19.04.2023

Active Directory

Active Directroy Export Import
Active Directroy Schema
Offline Defragmentierung der Verzeichnisdatenbank (NTDS.DIT)
Nichtautorisierte Wiederherstellung der Verzeichnisdatenbank
Autorisierte Wiederherstellung der Verzeichnisdatenbank
umbenennen des Active Directory Domain Controller
DNS Server einrichten
DNS-Namen mit einfacher Bezeichnung
Active Directory® auf Betriebssystemupgrade vorbereiten (ADPREP)
Active Directory® auf neuen DC migrieren
Active Directory® auf einem DC deinstallieren/bereinigen
Active Directory® auf einem DC reparieren
Active Directory® Papierkorb aktivieren
DFS-Replikation mit Fehlerbehebung
einen DFS Stamm nach umbenennen des Servers löschen
Nach einer Rücksicherung von SYSVOL Replikation der DCs wieder aufnehmen
Active Directory Benutzer/Objekte wiederherstellen
Gruppenrichtlinien
Zertifizierungsstelle
Active Directory Server Grundeinrichtung
Managed Service Account (MSA) und Group Managed Service Account (GMSA)
Active Directory testen
sonstiges

Seitenanfang

Active Directroy Export Import

In einer kommagetrennten Datei Exportieren / Importieren
CSVDE -f AUSGABE.CSV
CSVDE -i -f IMPORT.CSV

LDAP Format Import
LDIFDE -i -f EINGABE.LDFImEx

Export der Kontakte aus dem AD in die Datei Export.csv
csvde -f c:\export.csv -r "(objectClass=contact)"

Datei IMPORT.CVS importiert z.B. Kontakte in eine OU "Kontakte" der Domain "Domain.msft"
DN,objectClass
"CN=Ted Tester,OU=Kontakte,DC=Domain,DC=msft",contact

Seitenanfang

Active Directroy Schema

Schema Registrieren
REGSVR32 %Systemroot%\System32\schmmgmt.dll
nach der Schemaregistrierung kann man zur MMC das Schema SnapIn hinzufügen

Seitenanfang

Offline Defragmentierung der Verzeichnisdatenbank (NTDS.DIT)

Domänencontroller im abgesicherten Modus (F8) neu gestartet und die Option Verzeichnisdienst wiederherstellen wählen.
Eingabeaufforderung NTDSUTIL starten und die Optionen \ Files \ Compact to <Laufwerk:\Verzeichnis>. Eine zweite, defragmentierte Version der Datenbank namens NTDS.DIT wird jetzt erstellt. Nach Beendigung dieses Vorgangs muss die neue Datenbank manuell über die alte kopiert werden. Mit diesem Vorgang kann die Größe der Datenbankdatei reduziert werden.

Seitenanfang

Nichtautorisierte Wiederherstellung der Verzeichnisdatenbank

Es hat noch keine Replikation zwischen den DC stattgefunden, nachdem eine OU gelöscht wurde. (Replikationsmonitor)
Um die Organisationseinheit wiederherzustellen, müssen Sie auf dem Domänencontroller, auf welchem Sie die Daten gelöscht haben, eine Rücksicherung mit der aktuellsten Sicherung durchführen

Nachdem der DC wieder Online ist, wird durch die Replikation von anderen DCs der aktuellste Stand wiederhergestellt. In diesem Fall wurde die versehentliche Löschung der Organisationseinheit noch nicht an andere DCs repliziert, was bedeutet, dass die anderen Domänencontroller noch die aktuellste Version des Active Directory gespeichert haben.

Seitenanfang

Autorisierte Wiederherstellung der Verzeichnisdatenbank

Domänencontroller im abgesicherten Modus (F8) neu gestartet und die Option Verzeichnisdienst wiederherstellen wählen. Das Backup des Systemstatus zurücksichern, den Rechner nicht neu starten
NTDSUTIL ausfüren, dann "authoritative restore" / "restore subtree "ou=Backup,dc=Domain,dc=de"" / mit Ja bestätigen / "Quit"
Dann den Rechner neu starten. denn Status der Replikation (Invokationskennung) kann man mit "REPADMIN /SHOWREPS" anzeigen lassen, auf die ObjektGUID achten. Die Änderungen der Versionsnummer kann man mit "REPADMIN /SHOWMETA "ou=Backup,dc=Domain,dc=de" anzeigen lassen.

Seitenanfang

umbenennen des Active Directory Domain Controller

an der Eingabeaufforderung

  1. Attribute im Active Directory aktualisieren
    netdom computername AktuellerComputername /add:NeuerComputername
  2. netdom computername AktuellerComputername /makeprimary:NeuerComputername
  3. Rechner neu starten
  4. netdom computername NeuerComputername /remove:AlterComputername
  5. alle Namen des Rechners im AD anzeigen
    netdom computername AktuellerComputername /enumerate:allnames
Seitenanfang

DNS Server einrichten

Bei einem DNS Server für ein Active Directory müssen zwei Forward-Lookup Zonen eingerichtet werden. Als erstes die Zone der Domain z.B. "local.tld" und dann die Zone "_msdcs.local.tld", man kann auch noch eine Reverse-Lookup Zone einrichten. Wenn der Server ans Internet angeschlossen werden soll, ist es ratsam eine Weiterleitung an einen DNS-Server des Providers einzurichten.

