Windows Server 2008 R2 im Allgemeinen und dessen erneuertes Active Directory im Besonderen halten genügend Aufgaben parat, um Administratoren auf Trab zu halten. Wir haben einige praxisnahe Anleitungen zusammengefasst, die Sie bei der einen oder anderen Aufgabe unterstützen können.
Wenn Ihnen folgende Tipps zusagen, lohnt vielleicht auch ein Blick in unseren Beitrag Windows Server 2008 R2 - Tipps und Tricks für Admins. Dort haben wir ebenfalls zahlreiche praxisnahe Tipps für Sie zusammengestellt.
Active Directory-Datenbank offline defragmentieren
Bei der Active-Directory-Datenbank handelt es sich, wie bei der Datenbank von Exchange, um eine Jet-basierte ESE-Datenbank. Active Directory wächst zwar nicht so stark an wie die Datenbank eines Exchange-Servers, dennoch kann es sinnvoll sein, die Active-Directory-Datenbank zu defragmentieren.
Bevor Sie eine Offline-Defragmentierung durchführen, sollten Sie eine Sicherung des Systemstatus Ihres Active Directory durchführen. Wie bei der Offline-Defragmentierung von Exchange wird zunächst die Datenbank kopiert, dann offline defragmentiert und anschließend zurückkopiert.
Stellen Sie daher sicher, dass auf dem Datenträger, auf dem Sie die Offline-Defragmentierung durchführen, genügend Speicherplatz frei ist. Um den Vorgang durchzuführen, gehen Sie folgendermaßen vor:
1. Starten Sie den Server im Verzeichnisdienstwiederherstellungs-Modus
2. Öffnen Sie eine Eingabeaufforderung und starten Sie Ntdsutil.
3. Geben Sie anschließend den Befehl activate instance ntds ein.
4. Geben Sie den Befehl files ein, um zur file maintenance zu gelangen.
5. Geben Sie den Befehl compact to <Laufwerk:\Ordner> ein. Wählen Sie einen beliebigen Ordner auf der Festplatte aus. Ntdsutil kopiert die Datenbankdatei in diesen Ordner und defragmentiert sie.
6. Wenn keine Fehlermeldungen während der Offline-Defragmentierung auftreten, können Sie die Datei ntds.dit aus dem Ordner, in dem sie defragmentiert wurde, zurück in den Datenbankpfad der produktiven Datenbank kopieren. Diesen Vorgang führt Ntdsutil nicht automatisch aus, Sie müssen die Datei manuell kopieren. Sichern Sie die alte Version der ntds.dit aus dem produktiven Datenbankordner. Verschieben Sie die defragmentierte Datei in den produktiven Ordner der Datenbank und überschreiben die alte Version.
7. Geben Sie in der file maintenance von Ntdsutil den Befehl integrity ein, um die Integrität der Datenbank festzustellen.
8. Wenn die Integrität der neuen Datenbank sichergestellt ist, können Sie den Domänencontroller neu starten. Sollten Fehler auftreten, kopieren Sie die zuvor gesicherte Originalversion zurück und führen einen erneuten Integritätstest durch. Ist der Test diesmal erfolgreich abgeschlossen, versuchen Sie erneut eine Offline-Defragmentierung und starten den Test erneut.
9. Da Active Directory als Systemdienst läuft, kann für die Defragmentierung dieser Dienst auch beendet werden. In diesem Fall muss der Server nicht im Verzeichnisdienstwiederherstellungs-Modus gestartet werden, sodass andere Dienste auf dem Server weiter von den Anwendern verwendet werden können.
Kennwort für den Wiederherstellungsmodus in Active Directory zurücksetzen
Um das Kennwort für den Wiederherstellungsmodus auf einem Domänencontroller wiederherzustellen, benötigen Sie das Tool Ntdsutil. Öffnen Sie eine Eingabeaufforderung und starten Ntdsutil:
1. Starten Sie Ntdsutil.
2. Geben Sie den Befehl set dsrm password ein und bestätigen Sie.
3. Geben Sie in der Zeile DSRM-Administratorkennwort zurücksetzen den Befehl reset password on server <Servername> ein. Beim lokalen Server können Sie auch den Wert null eingeben und bestätigen.
