430 Kapitel 8: Warten der Active Directory-Umgebung
Am Ende dieser Lektion werden Sie in der Lage sein, die folgenden Aufgaben auszuführen:
■ Den AD DS-Dienst beenden und neu starten
■ Ändern des Standards für die DRSM-Administratoranmeldung
■ Verhindern, dass AD DS-Objekte gelöscht werden, und Wiederherstellen von veralteten
Objekten
■ Zuordnen von Active Directory-Speicher
Veranschlagte Zeit für diese Lektion: 40 Minuten
Neustartfähiges AD DS
Dank des neustartfähigen AD DS beschleunigen sich Offlineoperationen wie die Offline-
komprimierung und -defragmentierung. Außerdem verbessert sich dadurch die Verfügbarkeit
anderer Dienste, die nicht von AD DS abhängen; sie können weiterlaufen, während AD DS
beendet wurde.
Sie können AD DS im MMC-Snap-In (Microsoft Management Console) Computerverwal-
tung
oder mit dem Befehlszeilenprogramm Net.exe beenden und neu starten. Andere Dienste,
die auf dem Server laufen, aber nicht von AD DS abhängen (beispielsweise DHCP), bleiben
für Clientanforderungen verfügbar, während AD DS nicht mehr läuft. Sie können AD DS
nur beenden, wenn noch ein anderer Domänencontroller den Dienst in Ihrer Domäne aus-
führt. Die Benutzer können sich also weiterhin mit einem Domänenkonto anmelden. Sofern
mindestens ein anderer Domänencontroller verfügbar ist, um Ihre Anmeldeinformationen zu
überprüfen, können Sie sich an der Domäne anmelden, wenn Sie den Domänencontroller im
Verzeichnisdienstwiederherstellungsmodus starten.
Hinweis Beenden von AD DS auf einem RODC
Benutzen Sie auf einem RODC Dienstprogramm Net.exe (net stop "Active Directory Domain
Services"), um AD DS zu beenden, sofern Sie den Computer nicht im Remotezugriff mit-
hilfe von RSAT verwalten.
Es könnte aber passieren, dass Sie AD DS auf einem Domänencontroller beenden, und kurz
darauf der zweite Domänencontroller in der Domäne ausfällt. Da nun kein Domänencontrol-
ler mehr verfügbar ist, können Sie sich am ersten Domänencontroller nur im Verzeichnis-
dienstwiederherstellungsmodus anmelden. Sie müssen dabei das DSRM-Administratorkonto
und das zugehörige Kennwort verwenden. Sie ändern diese Standardeinstellung, indem Sie
den Registrierungseintrag HKLM\System\CurrentControlSet\Control\Lsa\DSRMAdminLog-
onBehavior ändern (Abbildung 8.17).
Wenn Sie den Wert dieses Registrierungseintrags auf 1 setzen, können Sie sich mit dem
DSRM-Administratorkonto sogar dann, wenn kein anderer Domänencontroller verfügbar ist,
im normalen Startmodus an einem Domänencontroller anmelden, bei dem AD DS nicht
läuft. Das verhindert, dass Sie aus einem Domänencontroller ausgesperrt werden, an dem
Sie sich bei beendetem AD DS-Dienst lokal angemeldet haben. Die verschiedenen Einstel-
lungen für diesen Registrierungseintrag werden weiter unten in dieser Lektion beschrieben,
wenn das Thema der Domänencontrollerzustände behandelt wird.