Wenn es beim Herabstufen eines Domaincontrollers Probleme mit dem DNS gibt, kann es helfen, unter Dienste den Dienst Anmeldedienst neu zu starten oder net stop netlogon | net start netlogon auszuführen. Dabei werden die SRV-Datensätze neu erzeugt.

Fehlermeldungen beim DNS Server

Ereignistyp: Warnung
Ereignisquelle: LSASRV
Ereigniskategorie: SPNEGO (Vermittlung)
Ereigniskennung: 40960
...
Das Sicherheitssystem hat einen Authentifizierungsfehler für den Server DNS/prisoner.iana.org festgestellt. Der Fehlercode des Authentifi- zierungsprotokolls Kerberos war "Es stehen momentan keine Anmeldeserver zur Verfügung, um die Anmeldeanforderung zu verarbeiten.

Lösung: die Warnung tritt auf, wenn keine Reverse-Lookupzone im DNS eingerichtet ist.

Seitenanfang

DNS-Namen mit einfacher Bezeichnung

Die Verwendung von "Single-Label DNS Namen" z.B. local oder Domain als DNS Zone wird von MS nicht empfohlen, da diese auch nicht registriert werden können. Der Domänencontrollerlocator verwendet für solche Domänenmitglieder DNS nicht für die Suche nach Domänencontrollern in einer Domain. Der Clientzugriff auf die Domänen mit DNS-Namen mit einfacher Bezeichnung schlägt fehl, wenn die NetBIOS-Namensauflösung nicht richtig konfiguriert ist.

Damit ein solches Domänenmitglied DNS dazu verwenden kann, Domänencontroller in Domänen mit DNS-Namen mit einfacher Bezeichnung in anderen Gesamtstrukturen zu suchen, muss der Registywert gesetzt werden.

DC-Locator-Konfiguration

für WinXP Prof
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters]
"AllowSingleLabelDnsDomain"=dword:00000001

DNS-Clientkonfiguration

DDNS Client mit WinXP und W2k mit SP4
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\DnsCache\Parameters]
"UpdateTopLevelDomainZones"=dword:00000001

DDNS Client mit Win2003
[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows NT\DNSClient]
"UpdateTopLevelDomainZones"=dword:00000001

Domaincontroller W2k mit SP4
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters]
"UpdateTopLevelDomainZones"=dword:00000001

Diese Fehlermeldung erscheint in der Ereignisanzeige, wenn die oben genannten Registryschlüssel nicht gesetzt sind.

Typ: Warnung
Quelle: NETLOGON
Kategorie: Keine
Ereignis-ID: 5781
Benutzer: NV
Beschreibung: Die dynamische Registrierung oder die Aufhebung der Registrierung eines oder mehrerer DNS-Einträge ist fehlgeschlagen, da keine DNS-Server verfügbar sind.
Daten: 0000: 0000232a

MS Support Artikel

Seitenanfang

Active Directory® auf Betriebssystemupgrade vorbereiten (ADPREP)

Upgrade auf Windows Server 2003

Das Schema des Active Directory muss für die Aufnahme eines Win2003 DC vorbereitet werden, die geschieht mit dem Tool ADPREP.
/FORESTPREP auf dem Schemamaster ausführen und
/DOMAINPREP auf dem Infrastrukturmaster

ein Win2003 Server bis SP1, von der 1.CD im Verzeichnis \I386

ADPREP /FORESTPREP
ADPREP /DOMAINPREP
ADPREP /DOMAINPREP /GPPREP

bei einem Win2003 R2 Server, von der 2.CD

\CMPNENTS\R2\ADPREP\ADPREP /FORESTPREP
\CMPNENTS\R2\ADPREP\ADPREP /DOMAINPREP

MS Support Artikel 324392 oder von der 2. CD \DOCS\R2SETUP.CHM das Thema "Vor der Installation".

Upgrade auf Windows Server 2008 R2

- Windows Server 2008 auf der InstallCD in das Verzeichnis \support\adprep
beim 32Bit System (z.B. Win2003)

pushd d:\sources\adprep
adprep32 /forestPrep
adprep32 /domainprep
adprep32 /domainprep /gpprep
adprep32 /rodcPrep
popd

beim 64Bit System (z.B. Win2008)

pushd d:\sources\adprep
adprep /forestPrep
adprep /domainprep
adprep /domainprep /gpprep
adprep /rodcPrep
popd

wenn die Meldung "Die Domäne befindet sich nicht im einheitlichen Modus" erscheint, unter Verwaltung | Active Directory-Domänen und -Vertrauensstellungen | Domäne wählen | Domänenfunktionsebene heraufstufen... verwenden, danach Active Directory-Domänen und -Vertrauensstellungen markieren | Gesamtstrukturfunktionsebene heraufstufen, auf Windows Server 2003.

Upgrade auf Windows Server 2012/2012 R2

ADPREP braucht nicht mehr einzeln gestartet werden, da es bei der Active Directory Einrichtung automatisch ausgeführt wird.

