Praxis für Windows Server 2012 und 2012 R2

Active Directory - sichern, wiederherstellen und warten

Active-Directory-Datenbank warten

Über das Zusatz-Tool Ntdsutil.exe können auch verschiedene Wartungsmaßnahmen mit der Active-Directory-Datenbank durchgeführt werden.

In manchen Fällen - etwa wenn der Festplattenplatz auf dem Server nicht mehr ausreicht oder wenn der Domänencontroller an ein hochsicheres SAN angeschlossen wird - kann es sinnvoll sein, das Datenverzeichnis von Active Directory auf einen anderen Datenträger zu verschieben. Damit Sie die Datenbank von Active Directory auf einem Domänencontroller verschieben können, müssen Sie den Server im Verzeichnisdienstwiederherstellungs-Modus starten. Gehen Sie zum Verschieben folgendermaßen vor:

  1. Starten Sie zunächst den Domänencontroller im Verzeichnisdienstwiederherstellung-Modus (siehe oben), und melden Sie sich am Server an.

  2. Starten Sie Ntdsutil.exe und geben anschließend den Befehl activate instance ntds ein.

  3. Geben Sie den Befehl files ein.

  4. Geben Sie den Befehl move db to <Lauferk:\Verzeichnis> ein, um die Datenbank zu verschieben. Wenn der Verzeichnisname des neuen Ordners Leerzeichen enthält, setzen Sie die Bezeichnung in Anführungszeichen.

  5. Wenn Sie den Befehl bestätigt haben, läuft ein Skript ab, das die Datenbank in das gewünschte Verzeichnis verschiebt.

  6. Geben Sie nach dem erfolgreichen Verschieben der Datenbank den Befehl move logs to <Laufwerk:\Verzeichnis> ein, damit die Logdateien von Active Directory ebenfalls verschoben werden.

  7. Geben Sie an dieser Stelle den Befehl integrity ein, um die Konsistenz der Active-Directory-Datenbank zu überprüfen.

  8. Verlassen Sie Ntdsutil.exe und überprüfen Sie, ob die Dateien im neuen Verzeichnis angelegt wurden.

Stellen Sie sicher, dass die Dateiberechtigungen auf NTFS-Ebene für das neue Verzeichnis der Active-Directory-Datenbank noch stimmen. Rufen Sie dazu die Eigenschaften des Verzeichnisses auf und wechseln zur Registerkarte Sicherheit. In den Berechtigungen sollten die vier Gruppen Administratoren, Ersteller-Besitzer, Lokaler Dienst und System eingetragen sein.

Die beiden Gruppen Administratoren und System sollten Vollzugriff auf den Ordner haben. Bei den anderen Benutzergruppen sind keinerlei Berechtigungen eingetragen und keine Berechtigungen verweigert. Die Berechtigungen dürfen auch nicht von übergeordneten Verzeichnissen vererbt werden, sondern sollten direkt in diesem Verzeichnis gesetzt sein. Vererbte Berechtigungen werden in Grau angezeigt. Sollten die Berechtigungen bei Ihnen nicht exakt so gesetzt sein, ändern Sie sie entsprechend ab.