TechNet
Exporteren (0) Afdrukken
Alles uitvouwen

Active Directory in Windows Server 2003 Service Pack 1

Hoe werkt Active Directory?

Active Directory® is een directoryservice waarmee gegevens over objecten worden opgeslagen in een netwerk en waarmee deze gegevens beschikbaar worden gesteld aan gebruikers en netwerkbeheerders. Active Directory-objecten omvatten gedeelde bronnen, zoals servers, volumes, printers en de accounts van gebruikers en computers in het netwerk.

Active Directory bestaat uit de volgende onderdelen:

 • Schema. Dit is een set regels waarmee de klassen van objecten en kenmerken in de directory, de beperkingen en limieten op instanties van deze objecten en de notatie van de namen van de objecten worden gedefinieerd.
 • Globale catalogus. Dit gegevensarchief bevat informatie over alle objecten in de directory. Hiermee kunnen gebruikers en beheerders directorygegevens vinden, ongeacht het domein in de directory waarin de gegevens feitelijk zijn opgeslagen.
 • Query en index. Met dit mechanisme kunnen objecten en objecteigenschappen worden uitgegeven en gevonden door gebruikers en toepassingen in het netwerk.
 • Replicatieservice. Met deze service worden directorygegevens gedistribueerd in een netwerk. Alle domeincontrollers in een domein nemen deel aan de replicatie en bevatten een volledige kopie van alle directorygegevens voor het eigen domein. Wijzigingen in de directorygegevens worden gerepliceerd naar alle domeincontrollers in het domein.
 • Active Directory-clientsoftware. Met de Active Directory-client krijgen computers met Windows 95, Windows 98 en Windows NT 4.0 de beschikking over tal van Active Directory-voorzieningen voor Windows 2000 Professional- of Windows XP Professional-clients.

Voor wie is deze voorziening van belang?

De wijzigingen in Active Directory voor Windows Server 2003 Service Pack 1 (SP1) zijn van belang voor:

 • IT-professionals die Active Directory ondersteunen, zoals Active Directory-beheerders, Active Directory-schemabeheerders, DNS-beheerders (Domain Name System) en domeincontrollerbeheerders.
 • Helpdeskmedewerkers.
 • Ontwikkelaars van toepassingen.
 • Mensen die werken aan de integratie van systemen.

Welke functionaliteit is gewijzigd in Windows Server 2003 Service Pack 1?

Back-upherinneringen voor de directoryservice

In een nieuw gebeurtenisbericht met ID 2089 wordt de back-upstatus aangegeven van elke mappartitie die op een domeincontroller is opgeslagen, inclusief toepassingsmappartities en ADAM-partities (Active Directory Application Mode). Als het latentie-interval voor back-ups (tombstone-levensduur) half is verstreken en er van een partitie op dat moment nog geen back-up is gemaakt, wordt deze gebeurtenis vastgelegd in het gebeurtenislogboek voor de Active Directory-service. Dit herhaalt zich dagelijks totdat er van de desbetreffende partitie een back-up is gemaakt.

Extra replicatiebeveiliging en minder replicatiefouten

Replicatiemetagegevens voor domeincontrollers waaruit Active Directory is verwijderd, worden niet meer standaard bewaard, hoewel er wel een wachtperiode kan worden ingesteld. Door deze wijziging wordt de replicatiebeveiliging verbeterd en wordt voorkomen dat er replicatiefouten optreden door mislukte replicatiepogingen voor buiten gebruik gestelde domeincontrollers. Zie het onderwerp over de werking van het Active Directory-replicatiemodel op de website van Micosoft op http://go.microsoft.com/fwlink/?LinkId=46510 voor meer informatie over het behouden van replicatiemetagegevens. (Deze informatie is mogelijk in het Engels.)