Seitenanfang

Active Directory® auf neuen DC migrieren

Upgrade Windows 2003 auf Windows Server 2008/2008 R2

Verwaltung | Active Directory-Domänen und -Vertrauensstellungen | Domänenfunktionsebene heraufstufen
Verwaltung | Active Directory-Domänen und -Vertrauensstellungen | Gesamtstrukturfunktionsebene heraufstufen
mind. Windows Server 2003

- folgende Betriebsmasterfunktionen müssen übertragen werden

- Schemamasterfunktion
Active Directory-Schema Snap-In registrieren
Ausführen von regsvr32 %systemroot%\system32\schmmgmt.dll, dannach kann man das Snap-In Active Directory-Schema hinzufügen. Dann im Kontextmenü vom Active Directory-Schema Domaincontroller wählen den neuen Server eintragen und unter Betriebsmaster auf ändern klicken.

- Domänennamen-Betriebsmaster
Verwaltung | Active Directory-Domänen und -Vertrauensstellungen
Domaincontroller ändern: neuen Server wählen
Betriebsmaster... | Ändern

- RID-Betriebsmaster, PDC-Betriebsmaster, Infrastrukturmaster
Verwaltung | Active Directory-Benutzer und -Computer
Domaincontroller ändern: neuen Server wählen
Betriebsmaster... | Ändern

SYSVOL-Migration von FRS auf DFSR (ab Server 2012)

SYSVOL-Migration von FRS auf DFSR
Technet: Win2008: SYSVOL-Migration von FRS auf DFSR

in der Powershell auf dem aktuellen PDC ausführen

- aktuellen Status anzeigen

dfsrmig /GetMigrationState

- Status "Starten"

dfsrmig /setGlobalState 0

nach jeder Eingabe prüfen, ob der Status sich geändert hat und der Schritt abgearbeitet ist. dfsrmig /GetMigrationState

Aktueller globaler DFSR-Status: "Starten"
Neuer globaler DFSR-Status: "Starten"
Es wurde eine unzulässige Statusänderung angefordert.

- Status "Vorbereitet"

dfsrmig /setGlobalState 1
Alle Domänencontroller wurden erfolgreich zum globalen Status (""Vorbereitet"")
migriert. Die Migration hat auf allen Domänencontrollern einen
konsistenten Status erreicht.
Erfolgreich

- Status "Umgeleitet"

dfsrmig /setGlobalState 2
Alle Domänencontroller wurden erfolgreich zum globalen Status (""Umgeleitet"")
migriert. Die Migration hat auf allen Domänencontrollern einen
konsistenten Status erreicht.
Erfolgreich

- Status "Entfernt"

dfsrmig /setGlobalState 3
Alle Domänencontroller wurden erfolgreich zum globalen Status (""Entfernt"")
migriert. Die Migration hat auf allen Domänencontrollern einen
konsistenten Status erreicht.
Erfolgreich

Durch die Migration wurde der SYSVOL-Ordner unter C:\Windows zu einem SYSVOL_DFSR. ALter Ballast wie der Staging-Ordner wurde entfernt bzw. nicht mitmigriert. Die SYSVOL und NETLOGON-Freigabe zeigen nun auf die Inhalte des neuen SYSVOL_DFSR. Der Dateireplikationsdienst wurde auf allen Domänencontrollern auf deaktiviert gesetzt.

 

Übertragung der Betriebsmasterrollen mit der Eingabeaufforderung

Verteilung der Betriebsmasterrollen anzeigen

NETDOM QUERY FSMO

Betriebsmasterrollen übertragen

ntdsutil
activate instance NTDS
roles
connections
connect to server <neuer Server>
quit
transfer PDC
transfer Infrastructure master
transfer naming master
transfer RID master
transfer schema master
quit
quit
NETDOM QUERY FSMO

DNS-Server auf den neuen DC installieren, danach unter Verwaltung | Active Directory-Standorte und -Dienste | Sites | Standardname-des-ersten-Standorts | Server | <Name des Servers> | NTDS Settings die Replikation zwischen den Server ausführen lassen und prüfen ob auf dem Server der Globaler Katalog aktiviert ist.

Wenn die Replikation von beiden Server beendet ist und alle DNS Einträge übertragen wurden, kann auf den alten Server mit dcpromo das Active Directory entfernt werden.

- Windows Server 2013 R2 Powershell, zum ADs einen zusätzlichen DomainController hinzufügen. Die Abfrage des Administrator Kennwortes für den DomainController muss noch eingegeben werden. Das Kennwort unter -SafeModeAdministratorPassword ist für die Verzeichniswiederherstellung.

Install-ADDSDomainController `
 -SafeModeAdministratorPassword `
 (ConvertTo-SecureString 'Passwort' -AsPlainText -Force) `
 -NoGlobalCatalog:$false `
 -CreateDnsDelegation:$false `
 -Credential (Get-Credential) `
 -CriticalReplicationOnly:$false `
 -DatabasePath "C:\Windows\NTDS" `
 -DomainName "local.zz" `
 -InstallDns:$true `
 -LogPath "C:\Windows\NTDS" `
 -NoRebootOnCompletion:$false `
 -SiteName "Default-First-Site-Name" `
 -SysvolPath "C:\Windows\SYSVOL" `
 -Force:$true

- Nach dem Hinzufügen eines weiteren Domaincontroller wird auf dem neuen DC keine SYSVOL Freigabe erstellt, unter C:\Windows\SYSVOL\sysvol. Die Ereignisanzeige Dateireplikationsdienst (File Replication Service) bringt einen Fehler.
Quelle: NtFrs
Ereigniskennung: 13568

Lösung: folgenden Registry Eintrag auf dem alten DC setzen, Danach den Dateireplikationsdienst neu starten.

