(0) exportieren Drucken
Alle erweitern

Seitenbeschreibungen für den Assistenten zum Installieren und Entfernen von AD DS

Veröffentlicht: Januar 2013

Letzte Aktualisierung: November 2012

Betrifft: Windows Server 2012

Dies ist eine Dokumentation zur Vorabversion und unterliegt in künftigen Versionen weiteren Änderungen. Eingefügte leere Abschnitte dienen als Platzhalter.

Dieses Thema enthält Beschreibungen zu den Steuerelementen auf den folgenden Assistentenseiten, die die Installation und das Entfernen der AD DS-Serverrolle in Server Manager umfassen.

In Server-Manager beginnt jede Domänencontrollerinstallation auf der Seite Bereitstellungskonfiguration. Die restlichen Optionen und erforderlichen Felder auf dieser Seite und den folgenden Seiten variieren in Abhängigkeit von dem von Ihnen ausgewählten Bereitstellungsvorgang. Wenn Sie beispielsweise eine neue Gesamtstruktur erstellen, wird die Seite Vorbereitungsoptionen nicht angezeigt. Sie wird jedoch angezeigt, wenn Sie den ersten Domänencontroller installieren, mit dem Windows Server 2012 in einer vorhandenen Gesamtstruktur oder Domäne ausgeführt wird.

Auf dieser Seite werden einige Validierungstests ausgeführt. Diese Tests werden später im Rahmen der Voraussetzungsüberprüfungen wiederholt. Wenn Sie beispielsweise versuchen, den ersten Windows Server 2012-Domänencontroller in einer Gesamtstruktur mit Windows 2000-Funktionsebene zu installieren, wird auf dieser Seite ein Fehler angezeigt.

Beim Erstellen einer neuen Gesamtstruktur werden die folgenden Optionen angezeigt.

Bereitstellungskonfiguration
  • Beim Erstellen einer neuen Gesamtstruktur müssen Sie einen Namen für die Stammdomäne der Gesamtstruktur angeben. Der Stammdomänenname der Gesamtstruktur darf keine einzelne Bezeichnung sein (anstelle von "contoso" muss er beispielsweise "contoso.com" lauten). Es müssen zulässige DNS-Domänennamenskonventionen verwendet werden. Sie können einen internationalen Domänennamen (IDN) angeben. Weitere Informationen zu DNS-Domänennamenskonventionen finden Sie im KB-Artikel 909264.

  • Erstellen Sie keine neuen Active Directory-Gesamtstrukturen, die denselben Namen haben wie Ihr externer DNS-Name. Wenn Ihre Internet-DNS-URL beispielsweise "http://contoso.com" lautet, müssen Sie für Ihre interne Gesamtstruktur einen anderen Namen auswählen, um künftige Kompatibilitätsprobleme zu vermeiden. Der Name sollte eindeutig und seine Verwendung für den Webdatenverkehr unwahrscheinlich sein, beispielsweise "corp.contoso.com".

  • Auf dem Server, auf dem Sie eine neue Gesamtstruktur erstellen möchten, müssen Sie Mitglied der Administratorgruppe sein.

Weitere Informationen zum Erstellen einer Gesamtstruktur finden Sie unter Install a New Windows Server 2012 Active Directory Forest (Level 200)).

Beim Erstellen einer neuen Domäne werden die folgenden Optionen angezeigt.

AD DS-Seite für die Bereitstellungskonfiguration
noteHinweis
Beim Erstellen einer neuen Gesamtstrukturdomäne müssen Sie anstelle der übergeordneten Domäne den Namen der Stammdomäne für die Gesamtstruktur angeben. Die restlichen Assistentenseiten und Optionen sind jedoch identisch.

  • Klicken Sie auf Auswählen, um zur übergeordneten Domäne oder zur Active Directory-Gesamtstruktur zu navigieren, oder geben Sie eine gültige übergeordnete Domäne oder einen Gesamtstrukturnamen ein. Geben Sie dann unter Neuer Domänename den Namen der neuen Domäne ein.

  • Strukturdomäne: geben Sie einen gültigen, vollqualifizierten Stammdomänennamen an; der Name darf nicht aus einer einzelnen Bezeichnung bestehen und muss die Anforderungen an den DNS-Domänennamen erfüllen.

  • Untergeordnete Domäne: geben Sie einen gültigen Namen für die untergeordnete Domäne an, der aus einer einzelnen Bezeichnung besteht; der Name muss die Anforderungen an den DNS-Domänennamen erfüllen.

  • Der Konfigurations-Assistent für die Active Directory-Domänendienste fordert Sie zur Eingabe der Domänenanmeldeinformationen auf, wenn Ihre aktuellen Anmeldeinformationen nicht zu der Domäne gehören. Klicken Sie auf Ändern, um Domänenanmeldeinformationen anzugeben.

