(0) exportieren Drucken
Alle erweitern

Aktualisieren von Domänencontrollern: Microsoft Support-Schnellstart zum Hinzufügen von Windows Server 2008- oder Windows Server 2008 R2-Domänencontrollern zu vorhandenen Domänen

Letzte Aktualisierung: November 2011

Betrifft: Windows Server 2008, Windows Server 2008 R2

In diesem Thema wird der Prozess zum Aktualisieren von Domänencontrollern auf Windows Server 2008 oder Windows Server 2008 R2 erläutert. Diese Informationen basieren auf der Erfahrung des Kundendiensts und Supports von Microsoft. Dieses Thema enthält Links zu weiteren Informationen zum Aktualisierungsprozess.

Eine druckbare Kopie dieses Handbuchs im DOC-Format finden Sie im Microsoft Download Center auf der Seite über das Aktualisieren von Active Directory-Domänen auf Windows Server 2008- und Windows Server 2008 R2-AD DS-Domänen (http://go.microsoft.com/fwlink/?LinkId=178585 – möglicherweise in englischer Sprache).

Die folgende Tabelle enthält Links zu weiteren Informationen über neue Funktionen in Windows Server 2008 und Windows Server 2008 R2.

 

Betriebssystem Neuigkeiten

Windows Server 2008

Informationen zu den einzelnen Funktionen, zu speziellen Überlegungen und zur Vorbereitung der Bereitstellung finden Sie auf der Seite über die Änderungen der Funktionalität zwischen Windows Server 2003 mit Service Pack 1 (SP1) und Windows Server 2008 (http://go.microsoft.com/fwlink/?LinkID=164410 – möglicherweise in englischer Sprache).

Informationen zu bestimmten Funktionen der Active Directory-Domänendienste (AD DS) in Windows Server 2008 finden Sie auf der Seite über die Active Directory-Domänendienste-Rolle (http://go.microsoft.com/fwlink/?LinkID=164414 – möglicherweise in englischer Sprache).

Einige Funktionen, die in früheren Versionen von Windows Server verfügbar waren, gibt es in Windows Server 2008 nicht mehr. Beispielsweise fehlt die SMTP-Replikation standardmäßig. Weitere Informationen finden Sie in der Microsoft Knowledge Base im Artikel 947057 (http://go.microsoft.com/fwlink/?LinkId=164416 – möglicherweise in englischer Sprache). Der Browserdienst ist in Windows Server 2008- und Windows Server 2008 R2-Domänencontrollern standardmäßig deaktiviert.

Windows Server 2008 R2

Informationen zu den einzelnen Funktionen, zu speziellen Überlegungen und zur Vorbereitung der Bereitstellung finden Sie auf der Seite über die Änderungen der Funktionalität zwischen Windows Server 2008 und Windows Server 2008 R2 (http://go.microsoft.com/fwlink/?LinkID=139049 – möglicherweise in englischer Sprache). Informationen zu bestimmten Funktionen in AD DS in Windows Server 2008 R2 finden Sie auf der Seite über Neues in den Active Directory-Domänendiensten (http://go.microsoft.com/fwlink/?LinkID=139655 – möglicherweise in englischer Sprache).

In Windows Server 2008 R2 können Sie mit Dcpromo.exe keine Domäne mit einem DNS-Namen mit nur einer Bezeichnung erstellen. Wenn Sie versuchen, in einer Domäne mit einem DNS-Namen mit nur einer Bezeichnung (z. B. „contoso“, statt „contoso.com“) einen zusätzlichen Domänencontroller höher zu stufen, ist das Kontrollkästchen zum Installieren eines DNS-Servers in Dcpromo.exe nicht verfügbar. Es ist jedoch möglich, Windows Server 2003-Domänencontroller in Windows Server 2008 R2 und Windows Server 2008 R2-Domänen mit nur einer Bezeichnung zu aktualisieren. Es ist auch möglich, zusätzliche Windows Server 2008 R2 und Windows Server 2008 R2-Domänencontroller in vorhandene DNS-Domänen mit nur einer Bezeichnung höher zu stufen.

Windows Server 2008 R2 unterstützt keine MSMQ im Domänenmodus für Windows NT 4- und Windows 2000-MSMQ-Clients, die mit Windows Server 2008 R2-Domänencontrollern ausgeführt werden, die keine Windows Server 2003- oder Windows Server 2008-Domänencontroller in der gleichen Umgebung haben.

Weitere Informationen zu anderen Funktionen in Windows Server 2003, die in Windows 7 und Windows Server 2008 R2 veraltet sind, finden Sie auf der Seite über veraltete Funktionen für Windows 7 und Windows Server 2008 R2 (http://go.microsoft.com/fwlink/?LinkId=177815 – möglicherweise in englischer Sprache).

Weitere Informationen zu anderen bekannten Problemen im Zusammenhang mit AD DS finden Sie auf der Seite über bekannte Probleme beim Installieren und Entfernen von AD DS (http://go.microsoft.com/fwlink/?LinkID=164418 – möglicherweise in englischer Sprache).

Die Systemanforderungen für Windows Server 2008 finden Sie unter dem entsprechenden Punkt auf der Seite über das Installieren von Windows Server 2008 (http://go.microsoft.com/fwlink/?LinkId=164421 – möglicherweise in englischer Sprache).

Speicherplatzanforderungen für AD DS in Windows Server 2008 finden Sie auf der Seite über die bekannten Probleme beim Installieren und Entfernen von AD DS im Abschnitt Probleme mit Datenträgerspeicher und Komponentenspeicherort (http://go.microsoft.com/fwlink/?LinkId=164423 – möglicherweise in englischer Sprache).

Die Systemanforderungen für Windows Server 2008 R2 finden Sie auf der Seite über das Installieren von Windows Server 2008 R2 (http://go.microsoft.com/fwlink/?LinkId=160341 – möglicherweise in englischer Sprache).

Speicherplatzanforderungen für AD DS in Windows Server 2008 R2 finden Sie auf der Seite über die bekannten Probleme beim Installieren und Entfernen von AD DS im Abschnitt Probleme mit Datenträgerspeicher und Komponentenspeicherort (http://go.microsoft.com/fwlink/?LinkId=164423 – möglicherweise in englischer Sprache).

Die AD DS-Datenbank (Ntds.dit) kann auf Windows Server 2008 R2-Domänencontrollern aus folgenden Gründen größer sein als in vorherigen Windows-Versionen:

  • Es gibt Änderungen im Onlinedefragmentierungsprozess auf Windows Server 2008 R2-Domänencontrollern.

  • Windows Server 2008 R2 Adprep /forestprep fügt der großen Linktabelle zwei neue Indizes hinzu.

  • Bei aktiviertem Windows Server 2008 R2-Active Directory-Papierkorb bleiben die Attribute gelöschter Objekte für die Lebensdauer wiederverwendeter Objekte erhalten.

Die Active Directory-Datenbank auf einem Windows Server 2008-Domänencontroller, der zu einer Windows 2000-Domäne höher gestuft wird, sollte ungefähr so groß sein wie die Active Directory-Datenbanken auf den Windows 2000-Domänencontrollern. Während die Datenbank unter Windows Server 2008 R2 durch Hinzufügungen größer wird, gleicht das Hinzufügen eines Einzelinstanzspeichers, der von Domänencontrollern unterstützt wird, auf denen Windows Server 2003, Windows Server 2003 R2, Windows Server 2008 oder Windows Server 2008 R2 ausgeführt wird, diese Zunahme aus. Windows Server 2008 R2-Domänencontroller sind ohne Berücksichtigung des Active Directory-Papierkorbs ungefähr 10 % größer als Windows Server 2008-Domänencontroller.

In einer Windows Server 2008 R2-Produktionsdomäne bei Microsoft wurde die AD DS-Datenbank durch den Active Directory-Papierkorb um weitere 15 bis 20 % der ursprünglichen Datenbankgröße vergrößert, wobei die Standardwerte für deletedObjectLifetime und recycledObjectLifetime von 180 Tagen verwendet wurden. Zusätzliche Speicherplatzanforderungen hängen von der Größe und Anzahl der Objekte ab, die wiederverwendet werden können.

Wenn eine direkte Aktualisierung auf Windows Server 2008 oder Windows Server 2008 R2 automatisch auf die vorherige Betriebssystemversion zurückgesetzt wird, überprüfen Sie die Partitionen der AD DS-Datenbank und der Protokolldateien auf genügenden freien Speicherplatz.

Informationen für Aktualisierungen auf Windows Server 2008 finden Sie im Handbuch für die Aktualisierung auf Windows Server 2008 (http://go.microsoft.com/fwlink/?LinkID=146616 – möglicherweise in englischer Sprache) im Abschnitt über unterstützte Aktualisierungspfade.

Informationen für Aktualisierungen auf Windows Server 2008 R2 finden Sie auf der Seite über das Installieren von Windows Server 2008 R2 (http://go.microsoft.com/fwlink/?LinkID=160341 – möglicherweise in englischer Sprache) im Abschnitt zu den unterstützten Aktualisierungspfaden und auf der Seite über die Windows Server 2008 R2-Aktualisierungspfade (http://go.microsoft.com/fwlink/?LinkID=154894 – möglicherweise in englischer Sprache).

Beachten Sie beim Aktualisieren vorhandener Domänencontroller oder Höherstufen neuer Domänencontroller in vorhandene Domänen die folgenden Punkte:

  • Computer, auf denen Windows NT 4 oder Windows 2000 Server ausgeführt wird, können nicht direkt auf Windows Server 2008 oder Windows Server 2008 R2 aktualisiert werden.

  • Direkte Upgrades von Windows Server 2003 oder Windows Server 2003 R2 auf Windows Server 2008 oder Windows Server 2008 R2 werden unterstützt (sofern Aktualisierungspfade für Windows Server 2008 R2 unterstützt werden), mit der folgenden Ausnahme: x86-basierte Betriebssysteme können nicht direkt auf x64-basierte Versionen von Windows Server 2008 oder Windows Server 2008 R2 (unterstützt nur die x64-basierte Architektur) aktualisiert werden.

  • Eine x64-basierte Version von Windows Server 2008 kann direkt auf Windows Server 2008 R2 aktualisiert werden.

  • Ein beschreibbarer Domänencontroller kann nicht auf einen RODC aktualisiert werden. Das Gegenteil trifft ebenfalls zu.

  • Ein Server, auf dem die vollständige Installation von Windows Server 2008 R2 ausgeführt wird, kann nicht auf einen Server aktualisiert werden, auf dem nur die Server Core-Installation von Windows Server 2008 R2 ausgeführt wird. Das Gegenteil trifft ebenfalls zu.

  • Die bewährte Methode zum Einführen von Domänencontrollern, auf denen ein neueres Betriebssystem als auf den aktuellen Domänencontrollern ausgeführt wird, ist das Festlegen des neuen Domänencontrollers als zusätzlicher Domänencontroller in einer vorhandenen Domäne.

  • Weitere Informationen zu unterstützten und nicht unterstützten Aktualisierungen finden Sie auf der Seite über die Windows Server 2008 R2-Aktualisierungspfade (http://go.microsoft.com/fwlink/?LinkID=154894 – möglicherweise in englischer Sprache).

  • Sowohl unter Windows Server 2008 als auch unter Windows Server 2008 R2 wird automatisch IPv6 installiert. Sie sollten IPv6 nicht deaktivieren oder entfernen.

  • So stufen Sie RODCs höher

    • Der Befehl adprep[32] /rodcprep muss erfolgreich abgeschlossen worden sein. Informationen über das Verfahren zum Überprüfen der erfolgreichen Ausführung des Befehls finden Sie unter Ausführen von "adprep.exe" (http://go.microsoft.com/fwlink/?LinkID=142597).

    • Die Gesamtstruktur-Funktionsebene muss mindestens Windows Server 2003 sein.

    • In der Zieldomäne muss ein beschreibbarer (oder „vollständiger“) Domänencontroller vorhanden sein, auf dem Windows Server 2008 oder Windows Server 2008 R2 ausgeführt wird.

Windows Server 2008 R2 ermöglicht nicht das Erstellen von ausgehenden Vertrauensstellungen zwischen Domänen mit Domänencontrollern, auf denen Windows Server 2008 R2 ausgeführt wird, und Windows NT 4-Domänen. Eingehende Vertrauensstellungen von Windows Server 2008 R2 zu Windows NT 4.0-Domänen können eventuell verwendet werden, sie wurden jedoch nicht getestet und werden nicht unterstützt. Dies kann sich auf die Reihenfolge auswirken, in der Sie Domänen und Domänencontroller aktualisieren.

