Galileo Computing < openbook > Galileo Computing - Professionelle Bücher. Auch für Einsteiger.
Professionelle Bücher. Auch für Einsteiger.

Inhaltsverzeichnis
Geleitwort zu diesem Buch
Inhalt des Buchs
1 Warum eine neue Server-Version?
2 Editionen und Lizenzen
3 Hardware und Dimensionierung
4 Protokolle
5 Was überhaupt ist .NET?
6 Installation
7 Core-Installationsoption
8 Active Directory-Domänendienste
9 Netzwerkdienste im AD-Umfeld
10 Active Directory Lightweight Directory Services (AD LDS)
11 Active Directory-Verbunddienste (Federation Services)
12 Active Directory-Zertifikatdienste
13 Active Directory-Rechteverwaltungsdienste (AD RMS)
14 »Innere Sicherheit«
15 Dateisystem und Dateidienste
16 Drucken
17 Webserver (IIS)
18 SharePoint (Windows SharePoint Services, WSS)
19 Remotedesktopdienste (Terminaldienste)
20 Hochverfügbarkeit
21 Datensicherung
22 Servervirtualisierung mit Hyper-V
23 Windows PowerShell
24 Windows 7 und Windows Server 2008 R2
Stichwort

Download:
- ZIP, ca. 104 MB
Buch bestellen
Ihre Meinung?

Spacer
<< zurück
Windows Server 2008 R2 von Ulrich B. Boddenberg
Das umfassende Handbuch
Buch: Windows Server 2008 R2