Weitere Informationen zum Erstellen einer Domäne finden Sie unter Install a New Windows Server 2012 Active Directory Child or Tree Domain (Level 200)).

Beim Hinzufügen eines neuen Domänencontrollers zu einer vorhandenen Domäne werden die folgenden Optionen angezeigt.

AD DS-Seite für die Bereitstellungskonfiguration
  • Klicken Sie auf Auswählen, um zu der Domäne zu navigieren, oder geben Sie einen gültigen Domänennamen ein.

  • Server-Manager fordert Sie ggf. zur Eingabe gültiger Anmeldeinformationen auf. Für das Installieren eines zusätzlichen Domänencontrollers ist die Mitgliedschaft in der Gruppe "Domänen-Admins" erforderlich.

    Zudem sind für das Installieren des ersten Domänencontrollers, mit dem Windows Server 2012 in einer Gesamtstruktur ausgeführt wird, Anmeldeinformationen erforderlich, die Gruppenmitgliedschaften in den beiden Gruppen "Organisations-Admins" und "Schema-Admins" umfassen. Wenn Ihre aktuellen Anmeldeinformationen keine angemessenen Berechtigungen oder Gruppenmitgliedschaften aufweisen, wird später vom Konfigurations-Assistenten für die Active Directory-Domänendienste eine Eingabeaufforderung ausgegeben.

Weitere Informationen zum Hinzufügen eines Domänencontrollers zu einer vorhandenen Domäne finden Sie unter Install a Replica Windows Server 2012 Domain Controller in an Existing Domain (Level 200).

Wenn Sie eine neue Gesamtstruktur erstellen, werden auf der Seite "Domänencontrolleroptionen" die folgenden Optionen angezeigt:

AD DS-Seite für DC-Optionen
  • Die Funktionsebenen der Gesamtstruktur und Domäne sind standardmäßig auf Windows Server 2012 festgelegt.

    Auf der Windows Server 2012-Domänenfunktionsebene ist ein neues Feature verfügbar: für die Kerberos-Domänencontrollerrichtlinie bezüglich administrativer Vorlagen für die Unterstützung der dynamischen Zugriffssteuerung und Kerberos Armoring sind zwei Einstellungen vorhanden ("Immer Ansprüche bereitstellen" und "Fehler bei Authentifizierungsanforderungen ohne Armor"), für die die Windows Server 2012-Domänenfunktionsebene erforderlich ist. Weitere Informationen finden Sie unter "Unterstützung für Ansprüche, Verbundauthentifizierung und Kerberos Armoring" in Neues bei der Kerberos-Authentifizierung.

    Die Windows Server 2012-Gesamtstrukturfunktionsebene bietet zwar keine neuen Features, sie stellt jedoch sicher, dass alle in der Gesamtstruktur erstellten neuen Domänen automatisch auf Windows Server 2012-Domänenfunktionsebene funktionieren. Außer der Unterstützung der dynamischen Zugriffssteuerung und Kerberos Armoring bietet die Windows Server 2012-Domänenfunktionsebene keine weiteren neuen Features. Sie stellt jedoch sicher, dass auf allen Domänencontrollern in der Domäne Windows Server 2012 ausgeführt wird. Weitere Informationen zu weiteren Features, die auf verschiedenen Funktionsebenen verfügbar sind, finden Sie unter Grundlegendes zu den AD DS-Funktionsebenen (Active Directory-Domänendienste).

    Neben den Funktionsebenen bieten Domänencontroller, auf denen Windows Server 2012 ausgeführt wird, zusätzliche Features, die auf einem Domänencontroller mit einer früheren Version von Windows Server nicht verfügbar sind. Ein Domänencontroller, auf dem Windows Server 2012 ausgeführt wird, kann beispielsweise zum Klonen virtueller Domänencontroller verwendet werden, während dies bei einem Domänencontroller mit einer früheren Version von Windows Server nicht der Fall ist.

  • Beim Erstellen einer neuen Gesamtstruktur ist standardmäßig DNS-Server ausgewählt. Bei dem ersten Domänencontroller in der Gesamtstruktur muss es sich um einen globalen Katalogserver handeln. Schreibgeschützte Domänencontroller (Read Only Domain Controller, RODC) sind dabei nicht zulässig.

  • Für die Anmeldung bei einem Domänencontroller, auf dem AD DS nicht ausgeführt wird, ist das Kennwort für den Verzeichnisdienst-Wiederherstellungsmodus (Directory Services Restore Mode, DSRM) erforderlich. Das von Ihnen angegebene Kennwort muss der auf den Server angewendeten Kennwortrichtlinie entsprechen, laut der standardmäßig kein sicheres, sondern lediglich ein nicht leeres Kennwort erforderlich ist. Wählen Sie stets ein sicheres, komplexes Kennwort oder bevorzugterweise eine Passphrase aus. Informationen zum Synchronisieren des DSRM-Kennworts mit dem Kennwort eines Domänenbenutzerkontos finden Sie im KB-Artikel 961320.

