebssysteminstallation wird dem Server automatisch ein Computername vergeben.
Da aber bereits in vielen Unternehmensnetzwerken eine festgelegte Namenskonvention existiert, passt der vergebene Name
sicherlich nicht in die meisten Umgebungen. In Erfahrung kann man den Computernamen mit dem Befehl
Hostname oder IPCONFIG –ALL bringen.
-
Ein neuer Computername kann mit folgendem Befehl vergeben werden:
Netdom Renamecomputer ALTERCOMPUTERNAME /Newname:NEUERCOMPUTERNAME
Die anschließende Sicherheitsfrage ist mit einem Y zu bestätigen.
Im Anschluss ist ein Neustart mit dem Befehl shutdown –r bzw. shutdown –r –t 0 fällig.
Man kann aber auch direkt beide Befehle in einem zusammenfassen.
Das ganze würde dann so aussehen:
Netdom Renamecomputer ALTERCOMPUTERNAME /Newname:NEUERCOMPUTERNAME /Force /Reboot:ZahlinSekunden
Ist der Server Core bereits ein Mitgliedsserver, so lässt sich der Computername auf diese Weise ändern:
Netdom Renamecomputer ALTERCOMPUTERNAME /NewName:NEUERCOMPUTERNAME /userd:<Domäne\Administrator> /passwordd:*
Die IPv4 Adresse eintragen
-
Bevor eine IP-Adresse eingetragen werden kann, muss sichergestellt sein, dass der Treiber für die Netzwerkkarte installiert wurde.
Wird beim Aufruf von IPCONFIG lediglich der Eintrag Windows-IP-Konfiguration angezeigt, so ist die Netzwerkkarte nicht installiert.
Es sollte der Eintrag „Ethernet-Adapter LAN-Verbindung“ auftauchen.
Mit dem folgenden Befehl:
Netsh int ipv4 set addr "LAN-Verbindung" static 192.168.178.10 255.255.255.0 192.168.178.1
wird die IPv4-Adresse 192.168.178.10, dass Subnetz 255.255.255.0 und das Gateway 192.168.178.1 vergeben.
Wichtig an dieser Stelle wäre zu erwähnen, dass der Name der LAN-Verbindung bekannt sein muss!
Diesen erfährt man mit dem Befehl Netsh int ip sh int oder durch IPCONFIG –ALL.
Denn auf einem englischen System lautet dieser: Local Area Connection.
-
Eine andere Vorgehensweise zum vergeben der IPv4-Adresse wäre, zuerst mit dem Befehl Netsh interface ipv4 show interfaces
den Wert in der Spalte idx für die Netzwerkverbindung herauszufinden und anschließend mit dem Befehl (alles in einer Zeile)
Netsh int ipv4 set address name="<IDX-Wert>" source=static address=192.168.178.10 mask=255.255.255.0
gateway=192.168.178.1 die IP-Adresse einzutragen.
Das IPv6-Protokoll deaktivieren
- Wenn das IPv6-Protokoll nicht verwendet wird, kann es deaktiviert werden.
Dazu gilt es mit Regedit die Registry aufzurufen und im Pfad
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip6\Parameters\ den Schlüssel DWORD-32Bit
(sowohl auf einem 32Bit als auch auf einem 64Bit System) DisabledComponents mit dem Hex-Wert 0xFFFFFFFF zu erstellen.
Nach einem Neustart ist das IPv6-Protokoll deaktiviert.
Eine DNS-Server IP-Adresse eintragen/entfernen
- Die IP-Adresse eines bestehenden DNS-Servers lässt sich wie folgt eintragen:
Netsh int ip set dns "LAN-Verbindung" static 192.168.178.5 primary
-
Einen weiteren DNS-Server trägt man mit diesem Befehl ein:
Netsh int ip add dns "LAN-Verbindung" 192.168.178.6
-
Entfernen lässt sich eine DNS-Server Adresse mit diesem Befehl:
Netsh int ip delete dns "LAN-Verbindung" 192.168.178.6
-
Alle DNS-Server Adressen lassen sich folgendermaßen entfernen:
Netsh int ip delete dns "LAN-Verbindung" all
Eine WINS‑Server IP-Adresse eintragen/entfernen
-
Ein WINS-Server lässt sich auf diese Art eintragen:
Netsh int ip add winsserver "LAN-Verbindung" 192.168.178.5
-
Einen zweiten WINS-Server kann man wie folgt eintragen:
netsh interface ipv4 add winsserver name="Local Area Connection" address=10.0.0.12 index=2
-
Entfernen lässt sich ein WINS-Eintrag mit diesem Befehl:
Netsh int ip delete wins "LAN-Verbindung" 192.168.178.5
-
Möchte man alle WINS-Einträge entfernen, so geht das folgendermaßen:
Netsh int ip delete wins "LAN-Verbindung" all
Den Server zu/aus der Domäne hinzufügen/entfernen
- Mit diesem Befehl, lässt sich der Server Core zum Mitgliedsserver einer Domäne hinzufügen:
Netdom join <ComputerName> /domain:<DomänenName> /userd:Administrator /passwordd:Pa$$w0rd!
