Windows Server
United States - English
Homepage
Windows Server "8" Beta
2008
2003
Library
Foren
4 von 4 fanden dies hilfreich - Dieses Thema bewerten.

Schritte zur Bereitstellung eines RODC

Letzte Aktualisierung: Mai 2009

Betrifft: Windows Server 2008

In diesem Abschnitt finden Sie Informationen zur Bereitstellung eines RODC. Zunächst werden wichtige obligatorische Aufgaben beschrieben und zusätzlich dazu optionale Aufgaben. Im Anschluss an diese Liste finden Sie detaillierte Informationen, unter anderem zu administrativen Anmeldeinformationen, und Verfahren für die Ausführung einiger dieser Aufgaben.

Führen Sie zur Bereitstellung eines RODC die folgenden wichtigen Aufgaben aus:

Sicherstellen einer Gesamtstrukturfunktionsebene unter Windows Server 2003 oder höher

Administrative Anmeldeinformationen

Jeder Domänenbenutzer kann überprüfen, ob die Gesamtstrukturfunktionsebene Windows Server 2003 oder höher lautet. Zum Heraufstufen der Gesamtstrukturfunktionsebene müssen Sie jedoch entweder ein Mitglied der Gruppe Domänen-Admins in der Stammdomäne der Gesamtstruktur oder ein Mitglieder der Gruppe Organisations-Admins sein.

So stellen Sie eine Gesamtstrukturfunktionsebene unter Windows Server 2003 oder höher sicher

  1. Öffnen Sie Active Directory-Domänen und -Vertrauensstellungen.

  2. Klicken Sie in der Konsolenstruktur mit der rechten Maustaste auf den Namen der Gesamtstruktur, und klicken Sie dann auf Eigenschaften.

  3. Überprüfen Sie unter Gesamtstrukturfunktionsebene, ob der Wert Windows Server 2003 oder Windows Server 2008 lautet.

  4. Falls die Gesamtstrukturfunktionsebene heraufgestuft werden muss, klicken Sie in der Konsolenstruktur mit der rechten Maustaste auf Active Directory-Domänen und -Vertrauensstellungen, und klicken Sie dann auf Gesamtstrukturfunktionsebene heraufstufen.

  5. Klicken Sie unter Wählen Sie eine verfügbare Gesamtstrukturfunktionsebene auf Windows Server 2003, und klicken Sie dann auf Heraufstufen.

Ausführen von "adprep /rodcprep"

Administrative Anmeldeinformationen

Durch diesen Schritt werden die Berechtigungen für alle DNS-Anwendungsverzeichnispartitionen in der Gesamtstruktur aktualisiert. Auf diese Weise können sie von allen RODCs repliziert werden, die ebenfalls DNS-Server sind. Zum Ausführen von adprep /rodcprep müssen Sie ein Mitglied der Gruppe Organisations-Admins sein.

So führen Sie "adprep /rodcprep" aus

  1. Melden Sie sich am Domänencontroller als Mitglied der Gruppe Organisations-Admins an.

  2. Kopieren Sie den Inhalt des Ordners \sources\adprep von der Windows Server 2008-Installations-DVD auf den Schemamaster.

  3. Öffnen Sie eine Eingabeaufforderung, wechseln Sie zum Ordner adprep, geben Sie den folgenden Befehl ein, und drücken Sie dann die EINGABETASTE:

    adprep /rodcprep

Installieren eines schreibbaren Domänencontrollers unter Windows Server 2008

Ein RODC muss Domänenupdates von einem schreibbaren Domänencontroller unter Windows Server 2008 replizieren. Vor der Installation eines RODC müssen Sie in derselben Domäne unbedingt einen schreibbaren Domänencontroller installieren, auf dem Windows Server 2008 ausgeführt wird. Auf dem Domänencontroller kann entweder eine vollständige Installation oder eine Server Core-Installation von Windows Server 2008 ausgeführt werden. Unter Windows Server 2008 muss der schreibbare Domänencontroller nicht die Betriebsmasterrolle für den Emulator des primären Domänencontrollers (Primary Domain Controller, PDC) besitzen.

Weitere Informationen und schrittweise Verfahren zur Installation eines schreibbaren Domänencontrollers unter Windows Server 2008 finden Sie in der schrittweisen Anleitung für die Installation und Deinstallation der Active Directory-Domänendienste unter Windows Server 2008 (http://go.microsoft.com/fwlink/?LinkId=86716, möglicherweise in englischer Sprache).