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NtFrs\Parameters]
"Enable Journal Wrap Automatic Restore"=dword:00000001
reg add HKLM\SYSTEM\CurrentControlSet\Services\NtFrs\Parameters /v "Enable Journal Wrap Automatic Restore"
 /t REG_DWORD /d 0x00000001 /f

- Bei dem hinzufügen eines neuen DCs kommt der Fehler

Der Vorgang konnte nicht durchgeführt werden. Fehler:
Das Computerkonto "Server$" konnte vom Assistenten zum Installieren von Active Directory-Domänendiensten ("Dcpromo.exe") nicht in ein Active Directory-Domänencontrollerkonto konvertiert werden.
Überprüfen Sie, ob dem Benutzer, der "Dcpromo.exe" ausführt, in der Standarddomänencontroller-Richtlinie das Benutzerrecht "Ermöglichen, dass Computer- und Benutzerkonten für Delegierungszwecke vertraut wird" gewährt wurde.
Weitere Informationen finden Sie unter "http://go.microsoft.com/fwlink/?LinkId=178406" (Abschnitt "Lösung").

Fehler:
"Zugriff verweigert"

Lösung:
Die Gruppenrichtlinie der Domaincontroller Default Domain Controllers Policy bearbeiten
Computerkonfiguration | Windows-Einstellungen | Sicherheitseinstellungen | Lokale Richtlinien | Zuweisen von Benutzerrechten
Ermöglichen, dass Computer- und Benutzerkonten für Delegierungszwecke vertraut wird: Computerkonto im Beispiel Server$ hinzufügen

 

Seitenanfang

Active Directory® auf einem DC deinstallieren/bereinigen

Entfernen der Active Directory-Domänendienste

- Windows Server 2012R2 per Powershell AD entfernen

Uninstall-ADDSDomainController -Confirm:$false `
 -LocalAdministratorPassword `
 (ConvertTo-SecureString 'Passwort' -AsPlainText -Force)

- Windows Server 2012R2 per Powershell AD entfernen, letzter DC-Server der Domain

Uninstall-ADDSDomainController `
 -LocalAdministratorPassword `
 (ConvertTo-SecureString 'Passwort' -AsPlainText -Force) `
 -DemoteOperationMasterRole:$true `
 -IgnoreLastDnsServerForZone:$true `
 -LastDomainControllerInDomain:$true `
 -RemoveApplicationPartitions:$true `
 -Force:$true

- auf der Kommandozeile mit ntdsutil einen DC-Server entfernen

ntdsutil
metadata cleanup
Connections
connect to server <DCSRV>
Quit
Select operation target
List domains
Select domain 0
List sites
Select site 0
List servers in site
Select server 0
Quit
Remove selected server
Quit

Cleanup der AD Metadaten mit der GUI

Verwaltung | Active Directory-Benutzer und -Computer | <Domain> | Domain Controller
DC Server der Offline ist löschen

Verwaltung | Active Directory-Standorte und -Dienste | Default-First-Site-Name | Servers | <Offline DC>
NTDS Settings löschen
<Offline DC> löschen

im DNS alle Verweise zum <Offline DC> entfernen

 

Seitenanfang

Active Directory® auf einem DC reparieren

KB258062 - Der Verzeichnisdienst kann nicht gestartet werden (W2k/Win2003)
KB249321 - Laufwerkbuchstabe der Startpartition hat sich geändert (W2k/Win2003)

Verzeichnisdienst reparieren

 

ntdsutil
activate instance ntds
files
recover

- wenn ein Windows 2012 Server immer im "Abgesicherten Modus" startet, wieder den normalen Start aktivieren und hoffen, das er Normal startet.

bcdedit /export "C:\BCDBackup"
bcdedit /deletevalue safeboot

Berechtigungen für den Ordner %WINDIR%\NTDS

Windows Server 2003
Konto Berechtigungen Vererbung
System Vollzugriff Dieser Ordner, Unterordner und Dateien
Administratoren Vollzugriff Dieser Ordner, Unterordner und Dateien
Ersteller-Besitzer Vollzugriff Nur Unterordner und Dateien
Lokaler Dienst Ordner erstellen/Daten anhängen Dieser Ordner und Unterordner
Windows 2000
System Vollzugriff Dieser Ordner, Unterordner und Dateien
Administratoren Vollzugriff Dieser Ordner, Unterordner und Dateien

Verlustbehafteten Reparatur

Windows Server ab 2008

Windows Server 2003

esentutl /g %windir%\ntds\ntds.dit /!10240 /8 /o
esentutl /p %windir%\ntds\ntds.dit /!10240 /8 /o

Windows Server 2000

esentutl /g %windir%\ntds\ntds.dit /!10240 /8 /v /x /o
esentutl /p %windir%\ntds\ntds.dit /!10240 /8 /v /x /o

Fehlermeldung auf einem Active Directory Controller

- beim ausführen von ntdsutil

> Ntdsutil
Activate Instance ntds
Files
Integrity Das Jet-Modul konnte nicht initialisiert werden: Jet-Fehler -583. Fehler beim Öffnen von DIT für die AD DS-/LDS-Instanz NTDS: -2147418113

- beim ausführen von esentutl

esentutl /p %windir%\ntds\ntds.dit
Operation terminated with error -583 (JET_errSectorSizeNotSupported, The physical
 sector size reported by the disk subsystem, is unsupported by ESE for a specific file type.)