- Aus der Domäne lässt sich der Server Core wie folgt nehmen:
Netdom remove /d:<Domäne> <PC-Name Core>
Den Server Core zum Domänencontroller heraufstufen (promoten)
- Das Active Directory lässt sich auf einem Server Core nicht wie die anderen Rollen mit Ocsetup,
sondern ausschließlich durch den Dcpromo-Assistenten installieren. Der Aufruf von Dcpromo, kann auf einem
Server Core nicht wie auf den normalen Server-Versionen gestartet, sondern muss entweder mit einer Antwortdatei
oder durch die unbeaufsichtigte Installation Dcpromo /unattend aufgerufen werden.
- Mit der Angabe einer Antwortdatei wird der Server Core wie folgt zum Domänencontroller (DC) gestuft:
DCPROMO /unattend:E:\DCCorepromote.txt
Durch die Antwortdatei, kann auf dem Server Core das DNS gleich mit installiert sowie der globale Katalog
aktiviert werden (was beides zu empfehlen wäre). Zur Arbeitserleichterung kann man sich beim Ausführen von Dcpromo
auf einem vollinstallierten Server, am Ende des Assistenten die Einstellungen exportieren lassen.
Wie eine solche Antwortdatei aussehen könnte, steht am Ende dieses Artikels.
- Der Befehl für einen zusätzlichen Server Core DC, könnte bei der unbeaufsichtigten Variante wie folgt aussehen (alles in einer Zeile):
dcpromo /unattend /replicaOrNewDomain:replica /replicaDomainDNSName:intra.dikmenoglu.de
/sitename:Default-First-Site-Name /InstallDns:yes /CreateDNSDelegation:no /confirmGC:yes /UserDomain:intra.dikmenoglu.de
/UserName:intra.dikmenoglu.de\Administrator /Password:DomänenAdminKennwort /databasePath:"C:\Windows\Ntds"
/logPath:"C:\Windows\Ntds" /sysvolpath:"C:\Windows\Sysvol" /safeModeAdminPassword:SchweresPa$$w0rd!
/rebootOnCompletion:yes
Promotion Operation
-
Wird der Server Core, der erste Windows Server 2008 Domänencontroller in einer Windows 2000 oder
Windows Server 2003 Gesamtstruktur, so muss vorher das ADPREP von der Windows Server 2008 DVD
(aus dem Verzeichnis DVD-Laufwerk:\Sources\Adprep) ausgeführt werden. Microsoft empfiehlt vorher das Verzeichnis
Adprep auf den Server zu kopieren und anschließend, dass ADPREP von dort zu starten. Damit sollen Lesefehler des
DVD-Laufwerks vorgebeugt werden, die während dem Ausführen von ADPREP auftreten könnten.
Das ADPREP ist zuerst auf dem Schemamaster mit dem Parameter /FORESTPREP und auf dem Infrastrukturmaster in
der Domäne, zu der der Windows Server 2008 hinzugefügt werden soll, mit den Parametern „/DOMAINPREP /GPPREP“ auszuführen.
Soll der Server Core der erste Windows Server 2008 als RODC in einer Windows Server 2003 Gesamtstruktur werden
(dazu muss sich der Gesamtstrukturfunktionsmodus auf Windows Server 2003 befinden), so gilt es vorher das
ADPREP mit dem Parameter /RODCPREP lediglich ein einziges Mal für die Gesamtstruktur (und nicht in jeder Domäne) auszuführen.