Windows Server 2008 R2
geb., 1.410 S., 59,90 Euro
Galileo Computing
ISBN 978-3-8362-1528-2
Pfeil 8 Active Directory-Domänendienste
Pfeil 8.1 Aufbau und Struktur
Pfeil 8.1.1 Logische Struktur
Pfeil 8.1.2 Schema
Pfeil 8.1.3 Der globale Katalog (Global Catalog, GC)
Pfeil 8.1.4 Betriebsmasterrollen/FSMO-Rollen
Pfeil 8.1.5 Verteilung von Betriebsmasterrollen und Global Catalog
Pfeil 8.1.6 Schreibgeschützte Domänencontroller, Read Only Domain Controller (RODC)
Pfeil 8.2 Planung und Design des Active Directory
Pfeil 8.2.1 Abbildung des Unternehmens
Pfeil 8.2.2 Übersichtlichkeit und Verwaltbarkeit
Pfeil 8.2.3 Standorte
Pfeil 8.2.4 Replikation
Pfeil 8.2.5 Gruppenrichtlinien
Pfeil 8.3 Ein neues Active Directory einrichten
Pfeil 8.3.1 Den ersten Domänencontroller einrichten
Pfeil 8.3.2 Zusätzliche Domänencontroller einrichten
Pfeil 8.4 Gruppenrichtlinien
Pfeil 8.4.1 Anwendungsbeispiel
Pfeil 8.4.2 Richtlinien für Computer und Benutzer
Pfeil 8.4.3 Verteilung über Domänencontroller
Pfeil 8.4.4 Vererbung
Pfeil 8.4.5 Sicherheit und Vorrang
Pfeil 8.4.6 Filter
Pfeil 8.4.7 Abarbeitungsreihenfolge, Teil II
Pfeil 8.4.8 Lokale GPOs (ab Windows Vista und Windows Server 2008)
Pfeil 8.4.9 Starter-Gruppenrichtlinienobjekte/Starter-GPOs
Pfeil 8.4.10 ADM vs. ADMX
Pfeil 8.4.11 Zuweisen und Bearbeiten von Gruppenrichtlinien
Pfeil 8.4.12 WMI-Filter
Pfeil 8.4.13 Softwareverteilung mit Gruppenrichtlinien
Pfeil 8.4.14 Loopback-Verarbeitung
Pfeil 8.4.15 Gruppenrichtlinien-Voreinstellungen (Preferences)
Pfeil 8.5 Diverses über Gruppen
Pfeil 8.6 Delegierung der Verwaltung
Pfeil 8.7 Das Active Directory aus der Client-Perspektive
Pfeil 8.7.1 DNS-Einträge oder »Wie findet der Client das Active Directory?«
Pfeil 8.7.2 Das Active Directory durchsuchen
Pfeil 8.7.3 Individuelle Erweiterungen
Pfeil 8.8 Zeitdienst
Pfeil 8.8.1 Grundkonfiguration der Zeitsynchronisation
Pfeil 8.8.2 Größere Umgebungen
Pfeil 8.9 Upgrade der Gesamtstruktur auf Active Directory-Domänendienste (AD DS) 2008
Pfeil 8.9.1 Schemaerweiterung und Anpassung der Domänen durchführen
Pfeil 8.9.2 Windows Server 2008 R2 Domänencontroller installieren
Pfeil 8.9.3 Kurze Überprüfung
Pfeil 8.9.4 FSMO-Rollen verschieben
Pfeil 8.9.5 Alte Domänencontroller deinstallieren und einheitlichen Modus wählen
Pfeil 8.9.6 Real-World-Troubleshooting – ein Beispiel
Pfeil 8.10 Umstrukturieren
Pfeil 8.11 Werkzeugkiste
Pfeil 8.12 Windows Server 2008 R2-Domänencontroller
Pfeil 8.12.1 Schema-Erweiterung
Pfeil 8.12.2 2008 R2-Domänencontroller installieren
Pfeil 8.12.3 2008-Domänencontroller auf R2 migrieren
Pfeil 8.13 Active Directory Best Practice Analyzer"
Pfeil 8.14 Der Active Directory-Papierkorb
Pfeil 8.14.1 Voraussetzungen
Pfeil 8.14.2 Active Directory-Papierkorb aktivieren
Pfeil 8.14.3 Gelöschte Objekte anzeigen und wiederherstellen
Pfeil 8.14.4 Wiederherstellen mit der PowerShell
Pfeil 8.15 Active Directory-Verwaltungscenter
Pfeil 8.15.1 Kennwort zurücksetzen
Pfeil 8.15.2 Benutzer suchen und Attribute anzeigen und modifizieren
Pfeil 8.15.3 Navigieren und filtern
Pfeil 8.15.4 Neuanlegen von Objekten
Pfeil 8.15.5 Navigationsknoten und mehrere Domänen
Pfeil 8.15.6 Technik im Hintergrund / Voraussetzungen
Pfeil 8.16 Active Directory-Webdienste (Active Directory Web Services, ADWS)
Pfeil 8.17 Active Directory-Modul für Windows-PowerShell
Pfeil 8.18 Offline-Domänenbeitritt


Galileo Computing - Zum Seitenanfang

8.12 Windows Server 2008 R2-Domänencontroller Zur nächsten ÜberschriftZur vorigen Überschrift

Ein Windows Server 2008 R2-Domänencontroller verhält sich grundsätzlich nicht anders als ein Non-R2-DC, das war letztendlich auch nicht zu erwarten.

Für viele Kunden, die bereits Windows Server 2008 im Einsatz haben, stellt sich allerdings die Frage, was zu tun ist, wenn der erste R2-Domänencontroller ins Netz kommt beziehungsweise wie man einen Non-R2-DC zu einem R2-DC macht. Beide Fragen werde ich in diesem Abschnitt beantworten.


Galileo Computing - Zum Seitenanfang

8.12.1 Schema-Erweiterung Zur nächsten ÜberschriftZur vorigen Überschrift

Wie bei jeder neuen Serverversion seit Windows 2000 gibt es auch beim Windows Server 2008 R2 ein leicht erweitertes Schema. Mit anderen Worten: Bevor der erste Windows Server 2008 R2 zum DC gemacht werden kann, sind einige wenige vorbereitende Schritte fällig.

