Blog Home  Home Feed your aggregator (RSS 2.0)  
LDAP://Yusufs.Directory.Blog/ - Sunday, April 12, 2009
Wieviele Sprachen sprechen Sie? Ich spreche bloß eine: LDAP!
 
About

Archive
<April 2009>
SunMonTueWedThuFriSat
2930311234
567891011
12131415161718
19202122232425
262728293012
3456789
Navigation
Search Filter Syntax
How the Active Directory Replication Model Works
How Active Directory Replication Topology Works
How the Data Store Works
How Core Group Policy Works
How the Kerberos v5 Authentication Protocol Works
SRV Resource Records
Windows Server 2008 R2 or Windows Server 2008 domain controller returns only 5000 attributes in a LDAP response
Active Directory and Network Address Translation
Description of support boundaries for Active Directory over NAT
When you run an LDAP query against a Windows Server 2008-based domain controller, you obtain a partial attribute list
Authentication fails when an external client tries to log on to a Windows Server 2008 server by using a read-only domain controller in a perimeter network
Active Directory Domain Services in the Perimeter Network
How to use unattended mode to install and remove Active Directory Domain Services on Windows Server 2008-based domain controllers
Active Directory Administration with Windows PowerShell
Active Directory Domain Services for Windows Server 2008 R2
Read-Only Domain Controller (RODC) Branch Office Guide
Active Directory Domain Services
Windows Server 2008 R2: Active Directory
Categories
 
 
 
 
 
 
 
MVP

Blogroll
 ActiveDir
 AD Documentation Team
 AD-Powershell Blog
 Aktives Verzeichnis
 DS-Team Blog
 Eric Fleischman
 Server Core
 Tim Springston
 Windows Server Division
 Wolfgang Sauer
Contact
Send mail to the author(s) Email Me

Disclaimer
The opinions expressed herein are my own personal opinions and do not represent my employer's view in anyway.

Sign In
 Sunday, April 12, 2009
Das Active Directory-Verwaltungscenter

Im Windows Server 2008 R2 ist ein weiteres neues Werkzeug integriert, das sich Active Directory-Verwaltungscenter (dsac.exe) nennt. Die neue Managementkonsole mit flexiblen Filtermöglichkeiten basiert auf der Powershell Version 2 und stellt im Prinzip eine grafische Shell für die Powershell dar. Denn nach dem die auszuführende Aufgabe in der Konsole ausgewählt wurde, führt dsac.exe die entsprechenden AD-Cmdlets aus. Jede Lese- und Schreibaktion im AD-Verwaltungscenter wird über die AD-Powershell durchgeführt. Das neue Werkzeug verringert den allgemeinen administrativen Aufwand, der in einer AD-Umgebung täglich zu bewältigen ist. Mit dieser neuen aufgabenbasierten Managementkonsole, beginnt im neuen Server-Betriebssystem die MMC 4 Ära.

Die im Vergleich zu der MMC „Active Directory-Benutzer und -Computer“ abgespeckte Managementkonsole „Active Directory-Verwaltungscenter“, ist in erster Linie eher an den Systemadministrator bzw. an den First-Level Support gerichtet. Denn es stehen nicht die gleichen Funktionen wie in der MMC Active Directory-Benutzer und -Computer (dsa.msc) zur Verfügung. Daher kann der AD-Administrator nicht auf die MMC dsa.msc verzichten (auch wenn es theoretisch möglich wäre). Die Personen denen die entsprechenden Rechte im AD delegiert wurden, können mit der neuen Konsole effektiver ihren täglichen Routineaufgaben nachgehen als mit der MMC dsa.msc. Gerade in größeren AD-Umgebungen mit mehreren Domänen spielt dieses Werkzeug seine Stärken aus.

Das AD-Verwaltungscenter ist, neben der AD-Powershell, von dem Dienst Active Directory-Webdienste (ADWS) abhängig, das erst ab Windows Server 2008 R2 zur Verfügung steht. Dsac.exe ist nicht auf die RPC- oder LDAP-Schnittstelle angewiesen. Daher muss in den vertrauten Domänen oder in der vertrauten Gesamtstruktur mindestens ein Windows Server 2008 R2 DC existieren oder das AD Management Gateway Service muss auf einem Windows Server 2003 DC bzw. Windows Server 2008 DC installiert sein, damit dsac.exe remote ausgeführt werden kann. Auf dem Windows Server 2008 R2 DC auf dem dieser Dienst läuft, darf der TCP-Port 9389 von der evtl. aktivierten lokalen Windows-Firewall nicht blockiert werden. Läuft der Dienst AD-Webdienste nicht oder ist dieser wegen einer Firewall nicht erreichbar, funktioniert das dsac.exe nicht.