Weitere Informationen zum Erstellen einer Gesamtstruktur finden Sie unter Install a New Windows Server 2012 Active Directory Forest (Level 200)).

Wenn Sie eine untergeordnete Domäne erstellen, werden auf der Seite "Domänencontrolleroptionen" die folgenden Optionen angezeigt:

Optionen für Domänencontroller
  • Die Funktionsebene der Domäne ist standardmäßig auf Windows Server 2012 festgelegt. Sie können einen beliebigen anderen Wert angeben, der mindestens dem Wert der Gesamtstrukturfunktionsebene oder höher entspricht.

  • Die konfigurierbaren Domänencontrolleroptionen lauten DNS-Server und Globaler Katalog. Das Konfigurieren eines schreibgeschützten Domänencontrollers als ersten Domänencontroller in einer neuen Domäne ist nicht möglich.

    Für eine hohe Verfügbarkeit in verteilten Umgebungen empfiehlt Microsoft, dass alle Domänencontroller DNS und globale Katalogdienste bereitstellen. Dies ist die Ursache dafür, dass der Assistent diese Optionen beim Erstellen einer neuen Domäne standardmäßig aktiviert.

  • Auf der Seite Domänencontrolleroptionen können Sie unter Standortname den entsprechenden logischen Standortnamen für Active Directory in der Gesamtstrukturkonfiguration auswählen. Standardmäßig ist der Standortname mit dem korrektesten Subnetz ausgewählt. Wenn nur ein Standort vorhanden ist, wird dieser automatisch ausgewählt.

    ImportantWichtig
    Wenn der Server zu keinem Active Directory-Subnetz gehört und mehrere Standorte vorhanden sind, wird keine Auswahl getroffen, und die Schaltfläche Weiter ist erst wieder verfügbar, nachdem Sie in der Liste einen Standort ausgewählt haben.

Weitere Informationen zum Erstellen einer Domäne finden Sie unter Install a New Windows Server 2012 Active Directory Child or Tree Domain (Level 200)).

Wenn Sie einer Domäne einen Domänencontroller hinzufügen, werden auf der Seite "Domänencontrolleroptionen" die folgenden Optionen angezeigt:

AD DS-Seite für DC-Optionen
  • Die konfigurierbaren Domänencontrolleroptionen lauten DNS-Server und Globaler Katalog und Schreibgeschützter Domänencontroller.

    Für eine hohe Verfügbarkeit in verteilten Umgebungen empfiehlt Microsoft, dass alle Domänencontroller DNS und globale Katalogdienste bereitstellen. Dies ist die Ursache dafür, dass der Assistent diese Optionen standardmäßig aktiviert. Weitere Informationen zum Bereitstellen von RODCs finden Sie im Planungs- und Bereitstellungshandbuch für schreibgeschützte Domänencontroller.

Weitere Informationen zum Hinzufügen eines Domänencontrollers zu einer vorhandenen Domäne finden Sie unter Install a Replica Windows Server 2012 Domain Controller in an Existing Domain (Level 200).

Wenn Sie DNS-Server installieren, wird die folgende Seite mit DNS-Optionen angezeigt:

AD DS-Seite für DC-Optionen

Beim Installieren von DNS-Server sollten Delegierungseinträge, die auf den DNS-Server als autorisierend für die Zone verweisen, in der übergeordneten DNS-Zone (Domain Name System) erstellt werden. Delegierungseinträge übertragen die Namensauflösungsautorität und stellen richtige Verweise auf andere DNS-Server und die Clients der neuen Server bereit, die als autorisierende Server für die neue Zone verwendet werden. Zu diesen Ressourceneinträgen gehören die Folgenden:

  • Ein Namenserver-Ressourceneintrag (NS) zur Ausführung der Delegierung. Dieser Ressourceneintrag gibt bekannt, dass der Server ns1.na.example.microsoft.com ein autorisierender Server für die delegierte untergeordnete Domäne ist.

  • Es muss ein Hostressourceneintrag (A oder AAAA), auch als Verbindungseintrag bezeichnet, vorhanden sein, um den Namen des Servers in die zugehörige IP-Adresse aufzulösen, der in dem Namenserver-Ressourceneintrag (NS) angegeben ist. Der Prozess zur Auflösung des Hostnamens in diesem Ressourceneintrag für den delegierten DNS-Server im Namenserver-Ressourceneintrag (NS) wird manchmal auch als Verbindungsverfolgung bezeichnet.