Zunächst muss das Schema erweitert werden. Diesen Schritt führen Sie einmal für die Gesamtstruktur aus und zwar auf der Maschine, die derzeit die Schema-Master-Rolle innehat. In diese legen Sie Ihre Windows Server 2008 R2-DVD, öffnen die Kommandozeile, navigieren in den Ordner support\adprepr und rufen den Befehl adprep.exe /forestprep auf. Es erscheint die in Abbildung 8.217 präsentierte Anzeige, in der Sie ein C eingeben, damit es weitergeht. Sie bestätigen mit dieser Eingabe, dass alle Domänencontroller mindestens auf dem Stand Windows Server 2000 SP4 sind.

Abbildung 8.217 Der erste Schritt ist die Erweiterung des Schemas.

Die Durchführung der Schema-Erweiterung dauert ein Weilchen; währenddessen werden Sie sehen, wie verschiedene ldf-Dateien (diese enthalten Schema-Informationen) angewendet werden. Die Verarbeitung wird mit dem Hinweis enden, dass erfolgreich aktualisiert wurde (Abbildung 8.218).

Nach Durchführung der Schema-Erweiterung sollten Sie dem Gesamtsystem einige Stunden Ruhe gönnen, damit die Synchronisation auf alle Domänencontroller der Organisation durchgeführt werden kann. Wenn Domänencontroller über langsame WAN-Strecken angebunden sind und daher Replikationseinschränkungen definiert sind, sollten Sie durchaus einen Tag für den Abschluss der AD-Replikation einplanen.

Zusätzlich zu der Schema-Erweiterung (/forestprep) muss in jeder Domäne einmal adprep.exe /domainprep /gpprep ausgeführt werden. Dabei werden einige Anpassungen in der Domäne und den darin enthaltenen Gruppenrichtlinien ausgeführt. Wenn Sie bereits Windows Server 2008-Domänencontroller im Einsatz haben, wird /gpprep zwar vermutlich schon einmal ausgeführt worden und somit nicht notwendig sein – es geht aber auch nichts zu Bruch, der gpprep-Vorgang wird dann einfach nicht ausgeführt (Abbildung 8.219).

Abbildung 8.218 Die Durchführung der Schema-Erweiterung

Abbildung 8.219 Jede Domäne muss vorbereitet werden.

Nach diesen Änderungen können Sie einen Windows Server 2008 R2-Server zum ersten R2-Domänencontroller machen.


Galileo Computing - Zum Seitenanfang

8.12.2 2008 R2-Domänencontroller installieren Zur nächsten ÜberschriftZur vorigen Überschrift

Die Installation eines Domänencontrollers unter Windows Server 2008 R2 bietet keine weiteren Überraschungen. Wenn Sie zuerst über den Server-Manager die Rolle Active Directory-Domänendienste installiert haben, starten Sie das Hochstufen zum Domänencontroller durch Ausführen von dcpromo.

Falls Sie direkt dcpromo aufrufen, also ohne vorher die Rolle zu installieren, werden laut Anzeige zunächst die fehlenden Binärdateien installiert (Abbildung 8.220). Der Text in dem Dialog ist aber ein wenig tiefgestapelt, denn es wird nichts Geringeres als die Rolle Active Directory-Domänendienste installiert.

Abbildung 8.220 Falls die Rolle Active Directory-Domänendienste noch nicht installiert ist, wird diese beim Aufruf von dcpromo »on the fly« nachinstalliert.

Bei der Installation stellt der Assistent Ihnen dieselben Fragen wie in Abschnitt 8.3.2 bereits gezeigt.

Wenn Sie nach Abschluss der ersten R2-DC-Heraufstufung den Menüpunkt Domänenfunktionsebene heraufstufen im Kontextmenü der Domäne im Werkzeug Active Directory-Benutzer und -Computer aufrufen, ergibt sich das auf Abbildung 8.221 gezeigte Szenario: Die Domäne befindet sich zwar auf der Windows Server 2008-Domänenfunktionsebene, trotzdem geht’s laut Text noch höher – in dem auf Abbildung 8.221 festgehaltenen Moment aber nicht, weil sich noch mindestens ein Non-R2-DC in der Domäne befindet.

Abbildung 8.221 Die Domänenfunktionsebene Windows Server 2008 kann nun noch hochgestuft werden – aber nicht, wenn es noch Non-R2-DCs gibt.