Optional: Installieren eines RODC auf einer vollständigen Installation von Windows Server 2008

Sie können einen RODC entweder auf einer vollständigen Installation von Windows Server 2008 oder auf einer Server Core-Installation von Windows Server 2008 installieren. Der Assistent zum Installieren von Active Directory-Domänendiensten kann auf unterschiedliche Weise gestartet werden. Eine vollständige Liste der Startmöglichkeiten finden Sie in der schrittweisen Anleitung für die Installation und Deinstallation der Active Directory-Domänendienste unter Windows Server 2008 (http://go.microsoft.com/fwlink/?LinkId=86716, möglicherweise in englischer Sprache).

Nachdem Sie den ersten RODC in der Domäne installiert haben, sollten Sie ausreichend Zeit verstreichen lassen, damit die neuen Gruppen von Kennwortreplikationsrichtlinien auf den anderen Domänencontrollern in der Domäne repliziert werden können. Versuchen Sie erst danach, weitere RODCs zu installieren. So werden mögliche Fehler bei der RODC-Installation vermieden. Diese können auftreten, wenn die Gruppen nicht auf dem Quelldomänencontroller verfügbar sind.

Administrative Anmeldeinformationen

Zur Installation eines RODC auf einer vollständigen Installation von Windows Server 2008 müssen Sie ein Mitglied der Gruppe Domänen-Admins sein.

So installieren Sie einen RODC auf einer vollständigen Installation von Windows Server 2008

  1. Melden Sie sich am Server als Mitglied der Gruppe Domänen-Admins an.

  2. Klicken Sie auf Start, geben Sie dcpromo ein, und drücken Sie dann die EINGABETASTE, um den Assistenten zum Installieren von Active Directory-Domänendiensten zu starten. Der Server kann Mitglied einer Arbeitsgruppe sein. Wenn Sie die Installation nicht delegieren, kann der Server auch bereits ein Mitglied der Domäne sein, in der er als RODC ausgeführt werden soll.

    noteHinweis
    Wenn Sie auf der Seite Willkommen das Kontrollkästchen Installation im erweiterten Modus verwenden aktivieren, können Sie während der AD DS-Installation die Kennwortreplikationsrichtlinie für den RODC und andere Einstellungen konfigurieren. In dieser Anleitung finden Sie unter Schritte zur Verwaltung eines RODC eine Anleitung zum Konfigurieren der Kennwortreplikationsrichtlinie. Eine vollständige Liste der Einstellungen, die Sie konfigurieren können, wenn Sie das Kontrollkästchen Installation im erweiterten Modus verwenden aktivieren, wird angezeigt, wenn Sie auf den Hilfelink Installation im erweiterten Modus klicken.

  3. Klicken Sie auf der Seite Bereitstellungskonfiguration wählen auf Vorhandene Gesamtstruktur, klicken Sie wie in der Abbildung dargestellt auf Domänencontroller vorhandener Domäne hinzufügen, und klicken Sie dann auf Weiter.

    Bereitstellungskonfigurationsseite

  4. Geben Sie auf der Seite Sicherheitsinformationen für das Netzwerk den Namen einer Domäne in der Gesamtstruktur ein, in der Sie den RODC installieren möchten. Geben Sie bei Bedarf auch einen Benutzernamen und ein Kennwort für ein Mitglied der Gruppe Domänen-Admins ein, und klicken Sie dann auf Weiter.

  5. Wählen Sie die Domäne für den RODC aus, und klicken Sie dann auf Weiter.

  6. Klicken Sie auf den Active Directory-Standort für den RODC wie in der folgenden Abbildung dargestellt, und klicken Sie dann auf Weiter.

    Seite für die Standortauswahl

  7. Aktivieren Sie das Kontrollkästchen Schreibgeschützter Domänencontroller wie in der folgenden Abbildung dargestellt. Das Kontrollkästchen DNS-Server ist standardmäßig ebenfalls aktiviert.

    Zusätzliche Seite für DC-Optionen
    noteHinweis
    Damit der DNS-Server auf dem RODC ausgeführt werden kann, muss ein anderer Domänencontroller unter Windows Server 2008 in der Domäne vorhanden sein und die DNS-Domänenzone hosten. Eine Active Directory-integrierte Zone auf einem RODC ist stets eine schreibgeschützte Kopie der Zonendatei. Updates werden an einen DNS-Server an einem Hubstandort gesendet und nicht lokal auf dem RODC vorgenommen.

