Lernhilfe für 70-217 gemäss Original Microsoft Training
-
Diverses aus der Einführung
In folgenden Konstellationen sind nur explizite einseitige nicht transitive Vertrauensstellungen möglich:
● Bei einer Windows 2000-Domäne und einer Windows NT-Domäne
● Bei einer Windows 2000-Domäne in einer Gesamtstruktur und einer Windows 2000-Domäne in einer anderen Gesamtstruktur
● Bei einer Windows 2000-Domäne und einem MIT-Kerberos V5-Bereich, wobei ein Client in einem Kerberos-Bereich in einer Active Directory-Domäne authentifiziert wird, um auf Netzwerkressourcen in dieser Domäne zugreifen zu können
Benennungskonventionen
Active Directory verwendet verschiedene Benennungskonventionen: definierte Namen, relativ definierte Namen, GUIDs (Globally Unique Identifier) und UPNs (User Principal Names).
Definierte Namen
Jedes Objekt in Active Directory verfügt über einen definierten Namen (Distinguished Name, DN), mit dem das Objekt eindeutig identifiziert wird. Im folgenden Beispiel identifiziert der folgende definierte Name das Benutzerobjekt Vorname Nachname in der Domäne ‑microsoftcom" (Vorname und Nachname stellen den tatsächlichen Vor- und Namen eines Benutzerkontos dar):
/DC=COM/DC=microsoft/OV=dev/CN=Users/CN=VornameNachname
Definierte Namen müssen eindeutig sein. Aus diesem Grund erlaubt Active Directory keine doppelten definierten Namen.
Relativ definierte Namen
Active Directory unterstützt Abfragen nach Attributen, weshalb Sie ein Objekt auch dann finden können, wenn Sie den exakten definierten Namen nicht kennen oder dieser sich geändert hat.: [m obigen Beispiel ist der relativ definierte Name des Benutzerobjekts Vorname Nachname Vorname Nachname. Der relativ definierte Name des übergeordneten Objekts lautet ‑Users".
Active Directory-Objekte dürfen doppelte relativ definierte Namen haben. Zwei Objekte mit demselben relativ definierten Namen in derselben Organisationseinheit sind dagegen nicht zulässig.''
GUID (Globally Unique Identifier, global eindeutiger Bezeichner)
Eine GUID ist ein 128-Bit-Wert, der auf jeden Fall eindeutig ist. Jedem Objekt wird bei dessen Erstellung eine GUID zugewiesen. Die GUID ändert sich niemals, auch wenn Sie das Objekt verschieben oder umbenennen..
In früheren Versionen von Windows NT waren Domänenressourcen mit einer Sicherheitskennung (Security Identifier, SID) verknüpft, die in der Domäne erstellt wurde. Dies bedeutete, dass die SID nur in der Domäne auf jeden Fall eindeutig war. Eine GUID ist in allen Domänen eindeutig. Dies heißt, dass Sie Objekte von Domäne zu Domäne verschieben können und diese ihren eindeutigen Bezeichner behalten.
User Principal Name (UPN)
in der Struktur ‑microsoft.com" kann z. B. den Anzeigenamen ‑[email protected]" haben (
Das Snap-ln ‑Active Directory-Schema
Sie müssen es gemeinsam mit allen anderen Windows 2000Verwaltungsprogrammen über die Systemsteuerung mit Hilfe der Option Software installieren. Verwenden Sie dazu nicht die Datei Adminpak.msi auf der Windows 2000 Server-CD-ROM.
Active Directory-Domänen und -Vertrauensstellungen
bietet folgende Funktionen:
● Bereitstellen der Interoperabilität mit anderen Domänen (wie z. B. Windows NT-Domänen oder Domänen in anderen Windows 2000-Gesamtstrukturen) durch die Verwaltung expliziter Domänenvertrauensstellungen
● Ändern des Betriebsmodus einer Windows 2000-Domäne vom gemischten in den einheitlichen Modus
● Hinzufügen und Entfernen alternativer Suffixe für Anzeigenamen (User Principal Names, UPNs) zum Erstellen von Anmeldenamen für die Benutzer
● Übertragen der Masterrolle für Domänennamen auf einen anderen Domänencontroller
● Bereitstellen von Informationen zur Domänenverwaltung
Active Directory-Supporttools
ACLDIAG.EXE: ACL-DiagnoseInformationen
Bestimmen, ob einem Benutzer der Zugriff auf ein Active Directory-Objekt erteilt oder verweigert wurde. Dient auch dem Zurücksetzen von Zugriffssteuerungslisten in den Standardzustand.'
ADSI Edit
Anzeigen aller Objekte im Verzeichnis (einschließlich Schema und Konfigurationsnamenskontexte), Ändern von Objekten und Einstellen von Zugriffssteuerungslisten für Objekte.
DFSUTIL.EXE:
Verwalten aller Aspekte des verteilten Dateisystems (Distributed File System, DFS), Überprüfen der Konfiguration des gleichzeitigen Zugriffs auf DFS-Server und Anzeigen der DFS-Topologie.
DNSCMD.EXE: Tool für die Fehlerbehebung von DNS-Servern
Überprüfen der dynamischen Registrierung von DNS-Ressourcendatensätzen, einschließlich der sicheren DNS-Aktualisierung, und Entfernen von Ressourcendatensätzen.
DSACLS.EXE1 '
Anzeigen oder Ändern der Zugriffsteuerungslisten für Objekte in Active Directory.1
DSASTAT.EXE:
Active DirectoryDiagnosetool1
Vergleichen von Namenskontexten auf Domänencontrollern und Ermitteln von Unterschieden. ^
LDP.EXE: Active Directory-Verwaltungsprogramm2
Anwenden von LDAP-Vorgängen (Lightweight Directory Access Protocol) auf Active Directory.1
MOVETREE.EXE:
Verschieben von Active Directory-Objekten wie Organisationseinheiten und Benutzer zwischen Domänen einer Gesamtstruktur.
NETDOM.EXE: Windows 2000Domänen-Manager1
Verwalten von Windows 2000-Domänen und -Vertrauensstellungen.
NLTEST.EXE
Bereitstellen einer Liste primärer Domänencontroller, Erzwingen des Herunterfahrens und Anzeigen von Informationen zu Vertrauensstellungen und Replikation.
REPADMIN.EXE: Replikationsdiagnosetool
Überprüfen der Replikationskonsistenz zwischen Replikationspartnern, Uberwachen des Replikationsstatus, Anzeigen der Replikationsmetadaten, Erzwingen von Replikationsvorgängen und Neuberechnen des Knowledge Consistency Checker (KCC).
REPLMON.EXE: Active Directory Replikationsmonitor
Grafische Anzeige der Replikationstopologie, Überwachen des Replikationsstatus (einschließlich Richtlinien), Erzwingen von Replikationsvorgängen und Neuberechnen des Knowledge Consistency Checker (KCC).'
SDCHECK.EXE: Dienstprogramm zum Überprüfen /on Sicherheitsbeichreibungen1
Überprüfen der Übermittlung und Replikation von Zugriffssteuerungslisten bestimmter Objekte im Verzeichnis. Mit diesem Tool kann ein Administrator feststellen, ob Zugriffssteuerungslisten korrekt vererbt werden und ob Änderungen an Zugriffssteuerungslisten von einem Domänencontroller auf einen anderen repliziert werden. ^
SIDwalker: Sicherheitsverwaltungsprogramme
Verwalten von Zugriffssteuerungsrichtlinien in Windows 2000und Windows NT-Systemen. SIDwalker besteht aus drei getrennten Programmen: SHOWACCS.EXE1 und SIDWALK.EXE1 die nen dem Untersuchen und Ändern von Zugriffssteuerungseinträgen, Security Migration Editor3 dem Bearbeiten der Zuordnungen alter und neuer Sicherheitskennungen (SIDs).
Active Directory-Dienstschnittstellen (ADSI)
^ankADSIkönnen Programmierer und Administratoren Programme erstellen, die die Verzeichnisdienste nutzen. Dazu können Programme wie Microsoft Visual Basic, Java, C oder Visual C++ sowie ActiveX-Skriptsprachen wie VBScript, JScript oder PerlScript eingesetzt werden,
Planen einer Domänenstruktur
Bewerten der logischen Umgebung
[n Bezug auf die Funktion arbeitet Microsoft durch die Abteilungen Verwaltung, Einkauf, Vertrieb und Verteilung. Geografisch gesehen hat Microsoft Zweigstellen in Kansas City, St. Paul, Chicago und Columbus.
Bewerten der physischen Umgebung Obwohl Sie die geografischen Standorte bereits untersucht haben, müssen Sie jetzt die Benutzer- und Netzwerkanforderungen Ihres Unternehmens betrachten, um die logischen Anforderungen zum Implementieren von Active Directory ermitteln zu können.
Ermitteln Sie zum Bewerten der Benutzeranforderungen für jede funktionelle und geografische Abteilung
● die Anzahl der Angestellten
● die Wachstumsrate
● Erweiterungspläne
Ermitteln Sie zum Bewerten der Netzwerkanforderungen für jede geografische Abteilung
● die Organisation der Netzwerkverbindungen
● Netzwerkverbindungsgeschwindigkeit
● die Nutzung der Netzwerkverbindungen
● TCP/IP-Subnetze
Bewerten der Verwaltungsanforderungen
Das Bewerten der Netzwerkressourcen Ihres Unternehmens hilft Ihnen auch bei der Planung Ihrer Domänenstruktur. Identifizieren Sie die Methode zur Netzwerkverwaltung, die von Ihrem Unternehmen verwendet wird:
Zentralisierte Verwaltung.
Ein einzelnes Verwaltungsteam stellt Netzwerkdienste bereit. Diese Methode wird häufig in kleineren Firmen mit wenigen Standorten oder Geschäftsfunktionen verwendet.
Dezentralisierte Verwaltung.
Eine Anzahl an Administratoren oder Verwaltungsteams stellen Netzwerkdienste bereit. Die Teams können nach Standort oder Geschäftsfunktion eingeteilt sein.
Benutzerdefinierte Verwaltung.
Die Verwaltung einiger Ressourcen ist zentralisiert, bei anderen ist sie dezentralisiert (je nach Geschäftsanforderungen).
In dem Beispiel mit Microsoft sind dezentralisierte Verwaltungsmethoden erforderlich. Für jeden Standort wird ein eigenes Team von Administratoren benötigt, um Netzwerkdienste für alle vier funktionellen Abteilungen bereitzustellen.
Domänenanforderungen
Eine einzelne Domäne ist die am einfachsten zu verwaltende Domänenstruktur. Bei der Planung sollten Sie mit einer Domäne beginnen und nur dann Domänen hinzufügen, wenn das Einzeldomänenmodell nicht mehr Ihren Anforderungen entspricht.
Eine einzelne Domäne kann mehrere geografische Standorte umspannen,
Sie müssen nicht mehrere Domänen erstellen, um die Organisation der Abteilungen in Ihrem Unternehmen widerzuspiegeln.:
Im Folgenden werden einige Gründe zum Erstellen von mehr als einer Domäne genannt:
● dezentralisierte Netzwerkverwaltung
● Replikationssteuerung
● unterschiedliche Kennwortanforderungen zwischen Organisationen
● große Anzahl an Objekten
● unterschiedliche Internetdomänennamen
● internationale Anforderungen
● interne politische Anforderungen
In dem Beispiel sind mehrere Domänen für Microsoft aus folgenden Gründen erforderlich:
● In der Geschäftsstelle in Chicago sind die Kennwortanforderungen höher.
● Die Replikation auf der stark genutzten Netzwerkverbindung zwischen Chicago und Kansas City muss gesteuert werden.
● In zwei Jahren soll in Fargo, Norddakota, eine neue Geschäftsstelle hinzugefügt werden.
Bewerten des Domänenorganisationsbedarfs
Denken Sie daran, dass die Domänen in Strukturen und Gesamtstrukturen dieselbe Konfiguration, dasselbe Schema und denselben globalen Katalog verwenden.1
Wenn Ihre Organisation nicht als Gruppe von mehreren Entitäten arbeitet (beispielsweise eine Partnerschaft oder ein Konglomerat), bietet sich Ihr Netzwerk wahrscheinlich für einen fortlaufenden DNS-Namespace an. Dann sollten Sie in einer einzelnen Domänenstruktur mehrere Domänen einrichten. Wenn Sie Organisationen mit eindeutigen Domänennamen kombinieren müssen, erstellen Sie eine Gesamtstruktur. Mit einer Gesamtstruktur können Sie auch DNS-Zonen trennen. Jede Struktur in der Gesamtstruktur hat ihren eigenen eindeutigen Namespace.
In dem Beispiel ist die Organisationsstruktur von Microsoft einer Gruppe von Domänen in einer Domänenstruktur zugeordnet. Microsoft ist nicht Teil einer anderen Einheit, und es sind auch keine Pläne bekannt, in Zukunft mehrere Einheiten zu erstellen.
Gleiche interne und externe Namespaces
Damit dieses Szenario funktioniert, müssen zwei getrennte DNS-Zonen vorhanden sein. Eine Zone wird außerhalb der Firewall vorhanden sein und Namensauflösung für öffentliche Ressourcen bereitstellen. Diese Zone ist nicht zum Auflösen interner Ressourcen konfiguriert, sodass externe Clients nicht auf interne Firmenressourcen zugreifen können.
Die Herausforderung dieser Konfiguration liegt darin, internen Clients Zugriff auf öffentlich verfügbare Ressourcen zu gewähren, da die externe DNS-Zone nicht für die Auflösung interner Ressourcen konfiguriert ist. Eine Möglichkeit wäre, die externe Zone auf eine interne DNS zu duplizieren, damit interne Clients Ressourcen auflösen können. Wenn ein Proxyserver verwendet wird, sollte der Proxyclient so konfiguriert werden, dass ‑microsoft.com" als interne Ressource behandelt wird.
Vorteile:
● Der Strukturname ‑microsoft.com" ist sowohl im internen privaten Netzwerk als auch im externen öffentlichen Internet konsistent.
● In diesem Szenario wird die Idee eines einzelnen Anmeldenamens für das öffentliche Internet erweitert, sodass die Benutzer sowohl intern als auch extern denselben Anmeldenamen verwenden können. ‑[email protected]" würde beispielsweise sowohl als Anmelde-ID als auch als E-Mail-ID dienen.
Nachteile
● Die Proxykonfiguration wird komplizierter.
● Es muss darauf geachtet werden, dass interne Ressourcen nicht im externen öffentlichen Internet veröffentlicht werden.
● Der Aufwand zum Verwalten von Ressourcen wird verdoppelt. Dazu gehört beispielsweise das Unterhalten von doppelten Zonendatensätzen für die interne und externe Namensauflösung.
Separate interne und externe Namespaces
Die Namen zu beiden Seiten der Firewall unterscheiden sich also. ‑Microsoft.com" wird außerhalb der Firewall verwendet, und ‑msn.com" wird innerhalb der Firewall verwendet.
Dazu müssen im Internet-DNS zwei Namespaces registriert sein. Beide Namen werden registriert, damit der interne Name nicht von einem anderen öffentlichen Netzwerk verwendet werden kann.'
Zwei Zonen werden eingerichtet. Die eine Zone löst ‑microsoft.com" auf, und die andere DNS-Zone löst ‑msn.com" innerhalb der Firewall auf. ]
Vorteile:
ist der Unterschied zwischen internen und externen Ressourcen deutlich.
Verwaltung der Umgebung vereinfacht wird.
● Die Konfiguration der Proxyclients ist einfacher,
Nachteile:
● Die Anmeldenamen unterscheiden sich von den E-Mail-Namen.
● In der Internet-DNS müssten mehrere Namen registriert werden.
Benennungsanforderungen und -richtlinien für Domänen
● Auswählen eines Stammdomänennamen, der statisch bleibt. Das Ändern des Stammdomänennamens kann in der Zukunft teuer oder sogar unmöglich sein. (auredi.net)
● Verwendung einfacher Namen.
● Verwendung der standardmäßigen DNS- und Unicode-Zeichen. wie in RFC 1035 (
● Begrenzen der Domänenebenenanzahl. Üblicherweise sollten die DNS-Hosteinträge etwa drei oder vier Ebenen in der DNS-Struktur, jedoch nicht mehr als fünf Ebenen aufweisen. Mehrere Ebenen bedeuten mehr Verwaltungsaufgaben.
● Verwendung von eindeutigen Namen.,
● Vermeiden langer Domänennamen.'. (beluni)
Planen einer OU-Struktur
dass mit Hilfe einer OU-Hierarchie die Struktur des Unternehmens widergespiegelt wird. ] Mit Organisationseinheiten können Sie Ihre Organisation auf aussagekräftige und verwaltungsfähige Weise modellieren und auf jeder Hierarchieebene eine geeignete lokale Autorität als Administrator zuweisen.
Sie sollten die Erstellung einer Organisationseinheit in den folgenden Fällen erwägen:
● Sie möchten, dass sich innerhalb einer Domäne die Unternehmensstruktur widerspiegelt.
● Sie möchten administrative Aufgaben für Netzwerkressourcen delegieren, diese jedoch gleichzeitig weiter selbst verwalten können. {
● Wegbereitung für mögliche Änderungen in der Unternehmensstruktur. Das Reorganisieren von Benutzern zwischen den Organisationseinheiten ist einfach durchzuführen. Das Reorganisieren von Benutzern zwischen Domänen ist dagegen im Allgemeinen sehr viel aufwendiger.
● Sie möchten Objekte in Gruppen zusammenfassen, damit Administratoren ähnliche Netzwerkressourcen leichter finden, die Sicherheit vereinfachen und beliebige Verwaltungsaufgaben durchführen können. Sie können beispielsweise alle vorübergehend in Ihrem Unternehmen beschäftigten Mitarbeiter in einer Organisationseinheit namens TempEmployees zusammenfassen.
● Beschränken der Sichtbarkeit von Netzwerkressourcen in Active Directory. Die Benutzer können nur die Objekte anzeigen, auf die sie zugreifen können.
Planen einer OU-Hierarchie
1. Die Tiefe der OU-Hierarchie ist zwar nicht beschränkt, doch eine seichte Hierarchie bietet eine bessere Leistung als eine tiefere.
2. Organisationseinheiten sollten Geschäftsstrukturen darstellen, die keinen Änderungen unterworfen sind.
Betrachten Sie die folgenden Modelle zum Klassifizieren von Organisationseinheiten in der OU-Hierarchie.
Auf Geschäftsfunktionen basierende Organisationseinheiten
Auf der Geografie basierende Organisationseinheiten
Auf Geschäftsfunktionen und Geografie basierende Organisationseinheiten
Planen einer Standortstruktur
In Active Directory befasst sich die Standortstruktur mit der physischen Umgebung und wird getrennt von der logischen Umgebung, der Domänenstruktur, gewartet.'.
Windows 2000 wird auf zweierlei Weise von der Art der Einrichtung Ihrer Standorte beeinflusst:
● Anmeldung bei den Arbeitsstationen und Authentifizierung. Wenn ein Benutzer sich anmeldet, versucht Windows 2000, an demselben Standort wie der Computer des Benutzers einen Domänencontroller zu finden,
● Verzeichnisreplikation. Sie können den Plan und den Pfad für die Verzeichnisreplikation einer Domäne für die Replikation zwischen Standorten anders als für die Replikation am Standort konfigurieren. Im Allgemeinen sollte die Replikation zwischen den Standorten weniger häufig als die Replikation an einem Standort stattfinden.
Eine Standortverknüpfungsbrücke bietet Fehlertoleranz für die Replikation.
Bei der Installation von Active Directory erstellte Dateitypen
Datenbank und Datenbankprotokolldateien
Der standardmäßige Standort für die Datenbank und die Datenbankprotokolldateien ist systemroot\Ntds
Freigegebener Systemdatenträger
Dieser freigegebene Systemdatenträger beinhaltet eine Ordnerstruktur, die auf sämtlichen Windows 2000Domänencontrollern vorliegt. Auf diesem Datenträger werden Skripts und einige der Gruppenrichtlinienobjekte für die aktuelle Domäne und das Unternehmen gespeichert. Der standardmäßige Speicherort für den freigegebenen Systemdatenträger lautet systemroot\Sysvol
Die Replikation des freigegebenen Systemdatenträgers findet nach dem gleichen Zeitplan wie die Replikation von Active Directory statt. Daher kann es vorkommen, dass die Dateireplikation von oder auf dem neu erstellten Systemdatenträger erst sichtbar sind, wenn zwei Replikationsphasen durchlaufen wurden (üblicherweise 10 Minuten). ]
Rollen des Betriebsmasters
Betriebsmasterrollen in der Gesamtstruktur
Schemamasterrolle
Der Schemamaster-Domänencontroller steuert alle Aktualisierungen und Änderungen in Bezug auf das Schema. Wenn Sie das Schema einer Gesamtstruktur aktualisieren möchten, müssen Sie auf den Schemamaster zugreifen können.