Sie können auch die automatische Erstellung durch den Konfigurations-Assistenten für die Active Directory-Domänendienste festlegen. Nachdem Sie auf der Seite Domänencontrolleroptionen auf Weiter geklickt haben, überprüft der Assistent, ob die entsprechenden Einträge in der übergeordneten DNS-Zone vorhanden sind. Wenn der Assistent nicht überprüfen kann, ob die Einträge in der übergeordneten Domäne vorhanden sind, bietet er Ihnen die Möglichkeit, automatisch eine neue DNS-Delegierung für eine neue Domäne zu erstellen (oder die vorhandene Delegierung zu aktualisieren) und den Vorgang mit der Installation des neuen Domänencontrollers fortzusetzen.

Alternativ können Sie diese DNS-Delegierungseinträge vor dem Installieren von DNS-Server erstellen. Zum Erstellen einer Zonendelegierung öffnen Sie den DNS-Manager, klicken Sie mit der rechten Maustaste auf die übergeordnete Domäne, und klicken Sie dann auf Neue Delegierung. Folgen Sie den Schritten im Assistenten zum Erstellen neuer Delegierungen, um die Delegierung zu erstellen.

Der Installationsvorgang versucht, die Delegierung zu erstellen, um sicherzustellen, dass Computer in anderen Domänen DNS-Abfragen für Hosts in der DNS-Unterdomäne auflösen können, einschließlich Domänencontrollern und Mitgliedscomputern. Beachten Sie, dass die Delegierungseinträge nur auf Microsoft DNS-Servern automatisch erstellt werden können. Wenn sich die übergeordnete DNS-Domänenzone auf DNS-Servern von Drittanbietern wie BIND befindet, wird auf der Seite " Voraussetzungsüberprüfung" eine Warnung über einen Fehler beim Erstellen der DNS-Delegierungseinträge angezeigt. Weitere Informationen zu der Warnung finden Sie unter Bekannte Probleme beim Installieren von AD DS.

Delegierungen zwischen der übergeordneten Domäne und der Unterdomäne, die höher gestuft wird, können vor oder nach der Installation erstellt und überprüft werden. Es besteht kein Grund zur Verzögerung der Installation eines neuen Domänencontrollers, da Sie die DNS-Delegierung nicht erstellen oder aktualisieren können.

Weitere Informationen zur Delegierung finden Sie unter Grundlegendes zur Zonendelegierung (http://go.microsoft.com/fwlink/?LinkId=164773). Wenn in der momentanen Situation keine Zonendelegierung möglich ist, können Sie ggf. andere Methoden zur Bereitstellung der Namensauflösung von anderen Domänen zu den Hosts in der Domäne in Betracht ziehen. Der DNS-Administrator einer anderen Domäne kann z. B. bedingte Weiterleitung, Stubzonen oder sekundäre Zonen konfigurieren, um Namen in der Domäne aufzulösen. Weitere Informationen finden Sie in den folgenden Themen:

Beim Installieren eines schreibgeschützten Domänencontrollers (Read-Only Domain Controller, RODC) werden die folgenden Optionen angezeigt.

RODC-Optionen
  • Delegierte Administratorkonten erhalten für den RODC lokale Administratorberechtigungen. Diese Benutzer können mit Rechten arbeiten, die denen der Administratorgruppe des lokalen Computers entsprechen. Sie sind keine Mitglieder der Gruppe "Domänen-Admins" oder der in die Domäne integrierten Gruppe "Administratoren". Diese Option ist für die Delegierung der Zweigstellenverwaltung ohne Vergabe von Administratorberechtigungen für die Domäne hilfreich. Das Konfigurieren der Delegierung von Administratoren ist nicht erforderlich. Weitere Informationen finden Sie unter Administratorrollentrennung.

  • Die Kennwortreplikationsrichtlinie fungiert als Zugriffssteuerungsliste (Access Control List, ACL). Mit ihr wird bestimmt, ob ein Kennwort von einem RODC zwischengespeichert werden darf. Nachdem der RODC eine Anmeldeanforderung für einen authentifizierten Benutzer oder Computer empfangen hat, bezieht er sich auf die Kennwortreplikationsrichtlinie, um zu bestimmen, ob das Kennwort für das Konto zwischengespeichert werden soll. Anschließend können weitere Anmeldungen bei dem jeweiligen Konto effizienter ausgeführt werden.

    In der Kennwortreplikationsrichtlinie (Password Replication Policy, PRP) werden neben den Konten, deren Kennwörter zwischengespeichert werden dürfen, auch die Konten aufgelistet, für die das Zwischenspeichern der zugehörigen Kennwörter explizit verweigert wird. Die Liste der Benutzer- und Computerkonten, die zwischengespeichert werden dürfen, setzt nicht voraus, dass die Kennwörter zu diesen Konten zwingenderweise vom RODC zwischengespeichert wurden. Ein Administrator kann beispielsweise vorab die Konten angeben, die von einem RODC zwischengespeichert werden. Auf diese Art und Weise kann der RODC diese Konten auch dann authentifizieren, wenn der WAN-Link zu dem Nebenstandort offline ist.