Der Jet-Fehler -583 tritt auf, wenn eine Festplatte unter Server 2008 R2 z.B. im RAID1 getauscht wurde, bei der die Größe der physische Sektoren nicht bei 512 Byte liegt. Hier war es eine WD mit einer Sektor-Größe von 3072 Byte.

Dateireplikationsdienst zwischen DomainControllern funktioniert nicht

Fehlermeldung 13555 in der Ereignisanzeige, auf einem neuen zum AD hinzugefügten DomainController wird keine AD-Struktur übertragen. Freigabe SYSVOL wird nicht erstellt.

Ereignis-IDs 13552 und 13555 im Dateireplikationsdienst auf einem Windows-basierten Domänencontroller protokolliert

Verzeichnisdienst Administrator Kennwort neu setzen

Setzt das Administratorkontokennwort des Verzeichnisdienst-Wiederherstellungsmodus zurück.

Ntdsutil
Set DSRM Password
Reset Password on server localhost

NTDS Dateien extern laden

esentutl.exe /p c:\restore\ntds.dit
dsamain.exe -dbpath c:\restore\ntds.dit -ldapport 5123 -allownonadminaccess -allowupgrade

mit der MMC "Active Directory-Benutzer und -Computer" die Datenbank auf Port 5123 öffnen. dsa.msc starten, oberste Zeile "Active Directory-Benutzer und -Computer [Server.domain.tld]" markieren, Domaincontroller ändern, in der ersten Spalte unter Name "Server.domain.tld:5123" eingeben und den Eintrag dann wählen. Daten der Domain können dann eingesehen werden.

Seitenanfang

Active Directory® Papierkorb aktivieren

- ab WinSRV 2012 verfügbar, der Papierkorb lässt sich nur aktivieren, deaktivieren ist nicht möglich

Active Directory-Verwaltungscenter | Domain wählen, rechte Maus, Papierkorb aktivieren

die Gelöschten Objekte sind dann im Active Directory-Verwaltungscenter unter Deleted Objects zu finden.

- prüft, ob der AD Papierkorb aktiv ist.

Get-ADOptionalFeature 'Recycle Bin Feature'

- Papierkorb ist aus

EnabledScopes      : {}

- Papierkorb ist aktiv

EnabledScopes      : {CN=NTDS Settings,CN=DC,CN=Servers,CN=Standardname-des-ersten-Standorts,CN=Sites,
                     CN=Configuration,DC=domain,DC=tld, CN=Partitions,CN=Configuration,DC=domain,DC=tld}
Seitenanfang

DFS-Replikation mit Fehlerbehebung

Wenn ein neuer Domaincontroller zur Domain hinzugefügt wird, aber es wird auf den neuen DC keine Freigaben für SYSVOL und NETLOGON erstellt.

Die Verzeichnisse werden auf den neuen DC durch den Dienst DFS-Replikation nach erfolgreicher Replikation erstellt.
Dienst neu starten

net stop DFSR && net start DFSR

Ereignisanzeige eventvwr.msc Ereignisanzeige | Anwendungs- und Dienstprotokolle | DFS-Replikation auf Einträge prüfen.

repadmin /showreps
dcdiag /d

wenn Einträge mit MaxOfflineTimeInDays wurde überschritten angezeigt werden, den Wert hochsetzen Replikation neu starten und den Wert wieder auf ein normalen Wert setzen.

wmic.exe /namespace:\\root\microsoftdfs path DfsrMachineConfig set MaxOfflineTimeInDays=2000
net stop DFSR && net start DFSR
repadmin /showreps
wmic.exe /namespace:\\root\microsoftdfs path DfsrMachineConfig set MaxOfflineTimeInDays=220

adsiedit.msc | Verbindung herstellen | Standardmäßige Namenskontext
DC=Domain/DC=TLD/OU=Domain Controllers/CN=ErsterDomänencontrollername/CN=DFSR-LocalSettings/CN=Domain System Volume/CN=SYSVOL Subscription

folgende Werte ändern

msDFSR-Enabled=Falsch
msDFSR-options=1

ADSI-Editor offen lassen

repadmin.exe /syncall
dfsrdiag pollad
net stop DFSR && net start DFSR

ADSI-Editor Werte wieder auf Standard setzen

msDFSR-Enabled=True
msDFSR-options=nicht festgelegt

 

Seitenanfang

einen DFS Stamm nach umbenennen des Servers löschen

Fehlertolerante DFS-Stämme

1. Halten Sie den DFS-Dienst an, indem Sie net stop dfs an einer Eingabeaufforderung eingeben.

2. Starten Sie den Registrierungseditor und löschen Sie die folgenden Registrierungsschlüssel: a. Löschen Sie den Ordner "Volumes" sowie etwaige Unterordner im Registrierungsschlüssel HKLM\SOFTWARE\Microsoft\DfsHost.

