Startseite
Microsoft
Linux
andere Betriebssysteme
Software
Hardware
TCP/IP
Security Tips
Kabelbelegung
DNS Suffix
Begriffserläuterung
sonstiges
Windows 8 | Windows 7 | Vista | WinXP | FAQs | FAQs - LAN | Registry | Aktive-Directory | Windows Server | Windows IPV6 | Windows 9x | Internet-Explorer | PowerShell | Scripte
In einer kommagetrennten Datei Exportieren / Importieren
CSVDE -f AUSGABE.CSV
CSVDE -i -f IMPORT.CSV
LDAP Format Import
LDIFDE -i -f EINGABE.LDFImEx
Export der Kontakte aus dem AD in die Datei Export.csv
csvde -f c:\export.csv -r "(objectClass=contact)"
Datei IMPORT.CVS importiert z.B. Kontakte in eine OU "Kontakte" der Domain "Domain.msft"
DN,objectClass
"CN=Ted Tester,OU=Kontakte,DC=Domain,DC=msft",contact
Schema Registrieren
REGSVR32 %Systemroot%\System32\schmmgmt.dll
nach der Schemaregistrierung kann man zur MMC das Schema SnapIn hinzufügen
Domänencontroller im abgesicherten Modus (F8) neu gestartet und die Option
Verzeichnisdienst wiederherstellen wählen.
Eingabeaufforderung NTDSUTIL starten und die Optionen \ Files \ Compact to <Laufwerk:\Verzeichnis>.
Eine zweite, defragmentierte Version der Datenbank namens NTDS.DIT wird jetzt
erstellt. Nach Beendigung dieses Vorgangs muss die neue Datenbank manuell über
die alte kopiert werden. Mit diesem Vorgang kann die Größe der Datenbankdatei
reduziert werden.
Es hat noch keine Replikation zwischen den DC stattgefunden, nachdem eine OU
gelöscht wurde. (Replikationsmonitor)
Um die Organisationseinheit wiederherzustellen, müssen Sie auf dem Domänencontroller,
auf welchem Sie die Daten gelöscht haben, eine Rücksicherung mit der
aktuellsten Sicherung durchführen (abgesicherten Modus (F8) neu gestartet
und die Option Verzeichnisdienst wiederherstellen wählen). Nachdem der
DC wieder Online ist, wird durch die Replikation von anderen DCs der aktuellste
Stand wiederhergestellt. In diesem Fall wurde die versehentliche Löschung
der Organisationseinheit noch nicht an andere DCs repliziert, was bedeutet,
dass die anderen Domänencontroller noch die aktuellste Version des Active
Directory gespeichert haben.
Domänencontroller im abgesicherten Modus (F8) neu gestartet und die Option Verzeichnisdienst wiederherstellen wählen. Das Backup des Systemstatus zurücksichern, den Rechner nicht neu starten
NTDSUTIL ausfüren, dann "authoritative restore" / "restore subtree "ou=Backup,dc=Domain,dc=de"" / mit Ja bestätigen / "Quit"
Dann den Rechner neu starten. denn Status der Replikation (Invokationskennung) kann man mit "REPADMIN /SHOWREPS" anzeigen lassen, auf die ObjektGUID achten. Die Änderungen der Versionsnummer kann man mit "REPADMIN /SHOWMETA "ou=Backup,dc=Domain,dc=de" anzeigen lassen.
an der Eingabeaufforderung
Bei einem DNS Server für ein Active Directory müssen zwei Forward-Lookup Zonen eingerichtet werden. Als erstes die Zone der Domain z.B. "local.tld" und dann die Zone "_msdcs.local.tld", man kann auch noch eine Reverse-Lookup Zone einrichten. Wenn der Server ans Internet angeschlossen werden soll, ist es ratsam eine Weiterleitung an einen DNS-Server des Providers einzurichten.
Wenn es beim Herabstufen eines Domaincontrollers Probleme mit dem DNS gibt, kann es helfen, unter Dienste den Dienst Anmeldedienst neu zu starten oder net
stop netlogon | net start netlogon auszuführen. Dabei werden die SRV-Datensätze neu erzeugt.
