258 Kapitel 5: Konfigurieren von AD LDS und RODCs
Ein möglicher Nachteil bei der Benutzung von BitLocker auf einem RODC ist, dass Sie
jedes Mal, wenn Sie ein Betriebssystemupdate einspielen, ein Kennwort eingeben und den
RODC neu starten müssen. Wägen Sie die potenziellen Sicherheitsvorteile durch BitLocker
gegen diesen erhöhten Verwaltungsaufwand ab, wenn Sie entscheiden, ob Sie auf einem
bestimmten RODC BitLocker verwenden.
Bereitstellen eines RODCs
Im Prinzip gehen Sie folgendermaßen vor, wenn Sie einen RODC installieren:
1. Stellen Sie sicher, dass die Gesamtstrukturfunktionsebene Windows Server 2003 oder
höher ist.
2. Wenn die Gesamtstruktur Domänencontroller enthält, die unter Microsoft Windows
Server 2003 laufen, müssen Sie
adprep /rodcprep ausführen.
3. Stellen Sie sicher, dass mindestens ein beschreibbarer Domänencontroller unter Win-
dows Server 2008 läuft.
4. Installieren Sie den RODC.
Konfigurieren der Gesamtstrukturfunktionsebene Windows Server 2003 oder höher
Funktionsebenen aktivieren Features, die nur von bestimmten Windows-Versionen zur Ver-
fügung gestellt werden. Daher hängen sie von den Windows-Versionen ab, die auf den Do-
mänencontrollern ausgeführt werden. Wenn alle Domänencontroller unter Windows Server
2003 oder neuer laufen, können Sie die Domänenfunktionsebene auf Windows Server 2003
setzen. Haben alle Domänen die Domänenfunktionsebene Windows Server 2003, können Sie
auch die Gesamtstrukturfunktionsebene auf Windows Server 2003 setzen. Und wenn alle
Domänencontroller in einer Domäne unter Windows Server 2008 laufen, können Sie die
Domänenfunktionsebene auf Windows Server 2008 setzen; haben alle Domänen in einer Ge-
samtstruktur die Domänenfunktionsebene Windows Server 2008, können Sie die Gesamt-
strukturfunktionsebene auf Windows Server 2008 heraufsetzen. Sie brauchen aber gar nicht
die Windows Server 2008-Funktionsebenen, um einen RODC zu installieren.
Hinweis Überlegen Sie sich genau, ob Sie die Domänen- und Gesamtstrukturfunktionsebenen
heraufsetzen
Es ist ganz einfach, eine Funktionsebene heraufzusetzen. Viel schwieriger ist es, sie wieder
herabzusetzen: Dazu müssen Sie die Domänencontroller neu installieren oder eine Daten-
sicherung mit der niedrigeren Funktionsebene wiederherstellen. Wenn Sie beispielsweise die
Domänenfunktionsebene auf Windows Server 2008 heraufgesetzt haben und jetzt feststellen,
dass Sie einen Windows Server 2003-Domänencontroller zu Ihrer Domäne hinzufügen müs-
sen, haben Sie ein ernstes Problem. Und wenn Sie die Gesamtstrukturfunktionsebene Ihrer
Organisation auf Windows Server 2008 heraufgestuft haben, Ihre Organisation aber nun eine
Domäne übernommen hat, die noch Windows Server 2003-Domänencontroller enthält, wird
es schwierig, diese Domäne in Ihr Netzwerk zu integrieren. Stufen Sie Funktionsebenen nur
herauf, wenn Sie die entsprechenden Features tatsächlich brauchen.
Lektion 2: Konfigurieren von schreibgeschützten Domänencontrollern 259
Weitere Informationen Domänen- und Gesamtstrukturfunktionsebenen
Weitere Informationen über Domänen- und Gesamtstrukturfunktionsebenen finden Sie unter
http://technet.microsoft.com/de-de/library/cc754918.aspx.
RODCs benötigen mindestens die Gesamtstrukturfunktionsebene Windows Server 2003. Sie
stellen fest, welche Funktionsebene Ihre Gesamtstruktur hat, indem Sie in der Programm-
gruppe Verw alt ung die Konsole Active Directory-Domänen und -Vertrauensstellungen
öffnen, mit der rechten Maustaste auf den Namen der Gesamtstruktur klicken, den Befehl
Eigenschaften wählen und die Gesamtstrukturfunktionsebene prüfen (Abbildung 5.12).
Jeder Benutzer kann die Gesamtstrukturfunktionsebene auf diese Weise ermitteln.
Abbildung 5.12 Das Eigenschaftendialogfeld der Gesamtstruktur
Ist die Gesamtstrukturfunktionsebene nicht mindestens Windows Server 2003, sollten Sie
sich die Eigenschaften aller Domänen ansehen und prüfen, welche Domänen eine niedrigere
Domänenfunktionsebene als Windows Server 2003 haben. Wenn Sie eine solche Domäne
finden, müssen Sie sicherstellen, dass alle Domänencontroller in der Domäne mindestens
unter Windows Server 2003 laufen. Öffnen Sie Active Directory-Domänen und -Vertrauens-
stellungen, klicken Sie mit der rechten Maustaste auf die Domäne und wählen Sie den
Befehl Domänenfunktionsebene heraufstufen.
Wenn Sie alle Domänenfunktionsebenen auf Windows Server 2003 oder höher heraufgestuft
haben, klicken Sie im Snap-In Active Directory-Domänen und -Vertrauensstellungen mit der
rechten Maustaste auf den Stammknoten und wählen den Befehl Gesamtstrukturfunktions-
ebene heraufstufen. Wählen Sie in der Dropdownliste Wählen Sie eine verfügbare Gesamt-
strukturfunktionsebene den Eintrag Windows Server 2003 aus und klicken Sie auf Herauf-
stufen. Sie müssen ein Domänenadministrator sein, um die Funktionsebene einer Domäne
heraufzustufen. Die Gesamtstrukturfunktionsebene können Sie nur heraufstufen, wenn Sie
entweder Mitglied der Gruppe Domänen-Admins in der Gesamtstruktur-Stammdomäne oder
Mitglied der Gruppe Organisations-Admins sind.
Get Aktualisieren Ihrer MCSA/MCSE-Zertifizierung auf Windows Server 2008 MCTS - Original Microsoft Training für Examen 70-648 und 70-649 now with the O’Reilly learning platform.
O’Reilly members experience books, live events, courses curated by job role, and more from O’Reilly and nearly 200 top publishers.