Domänennamenmasterrolle
Der Domänencontroller mit der Domänennamenmasterrolle steuert das Hinzufügen oder Entfernen von Domänen in der Gesamtstruktur.:
Betriebsmasterrollen in der Domäne
Rolle des relativen ID-Masters Der relative ID-Master ordnet den verschiedenen Domänencontrollern in seiner Domäne Sequenzen relativer IDs zu. Zu jedem Zeitpunkt kann in jeder Domäne in der Gesamtstruktur nur ein Domänencontroller relativer ID-Master sein.
Wenn Sie ein Objekt zwischen Domänen verschieben möchten (mit MOVETREE.EXE: Active Directory-Objektmanager), müssen Sie die Verschiebung auf dem Domänencontroller initiieren, der der relative ID-Master der Domäne ist, in der sich das Objekt befindet.
PDC-Emulatorrolle
Wenn die Domäne Windows NT-Sicherungsdomänencontroller (BDCs) oder Computer enthält, die ohne Windows 2000-Clientsoftware arbeiten, dient der PDC-Emulator als primärer Windows NT-Domänencontroller.
Selbst wenn alle Systeme auf Windows 2000 aufgerüstet wurden und die Windows 2000-Domäne im einheitlichen Modus arbeitet, empfängt der PDC-Emulator bevorzugt Replikationen von Kennwortänderungen, die von anderen Domänencontrollern in der Domäne durchgeführt wurden. Wenn ein Kennwort vor kurzem geändert wurde, dauert es eine Weile, bis diese Änderung auf jeden Domänencontroller in der Domäne repliziert wurde. Wenn die Authentifizierung für eine Anmeldung bei einem anderen Domänencontroller aufgrund eines ungültigen Kennworts fehlschlägt, leitet der Domänencontroller die Authentifizierungsanforderung an den PDC-Emulator weiter, bevor der Anmeldeversuch abgewiesen wird.
Infrastrukturmasterrolle
Der Infrastrukturmaster ist für die Aktualisierung der Verweise zwischen Gruppen und Benutzern verantwortlich, wenn die Mitglieder von Gruppen umbenannt oder geändert werden.
Wenn Sie ein Mitglied aus einer Gruppe entfernen oder verschieben (und dieses Mitglied in einer anderen Domäne gespeichert ist als die Gruppe), kann es kurzzeitig so aussehen, als würde die Gruppe das Mitglied nicht enthalten. In dem Zeitraum zwischen der Umbenennung des Mitglieds und der Gruppenaktualisierung ist die Sicherheit nicht gefährdet. Nur ein Administrator, der sich diese bestimmte Gruppenmitgliedschaft ansieht, würde die kurzfristige Inkonsistenz erkennen.
Planen von Betriebsmasterstandorten
Wenn Sie die erste Domäne in einer neuen Gesamtstruktur erstellen, sind alle Betriebsmasterrollen automatisch dem ersten Domänencontroller in dieser Domäne zugewiesen.
Wenn Sie eine neue untergeordnete Domäne oder die Stammdomäne in einer neuen Domänenstruktur in einer vorhandenen Gesamtstruktur erstellen, sind dem ersten Domänencontroller in der neuen Domäne automatisch folgende Rollen zugewiesen;
● RID-Master
● Primärer Domänencontrolleremulator (PDC)
● Infrastrukturmaster
Da es in der Gesamtstruktur nur einen Schemamaster und einen Domänennamenmaster geben kann, bleiben diese Rollen der ersten in der Gesamtstruktur erstellten Domäne vorbehalten.
Planen der Betriebsmasterrollenzuweisungen nach Domäne
Gibt es in einer Domäne nur einen Domänencontroller, enthält dieser Domänencontroller alle Domänenrollen. Sonst können Sie zwei gut miteinander verbundene Domänencontroller auswählen, die direkte Replikationspartner sind. Richten Sie einen der Domänencontroller als Betriebsmasterdomänencontroller ein. Richten Sie den anderen als Standby-Betriebsmasterdomänencontroller ein. Der Standby-Betriebsmasterdomänencontroller wird dann eingesetzt, wenn der Betriebsmasterdomänencontroller ausfällt.
Wenn sich mehr als ein Domänencontroller in der Domäne befinden, sollte die Rolle des Infrastmkturmasters nicht dem Domänencontroller zugewiesen werden, auf dem der globale Katalog verwaltet wird.
Wenn sich der Infrastrukturmaster und der globale Katalog auf demselben Domänencontroller befinden, funktioniert der Infrastrukturmaster nicht. Der Infrastrukturmaster findet keine veralteten Daten, sodass er keine Änderungen auf andere Domänencontroller in der Domäne repliziert.
Planen der Betriebsmasterrollen für die Gesamtstruktur
Die Schemamaster- und die Domänennamenmasterrolle sollten immer demselben Domänencontroller zugewiesen sein.
So identifizieren Sie die Rollenzuweisungen des RID-Masters, des PDC-Emulators oder des Infrastrukturmasters
2. Klicken Sie in der Konsolenstruktur mit der rechten Maustaste auf den Knoten Active Directory-Benutzer und -Computer, und klicken Sie anschließend auf Betriebsmaster.
3. Wählen Sie im Dialogfeld Betriebsmaster eine der folgenden Optionen aus:
● Klicken Sie auf die Registerkarte RID. Daraufhin wird in dem Feld Betriebsmaster der Name des RID-Masters angezeigt.
● Klicken Sie auf die Registerkarte PDC. Daraufhin wird in dem Feld Betriebsmaster der Name des PDC-Emulators angezeigt.
● Klicken Sie auf die Registerkarte Infrastruktur. Daraufhin wird in dem Feld Betriebsmaster der Name des Infrastrukturmasters angezeigt.
So identifizieren Sie die Rollenzuweisung des Domänennamenmasters
2. Klicken Sie in der Konsolenstruktur mit der rechten Maustaste auf den Knoten Active Directory-Domänen und Vertrauensstellungen, und klicken Sie anschließend auf Betriebsmaster.
In dem Dialogfeld Betriebsmaster ändern wird in dem Feld Domänennamen-Betriebsmaster der Name des aktuellen Domänennamenmasters angezeigt.
So identifizieren Sie die Rollenzuweisung des Schemamasters
2. Klicken Sie in der Konsolenstruktur mit der rechten Maustaste auf Active Directory-Schema, und klicken Sie anschließend auf Betriebsmaster.
3. In dem Dialogfeld Schemamaster ändern wird in dem Feld Aktueller Betriebsmaster der Name des aktuellen Schemamasters angezeigt.
Übertragen der Betriebsmasterrollenzuweisungen
So übertragen Sie die Rollenzuweisungen des RID-Masters, des PDC-Emulators oder des Infrastrukturmasters
2. Klicken Sie in der Konsolenstruktur mit der rechten Maustaste auf den Domänenknoten, der zum neuen RID-Master, PDC-Emulator oder Infrastrukturmaster wird, und klicken Sie anschließend auf Verbindung mit Domäne herstellen.
3. Geben Sie in das Dialogfeld Verbindung mit Domäne herstellen den Domänennamen ein, oder klicken Sie auf Durchsuchen, um eine Domäne aus der Liste auszuwählen. Klicken Sie anschließend auf OK.
4. Klicken Sie in der Konsolenstruktur mit der rechten Maustaste auf den Knoten Active Directory-Benutzer und -Computer, und klicken Sie anschließend auf Betriebsmaster.
5. Wählen Sie im Dialogfeld Betriebsmaster eine der folgenden Optionen aus:
81 Klicken Sie auf die Registerkarte RID und anschließend auf Andern.
● Klicken Sie auf die Registerkarte PDC und anschließend auf Andern.
● Klicken Sie auf die Registerkarte Infrastruktur und anschließend auf Ändern.
So übertragen Sie die Rollenzuweisung des Domänennamenmasters
1. Offnen Sie die Konsole Active Directory-Domänen und -Vertrauensstellungen.
2. Klicken Sie in der Konsolenstruktur mit der rechten Maustaste auf den Domänencontrollerknoten, der zum neuen Domänennamemaster wird, und klicken Sie anschließend auf Verbindung mit Domäne herstellen.
3. Geben Sie in das Dialogfeld Verbindung mit Domäne herstellen den Domänennamen ein oder klicken Sie auf Durchsuchen, um eine Domäne aus der Liste auszuwählen. Klicken Sie anschließend auf OK.
4. Klicken Sie in der Konsolenstruktur mit der rechten Maustaste auf den Knoten Active Directory-Domänen und Vertrauensstellungen, und klicken Sie anschließend auf Betriebsmaster.
5. Klicken Sie im Dialogfeld Betriebsmaster ändern auf Ändern.
So übertragen Sie die Rollenzuweisung des Schemamasters
1. Öffnen Sie das Snap-In Active Directory-Schema.
Anmerkung Das Snap-In Active Directory-Schema muss über die Systemsteuerung mit Hilfe von Software zusammen mit den Windows 2000-Verwaltungswerkzeugen installiert werden. Weitere Informationen zum Installieren der
2. Klicken Sie in der Konsolenstruktur mit der rechten Maustaste auf Active Directory-Schema, und klicken Sie anschließend auf Domänencontroller ändern.
3. Wählen Sie im Dialogfeld Domänencontroller ändern eine der folgenden Optionen aus:
● Einen beliebigen DC, um Active Directory die Auswahl eines neuen Schemabetriebsmasters zu überlassen.
● Geben Sie Name an und den Namen des neuen Schemamasters ein, und den neuen Schemabetriebsmaster anzugeben.
4. Klicken Sie auf OK.
5. Klicken Sie in der Konsolenstruktur mit der rechten Maustaste auf Active Directory-Schema, und klicken Sie anschließend auf Betriebsmaster.
6. Klicken Sie im Dialogfeld Schemamaster ändern auf Andern.
Reaktionen auf Betriebsmasterausfälle
Im Allgemeinen ist das Übernehmen einer Betriebsmasterrolle ein drastischer Schritt, der nur dann in Betracht gezogen werden sollte, wenn der aktuelle Betriebsmaster niemals wieder zur Verfügung stehen wird. Die Entscheidung richtet sich nach der Rolle und nach dem Zeitraum, in dem der bestimmte Rolleninhaber nicht zur Verfügung steht.'.
Wichtig Ein Domänencontroller, dessen Schema-, Domänennamen- oder RIDMasterrolle übernommen wurde, darf nicht wieder online geschaltet werden, bevor die Laufwerke neu formatiert wurden und Windows 2000 neu geladen wurde.
Ausfall des Schemamasters
Der kurzzeitige Ausfall des Schemabetriebsmasters ist für Netzwerkbenutzer nicht sichtbar. Für Netzwerkadministratoren ist er ebenfalls nicht sichtbar; es sei denn, sie versuchen, das Schema zu ändern oder eine Anwendung zu installieren, die das Schema während der Installation verändert.
Wenn der Schemamaster für einen unzumutbar langen Zeitraum nicht zur Verfügung steht, können Sie die Rolle des Standby-Betriebsmasters übernehmen.
Ausfall des Domänennamenmasters
Der kurzzeitige Ausfall des Domänennamenmasters ist für Netzwerkbenutzer nicht sichtbar. Für Netzwerkadministratoren ist er ebenfalls nicht sichtbar; es sei denn, sie versuchen, eine Domäne zur Gesamtstruktur hinzuzufügen oder daraus zu entfernen.
Wenn der Domänennamenmaster für einen unzumutbar langen Zeitraum nicht zur Verfügung steht, können Sie die Rolle des Standby-Betriebsmasters übernehmen. ]
Ausfall des RID-Masters
Der kurzzeitige Ausfall des RID-Masters ist für Netzwerkbenutzer nicht sichtbar. Für Netzwerkadministratoren ist er ebenfalls nicht sichtbar; es sei denn, sie erstellen Objekte und in der Domäne, in der die Objekte erstellt werden, stehen keine relativen Bezeichner mehr zur Verfügung.
Wenn der RID-Master für einen unzumutbar langen Zeitraum nicht zur Verfügung steht, können Sie die Rolle des Betriebsmasters übernehmen.
Ausfall des PDC-Emulators
Der Verlust des PDC-Emulators (Primary Domain Controller) wirkt sich auf die Netzwerkbenutzer aus. Wenn der PDC-Emulator also nicht zur Verfügung steht, müssen Sie die Rolle ggf. sofort übernehmen.
Wenn der aktuelle PDC-Emulator für einen unzumutbar langen Zeitraum nicht zur Verfügung steht und sich Clients ohne Windows 2000-Clientsoftware in der Domäne befinden oder die Domäne Windows NT-Sicherungsdomänencontroller befinden, übernehmen Sie die Rolle des PDC-Emulatormasters auf den Standby-Betriebsmaster. Wenn der ursprüngliche PDC-Emulatormaster wieder in Betrieb genommen wird, können Sie die Rolle an den ursprünglichen Domänencontroller zurückgeben.
Ausfall des Infrastrukturmasters
Der kurzzeitige Ausfall des Infrastrukturmasters ist für Netzwerkbenutzer nicht sichtbar. Für Netzwerkadministratoren ist er ebenfalls nicht sichtbar; es sei denn, sie haben vor kurzem eine große Anzahl an Konten verschoben oder umbenannt.
Wenn der Infrastrukturmaster für einen unzumutbar langen Zeitraum nicht zur Verfügung steht, können Sie die Rolle des Domänencontrollers übernehmen, der nicht den globalen Katalog enthält aber gut mit diesem verbunden ist (in jeder Domäne), vorzugsweise an demselben Standort wie der aktuelle globale Katalog. Wenn der ursprüngliche Infrastrukturmaster wieder in Betrieb genommen wird, können Sie die Rolle an den ursprünglichen Domänencontroller zurückgeben.
DNS und die Integration in Active Directory
Zonen
Der DNS-Dienst bietet die Option zum Aufteilen des Namespace in eine oder mehrere Zonen, die dann auf anderen DNS-Servern gespeichert, verteilt und repliziert werden können.:
Planen von Zonen
Erwägen Sie bei der Entscheidung, ob Sie Ihren DNS-Namespace zum Erstellen zusätzlicher Zonen aufteilen sollen, folgende Gründe zur Verwendung zusätzlicher Zonen:
● Besteht Bedarf, die Verwaltung eines Teils Ihres DNS-Namespace an einen anderen Standort oder in eine andere Abteilung in Ihrer Organisation zu verlegen?
● Besteht Bedarf, eine große Zone in kleinere Zonen aufzuteilen, um die Verkehrslast auf mehrere Server zu verteilen, die Leistung der DNS-Namensauflösung zu verbessern oder eine fehlertolerantere DNS-Umgebung zu schaffen?
● Besteht Bedarf, den Namespace durch Hinzufügen zahlreicher Teildomänen auf einmal zu erweitern, um die Eröffnung einer neuen Filiale oder eines Standortes zu unterstützen?
Zonendatei
Für den Typ der standardmäßigen primären Forward-Lookupzone müssen Sie eine Zonendatei angeben. Die Zonendatei ist der Name der Zonendatenbankdatei, der mit einer ‑.dns"-Erweiterung standardmäßig auf den Zonennamen gesetzt wird. Wenn der Name Ihrer Zone beispielsweise ‑microsoft.com" lautet, so lautet der standardmäßige Name der Zonendatenbankdatei MICROSOFT.COM.DNS.
Bei der Migration einer Zone von einem anderen Server können Sie die vorhandene Zonendatei importieren. Sie müssen die vorhandene Datei auf dem Zielcomputer in dem Verzeichnis systemroot>System32\D^S speichern, bevor Sie eine neue Zone erstellen können. Systemroot zeigt den Windows 2000Installationsordner an (in der Regel CAWinnt).
Zonendatei Reverse-Lookupzone
Für die standardmäßige primäre Forward-Lookupzone müssen Sie eine Zonendatei angeben. Der standardmäßige Zonendateiname richtet sich nach Netzwerkkennung und Subnetzmaske. DNS kehrt die IP-Oktette um und fügt das Suffix ‑in-addr.arpa" an. Die Reverse-Lookupzonendatei für das Netzwerk 169.254 würde beispielsweise 254.169.in-addr.arpa.dns lauten.
Häufig verwendete Ressourceneintragstypen
Host (A)
Listet die Zuordnungen zwischen Hostnamen und IPAdressen für eine Forward-Lookupzone auf.
Alias (CNAME)
Erstellt einen Alias oder alternativen Namen für den angegebenen Hostnamen. Sie können einen Kanonischen Namenseintrag (CNAME) verwenden, um mit mehr als einem Namen aus eine einzelne IP-Adresse zu zeigen. Sie können beispielsweise einen FTP-Server (File Transfer Protocol) wie ftp.microsoft.com und einen Webserver wie www.microsoft.com auf demselben Computer verwalten.
Namensserver (NS)
Führt die Namensserver auf, die einer bestimmten Domäne zugewiesen sind.
Zeiger (FTR)
Zeigt auf einen anderen Teil des Domänennamespace. In einer Reverse-Lookupzone führt er beispielsweise die Zuordnung von IP-Adressen zu Namen auf.
Dienst (SRV)
Damit wird gekennzeichnet, welche Server einen bestimmten Dienst verwalten. Wenn ein Client beispielsweise einen Server zum Überprüfen einer Anmeldeanforderung benötigt, kann der Client eine Abfrage an den DNS-Server senden, um eine Liste von Domänencontrollern und den damit verknüpften IP-Adressen zu erhalten.
SOA (Autoritätsursprung)
Damit wird bestimmt, welcher Namensserver als autorisierende Informationsquelle für Daten innerhalb einer Domäne gilt. Der erste Eintrag in der Zonendatenbankdatei muss der SOA-Eintrag sein.
Delegieren von Zonen
Wenn Sie Zonen in einen Namespace delegieren, müssen Sie auch SOA-Ressourceneinträge erstellen, um auf den autorisierenden DNS-Server für die neue Zone zu zeigen.
So erstellen Sie eine Zonendelegierung
1. Klicken Sie in der DNS-Konsolenstruktur auf die Teildomäne, für die Sie eine Zonendelegierung anzeigen möchten.
2. Klicken Sie im Menü Vorgang auf den Befehl Neue Delegierung.
3. Klicken Sie auf der Begrüßungsseite des Assistenten zum Erstellen neuer Delegierungen auf Weiter.
4. Geben Sie auf der Seite Namen der delegierten Domäne den Namen der Domäne an, die Sie erstellen möchten, und klicken Sie anschließend auf Weiter.
5. Geben Sie auf der Seite Namenserver die Server zum Verwalten der delegierten Zone an, und klicken Sie anschließend auf Weiter.
DDNS und DHCP
DDNS interagiert mit dem DHCP-Dienst, um die Synchronisierung der Zuordnungen von Namen zu IP-Adressen für die Netzwerkhosts zu gewährleisten. Standardmäßig erlaubt der DHCP-Dienst den Clients, ihre eigenen A-Einträge (Host) zu der Zone hinzuzufügen, und der DHCP-Dienst fügt den PTR-Ressourceneintrag zur Zone hinzu. Der DHCP-Dienst räumt nach Ablauf der Lease-Gültigkeitsdauer sowohl die A- als auch die PTR-Ressourceneinträge in der Zone auf.
Zonenreplikation und Zonenübertragung
Wenn ein neuer DNS-Server zum Netzwerk hinzugefügt und als neuer sekundärer Server für eine vorhandene Zone konfiguriert wird, führt dieser eine vollständige Zonenübertragung (AXFR) durch, um eine vollständige Kopie der Ressourceneinträge für die Zone zu erhalten und zu replizieren.
Inkrementelle Zonenübertragung
IXFR ermöglicht dem sekundären Server, nur die Zonenänderungen zu laden, die er zum Synchronisieren seiner Kopie der Zone mit ihrer Quelle benötigt, entweder einer primären oder sekundären Kopie der Zone, die von einem anderen DNS-Server verwaltet wird.
Beispiel: Zonenübertragung
Zusätzlich zur manuellen Initiierung tritt eine Zonenübertragung bei folgenden Szenarios auf:
● beim Starten des DNS-Dienstes auf dem sekundären Server für eine Zone
● wenn der Aktualisierungsintervall für die Zone abläuft
● wenn an der primären Zone Änderungen vorgenommen werden und eine Benachrichtigungsliste konfiguriert wird
Zonenübertragungen werden immer vom sekundären Server einer Zone initiiert und an den DNS-Server gesendet, der als Quelle für die Zone konfiguriert ist. Bei diesem DNS-Server kann es sich um jeden anderen DNS-Server handeln, der die Zone lädt, entweder ein primärer oder ein anderer sekundärer Server.