  8. Zur Verwendung der Standardordner, die für die Active Directory-Datenbank, die Protokolldateien und SYSVOL angegeben wurden, klicken Sie auf Weiter.

  9. Geben Sie ein Kennwort für den Verzeichnisdienst-Wiederherstellungsmodus ein, bestätigen Sie es, und klicken Sie dann auf Weiter.

  10. Überprüfen Sie die Informationen, die auf der Seite Zusammenfassung angezeigt werden, und klicken Sie dann auf Weiter, um die AD DS-Installation zu starten. Sie können das Kontrollkästchen Nach Abschluss neu starten aktivieren, damit die restliche Installation völlig automatisch ausgeführt wird.

Optional: Installieren eines RODC auf einer Server Core-Installation

Administrative Anmeldeinformationen

Diese Aufgabe ist optional. Wenn Sie einen RODC auf einer Server Core-Installation von Windows Server 2008 installieren möchten, müssen Sie ein Mitglied der Gruppe Domänen-Admins sein, oder die Fähigkeit zum Ausführen der Installation muss an Sie delegiert worden sein.

Zur Installation eines RODC auf einer Server Core-Installation von Windows Server 2008 müssen Sie eine unbeaufsichtigte Installation von AD DS ausführen. Im folgenden Verfahren sind die Parameter enthalten, die während einer unbeaufsichtigten Installation in der Antwortdatei angegeben werden können. Wenn Sie den Befehl dcpromo /unattend verwenden, können Sie diese Parameter auch über eine Befehlszeile angeben.

Weitere Informationen zu den Parametern für die unbeaufsichtigte Installation von AD DS und die Beendigungscodes, die nach der Installation zurückgegeben werden, finden Sie in der schrittweisen Anleitung für die Installation und Deinstallation der Active Directory-Domänendienste unter Windows Server 2008 (http://go.microsoft.com/fwlink/?LinkId=86716, möglicherweise in englischer Sprache), die Teil dieser Dokumentation ist.

So installieren Sie einen RODC auf einer Server Core-Installation von Windows Server 2008

  1. Installieren Sie einen zweiten Servercomputer, auf dem eine Server Core-Installation von Windows Server 2008 ausgeführt wird.

  2. Kopieren Sie die folgenden Antwortdateieinstellungen in eine Textdatei. Die Einstellungen InstallDNS, PasswordReplicationAllowed, PasswordReplicationDenied und ReplicationSourceDC sind optional. Ersetzen Sie die Platzhalterinformationen (in Kursivschrift) durch die entsprechenden Informationen für Ihre Umgebung. Speichern Sie dann die Textdatei unter dem Namen, den Sie während der Installation für die Antwortdatei verwenden:

    [DCInstall]

    InstallDNS=Yes

    ConfirmGc=No

    CriticalReplicationOnly=No

    DisableCancelForDnsInstall=No

    PasswordReplicationAllowed= Die Namen der Gruppen, für deren Mitglieder auf dem RODC Kennwörter zwischengespeichert werden dürfen

    PasswordReplicationDenied= Die Namen der Gruppen, für deren Mitglieder auf dem RODC KEINE Kennwörter zwischengespeichert werden dürfen

    Password= Domänenadministratorkennwort

    RebootOnCompletion=No

    ReplicaDomainDNSName= Der vollständige DNS-Name der Domäne

    ReplicaOrNewDomain=ReadOnlyReplica

    ReplicationSourceDC= Name eines Domänencontrollers unter Windows Server 2008 in derselben Domäne

    SafeModeAdminPassword= Wählen Sie ein geeignetes Kennwort für den Verzeichnisdienst-Wiederherstellungsmodus aus

    SiteName= RODC-Standortname

    UserDomain= Domänenname

    UserName= Domänenadministrator-Kontoname

    noteHinweis
    Die Gruppen, die als Werte für PasswordReplicationAllowed und PasswordReplicationDenied angegeben werden, müssen bereits vorhanden sein. Sie müssen die Gruppen entweder im Windows NT-Format (domaene\benutzername oder domaene.com\benutzername) oder im UPN-Format (User Principal Name) (benutzername@domaene.com) angeben. Fügen Sie für jede zusätzliche Gruppe einen weiteren Eintrag hinzu. Beispiel:

    PasswordReplicationAllowed=CN=AllowedGroup,OU=Users,DC=spruce,DC=example,DC=contoso,DC=com

    PasswordReplicationAllowed=CN=AllowedGroup2,OU=Users,DC=spruce,DC=example,DC=contoso,DC=com

    Wenn Sie während der Installation keine Gruppen angeben möchten, lassen Sie diesen Eintrag leer.