Damit eine Windows Server 2003 oder Windows Server 2008 Umgebung mit dem AD-Verwaltungscenter (neben der AD-Powershell) administriert werden kann, muss das AD Management Gateway Service installiert werden:

Die AD Management Gateway Services für Windows Server 2003 und Windows Server 2008



Das AD-Verwaltungscenter kann lediglich zur Verwaltung von AD DS-Domänen und nicht von AD LDS-Umgebungen eingesetzt werden!


 

Welche Funktionen stehen im AD-Verwaltungscenter gegenüber der MMC „AD-Benutzer und -Computer“ nicht zur Verfügung?

  • Ein Drag & Drop ist nicht möglich.

  • Es steht keine Delegierungsfunktion zur Verfügung.

  • Die FSMO-Rollen der Domäne können nicht angezeigt werden, wie in der MMC dsa.msc.



Was kann mit dem AD-Verwaltungscenter alles durchgeführt werden?

  • Mit dem AD-Verwaltungscenter können neue Benutzerkonten erstellt oder bestehende verwaltet werden.

  • Es können neue Gruppenkonten erstellt oder bestehende verwaltet werden.

  • Es können mehrere Objekte gleichzeitig ausgewählt und bearbeitet werden.

  • Neue OUs können erstellt bzw. bestehende verwaltet werden.

  • Auch neue Computerkonten können erstellt oder bestehende verwaltet werden.

  • Es ist möglich in der gleichen dsac.exe Instanz, sich mit mehreren Domänen oder Domänencontrollern zu verbinden und sich die AD-Informationen anzuzeigen bzw. Änderungen durchzuführen.

  • Durch die vorgegebenen oder eigens kreierten Filter (bei der globalen Suche) können lediglich die benötigten AD-Objekte angezeigt werden.
  • Im Gegensatz zu dsa.msc lässt sich aus dem AD-Verwaltungscenter neben dem Domänen- nun auch der Gesamtstrukturfunktionsmodus heraufstufen.




Die Installation des AD-Verwaltungscenter


Das AD-Verwaltungscenter kann ausschließlich auf Windows Server 2008 R2 und Windows 7 Clients, auf folgende Varianten installiert werden:

  • Durch das Installieren der AD DS-Rolle auf einem Windows Server 2008 R2.
  • Durch das Heraufstufen eines Windows Server 2008 R2 zu einem Domänencontroller.
  • Durch das Installieren der RSAT auf einem Windows Server 2008 R2.
  • Durch das Installieren der RSAT auf einem Windows 7 Client.


Das AD-Verwaltungscenter wird zusammen mit dem „Active Directory-Modul“ für die Windows PowerShell und dem .NET Framework 3.5.1 installiert. Diese beiden Komponenten sind, neben dem Dienst AD-Webdienste, die Voraussetzung damit das AD-Verwaltungscenter eingesetzt werden kann.




Das Arbeiten mit dem AD-Verwaltungscenter

Wenn das AD-Verwaltungscenter gestartet wird, sticht das zurücksetzen der Benutzerkennwörter sowie das entsperren von Benutzerkonten ins Auge. Diese beiden Optionen sind einer der meisten Fehlerquellen mit denen sich der Administrator im täglichen Leben beschäftigen muss. Des Weiteren sieht man in der linken Hälfte der Managementkonsole den Navigationsbereich. Dort kann man sich durch die einzelnen Container durch hangeln. Die oft besuchten Container werden dabei für den schnellen Zugriff direkt angezeigt.


 



Das Erstellen eines neuen Benutzerkontos sieht wie folgt aus. Es lassen sich die Kontooptionen, Organisationsinformationen, Gruppenmitgliedschaften und Profileinstellungen in einem Schritt konfigurieren.