Angenommen, eine Domäne mit Windows Server 2003-Domänencontrollern verfügt über eine Vertrauensstellung zu einer Domäne mit Windows NT 4-Domänencontrollern. In diesem Fall müssen Sie die Domänencontroller in der Windows NT 4-Domäne durch Domänencontroller ersetzen, auf denen Windows 2000 oder höher ausgeführt wird, bevor Sie Domänencontroller in der Windows Server 2003-Domäne aktualisieren oder ersetzen. Wenn in diesem Fall zuerst die Domänencontroller in der Windows Server 2003-Domäne ersetzt oder aktualisiert werden, besteht keine Vertrauensstellung mehr zwischen den Domänen.

Verwenden Sie beim Ersetzen von Domänencontrollern die Metadaten-Bereinigungsmethode in Windows Server 2008 und Windows Server 2008 R2. Entfernen Sie manuell DNS- und WINS (Windows Internet Name Service)-Einträge für den ursprünglichen Rolleninhaber. Weitere Informationen finden Sie unter Bereinigen von Servermetadaten (http://go.microsoft.com/fwlink/?LinkId=148150).

Wenn Sie die AD DS-Serverrolle, DNS-Serverrollen, die IP-Adresse, den Computernamen und den unterstützenden Konfigurationsstatus von einem vorhandenen Server zu einem neuen Windows Server 2008- oder Windows Server 2008 R2-Zielserver migrieren möchten, finden Sie entsprechende Informationen unter AD DS- und DNS-Servermigration: Migrieren der AD DS- und DNS-Serverrollen (http://go.microsoft.com/fwlink/?LinkId=177812). Diesen Artikel sollten Sie beispielsweise lesen, wenn Sie sicherstellen möchten, dass der neue Server die gleiche IP-Adresse oder den gleichen Servernamen wie der Legacyserver hat, oder wenn Sie auf dem Legacy-DNS-Server Konfigurationsänderungen wie Registrierungsänderungen oder dateibasierte DNS-Zonen vorgenommen haben und Sie diese auf dem neuen DNS-Server übernehmen möchten.

Funktionen, die auf der Funktionsebene von Windows Server 2008- und Windows Server 2008 R2-Domänen und -Gesamtstrukturen aktiviert sind, werden in der Einführung zu den Domänen- und Gesamtstrukturfunktionen (http://go.microsoft.com/fwlink/?LinkId=164555 – möglicherweise in englischer Sprache) dokumentiert. Auf der Funktionsebene von Domänen und Gesamtstrukturen gibt es für die Bereitstellung von Windows Server 2008- und Windows Server 2008 R2-Domänencontrollern folgende Anforderungen:

  • Adprep /forestprep gelten auf Funktionsebene von Domänen oder Gesamtstrukturen keine besonderen Anforderungen.

  • Adprep /domainprep erfordert in jeder Zieldomäne mindestens eine einheitliche Windows 2000-Domänenfunktionsebene.

  • Adprep /rodcprep hat keine Anforderungen auf Funktionsebene.

  • In derselben Domäne oder Gesamtstruktur können Sie ohne weitere Anforderungen auf Funktionsebene Windows 2000-, Windows Server 2003-, Windows Server 2008- und Windows Server 2008 R2-Domänencontroller installieren.

  • Zur Höherstufung schreibgeschützter Domänencontroller (Read-Only Domain Controllers – RODCs) ist mindestens eine Windows Server 2003-Gesamtstruktur erforderlich.

  • Zwischen Windows NT 4.0-Computern und Windows 7 oder Windows Server 2008 R2 werden keine sicheren Kanäle unterstützt. Dies betrifft beispielsweise die folgenden Vorgänge: Überprüfen von Vertrauensstellungen, Domänenbeitritte und Authentifizierungen über sichere Kanäle.

  • Das Hinzufügen von Computern mit Windows NT 4.0, Windows 95 und Windows 98 zu Windows Server 2008- und Windows Server 2008 R2-Domänen oder -Domänencontrollern wird nicht unterstützt.

    In der folgenden Tabelle werden Informationen über die Unterstützung von Clientbetriebssystemen, die mit Domänencontrollern interagieren, aufgeführt.

     

    Clientbetriebssysteme Domänencontroller-Betriebssysteme

    Windows NT 4

    Windows 2000 Server

    Windows Server 2003

    Windows Server 2003 R2

    Windows Server 2008

    Windows Server 2008 R2

    Kommentare

    Windows NT 4

    Umfassend getestet und unterstützt

    Umfassend getestet und unterstützt

    Umfassend getestet und unterstützt

    Nicht mit der Windows-Produktgruppe getestet und daher nicht unterstützt, kann jedoch möglicherweise verwendet werden. Der Kundendienst kann bestmöglichen Support bieten, jedoch werden weder weitergehender Support noch Hotfixes bereitgestellt.

    Nicht mit der Windows-Produktgruppe getestet und daher nicht unterstützt, kann jedoch möglicherweise verwendet werden. Der Kundendienst kann bestmöglichen Support bieten, jedoch werden weder weitergehender Support noch Hotfixes bereitgestellt.

    Verbesserte Standardsicherheitseinstellungen blockieren das Herstellen und Aufrechterhalten von Domänenbeitritten und eines sicheren Kanals, diese Vorgänge können jedoch ausgeführt werden, nachdem die Standardsicherheitseinstellungen geändert wurden. Weitere Informationen finden Sie in der Microsoft Knowledge Base im Artikel 942564 (http://go.microsoft.com/fwlink/?LinkId=164558 – möglicherweise in englischer Sprache).

    Nicht mit der Windows-Produktgruppe getestet und daher nicht unterstützt, kann jedoch möglicherweise verwendet werden. Der Kundendienst kann bestmöglichen Support bieten, jedoch werden weder weitergehender Support noch Hotfixes bereitgestellt.

    Verbesserte Standardsicherheitseinstellungen blockieren das Herstellen und Aufrechterhalten von Domänenbeitritten und eines sicheren Kanals, diese Vorgänge können jedoch ausgeführt werden, nachdem die Standardsicherheitseinstellungen geändert wurden.

    Weitere Informationen über ausgehende Vertrauensstellungen zwischen Windows Server 2008 R2- und Windows NT 4-Domänen finden Sie in Artikel 2021766 (http://go.microsoft.com/fwlink/?LinkID=205835).

    Auf Domänencontrollern, auf denen Windows Server 2008 oder Windows Server 2008 R2 ausgeführt wird, ist die AllowNT4Crypto-Richtlinie standardmäßig auf 0 festgelegt. Weitere Informationen finden Sie unter Sichere Standardeinstellungen in Windows Server 2008 und Windows Server 2008 R2.

    Windows 2000

    Umfassend getestet und unterstützt

    Umfassend getestet und unterstützt

    Umfassend getestet und unterstützt

    Umfassend getestet und unterstützt

    Nicht mit der Windows-Produktgruppe getestet und daher nicht unterstützt, kann jedoch möglicherweise verwendet werden. Der Kundendienst kann bestmöglichen Support bieten, jedoch werden weder weitergehender Support noch Hotfixes bereitgestellt.

    Nicht mit der Windows-Produktgruppe getestet und daher nicht unterstützt, kann jedoch möglicherweise verwendet werden. Der Kundendienst kann bestmöglichen Support bieten, jedoch werden weder weitergehender Support noch Hotfixes bereitgestellt.

    Windows XP

    Umfassend getestet und unterstützt

    Umfassend getestet und unterstützt

    Umfassend getestet und unterstützt

    Umfassend getestet und unterstützt

    Umfassend getestet und unterstützt

    Umfassend getestet und unterstützt

    Wenn Sie RODCs bereitstellen, finden Sie entsprechende Informationen in Artikel 944043.

    Windows Server 2003

    Umfassend getestet und unterstützt

    Umfassend getestet und unterstützt

    Umfassend getestet und unterstützt

    Umfassend getestet und unterstützt

    Umfassend getestet und unterstützt

    Umfassend getestet und unterstützt

    Wenn Sie RODCs bereitstellen, finden Sie entsprechende Informationen in Artikel 944043

    Windows Server 2003 R2

    Umfassend getestet und unterstützt

    Umfassend getestet und unterstützt

    Umfassend getestet und unterstützt

    Umfassend getestet und unterstützt

    Umfassend getestet und unterstützt

    Umfassend getestet und unterstützt

    Windows Vista

    Nicht mit der Windows-Produktgruppe getestet und daher nicht unterstützt, kann jedoch möglicherweise verwendet werden. Der Kundendienst kann bestmöglichen Support bieten, jedoch werden weder weitergehender Support noch Hotfixes bereitgestellt.

    Der unterstützte Lebenszyklus des Domänencontroller-Betriebssystems ist abgelaufen.

    Umfassend getestet und unterstützt

    Umfassend getestet und unterstützt

    Umfassend getestet und unterstützt

    Umfassend getestet und unterstützt

    Umfassend getestet und unterstützt

    Active Directory-Domäne kann kein Computer mit Windows Server 2008 R2 oder Windows 7 hinzugefügt werden (http://go.microsoft.com/fwlink/?LinkId=192570)

    Windows Server 2008

    Nicht mit der Windows-Produktgruppe getestet und daher nicht unterstützt, kann jedoch möglicherweise verwendet werden. Der Kundendienst kann bestmöglichen Support bieten, jedoch werden weder weitergehender Support noch Hotfixes bereitgestellt.

    Der unterstützte Lebenszyklus des Domänencontroller-Betriebssystems ist abgelaufen.

    Umfassend getestet und unterstützt

    Umfassend getestet und unterstützt

    Umfassend getestet und unterstützt

    Umfassend getestet und unterstützt

    Umfassend getestet und unterstützt

    Active Directory-Domäne kann kein Computer mit Windows Server 2008 R2 oder Windows 7 hinzugefügt werden (http://go.microsoft.com/fwlink/?LinkId=192570)

    Windows 7

    Nicht behebbare Blockierung, kann nicht umgangen werden

    Der unterstützte Lebenszyklus des Domänencontroller-Betriebssystems ist abgelaufen.

    Umfassend getestet und unterstützt

    Umfassend getestet und unterstützt

    Umfassend getestet und unterstützt

    Umfassend getestet und unterstützt

    Umfassend getestet und unterstützt

    Interoperabilität von Windows 7 und Samba 3 (http://go.microsoft.com/fwlink/?LinkId=192568)

    Active Directory-Domäne kann kein Computer mit Windows Server 2008 R2 oder Windows 7 hinzugefügt werden (http://go.microsoft.com/fwlink/?LinkId=192570)

    Windows Server 2008 R2

    Nicht mit der Windows-Produktgruppe getestet und daher nicht unterstützt. Der Kundendienst kann bestmöglichen Support bieten, jedoch werden weder weitergehender Support noch Hotfixes bereitgestellt.

    Der unterstützte Lebenszyklus des Domänencontroller-Betriebssystems ist abgelaufen.

    Weitere Informationen über ausgehende Vertrauensstellungen zwischen Windows Server 2008 R2- und Windows NT 4-Domänen finden Sie in Artikel 2021766 (http://go.microsoft.com/fwlink/?LinkID=205835).

    Umfassend getestet und unterstützt

    Umfassend getestet und unterstützt

    Umfassend getestet und unterstützt

    Umfassend getestet und unterstützt

    Umfassend getestet und unterstützt

    Interoperabilität von Windows 7 und Samba 3 (http://go.microsoft.com/fwlink/?LinkId=192568)

    Active Directory-Domäne kann kein Computer mit Windows Server 2008 R2 oder Windows 7 hinzugefügt werden (http://go.microsoft.com/fwlink/?LinkId=192570)

  • Windows 2000-, Windows XP-, Windows Server 2003-, Windows Vista- und Windows 7-Clientcomputer sind vollständig kompatibel mit beschreibbaren Windows Server 2008- und Windows Server 2008 R2-Domänencontrollern. Informationen zur Interoperabilität zwischen Mitgliedscomputern und RODCs finden Sie auf der Seite mit den bekannten Problemen beim Bereitstellen von RODCs (http://go.microsoft.com/fwlink/?LinkID=164418 – möglicherweise in englischer Sprache).

  • Weitere Informationen zu den Versionen von Microsoft Exchange Server, die mit anderen Versionen von Windows zusammenarbeiten können, finden Sie in der Exchange-Server-Kompatibilitätsmatrix (http://go.microsoft.com/fwlink/?LinkID=165034 – möglicherweise in englischer Sprache).

  • Die Funktion "Gruppenchat" in Office Communications Server 2007 R2 kann in Windows Server 2008 R2-Domänen nicht verwendet werden. Weitere Informationen finden Sie in Artikel 982020 in der Microsoft Knowledge Base (http://go.microsoft.com/fwlink/?LinkId=190459). Weitere Informationen zum Verwenden von Office Communications Server 2007 R2 mit Domänencontrollern, die unterschiedliche Versionen von Windows Server sowie unterschiedliche Domänen- und Gesamtstruktur-Funktionsebenen aufweisen, finden Sie unter Von der Office Communications Server-Version unterstützte Active Directory-Umgebungen (http://go.microsoft.com/fwlink/?LinkId=190457).