4. Geben Sie das neue Kennwort ein und bestätigen Sie.
5. Geben Sie das neue Kennwort erneut ein.
6. Mit zweimal quit verlassen Sie Ntdsutil. Das Kennwort für den Wiederherstellungsmodus ist jetzt zurückgesetzt und dient als Kennwort des lokalen Administrators.
Active Directory - Fotos in den Kontakten hinterlegen
Sie haben die Möglichkeit, für die Kontakte in Active Directory Fotos zu hinterlegen. Diese Fotos sehen Anwender dann zusätzlich in der globalen Adressliste, wenn Sie Exchange Server 2010 einsetzen. Der Vorgang, Fotos zu hinterlegen, ist ein nettes Feature, das vor allem in Outlook 2010 durchaus einen Nutzen hat, da sich hier im unteren Bereich Fotos einblenden lassen.
Dank dieser Möglichkeit, die Fotos in der Adressliste und den eigenen E-Mails anzuzeigen, können Anwender E-Mails und Kontakte schneller und leichter zuordnen.
Fotos lassen sich als Attribut in Active Directory ablegen. Dieser Vorgang ist nicht sehr einfach, lässt sich aber mit der Freeware AD Photo Edit sehr unkompliziert umsetzen. Laden Sie dazu das Tool herunter und installieren es auf dem Server oder einem anderen Computer, der Mitglied der Domäne ist.
Das Tool muss mit Administratorrechten gestartet werden. Haben Sie die Benutzerkontensteuerung aktiviert, müssen Sie vor dem Start die Eigenschaften des Tools im Startmenü aufrufen und zur Registerkarte Kompatibilität wechseln. Aktivieren Sie das Kontrollkästchen Programm als Administrator ausführen.
Betriebsmaster verwalten und verteilen
Die Zuverlässigkeit und Performance der Betriebsmaster spielt für die Stabilität der Gesamtstruktur eine nicht unerhebliche Rolle. Aus diesem Grund sollten die Rollen auch möglichst optimal verteilt und verwaltet werden.
Standardmäßig besitzt der erste installierte Domänencontroller einer Gesamtstruktur alle fünf FSMO-Rollen seiner Domäne und der Gesamtstruktur. Jeder erste Domänencontroller weiterer Domänen verwaltet die drei Betriebsmasterrollen seiner Domäne (PDC-Emulator, RID-Master, Infrastrukturmaster).
Vor allem in größeren Active Directorys empfiehlt Microsoft jedoch, die Rollen auf verschiedene Domänencontroller zu verteilen. Zur optimalen Verteilung der FSMO-Rollen gibt es folgende Empfehlungen:
• Der Infrastrukturmaster sollte nicht auf einem globalen Katalog liegen, da ansonsten Probleme bei der Auflösung von Gruppen, die Mitglieder aus verschiedenen Domänen haben, auftreten können. Bei Unternehmen mit nur einer Domäne müssen Sie diese Richtlinie nicht beachten. Installieren Sie einen zusätzlichen Domänencontroller in der Domäne, überprüft der Assistent für Active Directory, ob sich der Infrastrukturmaster auf einem globalen Katalog befindet. Ist dies der Fall, schlägt der Assistent vor, die Rolle auf den neuen Domänencontroller zu verschieben.
• Domänennamenmaster und Schemamaster sollten auf einem gemeinsamen Domänencontroller liegen, der auch globaler Katalog ist.
• PDC-Emulator und RID-Master kommunizieren viel miteinander und sollten daher auf einem gemeinsamen Domänencontroller liegen, der auch globaler Katalog ist.
Um sich einen Überblick über alle Betriebsmaster einer Gesamtstruktur zu verschaffen, können Sie den Befehl
netdom query fsmo
in der Eingabeaufforderung eingeben. Daraufhin werden Ihnen alle Rollen dieser Domäne und der Gesamtstruktur angezeigt. Sie können dadurch recht schnell überprüfen, ob die Verteilung der Rollen so vorgenommen wurde, wie es von Microsoft empfohlen wird.