In der Domäne oder in einer bestimmten OU lassen sich die Objekte anhand der vorgegebenen Filtermöglichkeiten sogar mit zusätzlichen Attributen anzeigen.


 



Natürlich kann man auch entsprechende Suchkriterien für Computerkonten auswählen.




Bei der globalen Suche kann man sich mit den vorgegebenen oder selbst erstellten Filtermöglichkeiten die gewünschten Objekte anzeigen lassen. Dabei kann man auch nach der Auswahl der vorgegebenen Filtermöglichkeiten, den echten LDAP-Filter anzeigen lassen.





Des Weiteren ist es wie im Windows Explorer möglich, durch die Eingabe eines bestimmten LDAP-Pfads in der Adresszeile direkt in die gewünschte OU zu navigieren.

 
Sunday, April 12, 2009 11:45:20 AM (W. Europe Standard Time, UTC+01:00)  #      Active Directory | Administration  | 
 Monday, March 30, 2009
Hallo meine neue Welt!

Es ist schon irgendwie komisch. Zuerst war das Single Dasein, dann kam die Zweisamkeit mit der Liebe meines Lebens und nun mein Weltwunder.

Mein Weltwunder entstand in 268 Tagen in einer warmen und geschützten Umgebung.

Meine Frau und ich bekamen am 18. März 2009 um 04:44 Uhr unser erstes Baby. Unser Stammhalter kam mit 3.200g und 49cm zur Welt. Mama und Kind sind wohl auf und wir alle gewöhnen uns (oder versuchen es zumindest) an unsere neue Rolle.

Aber früher… ja damals war alles anders. Der stolzeste Papa den je dieser Planet gesehen hat, kam nämlich mit einem Kampfgewicht von 4.550g und 57cm zur Welt. ;-)


Es war und ist schon ein unbeschreibliches und vor allem faszinierendes Erlebnis. Den Moment der Geburt mit Worten zu beschreiben, ist einfach nicht möglich. Nur wer diesen Moment selbst miterlebt hat, weiß was ich meine. Für mich war es definitiv der schönste und bewegenste Moment in meinem Leben. Das erste „schreien“ unseres Sohnes, hat sich tief in meinem Herzen eingebrannt.


Sehr geehrte Damen und Herren, Ladies and Gentlemen, Bayanlar ve Baylar, Mesdames et Messieurs, unser neustes Mitglied unserer Familie heißt: Kaan Arda Dikmenoglu

Das in den Initialen des Namen das AD auftaucht, war kein Kriterium bei der Wahl des Namen. ;-)
Monday, March 30, 2009 7:13:01 PM (W. Europe Standard Time, UTC+01:00)  #      Allgemeines  | 
 Sunday, March 08, 2009
Der Active Directory Best Practice Analyzer
Endlich wird es in Zukunft auch einen Best Practice Analyzer (BPA) für die Active Directory Domain Services (kurz AD DS-BPA) geben. Der BPA der bereits seit längerem für verschiedene Microsoft Produkte existiert (Siehe Abschnitt „Weitere BPAs“), ist für viele Administratoren ein unverzichtbares Werkzeug. Denn mit dem BPA lassen sich Konfigurationsprobleme schnell und einfach aufspüren.

Der BPA für die AD DS-Rolle wird erstmals im Windows Server 2008 R2 eingeführt und hilft dem Administrator dabei, Best Practices bei der Konfiguration der AD DS-Umgebung zu implementieren. Ein oder mehrere DCs lassen sich gegen eine Reihe von vordefinierten Best Practices überprüfen. Der AD DS-BPA erstattet nach der Durchführung Bericht, ob der DC mit den Best Practices kompatibel oder nicht konform ist.

Wenn die AD DS-Umgebung installiert und alles Notwendige konfiguriert wurde, ist es empfehlenswert die durchgeführten Konfigurationen anschließend auf Fehler zu überprüfen. Doch dies ohne den AD DS-BPA zu verifizieren ist gar nicht so einfach und dauert unter Umständen viele Stunden. Aber mit dem neuen AD DS-BPA lassen sich schnell und einfach Konfigurationsfehler und Schwachstellen in der AD DS-Umgebung auf Knopfdruck aufspüren.