    Benutzer oder Computer, denen der Vorgang nicht gestattet (auch implizit) oder sogar verweigert wird, können ihr Kennwort nicht zwischenspeichern. Wenn diese Benutzer oder Computer keinen Zugriff auf einen beschreibbaren Domänencontroller haben, können sie nicht auf von AD DS bereitgestellte Ressourcen oder Funktionalitäten zugreifen. Weitere Informationen zur PRP finden Sie unter Kennwortreplikationsrichtlinie. Weitere Informationen zum Verwalten der PRP finden Sie unter Verwalten der Kennwortreplikationsrichtlinie.

Weitere Informationen zum Installieren von schreibgeschützten Domänencontrollern finden Sie unter Install a Windows Server 2012 Active Directory Read-Only Domain Controller (RODC) (Level 200)).

Die folgende Option wird auf der Seite Zusätzliche Optionen angezeigt, wenn Sie eine neue Domäne erstellen:

Zusätzliche Optionen zum Erstellen einer untergeordneten Domäne

Die folgenden Optionen werden auf der Seite Zusätzliche Optionen angezeigt, wenn Sie in einer vorhandenen Domäne einen zusätzlichen Domänencontroller installieren:

AD DS-Seite für DC-Optionen
  • Sie können entweder einen Domänencontroller als Replikationsquelle angeben oder zulassen, dass der Assistent einen beliebigen Domänencontroller als Replikationsquelle auswählt.

  • Sie können auch festlegen, dass der Domänencontroller mithilfe gesicherter Medien und der Option "Installieren von Medium" (Install from Media, IFM) installiert wird. Wenn das Installationsmedium lokal gespeichert ist, können Sie mithilfe der Option Installieren von Medium zum Speicherort der Datei navigieren. Die Option zum Durchsuchen ist bei einer Remoteinstallation nicht verfügbar. Wenn Sie sicherstellen möchten, dass es sich bei dem angegebenen Pfad um ein gültiges Medium handelt, können Sie auf Überprüfen klicken. Von der IFM-Option verwendete Medien dürfen nur mit der Windows Server-Sicherung oder mit "Ntdsutil.exe" auf einem anderen vorhandenen Windows Server 2012-Computer erstellt werden. Die Verwendung von Windows Server 2008 R2 oder eines vorherigen Betriebssystems zum Erstellen von Medien für einen Windows Server 2012-Domänencontroller ist nicht möglich. Wenn die Medien mit einem Systemschlüssel (SYSKEY) geschützt sind, werden Sie während der Überprüfung von Server-Manager zur Eingabe des Kennworts für das Abbild aufgefordert.

Weitere Informationen zum Erstellen einer Domäne finden Sie unter Install a New Windows Server 2012 Active Directory Child or Tree Domain (Level 200)). Weitere Informationen zum Hinzufügen eines Domänencontrollers zu einer vorhandenen Domäne finden Sie unter Install a Replica Windows Server 2012 Domain Controller in an Existing Domain (Level 200).

Auf der Seite Pfade werden die folgenden Optionen angezeigt.

Seite des Pfad-Assistenten
  • Auf der Seite Pfade können Sie die standardmäßigen Ordnerpfade der AD DS-Datenbank, der Datenbankprotokolle und der SYSVOL-Freigabe überschreiben. Die Standardspeicherorte befinden sich grundsätzlich unter %systemroot%.

Geben Sie den Speicherort für die AD DS-Datenbank (NTDS.DIT), die Protokolldateien und für SYSVOL an. Bei einer lokalen Installation können Sie zu dem Speicherort navigieren, unter dem Sie die Dateien speichern möchten.

Seite mit Vorbereitungsoptionen

Wenn Sie derzeit nicht mit den zum Ausführen von adprep.exe-Befehlen erforderlichen Anmeldeinformationen angemeldet sind und Adprep zum Abschließen der AD DS-Installation erforderlich ist, werden Sie zum Angeben von Anmeldeinformationen aufgefordert, mit denen "adprep.exe" ausgeführt werden kann. Zum Hinzufügen des ersten Domänencontrollers, auf dem Windows Server 2012 ausgeführt wird, zu einer vorhandenen Domäne oder Gesamtstruktur ist die Adprep-Ausführung erforderlich. Das bedeutet im Detail:

  • Zum Hinzufügen des ersten Domänencontrollers, auf dem Windows Server 2012 ausgeführt wird, zu einer vorhandenen Gesamtstruktur ist die Ausführung von adprep/forestprep erforderlich. Dieser Befehl muss von einem Mitglied der Gruppe "Organisations-Admins", "Schema-Admins" und "Domänen-Admins" der Domäne ausgeführt werden, die den Schemamaster enthält. Damit dieser Befehl erfolgreich abgeschlossen werden kann, muss zwischen dem Computer, auf dem Sie den Befehl ausführen, und dem Schemamaster für die Gesamtstruktur eine Verbindung bestehen.