  3. Geben Sie an einer Befehlszeile den folgenden Befehl ein, und drücken Sie dann die EINGABETASTE:

    dcpromo /unattend: PfadZurAntwortdatei

Optional: Delegieren einer RODC-Installation

Sie können eine bereitgestellte Installation eines RODC ausführen, bei der die Installation in zwei Phasen durch verschiedene Personen ausgeführt wird. In der ersten Phase der Installation, in der Anmeldeinformationen für die Domänenverwaltung erforderlich sind, wird in AD DS ein Konto für den RODC erstellt. In der zweiten Phase der Installation wird der Server, der an einem Remotestandort, z. B. in einer Zweigstelle, als RODC dienen soll, dem Konto zugeordnet, das zuvor für ihn erstellt wurde. Sie können die Fähigkeit zum Zuweisen des Servers zu diesem Konto an eine Gruppe oder einen Benutzer ohne Administratorberechtigungen delegieren, die bzw. der sich am Remotestandort befindet.

Während der ersten Phase der Installation zeichnet der Assistent zum Installieren alle Daten für den RODC auf, die in der verteilten Active Directory-Datenbank gespeichert werden, einschließlich des Kontonamens des RODC und des Standorts, an dem dieser platziert wird. Diese Phase muss von einem Mitglied der Gruppe Domänen-Admins ausgeführt werden.

Der Administrator, der das RODC-Konto erstellt, kann zu diesem Zeitpunkt auch angeben, welche Benutzer oder Gruppen die nächste Phase der Installation ausführen können. Die nächste Phase der Installation kann in der Zweigstelle von jedem Benutzer oder jeder Gruppe ausgeführt werden, an den bzw. die bei Erstellung des Kontos das Recht zum Ausführen der Installation delegiert wurde. Diese Phase erfordert keine Mitgliedschaft in integrierten Gruppen wie der Gruppe Domänen-Admins. Wenn der Benutzer, der das RODC-Konto erstellt, keine Delegierung für das Abschließen der Installation (und Verwalten des RODC) angibt, kann die Installation nur von einem Mitglied der Gruppe Domänen-Admins oder der Gruppe Organisations-Admins abgeschlossen werden.

Während der zweiten Phase installiert der Assistent AD DS auf dem Server, der als RODC dienen soll, und weist den Server dem Konto zu, das zuvor für ihn erstellt wurde. Diese Phase wird in der Regel in der Zweigstelle oder an einem anderen Remotestandort ausgeführt, in der bzw. an dem der RODC bereitgestellt wird. Während dieser Phase werden alle lokal gespeicherten AD DS-Daten wie die Datenbank, die Protokolldateien usw. auf dem RODC selbst erstellt. Sie können die Installationsquelldateien über das Netzwerk von einem anderen Domänencontroller auf den RODC replizieren, oder Sie können das IFM-Feature (Install from media, Installieren von Medium) verwenden. Wenn Sie IFM verwenden möchten, führen Sie zum Erstellen des Installationsmediums Ntdsutil.exe aus.

Der Server, der als RODC verwendet werden soll, darf nicht der Domäne beitreten, bevor Sie ihn dem RODC-Konto zuordnen. Im Rahmen der Installation ermittelt der Assistent automatisch, ob der Name des Servers dem Namen eines der RODC-Konten entspricht, die für die Domäne im Voraus erstellt wurden. Wenn der Assistent einen übereinstimmenden Kontonamen findet, fordert er den Benutzer auf, dieses Konto zum Abschließen der RODC-Installation zu verwenden.