  • Eine Liste der Anwendungen, die mit Windows Server 2008 kompatibel oder inkompatibel sind, finden Sie in der Microsoft Knowledge Base im Artikel 948680 (http://go.microsoft.com/fwlink/?LinkId=184903).

  • Eine Liste der Anwendungen, die mit Windows Server 2008 R2 kompatibel oder inkompatibel sind, finden Sie auf der Seite über die von Windows Server 2008 R2 unterstützten Microsoft Server-Anwendungen (http://go.microsoft.com/fwlink/?LinkId=184918 – möglicherweise in englischer Sprache).

  • Eine Liste der Anwendungen, die mit RODCs kompatibel sind, finden Sie auf der Seite über die Anwendungen, die bekannterweise mit RODCs funktionieren (http://go.microsoft.com/fwlink/?LinkID=133779 – möglicherweise in englischer Sprache). Für Exchange Server ist ein beschreibbarer Domänencontroller erforderlich. Daher arbeitet die Software nicht mit RODCs zusammen.

  • Informationen zum Verschieben einer Zertifizierungsstelle von einem älteren auf einen neuen Server finden Sie auf der Seite über das Verschieben einer Zertifizierungsstelle auf einen anderen Computer (http://go.microsoft.com/fwlink/?LinkId=185021 – möglicherweise in englischer Sprache). Informationen zum Verschieben der Datenbank und Protokolldateien eines Zertifikatservers finden Sie in der Microsoft Knowledge Base im Artikel 238193 (http://go.microsoft.com/fwlink/?LinkId=185023 – möglicherweise in englischer Sprache).

  • Beim Starten von VM-Gästen tritt ein Fehler aufgrund unzureichender Systemressourcen auf, wenn einem RemoteFX-fähigen Hostcomputer mit Windows Server 2008 R2 SP1 Hyper-V die AD DS-Serverrolle hinzugefügt wird. Die bewährte Methode besteht darin, die AD DS-Rolle (Domänencontroller) nicht auf einem Computer zu installieren, der die Hyper-V-Serverrolle hostet. Wenn die Hyper-V-Rolle und die AD DS-Rolle auf demselben physischen Computer installiert sein müssen, installieren Sie nicht RemoteFX, eine Unterkomponente des Remotedesktop-Virtualisierungshosts.

  • Unter Windows Vista, Windows Server 2008 und neueren Betriebssystemen werden für ausgehende Verbindungen Ports mit höheren Nummern als in früheren Versionen von Windows verwendet. Der neue Standardstartport ist Port 49152, und der Standardendport ist Port 65535. Wenn Fehlermeldungen angezeigt werden, die besagen, dass in der Endpunktzuordnung keine weiteren Endpunkte verfügbar sind, müssen Sie eventuell Firewalls und Router für die Verwendung des neuen Standardportbereichs neu konfigurieren. Dies gilt insbesondere nach dem Zurückziehen von Domänencontrollern, auf denen Windows 2000 oder Windows Server 2003 ausgeführt wird. Weitere Informationen finden Sie in Artikel 929851 (http://go.microsoft.com/fwlink/?LinkID=153117).

Hinsichtlich der Empfehlungen zum Platzieren von Betriebsmasterrollen, die auch flexible einzelne Mastervorgänge (Flexible Single Master Operations – FSMOs) genannt werden, gibt es in Windows Server 2008 oder Windows Server 2008 R2 keine Änderungen. Weitere Informationen zu aktuellen Empfehlungen finden Sie auf der Seite über das Planen der Platzierung von Betriebsmasterrollen (http://go.microsoft.com/fwlink/?LinkID=185222 – möglicherweise in englischer Sprache).

Es gibt neue bekannte und integrierte Gruppen, die erstellt werden, sobald Sie in jeder Domäne der Gesamtstruktur den Domänencontroller, der die Rolle des PDC-Emulationsmasters innehat, auf Windows Server 2008 oder Windows Server 2008 R2 aktualisieren oder übertragen, oder nachdem Sie der Domäne einen schreibgeschützten Domänencontroller (RODC) hinzufügen. Weitere Informationen finden Sie unter Anhang A: Hintergrundinformationen zum Aktualisieren von Active Directory-Domänen auf AD DS-Domänen unter Windows Server 2008.

In diesem Abschnitt werden einige bekannte Probleme aufgeführt, die bei DNS-Servern auftreten können, auf denen Windows Server 2008 oder Windows Server 2008 R2 ausgeführt wird. Es sind außerdem Hotfixes zum Lösen von anderen DNS-Problemen verfügbar. Weitere Informationen finden Sie unter Vorab durchzuführende Überprüfungen und empfohlene Hotfixes.

  • Wenn Sie DNS-Server mit Windows Server 2008 ausführen, die für die Verwendung von Stammhinweisen zur Auflösung von Internetnamen konfiguriert sind, und Domänennamen der obersten Ebene nicht aufgelöst werden, informieren Sie sich in Artikel 968372 in der Microsoft Knowledge Base (http://go.microsoft.com/fwlink/?LinkId=190467) über die Schritte zur Auflösung.

  • Auf Domänencontrollern, die in Active Directory integrierte DNS-Zonen hosten und auf sich selbst als bevorzugte DNS-Server zeigen, treten möglicherweise lange Startzeiten von 20 Minuten oder länger auf, und im DNS-Protokoll wird Ereignis-ID 4013 angezeigt. Wenn Sie das DNS-Snap-In öffnen, wird eventuell die folgende Fehlermeldung angezeigt:

    „Zu Server "Win2k8DC" konnte keine Verbindung hergestellt werden. Fehler: „Der Server ist nicht verfügbar.“ Möchten Sie den Server dennoch hinzufügen?“

    Wenn Sie „Active Directory-Benutzer und -Computer“ öffnen, wird eventuell die folgende Fehlermeldung angezeigt:

    „Namensinformationen konnten nicht gefunden werden.“

    Dieser Fehler tritt auf, wenn der DNS-Serverdienst auf den Abschluss der Erstsynchronisierung von AD DS wartet, diese jedoch nicht abgeschlossen werden kann, da DNS-Einträge, die aufgelöst werden müssen, in Zonen gespeichert werden, die in Active Directory integriert sind und auf die der lokale DNS-Server nicht zugreifen kann.

    Führen Sie die folgenden Konfigurationsänderungen aus, um die Bedingung zu verhindern, die zur Protokollierung von Ereignis-ID 4013 führt:

    • Entfernen Sie in AD DS Verweise auf Domänencontroller, die nicht mehr vorhanden sind.

    • Setzen Sie die Ausführung von Domänencontrollern fort, die gegenwärtig in der Active Directory-Gesamtstruktur offline sind.

    • Vermeiden Sie in der DNS-Konfiguration einzelne Fehlerquellen. Führen Sie beispielsweise mehrere alternative DNS-Server auf.

    • Legen Sie fest, dass Domänencontroller, die in Active Directory integrierte DNS-Zonen hosten, auf andere DNS-Server auf derselben Site oder auf Nabenstandorten zeigen.

    • Staffeln Sie nach Möglichkeit die Neustarts von DNS-Servern im Unternehmen.

    • Installieren Sie an strategischen Stellen eine unterbrechungsfreie Stromversorgung, um die Verfügbarkeit von DNS-Servern nach einem Stromausfall sicherzustellen, und unterstützen Sie die unterbrechungsfreie Stromversorgung der DNS-Server durch Generatoren vor Ort.

  • Auf DNS-Servern mit Windows Server 2008 R2 sind standardmäßig Erweiterungsmechanismen für DNS (Extension mechanisms for DNS, EDNS) aktiviert. Weitere Informationen finden Sie unter Bekannte Probleme bei Aktualisierungen auf Windows Server 2008 und Windows Server 2008 R2.

In diesem Abschnitt werden Interoperabilitätsprobleme mit IPv6 und AAAA-Ressourceneinträge für DNS-Server beschrieben, die andere Versionen von Windows Server ausführen. Weitere Informationen zum Verwenden von DNS mit IPv4 und IPv6 finden Sie auf der Seite über das Konfigurieren von DNS für die gleichzeitige Verwendung von IPv6 und IPv4 (http://go.microsoft.com/fwlink/?LinkId=186688 – möglicherweise in englischer Sprache).

 

Kriterium Windows Server 2008 R2 Windows Server 2008 Windows Server 2003

Registriert AAAA-Datensätze

Ja

Ja

Ja

Repliziert AAAA-Datensätze

Ja

Ja

Ja

Unterstützt den AAAA-Datensatztyp

Ja

Ja

Ja

Überwacht die IPv6-Netzwerkschnittstelle

Ja

Erfordert Windows Server 2008 SP2

No

Dnscmd.exe unterstützt IPv6

Yes

Yes

No

Weitere Informationen zu bestimmten Problemen, die sich auf diese Versionen von Windows Server auswirken können, finden Sie in den folgenden Anmerkungen zu dieser Version:

Anmerkungen zu dieser Version für Windows Server 2008 (http://go.microsoft.com/fwlink/?LinkID=99299 – möglicherweise in englischer Sprache)

Anmerkungen zu dieser Version für Windows Server 2008 R2 (http://go.microsoft.com/fwlink/?LinkID=139330 – möglicherweise in englischer Sprache)

In Windows Server 2008 R2 sind Erweiterungsmechanismen für DNS (Extension mechanisms for DNS, EDNS) standardmäßig aktiviert. Wenn Sie feststellen, dass Abfragen, die auf DNS-Servern mit Windows 2000, Windows Server 2003 oder Windows Server 2008 ordnungsgemäß ausgeführt wurden, fehlschlagen, nachdem die DNS-Server aktualisiert oder durch DSN-Server mit Windows Server 2008 R2 ersetzt wurden, oder wenn Sie feststellen, dass DNS-Server mit Windows Server 2008 R2 Abfragen nicht auflösen können, die von den früheren DNS-Servern aufgelöst werden konnten, deaktivieren Sie EDNS mit dem folgenden Befehl:

dnscmd /Config /EnableEDnsProbes 0

Wenn Sie sich bei einer Domäne mit einem neu eingerichteten Clientcomputer anmelden oder abmelden, treten Verzögerungen von ca. 5 bis 10 Minuten auf. Dieses Problem tritt auf, wenn Sie den Computer einer Active Directory-Domäne hinzufügen. Dies betrifft Computer, auf denen Windows Vista, Windows 7, Windows Server 2008 oder Windows Server 2008 R2 ausgeführt wird. Das Problem wird durch eine fehlende Verbindung zwischen dem Clientcomputer und den Stammdomänencontrollern der Gesamtstruktur verursacht. Weitere Informationen über die Ursache des Problems und die Schritte zu seiner Lösung finden Sie in der Microsoft Knowledge Base im Artikel 971198 (http://go.microsoft.com/fwlink/?LinkId=184883).

Wenn Sie einen Domänencontroller mit Windows Server 2008 R2 in einer vorhandenen Domäne bereitstellen, die Windows Server 2003- und Windows Server 2008-Domänencontroller enthält, und ein Dienstkonto ausführen, für das das Kontrollkästchen DES-Verschlüsselungstypen für dieses Konto verwenden aktiviert ist, wird möglicherweise im Systemprotokoll des Domänencontrollers mit Windows Server 2008 R2 die Ereignis-ID 16 angezeigt, selbst wenn Sie DES (Data Encryption Standard)-Verschlüsselung für Windows Server 2008 R2 aktiviert haben (standardmäßig deaktiviert). Windows Server 2003- und Windows Server 2008-Domänencontroller behandeln Authentifizierungsanforderungen, ohne einen Fehler auszugeben.

Dieses Problem tritt auf, weil Windows Server 2008 R2-Domänencontroller kein zweites Datenstruktur-BLOB verwenden, das DES-Verschlüsselungseinstellungen enthält, obwohl die Struktur durch den authentifizierenden Windows Server 2008 R2-Domänencontroller erfolgreich eingehend repliziert wurde. Das Problem ist auf Domänencontrollern behoben, auf denen Windows Server 2008 R2 mit SP1 ausgeführt wird.

So beheben Sie dieses Problem auf einem Domänencontroller, auf dem Windows Server 2008 R2 ohne SP1 ausgeführt wird:

  1. Verknüpfen oder ändern Sie ein Gruppenrichtlinienobjekt in der Organisationseinheit des Domänencontrollers, das die DES-Verschlüsselung aktiviert.

    Weitere Informationen finden Sie in der Microsoft Knowledge Base im Artikel 977321 (http://go.microsoft.com/fwlink/?LinkId=177717 – möglicherweise in englischer Sprache). Stellen Sie sicher, dass die Richtlinie für die Aktivierung aller Verschlüsselungstypen konfiguriert ist.