  • Zum Hinzufügen des ersten Domänencontrollers, auf dem Windows Server 2012 ausgeführt wird, zu einer vorhandenen Domäne ist die Ausführung von adprep/domainprep erforderlich. Dieser Befehl muss von einem Mitglied der Gruppe "Domänen-Admins" der Domäne ausgeführt werden, in der Sie den Domänencontroller zur Ausführung von Windows Server 2012 installieren. Damit dieser Befehl erfolgreich abgeschlossen werden kann, muss zwischen dem Computer, auf dem Sie den Befehl ausführen, und dem Infrastrukturmaster für die Domäne eine Verbindung bestehen.

  • Zum Hinzufügen des ersten RODC zu einer vorhandenen Gesamtstruktur ist die Ausführung von adprep/rodcprep erforderlich. Dieser Befehl muss von einem Mitglied der Gruppe "Organisation-Admins" ausgeführt werden. Damit dieser Befehl erfolgreich abgeschlossen werden kann, muss zwischen dem Computer, auf dem Sie den Befehl ausführen, und dem Infrastrukturmaster für die einzelnen Anwendungsverzeichnispartitionen in der Gesamtstruktur eine Verbindung bestehen.

Weitere Informationen zu "Adprep.exe" finden Sie unter Integration von "Adprep.exe" und Ausführen von "Adprep.exe".

AD DS-Seite für DC-Optionen
  • Auf der Seite Optionen prüfen können Sie vor dem Starten der Installation Ihre Einstellungen validieren und sicherstellen, dass Ihre Anforderungen erfüllt werden. Dies ist jedoch nicht die letzte Möglichkeit, um die Installation mit Server-Manager zu stoppen. Diese Seite ermöglicht Ihnen lediglich das Überprüfen und Bestätigen Ihrer Einstellungen, bevor Sie die Konfiguration fortsetzen.

  • Die Seite Optionen prüfen in Server-Manager bietet zudem die optionale Schaltfläche Skript anzeigen zum Erstellen einer Unicode-Textdatei, die die aktuelle ADDSDeployment-Konfiguration als einzelnes Windows PowerShell-Skript enthält. Dies ermöglicht Ihnen die Verwendung der grafischen Oberfläche von Server-Manager als Windows PowerShell-Bereitstellungsstudio. Mithilfe des Konfigurations-Assistenten für die Active Directory-Domänendienste können Sie Optionen konfigurieren, die Konfiguration exportieren und den Assistenten abbrechen. Bei diesem Prozess wird ein gültiges und syntaktisch korrektes Muster zur weiteren Änderung oder direkten Verwendung erstellt.

AD-Seite für die Voraussetzungsprüfung

Einige der auf dieser Seite angezeigten Warnungen lauten wie folgt:

  • Domänencontroller, auf denen Windows Server 2008 oder höher ausgeführt wird, bieten eine Standardeinstellung für "Mit Windows NT 4 kompatible Kryptografiealgorithmen zulassen", mit deren Hilfe beim Einrichten sicherer Kanalsitzungen schwächere Kryptografiealgorithmen verhindert werden. Weitere Informationen zu den möglichen Auswirkungen und zu einem Workaround finden Sie im KB-Artikel 942564.

  • Die DNS-Delegierung konnte nicht erstellt oder aktualisiert werden. Weitere Informationen finden Sie unter DNS-Optionen.

  • Für die Voraussetzungsüberprüfung sind WMI-Aufrufe erforderlich. Diese können erfolglos sein, wenn sie durch Firewallblockierungsregeln blockiert werden, und sie können eine Fehlermeldung mit dem Hinweis zurückgeben, dass der RPC-Server nicht verfügbar ist.

Weitere Informationen zu den für die AD DS-Installation spezifischen Voraussetzungsüberprüfungen finden Sie unter Voraussetzungsüberprüfungen.

Ergebnisseite

Auf dieser Seite können Sie die Ergebnisse der Installation überprüfen.

Zudem können Sie festlegen, dass der Zielserver nach Abschluss des Assistenten neu gestartet wird. Bei erfolgreichem Abschluss der Installation wird der Server jedoch generell neu gestartet. Dabei ist es unerheblich, ob Sie diese Option auswählen oder nicht. Nach Abschluss des Assistenten auf einem Zielserver, der vor der Installation der Domäne nicht hinzugefügt wurde, kann der Systemstatus des Zielservers in einigen Fällen dazu führen, dass der Server im Netzwerk nicht erreichbar ist. Der Systemstatus kann auch verhindern, dass Sie über Berechtigungen zum Verwalten des Remoteservers verfügen.

Wenn der Neustart des Zielservers in diesem Fall nicht gelingt, müssen Sie ihn manuell neu starten. Ein Neustart mithilfe von Tools wie "shutdown.exe" oder Windows PowerShell ist nicht möglich. Über die Remotedesktopdienste können Sie sich anmelden und den Zielserver per Remoteverbindung herunterfahren.