Verbeteringen in Vanaf medium installeren voor de installatie van DNS-servers

Verbeteringen in Vanaf medium installeren maken het gemakkelijker om een nieuwe domeincontroller te maken die fungeert als DNS-server. Er is namelijk een nieuwe optie beschikbaar om toepassingsmappartities op te nemen op het back-upmedium dat wordt gebruikt om de nieuwe domeincontroller te installeren. Dankzij deze optie is het niet langer nodig de toepassingsmappartities DomainDNSZones en ForestDNSZones te repliceren voordat de DNS-server kan worden gebruikt.

Verbeteringen voor replicatie en DNS-tests

Het opdrachtregelprogramma Dcdiag.exe, dat deel uitmaakt van de ondersteuningsprogramma's van Windows, biedt nieuwe mogelijkheden om verslag te doen over de algehele status van de replicatie ten aanzien van Active Directory-beveiliging. Deze test levert een lijst met resultaten op evenals gedetailleerde gegevens voor elke domeincontroller die wordt getest en een diagnose van eventuele beveiligingsfouten. Dcdiag.exe biedt ook nieuwe DNS-tests voor verbindingen, de beschikbaarheid van services, doorstuurservers en aanbevolen basisservers, overdracht, dynamische updates, locator-recordregistratie, externe naamomzetting en ondernemingsinfrastructuur. Deze tests kunnen worden uitgevoerd op één domeincontroller of op alle domeincontrollers in een forest. Zie de sectie Dcdiag.exe in dit artikel voor meer informatie over de wijzigingen in Dcdiag.exe.

Ondersteuning voor het uitvoeren van domeincontrollers in virtuele apparaten

Op één fysieke server waarop Windows Server 2003 en Microsoft Virtual Server 2005 worden uitgevoerd, kunt u meerdere domeincontrollers van Windows Server 2003 of Windows 2000 Server installeren op afzonderlijke virtuele apparaten. Dit platform is zeer geschikt voor testomgevingen. Door virtuele apparaten te gebruiken kunt u als host optreden voor meerdere domeinen, voor meerdere domeincontrollers voor hetzelfde domein of zelfs voor meerdere forests op één fysieke server waarop één besturingssysteem wordt uitgevoerd. Windows Server 2003 SP1 biedt ook bescherming tegen beschadigingen van mappen die het gevolg kunnen zijn van een onjuist verlopen procedure voor het maken van back-ups en het herstellen van domeincontrollerkopieën. Zie het onderwerp over het uitvoeren van domeincontrollers in Virtual Server 2005 op de website van Microsoft op http://go.microsoft.com/fwlink/?LinkId=38330 voor meer informatie over het uitvoeren van domeincontrollers op virtuele apparaten. (Deze informatie is mogelijk in het Engels).

Statusrapportage voor operations-masters

Als een bewerking waarvoor een domeincontroller vereist is die fungeert als operations-master (ook bekend als een FSMO-bewerking, ofwel Flexible Single-Master Operation), niet kan worden uitgevoerd, worden gebeurtenissen nu vastgelegd in het Directory Service-gebeurtenislogboek. Gebeurtenissen duiden op functie-eigenaren die niet bestaan, die wel bestaan maar niet beschikbaar zijn, of wel beschikbaar zijn maar niet recentelijk zijn gerepliceerd met de domeincontroller die contact heeft gemaakt. Zie het onderwerp over de werking van operations-masters op de website van Microsoft op http://go.microsoft.com/fwlink/?LinkId=38333 voor meer informatie over operations-masters. (Deze informatie is mogelijk in het Engels.)