Auf Basis dieser Empfehlungen sollten Sie daher nach der Installation die Betriebsmaster entsprechend auf die einzelnen Domänencontroller der Domänen beziehungsweise der Gesamtstruktur aufteilen.
Geöffnete Dateien in der Befehlszeile anzeigen
Mit dem Befehlszeilenprogramm Openfiles können Administratoren Dateien und Ordner, die auf einem System geöffnet wurden, auflisten beziehungsweise trennen.
Vor jedem Dateinamen sehen Sie eine ID und den Namen des jeweiligen Benutzers. Greifen mehrere Benutzer gleichzeitig auf eine Datei zu, zeigt Openfiles diese Datei unter zwei unterschiedlichen ID-Kennungen entsprechend zwei Mal an. Damit geöffnete Dateien angezeigt werden, müssen Sie zunächst das Systemflag maintain objects list aktivieren. Mit dem Befehl
openfiles /local on
wird das Systemflag eingeschaltet. Der Befehl
openfiles /local off
schaltet ihn aus.
Erst nach der Aktivierung dieses Flags werden mit Openfiles geöffnete Dateien angezeigt. Nachdem Sie das Flag gesetzt haben, müssen Sie den Rechner neu starten. Wenn Sie nach dem Neustart in der Befehlszeile openfiles eingeben, werden die geöffneten Dateien angezeigt.
Möchten Sie feststellen, welche Dateien auf einem Datenträger geöffnet sind, empfiehlt sich der Befehl
openfiles | find /i "z:"
wobei z: der Laufwerkbuchstabe des Laufwerks ist.
Wenn Sie noch offene Dateien auf Ihrem System vorfinden und diese schließen möchten, verwenden Sie den Befehl
openfiles /disconnect /id <id> oder openfiles /disconnect /a <Benutzer>
Als <id> wird die von Openfiles mitgeteilte ID eingetragen, als <Benutzer> die mitgeteilte Nutzerkennung.
Domänencontroller mit Installationsmedium installieren
Soll ein Domänencontroller nach der Installation seine Replikationsdaten nicht über das Netzwerk beziehen, sondern lokale Dateien verwenden, die Sie als Datenträger gespeichert haben, müssen zuvor einige Vorbereitungen getroffen werden.
Für die Installation eines Domänencontrollers in Niederlassungen oder bereits ausgelasteten Netzwerken bietet es sich an, auf einem Quelldomänencontroller zunächst Daten aus Active Directory zu exportieren, auf einen Datenträger zu kopieren und per Post zur Niederlassung zu senden.
Bei der Heraufstufung eines Domänencontrollers kann dieses Medium verwendet werden. So muss der Domänencontroller in der Niederlassung nur noch das Delta zwischen Medium und aktuellen Daten mit seinen Replikationspartnern synchronisieren, was deutlich Netzwerklast spart.
Um ein Installationsmedium vorzubereiten, müssen Sie sich an einem Domänencontroller mit Admin-Rechten anmelden. Gehen Sie im Anschluss folgendermaßen vor:
1. Öffnen Sie eine Eingabeaufforderung als Administrator und geben Sie ntdsutil ein.
2. Geben Sie als Nächstes activate instance ntds ein und bestätigen Sie.
3. Geben Sie ifm ein und bestätigen Sie.
4. Geben Sie create rodc c:\InstallationMedia ein, um ein Installationsmedium für einen RODC (schreibgeschützter Domänencontroller) zu erstellen. Um einen vollwertigen DC mit dem Installationsmedium zu erstellen, geben Sie create full c:\InstallationMedia ein. Soll der SYSVOL-Ordner nicht mit eingeschlossen werden, verwenden Sie einen der beiden Befehle create nosysvol rodc c:\InstallationMedia oder create nosysvol full c:\InstallationMedia. Den Ordner können Sie natürlich beliebig ändern.
5. Verlassen Sie Ntdsutil mit der wiederholten Eingabe von quit.
6. Überprüfen Sie, ob der Ordner erstellt wurde und die Daten darin enthalten sind.