Seite "Anmeldeinformationen" im Assistenten zum Entfernen von Rollen

Auf der Seite Anmeldeinformationen werden Herabstufungsoptionen konfiguriert. Geben Sie in der folgenden Liste die zum Ausführen der Herabstufung erforderlichen Anmeldeinformationen an:

  • Für die Herabstufung eines zusätzlichen Domänencontrollers sind Domänenadministrator-Anmeldeinformationen erforderlich. Bei Auswahl der Option Entfernen dieses Domänencontrollers erzwingen wird der Domänencontroller herabgestuft, ohne die Metadaten des Domänencontrollerobjekts aus Active Directory zu entfernen.

    ImportantWichtig
    Wählen Sie diese Option nur dann aus, wenn der Domänencontroller keine andere Domänencontroller kontaktieren kann und zum Beheben dieses Netzwerkproblems keine angemessene Möglichkeit besteht. Bei der erzwungenen Herabstufung bleiben in Active Directory der restlichen Domänencontroller in der Gesamtstruktur verwaiste Metadaten zurück. Zudem gehen alle nicht replizierten Änderungen an diesem Domänencontroller, beispielsweise Kennwörter oder neue Benutzerkonten, für immer verloren. Verwaiste Metadaten stellen die Hauptursache in einem erheblichen Prozentsatz der Microsoft Kundendienstfälle für AD DS, Exchange, SQL und andere Software dar. Wenn Sie einen Domänencontroller zwangsweise herabstufen, müssen Sie sofort eine manuelle Metadatenbereinigung ausführen. Informationen zu den entsprechenden Schritten finden Sie unter Bereinigen von Servermetadaten.

  • Für das Herabstufen des letzten Domänencontrollers in einer Domäne ist eine Mitgliedschaft in der Gruppe "Organisations-Admins" erforderlich, da hierbei die Domäne selbst entfernt wird (wenn es sich um die letzte Domäne in der Gesamtstruktur handelt, wird dabei die Gesamtstruktur entfernt). Wenn der aktuelle Domänencontroller der letzte Domänencontroller in der Domäne ist, werden Sie von Server-Manager darüber informiert. Wählen Sie die Option Letzter Domänencontroller in der Domäne aus, um zu bestätigen, dass der Domänencontroller der letzte Domänencontroller in der Domäne ist.

Weitere Informationen zum Entfernen von AD DS finden Sie unter Entfernen der Active Directory-Domänendienste (Stufe 100) und Demoting Domain Controllers and Domains (Level 200).

Hilfe zur Seite "Optionen prüfen" finden Sie unter "Überprüfungsoptionen".

Wenn der Domänencontroller zusätzliche Rollen hostet (z. B. die DNS-Serverrolle oder den globalen Katalogserver) wird die folgende Warnseite angezeigt:

Assistent zum Entfernen von Rollen

Bevor Sie zum Fortsetzen des Vorgangs auf Weiter klicken können, müssen Sie auf Entfernung fortsetzen klicken, um zu bestätigen, dass die zusätzlichen Rollen nicht mehr verfügbar sein werden.

Wenn Sie das Entfernen eines Domänencontrollers erzwingen, gehen sämtliche Active Directory-Objektänderungen, die nicht auf andere Domänencontroller in der Domäne repliziert wurden, verloren. Falls der Domänencontroller zudem Betriebsmasterrollen, den globalen Katalog oder die DNS-Serverrolle hostet, kann sich dies wie folgt auf wichtige Vorgänge in der Domäne und Gesamtstruktur auswirken. Versuchen Sie vor dem Entfernen eines Domänencontrollers, der eine beliebige Betriebsmasterrolle hostet, die Rolle auf einen anderen Domänencontroller zu übertragen. Wenn die Rolle nicht übertragen werden kann, entfernen Sie zunächst die Active Directory-Domänendienste von diesem Computer, und übernehmen Sie dann die Rolle mithilfe von "Ntdsutil.exe". Verwenden Sie Ntdsutil für den Domänencontroller, für den die Rolle übernommen werden soll. Verwenden Sie möglichst einen aktuellen Replikationspartner, der sich am gleichen Standort wie dieser Domänencontroller befindet.. Weitere Informationen zum Übertragen und Übernehmen von Betriebsmasterrollen finden Sie in der Microsoft Knowledge Base in Artikel 255504. Wenn der Assistent nicht bestimmen kann, ob der Domänencontroller eine Betriebsmasterrolle hostet, führen Sie den Befehl "netdom.exe" aus. Somit können Sie feststellen, ob dieser Domänencontroller Betriebsmasterrollen ausführt.