  2. Aktivieren Sie für das SAP-Dienstkonto im Snap-In „Active Directory-Benutzer und -Computer“ das Kontrollkästchen DES-Verschlüsselung für dieses Konto verwenden.

  3. Installieren Sie auf allen Domänencontrollern, auf denen Windows Server 2008 R2 ohne SP1 ausgeführt wird, den Hotfix aus Artikel 978055 in der Microsoft Knowledge Base (http://go.microsoft.com/fwlink/?LinkId=185219). Sie können den Hotfix installieren, ohne AD DS auf vorhandenen Domänencontrollern zu entfernen und neu zu installieren.

Windows Server 2008- und Windows Server 2008 R2-Domänencontroller verfügen im Vergleich mit Windows 2000- und Windows Server 2003-Domänencontrollern über die folgenden sicheren Standardeinstellungen.

 

Verschlüsselungstyp oder -richtlinie

Windows Server 2008-Standardeinstellung

Windows Server 2008 R2-Standardeinstellung

Anmerkungen

AllowNT4Crypto

Deaktiviert

Deaktiviert

SMB-Clients (Server Message Block) von Drittanbietern sind möglicherweise nicht mit den sicheren Standardeinstellungen auf Windows Server 2008- und Windows Server 2008 R2-Domänencontrollern kompatibel. Um Interoperabilität zu erreichen, können diese Einstellungen auf Kosten der Sicherheit gelockert werden. Weitere Informationen finden Sie in der Microsoft Knowledge Base im Artikel 942564 (http://go.microsoft.com/fwlink/?LinkId=164558 – möglicherweise in englischer Sprache).

DES

Aktiviert

Deaktiviert

Weitere Informationen finden Sie in der Microsoft Knowledge Base im Artikel 977321 (http://go.microsoft.com/fwlink/?LinkId=177717 – möglicherweise in englischer Sprache).

CBT/Erweiterter Schutz für integrierte Authentifizierung

Nicht zutreffend

Aktiviert

Weitere Informationen finden Sie in der Microsoft-Sicherheitsempfehlung (937811) (http://go.microsoft.com/fwlink/?LinkId=164559 – möglicherweise in englischer Sprache) und in der Microsoft Knowledge Base im Artikel 976918 (http://go.microsoft.com/fwlink/?LinkId=178251 – möglicherweise in englischer Sprache).

Überprüfen und installieren Sie bei Bedarf den Hotfix aus der Microsoft Knowledge Base zum Artikel 977073 (http://go.microsoft.com/fwlink/?LinkId=186394 – möglicherweise in englischer Sprache).

LMv2

Aktiviert

Deaktiviert

Artikel 976918 in der Microsoft Knowledge Base (http://go.microsoft.com/fwlink/?LinkId=178251 – möglicherweise in englischer Sprache).

Unabhängig davon, welche Software für virtuelle Hosts sie verwenden, finden Sie spezielle Anforderungen zum Ausführen virtualisierter Domänencontroller auf der Seite über das Ausführen von Domänencontrollern in Hyper-V (http://go.microsoft.com/fwlink/?LinkID=139651 – möglicherweise in englischer Sprache). Hier einige der spezifischen Anforderungen:

  • Vermeiden Sie einzelne Fehlerquellen, z. B. das Anordnen aller Domänencontroller in einer Domäne oder Gesamtstruktur auf demselben VM-Host, in demselben SAN oder Datencenter usw.

  • Domänencontroller dürfen weder beendet noch angehalten werden.

  • Momentaufnahmen von Computern, die als Domänencontroller dienen, dürfen nicht wiederhergestellt werden. Ansonsten würde dies zu einem Rollback der Aktualisierungssequenznummer (Update Sequence Number, USN) führen, der zu dauerhaften Inkonsistenzen zwischen den Domänencontroller-Datenbanken führen kann.

  • Alle Umwandlungen eines physischen Domänencontrollers in einen virtuellen (P2V) sollten im Offlinemodus durchgeführt werden. Mit System Center Virtual Machine Manager ist dies für Hyper-V obligatorisch. Informationen zu anderen Virtualisierungsprodukten finden Sie in der zugehörigen Dokumentation des Herstellers.

  • Virtualisierte Domänencontroller sollten so konfiguriert werden, dass sie sich entsprechend der Empfehlungen für die Hostingsoftware mit einer Zeitquelle synchronisieren.

  • Weitere Überlegungen zum Ausführen von Domänencontrollern auf virtuellen Computern finden Sie in der Microsoft Knowledge Base im Artikel 888794 (http://go.microsoft.com/fwlink/?LinkID=141292 – möglicherweise in englischer Sprache).

An den lokalen Verwaltungstools und den Remoteverwaltungstools für die Betriebssysteme Windows Server 2008 und Windows Server 2008 R2 wurden die folgenden Änderungen vorgenommen.

  • Bei der Installation einer Serverrolle, z. B. der Active Directory-Domänendienste, mit dem Server-Manager werden auch alle Benutzeroberflächen- und Befehlszeilentools lokal installiert, mit denen Sie diese Rolle verwalten können. Um Tools zum Verwalten anderer Serverrollen lokal zu installieren, klicken Sie im Server-Manager auf Features hinzufügen.

  • Die Benutzeroberflächen- und Befehlszeilentools, die sich früher im Administrative Tools Pack („ADMINPACK.MSI“), in den Supporttools („SUPPTOOLS.MSI“) und in den Resource Kit-Tools befanden, wurden in den Remoteserver-Verwaltungstools (RSAT) zusammengefasst, die Sie im Microsoft Download Center herunterladen und unter Clientbetriebssystemen, z. B. Windows Vista oder Windows 7, installieren können.

  • Um der steigenden Verbreitung von 64-Bit-Hardware und 64-Bit-Betriebssystemen zu genügen, wurden x86-basierte (32-Bit) und x64-basierte (64-Bit) Versionen der Verwaltungstools veröffentlicht.

  • Damit die von RSAT installierten Verwaltungstools im Startmenü von Windows Vista angezeigt werden, sind zusätzliche Schritte erforderlich. Diese zusätzlichen Schritte werden im Folgenden erläutert.

  1. Klicken Sie mit der rechten Maustaste auf Start, und klicken Sie dann auf Eigenschaften.

  2. Klicken Sie auf der Registerkarte Startmenü auf Anpassen.

  3. Führen Sie im Dialogfeld Startmenü anpassen einen Bildlauf nach unten zur Option Systemverwaltung durch, und klicken Sie dann auf Im Menü "Alle Programme" und im Startmenü anzeigen.

  4. Klicken Sie auf OK.

Im Allgemeinen lassen sich die Verwaltungsprogramme nur auf den Betriebssystemversionen ordnungsgemäß installieren und ausführen, für die sie veröffentlicht wurden. Beispielsweise lassen sich die Windows Server 2008-Verwaltungstools nur auf Windows Vista-Clientcomputern und Windows Server 2008-Servercomputern installieren und ausführen. Ein weiteres Beispiel: Wenn Sie versuchen, DNS-Server, auf denen Windows Server 2008 R2 ausgeführt wird, mit dem DNS-Snap-In oder „Dnscmd.exe“ aus Windows Server 2003 zu verwalten, erhalten Sie „Zugriff verweigert“-Fehler.

Wenn Sie die Dateien eines Verwaltungstools vom Systemdatenträger des Servers kopieren, wird dieses in der Regel nicht auf dem entsprechenden Clientbetriebssystem ausgeführt und unterstützt. So werden Tools, die vom Windows Server 2008-Systemdatenträger nach Windows Vista kopiert werden, beispielsweise nicht funktionieren. Statt die Tools zu kopieren, laden Sie die richtige RSAT-Version für die Clientcomputer herunter, mit denen Sie Server verwalten.

Weitere Informationen finden Sie auf der Seite über die lokale Verwaltung und Remoteverwaltung von Microsoft Windows-Client- und Servercomputern (http://go.microsoft.com/fwlink/?LinkId=177813 – möglicherweise in englischer Sprache).

Weitere Informationen finden Sie auf der Seite über das Installieren der Remoteserver-Verwaltungstools (http://go.microsoft.com/fwlink/?LinkID=153624 – möglicherweise in englischer Sprache).

Um den Windows-Zeitdienst (W32time) zu synchronisieren, stellen Sie sicher, dass die folgenden Domänencontrollerrollen ordnungsgemäß konfiguriert wurden.

Der primäre Domänencontroller (PDC) des Stamms der Gesamtstruktur auf einem physischen Computer sollte die Zeit mit einer zuverlässigen externen Zeitquelle synchronisieren. Weitere Informationen finden Sie auf der Seite über das Konfigurieren des Windows-Zeitdiensts auf dem PDC-Emulator (http://go.microsoft.com/fwlink/?LinkId=91969 – möglicherweise in englischer Sprache).

Alle anderen Domänencontroller, die auf physischer Hardware oder Hyper-V installiert sind, sollten die Standarddomänenhierarchie verwenden (keine Konfigurationsänderung erforderlich).

Wenden Sie sich für Domänencontroller, die auf Nicht-Microsoft-Virtualisierungssoftware ausgeführt werden, an den entsprechenden Anbieter.

Windows Server 2008- und Windows Server 2008 R2-Domänencontrollern wurde ein Zeitrollback-Schutz hinzugefügt, der verhindert, dass Domänencontroller eine ungültige Zeit übernehmen. Es wird empfohlen, Windows Server 2003-Domänencontrollern sowie Windows Server 2008- und Windows Server 2008 R2 Hyper-V-Hosts mithilfe einer Gruppenrichtlinie einen Zeitrollback-Schutz hinzuzufügen und so sicherzustellen, dass die Richtliniendetails rechtzeitig korrigiert werden. Weitere Informationen finden Sie in der Microsoft Knowledge Base im Artikel 884776 (http://go.microsoft.com/fwlink/?LinkId=178255).

Abschließend sollten die Uhrzeiten auf den virtuellen Arbeitsgruppenhosts und den der Domäne angehörigen virtuellen Hostcomputern wie folgt konfiguriert werden:

Arbeitsgruppenhostcomputer:

  • HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\W32Time\Parameters\TYPE (REG_SZ) = NTP

  • HKLM\system\CurrentControlSet\Services\W32Time\Parameters\NtpServer (REG_DWORD) = <vollqualifizierter Hostname des Zeitservers, z. B. time.windows.com>,0x08

  • HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time\TimeProviders\NtpClient\SpecialPollInterval (REG_DWORD) = 900 (decimal)

  • HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time\Config\MaxPosPhaseCorrection (REG_DWORD): 2a300 (hexadezimal) oder 172800 (dezimal)

  • HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time\Config\MaxNegPhaseCorrection (REG_DWORD): 2a300 (hexadezimal) oder 172800 (dezimal)

Der Domäne angehörige Hostcomputer:

  • HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32time\Config\MinPollInterval (REG_DWORD): 6 (dezimal)

  • HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32time\Config\MaxPollInterval (REG_DWORD): 10 (dezimal)

  • HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time\Config\MaxPosPhaseCorrection (REG_DWORD): 2a300 (hexadezimal) oder 172800 (dezimal)

  • HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time\Config\MaxNegPhaseCorrection (REG_DWORD): 2a300 (hexadezimal) oder 172800 (dezimal)

  1. Alle Domänencontroller in der Gesamtstruktur sollten die folgenden Bedingungen erfüllen:

    1. Funktionierende Onlineverbindung.

    2. Fehlerfreier Betrieb (Führen Sie dcdiag /v aus, um mögliche Probleme aufzuspüren.)

    3. Erfolgreiche eingehende und ausgehende Replizierung aller lokal vorhandenen Active Directory-Partitionen (zeigen Sie repadmin /showrepl * /csv in Excel an). Weitere Informationen finden Sie auf der Seite über die Anforderungen, Syntax und Parameter von Repadmin (http://go.microsoft.com/fwlink/?LinkID=147380 – möglicherweise in englischer Sprache) im Abschnitt über das CSV-Format.

    4. Erfolgreiche eingehende und ausgehende SYSVOL-Replizierung.

    5. Metadaten veralteter oder nicht vorhandener Domänencontroller bzw. von Domänencontrollern, die nicht repliziert werden können, sollten aus ihren jeweiligen Domänen entfernt werden. Weitere Informationen finden Sie in „Anhang A: Verfahren zum Wiederherstellen von Gesamtstrukturen“ im Abschnitt Bereinigen von Metadaten entfernter beschreibbarer Domänencontroller (http://go.microsoft.com/fwlink/?LinkID=164553).

    6. Alle Domänen müssen sich mindestens auf einer einheitlichen Windows 2000-Funktionsebene befinden, um adprep /domainprep auszuführen. Windows NT 4.0-Domänencontroller sind auf dieser Funktionsebene nicht gestattet.