Anmerkung In Windows 2000 Server wird die inkrementelle Zonenübertragung durch IXFR-Abfragen unterstützt.:
Zonenübertragungssicherheit
So geben Sie die Server an, die an Zonenübertragungen teilnehmen dürfen
2. Klicken Sie in der DNS-Konsolenstruktur mit der rechten Maustaste auf die Zone, für die Sie Zonenübertragungen einrichten möchten, und klicken Sie anschließend auf Eigenschaften.
3. Wählen Sie die Registerkarte Zonenübertragungen aus (siehe Abbildung 5.7).
DNS-Benachrichtigung
3ei der DNS-Benachrichtigung wird ein Pushmechanismus implementiert, um einen ausgewählten Satz an sekundären Servern für eine Zone über die Aktualisierung der Zone zu benachrichtigen. Die benachrichtigten Server können dann den Zonenübertragungsprozess initiieren und vom benachrichtigenden Server Änderungen übernehmen, um die Zone zu aktualisieren.
Verwenden Sie die DNS-Benachrichtigung nur zum Benachrichtigen von DNS-Servern, die als sekundäre Server für eine Zone arbeiten. Für die Replikation verzeichnisintegrierter Zonen wird die DNS-Benachrichtigung nicht benötigt.
So geben Sie die zu benachrichtigenden Server an
2. Klicken Sie in der DNS-Konsolenstruktur mit der rechten Maustaste auf die Zone, für die Sie Zonenübertragungen einrichten möchten, und klicken Sie anschließend auf Eigenschaften.
3. Wählen Sie die Registerkarte Zonenübertragungen aus, und klicken Sie anschließend auf Benachrichtigen.
4. Geben Sie in dem Dialogfeld Benachrichtigen (siehe Abbildung 5.8) die sekundären Server an, die bei Zonenänderungen benachrichtigt werden sollen, und klicken Sie anschließend auf OK.
Zusammenfassung der Lektion
Abschließend haben Sie gelernt, dass bei der DNS-Benachrichtigung ein Pushmechanismus implementiert wird, um einen ausgewählten Satz an sekundären Servern für eine Zone über die Aktualisierung der Zone zu benachrichtigen.
Die benachrichtigten Server können dann den Zonenübertragungsprozess initiieren und vom benachrichtigenden Server Änderungen übernehmen, um die Zone zu aktualisieren. Mit der DNS-Konsole können Sie angeben, welche sekundären Server benachrichtigt werden sollen. Für die Replikation verzeichnisintegrierter Zonen ist keine DNS-Benachrichtigung erforderlich.
Überwachen von DNS-Servern
● standardmäßiges Protokollieren von DNS-Server-Ereignismeldungen in das DNS-Serverprotokoll
● optionale Debugoptionen für die Protokollierung der Ablaufverfolgung in eine Textdatei auf dem DNS-Servercomputer
Debugoptionen
Mit der DNS-Konsole können Sie zusätzliche Protokollierungsoptionen einrichten, um ein temporäres Ablaufverfolgungsprotokoll als textbasierte Datei von DNS-Serveraktivitäten zu erstellen. Die für diese Funktion erstellte und verwendete Datei DNS.LOG ist in dem Ordner systemroot^System32\Dns gespeichert.
Standardmäßig sind alle Debugprotokollierungsoptionen deaktiviert.
So stellen Sie die Debugoptionen für DNS-Server ein
1. Klicken Sie in der DNS-Konsolenstruktur mit der rechten Maustaste auf den Namenserver, und klicken Sie anschließend auf Eigenschaften.
2. Wählen Sie auf der Registerkarte Protokollierung die zu protokollierenden Debugoptionen aus, und klicken Sie anschließend auf OK.
Szenarios zur Fehlerbehebung in DNS
Symptom: Ein auf Zonenübertragungen bezogenes Problem
Ursache
Der DNS-Serverdienst wurde beendet, oder die Zone wurde angehalten.
Lösung
Überprüfen Sie, ob der Masterserver (Quelle) und der sekundäre DNS-Server (Ziel), zwischen denen die Zone übertragen wird, eingeschaltet sind, und dass die Zone auf keinem der beiden Server angehalten wurde.
Ursache
Die Seriennummer ist auf dem Quell- und auf dem Zielserver gleich. Da der Wert auf beiden Servern gleich ist, findet keine Zonenübertragung zwischen den Servern statt.
Lösung
Führen Sie mit der DNS-Konsole folgende Aufgaben durch: Erhöhen Sie auf der Registerkarte Autoritätsursprung (SOA) den Wert für die Seriennummer für die Zone auf dem Masterserver (Quelle) auf eine höhere Zahl als bei dem entsprechenden sekundären Server (Ziel). Initiieren Sie die Zonenübertragung auf dem sekundären Server.
Ursache
Der Masterserver (Quelle) und ier als Ziel gewählte sekundäre Server (Ziel) haben Probleme bezüglich der Interoperabilität.
Lösung
beispielsweise eine ältere Version von BIND (Berkeley Internet Name Domain).
Ursache
Die Zone enthält Ressourceneinträge oder andere Daten, die nicht vom DNS-Server interpretiert werden können.
Lösung
Überprüfen Sie, ob die Zone inkompatible Daten enthält, beispielsweise nicht unterstützte Ressourceneintragstypen oder Datenfehler. Überprüfen Sie weiterhin, ob der Server im Voraus so konfiguriert wurde, lass beim Auffinden fehlerhafter Daten das Laden der Zone verhindert wird, und untersuchen Sie seine Methode zum Prüfen von Namen. Diese Einstellungen können in der DNS-Konsole konfiguriert werden.
Ursache
Autorisierende Zonendaten sind falsch.
Lösung
Wenn eine Zonenübertragung immer wieder fehlschlägt, stellen Sie sicher, dass die Zone nur standardmäßige Daten enthält. Überprüfen Sie das DNS-Server-Ereignisprotokoll nach Meldungen um zu ermitteln, ob fehlerhafte Zonendaten eine wahrscheinliche Ursache für eine fehlgeschlagene Zonenübertragung sind.
Symptom: Zonendelegierung scheint unterbrochen
Ursache
Zonendelegierungen sind 11 nicht ordnungsgemäß konfiguriert.
Lösung
Prüfen Sie die Verwendung von Zonendelegierungen, und überarbeiten Sie Ihre Zonenkonfigurationen entsprechend.
Symptom: Der Client führt keine dynamischen Aktualisierungen durch
Ursache
Der Client (oder sein DHCP-Server) unterstützt die Verwendung des dynamischen DNS-Aktualisierungsprotokolls nicht.
Lösung
Überprüfen Sie, ob Ihre Clients oder Server das dynamische DNS-Aktualisierungsprotokoll unterstützen und die Optionen zur Unterstützung der dynamischen Aktualisierung in Windows 2000 verwenden. Damit Chentcomputer auf einem DNS-Server registriert und dynamisch aktualisiert werden, müssen Sie: Auf Clientcomputern Windows 2000 installieren oder aufrüsten oder einen Windows 2000-DHCP-Server in Ihrem Netzwerk installieren und verwenden, um Clientcomputer zu leasen.
Ursache
Der Client konnte aufgrund fehlender oder unvollständiger DNS-Konfiguration nicht auf DNS-Servern registrieren oder aktualisieren.
Lösung
Überprüfen Sie, ob der Client vollständig und ordnungsgemäß für DNS konfiguriert ist, und aktualisie ren Sie seine Konfiguration nach Bedarf. Zum Aktualisieren der DNS-Konfiguration eines Client müssen Sie: auf dem Clientcomputer ein primäres DNS-Suffix für statische TCP/IP-Clients konfigurieren oder ein verbindungsspezifisches DNS-Suffix zur Verwendung in einer installierten Netzwerkverbindung auf dem Clientcomputer konfigurieren.
Ursache
Der DNS-Client hat versu< seine Informationen anhand des DNS-Servers zu aktualisieren, doch dieser Versuch ist aufgrund serverbezogener Probleme fehlgeschlagen.
Lösung
Verwenden Sie auf Windows 2000-Clientcomputem die Ereignisanzeige, um das Systemprotokoll nach Ereignismeldungen zu durchsuchen, anhand derer sich erklären lässt, warum Versuche des Client, seine Host- (A) oder Zeigerressourceneinträge (PTR) dynamisch zu aktualisieren, fehlgeschlagensind.
Ursache
Der DNS-Server unterstützt dynamische Aktualisierungen nicht.
Lösung
Bei Windows-DNS-Servern unterstützen nur Windows 2000-DNS-Server dynamische Aktualisierungen. Bei dem mit Windows NT Server 4.0 bereit gestellten DNS-Server ist dies nicht der Fall.
Ursache
Der DNS-Server unterstützt dynamische Aktualisierungen, ist aber nicht für deren Annahme konfiguriert.
Lösung
Überprüfen Sie, dass die primäre Zone, in der Clients Aktualisierungen erfordem, für dynamische Aktualisierungen konfiguriert ist. Bei Windows 2000-DNSServer ist die Annahme dynamischer Aktualisierungen für die primäre Zone standardmäßig nicht zugelassen. Ändern Sie aufdem DNS-Server, aufdem die entsprechende primäre Zone geladen ist, die Zoneneigenschaften so, dass Aktualisierungen zugelassen sind.
Ursache
)ie Zonendatenbank ist nicht verfügbar.
Lösung;
Überprüfen Sie, ob die Zone vorhanden ist. Überprüfen Sie, ob die Zone zur Aktualisierung verfügbar ist. Überprüfen Sie für eine standardmäßige primäre Zone, dass die Zonendatei auf dem Server vorhanden ist und dass die Zone nicht angehalten ist. Sekundäre Zonen unterstützen dynamische Aktualisierungen nicht. Überprüfen Sie bei Active Directory-integrierten Zonen, ob der DNS-Server als Domänencontroller ausgeführt wird und auf die Active Directory-Datenbank zugreifen kann, in der Zonendaten gespeichert sind.
Konfigurieren von Standorten
Anmerkung Die Konfiguration Ihres Standorts wirkt sich auch auf alle Anwendungen aus, die Acüve Directory nutzen, beispielsweise Exchange 2000 oder die Personalisierungs- und Mitgliedschaftsdienste des Standortservers.
Da innerhalb eines Standorts keine Geschwindigkeits- oder Kostengesichtspunkte berücksichtigt zu werden brauchen, findet die Replikation innerhalb von Standorten nicht zeitgesteuert, sondem immer nach Bedarf statt. Die Replikation zwischen Standorten erfolgt nach einem Zeitplan.
Ein Standort entspricht einem Satz von einem oder mehreren IP-Subnetzen.
Wenn bei der Installation von Active Directory auf weiteren Servern altemative Standorte in Active Directory definiert sind und die IP-Adresse des Installations"omputers einem auf einem definierten Standort vorhandenen Subnetz entspricht, dann wird der Domänencontroller zu diesem Standort hinzugefügt. Ändernfalls wird er zu dem Standort des Quelldomänencontrollers hinzugefügt.
So erstellen Sie einen neuen Standort
2. Klicken Sie mit der rechten Maustaste auf den Ordner Standorte, und klicken Sie anschließend auf Neuer Standort.
3. Geben Sie im Dialogfeld Neues Objekt - Standort (siehe Abbildung 6.1) in das Feld Name den Namen des neuen Standorts ein. Wählen Sie ein Standortverknüpfungsobjekt aus, und klicken Sie anschließend auf 01
Subnetze
Durch Subnetze werden Computer entsprechend ihrer physischen Nähe im Netzwerk gruppiert.
Mit Hilfe von Subnetzinformationen wird an demselben Standort nach einem Domänencontroller gesucht, an dem der Computer, der bei der Anmeldung authentifiziert wurde, sich befindet. [)ie Informationen werden auch während der Active Directory-Replikation verwendet, um die besten Routen zwischen den Domänencontroller zu ermitteln.
So erstellen Sie ein Subnetz
2. Doppelklicken Sie auf den Ordner Standorte.
3. Klicken Sie mit der rechten Maustaste auf den Ordner Subnetze, und klicken Sie anschließend auf Neues Subnetz.
4. Geben Sie im Dialogfeld Neues Objekt - Subnetz (siehe Abbildung 6.2) in das Feld Adresse die Subnetzadresse ein. Geben Sie in das Feld Maske den Namen der Subnetzmaske ein, mit der der Adressbereich im Subnetz dieses Standorts beschrieben wird. Wählen Sie einen Standort aus, mit dem dieses Subnetz verknüpft werden soll, und klicken Sie anschließend auf OK.
So verknüpfen Sie ein vorhandenes Subnetz mit einem Standort
2. Offnen Sie den Ordner Subnetze, klicken Sie mit der rechten Maustaste auf das Subnetz, und klicken Sie anschließend auf Eigenschaften.
3. Wählen Sie im Dialogfeld Eigenschaften für das Subnetz (in Abbildung 6.3 dargestellt) anhand der in der Liste Standort verfügbaren Auswahl einen Standort aus, und klicken Sie anschließend auf OK.
Standortverknüpfungen
Standortverknüpfungen werden nicht automatisch erzeugt. Sie müssen mit dem Programm Active DirectoryStandorte und -Dienste erstellt werden. Wenn keine Standortverknüpfung vor^ianden ist, können zwischen den Computem an beiden Standorten keine Verbindungen erstellt werden, und damit kann keine Replikation zwischen den Standorten erfolgen.
Replikationsprotokolle
● IP-Replikation verwendet RPCs (Remote Procedure Calls) bei der Replikation über Standortverknüpfungen (standortübergreifend) und in einem Stand
● SMTP-Replikation wird bei der Replikation über Standortverknüpfungen (standortübergreifend) und nicht in einem Standort (standortintern) verwendet.I
Achtung Falls Sie eine Standortverknüpfung erstellen, bei der SMTP verwendet wird, müssen Sie über eine Organisationszertifiziemngsstelle verfügen, und SMTP muss auf allen Domänencontrollern installiert sein, die die Standortverknüpfung nutzen.
Standortlizenzierung
Der Lizenzprotokollierdienst aufjedem Server in einem Standort repliziert diese Lizenzierungsinformationen auf eine zentralisierte Datenbank auf einem ‑Standortlizenzserver" genannten Server für den Standort. Ein Standort
Der standardmäßige Standortlizenzserver ist der erste für den Standort erstellte Domänencontroller. Der Standortlizenzserver muss aber kein Domänencontroller sein. Zum Erzielen einer optimalen Leistung jedoch sollten der Standortlizenzserver und der Domänencontroller demselben Standort angehören. In einer großen Organisation mit mehreren Standorten werden die Lizenzierungsinformationen vom Standortlizenzserver Für jeden Standort getrennt gesammelt.
So wählen Sie einen Standortlizenzserver aus
1. Klicken Sie auf Start, zeigen Sie auf Programme und Verwaltung, und klicken Sie anschließend auf Active Directory-Standorte und -Dienste.
2. Klicken Sie auf den Standort, dem Sie einen Standortlizenzserver zuweisen möchten.
3. Klicken Sie im Detailbereich mit der rechten Maustaste auf Licensing Site Settings und dann auf Eigenschaften
4. Klicken Sie im Dialogfeld Eigenschaften von Licensing Site Settings in dem Feld Lizenzierungscomputer auf die Option Andern
5. Wählen Sie im Dialogfeld Computer auswählen den Computer aus, den Sie als Standortlizenzserver festlegen möchten, und klicken Sie anschließend auf OK.
So zeigen Sie die Lizenzierung eines Standorts an
1. Klicken Sie auf Start, zeigen Sie aufProgramme und Verwaltung, und klicken Sie anschließend auf Lizenzierung.
2. Wählen Sie im Menü Lizenz die Option Domäne auswählen aus, um eine Verbindung zu dem Standortlizenzserver für die Domäne herzustellen.
3. Geben Sie in dem Dialogfeld Domäne auswählen in dem Feld Domäne den Namen des Standortlizenzservers ein, und klicken Sie anschließend auf OK.
>ie können die Konnektivität für Standortverknüpfungen verbessern, indem Sie überlappende vorhandene Standortverknüpfungen in Standortverknüpfungsbrücken zusammenknüpfen. Sie können aber auch alle Standortverknüpfungen überbrücken und die Konnektivität maximieren. Sie können auch einen Server festlegen (Bridgeheadsen'er genannt), der für den Austausch von Verzeichnisinformationen zwischen den Standorten als Kontaktpunkt dient.
Standortverknüpfungskosten
Standortverknüpfungskosten
Wenn Sie über mehrere redundante Netzwerkverbindungen verfügen, richten Sie für jede Verbindung Standortverknüpfungen ein, und weisen Sie diesen Standortverknüpfungen dann Kosten zu, mit denen ihre relative Bandbreite widergespiegelt wird. ]
Replikationshäufigkeit
Das Replikationsintervall muss mindestens 15 und darf nicht mehr als 10.080 Minuten betragen (entspricht einer Woche).:
Replikationsverfügbarkeit
Konfigurieren Sie die Replikationsverfügbarkeit für Standortverknüpfungen, um zu bestimmen, wann eine Standortverknüpfung für die Replikation zur Verfügung steht. Da SMTP asynchron ist, ignoriert es in der Regel alle Zeitpläne. Daher sollten Sie die Replikationsverfügbarkeit für Standortverknüpfungen auf SMTPStandortverknüpfungen nicht konfigurieren, es sei denn
● die Standortverknüpfungen verwenden geplante Verbindungen
● die SMTP-Warteschlange richtet sich nicht nach einem Zeitplan
● die Informationen werden direkt zwischen einem Server und einem anderen ausgetauscht und nicht über Zwischenstationen, wie dies beispielsweise bei einem Netzwerkbackbone der Fall ist
Standortverknüpfungsbrücken
Für den häufigsten Fall eines vollständig gerouteten IP-Netzwerks (in dem alle Standorte miteinander über IP kommunizieren können) brauchen Sie keinerlei Standortverknüpfungsbrücken zu konfigurieren. Falls Ihr IP-Netzwerk nicht vollständig geroutet ist, können Sie die Funktion zur transitiven Standortverknüpfung für den IPTransport abschalten. In diesem Fall werden alle IP-Standortverknüpfungen als intransitiv betrachtet, und Sie konfigurieren Standortverknüpfungsbrücken. Eine Standortverknüpfungsbrücke entspricht einem getrennten Netzwerk. Alle Standortverknüpfungen innerhalb der Brücke können transitiv geroutet werden, routen jedoch nicht außerhalb der Brücke.
Unter normalen Bedingungen erstellt und löscht Active Directory Verbindungen automatisch. Obwohl Sie Verbindungen für die erzwungene Replikation über eine bestimmte Verbindung manuell hinzufügen oder konfigurieren können, sollten Sie in der Regel eine automatische Optimierung der Replikation zulassen, basierend auf den Informationen, die Sie Active Directory-Standorte und -Dienste über Ihre Verteilung bereitstellen. Erstellen Sie Verbindungen nur manuell wenn Sie sicher sind, dass die Verbindung erforderlich ist und so lange bestehen bleiben soll, bis sie manuell entfemt wird.
Fehlerbehebung bei der Replikation
Symptom: Die Replikation von Verzeichnisinformationen wurde angehalten
Ursache
Die Standorte, die die Clients und Domänencontroller enthalten, sind aicht über Standortverknüpfungen mit anderen Domänencontroller an nderen Standorten im Netzwerk verbunden. Deswegen können zwischen den Standorten keine Verzeichnisinformationen ausgetauscht werden.
Lösung
Erstellen Sie eine Standortverknüpfung von ;m aktuellen Standort zu einem Standort, der mit dem Rest der Standorte im Netzwerk verbunden ist.
Symptom: Die Replikation hat sich verlangsamt, wurde aber nicht angehalten
Ursache
Obwohl alle Standorte über Standortverknüpfungen miteinander verbunden sind, ist Ihre standortübergreifende Replikationsstmktur nicht so vollständig, wie si sein könnte. Die Verzeichnisinformationen werden auf alle Domänencontroller repliziert, wenn sie alle über Standortverknüpfung miteinander verbunden sind, doch das ist nicht optimal. Wenn Standortverknüpfungen aber keine Standortverknüp'ungsbrücken vorhanden sind, kann es inverhältnismäßig lange dauern, bis Änderungen an Domänencontrollern an andere Domänencontroller verteilt werden, die nicht eng miteinander verbunden sind.