Der AD DS-BPA lässt sich zum einen über die grafische Oberfläche und zum anderen, über die Powershell-Kommandozeile ausführen. In der grafischen Oberfläche befindet sich der AD DS-BPA ausschließlich im Server Manager des Windows Server 2008 R2. Der Server Manager ist erstmals auch in den RSAT für den Windows 7 Client enthalten.

Der BPA scannt die AD DS-Rolle so wie sie auf dem Windows Server 2008 R2 DC konfiguriert ist. Nach der Durchführung werden im Server Manager in den Reitern „Nicht Kompatibel“ und „Kompatibel“ die Ergebnisse angezeigt. Ein Ergebnis kann dabei als „Schweregrad“ Fehler, Warnung oder Kompatibel enthalten.



Bei Fehlern die im Reiter „Nicht Kompatibel“ angezeigt werden und somit gegen die „Best Practices“ verstoßen (wenn z.B. kein DNS-Server für die Domäne erreichbar ist), werden in der Beschreibung die Punkte „Problem“, „Auswirkung“ und „Lösung“ angezeigt. Durch die genauen Angaben erfährt man, welche Auswirkung das gefundene Problem hat und vor allem, wie es sich lösen lässt.

Die Ergebnisse können gefiltert werden, indem einzelne Berichte für die zukünftigen Durchführungen des BPA vorübergehend ausgeschlossen und zu einem späteren Zeitpunkt erneut einbezogen werden.

Im AD DS-Umfeld steht der BPA unter Windows Server 2008 R2 vorerst für die folgenden Rollen zur Verfügung:

  • Active Directory Certificate Services
  • Active Directory Domain Services
  • DNS Server


Der BPA wird über die “Windows Updates” stetig verbessert und erweitert.


 

Was ist möglich?

  • Der AD DS-BPA lässt sich über den Server Manager oder über die Powershell, nur auf Windows Server 2008 R2 DCs ausführen.
  • Der AD DS-BPA kann über den Server Manager oder über die Powershell lokal und remote auf einem Windows Server 2008 R2 Vollinstallation, Windows Server 2008 R2 RODC und Windows Server 2008 R2 Core ausgeführt werden.
  • Auf einem Windows Server 2008 R2 Core kann lokal der AD DS-BPA ausschließlich über die Powershell ausgeführt werden, da der Server Manager in der grafischen Oberfläche auf einem Windows Server 2008 R2 Core nicht existiert.
  • Von einem Windows 7 Client worauf das RSAT (Remote Server Administration Tools) installiert ist, kann der AD DS-BPA über den Server Manager oder über die Powershell remote auf einem Windows Server 2008 R2 Vollinstallation oder Windows Server 2008 R2 Core ausgeführt werden.
  • Nur über die Powershell können mehrere Rollen zur gleichen Zeit überprüft werden (z.B. die AD DS- und DNS-Rolle).

 


Was ist nicht möglich?
  • Der Server Manager vom Windows Server 2008 R2, worin sich der AD DS-BPA befindet, lässt sich nicht auf Windows 2000, Windows Server 2003/2003 R2 oder Windows Server 2008 installieren.
  • Der AD DS-BPA lässt sich nicht über den Server Manager remote auf einen Windows 2000 DC, Windows Server 2003/2003 R2 DC und Windows Server 2008 DC ausführen.
  • Der AD DS-BPA lässt sich nicht über die Powershell remote auf einen Windows 2000 DC, Windows Server 2003/2003 R2 DC und Windows Server 2008 DC ausführen.


 

Wie wird der AD DS-BPA im Server Manager installiert?

Sobald auf einem Windows Server 2008 R2 Vollinstallation die AD DS-Rolle installiert und dieser zum Domänencontroller gestuft wird, steht der AD DS-BPA automatisch im Server Manager zur Verfügung. Es ist auch nicht notwendig weitere Komponenten zu installieren um den AD DS-BPA zu nutzen.

Auf einem Windows Server 2008 R2 Core kann der AD DS-BPA lokal ausschließlich über die Powershell ausgeführt werden.