    7. Ausreichend freier Speicherplatz für die Aktualisierung.

      Weitere Informationen zu den Speicherplatzanforderungen für Windows Server 2008 und Windows Server 2008 R2 finden Sie unter Systemanforderungen für die Installation von Windows Server 2008 und Windows Server 2008 R2. Es ist Aufgabe der Administratoren, das kurzfristige und langfristige Wachstum der Ntds.dit-Dateien auf Windows Server 2008- und Windows Server 2008 R2-Domänencontrollern möglichst genau vorauszuberechnen, damit auf physischen und virtuellen Domänencontrollern die Festplatten und Partitionen mit Active Directory-Dateien ordnungsgemäß bemessen werden können.

  2. Überprüfen Sie mögliche Inkompatibilitäten mit den sicheren Standardeinstellungen in Windows Server 2008 und Windows Server 2008 R2. Weitere Informationen finden Sie unter Sichere Standardeinstellungen in Windows Server 2008 und Windows Server 2008 R2.

  3. Laden Sie das aktuellste Service Pack und relevante Hotfixes für die Active Directory-Gesamtstruktur herunter, bevor Sie Windows Server 2008- oder Windows Server 2008 R2-Domänencontroller bereitstellen.

    1. Erstellen Sie für Aktualisierungen auf Windows Server 2008 oder Windows Server 2008 R2 integrierte Installationsmedien („Slipstream“), indem Sie das letzte Service Pack und die Hotfixes für das Betriebssystem hinzufügen. Seit September 2009 ist das Service Pack 2 (SP2) das aktuellste Service Pack für Windows Server 2008. Informationen zum Herunterladen des aktuellsten Service Packs finden Sie in der Microsoft Knowledge Base im Artikel 968849 (http://go.microsoft.com/fwlink/?LinkId=164585 – möglicherweise in englischer Sprache) und auf der Seite über das Installieren von Windows Server 2008 mit Service Pack 2 (http://go.microsoft.com/fwlink/?LinkId=164586 – möglicherweise in englischer Sprache). Windows Server 2008 R2 enthält bereits die Aktualisierungen aus Windows Server 2008 SP2. Stellen Sie mithilfe von Windows Update (http://go.microsoft.com/fwlink/?LinkID=47290 – möglicherweise in englischer Sprache) sicher, dass das System auf dem aktuellsten Stand ist, oder lesen Sie die Informationen zum Herunterladen in der Microsoft Knowledge Base im Artikel 968849 (http://go.microsoft.com/fwlink/?LinkID=164585 – möglicherweise in englischer Sprache).

      1. Informationen zum Bereitstellen von RODCs finden Sie in der Microsoft Knowledge Base im Artikel 944043 (http://go.microsoft.com/fwlink/?LinkID=122974 – möglicherweise in englischer Sprache). Laden Sie die Hotfixes auf die Windows-Computer herunter, und installieren Sie sie entsprechend der für die Computerumgebung geltenden Szenarien.

      2. Für Windows Server 2008 R2: Wenn auf Windows Server 2008-Computern, die direkt auf Windows Server 2008 R2 aktualisiert werden, das Active Directory-Verwaltungstool (ADMT) 3.1 installiert ist, entfernen Sie es vor der Aktualisierung, da es andernfalls nicht deinstalliert werden kann. ADMT 3.1 können auf Windows Server 2008 R2-Computern nicht installiert werden.

      3. In der folgenden Tabelle sind Hotfixes für Windows Server 2008 aufgeführt. Sie können einen Hotfix einzeln installieren, oder Sie können das Service Pack installieren, in dem er enthalten ist.

         

        Beschreibung

        Microsoft Knowledge Base-Artikel

        Service Pack

        Windows-Zeitdienst verhält sich bei aktivierter Windows-Zeitdienst-Gruppenrichtlinieneinstellung unter Windows Server 2008 oder Windows Vista SP1 unerwartet

        961027 (http://go.microsoft.com/fwlink/?LinkId=182336 – möglicherweise in englischer Sprache)

        Windows Server 2008 SP2

        Domänencontroller, die so konfiguriert wurden, das sie das japanische Sprachgebietsschema verwenden

        949189 (http://go.microsoft.com/fwlink/?LinkId=164588 – möglicherweise in englischer Sprache)

        Windows Server 2008 SP2

        Verschlüsselter EFS-Dateizugriff auf einem auf Windows Server 2008 aktualisierten Windows Server 2003-Dateiserver

        948690 (http://go.microsoft.com/fwlink/?LinkID=106115 – möglicherweise in englischer Sprache)

        In keinem Windows Server 2008 Service Pack enthalten

        Datensätze auf einem sekundären Windows Server 2008-DNS-Server werden nach Zonenübertragung gelöscht

        953317 (http://go.microsoft.com/fwlink/?LinkId=164590 – möglicherweise in englischer Sprache)

        Windows Server 2008 SP2

        Stammhinweise verwenden, wenn keine Weiterleitungen verfügbar sind

        2001154 (http://go.microsoft.com/fwlink/?LinkId=165959 – möglicherweise in englischer Sprache)

        Festlegen von Gebietsschemainformationen in Gruppenrichtlinieneinstellungen führen zu Fehlern im Ereignisprotokoll und abhängigen Diensten Wenn Sie „Regionale Einstellung – Benutzergebietsschema – aktiviert“ ändern, werden das Windows-Ereignisprotokoll, der DNS-Serverdienst und der Aufgabenplanungsdienst nicht gestartet.

        Informationen zur Vorbeugung und Lösung finden Sie im Artikel 951430 (http://go.microsoft.com/fwlink/?LinkId=165960 – möglicherweise in englischer Sprache).

        Wird in Windows Server 2008 SP3 enthalten sein

        GPMC-Filterpatch

        949360 (http://go.microsoft.com/fwlink/?LinkID=184908 – möglicherweise in englischer Sprache)

        Windows Server 2008 SP2

        Zum Auflösen von DNS-Namen mithilfe von Verkürzung (statt mithilfe der Suffixsuchliste) sollte der DNS-Verkürzungshotfix eingespielt werden.

        957579 (http://go.microsoft.com/fwlink/?LinkId=178224 – möglicherweise in englischer Sprache)

        Windows Server 2008 SP2

        Wiederveröffentlichung lokaler Einstellungen für Gruppenrichtlinien

        943729 (http://go.microsoft.com/fwlink/?LinkId=164591 – möglicherweise in englischer Sprache)

        974266 (http://go.microsoft.com/fwlink/?LinkID=165035 – möglicherweise in englischer Sprache)

        Windows Server 2008 SP2

        Synchronisieren des Administratorkennworts für den Verzeichnisdienste-Wiederherstellungsmodus mit einem Domänenbenutzerkonto

        961320 (http://go.microsoft.com/fwlink/?LinkId=177814 – möglicherweise in englischer Sprache)

        Absturz von Anwendungen, die „Crypt32.dll“ verwenden, auf Computern, auf denen Windows Vista oder Windows Server 2008 ausgeführt wird

        982416 (http://go.microsoft.com/fwlink/?LinkID=196889 – möglicherweise in englischer Sprache)

        Windows Server 2008 SP3

        Wenn auf Windows Server 2008-Servern, auf denen IIS ausgeführt wird, SSL-Zertifikate gehostet werden, müssen Sie eventuell den Hotfix aus Artikel 2379016 installieren.

        2379016 (http://go.microsoft.com/fwlink/?LinkId=199533 – möglicherweise in englischer Sprache)

        Windows Server 2008 SP3

        Der AAAA-Eintrag eines Windows Server 2008-Domänencontrollers wird automatisch gelöscht, wenn der Domänencontroller eine in Active Directory integrierte Zone verwendet und über einen IP6-zu-IP4-Adapter von Microsoft verfügt

        2408181 (http://go.microsoft.com/fwlink/?LinkId=204910 – möglicherweise in englischer Sprache)

        Windows Server 2008 SP3

        In der folgenden Tabelle sind Hotfixes für Windows Server 2008 R2 aufgeführt.

         

        Beschreibung

        Microsoft Knowledge Base-Artikel

        Anmerkungen

        Dynamische Windows Server 2008 R2-DNS-Aktualisierungen für BIND-Server protokollieren das NETLOGON-Ereignis 5774 mit Fehlerstatus 9502

        977158 (http://go.microsoft.com/fwlink/?LinkId=178225 – möglicherweise in englischer Sprache)

        Windows Server 2008 R2 SP1

        Ereignis-ID 1202 wird bei geänderter Sicherheitsrichtlinie mit Status 0x534 protokolliert

        974639 (http://go.microsoft.com/fwlink/?LinkId=165961 – möglicherweise in englischer Sprache)

        Windows Server 2008 R2 SP1

        Registrierungseintragsname TimeZoneKeyName ist bei 64-Bit-Aktualisierungen fehlerhaft

        2001086 (http://go.microsoft.com/fwlink/?LinkId=178226 – möglicherweise in englischer Sprache)

        Tritt nur bei x64-basierten Serveraktualisierungen in Zeitzonen mit dynamischer Sommerzeit auf. Klicken Sie auf die Taskleistenuhr, um zu überprüfen, ob Ihre Server betroffen sind. Wenn dabei ein Zeitzonenproblem gemeldet wird, klicken Sie auf den Link, um die Systemsteuerung für Datum und Uhrzeit zu öffnen.

        Ereignis-ID 1988 wird nach Schemaaktualisierung im Verzeichnisdienstprotokoll protokolliert

        2005074 (http://go.microsoft.com/fwlink/?LinkId=185205 – möglicherweise in englischer Sprache)

        Einige gelöschte Objekte, deren Lebensdauer sich dem Ende nähert, sind auf der Quelle einer Replikationsvereinbarung möglicherweise noch vorhanden, und ihnen wurde ein Attribut zum Teilattributsatz des Objekts hinzugefügt, das repliziert werden sollte. Wenn dasselbe Objekt bei der Replizierung auf dem Zieldomänencontroller der Garbage Collection unterworfen wurde, werden auf dem Zieldomänencontroller Ereignis-ID 1988 und möglicherweise Ereignis-ID 1388 protokolliert.

        Windows Server 2008 R2-DNS-Server, die Stammhinweise verwenden, können einige DNS-Anfragen nicht auflösen.

        832223 (http://go.microsoft.com/fwlink/?LinkId=186576 – möglicherweise in englischer Sprache)

        Hotfix wird derzeit entwickelt. Auch geplant für Windows Server 2008 R2 SP1.

        Windows Server 2008 R2-Domänencontroller können keine DES-Clients authentifizieren.

        Artikel 978055 (http://go.microsoft.com/fwlink/?LinkId=185219 – möglicherweise in englischer Sprache)

        Windows Server 2008 R2 SP1

        Beim Authentifizieren eines Windows XP- oder Windows Server 2003-Mitgliedsservers an einem Windows Server 2008 R2-Domänencontroller schlägt die Digestauthentifizierung fehl

        977073 (http://go.microsoft.com/fwlink/?LinkId=186934 – möglicherweise in englischer Sprache)

        Windows Server 2008 R2 SP1

        Unter Windows Server 2008 R2 stürzt der DNS-Serverdienst möglicherweise ab, wenn er viele gleichzeitige Abfragen behandelt, die über die DNS-Server-Plug-In-Schnittstelle gesendet werden.

        2411958 (http://go.microsoft.com/fwlink/?LinkID=204908 – möglicherweise in englischer Sprache)

        Windows Server 2008 R2 SP1

        Wenn Sie über einen zentralen Gruppenrichtlinienspeicher verfügen, der mithilfe von administrativen Windows Server 2008-Vorlagendateien gehostet wird, müssen Sie die ADMX-Dateien möglicherweise aktualisieren oder den zentralen Speicher entfernen. Weitere Informationen finden Sie auf der Seite über Windows 7, Windows Server 2008 R2 und den zentralen Gruppenrichtlinienspeicher (http://go.microsoft.com/fwlink/?LinkId=182337 – möglicherweise in englischer Sprache).

In diesem Abschnitt wird beschrieben, wie die folgenden adprep-Befehle ausgeführt werden.

Wenn beim Ausführen eines Adprep-Befehls Fehler auftreten, finden Sie weitere Informationen im Abschnitt Adprep-Fehler.

  1. Identifizieren Sie den Domänencontroller, der die Schemabetriebsmasterrolle (auch als Flexible Single Master Operations- oder FSMO-Rolle bezeichnet) innehat, und überprüfen Sie, ob er seit dem Start die Schemapartition eingehend repliziert hat:

    1. Führen Sie den Befehl dcdiag /test:knowsofroleholders aus. Wenn die Schemarolle einem Domänencontroller mit einem gelöschten NTDS-Einstellungsobjekt zugewiesen ist, führen Sie die in der Microsoft Knowledge Base im Artikel 255504 (http://go.microsoft.com/fwlink/?LinkID=70776 – möglicherweise in englischer Sprache) genannten Schritte aus, um die Rolle einem funktionierenden Domänencontroller in der Stammdomäne der Gesamtstruktur zu übergeben.