Fehlermeldungen beim DNS Server
Ereignistyp: Warnung
Ereignisquelle: LSASRV
Ereigniskategorie: SPNEGO (Vermittlung)
Ereigniskennung: 40960
...
Das Sicherheitssystem hat einen Authentifizierungsfehler für den Server DNS/prisoner.iana.org festgestellt. Der Fehlercode des Authentifi- zierungsprotokolls
Kerberos war "Es stehen momentan keine Anmeldeserver zur Verfügung, um die Anmeldeanforderung zu verarbeiten.
Lösung: die Warnung tritt auf, wenn keine Reverse-Lookupzone im DNS eingerichtet ist.
Die Verwendung von "Single-Label DNS Namen" z.B. local oder Domain als DNS Zone wird von MS nicht empfohlen, da diese auch nicht registriert werden können. Der Domänencontrollerlocator verwendet für solche Domänenmitglieder DNS nicht für die Suche nach Domänencontrollern in einer Domain. Der Clientzugriff auf die Domänen mit DNS-Namen mit einfacher Bezeichnung schlägt fehl, wenn die NetBIOS-Namensauflösung nicht richtig konfiguriert ist.
Damit ein solches Domänenmitglied DNS dazu verwenden kann, Domänencontroller in Domänen mit DNS-Namen mit einfacher Bezeichnung in anderen Gesamtstrukturen zu suchen, muss der Registywert gesetzt werden.
DC-Locator-Konfiguration
für WinXP Prof
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters]
"AllowSingleLabelDnsDomain"=dword:00000001
DNS-Clientkonfiguration
DDNS Client mit WinXP und W2k mit SP4
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\DnsCache\Parameters]
"UpdateTopLevelDomainZones"=dword:00000001
DDNS Client mit Win2003
[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows NT\DNSClient]
"UpdateTopLevelDomainZones"=dword:00000001
Domaincontroller W2k mit SP4
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters]
"UpdateTopLevelDomainZones"=dword:00000001
Diese Fehlermeldung erscheint in der Ereignisanzeige, wenn die oben genannten Registryschlüssel nicht gesetzt sind.
Typ: Warnung
Quelle: NETLOGON
Kategorie: Keine
Ereignis-ID: 5781
Benutzer: NV
Beschreibung: Die dynamische Registrierung oder die Aufhebung der Registrierung eines oder mehrerer DNS-Einträge ist fehlgeschlagen, da keine DNS-Server
verfügbar sind.
Daten: 0000: 0000232a
Einen neuen Server als BDC in der Domaine installieren. Dann den BDC vom Netz des PDCs nehmen!!, damit man den BDC zum PDC Heraufstufen kann (Im Server-Manager den BDC markieren unter Computer Heraufstufen zum PDC wählen) ohne das es die Produktionsdomain gefährdet. (falls bei der Migration was schief geht, kann man noch weitere Versuche vornehmen)
Das Konto des ehemalige PDC das jetzt zum BDC-Konto geworden ist, kann aus der Domain entfernt werden.
Jetzt kann man die Windows 2003 CD einlegen und ein Update des NT4 Servers durchführen. Nach der dem Update wird automatisch der "Assistent zum Installieren des Active Directory" gestartet. Eine "Domäne in einer neuen Gesamtstruktur" wählen, denn DNS automatisch installieren lassen, bei der Frage nach der "Gesamtstrukturfunktionsebene" die "Windows Server 2003-interim" wählen. Wenn dann die Einrichtung des Active Directory abgeschlossen ist, muss der Rechner neu gestartet werden.
Jetzt kann man den eigentlichen neuen AD-Server installieren und dann dem Active Directory hinzufügen. Dabei ist darauf zu achten, das beim activen
AD-Server und bei dem Server der dem AD beitreten soll, die Einstellung für DNS richtig gesetzt ist.
- Eintrag in den Netzwerkumgebung | TCP/IP Eigenschaften | IP-Adresse des DNS Servers und unter DNS der "DNS-Suffix für diese Verbindung" für die Domain
gesetzt ist.