3. Löschen Sie alle Unterordner des Schlüssels HKLM\SYSTEM\CurrentControlSet\Services\DfsDriver\LocalVolumes. Löschen Sie jedoch keinesfalls den Ordner "LocalVolumes".

4. Klicken Sie im Menü Ansicht des Snap-Ins "Active Directory-Benutzer und -Computer" auf Erweiterte Funktionen. Öffnen Sie den Container "DFS-Konfiguration" im Ordner "System". Löschen Sie den DFS-Stamm im rechten Teilfenster.

Beachten Sie, dass die DFS-Konfigurationsdaten auch mit LDAP oder der Datei Adsiedit.msc aus dem Active Directory entfernt werden können. Für einen Computer in der Domäne A.COM mit einem fehlertoleranten DFS-Stamm namens DFSFT würde der LDAP-Pfad "CN=DFS-Configuration,CN=System,DC=A,DC=COM" lauten.

5. Starten Sie den in Schritt 1 angehaltenen DFS-Dienst neu.

MS Support Artikel 224384

Seitenanfang

Nach einer Rücksicherung von SYSVOL Replikation der DCs wieder aufnehmen

1. zeigt die Betriebsmaster der Domain an

netdom query fsmo

2. Kerberos-Schlüsselverteilungscenter stoppen

net stop kdc

3. Kennwort auf den DC setzen (Server1) und zum Betriebsmaster (Server2) übertragen.

netdom resetpwd /server:server2 /userd:local\administrator /passwordd:geheim

MS Support Artikel 260575

Seitenanfang

Active Directory Benutzer/Objekte wiederherstellen

AdRestore - Sysinternals Tool zum wiederherstellen

AD-Benutzer wiederherstellen

LDP unter Ausführen starten
Remoteverbindungen | Verbinden: localhost
Optionen | Steuerelemente | Vordefiniert laden:
Return deleted objects

Ansicht | Struktur
CN=Deleted Objects,DC=domain,DC=tld
Objekt das wiederhergestellt werden soll wählen, und auf ändern

isDeleted: TRUE;
isRecycled: TRUE;
lastKnownParent: OU=Benutzer,OU=_Firma,DC=domain,DC=tld;

isDeleted löschen
distinguishedName:CN=Admin,OU=Benutzer,OU=_Firma,DC=domain,DC=tld

 

Seitenanfang

Active Directory Server Grundeinrichtung

nach der Grundeinrichtung der Domain, sind noch einige Handgriffe nötig.

Server-Manager | Lokaler Server | Best Practices Analyzer

DNS Einstellungen der Ethernet Schnittstelle kontrollieren

DNS1: <IP-des-DomainDNSServers>
DNS2: 127.0.0.1

Zeitsyncronisierung einrichten

net stop w32time
reg add HKLM\SYSTEM\CurrentControlSet\Services\W32Time\Config /v MaxPosPhaseCorrection /t REG_DWORD
 /d 0xffffffff /f
reg add HKLM\SYSTEM\CurrentControlSet\Services\W32Time\Config /v MaxNegPhaseCorrection /t REG_DWORD
 /d 0xffffffff /f
reg add HKLM\SYSTEM\CurrentControlSet\Services\W32Time\TimeProviders\NtpClient /v SpecialPollInterval
 /t REG_DWORD /d 10800 /f
net start w32time
w32tm /config /syncfromflags:manual /manualpeerlist:"ntps1-0.cs.tu-berlin.de,0x9 de.pool.ntp.org,0x9"
w32tm /config /update
w32tm /resync /nowait

Zeitserver der Domain anzeigen

w32tm /monitor

Test eines NTP Servers

- testen, ob der angegebene Zeitserverserreichbar ist, es werden 5 Abfragen durchgeführt.

w32tm /stripchart /computer:de.pool.ntp.org /dataonly /samples:5

Sicherung einrichten

Srv.sys bei bedarf starten

"Srv.sys" wird auf "bei Bedarf starten" gesetzt. Clientcomputer können auf keine Dateifreigaben des Server Message Block (SMB) -basierte Netzwerkdienste auf diesem Computer zugreifen.

sc config srv start=demand

start=auto entspricht den RegistryEintrag

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\srv]
"Start"=dword:00000003

- Windows Standard Einstellung (SMB1 Protokoll wird automatisch gestartet) PCs mit WinXP oder Win2003 können auf den 2012/2012R2 zugreifen.

sc config srv start=auto

start=auto entspricht den RegistryEintrag

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\srv]
"Start"=dword:00000002

Erstellen kurzer Dateinamen sollte deaktiviert werden

Einige Programme haben Probleme, wenn es die 8.3 Dateinamen nicht mehr gibt, z.B. McAfee Virenscanner, deshalb vorher die Probleme abwägen.

- deaktiveren in der Registry, für neue Dateien wird danach kein 8.3 Namen mehr erstellt.