Den Server Core zum Mitgliedsserver herunterstufen (demoten)
-
Herunterstufen (demoten) zu einem Mitgliedsserver lässt sich der Server Core DC ebenfalls, entweder mit DCPROMO
und einer Antwortdatei (siehe unten stehende Antwortdatei Beispiele) oder durch die unbeaufsichtigte Variante.
Der Aufruf mit einer Antwortdatei, sieht so aus: DCPROMO /unattend:E:\DCCoredemote.txt
-
Das Herunterstufen zu einem Mitgliedsserver bei der unbeaufsichtigten Variante, könnte auf einem zusätzlichen Server Core DC
der nicht die FSMO-Rollen trägt, wie folgt aussehen (alles in einer Zeile):
dcpromo /unattend /AdministratorPassword:"Pa$$w0rd!" /IgnoreIsLastDnsServerForZone:yes
/IgnoreIsLastDCInDomainMismatch:yes /RebootOnSuccess:yes
Demotion Operation
DHCP-Server installieren/deinstallieren
-
Möchte man den DHCP-Server auf einem Server Core installieren, so lässt sich das mit diesem Befehl realisieren:
start /w ocsetup DHCPServerCore
-
Deinstallieren lässt sich der DHCP mit einem /uninstall am Ende: start /w ocsetup DHCPServerCore /uninstall
-
Die Konfiguration des DHCP-Servers (Bereiche, Optionen etc.) erfolgt über NETSH oder remote von
einem anderen Server aus, mit dem DHCP Snap-In.
-
Die DHCP-Konfiguration über NETSH könnte wie folgt aussehen:
netsh dhcp server 192.168.178.5 add scope 192.168.178.0 255.255.255.0 DHCPCore CoreBereich
Den DHCP-Bereich festlegen
netsh dhcp server 192.168.178.5 scope 192.168.178.0 add iprange 192.168.178.1 192.168.178.254
Ausschlussbereich
netsh dhcp server 192.168.178.5 scope 192.168.178.0 add excluderange 192.168.178.40 192.168.178.60
Die Router-Option setzen
netsh dhcp server 192.168.178.5 scope 192.168.178.0 set optionvalue 003 IPADDRESS 192.168.178.1
Den DNS-Server setzen
netsh dhcp server 192.168.178.5 scope 192.168.178.0 set optionvalue 006 IPADDRESS 192.168.178.5 192.168.178.6
Den DHCP-Bereich aktivieren
netsh dhcp server 192.168.178.5 scope 192.168.178.0 set state 1
-
Der Dienst des DHCP-Servers wird nach der Installation nicht gestartet.
Des Weiteren steht der Starttyp des DHCP-Servers in der Dienstesteuerung nach der Installation, auf Deaktiviert.
-
Um den DHCP-Server Dienst zu starten, ist folgender Befehl auszuführen: net start dhcpserver
-
Den Starttyp stellt man mit diesem Befehl auf Automatisch:
sc config dhcpserver start= auto (Achtung: Nach dem Gleichheitszeichen muss ein Leerzeichen folgen!)
-
Deaktiveren lässt sich der Starttyp so: sc config dhcpserver start= disabled
-
Befindet sich der Server Core in einer Active Directory Umgebung, so muss der DHCP-Server zusätzlich noch
im Active Directory autorisiert werden. Auch dies lässt sich über NETSH (neben der DHCP-MMC auf einem
vollwertigen Server) realisieren. Der Befehl zum autorisieren lautet:
netsh dhcp add server Lhcore01.intra.dikmenoglu.de 192.168.178.5
-
Wenn hingegen ein DHCP-Server aus der Liste der autorisierten DHCP-Server im Active Directory entfernt werden soll,
so lautet der Befehl: netsh dhcp delete server Lhcore01.intra.dikmenoglu.de 192.168.178.5
DNS-Server installieren/deinstallieren
- Den DNS-Server installiert man wie folgt: start /w ocsetup DNS-Server-Core-Role
- Deinstallieren lässt sich der DNS-Server auf diese Weise: start /w ocsetup DNS-Server-Core-Role /uninstall
-
Der DNS-Server lässt sich zum einen mit dem Kommandozeilen-Tool dnscmd und zum anderen remote mit dem DNS Snap-In konfigurieren.