    2. Melden Sie sich mit einem Konto am Schemabetriebsmaster an, das in der Stammdomäne der Gesamtstruktur über Organisations-Admins-, Schema-Admins- und Domänen-Admins-Berechtigungen verfügt. Standardmäßig verfügt das integrierte Administratorkonto der Stammdomäne einer Gesamtstruktur über diese Berechtigungen.

    3. Führen Sie auf dem Schemamaster den Befehl repadmin /showreps aus. Wenn der Schemamaster die Schemapartition seit dem Start eingehend repliziert hat, fahren Sie mit dem nächsten Schritt fort. Andernfalls starten Sie mit dem Befehl Jetzt replizieren von Dssite.msc die eingehende Replikation der Schemapartition auf den Schemamaster. (Weitere Informationen finden Sie auf der Seite über das Erzwingen einer Replikation über eine Verbindung (http://go.microsoft.com/fwlink/?LinkId=164634 – möglicherweise in englischer Sprache)). Sie können auch den Befehl repadmin /replicate <Name des Schemamasters> <GUID des Replikationspartners>verwenden. Der Befehl showreps gibt den Globally Unique Identifier (GUID) aller Replikationspartner des Schemamasters zurück.

  2. Suchen Sie die richtige Version von Adprep für die Aktualisierung:

    • Die Windows Server 2008-Installationsmedien enthalten im Ordner \sources\adprep des Windows Server 2008-Installationsdatenträgers eine Version von adprep, Adprep.exe, die sowohl auf x86-basierten als auch auf x64-basierten Betriebsmastern ausführbar ist.

    • Die Windows Server 2008 R2-Installationsmedien enthalten im Ordner \support\adprep des Windows Server 2008 R2-Installationsdatenträgers sowohl x86-basierte (Adprep32.exe), als auch x64-basierte (Adprep.exe) Versionen von adprep.

    • Windows Server 2008- und Windows Server 2008 R2-Schemaaktualisierungen können Gesamtstrukturen mit Windows 2000 Server-, Windows Server 2003- oder Windows Server 2008-Schemaversionen direkt hinzugefügt werden.

    • Die Windows Server 2008- und Windows Server 2008 R2-Versionen von adprep.exe können unter Windows Server 2000 SP4-, Windows Server 2003-, Windows Server 2003 R2- und Windows Server 2008-Betriebsmastern (für Windows Server 2008 R2) direkt ausgeführt werden.

    • Wenn Sie Adprep.exe von den Installationsmedien auf einen lokalen Computer oder eine Netzwerkfreigabe kopieren, kopieren Sie den gesamten Ordner adprep, und verwenden Sie den vollständigen Pfad der Datei Adprep.exe.

  3. Aktualisieren Sie das Gesamtstrukturschema mit adprep /forestprep.

    Führen Sie, während Sie noch immer mit einem Konto an der Konsole des Schemamasters angemeldet sind, das über Organisations-Admins, Schema-Admins und Domänen-Admins-Berechtigungen verfügt, die entsprechende Version von adprep /forestprep vom Windows Server 2008- oder Windows Server 2008 R2-Installationsmedien aus. Geben Sie den vollständigen Pfad zu Adprep.exe an, um zu verhindern, dass eine andere Version von Adprep ausgeführt wird, die möglicherweise in der PATH-Umgebungsvariable vorhanden ist.

    Wenn Sie beispielsweise die Windows Server 2008-Version von Adprep von einem DVD-Laufwerk oder Netzwerkpfad mit dem Laufwerkbuchstaben D: ausführen möchten, ist der auszuführende Befehl wie folgt anzugeben:

    >D:\sources\adprep\adprep /forestprep
    
    Die Syntax zum Ausführen des Windows Server 2008 R2-Adprep-Befehls auf einem 64-Bit-Schemamaster ist wie folgt:

    <DVD-Laufwerksbuchstabe>:\support\adprep\adprep /forestprep
    
    Die Syntax zum Ausführen des Windows Server 2008 R2-Adprep-Befehls auf einem x86-basierten 32-Bit-Schemamaster ist wie folgt:

    D:\support\adprep\adprep32 /forestprep
    
    Eine Liste der mit Windows Server 2008 adprep /forestprep ausgeführten Vorgänge finden Sie unter Windows Server 2008: Gesamtstrukturweite Aktualisierungen (http://go.microsoft.com/fwlink/?LinkId=164636).

    Eine Liste der mit Windows Server 2008 R2 adprep /forestprep ausgeführten Vorgänge finden Sie unter Windows Server 2008 R2: Gesamtstrukturweite Aktualisierungen (http://go.microsoft.com/fwlink/?LinkId=164637).

Informationen zu möglicherweise auftretenden Fehlern finden Sie weiter unten auf dieser Seite im Abschnitt „Forestprep-Fehler“.

In einer Gesamtstruktur, die bereits mit dem Windows Server 2008-Befehl adprep /rodcprep vorbereitet wurde, brauchen Sie den Windows Server 2008 R2-Befehl adprep /rodcprep nicht auszuführen. Fahren Sie mit adprep /domainprep fort.

Wenn Sie RODCs zum ersten Mal bereitstellen:

Führen Sie, während Sie noch immer mit Organisations-Admins-Berechtigungen auf dem Schemamaster angemeldet sind, adprep /rodcprep aus.

noteHinweis
Wenn Sie mit Organisations-Admins-Berechtigungen angemeldet sind, wird Rodcprep auf allen Mitgliedscomputern oder Domänencontrollern der Gesamtstruktur ausgeführt. Sie können adprep /rodcprep vor oder nach adprep /domainprep ausführen. Es wird empfohlen, auf dem Schemamaster adprep /rodcprep aus Gründen der Bequemlichkeit sofort nach adprep /forestprep auszuführen, da für beide Befehle Organisations-Admins-Berechtigungen erforderlich sind.

Geben Sie für den Windows Server 2008-Rodcprep-Befehl den vollständigen Pfad zu Adprep an. Führen Sie beispielsweise den folgenden Befehl aus, wenn der DVD- oder Netzwerkpfad den Laufwerkbuchstaben D: hat:

c:\windows >D:\sources\adprep\adprep /rodcprep

Für Windows Server 2008 R2:

  1. Führen Sie den folgenden Befehl aus, wenn der Computer, auf dem Sie Rodcprep ausführen, ein 64-Bit-Computer ist:

    D:\support\adprep\adprep /rodcprep
    
  2. Führen Sie den folgenden Befehl aus, wenn der Computer, auf dem Sie Rodcprep ausführen, ein 32-Bit-Computer ist:

    D:\support\adprep\adprep32 /rodcprep
    

Informationen zu möglicherweise auftretenden Fehlern finden Sie weiter unten auf dieser Seite im Abschnitt „Rodcprep-Fehler“.

Installieren Sie vor dem Bereitstellen von RODCs ggf. das RODC-Kompatibilitätspaket auf Computern, auf denen Windows XP oder Windows Server 2003 ausgeführt wird. Weitere Informationen finden Sie in der Microsoft Knowledge Base im Artikel 944043 (http://go.microsoft.com/fwlink/?LinkID=122974).

Für alle Domänen, denen Sie Windows Server 2008- oder Windows Server 2008 R2-Domänencontroller hinzufügen möchten:

  1. Führen Sie netdom query fsmo oder dcdiag /test:<Name des FSMO-Tests> aus, um den Infrastrukturbetriebsmaster zu identifizieren.

  2. Wenn Betriebsmasterrollen gelöschten Domänencontrollern oder Offlinedomänencontrollern zugewiesen sind, übertragen oder übergeben Sie die Rollen nach Bedarf.

  3. Melden Sie sich am Infrastrukturmaster mit einem Konto an, das über Domänen-Admins-Berechtigungen verfügt.

  4. Führen Sie den Windows Server 2008-Befehl adprep /domainprep /gpprep vom Windows Server 2008-Systemdatenträger mit der folgenden Syntax aus:

    noteHinweis
    Sie müssen im folgenden Befehl den Parameter /gpprep nicht angeben, wenn Sie ihn bereits für Windows Server 2003 ausgeführt haben.

    <Laufwerk>:\<Pfad>\adprep /domainprep /gpprep
    
    Verwenden Sie beispielsweise die folgende Syntax, wenn der DVD- oder Netzwerkpfad den Laufwerkbuchstaben D: hat:

    D:\sources\adprep\adprep /domainprep /gpprep
    
    Für Windows Server 2008 R2:

    Verwenden Sie die folgende Syntax, wenn der Infrastrukturmaster 64-Bit-fähig ist:

    D:\support\adprep\adprep /domainprep /gpprep
    
    Verwenden Sie die folgende Syntax, wenn der Infrastrukturmaster 32-Bit-fähig ist:

    D:\support\adprep\adprep32 /domainprep /gpprep
    
    Informationen zu möglicherweise auftretenden Fehlern finden Sie weiter unten auf dieser Seite im Abschnitt „Domainprep-Fehler“.

Hintergrundinformationen über die Typen von Betriebssystemen und Domänencontrollern, die aktualisiert werden können, finden Sie unter Unterstützte direkte Aktualisierungspfade. In diesem Abschnitt werden folgende Themen behandelt:

Gehen Sie folgendermaßen vor, wenn Sie eine der folgenden direkten Aktualisierungen durchführen:

  • Aktualisieren von Windows Server 2003-Domänencontrollern auf Windows Server 2008 oder Windows Server 2008 R2

  • Aktualisieren von Windows Server 2008- oder Windows Server 2003-Domänencontrollern auf Windows Server 2008 R2

  1. Wenn auf Windows Server 2003-Domänencontrollern, die direkt auf Windows Server 2008 aktualisiert werden sollen, das japanische Sprachgebietsschema installiert ist, gehen Sie entsprechend des Microsoft Knowledge Base-Artikels 949189 (http://go.microsoft.com/fwlink/?LinkID=164588 – möglicherweise in englischer Sprache) vor.

  2. Wenn auf Windows Server 2003- oder Windows Server 2008-Domänencontrollern, die direkt auf Windows Server 2008 R2 aktualisiert werden sollen, das Active Directory-Verwaltungstool (ADMT) 3.1 installiert ist, entfernen Sie es vor der Aktualisierung.

  3. Stellen Sie beim Höherstufen neuer Domänencontroller sicher, dass die Objektinformationen zu den neu höher gestuften Domänencontrollern (das Computerkonto auf der Domänenpartition und das NTDS-Einstellungsobjekt auf der Konfigurationspartition) auf eine genügende Anzahl Domänencontroller, die in der Gesamtstruktur verbleiben, repliziert wird, bevor Sie den einzigen Domänencontroller in der Gesamtstruktur stilllegen, der diese Objektinformationen vorhält. Wenn Sie beispielsweise DC2 höher stufen und DC1 als Hilfsdomänencontroller verwenden, sollten Sie sicherstellen, dass DC1 die Objektinformationen über DC2 ausgehend auf andere Domänencontroller repliziert hat, bevor Sie DC1 stilllegen. Dies ist besonders dann ein Problem, wenn die Hilfsdomänencontroller, die von neu höher gestuften Domänencontrollern verwendet werden, schnell herabgestuft werden, bevor eine ausgehende Replikation stattgefunden hat.

  4. Führen Sie <DVD- oder Netzwerkpfad>:\setup.exe aus.

  5. Lesen Sie in der Microsoft Knowledge Base den Artikel 942564 (http://go.microsoft.com/fwlink/?LinkID=164558 – möglicherweise in englischer Sprache), und beachten Sie die richtige Einstellung für die AllowNT4Cryto-Richtlinie für die Umgebung.

  6. Wenn „dcpromo.exe“ fehlschlägt, finden Sie entsprechende Informationen unter Dcpromo-Fehler.

  7. Wenn es auf Windows Server 2003-Computern, die direkt auf Windows Server 2008 aktualisiert werden sollen, remote verschlüsselte EFS-Dateien gibt, gehen Sie entsprechend des Microsoft Knowledge Base-Artikels 948690 (http://go.microsoft.com/fwlink/?LinkID=106115 – möglicherweise in englischer Sprache) vor. Dieses Problem gilt nicht für Domänencontroller, die auf Windows Server 2008 R2 aktualisiert werden.

  8. Nach der direkten Aktualisierung sollten Sie die folgenden Patches installieren, außer sie sind bereits in die Installationsmedien integriert:

    • Wenn Sie Windows Server 2008 installieren, installieren Sie Service Pack 2 (SP2). In Windows Server 2008 R2 sind die Windows Server 2008 SP2-Patches bereits enthalten.