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\FileSystem]
"NtfsDisable8dot3NameCreation"=dword:00000001

- Windows Default Einstellung für kurze Dateinamen Technet Artikel

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\FileSystem]
"NtfsDisable8dot3NameCreation"=dword:00000002

Testen auf 8.3 Dateinamen

fsutil 8dot3name strip /s /t /l c:\Temp\8dot3.log "c:\Program Files"

löschen der 8.3 Dateinamen

fsutil 8dot3name strip /s /l c:\Temp\8dot3-delete.log "c:\Program Files"
Seitenanfang

Managed Service Account (MSA) und Group Managed Service Account (GMSA)

MSA wurde mit Server 2008 eingeführt, dieser Account wird dann einen Server zugewiesen und kann nur auf diesem genutzt werden. Ab Server 2012 können auch Group Managed Service Accounts (GMSA) erstellt und genutzt werden.

Erstellen des KDS-Stammschlüssels

- Prüfen ob schon ein "RootKey" vorhanden ist.

Get-KdsRootKey

- RootKey anlegen, Je nach Größe des Active Directory und Anzahl der DCs kann es bis zu 10 Stunden dauern, bis alle anderen DCs bereit sind auf GMSA Anfragen zu antworten.

Add-KDSRootKey -EffectiveImmediately

für Testumgebungen eine schnellere Variante, RootKey kann sofort genutzt werden

Add-KdsRootKey -EffectiveTime ((get-date).addhours(-10))

- Group Managed Service Account im AD erstellen (New-ADServiceAccount)

New-ADServiceAccount -Name <Name des ServiceAccount> `
 -DNSHostName <Servername> `
 -PrincipalsAllowedToRetrieveManagedPassword <GruppenName>

- den erstellten GMSA zu den AD Computer Service Accounts hinzufügen (Add-ADComputerServiceAccount)

Add-ADComputerServiceAccount -Identity <ADComputer> -ServiceAccount <Name des ServiceAccount>

- ServiceAccount anzeigen

Get-ADServiceAccount -Filter *

- ServiceAccount installieren

Install-AdServiceAccount -Identity <Name des ServiceAccount>

Service Account testen

Test-AdServiceAccount -Identity <Name des ServiceAccount>

Beispiel

New-ADServiceAccount -Name "GMSA-Web" `
 -DNSHostName SRV2012R2 `
 -PrincipalsAllowedToRetrieveManagedPassword SRV2012R2$
Add-ADComputerServiceAccount -Identity SRV2012R2 -ServiceAccount "GMSA-Web"
Install-AdServiceAccount "GMSA-Web"

Jetzt kann der ServiceAccount zur Authentifizierung genutzt werden, Benutzer: Domain\GMSA-Web$ und das Passwort leer lassen. Dieser Account kann z.B. für Backup, Web SQL-Server u.a. genutzt werden.

Seitenanfang

Active Directory testen

Befehl Beschreibung
Eingabeaufforderung
dcdiag  
dcdiag /test:netlogons Überprüft, ob die entsprechenden Anmelderechte einen Fortgang der Replikation zulassen
nltest /dclist:<Domainname>  
nltest /dsgetsite Standort des Domaincontrollers prüfen
repadmin /showreps Replikation prüfen
repadmin /showrepl  
DNS Check
dcdiag /test:DNS DNS Einstellungen der Organisation testen
ping <domain.tld>  
nsloookup <domain.tld> zeigt Domaincontroller der Domain an
   
Powershell
get-adreplicationconnetion  
get-adreplicationfailure Replikationsfehler anzeigen
   
   
   

- SRV Eintrag der Domain anzeigen, <domain.tld> ist durch den richtigen Namen der Domain zu ersetzen

nslookup
ls -t SRV <domain.tld>

- auf dem DC der Domain ausführen, bei Login Problemen der Clients. Durch den Neustart des Netlogon Dienstes wird auch die Freigabe NETLOGON C:\Windows\SYSVOL\sysvol\<Domain.tld>\SCRIPTS neu erstellt.

ipconfig /flushdns
ipconfig /registerdns
net stop netlogon
net start netlogon

 

 

 

Seitenanfang

sonstiges

- Active Directory Domain Service (ADDS)
Domain und Ressourcenverwaltung
- Active Directory Lighweigth Directory Service (ADLDS)
eingeschränkte Version des ADDS zum Anbinden von Anwendungen oder Diensten
- Active Directory Federation Service (ADFS)
Webbasierte Authentifizierung von Benutzern, die sich außerhalb der ADDS-Infrastuktur befinden
- Active Directory Rigths Management Service (ADRMS)
stellt Kryptografische Methoden zum Schutz der AD-Ressourcen bereit
- Active Directory Certificate Service (ADCS)
PublicKey Infrastruktur

Wiederherstellen eines gelöschten Active Directory-Objekts

Cmdlet >Restore-ADObject<
wird ein AD-Objekt gelöscht, verbleibt es per Default 180 Tage im Papierkorb und kann mit dem Cmdlet wiederhergestellt werden

Befehl Beschreibung
repadmin (Supporttools) Bei Problemen mit der Replikation zwischen DCs
repmon (Supporttools) Replikationsmonitor
dcdiag /test:dns DNS Servereinträge der Doamin prüfen (Win2003 Support Tools, in Win2008 wird es mit installiert)
netdiag /fix bei Fehlern im DNS diese reparieren (Support Tools von Win2003, nicht für Win2008 verfügbar)
set logonserver zeigt Logonserver des Clients an
   