Langduriger opslag van verwijderde objecten

De standaardperiode dat een kopie van een verwijderd object wordt bewaard in Active Directory, de zogenoemde tombstone-levensduur, is verlengd van 60 dagen tot 180 dagen. Bij een langere tombstone-levensduur is de kans kleiner dat een verwijderd object nog aanwezig blijft in de plaatselijke map van een domeincontroller waarvan de verbinding is verbroken nadat het object permanent is verwijderd van on line domeincontrollers. De tombstone-levensduur wordt niet automatisch gewijzigd wanneer u een upgrade uitvoert naar Windows Server 2003 met SP1, maar u kunt de tombstone-levensduur handmatig wijzigen na de upgrade. Voor nieuwe forests die worden geïnstalleerd met Windows Server 2003 met SP1 is de tombstone-levensduur standaard 180 dagen. Zie het onderwerp over de werking van het gegevensarchief op de website van Microsoft op http://go.microsoft.com/fwlink/?LinkId=38339 voor meer informatie over de tombstone-levensduur. (Deze informatie is mogelijk in het Engels.)

Verbeterde naamomzetting voor domeincontrollers

Naar aanleiding van fouten in de DNS-naamomzetting (Domain Name System) die kunnen optreden tijdens het zoeken van replicatiepartners en globale-catalogusservers, zoeken domeincontrollers met Windows Server 2003 met SP1 ook naar andere servernaamvarianten die mogelijk zijn geregistreerd, zodat er minder fouten optreden ten gevolge van DNS-vertragingen en onjuiste configuraties. Zie het onderwerp over de werking van DNS-ondersteuning voor Active Directory op de website van Microsoft op http://go.microsoft.com/fwlink/?LinkId=38335 voor meer informatie over DNS-naamomzetting. (Deze informatie is mogelijk in het Engels.)

Vereenvoudigd proces voor het verwijderen van servermetagegevens

Het opdrachtregelprogramma Ntdsutil.exe voor het beheren van de Active Directory-database bevat nieuwe opdrachten die het verwijderen van metagegevens van domeincontrollers gemakkelijker maken. Voorbereidende stappen, zoals verbinding maken met een server, domein en site, zijn niet meer vereist. U hoeft alleen nog maar aan te geven welke server moet worden verwijderd. U kunt ook aangeven op welke server de gegevens moeten worden verwijderd. Zie de sectie Ntdsutil.exe in dit artikel voor meer informatie over de wijzigingen in Ntdsutil.exe.

Verbeterde beveiliging van vertrouwelijke kenmerken

Als u wilt voorkomen dat iemand leestoegang kan verkrijgen tot vertrouwelijke kenmerken, zoals een sofi-nummer, terwijl u wel leestoegang wilt verlenen tot andere objectkenmerken, kunt u voor specifieke kenmerken instellen dat ze vertrouwelijk zijn door een zoekvlag te plaatsen bij het bijbehorende attributeSchema-object. Standaard hebben alleen domeinbeheerders leestoegang tot vertrouwelijke kenmerken, maar deze toegang kan worden overgedragen. Zie het onderwerp over de werking van security descriptors en toegangsbeheerlijsten op de website van Microsoft op http://go.microsoft.com/fwlink/?LinkId=45972 voor meer informatie over de toegang tot kenmerken. (Deze informatie is mogelijk in het Engels.)

Het bewaard blijven van de SID-historie in tombstones

Het kenmerk sIDHistory is toegevoegd aan de reeks kenmerken die bewaard blijven in een object-tombstone wanneer het bijbehorende object wordt verwijderd. Als een tombstone-object opnieuw wordt geactiveerd (teruggezet), wordt het kenmerk sIDHistory nu samen met het object teruggezet. Zie het onderwerp over de werking van het gegevensarchief op de website van Microsoft op http://go.microsoft.com/fwlink/?LinkId=45973 voor meer informatie over tombstones. (Deze informatie is mogelijk in het Engels.)