Kopieren Sie die Daten auf ein Medium und legen dieses in den Server ein, den Sie mit diesem Medium installieren wollen. Soll die Installation unbeaufsichtigt erfolgen, verwenden Sie die Variable /ReplicationSourcePath. Wenn Sie den Assistenten in der grafischen Oberfläche nutzen, aktivieren Sie auf der Seite Installieren von Medium die Option Daten von Medien an folgendem Speicherort replizieren und wählen Sie den lokalen Ordner aus, in dem die Daten abgelegt wurden.
Neu: Nslookup zur Fehlerdiagnose einsetzen
Treten in einem Microsoft-Netzwerk Fehler auf, vor allem, wenn Sie Active Directory oder einen Microsoft-DNS-Server einsetzen, sollten Sie immer zunächst überprüfen, ob sich die beteiligten Server im DNS auflösen können.
Verwenden Sie dazu das Befehlszeilentool Nslookup. Wenn ein Servername mit Nslookup nicht aufgelöst werden kann, sollten Sie überprüfen, wo das Problem liegt:
1. Ist in den IP-Einstellungen des Computers der richtige DNS-Server als bevorzugt eingetragen?
2. Optional beim Einsatz in Active Directory: Verwaltet der bevorzugte DNS-Server die Zone, in der Sie eine Namensauflösung durchführen wollen?
3. Optional beim Einsatz in Active Directory: Wenn der Server diese Zone nicht verwaltet, ist dann auf der Registerkarte Weiterleitungen in den Eigenschaften des Servers ein Server eingetragen, der die Zone auflösen kann?
4. Optional beim Einsatz in Active Directory: Wenn eine Weiterleitung eingetragen ist, kann dann der Server, zu dem weitergeleitet wird, die Zone auflösen?
5. Optional beim Einsatz in Active Directory: Wenn dieser Server nicht für die Zone verantwortlich ist, leitet er dann wiederum die Anfrage weiter?
An irgendeiner Stelle der Weiterleitungskette muss ein Server stehen, der die Anfrage schließlich auflösen kann, sonst kann der Client keine Verbindung aufbauen und die Abfrage des Namens wird nicht erfolgreich sein.
Gehen Sie strikt nach dieser Vorgehensweise vor, werden Sie bereits recht schnell den Fehler in der Namensauflösung finden, wenn Sie in Active Directory arbeiten. Bei der Verbindung zum Internet verwenden die lokalen Computer meist den DSL-Router als DNS-Server oder direkt einen DNS-Server im Internet.
Sollte bei Ihnen beim Einsatz in Active Directory ein Fehler auftauchen, müssen Sie in der Reverse- und der Forward-Lookupzone auf den DNS-Servern in Active Directory überprüfen, ob sich der Computer dynamisch in das DNS integriert hat.
In Ausnahmefällen kann es vorkommen, dass die Aktualisierung der Reverse-Lookupzone (Auflösung von IP-Adressen nach Rechnernamen) nicht funktioniert hat.
In diesem Fall können Sie einfach den Eintrag des Servers manuell ergänzen, zumindest, wenn Sie der Administrator des Servers sind. Dazu müssen Sie lediglich einen neuen Zeiger erstellen.
Ein Zeiger oder Pointer ist ein Verweis von einer IP-Adresse zu einem Hostnamen. Kurz nach der Installation kann dieser Befehl durchaus noch Fehler melden. Versuchen Sie die IP-Adresse des Computers erneut mit
ipconfig /registerdns
zu registrieren. Nach einigen Sekunden sollte der Name fehlerfrei aufgelöst werden.
Sobald Sie Nslookup aufgerufen haben, können Sie beliebig Servernamen auflösen. Wenn Sie keinen vollwertigen DNS-Namen (Fully Qualified Domain Name, FQDN), sondern nur den Computernamen eingeben, ergänzt der lokale Rechner automatisch den Namen durch das primäre DNS-Suffix des Computers bzw. durch die in den IP-Einstellungen konfigurierten DNS-Suffixe. Wenn Sie Nslookup aufrufen, um Servernamen aufzulösen, wird als DNS-Server immer der Server befragt, der in den IP-Einstellungen des lokalen Rechners hinterlegt ist. (mje)