WINS-Server installieren/deinstallieren
- Der WINS-Server lässt sich folgendermaßen installieren: start /w ocsetup WINS-SC
- Die Deinstallation des WINS-Servers, lässt sich auf die Art durchführen: start /w ocsetup WINS-SC /uninstall
Hyper-V auf einem Server Core installieren
- Das Hyper-V lässt sich auf einem Windows Server 2008 Enterprise - Server Core wie folgt installieren:
bcdedit /set hypervisorlaunchtype auto (dieser Befehl ist nicht zwingend, aber ohne ihn sind zwei Neustarts fällig)
start /w ocsetup Microsoft-Hyper-V
- Von einem vollwertigen Server auf dem das Hyper-V ebenfalls installiert ist, kann nun das Hyper-V auf dem Server Core
konfiguriert werden. Microsoft arbeitet aber zurzeit an einer MMC für Windows Vista/Windows Server 2008 Vollinstallation.
Die Druckdienste installieren/deinstallieren
- Die Druckdienste können wie folgt installiert: start /w ocsetup Printing-ServerCore-Role
- …und auf diese Art deinstalliert werden: start /w ocsetup Printing-ServerCore-Role /uninstall
Den Server Core aktivieren
- Der Server Core kann mit diesem Befehl aktiviert werden: Cscript C:\Windows\system32\SLmgr.vbs –ato
- Das Ablaufdatum der Lizenz, kann man wie folgt herausfinden: Cscript C:\Windows\system32\slmgr.vbs -xpr
- Falls zum Zeitpunkt der Aktivierung keine Internetverbindung besteht, kann durch einen gebührenfreien Anruf
(Deutschland Tel.: 0800-284 828 3) bzw. den gebührenpflichtigen Anruf (Deutschland Tel.: 069-500 700 25)
bei Microsoft der Server telefonisch aktiviert werden. Eine andere Möglichkeit wäre mittels dem Key Management Server (KMS)
die Aktivierung zu vollziehen. Die Rufnummern für die einzelnen Länder stehen im übrigen in der Datei phone.inf,
dass sich im folgenden Pfad befindet: %windir%\system32\slui\phone.inf.
- Die Installations-ID für die telefonische Aktivierung, kann so herausgefunden werden: Cscript C:\Windows\system32\slmgr.vbs -dti
- Anschließend kann der Server manuell aktiviert werden: Cscript c:\windows\system32\slmgr.vbs –atp GUID <Bestätigungs-ID>
Die AD LDS installieren
- Die Active Directory Lightweight Directory Services lassen sich auf diese Art installieren:
start /w ocsetup DirectoryServices-ADAM-ServerCore
Die Windows Remote Shell aktivieren
- Die Windows Remote Shell (WinRS) lässt sich so aktivieren: WinRM quickconfig
- Durch die Bestätigung mit Y wird die WinRS endgültig aktiviert.
- Nun kann von einem Remote-Host durch Aufruf des folgenden Befehls in einer Kommandozeile,
der Server Core aus der CMD heraus, administriert werden: winrs -r:<ServerCore> cmd
Eine neue Kommandozeile CMD öffnen
- Hat man aus Versehen die Kommandozeile geschlossen, kann man durch drücken von STRG+SHIFT+ENTF den Taskmanager
aufrufen und mit einem neuen Task die CMD erneut aufrufen. Oder im Taskmanager ABMELDEN wählen und sich neu an dem
System anmelden. Ein Neustart bringt die CMD natürlich genauso zum Vorschein.
- Deshalb wäre es sinnvoll gleich zu Beginn der Anmeldung, eine weitere CMD mit start cmd /separate zu starten.
Die Windows Firewall konfigurieren
- netsh advfirewall
Die Energieeinstellungen konfigurieren
- Powercfg
Die Windows Updates konfigurieren
- Um die automatischen Windows Updates zu aktivieren, gilt es diesen Befehl einzugeben:
Cscript C:\Windows\system32\Scregedit.wsf /au 4
- Deaktivieren lassen sich die Windows Updates wie folgt: Cscript C:\Windows\system32\Scregedit.wsf /au 1
- Die aktuelle Einstellung kann wie folgt herausgefunden werden: Cscript C:\Windows\system32\Scregedit.wsf /au /v
Die Systeminformationen anzeigen lassen
- Die Systeminformationen lassen sich durch die Eingabe von systeminfo.exe anzeigen.
Die Zeit/Zeitzone sowie Regions- und Sprachoptionen konfigurieren
- Das Datum, die Zeit oder die Zeitzone lassen sich durch die Eingabe von control timedate.cpl konfigurieren.