Die Bestandteile des AD DS-BPA

Der Server-Manager im Windows Server 2008 R2 beinhaltet eine Engine mit dem der AD DS-BPA ausgeführt wird. Dabei besteht der AD DS-BPA aus den folgenden Komponenten:

  • AD DS-BPA PowerShell Skript: Das Skript sammelt AD DS-Konfigurationsdaten und speichert sie in ein XML-Dokument.
  • XML-Schema: Das Schema definiert das Format des XML-Dokuments, das vom AD DS-BPA PowerShell Skript erzeugt wurde.
  • AD DS-BPA Regeln: Die Regeln definieren die Best Practice-Konfiguration einer AD DS Umgebung.
  • AD DS-BPA Leitfaden: Diese Informationen helfen dem Administrator ihre AD DS-Umgebung entsprechend den Best Practices zu konfigurieren.




Die Funktionsweise des AD DS-BPA

Wenn der AD DS-BPA auf einem DC ausgeführt wird, werden die folgenden Schritte durchgeführt:

  • Die BPA Engine sammelt in der bestehenden AD DS-Umgebung mit dem „AD DS-BPA Powershell Skript“ Informationen über die AD DS-Konfiguration und speichert sie in ein XML-Dokument.
  • Danach wird das XML-Dokument gegen das „XML-Schema“ validiert.
  • Nach dem Anwenden der „AD DS-BPA Regeln“ auf das XML-Dokument wird anschließend ein Bericht anhand des „AD DS-BPA Leitfaden“ erstellt.




Den AD DS-BPA lokal in der grafischen Oberfläche ausführen

Der AD DS-BPA lässt sich mit der Maus im Server Manager eines Windows Server 2008 R2 DCs Vollinstallation ausführen. Dort findet man ihn nach Auswahl der Rolle Active Directoy-Domänendienste in der Zusammenfassung.


 

Das Ausführen des AD DS-BPA lokal auf einem Windows Server 2008 R2 DC Vollinstallation, in der AD-Powershell

In der Powershell-Kommandozeile lässt sich der AD DS-BPA ebenfalls ausführen.

  • Als erstes gilt es das Server Manager-Modul mit dem folgenden Befehl in die Powershell-Sitzung zu importieren.
    Import-Module ServerManager
  • Im zweiten Schritt muss das BPA-Modul mit diesem Befehl importiert werden.
    Import-Module BestPractices
  • Mit diesem Befehl werden alle verfügbaren BPAs aufgelistet.
    Get-BPAModel
  • Nach der Durchführung des AD DS-BPA werden die Ergebnisse mit diesem Befehl angezeigt.
    Get-BPAResult Microsoft/Windows/DirectoryServices
  • Die AD DS-Rolle wird mit diesem Befehl überprüft.
    Invoke-BPAModel Microsoft/Windows/DirectoryServices
  • Einzelne Ergebnisse werden mit diesem Befehl ausgeschlossen bzw. erneut einbezogen.
    Set-BPAResult


 

Den AD DS-BPA remote im Server Manager ausführen

Mit dem Server Manager lässt sich nun auch unter Windows Server 2008 R2 wie es bei MMCs üblich ist, remote eine Verbindung zu anderen Servern aufbauen. Das war vor Windows Server 2008 R2 nicht möglich. Der Server Manager steht unter Windows Server 2008 R2 sowie auf dem Windows 7 Client nach dem Installieren der RSAT zur Verfügung.





Doch bevor man sich mit dem Server Manager zu einem anderen DC verbinden kann, muss der zu verwaltende DC dies vorher zulassen. Das Zulassen für die Remoteverwaltung kann ebenfalls im Server Manager erfolgen. Die notwendigen Einstellungen werden bei aktivierter Windows-Firewall automatisch vorgenommen.



Über die Powershell muss auf dem zu verwaltenden DC zuerst der Befehl set-executionPolicy -executionPolicy remotesigned ausgeführt werden. Alle dazu benötigten Windows-Firewalleinstellungen werden durch diesen Befehl Configure-SMRemoting.ps1 -force -enable vorgenommen.

Anschließend lässt sich die AD DS-Rolle auf einem beschreibbaren Windows Server 2008 R2 DC, Windows Server 2008 R2 RODC oder Windows Server 2008 R2 Core DC von der Ferne aus überprüfen.