    • Wenn Sie auf Windows Vista- oder Windows Server 2008-Computern Gruppenrichtlinieneinstellungen verwenden, laden Sie das Juli 2009-Update zum Microsoft Knowledge Base-Artikel 943729 (http://go.microsoft.com/fwlink/?LinkID=164591 – möglicherweise in englischer Sprache) herunter.

    • Laden Sie den Patch für einen Filterprogrammfehler in der Gruppenrichtlinien-Verwaltungskonsole zum Microsoft Knowledge Base-Artikel 949360 (http://go.microsoft.com/fwlink/?LinkID=184908 – möglicherweise in englischer Sprache) herunter.

    • Wenn Sie DNS-Abfragen für Namen mit einer einzelnen Bezeichnung und nicht vollqualifizierte DNS-Namen mit Verkürzung (statt mit Suffixsuchlisten) auflösen, laden Sie den DNS-Verkürzungspatch herunter. Weitere Informationen finden Sie in der Microsoft Knowledge Base im Artikel 957579 (http://go.microsoft.com/fwlink/?LinkId=166140 – möglicherweise in englischer Sprache).

Führen Sie die folgenden Schritte aus, wenn Sie in vorhandenen Windows 2000 Server-, Windows Server 2003- oder Windows Server 2008-Domänen eine direkte Aktualisierung auf beschreibbare Windows Server 2008- oder Windows Server 2008 R2-Domänencontroller ausführen:

  1. Überprüfen Sie, ob die Zieldomäne mindestens über eine einheitliche Windows 2000-Domänenfunktionsebene verfügt.

  2. Wenn Sie Windows Server 2008-Domänencontroller höher stufen, die die japanische Sprache verwenden, gehen Sie entsprechend des Microsoft Knowledge Base-Artikels 949189 (http://go.microsoft.com/fwlink/?LinkID=164588 – möglicherweise in englischer Sprache) vor. Der Hotfix sollte sofort nach der Höherstufung und vor dem ersten Start im normalen Modus installiert werden.

  3. Führen Sie im Windows-Startmenü den Befehl Dcpromo.exe aus (oder installieren Sie im Server-Manager die Active Directory-Domänendienste-Rolle, und führen Sie dann Dcpromo aus).

  4. Wenn die AllowNT4Crytpo-Seite angezeigt wird, lesen Sie den Microsoft Knowledge Base-Artikel 942564 (http://go.microsoft.com/fwlink/?LinkID=164558 – möglicherweise in englischer Sprache), und beachten Sie die richtige Einstellung für die AllowNT4Cryto-Richtlinie für die Umgebung.

  5. Wenn ein Fehler auftritt, finden Sie entsprechende Informationen in der Liste der Dcpromo-Fehler am Ende dieses Themas.

Gehen Sie wie folgt vor, wenn Sie in vorhandenen Windows Server 2003-Domänen, Windows Server 2008-Domänen oder Domänen aus einer Mischung dieser Betriebssysteme eine direkte Aktualisierung auf Windows Server 2008-RODCs ausführen:

  1. Wenn die Option zum Installieren von RODC in Dcpromo nicht verfügbar ist, überprüfen Sie, ob die Funktionsebene der Gesamtstruktur mindestens Windows Server 2003 ist.

  2. Wenn die Option zum Installieren von RODC nicht verfügbar ist und die Fehlermeldung besagt, dass es in der Domäne keinen Windows Server 2008 gibt, überprüfen Sie, ob in der Domäne ein Windows Server 2008-Domänencontroller vorhanden ist und ob er in dem Netzwerk, in dem Sie den RODC höher stufen möchten, erreichbar ist.

  3. Weitere Informationen zur Fehlermeldung, dass der Zugriff verweigert wird, finden Sie in der Microsoft Knowledge Base.

Für alle Domänencontroller:

  • Konfigurieren Sie den PDC des Stamms der Gesamtstruktur mit einer externen Zeitquelle. Weitere Informationen finden Sie auf der Seite über das Konfigurieren des PDCs des Stamms der Gesamtstruktur mit einer externen Zeitquelle (http://go.microsoft.com/fwlink/?LinkId=91969 – möglicherweise in englischer Sprache).

  • Aktivieren Sie den Löschschutz für Organisationseinheiten und andere strategischen Container, um versehentliches Löschen zu verhindern.

  • Erstellen Sie eine Systemstatussicherung aktualisierter und neu höher gestufter Domänencontroller. Wenn Sie den ersten Domänencontroller in einer neuen Domäne höher gestuft haben und noch nicht über weitere Domänencontroller verfügen, ist es von größerer Wichtigkeit, eine Systemstatussicherung zu erstellen, um versehentlich gelöschte Daten wiederherzustellen. Weitere Informationen finden Sie in Schrittweise Anleitung zur AD DS-Sicherung und -Wiederherstellung (http://go.microsoft.com/fwlink/?LinkId=190448).

  • Verwenden Sie nur Active Directory-fähige Sicherungsanwendungen, um Domänencontroller wiederherzustellen oder den Inhalt von AD DS zurückzusetzen. Die Wiederherstellung von Momentaufnahmen, die mit Abbilderstellungssoftware erstellt wurden, wird auf Domänencontrollern nicht unterstützt.

Installieren Sie nach der Installation von AD DS die folgenden Hotfixes.

noteHinweis
Leider ist es nicht möglich, eine vollständige Liste aller Hotfixes bereitzustellen. In der folgenden Liste sind die Hotfixes für die AD DS- und DNS-Serverrollen aufgeführt, die im Oktober 2010 verfügbar waren.

 

Hotfix So wenden Sie den Hotfix für Windows Server 2008 an So wenden Sie den Hotfix für Windows Server 2008 R2 an

Artikel 949189 (http://go.microsoft.com/fwlink/?LinkId=164588 – möglicherweise in englischer Sprache): Japanisches Sprachgebietsschema

Installieren Sie das in Artikel 949189 bereitgestellte Update oder Windows Server 2008 SP2.

Nicht zutreffend

Artikel 949360 (http://go.microsoft.com/fwlink/?LinkId=184908 – möglicherweise in englischer Sprache): GPMC-Filterfehler

Installieren Sie den in MSKB 949360 bereitgestellten Hotfix oder Windows Server 2008 SP2.

Nicht zutreffend

Artikel 951191 (http://go.microsoft.com/fwlink/?LinkId=184906 – möglicherweise in englischer Sprache): KERB5KDC_ERR_C_PRINICPAL_UNKNOWN-Fehler

Installieren Sie den in MSKB 951191 bereitgestellten Hotfix oder Windows Server 2008 SP2.

Nicht zutreffend

Artikel 943729 (http://go.microsoft.com/fwlink/?LinkId=164591 – möglicherweise in englischer Sprache): GPP-Wiederveröffentlichung

Installieren Sie die in MSKB 943729 bereitgestellten Gruppenrichtlinieneinstellungen oder ggf. Windows Server 2008 SP3.

Nicht zutreffend

Artikel 957579 (http://go.microsoft.com/fwlink/?LinkId=184907 – möglicherweise in englischer Sprache): DNS-Verkürzungspatch

Installieren Sie das in MSKB 957579 bereitgestellte Paket oder ggf. Windows Server 2008 SP3.

Nicht zutreffend

Artikel 971438 (http://go.microsoft.com/fwlink/?LinkId=185193 – möglicherweise in englischer Sprache): Auf einen Computer, der Mitglied einer geschachtelten Gruppe ist, wird ein Gruppenrichtlinienobjekt nicht angewendet.

Installieren Sie den in MSKB 971438 bereitgestellten Hotfix oder ggf. Windows Server 2008 SP3.

Nicht zutreffend

Artikel 981370 (http://go.microsoft.com/fwlink/?LinkId=206168): Der DNS-Serverdienst auf einem RODC antwortet mehrere Minuten lang nicht auf DNS-Abfragen, wenn der Link zu Domänencontrollern mit Lese- und Schreibzugriff unter Windows Server 2008 beschädigt ist.

Installieren Sie den in MSKB 981370 bereitgestellten Hotfix oder ggf. Windows Server 2008 SP3.

Nicht zutreffend

Artikel 976494 (http://go.microsoft.com/fwlink/?LinkId=206174): Fehler 1789 bei Verwendung der LookupAccountName-Funktion auf einem Computer, auf dem Windows 7 oder Windows Server 2008 R2 ausgeführt wird

Nicht zutreffend

Installieren Sie den in MSKB 976494 bereitgestellten Hotfix oder ggf. Windows Server 2008 R2 SP1.

Artikel 978277 (http://go.microsoft.com/fwlink/?LinkId=184911 – möglicherweise in englischer Sprache): Das angegebene Konto ist nicht vorhanden.

Nicht zutreffend

Installieren Sie den in MSKB 978277 bereitgestellten Hotfix oder ggf. Windows Server 2008 R2 SP1.

Artikel 978387 (http://go.microsoft.com/fwlink/?LinkId=184915 – möglicherweise in englischer Sprache): Dcdiag schlägt mit Fehlercode 0x621 fehl.

Nicht zutreffend

Installieren Sie den in MSKB 978387 bereitgestellten Hotfix oder ggf. Windows Server 2008 R2 SP1.

Artikel 978516 (http://go.microsoft.com/fwlink/?LinkId=185190 – möglicherweise in englischer Sprache): Bedeutende Verzögerungen beim mehrmaligen Lesen derselben Dateien

Nicht zutreffend

Installieren Sie den in MSKB 978516 bereitgestellten Hotfix oder ggf. Windows Server 2008 R2 SP1.

Artikel 978837 (http://go.microsoft.com/fwlink/?LinkId=185191 – möglicherweise in englischer Sprache): Das Fenster „Gruppenrichtlinienverwaltungs-Editor“ stürzt beim Übernehmen bestimmter Änderungen für NRPT-Richtlinieneinstellungen ab

Nicht zutreffend

Installieren Sie den in MSKB 978837 bereitgestellten Hotfix oder ggf. Windows Server 2008 R2 SP1.

Artikel 2309290 (http://go.microsoft.com/fwlink/?LinkId=204904 – möglicherweise in englischer Sprache): Der DNS-Serverdienst antwortet nicht ordnungsgemäß auf Anforderungen zum Auflösen von Namen mit mehreren Bezeichnungen, wenn unter Windows Server 2008 R2 Zonen im Hintergrund geladen werden

Nicht zutreffend

Installieren Sie den in MSKB 2309290 bereitgestellten Hotfix oder ggf. Windows Server 2008 R2 SP1.

Für RODCs:

  • Wenn Sie RODCs bereitstellen, installieren Sie auf allen beschreibbaren Windows Server 2008-Domänencontrollern den Hotfix zum Artikel 953392 in der Microsoft Knowledge Base (http://go.microsoft.com/fwlink/?LinkID=150337 – möglicherweise in englischer Sprache). Dieser Patch ist auf beschreibbaren Windows Server 2008 R2-Domänencontrollern nicht erforderlich.

  • Lesen Sie in der Microsoft Knowledge Base den Artikel 944043 (http://go.microsoft.com/fwlink/?LinkID=122974 – möglicherweise in englischer Sprache), und installieren Sie auf den Windows-Clients und -Servern, auf die eines der im Artikel aufgeführten Szenarien zutrifft, die entsprechenden Patches.

In diesem Abschnitt werden Fehler in „Adprep.exe“ und „Dcpromo.exe“ beschrieben. Wenn ein hier nicht genannter Fehler auftritt, führen Sie eine sitespezifische Suche nach der Fehlermeldung durch („site:Microsoft.com: “Fehlermeldung“, oder veröffentlichen Sie das Problem auf den folgenden Communitywebsites:

In diesen Abschnitten werden Fehler der Befehle forestprep, domainprep und rodcprep beschrieben.

  • Weitere Informationen zur Fehlermeldung, dass der Schemabetriebsmaster einem gelöschten Domänencontroller zugewiesen wird, finden Sie in der Microsoft Knowledge Base.

  • Überprüfen Sie bei den Fehlermeldungen „Adprep konnte das Schema nicht erweitern“ bzw. „Adprep konnte nicht bestätigen, ob der Schemamaster einen Replikationszyklus nach dem letzten Neustart abgeschlossen hat“, ob der Schemamaster die Schemapartition seit dem Neustart eingehend repliziert hat. Weitere Informationen finden Sie auf der Seite über das Erzwingen von Replikationen im Abschnitt über das Erzwingen eines Replikationsereignisses mit allen Partnern (http://go.microsoft.com/fwlink/?LinkId=164668 – möglicherweise in englischer Sprache), und führen Sie den Befehl repadmin /syncall aus.

  • Wenn die Fehlermeldung besagt, dass die Rückruffunktion fehlgeschlagen ist, lesen Sie auf der Seite über das Ausführen von Adprep.exe den Abschnitt Adprep konnte wegen eines Fehlers der Rückruffunktion nicht abgeschlossen werden (http://go.microsoft.com/fwlink/?LinkId=164669 – möglicherweise in englischer Sprache).