- folgende Betriebsmasterfunktionen müssen übertragen werden
Schemamasterfunktion
Domänennamen-Masterfunktion
RID-Masterfunktion
PDC-Emulationsfunktion
Infrastrukturmasterfunktion
- Schemamasterfunktion
Active Directory-Schema Snap-In registrieren
Ausführen von "regsvr32 schmmgmt.dll", dannach kann man das Snap-In Active Directory-Schema hinzufügen. Dann im Kontextmenü vom
Active Directory-Schema Domaincontroller wählen den neuen Server eintragen und unter Betriebsmaster auf Ändern klicken.
- Domänennamen-Masterfunktion
Snap-In Active Directory-Domänen und -Vertrauensstellungen
um die Betriebsmasterfunktionen einem anderen Domaincontroller zu übertragen, wählt man für den "Domänennamen-Masterfunktion" unter
Active Directory-Domänen und -Vertrauensstellungen | Verbindung mit Domänencontroller herstellen | Name des neuen Server, dann auf Betriebsmaster...
| Ändern.
- RID-Masterfunktion, PDC-Emulationsfunktion, Infrastrukturmasterfunktion
Snap-In Active Directory-Benutzer und -Computer im Kontextmenü der Domain Verbindung mit Domänencontroller herstellen | Name des neuen Server,
dann auf Betriebsmaster... | Ändern.
Tips:
- dcpromo /forceremoval erzwingt das entfernen des Activ Directory.
- Dienst "Lizenzprotokollierung" wird von einer NT4 Domain benutzt, kann zu Fehlermeldungen in der Ereignisanzeige kommen, wenn dieser Dienst nicht
gestartet ist und man einen NT4 Server geupdatet hat.
Wenn der Domaincontroller herabgestuft wurde, müssen die Eintrage des Servers noch aus "Active Directory-Standorte und -Dienste" und dem DNS gelöscht werden.
Das Schema des Active Directory muss für die Aufnahme eines Win2003 DC vorbereitet werden, die geschieht mit dem Tool ADPREP.
/FORESTPREP auf dem Schemamaster ausführen und
/DOMAINPREP auf dem Infrastrukturmaster
ein Win2003 Server bis SP1, von der 1.CD im Verzeichnis \I386
ADPREP /FORESTPREP ADPREP /DOMAINPREP ADPREP /DOMAINPREP /GPPREP
bei einem Win2003 R2 Server, von der 2.CD
\CMPNENTS\R2\ADPREP\ADPREP /FORESTPREP \CMPNENTS\R2\ADPREP\ADPREP /DOMAINPREP
MS Support Artikel 324392 oder von der 2. CD \DOCS\R2SETUP.CHM das Thema "Vor der Installation".
- Windows Server 2008 auf der InstallCD in das Verzeichnis \support\adprep
cd \sources\adprep adprep /forestPrep adprep /domainprep adprep /domainprep /gpprep adprep /rodcPrep
wenn die Meldung "Die Domäne befindet sich nicht im einheitlichen Modus" erscheint, unter Verwaltung | Active Directory-Domänen und -Vertrauensstellungen | Domänenfunktionsebene heraufstufen... verwenden. Wenn Windows 2000 DCs in der Domain erhalten sind, auf Windows 2000 pur, bei nur Windows 2003 DCs auf Windows Server 2003.
Fehlertolerante DFS-Stämme
1. Halten Sie den DFS-Dienst an, indem Sie net stop dfs an einer Eingabeaufforderung eingeben.
2. Starten Sie den Registrierungseditor und löschen Sie die folgenden Registrierungsschlüssel: a. Löschen Sie den Ordner "Volumes" sowie etwaige Unterordner im Registrierungsschlüssel HKLM\SOFTWARE\Microsoft\DfsHost.
3. Löschen Sie alle Unterordner des Schlüssels HKLM\SYSTEM\CurrentControlSet\Services\DfsDriver\LocalVolumes. Löschen Sie jedoch keinesfalls den Ordner "LocalVolumes".
4. Klicken Sie im Menü Ansicht des Snap-Ins "Active Directory-Benutzer und -Computer" auf Erweiterte Funktionen. Öffnen Sie den Container "DFS-Konfiguration" im Ordner "System". Löschen Sie den DFS-Stamm im rechten Teilfenster.