Lösung
Vergewissem Sie sich, dass Active Directory ordnungsgemäß konfiguriert wurde. Erwägen Sie zum Umspannen mehrere Standortverknüpfungen, die eine effizientere Replikation benötigen, die Erstellung einer Standortverknüpfungsbrücke oder die Herstellung einer Brücke zwischen allen Standortverknüpfungen.
Ursache
Die gegenwärtigen Netzwerkressourcen reichen nicht aus, um den Replikationsverkehr zu verarbeiten. Dies kann sich auf Dienste auswirken, die nicht mit Active Directory verwandt sind, da der Austausch von Verzeichnisinformationen die Netzwerkressourcen unverhältnismäßig beansprucht.
Lösung
Erhöhen Sie das Verhältnis der verfügbaren Netzwerkressourcen entsprechend dem Verzeichnisverkehr. Verringern Sie die Replikationshäufigkeit. Konfigurieren Sie die Standortverknüpfungskosten. Erstellen Sie Standortverknüpfungen oder Standortverknüpfungsbrücken, um Netzwerkverbindungen mir größerer Bandbreite zu erhalten.
Ursache
Verzeichnisinformationen, die an Domänencontrollern eines Standorts geändert wurden, werden an Domänencontrollern anderer Standorte nicht zeitgerecht ktualisiert, da die standortübergreifende Replikation zu selten stattfindet.
Lösung
Erhöhen Sie die Replikationshäufigkeit. Falls die Replikation über eine Standortverknüpfungsbrücke geschieht, prüfen Sie, welche Standortverknüpfung die Replikation einschränkt. Vergrößern Sie den Zeitraum, während dem repliziert werden kann, oder die Replikationshäufigkeit in dem Zeitrahmen für diese Standortverknüpfung.
Ursache
Clients müssen Authentifizierung, Informationen und Dienste von einem Domänencontroller mit einer Verbindung mit geringer Bandbreite anfordem. Dies kann dazu führen, dass die Clients inger auf Antwort für die Authentifizierung, auf Verzeichnisinformationen oder auf andere Dienste warten müssen.
Lösung
Prüfen Sie, ob ein Standort vorhanden ist, dem Subnetz des Clients besser dient. Wenn ein Client, dem schlechte Dienste angeboten werden, von Domänencontrollern isoliert ist, sollten Sie die Erstellung ;ines weiteren Standorts mit eigenem Domänencontroller erwägen, der diesen CIient beinhaltet. Installieren Sie eine Verbindung mit größerer Bandbreite.
Überprüfen der Replikationstopologie
In Active Directory wird ein Vorgang ausgeführt, der die Kosten von standortübergreifenden Verbindungen berücksichtigt, die Verfügbarkeit zuvor verfügbarer Domänencontroller überprüft und prüft, ob neue Domänencontroller hinzugefügt wurden, und der diese Informationen dann zum Hinzufügen oder Entfernen von Verbindungsobjekten verwendet, um eine effiziente Replikationstopologie zu erstellen. Dieser Vorgang wirkt sich nicht auf manuell erstellte Verbindungsobiekte aus.
So überprüfen Sie die Replikationstopologie
2. Doppelklicken Sie in der Konsolenstruktur Active Directory-Standorte und -Dienste auf den Server, mit dem Sie die Replikationstopologie überprüfen möchten.
3. Klicken Sie mit der rechten Maustaste auf NTDS-Einstellungen, zeigen Sie auf Alle Aufgaben, und klicken Sie dann auf Replikationstopologie überprüfen.
Verwalten der Servereinstellungen
Erstellen eines Serverobjekts an einem Standort, Verschieben eines Serverobjekts zwischen Standorten, Aktivieren oder Deaktivieren eines globalen Katalogs, und Entfernen eines nicht mehr funktionierenden Serverobjekts von einem Standort.
Erstellen eines Serverobjekts an einem Standort Mit diesem Vorgang können Mitgliedsserver und Domänencontroller an einem Standort erstellt werden. Das Erstellen eines Serverobjekts ist nicht dasselbe wie das Installieren eines Domänencontrollers mit dem Assistenten zum Installieren von Active Directory.
So erstellen Sie ein Serverobjekt an einem Standort
2. Doppelklicken Sie in der Konsolenstruktur Active Directory-Standorte und -Dienste auf den Standort, in dem das neue Domänencontroller-Serverobjekt enthalten sein soll.
3. Klicken Sie mit der rechten Maustaste auf den Ordner Server, zeigen Sie auf Neu, und klicken Sie anschließend auf Server.
Verschieben von Serverobjekten zwischen Standorten
Mit diesem Vorgang können Mitgliedsserver und Domänencontroller zwischen Standorten verschoben werden.
2. Klicken Sie in der Konsolenstruktur Active Directory-Standorte und -Dienste mit der rechten Maustaste auf das Serverobjekt, das an einen anderen Standort verschoben werden soll, und klicken Sie anschließend auf Verschieben.
3. Klicken Sie im Dialogfeld Server verschieben auf den Standort, an den Sie das Serverobjekt verschieben möchten, und klicken Sie dann auf OK.
Aktivieren oder Deaktivieren eines globalen Katalogs
Sie sollten also an jedem Standort mindestens einen globalen Katalog zur Verfügung stellen, um die Vorteile reduzierter Netzwerkbelastung durch die Verwendung von Standorten zu erhalten.
So Aktivieren oder Deaktivieren Sie einen globalen Katalog
2. Doppelklicken Sie in der Konsolenstruktur Active Directory-Standorte und -Dienste auf den Domänencontroller, der den globalen Katalog verwaltet.
3. Klicken Sie mit der rechten Maustaste auf NTDS-Einstellungen, und klicken Sie dann auf Eigenschaften.
4. Führen Sie folgendes aus:
● Wenn Sie einen globalen Katalog aktivieren möchten, aktivieren Sie das Kontrollkästchen Globaler Katalog, und klicken Sie anschließend auf OK.
Entfernen eines nicht mehr funktionierenden Serverobjekts von einem Standort
Verwenden Sie diesen Vorgang nur dann, wenn Sie ein Serverobjekt dauerhaft von einem Standort entfernen möchten. Wenn Sie vorhaben, den Server zu reaktivieren, löschen Sie das Objekt NTDS-EinstelIungen für den Server und nicht das Serverobjekt selbst.
So entfernen Sie ein nicht mehr funktionierendes Serverobjekt von einem Standort
2. Klicken Sie in der Konsolenstruktur Active Directory-Standorte und -Dienste mit der rechten Maustaste auf das zu entfernende Serverobjekt, und klicken Sie anschließend auf Löschen
Verwalten von Gruppenkonten
Grundlegendes zu standardmäßigen Gruppen
In Windows 2000 gibt es vier Kategorien von standardmäßigen Gruppen: vordefiniert, integriert, integriert lokal und besondere Identität. Standardmäßige Gruppen haben einen vordefinierten Satz an Benutzerrechten oder Gruppenmitgliedschaften.
Vordefinierte Gruppen
In Windows 2000 werden vordefinierte Gruppen mit dem Bereich global erstellt, um gemeinsame Typen von Benutzerkonten zu gmppieren.
Domänen-Admins
Domänen-Gäste
Domänenbenutzer
Organisations-Admins
Integrierte Gruppen
Windows 2000 erstellt integrierte Gruppen mit dem Bereich domänenübergreifend lokal in Active Directory in dem Ordner Vordefiniert
Konten-Operatoren
Administratoren
Sicherungs-Operatoren
Gäste
NT 3.X/4.0 kompatibler Zugriff
Druck-Operatoren
Replikationsdienst
Server-Operatoren
Users (Benutzer)
Vordefinierte lokale Gruppen
Alle eigenständigen Server, Mitgliedsserver und Computer, auf denen Windows 2000 Professional ausgeführt wird, besitzen vordefinierte lokale Gmppen. Vordefinierte lokale Gmppen geben Benutzem das Recht, Systemaufgaben auf einem einzelnen Computer durchzuführen,
Häufig verwendete vordefinierte lokale Gruppen
Administratoi
Sicherungs-Operatoren
Gäste
Hauptbenutzer
Vordefinierte lokak Gruppe
Replikationsdienst
Users (Benutzer)
Gruppen mit besonderer Identität
Häufig verwendete Gruppen mit besonderer Identität
Anonyme Anmeldung
Authentifizierte Benutzer
Ersteller-Besitzer
Wählverbindung
Jeder
Interaktiv
Netzwerk
Grundlegendes zu DFS
Microsoft DFS für Windows 2000 Server ermöglicht Systemadministratoren, den Benutzem den Zugriff auf und die Verwaltung von Dateien zu vereinfachen, die über das Netzwerk verteilt sind. Mit DFS können Sie Dateien, die über mehrere Server verteilt sind, für Benutzer so darstellen, als würden sie sich an einem Speicherort im Netzwerk befinden.
Typen eines DFS-Stamms
Domäne
Speichert die DFS-Topologie in Active Directory. Verknüpfungen können aus Gründen der Fehlertoleranz auf mehrere identische freigegebene Ordner zeigen. Unterstützt DNS (Domain Name System), DFS-Verknüpfungen mit mehreren Ebenen und Dateireplikation.
Standalone
Speichert die DFS-Topologie auf einem einzelnen Computer und nicht in Active Directory. Bietet keine Fehlertoleranz, wenn der Computer mit der DFS-Topologie oder einer der von DFS verwendeten freigegebenen Ordner ausfällt. Unterstützt nur eine Ebene an DFS-Verknüpfungen.
Gründe für die Verwendung von DFS
● der Serverlastenausgleich verbessert werden kann, indem freigegebene Ordner erneut verteilt werden
● Ihr Unternehmen über Websites zur internen oder externen Verwendung verfügt
DFS-Topologie
Eine DFS-Topologie besteht aus einem DFS-Stamm, einer oder mehreren DFSVerknüpfungen und einem oder mehreren freigegebenen DFS-Ordnern (auch Replikate), auf die jede DFS-Verknüpfung verweist.
Bei einem domänenbasierten DFS wird der Domänenserver, auf dem sich der DFS-Stamm befindet, als Hostserver bezeichnet. Sie können einen DFS-Stamm replizieren, indem Sie auf anderen Servern in der Domäne Stammverzeichnisse erstellen. Dadurch wird die Dateiverfügbarkeit bei einem Ausfall des Hostservers gewährleistet.
Da der Hostserver für einen domänenbasierten DFS ein Mitgliedserver in einer Domäne ist, wird die DFS-Topologie standardmäßig automatisch in Active Directory veröffentlicht. ^
Erstellen eines DFS-Stammes
Sie können einen DFS-Stamm aufWindows 2000 FAT- oder NTFS-Partitionen erstellen.
Zur Zeit beschränkt sich die Höchstanzahl an DFS-Verknüpfungen, die Sie einem DFS-Stamm zuweisen können, auf 1.000.
Festlegen der Replikationsrichtlinie
Sie können sicherstellen, dass der Inhalt von Ordnem Benutzem immer zur Verfügung steht, indem Sie den Inhalt in andere Stammverzeichnisse oder freigegebene DFS-Ordner in der Domäne replizieren. Sie können sowohl DFS-Stämme als auch freigegebene DFS-Ordner replizieren. Bei der Replikation wird der Inhalt des DFS-Stamms in einen anderen DFS-Stamm oder von einem freigegebenen DFS-Ordner in einen anderen freigegebenen DFS-Ordner kopiert.
Beim Replizieren eines freigegebenen DFS-Ordners speichert DFS eine Kopie des Inhalts des ursprünglichen freigegebenen Ordners in einem anderen freigegebenen Ordner.
Automatische Replikation
Standardmäßig synchronisiert FRS den Inhalt von freigegebenen DFS-Ordnern in Abständen von 15 Minuten.
So erhalten Sie Zugriff auf einen DFS-Stamm
1. Doppelklicken Sie auf Ihrem Domänencontroller oder zweiten Computer auf Netzwerkumgebung. Doppelklicken Sie dann auf Gesamtes Netzwerk, Microsoft Windows-Netzwerk und dann auf Microsoft (wobei ‑Microsoft" der Name Ihrer Domäne ist).
2. Doppelklicken Sie auf SERVER1.
Im Windows Explorer wird eine Liste aller freigegebenen Ordner auf Ihrem Domänencontroller dargestellt. Beachten Sie, dass nur einer der freigegebenen Ordner Shared Apps (Ihr DFS-Stamm) ist.
3. Doppelklicken Sie zum Anzeigen der DFS-Verknüpfungen auf Shared Apps.
Im Windows Explorer wird das Fenster Shared Apps auf Serverl angezeigt, in dem alle Verknüpfungen von Shared Apps enthalten sind.
Veröffentlichen von Ressourcen in Active Directory
Zu den im Verzeichnis veröffentlichten Objekten gehören z. B. Benutzer, Computer, Dmcker, Dateien, Ordner und Netzwerkdienste.
Benutzer- und Computerkonten werden dem Verzeichnis mit Hilfe der Konsole Active Directory-Benutzer und -Computer hinzugefügt. Informationen zu den Konten, die für andere Netzwerkbenutzer hilfreich sind, werden automatisch veröffentlicht. Andere Informationen, beispielsweise Sicherheitsinformationen zu Konten, werden nur für bestimmte Administratorengruppen bereitgestellt.
Windows 2000-Netzwerkdrucker werden bei der Installation automatisch im Verzeichnis veröffentlicht. Informationen zu Windows NT-Druckem und freigegebenen Ordnem können mit Hilfe der Konsole Active Directory-Benutzer und -Computer veröffentlicht werden.
Veröffentlichen von Netzwerkdiensten
Netzwerkfähige Dienste, beispielsweise Zertifikatsdienste, können im Verzeichnis veröffentlicht werden, sodass Administratoren diese mit Hilfe der Konsole Active Directory-Standorte und -Dienste finden und verwalten können. Durch das Veröffentlichen eines Dienstes anstelle von Computern oder Servern können Administratoren sich auf das Verwalten des Diensts konzentrieren.:
Sichern von Active Directory
Zu sichernde Daten
In der ersten Phase der Verwendung des Sicherungs-Assistenten zum Sichern von Active Directory müssen Sie angeben, das Sie nur Systemstatusdaten sichern möchten l
Planen von Active Directory-Sicherungsaufträgen
Windows 2000 integriert Windows Backup dafür mit dem Taskplanerdienst.
Wiederherstellen von Active Directory
Die Datenbank der Active Directory-Verzeichnisdienste, die Zertifikatsdienst-Datenbank und die COM+-Klassenregistrierungsdatenbank werden an diesem alternativen Standort nicht wiederhergestellt.
Anmerkung Nach einem Neustart des Computers im Modus Verzeichnisdienstwiederherstellung müssen Sie sich als Administrator mit einem gültigen Namen und Kennwort eines SAM-Kontos (Security Accounts Manager) und nicht mit dem Namen und Kennwort eines Active Directory-Administrators anmelden.
Durchführen einer autorisierenden Wiederherstellung
Eine autorisierende Wiederherstellung wird nach einer nicht autorisierenden Wiederherstellung durchgeführt.
So stellen Sie Active Directory mit Hilfe der autorisierenden Methode wieder her
1. Führen Sie eine nicht autorisierende Wiederherstellung wie im vorherigen Abschnitt beschrieben durch.
2. Neustart des Computers.
3. Driicken Sie während der Startphase, in der normalerweise das Betriebssystem ausgewählt wird, die Taste F8.
4. Wählen Sie im Menü Erweiterte Windows 2000-Startoptionen den Befehl Verzeichnisdienstwiederherstellung aus, und drücken Sie die EINGABETASTE. Dadurch wird sichergestellt, dass der Domänencontroller offline und nicht mit dem Netzwerk verbunden ist.
5. Wählen Sie Windows 2000 Server aus.
6. Melden Sie sich als Administrator an.
7. Klicken Sie in dem Desktopmeldungsfeld, das Sie auf den Betrieb von Windows im Abgesicherten Modus hinweist, auf OK.
8. Zeigen Sie auf Start, auf Programme, dann auf Zubehör und wählen Sie MS-DOS-Eingabeaufforderung aus.
9. Geben Sie an der Cursorposition ntdsutil ein, und drücken Sie die EINGABETASTE.
10. Geben Sie an der Eingabeaufforderung NTDSUTIL den Wert authoritative restore ein, und drücken Sie die EINGABETASTE.
11. An der Eingabeaufforderung authoritative restore:
● Geben Sie zur autorisierenden Wiederherstellung des gesamten Verzeichnisses restore Database ein, und drücken Sie die EINGABETASTE.
● Geben Sie zur autorisierenden Wiederherstellung eines Teils oder einer Teilstruktur (beispielsweise einer OU) den definierten Namen der OU, dann restore subtree <subtree distinguished name> ein, und drücken Sie dann die EINGABETASTE.
Sie benötigen beispielsweise folgenden Befehl, um die OU ‑Securityl" in der Domäne ‑microsoft.com" wiederherzustellen:
ntdsutil
authoritative restore
restore subtree OU=Secuntyl,DCMicrosoft.DC=COM
8 Zur autorisierenden Wiederherstellung des gesamten Verzeichnisses und zum Unterdrücken der Erhöhung der Versionsnummer, geben Sie restore database verinc <version increaso ein, und drücken Sie die EINGABETASTE.
● Zur autorisierenden Wiederherstellung einer Teilstmktur des Verzeichnisses und zum Unterdrücken der Erhöhung der Versionsnummer, geben Sie restore subtree <subtree distinguished name>\ennc <version increaso ein, und drücken Sie die EINGABETASTE.
Die autorisierende Wiederherstellung öffnet NTDS.DIT, erhöht die Versionsnummem, zählt die zu aktualisierenden Datensätze, prüft die Anzahl der aktualisierten Datensätze und zeigt die Fertigstellung an. Wird kein Wert für die Erhöhung der Versionsnummer angegeben, wird dieser automatisch berechnet.
12. Geben Sie quit ein, und drücken Sie die EINGABETASTE, um das Dienstprogramm NTDSUTIL zu beenden. Schließen Sie dann das Fenster für die Eingabeauffordemng.
13. Starten Sie den Domänencontroller im normalen Modus neu, und verbinden Sie den wiederhergestellten Domänencontroller mit dem Netzwerk.
Die als autorisierend markierten gelöschten Objekte werden vom wiederhergestellten Domänencontroller in den zusätzlichen Domänencontrollern repliziert. Da die wiederhergestellten Objekte dieselbe Objekt-GUID und -SID aufweisen, bleiben die Sicherheit und die Objektabhängigkeiten erhalten.
Zusätzliche Aufgaben für die autorisierende Wiederherstellung der gesamten Active Directory-Datenbank
Wenn Sie die gesamte Active Directory-Datenbank mit der autorisierenden Methode wiederherstellen, müssen Sie mit dem SYSVOL-Verzeichnis eine zusätzliche Prozedur durchführen. Dies ist notwendig, um die Integrität der Gruppenrichtlinie des Computers sicherzustellen. Um sicherzustellen, dass die richtigen Elemente mit der autorisierenden Methode wiederhergestellt werden, müssen Sie außerdem:
● Das SYSVOL-Verzeichnis an einem anderen Speicherort über das vorhandene Verzeichnis kopieren, nachdem die Freigabe SYSVOL veröffentlicht wurde.
Wenn Sie einen Teil der Active Directory-Datenbank (einschließlich den Richtlinienobjekten) mit der autorisierenden Methode wiederherstellen, müssen Sie mit dem SYSVOL-Verzeichnis eine zusätzliche Prozedur durchführen. Um sicherzustellen, dass die richtigen Elemente mit der autorisierenden Methode wiederhergestellt werden, müssen Sie außerdem:
● Kopieren Sie nur die Richtlinienordner (gekennzeichnet durch die GUID), die den wiederhergestellten Richtlinienobjekten des alternativen Speicherorts entsprechen, nachdem die Freigabe SYSVOL veröffentlicht wurde. Kopieren Sie diese dann über die bereits vorhandenen.
Bei der autorisierenden Wiederherstellung der gesamten Active Directory-Datenbank oder von ausgewählten Objekten ist es wichtig, dass Sie die SYSVOL- und Richtliniendaten des alternativen Standorts kopieren, nachdem die Freigabe SYSVOL veröffentlicht wurde.:
Planen der Implementierung von Gruppenrichtlinien
Einzelner Richtlinientyp
Enthält GPOs, die einen einzigen Typ an Gruppenrichtlinieneinstellungen bereitstellen (beispielsweise ein GPO, das nur Sicherheitseinstellungen enthält).
Dieses Modell eignet sich sehr gut für Unternehmen, in denen Verwaltungsaufgaben auf verschiedene Einzelpersonen verteilt werden.