Sie können zum Erstellen eines RODC-Kontos das Snap-In Active Directory-Benutzer und -Computer verwenden.

noteHinweis
Sie können eine bereitgestellte Installation eines RODC automatisieren, indem Sie an einer Eingabeaufforderung dcpromo zusammen mit den entsprechenden Parametern bzw. mit einer Antwortdatei eingeben. Weitere Informationen zur Automatisierung der Installation finden Sie in der schrittweisen Anleitung für die Installation und Deinstallation der Active Directory-Domänendienste unter Windows Server 2008 (http://go.microsoft.com/fwlink/?LinkId=86716, möglicherweise in englischer Sprache).

So erstellen Sie ein RODC-Konto mithilfe der Windows-Benutzeroberfläche

  1. Klicken Sie auf Start und auf Verwaltung, und klicken Sie dann auf Active Directory-Benutzer und -Computer.

  2. Doppelklicken Sie auf den Domänencontainer. Klicken Sie anschließend mit der rechten Maustaste auf den Container Domänencontroller, oder klicken Sie auf den Container Domänencontroller und dann auf Aktion.

  3. Klicken Sie auf Konto für schreibgeschützten Domänencontroller vorbereiten wie in der folgenden Abbildung dargestellt.

    Schreibgeschütztes Domänencontrollerkonto vorbereiten

  4. Wählen Sie auf der Seite Willkommen die Option Installation im erweiterten Modus verwenden aus, wenn Sie die standardmäßige Kennwortreplikationsrichtlinie ändern möchten, und klicken Sie dann auf Weiter.

  5. Klicken Sie auf der Seite Sicherheitsinformationen für das Netzwerk unter Geben Sie die für die Installation zu verwendenden Anmeldeinformationen an auf Aktuelle Anmeldeinformationen wie in der folgenden Abbildung dargestellt, oder klicken Sie auf Alternative Anmeldeinformationen und dann auf Festlegen. Geben Sie im Dialogfeld Windows-Sicherheit den Benutzernamen und das Kennwort für ein Konto ein, das den zusätzlichen Domänencontroller installieren kann. Zur Installation eines zusätzlichen Domänencontrollers müssen Sie ein Mitglied der Gruppe Organisations-Admins oder der Gruppe Domänen-Admins sein. Klicken Sie nach Eingabe der Anmeldeinformationen auf Weiter.

    Sicherheitsinformationen für das Netzwerk

  6. Geben Sie auf der Seite Namen des Computers angeben den Computernamen des Servers an, der als RODC ausgeführt werden soll.

  7. Wählen Sie auf der Seite Standort auswählen einen Standort aus der Liste aus. Alternativ können Sie die Option zur Installation des Domänencontrollers am Standort mit der IP-Adresse des Computers, auf dem der Assistent ausgeführt wird, auswählen. Klicken Sie dann auf Weiter.

  8. Nehmen Sie auf der Seite Weitere Domänencontrolleroptionen wie in der folgenden Abbildung dargestellt eine Auswahl vor, und klicken Sie dann auf Weiter:

    • DNS-Server: Diese Option ist standardmäßig ausgewählt, damit der Domänencontroller als DNS-Server dienen kann. Wenn der Domänencontroller kein DNS-Server sein soll, deaktivieren Sie dieses Kontrollkästchen. Falls Sie jedoch die DNS-Serverrolle nicht auf dem RODC installieren und der RODC der einzige Domänencontroller der Zweigstelle ist, können die Benutzer der Zweigstelle keine Namensauflösung ausführen, wenn das WAN zum Hubstandort offline ist.

    • Globaler Katalog: Diese Option ist standardmäßig aktiviert. Dadurch werden dem Domänencontroller die schreibgeschützten Verzeichnispartitionen des globalen Katalogs hinzugefügt, und die Suchfunktion für den globalen Katalog wird aktiviert. Wenn der Domänencontroller kein globaler Katalogserver sein soll, deaktivieren Sie diese Option. Falls Sie jedoch keinen globalen Katalogserver in der Zweigstelle installieren oder das Zwischenspeichern der universellen Gruppenmitgliedschaft für den Standort, der den RODC umfasst, nicht aktivieren, können sich die Benutzer der Zweigstelle nicht bei der Domäne anmelden, wenn das WAN zum Hubstandort offline ist.

    • Schreibgeschützter Domänencontroller Wenn Sie ein RODC-Konto erstellen, ist diese Option standardmäßig aktiviert und kann nicht deaktiviert werden.