Verbeteringen in Adprep.exe voor Windows 2000 Server-upgrades

Het hulpprogramma Adprep.exe is verbeterd om de gevolgen van FRS-synchronisatie (File Replication Service) te beperken die voortkomen uit het bijwerken van SYSVOL-bestanden tijdens het upgraden. Adprep.exe wordt gebruikt om het Windows 2000 Server-schema te upgraden naar het Windows Server 2003-schema en om bepaalde forest- en domeinspecifieke instellingen, waaronder SYSVOL, bij te werken die vereist zijn voordat een Windows Server 2003-domeincontroller kan functioneren. In het hulpprogramma is het nu mogelijk om SYSVOL-bewerkingen uit te voeren in een afzonderlijke stap wanneer het domein wordt voorbereid voor de upgrade. De nieuwe schakeloptie /gpprep is toegevoegd voor de SYSVOL-updates, die kunnen worden uitgevoerd op een geschikt tijdstip na de upgrade. Met de opdracht adprep /domainprep, waarmee voorheen zowel map- als SYSVOL-updates werden uitgevoerd, wordt nu alleen de map bijgewerkt. Met Adprep.exe kunnen nu ook schema-uitbreidingen van andere aanbieders worden opgespoord die een upgrade in de weg staan. Bovendien worden oplossingen geboden. Ook Microsoft Exchange Server-schemaobjecten worden opgespoord, zodat het Exchange Server-schema op de juiste manier kan worden voorbereid voor InetOrgPerson-naamgeving. Zie de sectie Adprep.exe in dit artikel voor meer informatie over de wijzigingen in Adprep.exe.

Wijzigingen in het slepen en neerzetten van objecten in Active Directory: gebruikers en computers

Als respons op feedback van klanten zijn in Windows Server 2003 Service Pack 1 twee wijzigingen aangebracht in het sleep-en-neerzetgedrag in de module Microsoft Management Console (MMC), Active Directory: gebruikers en computers.

Ten eerste verschijnt er nu standaard een bevestigingsdialoogvenster bij het slepen en neerzetten van objecten in de module Microsoft Management Console (MMC), Active Directory: gebruikers en computers. In Windows Server 2003 was de ondersteuning van het slepen en neerzetten in Active Directory: gebruikers en computers ingeschakeld. Bij het verplaatsen van objecten werd echter geen bevestigingsdialoogvenster weergegeven. Zo konden objecten gemakkelijker worden verplaatst, maar was ook de kans groter dat een object onbedoeld naar een verkeerde locatie werd verplaatst en belangrijke bronnen niet meer toegankelijk waren voor clientwerkstations. Dankzij het bevestigingsdialoogvenster voor het slepen-en-neerzetten kan de beheerder een fout corrigeren voordat de organisatie daarvan hinder ondervindt. Het bevestigingsdialoogvenster bevat een selectievakje voor de optie Deze waarschuwing niet tonen als deze module is geopend.

Als de gebruiker dit selectievakje aanvinkt, wordt het bevestigingsdialoogvenster gedurende de huidige modulesessie niet meer getoond. De volgende pogingen om met objecten te slepen en ze neer te zetten worden dan niet meer bevestigd.

Als de gebruiker het selectievakje Deze waarschuwing niet tonen als deze module is geopend niet aanvinkt, wordt de waarschuwing elke keer dat de gebruiker een object probeert te verslepen en neer te zetten weergegeven.

Ten tweede kan een beheerder het slepen-en-neerzetten volledig uitschakelen door het kenmerk vlaggen in de container Weergaven in te stellen. De weergavencontainer bevindt zich in de map op: CN=DisplaySpecifiers,CN=Configuration,DC=<domeinnaam invoegen>. Dit kenmerk kan worden ingesteld met ADSIedit.msc, verkrijgbaar via Ondersteuningsprogramma's voor Windows.

Het algehele gedrag is:

 • Als het kenmerk vlaggen op een bepaalde waarde is ingesteld, wordt het slepen-en-neerzetten uitgeschakeld. Dit is niet de standaardinstelling.
 • Als het kenmerk vlaggen niet is ingesteld (standaard), kan de gebruiker in de module MMC, Active Directory: gebruikers en computers met objecten slepen en ze neerzetten.

Community-inhoud

Weergeven:
© 2016 Microsoft