Der Vollständigkeit halber möchte ich Ihnen noch Abbildung 8.222 zeigen: Wenn alle DCs der Domäne mit R2 laufen, steht die Option zur Hochstufung auf die gleichnamige Domänenfunktionsebene zur Verfügung. Ebendies gilt auch für die Gesamtstrukturfunktionsebene.

Abbildung 8.222 Sind alle DCs auf dem Stand Windows Server 2008 R2, klappt’s auch mit dem Heraufstufen.

Sie haben nun einen zusätzlichen Domänencontroller in Ihrer Umgebung.


Galileo Computing - Zum Seitenanfang

8.12.3 2008-Domänencontroller auf R2 migrieren topZur vorigen Überschrift

Eine oft gestellte Frage lautet: »Uli, wie bekommen wir unsere 2008-DCs auf R2, ohne hinter zusätzliche Domänencontroller im Netz zu haben?« Bei Migrationen von Windows 2000/2003 nehmen es im Normalfall alle Admins in Kauf, dass es eben neue Domänencontroller gibt. Bei einem »Interims-Update« ist die Bereitschaft dazu erfahrungsgemäß nicht so hoch.

Ein möglicher Weg stellt sich folgendermaßen dar:

  • Einen neuen Domänencontroller installieren
  • Dem alten Domänencontroller einen neuen Namen geben, herunterstufen und abschalten
  • Dem neuen Domänencontroller den alten DC-Namen geben und die IP-Adressen übernehmen

Bei dieser Vorgehensweise haben Sie zwar ein wenig Arbeit, es gibt aber zwei wesentliche Vorteile:

  • Sie haben nach Abschluss des Vorgangs keine zusätzlichen Server im Netz. Das ist schließlich auch wegen der Lizenzen nicht uninteressant. Für Applikationen und Clients ändert sich ebenfalls nichts, da nach Abschluss des Vorgangs der bekannte Name und die IP-Adresse nach wie vor (beziehungsweise wieder) vorhanden sind.
  • Sie haben eine »saubere« Installation des Domänencontrollers ohne Altlasten.

Diese Vorgehensweise bietet sich insbesondere dann an, wenn Ihre Domänencontroller virtuelle Maschinen sind. Wenn Ihre DCs direkt auf der Hardware laufen und nicht zufällig ein Hardwaretausch geplant ist, könnten Sie gegebenenfalls über eine In-Place-Migration nachdenken, bei der das R2-Betriebssystem »einfach drüberinstalliert« wird.

Migration auf andere Maschine

Wenn Sie einen Domänencontroller migrieren möchten, so dass er auf einer anderen (virtuellen) Maschine läuft, gilt die zuvor beschriebene Vorgehensweise, bei der Sie zunächst einen neuen Domänencontroller installieren. Wenn der ursprüngliche DC auch globaler Katalog und DNS-Server war, wählen Sie diese beiden Funktionen direkt bei der Installation aus.

Da die meisten Domänencontroller gleichzeitig DNS-Server sind, ist es sinnvoll, zunächst auf diesen Aspekt einzugehen.

Mit dem Befehl dnscmd /EnumDirectoryPartitions können Sie kontrollieren, ob auf beiden Domänencontrollern dieselben Verzeichnispartitionen vorhanden sind. Im Normalfall dürfte es hier keine Probleme geben – aber Sie wissen ja: »Kontrolle ist besser.« Sollten auf dem neuen DNS-Server nicht alle Zonen vorhanden sein, fügen Sie diese zunächst hinzu (Abbildung 8.223). Ansonsten sind Probleme bei der Namensauflösung zuverlässig vorprogrammiert. Wenn beispielsweise die Forest-DNS-Zone fehlt, werden gegebenenfalls Domänen nicht gefunden.