Multipler Richtlinientyp
Enthält GPOs, die mehrere Typen an Gmppennchtlinieneinstellungen bereitstellen (beispielsweise ein GPO, das sowohl Softwareeinstellungen als auch Anwendungsverteilung enthält oder ein GPO mit Sicherheits- und Skripteinstellungen).
Dieses Modell eignet sich sehr gut für Unternehmen, in denen die Verwaltungsaufgaben zentralisiert sind und ein Administrator viele oder alle Typen der Gruppenrichtlinienverwaltung durchführen muss.
Dedizierter Richtlinientyp
Beinhaltet GPOs, die den Gruppenrichtlinien entweder zur Computerkonfiguration oder zur Benutzerkonfiguration zur Verfügung stehen.
Bei diesem Ansatz sollen alle Gruppenrichtlinieneinstellungen in Bezug auf die Benutzerkonfiguration in einem GPO und alle Gruppenrichtlinieneinstellungen in Bezug auf die Computerkonfiguration in einem separaten GPO zusammengefasst werden. Bei diesem Modell wird die Anzahl an GPOs, die bei der Anmeldung verarbeitet werden müssen, gesteigert. Die Anmeldezeit wird gesteigert, jedoch kann dieses Modell bei der Fehlerbehebung nützlich sein. Wird beispielsweise von einem Problem in der Computerkonfigurationsrichtlinie ausgegangen, kann sich ein Administrator als Benutzer anmelden, dem keine Benutzerkonfigurationsrichtlinie zugewiesen wurde. Auf diese Weise kann die Benutzerrichtlinie als Ursache ausgeschlossen werden.
GPO-lmplementierungsstrategien
Dezentralisierte GPO-Entwürfe
Bei einem dezentralisierten GPO-Ansatz (siehe Abbildung 12.7) soll eine bestimmte Richtlinieneinstellung in der minimalen Anzahl an GPOs enthalten sein. Ist eine Änderung nötig, muss nur eine (oder wenige) GPO geändert werden, um die Anderung wirksam zu machen. Die Verwaltung wird auf Kosten einer längeren Anmeldezeit (aufgrund mehrerer GPO-Verarbeitungen) vereinfacht.
Erstellen Sie hierzu ein Basis-GPO, das auf die Domäne angewendet wird, die die Richtlinieneinstellungen für ebenso viele Benutzer und Computer in der Domäne enthält. Das Basis-GPO könnte beispielsweise unternehmens- oder gruppenweite Sicherheitseinstellungen wie Konto- und Kennworteinschränkungen enthalten.
Erstellen Sie dann zusätzliche GPOs, die auf die allgemeinen Anforderungen jeder Unternehmensgruppe (beispielsweise Technik, Vertrieb, Marketing, Vorstand und Verwaltungsassistenten) zugeschnitten sind und wenden Sie diese auf die entsprechenden OUs an.
Dieses Modell eignet sich sehr gut für Umgebungen, in denen verschiedene Gruppen eines Unternehmens gemeinsame Sicherheitsinteressen haben und in denen häufig Änderungen an den Gruppenrichtlinien vorgenommen werden.
Zentralisierte GPO-Entwürfe
Bei einem zentralisierten GPO-Ansatz (siehe Abbildung 12.7) sollen möglichst wenig GPOs (im Idealfall nur eins) für bestimmte Benutzer oder Computer verwendet werden. Alle Richtlinieneinstellungen, die für einen bestimmten Standort, eine Domäne oder eine OU erforderlich sind, sollten in einem einzelnen GPO implementiert sein. Enthält der Standort, die Domäne oder die OU Gruppen an Benutzem oder Computem mit unterschiedlichen Richtlinienanforderungen, können Sie den Container in OUs aufteilen und jeder OU (anstelle der übergeordneten Einheit) andere GPOs zuweisen.
Eine Änderung im zentralisierten Entwurf erfordert einen höheren Verwaltungsaufwand als der dezentralisierte Ansatz, da die Einstellungen ggf. in mehreren GPOs geändert werden müssen. Dafür ist die Anmeldzeit kürzer.
Dieses Modell eignet sich sehr gut für Umgebungen, in denen Benutzer und Computer zur Richtlinienzuweisung in wenige Gruppen zusammengefasst werden können.
Funktionale Rollen und Teamentwurf
Entwurf für funktionale Rollen
Erstellen Sie dazu ein GPO für jede OU.
Teamentwurf
Bei diesemAnsatz (siehe Abbildung 12.8) sollen Gruppen als Filtermechanismus beim Anwenden von Gruppenrichtlinien in einem Unternehmen verwendet werden,
Dieses Modell eignet sich sehr gut für Unternehmen, die eine effektive und flexible Methode zum Verwalten von Gruppenrichtlinien in einer dynamischen Umgebung benötigen, die die Teamstruktur nicht widerspiegelt.
Implementieren von ‑Softwareinstallationen
Folgende Aufgaben müssen zum Implementieren der Softwareinstallation durchgeführt werden:
1. Planen und Vorbereiten der Softwareinstallation
2. Einrichten eines Verteilungspunktes für die Software
3. Angeben der Installationsstandards für die Software
4. BereitsteUen der Softwareanwendungen
5. Einstellen der automatischen Installationsoptionen
6. Einrichten von Anwendungskategorien
7. Einrichten der Anwendungseigenschaften
8. Verwalten von Softwareanwendungen
Einrichten eines SDP
So richten Sie einen Verteilungspunkt für die Software ein
1. Erstellen Sie Ordner für die Software auf dem Dateiserver, der Softwareverteilungspunkt wird, und geben Sie die Ordner im Netzwerk frei. Beispiel: \\server\share
2. Replizieren Sie die Software auf die SDPs, indem Sie die Software, Pakete, Änderungen, alle nötigen Dateien und Komponenten für eine Distributionsfreigabe dort platzieren oder an die Stelle kopieren. Platzieren Sie die Software (das Paket und alle zugehörigen Installationsdateien) in einem separaten Ordner im SDP.
3. Legen Sie die entsprechenden Berechtigungen für die Ordner fest, sodass nur Administratoren die Dateien ändem können (Lese- und Schreibzugriff) und die Benutzer die Dateien in den SDP-Ordnem und -Freigaben nur lesen können. Verwenden Sie Gruppenrichtlinien, um die Software innerhalb des entsprechenden GPO zu verwalten.
So geben Sie die Installationsstandards für die Software an
1. Öffnen Sie das Snap-ln Gruppenrichtlinien. Öffnen Sie dann in Computerkonfiguration oder Benutzerkonfiguration die Option Softwareeinstellungen.
2. Klicken Sie mit der rechten Maustaste auf den Knoten Softwareinstallation, und klicken Sie dann auf Eigenschaften.
Benutzerrechte
Benutzerrechte unterscheiden sich von Berechtigungen, da Benutzerrechte für Benutzerkonten gelten und Berechtigungen mit Objekten verknüpft sind.
Rechte
Rechte ermöglichen Benutzeraktionen im Netzwerk.
Recht
Hinzufügen von Arbeitsstationen zur Domäne
Sichem von Dateien und Verzeichnissen
Ändern der Systemzeit
Erstellen einer Auslagerungsdatei
Debuggen von Programmen
Erzwingen des Herunterfahrens von einem Remotesystem aus
Generieren von Sicherheitsüberwachungen
Herunterfahren des Systems
Ubernehmen des Besitzes von Dateien oder Obiekten
Anmelderechte
Auf diesen Computer vom Netzwerk aus zugreifen
Lokale Anmeldung verweigem
Lokal anmelden
Anmeldung als Batch- \ auftrag verweigen
Verwenden von Sicherheitsvorlagen
Es stehen folgende vordefinierte Sicherheitsvorlagen zur Verfügung:
Standardmäßige Sicherheitseinstellungen für Domänencontroller
Standardmäßige Sicherheitseinstellungen für Server (
Standardmäßige Sicherheitseinstellungen für Arbeitsstationen
Kompatible Sicherheitseinstellungen für Arbeitsstationen oder Server
Standardmäßige Sicherheitseinstellungen, die für Domänencontroller aktualisiert wurden
Sicherheitseinstellungen auf einer hohen Sicherheitsstufe für Domänencontroller
Sicherheitseinstellungen auf einer hohen Sicherheitsstufe für Arbeitsstationen oder Server
Entfemt die Benutzer-SID des Terminalservers vom Windows 2000-Server
Optionale Komponentendateisicherheit für Server
Optionale Komponentendateisicherheit für Arbeitsstationen
Sichere Sicherheitseinstellungen für Domänencontroller
Sichere Sicherheitseinstellungen für Arbeitsstationen oder Server
[SETUP SECURITY.INF)
Voreingestellte standardmäßige Sicherheitseinstellungen
Standardmäßig werden diese Vorlagen im Ordner yrfemroo^\Security\Templatesgespeichert.
So greifen Sie aufdie Konsole für die Sicherheitsvorlagen zu
1. Bestimmen Sie, ob Sie die Konsole für Sicherheitsvorlagen einer vorhandenen Konsole hinzufügen oder eine neue Konsole erstellen möchten.
1a. KIicken Sie zum Erstellen einer neuen Konsole auf Start, dann auf Ausführen, geben Sie mmc ein, und klicken Sie auf OK.
1b Zum Hinzufügen der Konsole für Sicherheitsvorlagen zu einer vorhandenen Konsole müssen Sie die Konsole öffnen und dann mit Schritt 2 fortfahren.
2. Klicken Sie im Menü Konsole auf Snap-In hinzufügen/entfernen. Klicken Sie auf Hinzufügen.
3. Klicken Sie im Dialogfeld Eigenständiges Snap-In hinzufügen auf Sicherheitsvorlagen und dann auf Hinzufügen. Klicken Sie dann aufSchließen und OK.
4. Klicken Sie im Menü Konsole auf Speichern.
5. Geben Sie einen Namen für diese Konsole ein, und klicken Sie auf Speichern.
Die Konsole wird im Menü Verwaltung angezeigt.
So exportieren Sie Sicherheitseinstellungen in eine Sicherheitsvorlage
1. Klicken Sie auf Start, zeigen Sie auf Programme und Verwaltung, und klicken Sie anschließend auf Lokale Sicherheitsrichtlinie.
2. Klicken Sie in der Konsolenstruktur mit der rechten Maustaste auf Sicherheitseinstellungen, klicken Sie dann auf Richtlinie exportieren, und wählen Sie Lokale Richtlinie oder Effektive Richtlinie aus.
3. Geben Sie im Dialogfeld Richtlinie exportieren nach (siehe Abbildung 13.15) den Namen der Sicherheitsvorlage ein, in die Sie die Sicherheitseinstellungen exportieren möchten, und klicken Sie aufSpeichern.
Sicherheitsanalvse
\dministratoren können somit Sicherheitsstufen anpassen und, was noch viel wichtiger ist, Sicherheitsrisiken erkennen, die nach bestimmten Zeiträumen im System auftreten können.
Verwenden der Sicherheitskonfiguration und -analyse
1. Zugreifen auf die Konsole für die Sicherheitskonfiguration und -analyse
2. Einrichten einer Arbeitssicherheitsdatenbank
3. Importieren einer Sicherheitsvorlage in eine Sicherheitsdatenbank
4. Analysieren der Systemsicherheit
5. Anzeigen der Ergebnisse der Sicherheitsanalyse
6. Konfigurieren der Systemsicherheit
7. Exportieren von Einstellungen in der Sicherheitsdatenbank in eine
Sicherheitsvorlage
So richten Sie eine Arbeitssicherheitsdatenbank ein
1. Klicken Sie in der Konsole für die Sicherheitskonfiguration und -analyse (siemit der rechten Maustaste auf Sicherheitskonfiguration und -analyse.
2. Klicken Sie auf Datenbank öffnen.
3. Wählen Sie im Dialogfeld Datenbank öffnen eine vorhandene eigene Datenbank aus, oder geben Sie einen Dateinamen zum Erstellen einer neuen eigenen Datenbank ein. Klicken Sie dann auf Öffnen.
So analysieren Sie die Systemsicherheit
1. Richten Sie in der Konsole für die Sicherheitskonfiguration und -analyse eine Arbeitsdatenbank ein (falls gegenwärtig keine eingerichtet ist).
2. Klicken Sie mit der rechten Maustaste auf Sicherheitskonfiguration und -analyse, und klicken Sie dann auf Computer jetzt analysieren.
3. Überprüfen Sie im Dialogfeld Analyse durchführen den Pfad für den Standort der Protokolldatei. Klicken Sie dann aufOK.
So zeigen Sie die Ergebnisse der Sicherheitskonfiguration an
1. Doppelklicken Sie in der Konsole, in der Sie die Gruppenrichtlinien verwalten, auf das GPO.
2. Klicken Sie in der Konsolenstruktur auf Sicherheitseinstellungen.
3. Doppelklicken Sie aufeinen Knoten für Sicherheitsrichtlinien (beispielsweise Richtlinien für Konten). Klicken Sie dann aufeinen Sicherheitsbereich (beispielsweise Kennwortrichtlinie).
4. Doppelklicken Sie auf das Sicherheitsattribut, das Sie anzeigen möchten (beispielsweise Minimale Kennwortlänge).
ActiveDirectory-Leistungsüberwachungstools
Die Ereignisanzeigenkonsole
Wenn Sie beispielsweise detaillierte Informationen zum Zeitpunkt der Replikation von Verzeichnispartitionen benötigen, können Sie mit Hilfe der Ereignisanzeige das Protokoll des Dateireplikationsdienstes einsehen.
Definieren von Überwachungsdaten
Seim Überwachen von Active Directory verfolgen Sie die Aktivität des Leistungsobjekts NTDS (NT Directory Service). Wenn Sie den Systemmonitor verwenden, können Sie die Aktivität von Leistungsobjekten mit Hilfe von Leistungsindikatoren verfolgen.
Die Leistungsindikatoren des NTDS-Leistungsobjekts
Wichtige Leistungsindikatoren des Active Directory-Systemmonitors im Leistungsobjekt ‑NTDS"
So überwachen Sie die Active Directory-Leistungsindikatoren
1. Klicken Sie auf Start, zeigen Sie auf Programme und Verwaltung, und klicken Sie anschließend auf Leistung.
2. Klicken Sie mit der rechten Maustaste auf den Detailbereich des Systemmonitors, und wählen Sie Leistungsindikatoren hinzufügen.
4. Wählen Sie aus der Liste Leistungsobjekt das Leistungsobjekt NTDS.
Active Directory-Supporttools
LDP.EXE: Active Directory Administration Tool
Administratoren können das Verwaltungsprogramm beim Beheben von Fehlern verwenden, um Objekte anzuzeigen, die in Active Directory mit den zugehörigen Metadaten gespeichert sind, beispielsweise Sicherheitsbeschreibungen und Replikationsmetadaten.
REPLMON.EXE: Active Directory Replication Monitor
Mit dem Active Directory Replication können Administratoren den Low-LevelStatus der Active Directory-Replikation anzeigen, Domänencontroller synchronisieren, die Topologie als Grafik anzeigen und Status und Leistung der Replikation der Domänencontroller über eine grafische Schnittstelle überwachen. Der Active Directory-Replikationsmonitor ist ein grafisches Tool, dass sich im Menü Extras unter Windows 2000-Supporttools befindet.
Eigenschaften des Active Directory Replication Monitor
Grafische Anzeige:
Der Replikationsmonitor zeigt an, ob es sich bei dem überwachten Server um einen globalen Katalogserver handelt, erkennt automatisch die Verzeichnispartitionen des überwachten Servers,
Der Replikationsmonitor unterscheidet zwischen direkten Replikationspartnern, transitiven Replikationspartnern, Bridgeheadservern und Servern, die in der Benutzeroberfläche vom Netzwerk entfernt wurden.
Replikationsstatusverlauf:
Der Verlauf des Replikationsstatus wird pro Verzeichnispartition und pro Replikationspartner aufgezeichnet, wobei ein detaillierter Uberblick darüber erstellt wird, was zwischen den beiden Domänencontrollern geschieht.
Eigenschaftsseiten:
der Name des Domänencontrollers, die globale, eindeutige Kennung (GUID), die Verzeichnispartition, die für den überwachten Server repliziert wird, der verwendete Transport (Remote Procedure Call RPC oder Simple Mail Transfer Protocol SMTP, Unterscheidung von Inter- und Intrasite bei RPC), Zeitpunkt der letzten erfolgreichen und der letzten versuchten Replikation, USN-Werte (Update Sequence Number) sowie alle für die zwei Server spezifischen Eigenschaften.
Statusberichtgenerierung:
Administratoren können einen Statusbericht für den überwachten Server i generieren:
Dies kann bei der Behebung von Active Directory-Replikationsproblemen äußerst hilfreich sein.
Server-Assistent:
Mit dem Server-Assistenten können Administratoren den zu überwachenden Server suchen oder direkt eingeben.
Grafische Standorttopologie:
Eigenschaftenanzeige:
Administratoren können die Eigenschaften des überwachten Servers anzeigen. Dazu gehören der Servemame, der DNS-Hostname des Computers, der Standort des Computerkontos in Active Directory, der bevorzugte Bridgeheadstatus, spezielle Serverflags (z. B. ob es sich um den PDC-Emulator [Primary Domain Controller] der Domäne handelt), welche Computer die FSMO-Funktionen betreuen, die Replikationsverbindungen
Statistiken und Replikationsstatusabfrage:
Replikationsauslösung:
KCC-Auslösung:
Administratoren können KCC am überwachten Server auslösen, um die Replikationstopologie neu zu berechnen.
1 Nichtreplizierte Änderungen anzeigen:
REPADMIN.EXE: Replication Diagnostics Tool
REPADMIN.EXE ist ein Befehlszeilentool, das den Administrator bei der Diagnose von Replikationsproblemen zwischen Windows 2000-Domänencontrollern unterstützt.
REPADMIN.EXE erlaubt den Administratoren, die Replikationstopologie aus der Perspektive der einzelnen Domänencontroller anzuzeigen.
DSASTAT.EXE: Active Directory Diagnostic Tool
DSASTAT.EXE ist ein Befehlszeilentool, das Unterschiede zwischen Namenskontexten oder Domänencontrollern ermittelt.
DSASTAT.EXE kann verwendet werden, um zwei Verzeichnisstrukturen über Replikationen hinweg innerhalb derselben Domäne oder bei globalen Katalogen zwischen verschiedenen Domänen zu vergleichen.
DSASTAT.EXE legt fest, ob Domänencontroller in einer Domäne ein konsistentes und korrektes Bild ihrer eigenen Domäne haben.
Bei globalen Katalogen überprüft DSASTAT.EXE, ob der globale Katalog ein konsistentes Bild mit anderen Domänencontrollern in anderen Domänen hat.
iVie auch die anderen Uberwachungstools REPADMIN.EXE und REPLMON.EXE kann DSASTAT.EXE dazu verwendet werden, sicherzustellen, dass die Domänencontroller stets auf dem aktuellen Stand sind.
SDCHECK.EXE: Security Descriptor Check Utility
SDCHECK.EXE ist ein Befehlszeilentool, das die Sicherheitsbeschreibungen für alle Objekte anzeigt, die in Active Directory gespeichert sind. Die Sicherheitsbeschreibung enthält die ACLs, die die Benutzerrechte für Objekte definieren, die in Active Directory gespeichert sind.
Damit Administratoren in der Lage sind, eine effektive Zugriffskontrolle für Objekte zu ermöglichen, zeigt SDCHECK.EXE die Objekthierarchie und alle ACLs an, die vom übergeordneten Objekt an das Objekt vererbt wurden.
Wie auch die anderen Überwachungstools REPADMIN.EXE und REPLMON.EXE kann SDCHECK.EXE dazu verwendet werden, sicherzustellen, dass die Domänencontroller stets auf dem aktuellen Stand sind.
NLTEST.EXE
NLTEST.EXE ist ein Befehlszeilentool, das die Durchführung von Netzwerkverwaltungsaufgaben unterstützt. Dazu gehören beispielsweise:
● Testen von Vertrauensstellungen und dem Zustand einer DomänencontrollerReplikation in einer Windows-Domäne
● Abfragen und Überprüfen des Vertrauensstatus
● Erzwungenes Herunterfahren
● Erstellen einer PDC-Liste
● Erzwingen einer Synchronisierung einer Benutzerkontendatenbank auf Microsoft Windows NT 4.0-Domänencontrollem (oder früher).
NLTEST.EXE kann nur auf x86-Computem ausgeführt werden.
ACLDIAG.EXE: ACL Diagnostics
ACLDIAG.EXE ist ein Befehlszeilentool, das bei der Diagnose und Behebung von Problemen mit Berechtigungen auf Active Directory-Objekte hilft.