 

Den AD DS-BPA lokal auf einem Windows Server 2008 R2 Core DC ausführen

Ein lokales Ausführen des AD DS-BPA auf einem Windows Server 2008 R2 Core DC ist nur über die Powershell möglich. Die Powershell ist jedoch standardmäßig nicht installiert. Dazu müssen die folgenden Features installiert werden:

  • start /w ocsetup NetFx3-ServerCore

  • start /w ocsetup ServerCore-WOW64

  • start /w ocsetup MicrosoftWindowsPowerShell

  • start /w ocsetup MicrosoftWindowsPowerShell-WOW64

  • start /w ocsetup ActiveDirectory-PowerShell


Achtung: Die Featurenamen sind case sensitive!


Nach der Installation der Features, lässt sich die Powershell aus dem Verzeichnis %windir%\system32\windowspowershell\v1.0 mit dem Befehl powershell aufrufen. Anschließend gilt es die folgenden Powershell-Module zu laden:
  • import-module activedirectory
  • import-module servermanager
  • import-module bestpractices

Überprüfen lässt sich danach die AD DS-Rolle mit diesem Befehl:
Get-WindowsFeature AD-Domain-Services | invoke-bpamodel


Die Ergebnisse nach der Durchführung des AD DS-BPAs lassen sich mit diesem Befehl anzeigen:
Get-WindowsFeature AD-Domain-Services | get-bparesult




Den AD DS-BPA remote auf einem Windows Server 2008 R2 Core DC ausführen

Bevor man den AD DS-BPA von der Ferne aus über den Server Manager oder über die AD-Powershell auf einem Windows Server 2008 R2 Core ausführen kann, muss zuerst auf dem Server Core die Fernadministration erlaubt werden. Mit dem folgenden Befehl werden die entsprechenden Konfigurationen in der Windows-Firewall vorgenommen: winrm quickconfig.

Anschließend kann man mit dem Server Manager oder über die Powershell von einem Windows Server 2008 R2 oder von einem Windows 7 Client (mit installierten RSAT) remote den AD DS-BPA auf einem Windows Server 2008 R2 Core DC ausführen.


 

Weitere BPAs für verschiedene Microsoft Produkte

Für Gruppenrichtlinien, Exchange, ISA, SQL und einige mehr gibt es den BPA schon seit längerer Zeit.

Sunday, March 08, 2009 10:43:39 AM (W. Europe Standard Time, UTC+01:00)  #      Active Directory | Administration | AD-Powershell | Installation  | 
 Sunday, February 22, 2009
Das Kennwort vom DSRM ab Windows Server 2008 synchronisieren

Immer wieder haben Administratoren Probleme mit dem Kennwort für den Verzeichnisdienstwiederherstellungsmodus. Sie gehen zu leichtfertig und unbedacht mit diesem hochsensiblen Kennwort um und wissen oftmals nicht, für was dieses Kennwort benötigt wird. Sie schreiben sich das Kennwort bei der Vergabe nicht auf und wissen es im Ernstfall nicht mehr. Das man das Kennwort seit Windows 2000 im laufenden Betrieb eines DCs ändern kann, ist ebenfalls vielen unbewusst. Um diesen Zustand bis zu einem gewissen Grad zu mildern sowie zu garantieren, dass das Kennwort konsistent bleibt, hat sich Redmond etwas einfallen lassen.

Microsoft hat ein neues Feature unter Windows Server 2008 veröffentlicht, mit dem das synchronisieren des Kennworts für den Modus „Verzeichnisdienste wiederherstellen" (im englischen „Directory Services Restore Mode“, kurz DSRM) und einem Domänen-Benutzerkonto möglich ist. Diese neue Funktion vermindert oder erhöht keineswegs die Sicherheit des Kennworts. Es dient einzig und alleine dazu, die Verwaltung des Kennworts zu vereinfachen.

Diese Funktion steht aber erst ab Windows Server 2008 und dort erst nach der Installation eines Hotfix zur Verfügung, der vorher von Microsoft von dieser Seite angefordert werden muss. Wurde der Hotfix auf einem Windows Server 2008 DC installiert, ist zwingend ein Neustart erforderlich. Der Hotfix steht ausschließlich für Windows Server 2008 zur Verfügung! Ab dem Service Pack 2 für Windows Server 2008 ist der Hotfix integriert und das installieren des Hotfix' ist nicht notwendig! Ab Windows Server 2008 R2 ist es ohnehin integriert.

