258 Kapitel 5: Konfigurieren von AD LDS und RODCs
Ein möglicher Nachteil bei der Benutzung von BitLocker auf einem RODC ist, dass Sie
jedes Mal, wenn Sie ein Betriebssystemupdate einspielen, ein Kennwort eingeben und den
RODC neu starten müssen. Wägen Sie die potenziellen Sicherheitsvorteile durch BitLocker
gegen diesen erhöhten Verwaltungsaufwand ab, wenn Sie entscheiden, ob Sie auf einem
bestimmten RODC BitLocker verwenden.
Bereitstellen eines RODCs
Im Prinzip gehen Sie folgendermaßen vor, wenn Sie einen RODC installieren:
1. Stellen Sie sicher, dass die Gesamtstrukturfunktionsebene Windows Server 2003 oder
höher ist.
2. Wenn die Gesamtstruktur Domänencontroller enthält, die unter Microsoft Windows
Server 2003 laufen, müssen Sie
adprep /rodcprep ausführen.
3. Stellen Sie sicher, dass mindestens ein beschreibbarer Domänencontroller unter Win-
dows Server 2008 läuft.
4. Installieren Sie den RODC.
Konfigurieren der Gesamtstrukturfunktionsebene Windows Server 2003 oder höher
Funktionsebenen aktivieren Features, die nur von bestimmten Windows-Versionen zur Ver-
fügung gestellt werden. Daher hängen sie von den Windows-Versionen ab, die auf den Do-
mänencontrollern ausgeführt werden. Wenn alle Domänencontroller unter Windows Server
2003 oder neuer laufen, können Sie die Domänenfunktionsebene auf Windows Server 2003
setzen. Haben alle Domänen die Domänenfunktionsebene Windows Server 2003, können Sie
auch die Gesamtstrukturfunktionsebene auf Windows Server 2003 setzen. Und wenn alle
Domänencontroller in einer Domäne unter Windows Server 2008 laufen, können Sie die
Domänenfunktionsebene auf Windows Server 2008 setzen; haben alle Domänen in einer Ge-
samtstruktur die Domänenfunktionsebene Windows Server 2008, können Sie die Gesamt-
strukturfunktionsebene auf Windows Server 2008 heraufsetzen. Sie brauchen aber gar nicht
die Windows Server 2008-Funktionsebenen, um einen RODC zu installieren.
Hinweis Überlegen Sie sich genau, ob Sie die Domänen- und Gesamtstrukturfunktionsebenen
heraufsetzen
Es ist ganz einfach, eine Funktionsebene heraufzusetzen. Viel schwieriger ist es, sie wieder
herabzusetzen: Dazu müssen Sie die Domänencontroller neu installieren oder eine Daten-
sicherung mit der niedrigeren Funktionsebene wiederherstellen. Wenn Sie beispielsweise die
Domänenfunktionsebene auf Windows Server 2008 heraufgesetzt haben und jetzt feststellen,
dass Sie einen Windows Server 2003-Domänencontroller zu Ihrer Domäne hinzufügen müs-
sen, haben Sie ein ernstes Problem. Und wenn Sie die Gesamtstrukturfunktionsebene Ihrer
Organisation auf Windows Server 2008 heraufgestuft haben, Ihre Organisation aber nun eine
Domäne übernommen hat, die noch Windows Server 2003-Domänencontroller enthält, wird
es schwierig, diese Domäne in Ihr Netzwerk zu integrieren. Stufen Sie Funktionsebenen nur
herauf, wenn Sie die entsprechenden Features tatsächlich brauchen.