430 Kapitel 8: Warten der Active Directory-Umgebung
Am Ende dieser Lektion werden Sie in der Lage sein, die folgenden Aufgaben auszuführen:
■ Den AD DS-Dienst beenden und neu starten
■ Ändern des Standards für die DRSM-Administratoranmeldung
■ Verhindern, dass AD DS-Objekte gelöscht werden, und Wiederherstellen von veralteten
Objekten
■ Zuordnen von Active Directory-Speicher
Veranschlagte Zeit für diese Lektion: 40 Minuten
Neustartfähiges AD DS
Dank des neustartfähigen AD DS beschleunigen sich Offlineoperationen wie die Offline-
komprimierung und -defragmentierung. Außerdem verbessert sich dadurch die Verfügbarkeit
anderer Dienste, die nicht von AD DS abhängen; sie können weiterlaufen, während AD DS
beendet wurde.
Sie können AD DS im MMC-Snap-In (Microsoft Management Console) Computerverwal-
tung
oder mit dem Befehlszeilenprogramm Net.exe beenden und neu starten. Andere Dienste,
die auf dem Server laufen, aber nicht von AD DS abhängen (beispielsweise DHCP), bleiben
für Clientanforderungen verfügbar, während AD DS nicht mehr läuft. Sie können AD DS
nur beenden, wenn noch ein anderer Domänencontroller den Dienst in Ihrer Domäne aus-
führt. Die Benutzer können sich also weiterhin mit einem Domänenkonto anmelden. Sofern
mindestens ein anderer Domänencontroller verfügbar ist, um Ihre Anmeldeinformationen zu
überprüfen, können Sie sich an der Domäne anmelden, wenn Sie den Domänencontroller im
Verzeichnisdienstwiederherstellungsmodus starten.
Hinweis Beenden von AD DS auf einem RODC
Benutzen Sie auf einem RODC Dienstprogramm Net.exe (net stop "Active Directory Domain
Services"), um AD DS zu beenden, sofern Sie den Computer nicht im Remotezugriff mit-
hilfe von RSAT verwalten.
Es könnte aber passieren, dass Sie AD DS auf einem Domänencontroller beenden, und kurz
darauf der zweite Domänencontroller in der Domäne ausfällt. Da nun kein Domänencontrol-
ler mehr verfügbar ist, können Sie sich am ersten Domänencontroller nur im Verzeichnis-
dienstwiederherstellungsmodus anmelden. Sie müssen dabei das DSRM-Administratorkonto
und das zugehörige Kennwort verwenden. Sie ändern diese Standardeinstellung, indem Sie
den Registrierungseintrag HKLM\System\CurrentControlSet\Control\Lsa\DSRMAdminLog-
onBehavior ändern (Abbildung 8.17).
Wenn Sie den Wert dieses Registrierungseintrags auf 1 setzen, können Sie sich mit dem
DSRM-Administratorkonto sogar dann, wenn kein anderer Domänencontroller verfügbar ist,
im normalen Startmodus an einem Domänencontroller anmelden, bei dem AD DS nicht
läuft. Das verhindert, dass Sie aus einem Domänencontroller ausgesperrt werden, an dem
Sie sich bei beendetem AD DS-Dienst lokal angemeldet haben. Die verschiedenen Einstel-
lungen für diesen Registrierungseintrag werden weiter unten in dieser Lektion beschrieben,
wenn das Thema der Domänencontrollerzustände behandelt wird.
Lektion 2: Durchführen der Offlinewartung 431
Abbildung 8.17 Ändern des Standardverhaltens für die DSRM-Administratoranmeldung
Weitere Informationen Ändern des Standardanmeldungsverhaltens
Weitere Informationen finden Sie in „Modifying the default logon behavior“ in der Schritt-
für-Schritt-Anleitung zur Neustartmöglichkeit von AD DS unter http://technet.microsoft.
com/en-us/library/cc732714.aspx#BKMK_Mod.
Auch wenn AD DS beendet ist, können Sie es nicht wie üblich mit dem Befehl dcpromo von
einem Domänencontroller entfernen. Es ist aber möglich, einen Domänencontroller mit
dcpromo /forceremoval gewaltsam herabzustufen, wenn AD DS beendet ist.
Weitere Informationen AD DS gewaltsam deinstallieren
Wie Sie AD DS gewaltsam entfernen, ist in der Schritt-für-Schritt-Anleitung zum Installie-
ren und Entfernen von AD DS unter http://technet.microsoft.com/de-de/library/cc755258.
aspx beschrieben. Folgen Sie auf dieser Seite den entsprechenden Links.
Zustände eines Domänencontrollers
Microsoft nennt drei mögliche Zustände für einen Windows Server 2008-Domänencon-
troller:
■ AD DS gestartet AD DS wurde gestartet und der Computer arbeitet normal als
Domänencontroller in seiner Domäne.
■ AD DS beendet In diesem Zustand ist AD DS beendet. Dieser Zustand ist ein Fea-
ture des neustartfähigen AD DS. Die AD DS-Datenbank (Ntds.dit) auf dem Domänen-
controller ist offline. Der Server ist Domänenmitglied, und alle Dienste, die nicht von
AD DS abhängen, laufen weiter. Falls kein anderer Domänencontroller erreichbar ist,
um eine Domänenanmeldeanforderung zu verarbeiten, können Sie sich mit dem
DSRM-Kennwort im Verzeichnisdienstwiederherstellungsmodus am lokalen Domä-
Get Aktualisieren Ihrer MCSA/MCSE-Zertifizierung auf Windows Server 2008 MCTS - Original Microsoft Training für Examen 70-648 und 70-649 now with the O’Reilly learning platform.
O’Reilly members experience books, live events, courses curated by job role, and more from O’Reilly and nearly 200 top publishers.