- Die gewünschte Regions- und Sprachoptionen kann man mit dem Befehl control intl.cpl auswählen.
Die Installation von Treibern
- Wenn der Treiber im Server Core enthalten ist, wird der Treiber für die Hardware automatisch bei der Betriebssysteminstallation installiert.
Oder wenn die Hardware nachträglich eingebaut wird, installiert sich der Treiber dank Plug and Play (PNP) automatisch.
-
Ist der Hardware-Treiber nicht im Betriebssystem enthalten, so gilt es diesen beim Hersteller zuerst herunterzuladen.
Falls keine Windows Server 2008 Treiber vom Hersteller bereitgestellt werden, reicht oftmals der Treiber für Windows Vista aus.
Der heruntergeladene Treiber sollte entweder entpackt und wie folgt installiert werden:
Pnputil –i –a <Pfad>\<Treiber>.inf
..oder der Treiber (evtl. eine Setup.exe) lässt sich direkt vom USB-Sick/CD auf dem Server Core ausführen und installieren.
- Wird eine bestehende z.B. on-Board Intel Netzwerkkarte nicht bei der Betriebssysteminstallation gleich mit installiert,
ist zuerst der entsprechende Treiber herunterzuladen (der Treiber für Windows Vista), diesen auf einen USB-Sick bzw. CD
zu packen und anschließend die heruntergeladene Setup.exe auszuführen. Der Assistent für den Treiber der einen durch die
Installation führt, ist der gleiche wie auf einem vollwertigen Server.
Wenn jemandem die langen und aufwändigen Befehle in der Kommandozeile zum konfigurieren des Server Core nicht so sehr liegt, der sollte sich einmal diese Tools anschauen:
Tools zum konfigurieren des Server Core
Beispiele einer Antwortdatei
Erster DC einer neuen Gesamtstruktur:
[DCInstall]
; New forest promotion
ReplicaOrNewDomain=Domain
NewDomain=Forest
NewDomainDNSName=intra.dikmenoglu.de
ForestLevel=3
DomainNetbiosName=DIKMENOGLU
DomainLevel=3
InstallDNS=Yes
CreateDNSDelegation=No
ConfirmGc=Yes
DatabasePath=C:\Windows\NTDS
LogPath=C:\Windows\NTDS
SYSVOLPath=C:\Windows\SYSVOL
SafeModeAdminPassword=SchweresPa$$w0rd!
; Run-time flags (optional)
; CriticalReplicationOnly=Yes
RebootOnCompletion=Yes
TransferIMRoleIfNecessary=No
Zusätzlicher Domänencontroller:
[DCInstall]
; Replica DC promotion
ReplicaOrNewDomain=Replica
ReplicaDomainDNSName=intra.dikmenoglu.de
SiteName= Default-First-Site-Name
InstallDNS=Yes
CreateDNSDelegation=No
ConfirmGc=Yes
UserDomain=intra.dikmenoglu.de
UserName=dikmenoglu\administrator
Password=Pa$$w0rd!
DatabasePath="C:\Windows\NTDS"
LogPath="C:\Windows\NTDS"
SYSVOLPath="C:\Windows\SYSVOL"
SafeModeAdminPassword=SchweresPa$$w0rd!
; Run-time flags (optional)
; CriticalReplicationOnly=Yes
RebootOnCompletion=Yes
Erster DC einer neuen Sub-Domäne:
[DCInstall]
; New child domain promotion
ReplicaOrNewDomain=Domain
NewDomain=Child
ParentDomainDNSName=intra.dikmenoglu.de
ChildName=child
DomainNetbiosName=CHILDDOMAENE
DomainLevel=2
SiteName=Mainz
InstallDNS=Yes
CreateDNSDelegation=Yes
ConfirmGc=Yes
DNSDelegationUserName=dikmenoglu\administrator
DNSDelegationPassword=*
UserDomain=intra.dikmenoglu.de
UserName=dikmenoglu\administrator
Password=Pa$$w0rd!
ReplicationSourceDC=LHDCON01.intra.dikmenoglu.de
DatabasePath="C:\Windows\NTDS"
LogPath="C:\Windows\NTDS"
SYSVOLPath="C:\Windows\SYSVOL"
SafeModeAdminPassword=SchweresPa$$w0rd!