Abbildung 8.223 Prüfen, welche DNS-Zonen vorhanden sind

Im nächsten Schritt müssen Sie dafür sorgen, dass alle Einstellungen des »alten« DNS-Servers und die Datenbanken mitgenommen werden. Das wird folgendermaßen erledigt (Abbildung 8.224 zeigt die notwendigen Schritte auf dem alten DNS-Server):

  • Anhalten des DNS-Serverdienstes
  • Exportieren von zwei Registry-Schlüsseln
  • Kopieren des kompletten DNS-Verzeichnisses (zusammen mit Registry-Exporten) in das entsprechende Verzeichnis des neuen Servers (dort müssen Sie vorher auch den DNS-Dienst anhalten)
  • Starten des DNS-Serverdienstes

Abbildung 8.224 Exportieren der Einstellungen des DNS-Servers

Auf dem neuen Server importieren Sie die Registry-Einträge, indem Sie einfach doppelt auf die REG-Dateien klicken. Es erscheint die auf Abbildung 8.225 gezeigte Warnmeldung, die Sie guten Gewissens bestätigen können. Wenn Sie die Registry-Einstellungen aus beiden Dateien importiert haben, können Sie den DNS-Serverdienst auf der neuen Maschine ebenfalls starten.

Abbildung 8.225 Anwenden der REG-Dateien auf dem neuen Server

Im nächsten Schritt müssen die Domänencontroller umbenannt und die IP-Adressen angepasst werden:

  • Altes System: Vergeben Sie einen neuen Namen und eine neue IP-Adresse. Einen Domänencontroller können Sie ganz normal in der grafischen Oberfläche umbenennen, es erscheint allerdings eine zusätzliche Warnmeldung, die Sie aber einfach bestätigen können; es geht hierbei um das Verschieben zwischen Domänen, was ja nicht beabsichtigt ist (Abbildung 8.226).
  • Neues System: Geben Sie dem neuen System den vorherigen Namen des alten Systems. Weiterhin weisen Sie ihm die bisherigen IP-Adressen des alten Systems zu.

Abbildung 8.226 Umbenennen der Domänencontroller


Zusätzliche Funktionen prüfen

Vorsichtshalber möchte ich darauf hinweisen, dass Sie nochmals prüfen sollten, ob nicht im Laufe der Zeit die eine oder andere zusätzliche Funktion auf dem alten Domänencontroller installiert worden ist. DCs werden erfahrungsgemäß gern als Lizenzserver, Virenpatterndistributionsserver und so weiter eingesetzt (um nicht »missbraucht« zu schreiben). So simpel wie hier dargestellt, ist es natürlich nur, wenn Sie akribisch auf die Trennung der Dienste achten.

Ein Teil des letzte Schrittes, nämlich dem neuen Domänencontroller den Namen des alten zu geben, ist im Grunde genommen nicht unbedingt notwendig. Der neue Domänencontroller wird so oder so gefunden.

Wirklich wichtig ist die Übernahme IP-Adresse, weil die Clients ansonsten nicht den DNS-Serverdienst finden können.


In-Place-Upgrade

Der auf den ersten Blick einfachste Weg ist ein In-Place-Upgrade, bei dem Sie einfach über einen vorhandenen Windows Server 2008 drüberinstallieren. Die Vorgehensweise ist simpel:

  • Beim laufenden Betriebssystem die Windows Server 2008 R2-DVD einlegen
  • Installation starten – Sie sehen den üblichen Installationsbildschirm (Abbildung 8.227).
  • Hoffen, dass alles funktioniert.

Die Formulierung des letzten Aufzählungspunkts ist auf den ersten Blick vielleicht witzig oder sogar ein wenig albern – es steckt aber durchaus ein großes Stück Wahrheit dahinter. In-Place-Upgrades aller Art sind immer aus zwei Gründen problematisch:

  • Eventuell aktualisieren Sie auch »Altlasten« mit. Das Problem haben Sie natürlich nicht auf einem sauberen System. Ich kenne aber Server, die von NT4 bis Windows Server 2008 immer wieder In-Place migriert worden sind (teilweise mit Hardwaretausch). Der Zustand solcher Systeme ist im Laufe der Jahre immer katastrophaler geworden, weil zwischendrin noch dies und das installiert oder deinstalliert wurde. Bei einem kürzlich frisch aufgesetzten Windows Server 2008-System ist eine In-Place-Migration aber generell kein Problem.
  • Der wesentliche Nachteil eines In-Place-Upgrades ist, dass das Fallback-Szenario kompliziert ist: Wenn im Laufe der Aktualisierung ein nicht behebbarer Fehler auftritt oder das System ansonsten nach dem Vorgang nicht funktionsfähig ist, hilft nur das Einspielen eines Backups.