Das Tool stellt außerdem einige einfache Säuberungsfunktionen zur Verfügung.
ACLDIAG.EXE bietet folgende Möglichkeiten:
● Vergleichen der ACL auf einem Verzeichnisdienstobjekt mit den Berechtigungen, die im Standardschema definiert wurden.
DSACLS.EXE
DSACLS.EXE ist ein Befehlszeilentool, das die Verwaltung von ACLs für Verzeichnisdienste erleichert. DSACLS.EXE erlaubt die Abfrage und Bearbeitung von Sicherheitsattributen für Active Directory-Objekte. Es ist die Befehlszeilenversion der Seite Sicherheit in vielen Snap-In-Tools von Active Directory.
Benutzer von geöffneten Dateien trennen
Durch folgende Schritte können Sie veranlassen, dass diese Änderungen sofort in Kraft treten:
Einsatz von Windows 2000 mit RIS
Überblick über RIS
Zur Remoteinstallation von Betriebssystemen sind folgende Dienste erforderlich: Active Directory, ein aktualisiertes DHCP (Dynamic Host Configuration Protocol) und eine kompatible Version von DNS.
Serverkomponenten des Remoteinstallationsdienstes
Bei der Installation von RIS werden diese zusätzlichen Dienste zum Server hinzugefügt:
● BINL (Boot Information Negotiation Layer): Der BINL-Dienst wird während der Installation von RIS hinzugefügt und dient der allgemeinen Verwaltung der RIS-Umgebung.
Der BINL-Dienst beantwortet Netzwerkdienstanforderungen von Clientcomputem, sendet für den Clientcomputer Anforderungen an Active Directory und stellt sicher, dass während der Installation des Betriebssystems die korrekten Richtlinien und Konfigurationseinstellungen für den Clientcomputer verwendet werden. Der BINL-Dienst überprüft, ob die richtigen Dateien an den Client übergeben werden und stellt sicher, dass vorbereitete Clients vom richtigen RIS-Server bedient werden. Wurde der Clientcomputer nicht vorbereitet, erstellt BINL das Kontoobjekt des Clientcomputers in Active Directory.
● TFTPD (Trivial File Transfer Protocol Daemon): Dieser TFTP-Serverdienst dient als Host für Clientanforderungen zum Download bestimmter Dateien. Der TFTPD-Dienst wird zum Download von CIW (Client Installation Wizard, Clientinstallations-Assistent) und aller Clientdialogfelder im CIW für eine bestimmte Sitzung verwendet.
● SIS (Single Instance Store): Der SIS-Dienst ist verantwortlich für die Ver
nngerung der Speicherplatzanforderungen von Datenträgern, die zum Speichern von RIS-Installationsabbildem dienen. Wenn Sie RIS als optionale Komponente installieren, werden Sie aufgefordert, ein Laufwerk.und einVerzeichnis anzugeben, in das RIS installiert werden soll. Dieses Verzeichnis ist der RIS-Datenträger. Der SIS-Dienst verbindet sich mit dem RIS-Datenträger und sucht nach doppelten Dateien, die sich auf diesen Datenträger befinden. Werden doppelte Dateien gefunden, erstellt SIS eine Verknüpfung mit diesen Dateien und verringert so den benötigten Speicherplatz.
Clientkomponenten des Remoteinstallationsdienstes
Es werden zwei Typen von entfemten bootfähigen Clientcomputem unterschieden:
● Computer mit PXE (Pre-Boot eXecution Environment) DHCP-basierten Remoteboot-ROMS.
● Computer mit Netzwerkkarten, die von der RIS-Startdiskette unterstützt werden.
PXE-basierte Remoteboottechnologie
RIS nutzt die neue PXE DHCP-basierte Remoteboottechnologie, um die Installation eines Betriebssystems von einer Remotequelle auf die Festplatte eines CIients zu initialisieren.
Die entfernte Quelle, ein Server mit RIS-Unterstützung, ist als Netzwerkinstallation zu vergleichen mit einer CD-basierten Installation von Windows 2000 Professional oder der Installation eines vorkonfigurierten RIPrep-Desktopabbilds (Remote Installation Preperation, Vorbereitung der Remoteinstallation).:
CD-basierte Installation:
Die Option zur CD-basierten Installation ist vergleichbar mit der Einrichtung einer Arbeitsstation direkt von der Windows 2000 Professional CD-ROM. Die Quelldateien sind jedoch im ganzen Netzwerk auf verfügbaren RIS-Servem verteilt.
RIPrep-Abbilder:
Die Option zur Erstellung von RIPrep-Abbildem ermöglicht dem Netzwerkadministrator das Duplizieren einer kompletten Standarddesktopkonfiguration mit Betriebssystemkonfiguration, Desktopanpassungen und lokal installierten Anwendungen. Nachdem Windows 2000 Professional einschließlich der Dienste und der Standardanwendungen zum ersten Mal auf einem Computer installiert wurde, führt der Netzwerkadministrator einen Assistenten aus, der das Installationsabbild vorbereitet und es auf einem verfügbaren RIS-Server im Netz repliziert, um es zur Installation auf anderen Clients bereitzustellen.
Sobald die Abbilder auf einem oder mehreren RIS-Servem verfügbar sind, können Benutzer eines PXE-basierten remotebootfähigen Clientcomputers die Installation dieserAbbilder vonjedem verfügbaren RIS-Server im Netzt abrufen. Der Benutzer ist also in der Lage, das Betriebssystem ohne Hilfe des Administrators zu installieren. Dies spart Zeit und Kosten.
Funktionsweise der PXE-basierten Remoteboottechnologie
Mit PXE sind Unternehmen in der Lage, ihre gewohnte TCP/IP-Netzwerkinfrasturktur mit DHCP zu nutzen, um RIS-Server im Netz ausfindig zu machen. Net PC/PC98-kompatible Systeme können die Remoteboottechnologie in Windows 2000 nutzen.
Die RIS-Startdiskette
Computer, die nicht über eine PXE-basierte Remoteboot-ROM verfügen, erhalten mit Windows 2000 ein Tool, mit dem eine Remotestartdiskette für die Verwendung mit RIS erstellt werden kann. Die RIS-Remotestartdiskette kann mit einer Vielzahl von PCI-basierten Netzwerkkarten eingesetzt werden. Die Verwendung einer RIS-Startdiskette verhindert, dass bestehende Clientcomputer mit neuen Netzwerkkarten ausgestattet werden müssen, die eine PXE-basierte Remoteboot-ROM enthalten, um die Vorteile der Remoteinstallationsfunktion zu nutzen. Die RIS-Remotebootdiskette simuliert die PXE-Remotebootsequenz und unterstützt alle häufig genutzten Netzwerkkarten.
Funktionsweise der Remoteinstallation von Betriebssystemen
Der Prozess für PXE-Remoteboot-ROMs ist identisch mit dem für RIS-Startdisketten.
Prozess zur Remoteinstallation von Betriebssystemen
1. Ein mit dem Netzwerk verbundener RIS-Client wird gestartet, und beim Hochfahren initiiert der Computer eine Netzwerkdienstanforderung. Als Teil der Netzwerkdienstanforderung wird ein DHCP-Erkennungspaket an das Netzwerk gesendet, das eine IP-Adresse vom nächsten DHCP-Server anfordert, die IP-Adresse eines verfügbaren RIS-Servers. Als Teil dieser Abfrage sendet der Client seinen GUID (Globally Unique Identifier). Der GUID ist Bestandteil von PC98- oder Net PC-kompatiblen Clientcomputern und befindet sich im BIOS (Basic Input^Output System) des Computers. Der DHCP- ^ Server beantwortet die Anforderung, indem er dem Client eine IP-Adresse zur Verfügung stellt. Jeder im Netz verfügbare RIS-Server kann seine IP-Adresse und den Namen einer Bootdatei zur Verfügung stellen, die der Client abfragen soll, wenn er einen Dienst von diesem RIS-Server anfordert. Der Benutzer wird aufgefordert, die Taste F12 zu drücken, um den Dienst dieses RIS-Servers zu initiieren.
2. Der RIS-Server verwendet den BINL-Dienst und muss in Active Directory überprüfen, ob ein vorbereitetes Clientcomputerkonto besteht, der mit diesem Clientcomputer übereinstimmt. BINL überprüft die Existenz eines Clientcomputers, indem in Active Directory abgefragt wird, ob ein Clientcomputer existiert, der mit dem GUID aus Schritt 1 übereinstimmt.
3. Sobald der RIS-Server die Existenz eines Clientcomputerkontos überprüft hat, wird der CIW auf den Clientcomputer heruntergeladen. Der Benutzer wird aufgefordert, sich beim Netzwerk anzumelden.
4. Sobald der Benutzer angemeldet wird, sucht der RIS-Server in Active Directory nach einem entsprechenden Benutzerkonto und überprüft das Kennwort. RIS überprüft daraufhin die RIS-spezifischen Gruppenrichtlinien, um die Installationsoptionen zu ennitteln, auf die dieser Benutzer Zugriff hat. RIS überprüft außerdem, welche Betriebssystemabbilder diesem Benutzer angeboten werden sollen. Der CIW (client installations wizard) stellt dem Client diese Optionen zur Verfügung (siehe Abbildung 15.4).
5. Wenn dem Benutzer nur eine einzige Installationsoption und ein Betriebssystemabbild zur Verfügung stehen, wird er nicht zur Auswahl aufgefordert. Stehen dem Benutzer mehrere Installationsoptionen und Betriebssystemabbilder zur Installation zur Verfügung, wird eine Auswahlliste eingeblendet. Der CIW wamt den Benutzer, dass während der Installation die Festplatte neu formatiert wird und zuvor gespeicherte Informationen gelöscht werden. Anschließend fordert er zum Start der Remoteinstallation auf.
Anmerkung Informationen zum Konfigurieren der Optionen in CIW finden Sie in Lektion 2, ‑Implementieren von RIS".
6. Sobald der Benutzer die Installationseinstellungen auf dem Zusammenfassungsbildschirm bestätigt hat, beginnt die Installation des Betriebssystems. Wurde in Active Directory kein Clientcomputerkonto gefunden, erstellt der BINL-Dienst ihn an dieser Stelle und stellt somit automatisch einen Namen für den Computer zur Verfügung. Das Betriebssystem wird lokal und als unbeaufsichtigte Installation implementiert, dem Benutzer werden also während der Installation keine Auswahlmöglichkeiten geboten.
Wichtig
Bei der Vergabe von Benutzer- oder Domänennamen sollten erweiterte Zeichen nur unter Vorbehalt verwendet werden, das sie mit RIS nicht kompatibel sind.
Der Administrator kann den Benutzer durch eine erfolgreiche Installation führen, indem er die Installationsoptionen, auf die der Benutzer Zugriff hat, bereits im Vorfeld festlegt. Der Administrator kann also die Betriebssystemabbilder beschränken, auf die der Benutzer Zugriff hat, und so sicherstellen, dass dem Benutzer der richtige Installationstyp für eine erfolgreiche Installation angeboten wird.
Anforderungen an RIS-Server und -Clients
Serverhardwareanforderungen:
● Pentium oder Pentium II 166 MHz-Prozessor (Pentium 200 MHz oder höher empfohlen)
● 64 Megabytes (MB) RAM-Speicher (96 bis 128 MB, wenn zusätzliche Dienste installiert werden, z. B. Active Directory, DHCP und DNS)
● Mindestens 2 GB (Gigabyte) Festplattenspeicher oder Partitionsgröße für das RIS-Verzeichnis. RIS benötigt umfangreichen Speicherplatz.
● Netzwerkkarte mit mindestens 10 mbps (Megabits pro Sekunde), vorzugsweise lOOmbps
Wichtig Für die Installation von RIS wird eine von der Systembootpartition getrennte Partition benötigt. RIS kann nicht auf demselben Laufwerk wie der " Systemdatenträger installiert werden. Der Datenträger, auf dem RIS installiert wird, muss mit dem Windows NT-Dateisystem (NT File System, NTFS) formatiert sein.
Serversoftwareanforderungen
Die folgenden Dienste können entweder auf separaten Servern oder auf einem Server installiert werden und müssen aktiv und verfügbar sein:
● DNS
● DHCP
● Active Directory
Clienthardwareanforderungen
● Net PC-Clientcomputer mit Pentium 166 MHz oder schneller
● Mindestens 32 MB RAM (64 MB empfohlen)
● 800 MB Festplattenspeicher
● PCI Plug & Play Netzwerkkarte
● Optional: PXE-basierte Remoteboot-ROM, Version .99c oder höher
Netzwerkkarten, die von der RIS-Startdiskette unterstützt werden
Sie können auch in der Befehlszeile das Dienstprogramm RBFG ausführen und die Netzwerkkartenliste wählen, um die unterstützten Netzwerkkarten aufzulisten.
3Com-Netzwerkkarten:
● 3C900 (Combo und TPO)
● 3C900B (Combo, FL, TPC, TPO)
● 3C905(T4undTX)
● 3C905B (Combo, TX, FX)
● 3C905C(TX)
AMD-Netzwerkkarten:
● AMD PCNet und Fast PCNet
Compaq-Netzwerkkarten:
● Netflex 100 (Netlntelligent II)
● Netflex 110 (Netlntelligent III)
● NetflexS
Digital Equipment Corp (DEC)-Netzwerkkarten:
● DE450
● DE500
Hewlett Packard-Netzwerkkarten:
● HPDeskdirect 10/100 T?
Intel Corporation-Netzwerkkarten:
● IntelProlO+
● IntelProlOO+
● Intel Pro 100B (einschließlich E100 Series)
SMC-Netzwerkkarten:
● SMC8432
● SMC9332
● SMC9432
Anmerkung Der RIS-Startdiskettengenerator unterstützt ausschließlich PCI-basierte Netzwerkkarten. ISA- (Industry Standard Architecture), EISA- (Extended Industry Standard Architecture)- und Token Ring-Karten werden nicht unterstützt!
Implementieren von RIS
Einrichten von RIS
Hinzufügen der RIS-Komponente
Das Einrichten von RIS beginnt mit dem Hinzufügen von RIS als optionaler Komponente.
So fügen Sie die RIS-Komponente hinzu
Klicken Sie auf Start, zeigen Sie auf EinsteIIungen, klicken Sie auf Systemsteuerung, und doppelklicken Sie auf Software. Klicken Sie anschließend auf Windows-Komponenten hinzufügen/entfernen.
2. Aktivieren Sie im Dialogfeld Assistent für Windows-Komponenten (Abbildung 15.5) das Kontrollkästchen Remoteinstallationsdienste, und klicken Sie anschließend auf Weiter.
3. Legen Sie die CD-ROM von Windows 2000 Server ein.
Installieren von RIS
Einrichten von RIS wird fortgesetzt mit der Installation von RIS. Dabei wird RIS auf dem Server installiert.
So installieren Sie RIS
1. Klicken Sie auf Start, zeigen Sie auf Programme und Verwaltung, und klicken Sie anschließend auf Server konfigurieren.
2. Klicken Sie im Dialogfeld Server konfigurieren auf Installation fertig stel len.
3. Klicken Sie im Dialogfeld Software im Feld Remoteinstallationsdienste konfigurieren auf Konfigurieren, um den Assistenten zur Installation der Remoteinstallationsdienste zu starten.
4. Klicken Sie im Dialogfeld Willkommen des Assistenten zur Installation der Remoteinstallationsdienste auf Weiter.
5. Befolgen Sie die Anweisungen des Assistenten zum Installieren der Remoteinstallationsdienste. Darunter fallen:
9 Angeben eines Speicherorts auf dem Server für den RIS-Ordner.
ä Angeben, ob der RIS-Server Clientcomputer sofort nach der Einrichtung bedienen soll.
* Angeben des Standorts der Windows 2000 Professional CD-ROM oder des Speicherorts im Netzwerk, in dem sich die Installationsdateien befinden.
● Angeben eines Speicherorts auf dem Server für die Installationsabbild
dateien.
● Definieren einer Beschreibung und eines Hilfetexts zur Erläuterung des Betriebssystemabbilds für Benutzer des CIW.
Konfigurieren von RIS
Standardmäßig beginnt ein RIS-Server nicht sofort nach der RIS-Installation mit dem Bedienen von Clientcomputem. Zum Konfigurieren von RIS müssen Sie folgende Schritte durchführen:
Autorisieren der RIS-Server
Durch Festlegen der RIS-Server, die in Ihrem Netzwerk zugelassen sind, können Sie den Zugriff von nicht autorisierten RIS-Servem (auch Rogue genannt) verhindem, um sicherzustellen, dass nur die RIS-Server Clients bedienen, die dazu vom Administrator berechtigt wurden. Wenn ein nicht autorisierter RIS-Server im Netzwerk starten möchte, wird er automatisch heruntergefahren und ist so nicht in der Lage, Clientcomputer zu bedienen.
So autorisieren Sie RIS-Server
1. Klicken Sie auf Start, zeigen Sie auf Programme und Verwaltung, und klicken Sie anschließend aufDHCP.
2. Klicken Sie in der DHCP-Konsolenstruktur auf den DHCP-Knoten.
3. Klicken Sie im Menü Aktion auf den Befehl Autorisierte Server verwalten.
4. Klicken Sie im Dialogfeld Autorisierte Server verwalten auf Autorisieren.
5. Geben Sie im Dialogfeld DHCP-Server autorisieren den Namen oder die IPAdresse des zu autorisierenden RIS-Servers ein, und klicken Sie anschließend aufOK.
6. Klicken Sie im DHCP-Meldungsfeld aufja.
7. Wählen Sie im Dialogfeld Autorisierte Server verwalten den gewünschten Computer, und klicken Sie auf OK.
Der autorisierte RIS-Server wird nun unter dem DHCP-Knoten aufgelistet.
Einstellen der RIS-Servereigenschaften
Durch Einstellen der Eigenschaften auf den einzelnen RIS-Servem können Sie steuem, wie der Server den anfordernden Clients RIS zur Verfügung stellt.
So stellen Sie RIS-Servereigenschaften ein
1. Klicken Sie auf Start, zeigen Sie auf Programme und Verwaltung, und klicken Sie anschließend auf Active Directory-Benutzer und -Computer.
2. Klicken Sie in der Konsolenstruktur auf den Ordner, der den Computer enthält, dessen Konfiguration Sie überprüfen möchten, beispielsweise Computer oder Domänencontroller.
3. Klicken Sie im Detailbereich mit der rechte Maustaste auf den entsprechenden RIS-Server, und klicken Sie anschließend auf Eigenschaften.
4. Klicken Sie im Dialogfeld Eigenschaften für den Server auf die Registerkarte Remoteinstallation.
5. Konfigurieren Sie auf der Registerkarte Remoteinstallation (siehe Abbildung 15.6) des Dialogfelds Eigenschaften die Optionen, die in Tabelle 15.1 beschrieben werden.
Optionen auf der Registerkarte "Remoteinstallation" im Dialogfeld "Eigenschaften"
Konfigurationsoption
Auf Dienstanforderungen von Clients antworten
Beschreibung
Der RIS-Server antwortet auf alle Clientdienstanfragen.
Konfigurationsoption
Unbekannten Clients nicht antworten
Beschreibung
Der RIS-Server antwortet unbekannten Clients nicht. Diese Option steht nur zur Verfügung, wenn das Kontrollkästchen für Auf Dienstanfragen von Clients antworten aktiviert ist.
5. Klicken Sie auf der Registerkarte Remoteinstallation auf die Schaltfläche Erweiterte Einstellungen.
6. Konfigurieren Sie im Dialogfeld für die Eigenschaften der Remoteinstallationsdienste auf der Registerkarte Neue Clients (siehe Abbildung 15.7) die Optionen, die in Tabelle 15.2 beschrieben werden.
Optionen auf der Registerkarte "Neue Clients" im Dialogfeld "Eigenschaften von Servername-Remoteinstallationsdienste"
Konfigurationsoption
Computemamen erzeugen
Beschreibung
Wenn der Computername automatisch erzeugt wird, legt diese Option fest, wie der Name formatiert wird. Bietet Flexibilität bei der Benennung von Clientcomputern währen der Installation des Betriebssystems ohne Eingriff des Administrators.
Konfigurationsoption
Anpassen
Beschreibung
Offnet das Dialogfeld Computerkonto erstellen, in dem Sie ein angepasstes Namensformat für den Clientcomputer erstellen können.
Konfigurationsoption
Clientkonto
Beschreibung
Der Verzeichnisstandort des Clientcomputerkontos. Es gibt fol
gende Möglichkeiten:
Standardstelle im Verzeichnisdienst: Dies erstellt das Computerkontoobjekt für den Client an einem Active Directory-ört, wo standardmäßig alle Computerkonten während des Domänenbeitritts erstellt werden.