  • Globaler Katalog: möglicherweise haben die Benutzer Probleme mit der Anmeldung bei Domänen in der Gesamtstruktur. Stellen Sie vor dem Entfernen eines globalen Katalogservers sicher, dass sich in der jeweiligen Gesamtstruktur und an dem jeweiligen Standort genügend globale Katalogserver zum Verarbeiten der Benutzeranmeldungen befinden. Weisen Sie bei Bedarf einen weiteren globalen Katalogserver zu, und aktualisieren Sie die Clients und Anwendungen mit den neuen Informationen.

  • DNS-Server: alle DNS-Daten, die in Active Directory-integrierten Zonen gespeichert werden, gehen verloren. Nachdem Sie AD DS entfernt haben, kann der jeweilige DNS-Server keine Namensauflösung für die in Active Directory integrierten DNS-Zonen ausführen. Daher wird empfohlen, für die Namensauflösung mit der IP-Adresse eines neuen DNS-Servers die DNS-Konfiguration aller Computer zu aktualisieren, die momentan auf die IP-Adresse dieses DNS-Servers verweisen.

  • Infrastrukturmaster: Clients in der Domäne haben möglicherweise Schwierigkeiten dabei, Objekte in anderen Domänen zu finden. Bevor Sie den Vorgang fortsetzen, übertragen Sie die Infrastrukturmasterrolle auf einen Domänencontroller, bei dem es sich nicht um einen globalen Katalogserver handelt.

  • RID-Master: möglicherweise haben Sie Probleme beim Erstellen neuer Benutzerkonten, Computerkonten und Sicherheitsgruppen. Bevor Sie den Vorgang fortsetzen, übertragen Sie die RID-Masterrolle auf einen Domänencontroller, der sich in derselben Domäne wie dieser Domänencontroller befindet.

  • Emulator für primären Domänencontroller (PDC): vom PDC-Emulator ausgeführte Vorgänge wie Gruppenrichtlinienaktualisierungen und Kennwortzurücksetzungen für Nicht-AD DS-Konten funktionieren nicht ordnungsgemäß. Bevor Sie den Vorgang fortsetzen, übertragen Sie die PDC-Emulatormasterrolle auf einen Domänencontroller, der sich in derselben Domäne wie dieser Domänencontroller befindet.

  • Schemamaster: Sie können das Schema für die jeweilige Gesamtstruktur nicht mehr ändern. Bevor Sie den Vorgang fortsetzen, übertragen Sie die Schemamasterrolle auf einen Domänencontroller in der Stammdomäne der Gesamtstruktur.

  • Domänennamenmaster: Sie können der jeweiligen Gesamtstruktur keine Domänen mehr hinzufügen und keine Domänen mehr daraus entfernen. Bevor Sie den Vorgang fortsetzen, übertragen Sie die Domänennamen-Masterrolle auf einen Domänencontroller in der Stammdomäne der Gesamtstruktur.

  • Dabei werden alle Anwendungsverzeichnispartitionen auf diesem Active Directory-Domänencontroller entfernt. Wenn ein Domänencontroller die aktuellste Replikation einer oder mehrerer Anwendungsverzeichnispartitionen enthält, sind diese Partitionen nach Abschluss des Entfernungsvorgangs nicht mehr vorhanden.

Beachten Sie, dass die Domäne nach dem Deinstallieren der Active Directory-Domänendienste vom letzten Domänencontroller in der Domäne nicht mehr vorhanden ist.

Wenn es sich bei dem Domänencontroller um einen DNS-Server handelt, der zum Hosten der DNS-Zone delegiert ist, haben Sie auf der folgenden Seite die Möglichkeit, den DNS-Server aus der DNS-Zonendelegierung zu entfernen.

Assistent zum Entfernen von Rollen

Weitere Informationen zum Entfernen von AD DS finden Sie unter Entfernen der Active Directory-Domänendienste (Stufe 100) und Demoting Domain Controllers and Domains (Level 200).

Auf der Seite Neues Administratorkennwort müssen Sie ein Kennwort für das Administratorkonto des integrierten lokalen Computers angeben, nachdem die Herabstufung abgeschlossen und der Computer zu einem Server in einer Domäne oder zu einem Arbeitsgruppencomputer wurde.

"Neues Administratorkennwort" im Assistenten zum Entfernen von Rollen

Weitere Informationen zum Entfernen von AD DS finden Sie unter Entfernen der Active Directory-Domänendienste (Stufe 100) und Demoting Domain Controllers and Domains (Level 200).

Auf der Seite Optionen prüfen können Sie die Konfigurationseinstellungen für die Herabstufung in ein Windows PowerShell-Skript exportieren, sodass Sie zusätzliche Herabstufungen automatisieren können. Klicken Sie auf Tiefer stufen, um AD DS zu entfernen.

Überprüfungsoptionen

Fanden Sie dies hilfreich?
(1500 verbleibende Zeichen)
Vielen Dank für Ihr Feedback.

Community-Beiträge

Anzeigen:
© 2014 Microsoft