Die Synchronisierung des Kennworts für den Verzeichnisdienstwiederherstellungsmodus mit dem Kennwort eines Domänen-Benutzerkontos erfolgt über das Kommandozeilentool NTDSUTIL. Dabei hat jeder DC sein „eigenes“ Kennwort für den Verzeichnisdienstwiederherstellungsmodus, das lokal gespeichert ist.

Nach der Eingabe des folgenden Befehls findet eine einseitige Synchronisation statt. Das Konto für den Verzeichnisdienstwiederherstellungsmodus erhält das Kennwort vom angegebenen Benutzerkonto. Die Vorgehensweise ist wie folgt:

  • Unter „Start-Ausführen“ oder in einer Kommandozeile gilt es zuerst das NTDSUTIL aufzurufen.
  • Danach ist dieser Befehl einzugeben: set dsrm password

  • Anschließend wird die Synchronisierung des Kennworts mit diesem Befehl durchgeführt: sync from domain account <sAMAccountName>
  • Mit der zweimaligen Eingabe von q verlässt man das NTDSUTIL.


 

  • Man kann die Synchronisation auch mit dem folgenden Einzeiler erreichen: NTDSUTIL “set dsrm password" "sync from domain account <Benutzer>" q q


Der Befehl kann im laufenden Betrieb ausgeführt werden und das Kennwort wird dann einmalig synchronisiert! Es findet keine permanente Synchronisation statt. Daher muss der Befehl erneut ausgeführt werden, wenn sich das Kennwort vom angegebenen Benutzerkonto geändert hat.


Über die "Group Policy Preferences" und einem "geplanten Task" lässt sich die Synchronisierung des Kenworts auch automatisieren:

DS Restore Mode Password Maintenance

 

Weitere Informationen: 
How to Change the Recovery Console Administrator Password on a Domain Controller
How To Reset the Directory Services Restore Mode Administrator Account Password in Windows Server 2003
Active Directory-Domänendienste (AD-DS)
Sunday, February 22, 2009 10:22:25 PM (W. Europe Standard Time, UTC+01:00)  #      Active Directory | Administration  | 
DHCP auf einem RODC installieren

Die Active Directory-Umgebungen in einigen Unternehmen sind bereits auf Windows Server 2008 aktualisiert worden und somit halten auch die ersten Windows Server 2008 RODCs mehr und mehr Einzug in die Domänen.

Bei einer Domänenaktualisierung auf Windows Server 2008 werden bekanntlich alle Infrastrukturdienste automatisch übernommen. Findet jedoch eine Migration in eine neue Domäne statt, müssen alle nötigen Infrastrukturdienste in der Ziel-Domäne installiert werden damit ein reibungsloser Netzwerkbetrieb weiterhin gewährleistet ist. Wird der erste DHCP Server in einer neuen Active Directory Umgebung (bspw. Nach einer Migration) auf einem RODC installiert, werden im Systemprotokoll die Fehlermeldungen 1035 und 1036 protokolliert. Die beiden EventIDs deuten daraufhin, dass die zwei domänenlokalen Sicherheitsgruppen DHCP-Benutzer und DHCP-Administratoren fehlen.

Man hat zwei Möglichkeiten diese beiden Gruppen zu erstellen:

  • Beide Gruppen können manuell auf einem beschreibbaren DC erstellt werden.
  • Durch das Installieren der DHCP-Rolle auf einem beschreibbaren DC werden ebenfalls beide Gruppen erstellt.


Wenn die DHCP-Rolle allerdings auf einem Mitgliedsserver installiert wird, werden beide Gruppen lokal auf dem Server erstellt und nicht im AD.

Falls die beiden Gruppen händisch im AD erstellt wurden, verursacht das nachträgliche Installieren der DHCP-Rolle auf einem beschreibbaren DC keinen Konflikt.

Anschließend lässt sich der DHCP-Server Dienst ohne Probleme starten.


Weitere Informationen:
DHCP Users Group Configuration

Sunday, February 22, 2009 2:11:11 PM (W. Europe Standard Time, UTC+01:00)  #      Windows Server  | 
Copyright © 2012 Yusuf Dikmenoglu. All rights reserved.
DasBlog 'Portal' theme by Johnny Hughes.
Pick a theme: