Domain Kontrolle

Domänensteuerung

Seit Wochen haben Sie die Kontrolle über eine Domain für Backups verloren. Erst eine autoritative Wiederherstellung erlaubt die Wiederherstellung eines gelöschten AD-Objekts, da der AD-Status anderer Domänencontroller nicht übertragen wird. Von wem wird kontrolliert, ob die Domain Rechte verletzt? kann auch dann Geschäfte machen, wenn Ihre Domain zum Ziel eines Angriffs geworden ist. Steuerung von AD-Metadaten mit NTDSUTIL:.

Domänencontroller Update

Auch die Domänencontroller müssen jedes Jahr ausgetauscht werden. Häufig ist ein direktes Aktualisieren eines Domain Controllers möglich, aber nicht ganz kritiklos. Auch ist ein Inline-Aktualisierung nicht möglich, wenn die Serversprache geändert werden soll, ein Übergang von 32bit auf64bit bevorsteht, ein Upgrade von Server Core oder ein Übergang von der heruntergefahrenen Variante (Enterprise auf Standard) notwendig ist.

Das folgende Schaubild verdeutlicht die Möglichkeiten für Domain Controller. Durch eine " Neu-Installation " wird die verwendete Windows-Software auf den neuen Rechner umgestellt. Bei den neuen Servern handelt es sich später um den selben Dateinamen und die selbe IPAdresse. Das Betriebssystem wird nicht als Abbild, sondern über ein "rollierendes Update" übergeben.

Wenn Sie nur einen Domänencontroller haben, können Sie nicht zuerst den vorhandenen Rechner entfernen und dann einen neuen Rechner mit dem gleichen Dateinamen einrichten. Es wird davon ausgegangen, dass Sie in Ihrem Netz (und Standort) zumindest zwei Domänencontroller haben, so dass ein Ausfall eines Gleichstromes für etwa 30-180 min keine Überlast oder Ausfallzeiten ist.

Aus technischer Sicht können Sie natürlich einen DCPROMO verwenden, um einen gleichnamigen neuen Datenserver mit der selben IP-Adresse zu aktualisieren. Dies sollte nicht nur mit DCPROMO erweitert werden, sondern auch andere Services wie DNS etc. müssen berücksichtigt werden.

Eine vollständige Aktualisierung aller Distributionszentren wirkt sich natürlich auch auf die Distributionszentren mit den FSMO-Rollen aus. Dies ist kein eigenes Hindernis, da DCPROMO dies beim Downgrading feststellt, Sie benachrichtigt und nichts eintritt. Bei mehreren Standorten ist die Replizierung ein wichtiger Aspekt. Dasselbe gilt für die Registrierung mit Eintrittskarten, die standardmäßig 6 Stunden sind.

Bei einem Downgrade einer Distribution und einem erneuten Upgrade eines gleichnamigen Servers haben andere Gesprächspartner möglicherweise noch ein aus deren Blickwinkel wieder gültiges aber nicht. Die FRSDIAG und das Ereignisprotokoll unterstützen Sie bei der Identifizierung von Replikationsfehlern. Windows-Terminalserver erfordert einen Terminal-Server-Lizenzierungsdienst, der alle Client-Lizenzen managt.

Ich weiß nicht, wie ich diesen Service auf einen anderen Rechner transferieren oder auf einem anderen Rechner ohne Microsoft. Seien Sie also darauf vorbereitet, dass Sie die Lizenznummer eingeben und den Datenserver einrichten. Wird der andere Webserver lediglich ohne Vorsichtsmaßnahmen erneuert, beginnt er wieder bei "0".

Insbesondere wenn Sie den Zustand mit DCPROMO verändern, ist dies nicht der Fall. 2. Besonderes Augenmerk muss auf den Austausch gelegt werden. Der Austausch auf einem Gleichstrom ist eine falsche Vorstellung und eine Möglichkeit nur für kleine Unternehmen. Während der Umstellung tritt nun das DCPROMO auf einem Microsoft Windows Mobile Client auf.

Tatsache ist aber, dass es auch nicht richtig arbeitet, da das Exchange-Setup auf einer Gleichstromquelle andere Programme adressiert. Ein Downgrading einer Distribution wird sehr rasch im DNS angekündigt, kann aber einige Zeit in Anspruch nehmen, besonders bei mehreren Websites, bis alle Websites die neuen Informationen haben. Gelegentlich helfen hier "IPCONFIG /FLUSHDNS", damit der entsprechende Rechner die aktuellsten Informationen aus dem DNS erhält.

In manchen Fällen ist es auch hilfreich, wenn alle DC' s den selben DNS-Server wenigstens vorübergehend abfragen, um Latenzzeiten bei der Replizierung zu vermeiden. Diese sind viel einfacher, wenn Sie nach jedem DCPROMO eine gewisse Zeit verstreichen lässt oder die Replizierung zwischen den Sites (Sitelinks) auf z.B. 15 min vorab einstellen. Wenn Sie es besonders schnell haben, sollten Sie wissen, wie Sie gewisse Vorgänge wie KCC, standortübergreifende Replizierung, Erneuerung von Kerberos-Tickets und DNS-Updates auslösen können.

Beim DCPROMO werden die Bereiche gelöscht und der DNSServer hat keine Bereiche mehr und darf nicht mehr ansprechbar sein. Nachdem das Downgrading durchgeführt wurde, wird der Datenserver inaktiviert. Die neue Version wird in den Namen des Servers geändert und der Domain hinzugefügt und neu gestartet. IP-Adressen können immer noch die temporären Adressen sein. Dies ermöglicht es Ihnen, DCPROMO etc. verhältnismäßig sicher durchzuführen, ohne dass der Klient den Datenserver aufgrund von DNS-Cache etc. bereits als zulässig betrachtet.

Nach der erfolgreichen Replizierung muss der Datenserver die selbe Addresse wie der zuvor heruntergefahrene Datenserver erhalten. Falls die Anschrift vorübergehend einem anderen Rechner zugewiesen wurde, muss der andere Rechner die Anschrift natürlich vorab wiedergeben. Die neue Maschine wird nun sofort aufgerufen, sollte die selben Daten haben und auch die entsprechende IP-Addresse besitzen. Für die Kunden sollte es wieder ein normaler funktionsfähiger Rechner sein.

Sie sollten dennoch die abhängigen Applikationen überprüfen, wenn eine Monitoring-Software dies nicht bereits für sie tut: Überprüfen Sie die Replizierung des aktiven Verzeichnisses mit Hilfe von Ereignisprotokoll und Wiedervorlage. Man kann auch einen User erstellen und überprüfen, ob er nach einiger Zeit auf allen Distributionszentren verfügbar ist.

Auch interessant

Mehr zum Thema