Skip to content

Gründe für zwischenspeichern der universalen Gruppenmitgliedschaft

MCSE Üblicherweise der Grund und sofort erkennbar; Der Anmeldevorgang für die Benutzer am Standort einer per WAN-Verbindung angebundenen Zweigstelle soll beschleunigt werden.

Außerdem ebenfalls Bedingung: Ein globaler Katalog kommt wegen einer zu dünnen Anbindung (128 kbit/s und weniger) nicht in Frage.

Ist die Anbindung sehr dünn und arbeiten nur wenige Mitarbeiter an einem Standort ist bei Enpässen in der Connectivity zu überlegen ob überhaupt ein DC an dem Standort stehen muss, durch Wegfall aller Replikation wird die Kapazität der Leitung schon sehr entlastet.

Sollen Gruppenmitgliedschaften geändert werden, so sollte man sich mit dem dem PDC-Emulator der Domäne verbinden. Er ist der erste DC der über Kennwortänderungen und Änderungen von Gruppenmitgliedschaften informiert wird, gewissermassen die Quelle der folgenden Replikation.

IP-Bridgehead-Server für Replikation

MCSE Bridgehead-Server (Brückenkopf-Server) sind sozusagen die Gateways für den Replikations-Traffic des AD. Die Performance wird verbessert mehr innerhalb der lokalen Netze als über die Site-Grenzen hinaus repliziert wird.

Um zwei Domänen an zwei Standorten zu verbinden brauchen beide jeweils einen Bridgehead-Server. Dieser Domain-Controller sollte auch den globalen Katalog beinhalten. Auf jeden Fall sollte ein leistungsfähiger Server (mit schneller CPU) verwendet werden.

Wenn es zwei RRAS-Server gibt, die tatsächlich das Gateway für eine Festverbindung bedienen, dann werden meist diese verwendet (z.B. mit Modems, heute eher selten der Fall).

Vorsicht: Fällt die Kommunikation zwischen diesen beiden Servern oder einer der Server aus, wird gar nicht mehr repliziert!

Soll die Ausfallsicherheit erhöht werden, gibt es zwei Möglichkeiten: Keinen Bridgehead verwenden wenn die Topologie dies erlaubt oder pro Seite zwei Bridgehead-Server.

Bridgehead-Server sind auch sinnvoll um die Replikation durch Firewalls zu erlauben. Dies kann auch durch einen VPN-Tunnel erfolgen.

Auch die Domain-Controller mit dem DNS-Server können sinnvoll für einen Site-Link verwendet werden.

Statt IP könnte zwar auch SMTP verwendet werden, dies aber unnötig aufwendig und umständlich, man benötigt auch zusätzlich eine Zertifizierungstelle mit Public-Key-Verschlüsselung.

Die Replikationsrate für die standortübergreifende Replikation kann mit dem Knoten "Inter-Sites Transports" in der Konsole "Active Directory-Standorte und –Dienste" eingestellt werden.

Werden Zeiten für die Replikation eingestellt, so ist darauf zu achten, dass diese sich überlappen! Wenn eine Standortverknüpfung bis ein Uhr nachts replizieren will und die andere erst danach beginnt (Zeitzonen beachten!) wird sich die gesamte Replikation um einen Tag verzögern.

Kosten einer Standortverbindung konfigurieren

MCSE Der Kostenfaktor für ein schwache Verbindung muss soweit erhöht werden, dass er höher ist als die Summe der anderen Leitungen, die verwendet werden sollen. Nur dann wird diese Verbindung (wie z. B. Modem-Festverbindung) zukünftig nur noch genutzt, wenn die bessere Strecke nicht mehr verfügbar ist (Backup-Verbindung).

Active Directory Migration Tool (ADMT)

MCSE Das ADMT (Active Directory Migration Tool) stellt integrierte Tools zum Vereinfachen von Migration und Umstrukturierungsaufgaben in einer Active Directory-Infrastruktur bereit. Es ist auf jeder Windows 2000 und Windows 2003 Server CD enthalten.


Man kann damit die Konten einer alten Domäne in eine gerade gemäß den neuen Anforderungen strukturierte Domäne überführen.

Um ADMT einzusetzen muss eine temporäre (vor allem aber bidirektionale!) Vertrauensstellung zwischen den Domänen bestehen.
tweetbackcheck