      Zusätzliche Optionen für Domänencontroller

  9. Wenn Sie auf der Seite Willkommen das Kontrollkästchen Installation im erweiterten Modus verwenden aktiviert haben, wird die Seite Richtlinie für Kennwortreplikation angeben angezeigt. Standardmäßig werden keine Kontokennwörter auf den RODC repliziert, und sicherheitskritische Konten (z. B. Mitglieder der Gruppe Domänen-Admins) sind explizit von der Replikation ihrer Kennwörter auf den RODC ausgeschlossen.

    Klicken Sie auf Weiter, um die Standardeinstellung zu übernehmen.

    - oder -

    Klicken Sie auf Hinzufügen, um der Richtlinie weitere Konten hinzuzufügen. Wenn den Konten die Replikation ihrer Kennwörter auf dem RODC gestattet werden soll, klicken Sie auf Kennwörter für Konto auf diesen RODC replizieren. Wenn den Konten die Replikation ihrer Kennwörter auf den RODC verweigert werden soll, klicken Sie auf Kennwörter für Konto nicht auf diesen RODC replizieren. Klicken Sie dann auf OK. Klicken Sie auf Weiter, wenn Sie keine weiteren Konten mehr hinzufügen möchten.

    Wenn Sie den ersten RODC in einer Domäne installieren, werden sämtliche Domänengruppenkonten erstellt, die für das ordnungsgemäße Ausführen von RODCs erforderlich sind. Je nach Replikationstopologie gibt der Assistent beim Versuch, einen anderen RODC in der Domäne zu installieren, möglicherweise die Fehlermeldung aus, dass diese Gruppenkonten nicht verfügbar sind. Warten Sie in diesem Fall, bis die Replikation abgeschlossen ist, bevor Sie einen weiteren RODC installieren.

    Weitere Informationen zum Konfigurieren der Kennwortreplikationsrichtlinie finden Sie unter Schritte zur Verwaltung eines RODC.

  10. Geben Sie unter Benutzer, Computer oder Gruppen auswählen die Namen der Konten ein, die der Richtlinie hinzugefügt werden sollen, und klicken Sie dann auf OK.

  11. Geben Sie auf der Seite Delegierung der Installation und Verwaltung des RODC den Namen des Benutzers oder der Gruppe ein, der bzw. die den Server dem von Ihnen erstellten RODC-Konto zuweist, wie in der folgenden Abbildung dargestellt. Es kann nur der Name eines einzelnen Sicherheitsprinzipals eingegeben werden.

    RODC-Installation delegieren

    Klicken Sie auf Festlegen, um im Verzeichnis nach einem bestimmten Benutzer oder einer Gruppe zu suchen. Geben Sie unter Benutzer, Computer oder Gruppen auswählen den Namen des Benutzers oder der Gruppe ein. Die RODC-Installation und -verwaltung sollte an eine Gruppe delegiert werden.

    Nach der Installation verfügt dieser Benutzer bzw. diese Gruppe auch über lokale Administratorrechte auf dem RODC. Wenn Sie keinen Benutzer bzw. keine Gruppe angeben, kann der Server dem Konto nur von einem Mitglied der Gruppe Domänen-Admins oder der Gruppe Organisations-Admins zugeordnet werden.

    Klicken Sie anschließend auf Weiter.

  12. Überprüfen Sie auf der Seite Zusammenfassung Ihre Auswahl. Klicken Sie bei Bedarf auf Zurück, um Änderungen vorzunehmen.

    Klicken Sie zum Speichern der ausgewählten Einstellungen in einer Antwortdatei, die Sie zur Automatisierung nachfolgender AD DS-Vorgänge verwenden können, auf Einstellungen exportieren. Geben Sie einen Namen für die Antwortdatei ein, und klicken Sie dann auf Speichern.

    Wenn Sie Ihre Auswahl überprüft haben, klicken Sie auf Weiter, um das RODC-Konto zu erstellen.

  13. Klicken Sie auf der Seite Fertigstellen des Assistenten auf Fertig stellen.

Nachdem Sie das Konto für den RODC erstellt haben, kann der Benutzer oder die Gruppe, an den bzw. die Sie die Installation und Verwaltung des RODC delegiert haben (in Schritt 11 des vorhergehenden Verfahrens), zum Abschließen der RODC-Installation den Assistenten zum Installieren von Active Directory-Domänendiensten auf dem Server ausführen, der als RODC dienen soll. Stellen Sie vor dem Starten des Assistenten sicher, dass der Server nicht der Domäne hinzugefügt wurde.