; Run-time flags (optional)
RebootOnCompletion=Yes
RODC:
[DCInstall]
; Read-Only Replica DC promotion
ReplicaOrNewDomain=ReadOnlyReplica
ReplicaDomainDNSName=intra.dikmenoglu.de
; RODC Password Replication Policy
PasswordReplicationDenied="VORDEFINIERT\Administratoren"
PasswordReplicationDenied="VORDEFINIERT\Server-Operatoren"
PasswordReplicationDenied="VORDEFINIERT\Sicherungs-Operatoren"
PasswordReplicationDenied="VORDEFINIERT\Konten-Operatoren"
PasswordReplicationDenied="DIKMENOGLU\Abgelehnte RODC-
Kennwortreplikationsgruppe"
PasswordReplicationAllowed="DIKMENOGLU\Zulässige RODC-Kennwortreplikationsgruppe"
PasswordReplicationAllowed=Gruppe1
PasswordReplicationAllowed=Benutzer1
PasswordReplicationAllowed=ComputerName1
DelegatedAdmin="DIKMENOGLU\RODC-Admins"
SiteName=Default-First-Site-Name
InstallDNS=Yes
ConfirmGc=Yes
CreateDNSDelegation=No
UserDomain=intra.dikmenoglu.de
UserName=intra.dikmenoglu.de\Administrator
Password=Pa$$w0rd!
; In der nächsten Zeile kann man einen Quell-DC angeben,
; mit dem die AD-Replikation stattfinden soll.
ReplicationSourceDC=LHDCON01.intra.dikmenoglu.de
DatabasePath="C:\Windows\NTDS"
LogPath="C:\Windows\NTDS"
SYSVOLPath="C:\Windows\SYSVOL"
SafeModeAdminPassword=SchweresPa$$w0rd!
; Run-time flags (optional)
; CriticalReplicationOnly=Yes
RebootOnCompletion=Yes
Einen Domänencontroller herunterstufen (demoten):
[DCINSTALL]
AdministratorPassword="Pa$$w0rd!"
IgnoreIsLastDnsServerForZone=Yes
IgnoreIsLastDCInDomainMismatch=Yes
RebootOnSuccess=Yes
Gesamtstrukturfunktionsmodus (ForestLevel):
0 = Windows 2000
Wenn diese Gesamtstrukturfunktionsebene gewählt wird, dann kann sich der Domänenfunktionsmodus (DomainLevel) der einzelnen
Domänen im Modus Windows 2000 pur (0), Windows Server 2003 (2) und Windows Server 2008 (3) befinden.
2 = Windows Server 2003
In dieser Gesamtstrukturfunktionsebene können Domänen im Domänenfunktionsmodus Windows Server 2003 (2) und
Windows Server 2008 (3) existieren.
3 = Windows Server 2008
In dieser Gesamtstrukturfunktionsebene können ausschließlich Domänen in der Domänenfunktionsebene
Windows Server 2008 (3) in der bestehenden Gesamtstruktur existieren.
4 = Windows Server 2008 R2
In dieser höchsten Gesamtstrukturfunktionsebene können ausschließlich Domänen in der Domänenfunktionsebene
Windows Server 2008 R2 (4) in der bestehenden Gesamtstruktur existieren.
Weitere Informationen:
Server Core Installation Option of Windows Server 2008 Step-By-Step Guide
Determining if Server Core is Running (Windows)
How to Use Netsh.exe to Authorize, Unauthorize and List DHCP Servers in Active Directory
Jeder der mit der Additional Account Info DLL (acctinfo.dll) schon einmal gearbeitet hat, weiß diese zusätzlichen Angaben zu schätzen.
Die zusätzlichen Angaben werden in einem weiteren Reiter, in den Benutzereigenschaften angezeigt. Diese DLL befindet sich in den
Account Lockout and Management Tools. Dort ist sie mit der Versionsnummer 1.0.0.1111 vorhanden. Nach dem registrieren dieser DLL,
taucht in den Eigenschaften eines Benutzerobjekts eine weitere Registerkarte auf. Dieser Reiter erscheint nur auf der Maschine,
auf dem diese DLL registriert wurde (und steht somit nicht domänenweit auf jedem Client/Server zur Verfügung). Dort steht z.B.
wann die letzte Benutzeranmeldung erfolgt ist oder wann das Kennwort des Benutzers ausläuft.
Siehe: Die letzte Benutzeranmeldung herausfinden
Der Reiter taucht aber nur dann auf, wenn das Benutzerobjekt direkt (Doppelklick auf das Benutzerobjekt) oder über eine
gespeicherte Abfrage aufgerufen wird. Wird hingegen die Active Directory Suche verwendet, erscheint dieser Reiter nicht.
Das kommt daher, da die Version 1.x lediglich eine Erweiterung in Form einer weiteren Registerkarte in den Eigenschaften des Benutzerobjekts ist.
Die Suche im Active Directory erfolgt z.B. im Snap-In Active Directory-Benutzer und -Computer mit einem Rechtklick auf einer OU oder auf den FQDN.
Des Weiteren ist in der Version 1.x ein Fehler enthalten, denn es zeigt einen Wert im Last-Logon-Timestamp an, obwohl sich die
Domäne nicht im Domänenfunktionsmodus Windows Server 2003 befindet.
Es existiert mittlerweile eine neuere Version dieser DLL und trägt den Namen Acctinfo2.dll (beachtet unten stehende Anmerkung).
In der neueren Version ist die acctinfo2.dll nicht nur ein weiterer Reiter, sondern ein Display Specifier. Dadurch taucht nun auch bei
einer Suche der Reiter auf. Mit dieser Version der DLL, wird desweiteren nicht mehr der Last-Logon-Timestamp im Reiter angezeigt,
sondern erst, wenn sich die Domäne tatsächlich im Domänenfunktionsmodus Windows Server 2003 befindet. Außerdem werden
zusätzliche Informationen bereitgestellt.
Installation
Die Acctinfo2.dll muss zuerst ins Verzeichnis %windir% verschoben werden.
Im nächsten Schritt ist diese DLL, entweder unter Start - Ausführen oder in einer Kommandozeile mit dem Befehl
regsvr32 acctinfo2.dll zu registrieren.
Als nächstes ruft man ADSIEdit (aus den Windows Support Tools) auf und navigiert in der Konfigurationspartition zu folgendem Pfad:
CN=user-Display,CN=407,CN=DisplaySpecifiers,CN=Configuration,DC=Domäne,DC=TLD
Hinweis: Läuft der Windows Server mit einer englischen Betriebssystem Version, so lautet die Länderkennung nicht CN=407 sondern CN=409.
Dort angelangt, sind die Eigenschaften von CN=user-Display aufzurufen.
Anschließend gilt es im Attribut adminPropertyPages den folgenden Eintrag hinzuzufügen:
2,{5969F63F-CACF-40bf-8891-CA580EB589E9}
Am Anfang des Eintrags (2,..) ist ein freier oder der nächst höhere Wert zu wählen, gefolgt von einem Komma und der GUID
der Acctinfo2.dll (in geschweiften Klammern).
Danach steht ab sofort der neue Reiter in den Benutzereigenschaften zur Verfügung.
Weiterhin ist es möglich, dass beide Versionen (1.x sowie 2.x) nebeneinander existieren.
Anmerkung: Die aktuelle und von Microsoft unterstütze AcctInfo.dll ist in den Account Lockout and Management Tools enthalten und kann
kostenlos heruntergeladen werden. Wann und ob Microsoft die Version 2.x veröffentlichen wird (zum Download bereitstellt), ist zum jetzigen
Zeitpunkt nicht bekannt. Sobald es Nähere Informationen darüber geben wird, werde ich es hier veröffentlichen.
Update: 27.04.2010
Es gibt mittlerweile auch eine (nicht supportete!) x64Bit Version der acctinfo2.dll.
In einer Active Directory Umgebung findet zwischen den Domänencontrollern eine Multimaster-Replikation statt.
Dadurch kann auf jedem Domänencontroller (DC) eine Änderung durchgeführt werden, die Dank der AD-Replikation an alle DCs repliziert wird.
Das Active Directory (genauer KCC) reagiert dabei schnell auf etwaige Veränderungen in der Gesamtstrukturtopologie und findet
- sofern irgendwie möglich - oftmals eine Lösung.
Nun kann es in einer Umgebung mit mehreren DCs und mehreren Administratoren vorkommen, dass zur gleichen Zeit an einem Objekt,
dass gleiche Attribut auf verschiedenen DCs bearbeitet wird. Ein Replikationskonflikt wird anhand der Versions-Nummer (versionID) des
veränderten Attributs erkannt. Im Gegensatz zu der Update Sequence Number (USN), worin serverspezifische Werte gespeichert werden,
wird in der Versions-Nummer eines Attributs ein eindeutiger Wert gespeichert.