An derselben Stelle wie die Benutzereinstellungen des Computers: Dies erstellt das Computerkontoobiekt im selben Active Directory-Container wie der Benutzer, der den Computer einrichtet.
Folgende Verzeichnisdienststelle. Bietet dem Administrator die Möglichkeit, einen bestimmten Active Directory-Container zu erstellen, in dem alle Kontoobjekte von Clientcomputern erstellt werden, die von diesem Server installiert werden. Im Allgemeinen werden Administratoren diese Option wählen und einen Container für alle Kontoobiekte von Clientcomputern erstellen, die remote installiert wurden.
7. Zeigen Sie im Dialogfeld für die Eigenschaften der Remoteinstallationsdienste des Servers aufder Registerkarte Abbilder (siehe Abbildung 15.8) die Abbilder an, die sich auf dem RIS-Server befinden. Klicken Sie auf Hinzufügen, und befolgen Sie die Anweisungen des Assistenten, um zusätzliche Abbilder auf dem RIS-Server zu installieren. Informationen hierzu erhalten Sie in Lektion 3, ‑Verwalten von RIS".
8. Zeigen Sie im Dialogfeld Eigenschaften von Servername-RemoteinstsMationsdienste des Servers auf der Registerkarte Programme (siehe Abbildung 15.9) die Wartungs- und Fehlerbehebungstools an, die sich auf dem RIS-Server befinden.
9. Klicken Sie im Dialogfeld Eigenschaften von ServernameRemoteinstallationsdienste auf OK.
10. Klicken Sie im Dialogfeld Eigenschaften des Servers auf OK.
Administratoren, die ihre Server von entfernten Windows 2000 ProfessionalArbeitsstationen aus verwalten möchten, können auf die Verwaltungstools zugreifen, indem sie die Windows 2000 Administration Tools auf der Windows 2000 Server-CD installieren.
Anmerkung Wenn die Verwaltungstools von Windows 2000 nicht auf einem RISServer eingesetzt werden, kann der Administrator keine zusätzlichen Abbilder des Betriebssystems hinzufügen oder die Integrität des RIS-Servers überprüfen. Alle anderen Konfigurationsoptionen stehen zur Verfügung.
Einstellen der RIS-Clientinstallationsoptionen
Durch Einstellen der RIS-Clientinstallationsoptionen können Sie steuern, welche Optionen den unterschiedlichen Benutzergruppen im CIW zur Verfügung stehen. Im CIW stehen vier Clientinstallationsoptionen zur Verfügung (siehe Abbildung 15.4).
● Automatische Installatior
● Benutzerdefiniertes Setup
● Neustart eines vorherigen Setupversuc
● Wartung und Fehlerbehebung
Automatische Installation
Die Clientinstallationsoption Automatische Installation steht allen Benutzern der Remoteinstallationsfunktion standardmäßig zur Verfügung. Mit dieser Option können Sie die Installationsoptionen einschränken, sodass die Installation automatisch gestartet wird, sobald sich der Benutzer anmeldet. Der Benutzer muss während der Installation keine Eingaben machen, sodass keine weitere Hilfe durch den Support erforderlich ist, wodurch Zeit und Kosten gespart werden.
Trotzt der Einschränkung von Installationsoptionen können die Benutzer immer noch das Betriebssystem wählen. Für die Remoteinstallation können Sie eine Beschreibung und einen Hilfetext eingeben, der die Optionen des Betriebssystems beschreibt, sodass der Benutzer das passende Betriebssystem auswählen kann.
Benutzerdefiniertes Setup
Die Option Benutzerdefiniertes Setup entspricht in vielem der Option Automatische Installation. Sie haben jedoch die Möglichkeit, einen Computer für eine andere Person im Unternehmen einzurichten. Mit dieser Option können Sie einen Clientcomputer komplett vorinstallieren oder den Clientcomputer vorbereiten, indem Sie ein entsprechendes Computerkonto im Active Directory-Dienst erstellen.
Mit der Option Benutzerdefiniertes Setup können Sie die automatische Benennung von Computem sowie die Vergabe des Speicherorts außer Kraft setzen, an dem das Computerkonto in Active Directory erstellt werden soll. Standardmäßig erstellt der RIS-Server einen Computernamen auf der Grundlage des Formats, das vom Remoteinstallationsadministrator definiert wurde. Sie können auch festlegen, wo die Kontoobjekte der Clientcomputer während der Installation in Active Directory erstellt werden sollen. Standardmäßig werden die Richtlinien zur automatischen Benennung von Computern verwendet, um Computernamen aufder Grundlage von Informationen über die Person zu erstellen, die den CIW ausführt.
Neustart eines vorherigen Setupversuchs
Die Option Neustart eines vorherigen Setupversuchs ist hilfreich, wenn die Installation des Betriebssystems fehlschlägt. Der CIW kann so eingestellt werien, dass er bestimmte Fragen zu dem Betriebssystem stellt, das installiert werden soll. Wir eine fehlgeschlagene Installation wieder aufgenommen, werden diese Fragen nicht noch mal gestellt. 1
Wartung und Fehlerbehebung
Die Option Wartung und Fehlerbehebung stellt Hardware- und Softwaretools von Drittanbietem zur Verfügung. Diese Tools umfassen Flashaktualisierungen von BIOS, Virenscanner und eine große Palette von Diagnosetools, die Probleme mit der Hardware überprüfen. Diese Tools stehen bereits zur Verfügung, bevor das Betriebssystem auf dem Clientcomputer installiert und gestartet wird.
Wenn die Option zum Einblenden des Menüs Wartung und Fehlerbehebung aktiviert ist, wird der Benutzerzugriff auf die einzelnen Toolabbilder wie eine Betriebssystemoption gesteuert, indem die Berechtigungen der Benutzer in der entsprechenden Antwortdatei (.sif) für dieses Tool eingestellt wird. Sie können beispielsweise Endbenutzern Zugriff auf nur ein Diagnosetool gewähren, Supportmitarbeitem hingegen auf alle Diagnosetools.1 Muss das Problem vor Ort behoben werden, muss der Support dort lediglich den CIW mit seinen Einstellungen starten, um auf die benötigten Tools zugreifen zu können.
So stellen Sie Clientinstallationsoptionen ein
1. Klicken Sie auf Start, zeigen Sie auf Programme und Verwaltung, und klicken Sie anschließend auf Active Directory-Benutzer und -Computer.
2. Klicken Sie in der Konsolenstruktur mit der rechte Maustaste auf die gewünschte OU, beispielsweise Computer oder Domänencontroller, klicken Sie auf Eigenschaften und dann auf die Registerkarte Gruppenrichtlinien.
3. Klicken Sie im Dialogfeld Eigenschaften der Gruppenrichtlinien auf das Gruppenrichtlinienobjekt (Group Policy Object GPO), und klicken Sie dann auf Bearbeiten, um die Gruppenrichtlinie zu starten.
4. Klicken Sie in der Gruppenrichtlinien-Konsolenstruktur auf Benutzerkonfiguration, öffnen Sie die Windows-Einstellungen, und klicken Sie auf Remoteinstallationsdienste.
5. Doppelklicken Sie aufdas Objekt Auswahloptionen.
Im Dialogfeld Auswahloptionen (Abbildung 15.10) beeinflussen die folgenden Installationsoptionen das Erscheinungsbild des CIW:
* Automatische Installation
* Benutzerdefinierte Installation
● Neustart der Installation
* Extras
6. Klicken Sie für die einzelnen Installationsoptionen auf die folgenden Optio
nen für Gruppenrichtlinien:
● Zulassen: Verwenden Sie diese Richtlinienoption, um die Installationsoption für Benutzer zur Verfügung zu stellen, auf die diese Richtlinie zutrifft.
s Optional: Verwenden Sie diese Richtlinienoption, um die Richtlinieneinstellungen des übergeordneten Containers zu akzeptieren. Wenn beispielsweise der Administrator für die gesamte Domäne eine Gruppenrichtlinie speziell für RIS festgelegt und die Option Optional gewählt hat, trifft die Richtlinie, die für diese Domäne eingerichtet wurde, auf alle Benutzer zu, die von dieser Richtlinie betroffen sind. Optional ist die Standardeinstellung.
'* Verweigern: Verwenden Sie diese Richtlinienoption, um Benutzern den Zugriff auf die Installationsoption zu verweigern, auf die diese Richtlinie zutrifft.
7. Klicken Sie im Dialogfeld Auswahleigenschaften auf OK.
8. Schließen Sie das Snap-In Gruppenrichtlinien, und klicken Sie im Dialogfeld Eigenschaften der Gruppenrichtlinie auf OK
Einrichten der RIPrep-Abbild-Berechtigungen
Wenn Sie festlegen, welche Benutzer oder Benutzergruppen Zugriff auf die RIPrep-Betriebssystemabbilder haben, die auf dem RIS-Server verfügbar sind, können Sie Benutzer bei der Wahl der für ihre Firmenposition zutreffenden unbeaufsichtigten Installation des Betriebssystems anleiteiten. Standardmäßig steht nach ier Ubernahme des Betriebssystemabbilds auf einen RIS-Server das Abbild allen Benutzer zur Verfügung, die von diesem RIS-Server bedient werden.
So richten Sie RIPrep-AbbiId-Berechtigungen ein
1. Klicken Sie auf Start, zeigen Sie auf Programme und Zubehör, und klicken Sie anschließend auf Windows Expiorer.
2. Klicken Sie Im Ordner \RemoteInsta\l^Setup\^utreffende_Sprache\lmages\ zutreffender_Abbildname\i3S6\temp\ates (oder dem Ordner, den Sie für die Speicherung von Abbildinstallationsdateien festgelegt haben) mit der rechten Maustaste aufdie entsprechende .sif-Datei, und klicken Sie anschließend auf Eigenschaften.
3. Klicken Sie im Dialogfeld Eigenschaften der Datei auf die Registerkarte Sicherheit.
4. Legen Sie die gewünschten Berechtigungen für den Benutzerzugriff aufAbbilder fest, und klicken Sie auf OK.
Anmerkung Um den Verwaltungsaufwand für Abbilder zu verringern, sollten Sie, falls möglich, die Sicherheit des Ordners Templates des Abbilds einstellen, und nicht die Sicherheit der einzelnen .sif-Dateien. Steuern Sie außerdem den Zugriff von Benutzergruppen an Stelle von einzelnen Benutzern.
Erstellen eines RIPrep-Abbilds
Viele Unternehmen verwenden zum Erstellen und Warten von Standarddesktops Diskimaging- oder Cloningsoftware, mit der zunächst ein Clientcomputer exakt entsprechend der Anforderungen konfiguriert werden kann. Anschließend wird das entsprechende Abbild kopiert, um es auf Clientcomputern in Netz zu installieren. Die Remoteinstallation von Betriebssystemen unterstützt die Erstellung und Installation von Standarddesktopabbildern mit RIPrep-Abbildem.
Bevor Sie ein RIPrep-Abbild erstellen können, müssen Sie die folgenden Schritte ausführer
● Erstellen eines Quellcomputers
● Konfigurieren der Arbeitsstation
Erstellen eines Quellcomputers
Zur Erstellung des Quellcomputers können Sie die Remoteinstallationsfunktion verwenden, um Windows 2000 Professional von einem entfemten Standort aus als Basis zu installieren. Sobald das Betriebssystem installiert ist, können Sie Anwendungen oder Anwendungsgruppen installieren, darunter hausinterne oder leschäftsbereichanwendungen. Konfigurieren Sie die Arbeitsstation entsprechend der bestehenden Unternehmensrichtlinien. Sie können beispielsweise eine spezielle Bildschirmfarbe definieren, als Bildschirmhintergrund das Firmenlogo verwenden, installierte Spiele entfernen und die Proxyeinstellungen von Internet Explorer vornehmen.
Konfigurieren der Arbeitsstation
Anwendungen mit dem Logo ‑Certified for Microsoft Windows" unterscheiden klar zwischen benutzerund computerspezifischen Konfigurationseinstellungen und Daten und können daher computerweit instalhert werden, sodass sie allen Benutzer im System zur Verfügung stehen. Solche Anwendungen stehen also auch Benutzern von Systemen zur Verfügung, die mit dem entsprechenden RIPrep-Abbild installiert wurden. Anwendungen, die nicht kompatibel mit Windows 2000 sind, müssen sich ggf. auf Konfigurationen pro Benutzer stützen oder diese erstellen. Diese Konfigurationen beziehen sich genau auf das Profil des Benutzers, der selbst die Anwendung vor der Ausführung von RIPrep installiert hat (dies ist meist ein lokaler Administrator) und nicht auf alle Benutzer des Systems. Diese Art der Konfiguration bleibt weiterhin auf diesen Benutzer bezogen, was zur Folge haben kann, dass die Anwendung oder Konfigurationseinstellung möglicherweise den Benutzem eines mit dem RIPrep-Abbild installierten Computers nicht zur Verfügung stehen oder nicht richtig funktionieren. Darüber hinaus werden einige der Änderungen, die nicht die Anwendung betreffen (z. B. Hintergrundbild für den Benutzer-Desktop) standardmäßig nur auf das aktuelle Benutzerprofil angewandt und nicht auf Benutzer von mit dem RIPrep-Abbild installierten Systemen.
Erstellen eines RIPrep-Abbilds
Wenn die Arbeitsstation den Anfordemngen entsprechend konfiguriert wurde, können Sie ein RIPrep-Abbild erstellen.
So erstellen Sie ein RIPrep-Abbild
1. Klicken Sie an der Clientarbeitsstation auf Start, klicken Sie aufAusführen und geben Sie den UNC-Pfad (Universal Naming Convention) des RIPrepDienstprogramms im Feld Öffnen ein. Klicken Sie anschließend auf OK. Beispiel: \\Server\Freigabe\Remotelnstall\Admm\l3S6\ RIPREP.EXE
2. Klicken Sie im Dialogfeld Willkommen des Assistenten zur Vorbereitung der Remoteinstallation auf Weiter.
3. Befolgen Sie die Anweisungen des Assistenten zur Vorbereitung der Remoteinstallation. Darunter fallen:
s Servername: Der Name des Servers, auf den dieses Installationsabbild kopiert wird. Standardmäßig ist dies der Server, auf dem der Assistent zur Vorbereitung der Remoteinstallation ausgeführt wird.
* Ordnername: Der Name des Ordners auf dem RIS-Server, in den dieses Installationsabbild kopiert wird.
* Beschreibung und Hilfetext: Beschreibung und Hilfetext zur Erläuterung des Betriebssystemabbilds für Benutzer des CIW.
4. Schließen Sie alle Programme und Dienste auf dem Quellcomputer, bevor Sie fortfahren. Überprüfen Sie alle Programme und Dienste, die aktuell aufdem Quellcomputer ausgeführt werden, schließen Sie alle aktiven Anwendungen, und klicken Sie auf Weiter.
5. Überprüfen Sie die Einstellungen, und klicken Sie auf Weiter.
Überprüfen Sie die Informationen unter Fertigstellen des Assistenten, und klicken Sie auf Weiter, um das Installationsabbild des Quellcomputers auf den RIS-Server zu kopieren.
Anmerkung Wenn der Quellcomputer über 1 GB und der Zielcomputer über 2 GB Festplattenspeicher verfügen, formatiert RIS die Festplatte des Zielcomputers standardmäßig als 2 GB-Partition in dem selben Dateisystemformat wie der Quellcomputer, auf dem das Abbild erstellt wurde.
Nachdem die Fragen zum Abbild beantwortet wurden, setzt der Assistent die Arbeitsstation in einen allgemeinen Zustand zurück, wobei alle clientspezifischen Installationseinstellungen wie die eindeutige SID (Security Identifier). der Computername und systemeigene Registrierungseinstellungen entfemt werden. Sobald die Vorbereitung abgeschlossen ist, wird das Abbild automatisch auf den angegebenen RIS-Server repliziert. Nachdem das Abbild auf den RIS-Server repliziert wurde, wird es der Liste der verfügbaren Betriebssysteminstallationen hinzugefügt, die im CIW angezeigt wird. Nun kannjeder entfemte bootfähige oder kompatible Clientcomputer mit PXE-basierter Remoteboottechnologie das Abbild installieren.
7. Der Quellcomputer wird heruntergefahren, sobald die Replikation des Abbilds abgeschlossen ist. Das Installationsprogramm wird automatisch ausgeführt, sobald der Quellcomputer neu gestartet wird. Vervollständigen Sie den Installationsvorgang, um diesen Clientcomputer zur Erstellung eines weiteren Abbilds zu verwenden.
RIPrep-Anforderungen
● Die Hardware des Zielcomputers, also des Computers, auf dem das Abbild installiert werden soll, muss nicht identisch mit der des Quellcomputers sein, auf dem das Abbild erstellt wurde. RIPrep verwendet die Plug&Play-Unterstützung des Computers, der Windows 2000 Professional ausführt, zur Ermittlung von Hardwareunterschieden zwischen Quell- und Zielcomputer während derAbbildinstallation. Die HAL-Treiber (Hardware Abstraction Layer) des Quellcomputers und aller Zielcomputer müssenjedoch identisch sein. Sie müssen beispielsweise alle ACPI- (Advanced Configuration and Power Interface) oder alle nicht-ACPI-basiert sein. In den meisten Fällen benötigen Arbeitsstationen im Gegensatz zu Servern keine eindeutigen HAL-Treiber.
● Die Festplattenkapazität des Zielcomputers muss gleich oder größer als die Festplattenkapazität des Quellcomputers sein.
● Alle Kopien von Microsoft-Software, die mit RIS erstellt oder installiert wurden, müssen lizenziert sein. Alle Kopien anderer Software, die mit RIS erstellt oder installiert wurden, müssen lizenziert sein. Der Lizenznehmer muss sicherstellen, dass die Lizenz die Erstellung von Kopien erlaubt.
RIPrep-Einschränkungen
● Mit RIPrep ist es zurzeit möglich, eine Windows 2000 Professional-Installation mit einer einzelnen Partition (nur C-Partitionen) aufeinen verfügbaren RIS-Server zu replizieren. Dies bedeutet, dass sich das Betriebssystem und alle Anwendungen der Standardinstallation auf der C-Partition befinden müssen, bevor der Assistent zur Vorbereitung der Remoteinstallation ausgeführt wird.
● Der Assistent zur Vorbereitung der Remoteinstallation unterstützt zurzeit die Replikation von Quellabbildern ausschließlich auf verfügbare RIS-Server. Die Replikation auf andere Laufwerke oder Datenträgertypen wird nicht unterstützt.
● Die Replikation von verschlüsselten Dateien wird nicht unterstützt.
● Änderungen an der Registrierung des Quellcomputers, die vor dem Ausführen des Assistenten zur Vorbereitung der Remoteinstallation vorgenommen wurden, werden nicht in das Installationsabbild übernommen.
● Änderungen an replizierten Installationsabbildem sind nicht möglich.
Quellen für Installationsabbilder
Wenn Sie mit dem Assistenten zum Vorbereiten der Remoteinstallation ein Installationsabbild eines Clientcomputers erstellt haben, der ursprünglich eine Retailversion von Windows 2000 Professional verwendet hat (im Gegensatz zu einer Select- oder einer OEM-Version), muss die PID (Product Identification Number) in die Antwortdatei (RIPREP.SIF) für die unbeaufsichtigte RIS-Installation eingetragen werden. Bei der PID handelt es sich um eine eindeutige Identifikationsnummer für jede Kopie von Windows 2000 Professional, mit der die Betriebssysteminstallation erkannt und die Anzahl der im Unternehmen installierten Kopien kontrolliert wird.
Anmerkung Wenn die PID nicht in die Datei RIPREP-SIF eingetragen wird, wird der Installationsvorgang angehalten und der Benutzer während der Installation dieses RIPrep-Abbilds aufgefordert, die PID einzugeben.
So tragen Sie die PID in die Datei RIPREP.SIF ein
1. Öffnen Sie die Datei RIPREP.SIF im Verzeichnis \RemoteInstall\Setup\
applicable
2. Geben Sie im Abschnitt [UserData] der Datei RIPREP.SIF die Zeichenkette ProductID = "xxxxx-xxx-xxxxxxx-xxxxx" ein, einschließlich der Bindestriche und Anführungszeichen, wobei x für die PID der Retailversion von Windows 2000 Professional steht.
Wenn das Betriebssystem des Quellcomputers von der Windows 2000 Professional Select- oder OEM-CD installiert wurde, muss die PID in der Datei RIPREP.SIF nicht geändert werden.