So weisen Sie einen Server mithilfe der Windows-Benutzeroberfläche einem RODC-Konto zu

  1. Melden Sie sich als lokaler Administrator am Server an, der als RODC dienen soll, und öffnen Sie dann eine Eingabeaufforderung.

  2. Geben Sie den folgenden Befehl ein, und drücken Sie dann die EINGABETASTE:

    dcpromo /UseExistingAccount:Attach

  3. Klicken Sie auf der Seite Willkommen auf Weiter, oder aktivieren Sie das Kontrollkästchen Installation im erweiterten Modus verwenden, wenn Sie die Installation von einem Medium ausführen oder den Quelldomänencontroller für die AD DS-Replikation angeben möchten.

  4. Geben Sie auf der Seite Sicherheitsinformationen für das Netzwerk den Namen einer vorhandenen Domäne in der Gesamtstruktur ein, in der Sie den zusätzlichen Domänencontroller installieren möchten, wie in der folgenden Abbildung dargestellt. Klicken Sie unter Geben Sie die für die Installation zu verwendenden Anmeldeinformationen an auf Alternative Anmeldeinformationen und dann auf Festlegen. Geben Sie im Dialogfeld Windows-Sicherheit den Benutzernamen und das Kennwort für ein Konto an, an das die Fähigkeit zur Installation und Verwaltung des RODC bei der Erstellung des RODC-Kontos delegiert wurde. Klicken Sie nach Eingabe der Anmeldeinformationen auf Weiter.

    Anmeldeinformationen für das Netzwerk

  5. Überprüfen Sie auf der Seite Domänencontrollerkonto auswählen, ob der Assistent ein vorhandenes RODC-Konto gefunden hat, das dem Namen des Servers entspricht, und klicken Sie dann auf Weiter.

  6. Wenn Sie die Installation im erweiterten Modus ausgewählt haben, können Sie die folgenden erweiterten Optionen angeben:

    1. Auf der Seite Installieren von Medium können Sie den Speicherort des Installationsmediums angeben, das zur Erstellung des Domänencontrollers und zur Konfiguration von AD DS verwendet werden soll, oder Sie können auswählen, dass alle Daten über das Netzwerk repliziert werden sollen. Beachten Sie, dass bestimmte Daten auch bei der Installation von einem Medium über das Netzwerk repliziert werden. Informationen zur Verwendung dieser Methode für die Installation des Domänencontrollers finden Sie unter Optional: Installieren eines RODC von einem Medium.

    2. Auf der Seite Quelldomänencontroller können Sie einen Domänencontroller angeben, dessen Konfiguration und Schemaverzeichnispartitionen repliziert werden sollen (oder dessen gesamte Active Directory-Datenbank, wenn Sie sich gegen eine Installation von einem Medium entscheiden). Wenn Sie Bestimmten Domänencontroller verwenden auswählen, können Sie den Domänencontroller auswählen, der als Replikationsquelle für die Erstellung des neuen Domänencontrollers dienen soll. Klicken Sie dann auf Weiter.

  7. Geben Sie auf der Seite Speicherort für Datenbank, Protokolldateien und SYSVOL ein Volume und einen Ordner für die Datenbankdatei, die Verzeichnisdienst-Protokolldateien und die Systemvolumedateien (SYSVOL) ein bzw. wählen Sie diese per Navigation aus, und klicken Sie dann auf Weiter.

    Die Windows Server-Sicherung sichert den Verzeichnisdienst nach Volume. Für eine effiziente Sicherung und Wiederherstellung sollten Sie diese Dateien in separaten Volumes speichern, die keine Anwendungen oder nicht verzeichnisbezogenen Dateien enthalten.

  8. Geben Sie auf der Seite Wiederherstellungsmodus für Verzeichnisdienste (Administratorkennwort) das Kennwort für den Wiederherstellungsmodus ein, bestätigen Sie es, und klicken Sie dann auf Weiter. Dieses Kennwort wird zum Starten von AD DS im Verzeichnisdienst-Wiederherstellungsmodus für Aufgaben verwendet, die offline ausgeführt werden müssen. Die Komplexität und Länge des Kennworts müssen der Domänensicherheitsrichtlinie entsprechen.

  9. Überprüfen Sie auf der Seite Zusammenfassung Ihre Auswahl. Klicken Sie bei Bedarf auf Zurück, um Änderungen vorzunehmen.