  • Weitere Informationen zur Fehlermeldung „Es besteht ein Schemakonflikt mit Exchange 2000. Das Schema wurde nicht aktualisiert.“ finden Sie in der Microsoft Knowledge Base im Artikel 314649 (http://go.microsoft.com/fwlink/?LinkID=166190 – möglicherweise in englischer Sprache).

  • Weitere Informationen zur Fehlermeldung „Ein Attribut mit der gleichen Verknüpfungskennung ist bereits vorhanden“ finden Sie in der Microsoft Knowledge Base im Artikel 969307 (http://go.microsoft.com/fwlink/?LinkId=164670 – möglicherweise in englischer Sprache).

  • Stellen Sie bei allen anderen Fehlern eine Anfrage mit der Fehlermeldung, die zwischen den Anführungszeichen steht, auf Microsoft Hilfe und Support (http://go.microsoft.com/fwlink/?LinkID=56290).

  1. Lesen Sie bei der Fehlermeldung „Die Domäne befindet sich nicht im einheitlichen Modus“ die Seite über das Heraufsetzen der Domänenfunktionsebene (http://go.microsoft.com/fwlink/?LinkID=141249 – möglicherweise in englischer Sprache).

  2. Wenn die Fehlermeldung besagt, dass die Rückruffunktion fehlgeschlagen ist, lesen Sie auf der Seite über das Ausführen von Adprep.exe den Abschnitt Adprep konnte wegen eines Fehlers der Rückruffunktion nicht abgeschlossen werden (http://go.microsoft.com/fwlink/?LinkID=164669 – möglicherweise in englischer Sprache).

  3. Stellen Sie bei allen anderen Fehlern eine Anfrage mit der Fehlermeldung, die zwischen den Anführungszeichen steht, auf Microsoft Hilfe und Support (http://go.microsoft.com/fwlink/?LinkID=56290).

  1. Wenn Rodcprep mit der in der Microsoft Knowledge Base im Artikel 949257 (http://go.microsoft.com/fwlink/?LinkID=140285 – möglicherweise in englischer Sprache) dokumentierten Fehlermeldung „Adprep konnte kein Replikat für Partition <definierter Name der gesamtstruktur- oder domänenweiten DNS-Anwendungspartition> erreichen“ fehlschlägt, führen Sie das Skript Fixfsmo.vbs aus diesem Artikel aus, und führen Sie dann erneut Rodcprep aus, bis es erfolgreich ausgeführt wird.

  2. Stellen Sie bei allen anderen Fehlern eine Anfrage mit der Fehlermeldung, die zwischen den Anführungszeichen steht, auf Microsoft Hilfe und Support (http://go.microsoft.com/fwlink/?LinkID=56290).

  1. Wenn die Aktualisierung ohne einen angezeigten oder in einem Debugprotokoll aufgezeichneten Fehler zurückgesetzt wird, überprüfen Sie, ob auf den Volumes, auf denen %systemdrive, Ntds.dit und SYSVOL gehostet werden, genügend freier Speicherplatz vorhanden ist.

  2. Überprüfen Sie bei der Fehlermeldung „Zum Installieren eines Domänencontrollers in der Active Directory-Gesamtstruktur muss zunächst die Gesamtstruktur mithilfe von "adprep /forestprep" vorbereitet werden…“, ob /forestprep ausgeführt wurde und ob der Hilfsdomänencontroller die /forestprep-Änderungen eingehend repliziert hat. Weitere Informationen finden Sie auf der Seite über das Ausführen von „adprep.exe“ (http://go.microsoft.com/fwlink/?LinkID=142597 – möglicherweise in englischer Sprache).

  3. Überprüfen Sie bei der Fehlermeldung „Zum Installieren eines Domänencontrollers in der Active Directory-Domäne muss zunächst die Gesamtstruktur mithilfe von "adprep /domainprep" vorbereitet werden…“, ob /domainprep ausgeführt wurde und ob der Hilfsdomänencontroller die /domainprep-Änderungen eingehend repliziert hat. Weitere Informationen finden Sie auf der Seite über das Ausführen von „adprep.exe“ (http://go.microsoft.com/fwlink/?LinkID=142597 – möglicherweise in englischer Sprache).

  4. Wenn eine Fehlermeldung lautet:

    Fehler beim Ausführen des Vorgangs: Dieser Computer konnte kein Mitglied der Domäne "<Ziel-DNS-Domäne>" werden. „Der angegebene Benutzer ist bereits vorhanden.“

    In diesem Fall hat der höher zu stufende Computer in der Zieldomäne ein zuvor höher gestuftes Computerkonto mit demselben Hostnamen gefunden.

    So beheben Sie diesen Fehler

    1. Wenn der höher zu stufende Computer einen zuvor herabgestuften Domänencontroller mit demselben Computernamen ersetzt, stellen Sie sicher, dass die Metadaten des herabgestuften Domänencontrollers aus AD DS entfernt werden, und wiederholen Sie Höherstufung. Weitere Informationen finden Sie auf der Seite über das Bereinigen von Metadaten entfernter beschreibbarer Domänencontroller (http://go.microsoft.com/fwlink/?LinkID=164553 – möglicherweise in englischer Sprache).

    2. Wenn Fehler anschließend weiterhin auftritt, überprüfen Sie das Protokoll %systemroot%\debug\DCPROMOUI.LOG, um den Namen des Replikationsquelldomänencontrollers zu identifizieren, der von dem höher zu stufenden Domänencontroller verwendet wird.

    3. Überprüfen Sie, ob der Replikationsquelldomänencontroller das Entfernen des problematischen Domänencontrollerkontos eingehend repliziert hat. Der Entfernungsvorgang wurde möglicherweise aufgrund eines Replikationsfehlers oder der Replikationswartezeit (noch) nicht auf den Quelldomänencontroller repliziert.

    4. Der Fehler kann andere Ursachen haben. Weitere Informationen finden Sie in den folgenden Microsoft Knowledge Base-Artikeln:

      • 266633 (http://go.microsoft.com/fwlink/?LinkId=179118 – möglicherweise in englischer Sprache)

      • 273875 (http://go.microsoft.com/fwlink/?LinkId=179119 – möglicherweise in englischer Sprache)

      • 938447 (http://go.microsoft.com/fwlink/?LinkId=179120 – möglicherweise in englischer Sprache)

  5. Wenn eine Fehlermeldung lautet:

    „Die Installation eines zusätzlichen Domänencontrollers ist derzeit nicht möglich, da der RID-Master "<Name des Domänencontrollers>" offline ist.“ oder „Derzeit kann kein beschreibbarer replizierter Domänencontroller installiert werden, da der RID-Master "<Name des Domänencontrollers>" offline ist. Möchten Sie den Vorgang fortsetzen?“

    In diesem Fall versucht Dcpromo durch das Lesen des Attributs fsmoRoleOwner von CN=RID Manager$,CN=System,DC=<Domäne> und das Extrahieren von dnsHostName des RID-Masters den Besitzer der RID-Master-Rolle zu identifizieren. Anschließend versucht Dcpromo über Port 389 mit dem vollqualifizierten Computernamen eine LDAP-Verbindung zum RID-Masterserver zu initiieren. Wenn die LDAP-Verbindung nicht hergestellt werden kann, hält Dcpromo den RID-Master für offline. Anfängliche Synchronisierungsfehler durch die RID-FSMO sollten diesen Fehler nicht verursachen.

    1. Führen Sie repadmin /showattr fsmo_rid: ncobj:domain: /filter:(objectclass=ridmanager) /subtree und entweder netdom query fsmo oder dcdiag /test:<Name des FSMO-Tests> aus.



    2. Die Ausgabe des Befehls repadmin enthält den fSMORoleOwner. Wenn der definierte Namenspfad von fSMORoleOwner, der vom Befehl im vorherigen Schritt zurückgegeben wurde, unvollständig oder einem gelöschten Domänencontroller zugewiesen ist, entfernen Sie die Metadaten für diesen Domänencontroller, und weisen Sie die Rolle einem Livedomänencontroller zu, der eine beschreibbare Kopie der Domänenpartition hostet.

    3. Überprüfen Sie, ob die RID-Masterrolle einem Livedomänencontroller zugewiesen ist, der seit seinem letzten Start die Domänenverzeichnispartition mindestens von einem anderem Domänencontroller in derselben Domäne erfolgreich eingehend repliziert hat.

    4. Wenn der aktuelle Inhaber der Rolle der einzige Livedomänencontroller in der Domäne ist und seine Kopie von Active Directory oder AD DS auf Domänencontroller verweisen, die nicht mehr vorhanden sind, entfernen Sie die veralteten Metadaten für diese Domänencontroller, starten Sie den Livedomänencontroller neu, und wiederholen Sie die Höherstufung.

    Weitere Informationen finden Sie in der Microsoft Knowledge Base im Artikel 2009385.

  6. Wenn eine Warnung ausgegeben wird, dass auf einem Windows Server 2008-Domänencontroller für eine IPv6-Adresse keine statische IP-Adresse konfiguriert wurde, klicken Sie auf Ja, und schließen Sie den Assistenten ab.

  7. Wenn das Kontrollkästchen zum Installieren der DNS-Serverrolle nicht verfügbar ist, hat die Active Directory-Domäne einen DNS-Namen mit einer einzelnen Bezeichnung oder Dcpromo.exe kann keinen anderen Microsoft-DNS-Server in der Domäne finden.

  8. Lesen Sie bei der Fehlermeldung „Für den DNS-Server kann keine Delegierung erstellt werden, da die autorisierende übergeordnete Zone nicht gefunden wurde…“ die Seite über die bekannten Probleme beim Installieren und Entfernen von AD DS (http://go.microsoft.com/fwlink/?LinkId=164418 – möglicherweise in englischer Sprache).

  9. Weitere Informationen zur Fehlermeldung „Die DNS-Zone konnte nicht erstellt werden...“ finden Sie in der Microsoft Knowledge Base.

  10. Wenn im Verzeichnisdiensteprotokoll die Ereignis-ID 16651 aufgeführt wird, lesen Sie in der Microsoft Knowledge Base den Artikel 316201 (http://go.microsoft.com/fwlink/?LinkId=184855 – möglicherweise in englischer Sprache).

  11. Wenn das System SYSVOL nicht freigeben kann, finden Sie weitere Informationen in der Microsoft Knowledge Base.

  12. Wenn Dcpromo mit der Fehlermeldung „Die erforderlichen Eigenschaften für das Computerkonto wurden nicht geändert. Zugriff verweigert“ fehlschlägt, stellen Sie sicher, dass Administratoren in der Standarddomänencontroller-Richtlinie über die Berechtigung Ermöglichen, dass Computer- und Benutzerkonten für Delegierungszwecke vertraut wird verfügen und dass die Richtlinie mit der Domänencontroller-Organisationseinheit verknüpft wurde. Stellen Sie außerdem sicher, dass sich das Computerkonto des Hilfsdomänencontrollers in der Domänencontroller-Organisationseinheit befindet, und dass die Richtlinie erfolgreich angewendet wurde. Weitere Informationen finden Sie in der Microsoft Knowledge Base im Artikel 232070 (http://go.microsoft.com/fwlink/?LinkId=166198 – möglicherweise in englischer Sprache).

  13. Wenn Dcpromo mit der Fehlermeldung „Active Directory konnte das NTDS-Einstellungsobjekt für diesen Domänencontroller nicht erstellen“ fehlschlägt, finden Sie weitere Informationen in der Microsoft Knowledge Base.

    Wenn der Domänencontroller mehrfach vernetzt ist, deaktivieren Sie die Registrierung des Hostressourceneintrags (A) für Netzwerkadapter, die aus dem Produktionsnetzwerk nicht zu erreichen sind.

    Wenn der Domänencontroller mehrfach vernetzt und an einem Netzwerkadapter kein Netzwerkkabel angeschlossen ist, deaktivieren Sie die nicht verwendeten Netzwerkadapter, um zu verhindern, dass dafür Hostressourceneinträge (A) für APIPA-zugewiesene Adressen (169.254.*. *) registriert werden, die von Clients nicht aufgelöst werden können.

    Außerdem sollten Sie DNS-Aufräumvorgänge und Alterung aktivieren. Weitere Informationen finden Sie auf der Seite über das Aktivieren von Alterung und Aufräumvorgängen für DNS (http://go.microsoft.com/fwlink/?LinkId=184877 – möglicherweise in englischer Sprache).

Fanden Sie dies hilfreich?
(1500 verbleibende Zeichen)
Vielen Dank für Ihr Feedback.

Community-Beiträge

HINZUFÜGEN
Anzeigen:
© 2014 Microsoft