Abbildung 8.227 Beginn der In-Place-Migration: Starten Sie einfach die Installation.

Kurz nach dem Start eines In-Place-Upgrades erscheint ein Kompatibilitätsbericht (Abbildung 8.228). Diesem können Sie unter anderem entnehmen, ob ein Upgrade überhaupt möglich ist. Mögliche Gründe dafür, dass der Upgradeversuch hier aufhört, sind zum Beispiel:

  • Es ist zu wenig Plattenplatz für den Vorgang vorhanden, es werden circa 15 GByte benötigt.
  • Wenn Sie einen Domänencontroller aktualisieren möchten, müssen vor Beginn der Migration die Vorbereitungsarbeiten (/forestprep und /domainprep) abgeschlossen sein.

Das eigentliche Upgrade stellt sich letztendlich so dar wie eine normale Installation. Wie auf Abbildung 8.229 zu sehen ist, werden die von der Installation bekannten Schritte in dem ebenfalls bekannten Verlaufsdialog ausgeführt. Nur der letzte Schritt, nämlich Dateien, Einstellungen und Programme werden übertragen, ist spezifisch für das Upgrade.

Abbildung 8.228 Nach dem Start einer In-Place-Migration erscheint ein Kompatibilitätsbericht.

Abbildung 8.229 Der Upgradevorgang läuft.



Ihr Kommentar

Wie hat Ihnen das <openbook> gefallen? Wir freuen uns immer über Ihre freundlichen und kritischen Rückmeldungen.






<< zurück
  Zum Katalog
Zum Katalog: Windows Server 2008 R2

Windows Server 2008 R2
Jetzt bestellen


 Ihre Meinung?
Wie hat Ihnen das <openbook> gefallen?
Ihre Meinung

 Buchempfehlungen
Zum Katalog: Windows 7 für Administratoren






 Windows 7 für
 Administratoren


Zum Katalog: Konzepte und Lösungen für Microsoft-Netzwerke






 Konzepte und
 Lösungen für
 Microsoft-Netzwerke


Zum Katalog: Office SharePoint Server 2007 und Windows SharePoint Services 3.0






 Office SharePoint
 Server 2007 und
 Windows SharePoint
 Services 3.0


Zum Katalog: Exchange Server 2007 und Office Communications Server 2007






 Exchange Server 2007
 und Office
 Communications
 Server 2007


Zum Katalog: Citrix XenApp 5






 Citrix XenApp 5


Zum Katalog: PC-Netzwerke






 PC-Netzwerke


Zum Katalog: VMware vSphere 4






 VMware vSphere 4


Zum Katalog: VMware vSphere 4 - Videotraining






 VMware vSphere 4
 - Videotraining


Zum Katalog: VirtualBox






 VirtualBox


 Shopping
Versandkostenfrei bestellen in Deutschland und Österreich
InfoInfo




Copyright © Galileo Press 2010
Für Ihren privaten Gebrauch dürfen Sie die Online-Version natürlich ausdrucken. Ansonsten unterliegt das <openbook> denselben Bestimmungen, wie die gebundene Ausgabe: Das Werk einschließlich aller seiner Teile ist urheberrechtlich geschützt. Alle Rechte vorbehalten einschließlich der Vervielfältigung, Übersetzung, Mikroverfilmung sowie Einspeicherung und Verarbeitung in elektronischen Systemen.


[Galileo Computing]

Galileo Press, Rheinwerkallee 4, 53227 Bonn, Tel.: 0228.42150.0, Fax 0228.42150.77, info@galileo-press.de