    Klicken Sie zum Speichern der ausgewählten Einstellungen in einer Antwortdatei, die Sie zur Automatisierung nachfolgender AD DS-Vorgänge verwenden können, auf Einstellungen exportieren. Geben Sie einen Namen für die Antwortdatei ein, und klicken Sie dann auf Speichern.

    Wenn Sie Ihre Auswahl überprüft haben, klicken Sie auf Weiter, um AD DS zu installieren.

  10. Zum Abschließen der AD DS-Installation können Sie das Kontrollkästchen Nach Abschluss neu starten aktivieren, damit der Server automatisch neu gestartet wird, oder Sie können den Server neu starten, wenn Sie dazu aufgefordert werden.

Optional: Installieren eines RODC von einem Medium

In früheren Versionen von Windows Server wurde Administratoren die Verwendung von Ntbackup.exe zum Erstellen von Domänencontroller-Installationsmedien empfohlen. Unter Windows Server 2008 sollten Administratoren Ntdsutil.exe zum Erstellen von Installationsmedien verwenden. Sie können den neuen Unterbefehl ifm in ntdsutil verwenden, um zwischengespeicherte geheime Daten (z. B. Kennwörter) vom Installationsmedium zu entfernen, damit es für eine RODC-Installation verwendet werden kann. Mit Ntbackup.exe können keine zwischengespeicherten geheimen Daten vom Installationsmedium entfernt werden.

Verwenden Sie zum Installieren eines RODC von einem Medium zunächst Ntdsutil, um das Installationsmedium zu erstellen. Geben Sie dann die passende IFM-Option für die verwendete Installationsmethode an. Die Optionen sind in der folgenden Tabelle aufgelistet.

 

Installationsmethode Erforderliche Aktion zum Angeben der IFM-Option

Assistent zum Installieren von Active Directory-Domänendiensten

Aktivieren Sie auf der Seite Willkommen das Kontrollkästchen Installation im erweiterten Modus (sowohl für delegierte als auch nicht delegierte Installationen).

Installation über die Befehlszeile

Geben Sie dcpromo /unattend /ReplicationSourcePath:"Pfad zum Installationsmedium" ein.

Fügen Sie zum Abschließen der Installation ggf. weitere Parameter hinzu.

Antwortdatei

Erstellen Sie eine Antwortdatei mit einem Eintrag für ReplicationSourcePath="Pfad zum Installationsmedium".

Geben Sie an der Eingabeaufforderung dcpromo /unattend:"Pfad zur Antwortdatei" ein.

Weitere Informationen zur Installation von einem Medium finden Sie in der schrittweisen Anleitung für die Installation und Deinstallation der Active Directory-Domänendienste unter Windows Server 2008 (http://go.microsoft.com/fwlink/?LinkId=86716, möglicherweise in englischer Sprache).

Optional: Entfernen eines Domänencontrollers unter Windows Server 2008

Administrative Anmeldeinformationen

Diese Aufgabe ist optional. Zum Entfernen eines Domänencontrollers unter Windows Server 2008 müssen Sie ein Mitglied der Gruppe Domänen-Admins sein.

So entfernen Sie einen Domänencontroller unter Windows Server 2008

  1. Kopieren Sie die folgenden Antwortdateieinstellungen in eine Textdatei. Die Einstellungen InstallDNS und ReplicationSourceDC sind optional. Ersetzen Sie die Platzhalterinformationen (in Kursivschrift) durch die entsprechenden Informationen für Ihre Umgebung, und speichern Sie dann die Textdatei:

    [DCInstall]

    InstallDNS=Yes

    AdministratorPassword=Mitgliedsserver-Administratorkennwort

    RebootOnCompletion=No

    UserDomain=Domänenname

    UserName=Domänenadministrator-Kontoname

    Password=Domänenadministratorkennwort

    ReplicationSourceDC=Name eines Domänencontrollers unter Windows Server 2008 in derselben Domäne

  2. Geben Sie an einer Befehlszeile den folgenden Befehl ein, und drücken Sie dann die EINGABETASTE:

    dcpromo /unattend: PfadZurAntwortdatei

Fanden Sie dies hilfreich?
(1500 verbleibende Zeichen)
Community-Inhalt Hinzufügen
Anmerkungen FAQ