Skip to content

Domänen-Controller installieren mit dcpromo

MCSE Um einen Domain-Controller zu installieren gibt es "dcpromo.exe", z.B. von der Shell auszuführen. Der Assistent führt sehr einfach durch die Installation. Man muss nur darauf achten, wie die Anforderung an dcpromo für das Szenario lautet.

Zunächst muss entschieden werden, ob es der erste oder ein weiterer Domain-Controller sein soll. Meist installiert man den ersten Controller einer Domäne, ein weiterer Controller setzt voraus dass es genau dieser Domaine schon einen DC gibt.


Schwieriger ist schon zu entscheiden, welcher Domänen-Typ gefragt ist: Ist es der erste Server einer ganz neuen Struktur? Das bedeutet es gibt im ganzen Netzwerk noch keinen einzigen DC (weil es ja auch noch gar kein AD gibt).
Oder wird ein Subdomain (oder untergeordnete Domäne) installiert, es gibt dabei schon eine übergeordnete Domäne.

Es kann auch eine eigene Domänenstruktur (Tree) in einer Gesamtstruktur (Forest) gefragt sein. Beide Domänen sind dann in einem Schema. Wird dies nicht zu diesem Zeitpunkt angelegt, kann man zwei Gesamtstrukturen nur noch mit einer bidirektionalen Vertrauenstellung verbinden.

Bei der Installation eines weiteren DC in einer Domäne kann es zu der Fehlermeldung "Es konnte kein Domänencontroller für die Domäne gefunden werden." kommen. In diesem Fall muss man die TCP/IP Einstellungen auf dem Server konfigurieren so dass ein autorisierter DNS-Server für die Domäne verwendet wird.

Wenn für eine Notfall-Reparatur der Server im Modus "Verzeichnisdienste wiederherstellen" gestartet wird, braucht man das Kennwort für den Administrator dass während der Installation des Active Directory hinterlegt wurde.

RID-Master-Rolle übertragen

MCSE Um neue Objekte anzulegen, werden eindeutige IDs benötigt, dazu weist ein Server mit der Rolle des RID-Masters jedem Domänencontroller einen Pool von eindeutigen relative IDs in seiner Domain zu.

Der RID-Master sollte immer verfügbar sein, insbesondere dann, wenn eine größere Menge von Objekten angelegt werden soll, also viele IDs benötigt werden. Fällt er aus, so muss ein anderer DC diese Betriebsmasterrolle (FSMO) der Gesamtstruktur übernehmen.

Um die Rolle zu übertragen muss man sich mit "ntdsutil" mit dem Computer verbinden, der die Rolle übernehmen soll (nicht mit dem, der sie hergeben soll!).
http://support.microsoft.com/kb/255504

"Übernehmen" ist ist nicht mit "übertragen" zu verwechseln! Nach einer Übernahmen ("seize") muss der Rechner vom Netz genommen und Laufwerk "C:" formatiert werden. Wurde die Rolle übernommen ("transfer") dann kann der Rechner am Netz weiter seinen Dienst tun.

Ein frischer Server mit einer Neuinstallation des Betriebssystems Windows Server 2003 kann zu einem Domänencontroller heraufgestuft werden und direkt die RID-Master Rolle übernehmen.

Verifizierung von Gruppenrichtlinienobjekten mit "GPOTool"

MCSE Dem Gruppenrichtliniencontainer und der Gruppenrichtlinienvorlage werden jeweils Versionsnummern zugewiesen. Bei Änderungen des Gruppenrichtlinienobjekts werden diese um eins erhöht. Man kann das Hilfsprogramm "GPOTool" verwenden, ein Befehlszeilen-Programm um den Zustand der Gruppenrichtlinienobjekte auf Domäne-Controllern zu überprüfen
Download "gpotool.exe"

Treten hier Fehler auf sollte man das letzte funktionierende Backup verwenden um den Systemstatus auf dem Domänencontroller wieder herzustellen.

Container "LostAndFound" in AD-Benutzer und -Computer

MCSE Active Directory-Benutzer und -Computer kennt "Erweiterte Funktionen", die im Menü Ansicht zwei zusätzliche Ordner angezeigt. Einer davon ist der Container "LostAndFound", er enthält Objekte, deren Container gleichzeitig mit dem Erstellen des Objekts gelöscht wurden.

Wenn Active Directory Objekte in eine Organisationseinheit verschoben werden, die nicht mehr existiert (z.B. nach Replikation), landen die Objekte im Container LostAndFound und können aus diesem einfach in eine andere OU verschoben werden

In der Konfigurationsverzeichnispartition gibts für denselben Zweck für gesamtstrukturweite Objekte auch einen Container "LostAndFoundConfig".
tweetbackcheck