Wird nun ein Attribut auf DC2 verändert, bevor die zur gleichen Zeit getätigte Änderung von DC1 repliziert wurde,
entsteht somit ein Replikationskonflikt. Angenommen auf DC1 wird in den Eigenschaften eines Benutzerobjekts im Feld Büro die
Zimmer-Nummer 2.12 und zur gleichen Zeit auf DC2 die Zimmer-Nummer 2.21 eingetragen. Wenn nun DC3 beide Änderungen gleichzeitig erhält,
muss bestimmt werden, welche Änderung repliziert wird.
Das Active Directory wendet dann die folgenden drei Regeln an, um festzulegen welche Änderung repliziert werden soll:
-
Das modifizierte Attribut mit der höheren Versions-Nummer (versionID) überschreibt die Änderung mit der niedrigeren Versions-Nummer.
Sind in beiden Fällen, beide Versions-Nummern identisch, folgt die nächste Regel.
-
Enthalten beide Änderungen die gleiche versionID, wird die Änderung mit dem späteren Zeitstempel (Timestamp) akzeptiert und somit
würde die Änderung mit dem früheren Zeitstempel überschrieben werden. Ist in beiden Fällen auch der Zeitstempel gleich
(was in seltenen Fällen zutrifft), kommt die dritte und letzte Regel ins Spiel.
-
Falls beide Änderungen sowohl die gleiche versionID, als auch den gleichen Zeitstempel haben, wird die Änderung,
die seine Herkunft auf dem DC mit der niedrigeren GUID hat akzeptiert. Somit wird der Schreibvorgang vom DC mit der höheren GUID überschrieben.
In einem anderen Fall kann es zu einem Replikationskonflikt kommen, wenn ein Objekt auf zwei verschiedenen DCs mit dem
gleichen Namen zur gleichen Zeit erstellt wird, wie es z.B. beim hinzufügen eines Clients zur Domäne vorkommen kann.
Oder beim gleichzeitigen erstellen zweier Benutzerobjekte, mit dem gleichen Namen. Denn wenn zwei DCs zur gleichen Zeit
ein Objekt mit dem gleichen Namen im Active Directory erstellen, kommt es ebenfalls zum Konflikt.
Das Active Directory wendet in diesem Fall ebenfalls die o.g. drei Regeln an, mit dem Unterschied, dass das nicht akzeptierte
Objekt nicht überschrieben, sondern umbenannt wird. Der Relative Distinguished Name (RDN) des Objekts, bekommt einen
eindeutigen Namen der folgendermaßen aussieht: <Original RDN>CNF:<ObjectGUID>. Die Zeichen CNF stehen dabei für
Conflict (Konfliktobjekt). Danach folgt ein Doppelpunkt, gefolgt von der Objekt GUID.
Der Administrator kann dann bestimmen, welches Objekt beibehalten und welches gelöscht werden soll.
Über eine benutzerdefinierte Abfrage lassen sich alle Konfliktobjekte anzeigen. Der Filter dazu lautet (CN=*CNF:*).
Es gibt aber noch eine dritte Situation, in dem es zu einem Konflikt kommen kann. Erstellt ein Administrator z.B. einen Benutzer in einer OU
und ein anderer Administrator löscht im gleichen Moment auf einem anderen DC diese OU, wird das Benutzerobjekt trotzdem erstellt
obwohl der übergeordnete Container entfernt wurde. Das AD löst in diesem Fall den Konflikt, in dem es das Benutzerobjekt in
einem versteckten Container Namens LostAndFound erstellt. Der Domänen-Benutzer der sich im Container LostAndFound befindet,
kann sich wie jeder andere Benutzer an der Domäne anmelden. Der Administrator sollte aber aus administrativen Gründen
den Benutzer in eine andere OU verschieben. Der Container LostAndFound kommt erst dann zum Vorschein,
wenn in der MMC Active Directory-Benutzer und -Computer unter "Ansicht" die Option Erweiterte Funktionen aktiviert wurde.
Weitere Informationen:
Avoiding Replication Issues When Designing Applications that Use Active Directory
Troubleshooting Directory Data Problems
|
Copyright © 2012 Yusuf Dikmenoglu. All rights reserved.
DasBlog 'Portal' theme by Johnny Hughes.
Pick a theme:
|
|