DHCP Einstellungen von einem anderen Server übernehmen

netsh dhcp server export c:\temp\dhcpdb.set all
netsh dhcp server import c:\temp\dhcpdb.set all

Domain Controller entfernen

KB 216498; DomainController aus AD entfernen
DC Herabstufen
DC Herabstufen und Domain bereinigen
DNS lookup failure caused replication to fail
MS DNS Server
KB824449, Event Fehler 2087 und 2088

Tombstone Lifetime überschritten

keine AD Replikation der DCs innerhalb der letzten 60 Tage

veraltete und zu löschende Objekte auf dem QuellDC anzeigen

repadmin /removelingeringobjects <Quell-DC> <Ziel-DC-DSA-GUID> <NC> /ADVISORY_MODE

veraltete Objekte endgültig vom QuellDC löschen

repadmin /removelingeringobjects <Quell-DC> <Ziel-DC-DSA-GUID> <NC>

Beispiel:

Anzeige der <Ziel-DC-DSA-GUID>

repadmin /showrepl

Denn folgenden Befehl auf dem DC ausführen, der sich nicht repliziert hat. Wenn keine Objekte angeziegt werden, ist der Datenbestand konsistent.

repadmin /removelingeringobjects Quelldc.domain.tld <Ziel-DC-DSA-GUID> dc=domain,dc=tld /ADVISORY_MODE
repadmin /sync CN=Configuration,DC=company,DC=com <local domain controller name> <replication partner GUID>
repadmin /sync DC=company,DC=com <local domain controller name> <replication partner GUID>

Auf dem DC der den aktuellen Datenbestand hat, den Registry Eintrag setzen, um eine Replizierung zu erzwingen. !!Wichtig nach dem Replizieren der DCs den Wert wieder auf 0 setzen.

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\NTDS\Parameters]
"Allow Replication With Divergent and Corrupt Partner"=dword:00000001

Verzeichnisdienst stoppen und wieder starten

net stop ntds
net start ntds

Mit repadmin prüfen ob die Aktion erfolgreich war (auf allen DCs ausführen).

repadmin /showrepl

TAPI-Anwendungsverzeichnispartition

TecnNet Artikel

Verzeichnispartition anzeigen und entfernen

tapicfg show
tapicfg remove /directory:TAPI3Directory.domain.tld /server:server.domain.tld

Migration Win2003 mit Exchange zum Windows 2012R2

Fehler bei der Überprüfung der Voraussetzungen für die Active Directory-Vorbereitung. Für die Domäne "domain.tld" konnte keine Exchange-Schemakonfliktüberprüfung ausgeführt werden..
Ausnahme: Zugriff verweigert.
Daten des Servers "server.domain.tld" konnten über die Windows-Verwaltungsinstrumentation (WMI) nicht abgerufen werden.
[Benutzeraktion]
Informationen zu möglichen Fehlerursachen finden Sie in der Protokolldatei "ADPrep.log" im Verzeichnis "C:\Windows\debug\adprep\logs\xxxx-test".

WMI Test

wmic /node:192.168.20.50  printer list status
wmic /user:<Domain\Benutzer> /password:<Passwort> /node:192.168.20.50  printer list status

Blog zum Fehler

compmgmt.msc

Computerverwaltung starten | Dienste und Anwendungen | WMI-Steuerung | Eigenschaften
Sicherheit: Recht Remoteaktivierung muss gesetzt sein.

  1. Rechte zurücksetzen, danach neustarten und testen
    secedit /configure /cfg %windir%\repair\secsetup.inf /db secsetup.sdb /verbose
  2. @echo off
    sc config winmgmt start= disabled
    net stop winmgmt /y
    %systemdrive%
    cd %windir%\system32\wbem
    for /f %%s in ('dir /b *.dll') do regsvr32 /s %%s
    wmiprvse /regserver
    winmgmt /regserver
    sc config winmgmt start= auto
    net start winmgmt
    for /f %%s in ('dir /s /b *.mof *.mfl') do mofcomp %%s
    danach rebooten und testen
  3. secedit /configure /cfg %windir%\repair\secsetup.inf /db secsetup.sdb /verbose
    danach rebooten und testen
  4. Firewall Freigabe WIMC Zugriff
    netsh firewall set service RemoteAdmin enable
    netsh advfirewall firewall set rule group="Windows-Verwaltungsinstrumentation (WMI)" new enable=yes
  5. alle Dienste die WMI benötigt
    COM+
    Verwaltung für automatische RAS-Verbindung
    RAS-Verbindungsverwaltung
    Remoteprozeduraufruf (RPC)
    RPC-Locator
    Remote Registry
    Server
    Windows-Verwaltungsinstrumentation
    Windows Management Instrumentation Driver Extensions
    WMI-Leistungsadapter
    Arbeitsstationsdienst
  6. GPO der Domaincontroller bearbeiten
    Computerkonfiguration | Windows-Einstellungen | Sicherheitseinstellung | Lokale Richtlinien | Zuweisen von Benutzerrechten
    Anmeldung als Dienst: Netzwerkdienst