Beachten Sie, dass die DFS-Konfigurationsdaten auch mit LDAP oder der Datei Adsiedit.msc aus dem Active Directory entfernt werden können. Für einen Computer in der Domäne A.COM mit einem fehlertoleranten DFS-Stamm namens DFSFT würde der LDAP-Pfad "CN=DFS-Configuration,CN=System,DC=A,DC=COM" lauten.
5. Starten Sie den in Schritt 1 angehaltenen DFS-Dienst neu.
1. zeigt die Betriebsmaster der Domain an
netdom query fsmo
2. Kerberos-Schlüsselverteilungscenter stoppen
net stop kdc
3. Kennwort auf den DC setzen (Server1) und zum Betriebsmaster (Server2) übertragen.
netdom resetpwd /server:server2 /userd:local\administrator /passwordd:geheim
- Active Directory Domain Service (ADDS)
Domain und Ressourcenverwaltung
- Active Directory Lighweigth Directory Service (ADLDS)
eingeschränkte Version des ADDS zum Anbinden von Anwendungen oder Diensten
- Active Directory Federation Service (ADFS)
Webbasierte Authentifizierung von Benutzern, die sich außerhalb der ADDS-Infrastuktur befinden
- Active Directory Rigths Management Service (ADRMS)
stellt Kryptografische Methoden zum Schutz der AD-Ressourcen bereit
- Active Directory Certificate Service (ADCS)
PublicKey Infrastruktur
Wiederherstellen eines gelöschten Active Directory-Objekts
Cmdlet >Restore-ADObject<
wird ein AD-Objekt gelöscht, verbleibt es per Default 180 Tage im Papierkorb und kann mit dem Cmdlet wiederhergestellt werden
| Befehl | Beschreibung |
|---|---|
| repadmin (Supporttools) | Bei Problemen mit der Replikation zwischen DCs |
| repmon (Supporttools) | Replikationsmonitor |
| dcdiag /test:dns | DNS Servereinträge der Doamin prüfen (Win2003 Support Tools, in Win2008 wird es mit installiert) |
| netdiag /fix | bei Fehlern im DNS diese reparieren (Support Tools von Win2003, nicht für Win2008 verfügbar) |
| set logonserver | zeigt Logonserver des Clients an |
netsh dhcp server export c:\temp\dhcpdb.set all netsh dhcp server import c:\temp\dhcpdb.set all
KB 216498; DomainController aus AD entfernen
DC Herabstufen
DC Herabstufen und Domain bereinigen
DNS lookup failure caused replication to fail
MS DNS Server
KB824449, Event Fehler 2087 und 2088
keine AD Replikation der DCs innerhalb der letzten 60 Tage
veraltete und zu löschende Objekte auf dem QuellDC anzeigen
repadmin /removelingeringobjects <Quell-DC> <Ziel-DC-DSA-GUID> <NC> /ADVISORY_MODE
veraltete Objekte endgültig vom QuellDC löschen
repadmin /removelingeringobjects <Quell-DC> <Ziel-DC-DSA-GUID> <NC>
Beispiel:
Anzeige der <Ziel-DC-DSA-GUID>
repadmin /showrepl
Denn folgenden Befehl auf dem DC ausführen, der sich nicht repliziert hat. Wenn keine Objekte angeziegt werden, ist der Datenbestand konsistent.
repadmin /removelingeringobjects Quelldc.domain.tld <Ziel-DC-DSA-GUID> dc=domain,dc=tld /ADVISORY_MODE
repadmin /sync CN=Configuration,DC=company,DC=com <local domain controller name> <replication partner GUID> repadmin /sync DC=company,DC=com <local domain controller name> <replication partner GUID>
Auf dem DC der den aktuellen Datenbestand hat, den Registry Eintrag setzen, um eine Replizierung zu erzwingen. !!Wichtig nach dem Replizieren der DCs den Wert wieder auf 0 setzen.
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\NTDS\Parameters] "Allow Replication With Divergent and Corrupt Partner"=dword:00000001
Verzeichnisdienst stoppen und wieder starten
net stop ntds net start ntds
Mit repadmin prüfen ob die Aktion erfolgreich war (auf allen DCs ausführen).
repadmin /showrepl
Verzeichnispartition anzeigen und entfernen
tapicfg show tapicfg remove /directory:TAPI3Directory.domain.tld /server:server.domain.tld