Erstellen einer RIS-Startdiskette
Sie müssen eine Startdiskette erstellen, um bestehende Clientcomputer zu unterstützen, die nicht über eine PXE-basierte Remoteboot-ROM, jedoch über eine unterstützte Netzwerkkarte verfügen. Durch die RIS-Startdiskette wird der PXEBootvorgang simuliert. Schalten Sie den Computer ein, booten Sie mit der RISStartdiskette, und drücken Sie F12, um einen Netzwerkdienstboot auszuführen. Der CIW wird daraufhin heruntergeladen und gestartet. Sobald der CIW gestartet ist, läuft der RIS-Prozess wie gewohnt ab, unabhängig davon, ob der Client mit einer PXE-Boot-ROM oder der RIS-Remotestartdiskette gestartet wurde.
So erstellen Sie eine RIS-Startdiskette
1. Klicken Sie auf Start und Ausführen, geben Sie im Feld Öffnen den UNCPfad des RBFG-Dienstprogramms ein, und klicken Sie dann auf OK. Beispiel: \\Server\Freigabe\Remoteln&to\\\Admm\BS6\ RIPREP.EXE
2. Legen Sie eine formatierte Diskette in das Laufwerk ein.
3. Klicken Sie im Dialogfeld Windows 2000 Remotestart-Diskettenerstellung (siehe Abbildung 15.11) aufdie Option für das gewünschte Ziellaufwerk (Laufwerk A oder Laufwerk B), und klicken Sie auf Diskette erstellen.
4. Klicken Sie auf Schließen, wenn die Diskette erstellt wurde, und nehmen Sie die Diskette aus dem Diskettenlaufwerk.
Anmerkung Sie können die Startdiskette nur mit Computem verwenden, die eine unterstützte, PCI-basierte Netzwerkkarte verwenden. Klicken Sie zur Anzeige der unterstützten Netzwerkkarten im Dialogfeld Windows 2000 RemotestartDiskettenersteller auf die Schaltfläche Adapterliste.
Überprüfen der RIS-Konfiguration
Mit RIS haben Sie die Möglichkeit, die Integrität von RIS-fähigen Servem zu überprüfen. Sie können eine RIS-Konfiguration beispielsweise überprüfen, wenn Sie vermuten, dass ein Server nicht funktioniert, wenn Ihnen Inkonsistenzen auffallen oder wenn Sie einen RIS-Datenträger für Sicherungszwecke wieder herstellen müssen. DerAssistent zum Uberprüfen des Servers überprüft, ob alle Einstellungen, Dienste und Konfigurationen korrekt eingerichtet wurden und funktionieren.
So überprüfen Sie die RIS-Konfiguration
1. Klicken Sie auf Start, zeigen Sie auf Programme und Verwaltung, und klicken Sie anschließend auf Active Directory-Benutzer und -Computer.
2. Klicken Sie in der Konsolenstruktur auf den Ordner, der den Computer enthält, dessen Konfiguration Sie überprüfen möchten, beispielsweise Computer oder Domänencontroller.
3. Klicken Sie im Detailbereich mit der rechte Maustaste auf den entsprechenden RIS-Server, und klicken Sie anschließend auf Eigenschaften.
4. Klicken Sie im Dialogfeld Eigenschaften für den Server aufdie Registerkarte Remoteinstallation. Klicken Sie anschließend auf Server überprüfen, um den Assistenten zur Uberprüfung der Remoteinstallationsdienste zu starten.
Anmerkung Wenn Sie die Serverkonfiguration überprüfen, um einen RIS-Datenträger zu Sicherungszwecken wieder herzustellen, müssen Sie sie überprüfen, bevor Sie den Datenträger wieder herstellen.
Verwalten von RIS
Verwalten der RIS-Clientinstallationsabbilder
Die Verwaltung von RIS-Clientinstallationsabbildern gliedert sich in folgende Schritte:
● Hinzufügen von neuen Clientinstallationsabbildern
● Verknüpfen von Antwortdateien zur unbeaufsichtigten Installation
So fügen Sie neue Clientinstallationsabbilder hinzu
1. Klicken Sie aufStart, zeigen Sie aufProgramme und Verwaltung, und klicken Sie anschließend aufActive Directory-Benutzer und -Computer.
2. Klicken Sie in der Konsolenstruktur mit der rechte Maustaste auf den entsprechenden RIS-Server, und klicken Sie anschließend auf Eigenschaften.
3. Klicken Sie im Dialogfeld Eigenschaften für den Server auf die Registerkarte Remoteinstallation. Klicken Sie anschließend auf Erweiterte Einstellungen.
4. Klicken Sie im Dialogfeld Eigenschaften von Servername-Remotemsta\\ationsdienste auf die Registerkarte Abbilder. 5. Klicken Sie auf Hinzufügen, um den Assistenten zum Hinzufügen zu starten.
etc.
So verknüpfen Sie Antwortdateien zur unbeaufsichtigten Installation
1. Klicken Sie auf Start, zeigen Sie auf Programme und Verwaltung, und klicken Sie anschließend auf Active Directory-Benutzer und -Computer.
2. Klicken Sie in der Konsolenstruktur mit der rechte Maustaste auf den entsprechenden RIS-Server, und klicken Sie anschließend auf Eigenschaften.
3. Klicken Sie im Dialogfeld Eigenschaften für den Server auf die Registerkarte Remoteinstallation. Klicken Sie anschließend auf Erweiterte Einsteilungen.
4. Klicken Sie im Dialogfeld Eigenschaften von ServernameRemoteinstallationsdienste aufdie Registerkarte Abbilder.
5. Klicken Sie auf Hinzufügen, um den Assistenten zum Hinzufügen zu starten.
6. Klicken Sie auf der Seite Neue Antwortdatei oder Installationsabbild auf Einem vorhandenen Abbild eine Antwortdatei zuweisen. Klicken Sie dann auf Weiter.
7. Klicken Sie auf der Seite Antwortdateiquelle für die unbeaufsichtigte Installation auf die Quelle, die die gewünschte Datei zur unbeaufsichtigten Installation enthält.
● Windows-Abbildbeispieldateien
● Anderer Remoteinstallationsserver
● Alternative Quelle
8. Klicken Sie auf Weiter
9. Wählen Sie auf der Seite Wählen Sie ein Installationsabbild das Installationsabbild, mit dem die Antwortdatei verknüpft werden soll, und klicken Sie auf Weiter.
10. Wählen Sie auf der Seite Wählen Sie eine Beispieldatei eine Beispielantwortdatei für die unbeaufsichtigte Installation, und klicken Sie auf Weiter.
11. Geben Sie aufder Seite Beschreibung und Hilfetext die Beschreibung und den Hilfetext für das Installationsabbild ein, und klicken Sie anschließend auf Weiter.
12. Uberprüfen Sie auf der Seite Uberprüfungseinstellungen die Einstellungen, und klicken Sie auf Weiter.
Verwalten der RIS-Clientcomputer
Die Verwaltung von RIS-Clientcomputem gliedert sich in folgende Schritte:
● Vorbereiten (prestaging) von RIS-Clientcomputem
● Suchen von RIS-Clientcomputem
Vorbereiten von RIS-Clientcomputern
Beim Vorbereiten von RIS-Clientcomputern wird in Active Directory eine gültige Client-CAO erstellt. Dabei können Sie den RIS-Server so konfigurieren, dass er ausschließlich auf vorbereitete Clientcomputer antwortet. Dadurch wird sichergestellt, dass nur die Clientcomputer ein Betriebssystem über den RIS-Server installieren können, die als autorisierte Benutzer vorbereitet wurden. Die Vorbereitung kann Zeit und Geld sparen. da hierdurch die komplette Vorinstallation des Computers vereinfacht und teilweise sogar überflüssig wird.
Wenn Sie einen Clientcomputer vorbereiten, können Sie einen bestimmten Computernamen definieren und, falls gewünscht, den RIS-Server festlegen, der den Computer bedienen soll. Diese Information wird benötigt, um Clientcomputer während der Netzwerkdienstbootanforderung zu identifizieren und ein Routing durchzuführen. Stellen Sie sicher, dass Sie die entsprechenden Zugriffsrechte für Benutzer von vorbereiteten Clientcomputern einrichten. Beim Vorbereiten von Clientcomputem in einer Domäne mit mehreren Domänencontrollem kann die Replikationsverzögerung der CAO-Informationen des Clients dazu führen, dass ein Clientcomputer von einem anderen RIS-Server bedient wird.
So bereiten Sie einen Clientcomputer vor
^ctive Directory-Benutzer und -Computer.
2. Klicken Sie in der Konsolenstruktur mit der rechte Maustaste auf die gewünschte OU, die den neuen Computer enthalten soll, klicken Sie auf Neu und dann auf Computer.
3. Geben Sie im Dialogfeld Neues Objekt - Computer (siehe Abbildung 15.12) den Namen des Clientcomputers ein, und autorisieren Sie die Domänenbeitrittsberechtigungen für den Benutzer oder die Sicherheitsgruppe, die den Benutzer enthält, der den physischen Computer erhält, für den dieses Computerkonto steht. Klicken Sie anschließend auf Weiter.
4. Klicken Sie im Dialogfeld Verwalteter Computer (siehe Abbilduung 15.13) auf Verwalteter Computer, geben Sie die GUID des Clientcomputers im Textfeld ein, und klicken Sie auf Weiter. Weitere Informationen finden Sie in diesem Kapitel unter ‑Die GUID des Clientcomputers".
5. Klicken Sie im Dialogfeld Hostserver (siehe Abbildung 15.14) auf eine der folgenden Optionen, um festzulegen, welcher Server diesen Clientcomputer unterstützen soll.
● Verfügbarer Remoteinstallationsserver: Wenn Sie diese Option wählen, kann der Clientcomputer von jedem RIS-Server bedient werden.
● Folgender RemoteinstaIIationsserver: Mit dieser Option können Sie einen bestimmten Server festlegen. Mit den Optionen im Dialogfeld Hostserver können Sie die Clients manuell auf die verfügbaren RIS-Server in Ihrem Untemehmen verteilen und den Netzwerkverkehr aufteilen, wenn Sie den physischen Standort des RIS-Servers sowie den Auslieferungsort dieses Computers kennen. Wenn sich der RIS-Server beispielsweise auf der fünften Etage des Gebäudes befindet und Sie diesen Computer an Benutzer dieser Etage verteilen, können Sie den Computer mit dem RIS-Server auf der fünften Etage verbinden.
Suchen von RIS-Clientcomputern
Sie können in Active Directory anhand von Computernamen oder GUIDs nach RIS-Clientcomputerkonten suchen. Die Funktion Clients anzeigen sucht nach Clientcomputem, die für diesen RIS-Server vorbereitet wurden. Der Suchvorgang kann über die gesamte Struktur von Active Directory ausgeführt oder auf eine bestimmte Domäne beschränkt werden. Bei der Suche wird eine Liste der Clientcomputer erstellt, die mit Computernamen und GUID angezeigt werden.
Bei der Suche nach Clients wird ein Platzhalterzeichensuchattribut verwendet, das an den Computernamen des aktuellen RIS-Servers angehängt wird. Heißt der RIS-Server beispielsweise RISsrvl, verwendet die Funktion Clients anzeigen den Servernamen RISsvrl*. Wenn Sie die Funktion CIients anzeigen in verschiedenen RIS-Serverumgebungen verwenden, werden im Suchergebnis möglicherweise Clientcomputer von verschiedenen Servern aufgeführt. Wenn Sie beispielsweise mehrere RIS-Server mit den Computemamen RISsvrl, RISsvrlO und RISsvrlOO haben, gibt die Suche fürjeden Server Clientcomputer zurück, die mit dem selben Computernamen beginnen.
Die GUID des Clientcomputers
Die GUID des Computers finden Sie an folgenden Stellen:
● Etikett an der Seite des Computergehäuses
● Etikett im Computergehäuse
● BIOS des Clientcomputers
Die GUID des Computers wird vom Hersteller definiert. Sie hat das Format {dddddddd-dddd-dddd-dddd-dddddddddddd}, wobei rffür ein Hexadezimaltextzeichen steht. Beispiel: 8 Hexadezimatextzeichen, gefolgt von 4, dann 4, dann 4, dann 12, etwa: {921FB974-ED42-11BE-BACD-OOAA0057B223}
So finden Sie RIS-Clientcomputer
1. Klicken Sie auf Start, zeigen Sie auf Programme und Verwaltung, und klicken Sie anschließend aufActive Directory-Benutzer und -Computer.
2. Klicken Sie in der Konsolenstruktur mit der rechte Maustaste auf den entsprechenden RIS-Server, und klicken Sie anschließend auf Eigenschaften.
3. Klicken Sie im Dialogfeld Eigenschaften für den Server auf die Registerkarte Remoteinstallation.
4. Klicken Sie auf der Registerkarte Remoteinstallation auf Clients anzeigen.
5. Geben Sie im Dialogfeld Remoteinstallationsclients suchen (siehe Abbildung 15.15) im GUID-Feld die GUID des Clientcomputers ein, und klicken Sie auf Jetzt suchen.
Anmerkung Sie können die Suche nach Clientcomputern auf einen bestimmten RIS-Server beschränken, indem Sie den Servernamen im Feld für RIS-Server eingeben.
6. Die RIS-Clientcomputer werden in den Spalten Name und GUID im unteren Bereich des Dialogfelds Remoteinstallationsclients suchen aufgeführt.
Verwalten der RIS-Sicherheit
Die Verwaltung der Sicherheit von RIS gliedert sich in folgende Schritte:
● Einrichten der Berechtigungen zur Erstellung von vorbereiteten Computer
konten und solchen, die vom Benutzer erstellt worden sind.
● Einrichten der Berechtigungen zum Beitritt von Computem zur Domäne, die im Container und der OU des Computers erstellt wurden.
Einrichten von Berechtigungen zum Erstellen von Computerkonten
Wenn Benutzer neue Computerkonten in Active Directory einrichten möchten, benötigen sie entsprechende Berechtigungen. Sie müssen festlegen, welche Benutzer neue Clientcomputerkonten erstellen, und die Rechte die^er Benutzer entsprechend ändern.
So richten Sie Berechtigungen zum Erstellen von vorbereiteten Computerkonten ein
1. Klicken Sie auf Start, zeigen Sie auf Programme und Verwaltung, und klicken Sie anschließend aufActive Directory-Benutzer und -Computer.
2. Klicken Sie im Menü Ansicht auf Benutzer, Gruppen und Computer als Container und Erweiterte Funktionen.
3. Klicken Sie in der Konsolenstruktur mit der rechten Maustaste auf das entsprechende Clientcomputerkonto, und klicken Sie anschließend auf Eigenschaften.
4. Klicken Sie im Dialogfeld Eigenschaften auf die Registerkarte Sicherheit und dann auf Hinzufügen.
5. Wählen Sie im Dialogfeld Benutzer, Computer oder Gruppen den Benutzer oder die Gruppe aus der Liste. Klicken Sie anschließend auf Hinzufügen und OK.
6. Klicken Sie im Dialogfeld Eigenschaften auf den Benutzer oder die Gruppe, die Sie hinzugefügt haben.
7. Klicken Sie im Feld Berechtigungen aufLesen, Schreiben, Kennwort ändern und Kennwort zurücksetzen, und klicken Sie anschließend auf OK.
Wenn eine Gruppe diese Berechtigungen besitzt, müssen Sie Benutzer hinzufügen.
Für Clientcomputer, die in einem anderen Active Directory-Ordner vorbereitet wurden, muss die Konsole Active Directory Benutzer und Computer erweitert und das entsprechende Clientcomputerkonto ausgewählt werden.
So richten Sie Berechtigungen zum Erstellen von benutzererstellten Computerkonten ein
1. Klicken Sie auf Start, zeigen Sie auf Programme und Verwaltung, und klicken Sie anschließend auf Active Directory-Benutzer und -Computer.
2. Klicken Sie in der Konsolenstruktur mit der rechte Maustaste auf die gewünschte Domäne, und klicken Sie auf Objektverwaltung zuweisen, um den Assistenten zum Zuweisen der Objektverwaltung zu starten.
3. Klicken Sie auf der Seite Willkommen des Assistenten zum Zuweisen der Objektverwaltung aufWeiter.
4. Klicken Sie auf der Seite Benutzer oder Gruppen auf Hinzufügen.
5. Wählen Sie im Dialogfeld Benutzer, Computer oder Gruppen auswählen das Benutzerkonto oder vorzugsweise die Sicherheitsgruppe, die die Benutzer enthält, für die Sie die Berechtigung einrichten. Klicken Sie anschließend auf Hinzufügen und OK.
6. Klicken Sie auf der Seite Benutzer oder Gruppen auf Hinzufügen.
7. Klicken Sie auf der Seite Zuzuweisende Aufgaben auf Folgende allgemeine Aufgaben zuweisen, klicken Sie auf Fügt einen Computer einer Domäne hinzu und anschließend auf Weiter.
Einrichten von Berechtigungen zum Beitritt von Computerkonten zu einer Domäne
Wenn Benutzer einen Beitritt von neuen Computerkonten zur Domäne einrichten möchten, benötigen sie entsprechende Berechtigungen. Sie müssen festlegen, welche Benutzer zum Beitritt von neuen Clientcomputerkonten zu einer Domäne berechtigt sind, und müssen die Rechte dieser Benutzer entsprechend ändern.
So richten Sie Berechtigungen zum Beitritt von Computerkonten zur Domäne ein, die im Container des Computers erstellt wurden
1. Klicken Sie auf Start, zeigen Sie auf Programme und Verwaltung, und klicken Sie anschließend auf Active Directory-Benutzer und -Computer.
2. Klicken Sie in der Konsolenstruktur mit der rechte Maustaste auf die gewünschte Domäne, und klicken Sie auf Objektverwaltung zuweisen, um den Assistenten zum Zuweisen der Objektverwaltung zu starten.
3. Klicken Sie auf der Seite Willkommen des Assistenten zum Zuweisen der Objektverwaltung auf Weiter.
4. Klicken Sie aufder Seite Benutzer oder Gruppen aufHinzufügen.
5. Wählen Sie im Dialogfeld Benutzer, Computer oder Gruppen das Benutzerkonto oder vorzugsweise die Sicherheitsgruppe, die die Benutzer enthält, die für den Beitritt von Clientcomputem zur Domäne berechtigt sind. Klicken Sie anschließend auf Hinzufügen und OK.
6. Klicken Sie auf der Seite Benutzer oder Gruppen auf Hinzufügen.
7. Klicken Sie auf der Seite Zuzuweisende Aufgaben auf Folgende allgemeine Aufgaben zuweisen, klicken Sie auf Fügt einen Computer einer Domäne hinzu und anschließend auf Weiter.
Anmerkung Da die Anderungen, die Sie an der RIS-Richtlinie vomehmen, nur übernommen werden, wenn die Richtlinie auf Ihren Computer angewendet wird, verwenden Sie zum Initialisieren der Richtlinienübertragung eine der folgenden Möglichkeiten:
● Geben Sie an der Eingabeauffordemng secedit /refreshpolicy machine_policy ein, und drücken Sie die EINGABETASTE.
● Starten Sie den Computer neu.
● Warten Sie auf die automatische Richtlinienübertagung, die in gleichmäßigen, konfigurierbaren Intervallen auftritt. Standardmäßig wird die Richtlinienübertragung alle acht Stunden ausgeführt.
Häufig gestellte Fragen zu RIS
Frage 1: Ich bin nicht sicher, ob ich mit der korrekten PXE ROM-Version arbeite.
Antwort: Wenn der Net PC oder der Clientcomputer gestartet wird, der eine Remoteboot-ROM enthält, wird die Version von PXE ROM auf dem Bildschirm angezeigt. RIS unterstützt die Version .99c oder höher. Sie müssen unter Umständen eine neuere Version des PXE-basierten ROM-Codes von Ihrer OEM-Version erhalten, wenn Sie Probleme mit der bestehenden ROM-Version haben, die auf einem Clientcomputer installiert ist.
Frage 2: Ich bin nicht sicher, ob der Computer eine IP-Adresse erhalten und Kontakt zum RIS-Server aufgenommen hat.
Antwort: Wenn der Clientcomputer gestartet wird, können Sie beobachten, wie die PXE-Boot-ROM geladen und initialisiert wird. Die folgende RemotebootROM-Ladesequenz ist typisch für die meisten PC98- und Net PCs sowie für PXE ROM-basierte Computer und Computer, die eine RIS-Startdiskette verwenden.
Remoteboot-ROM-Ladesequenz
Schritt 1: Der Clientcomputer blendet die Meldung ‑DHCP" ein, die darauf hinweist, dass der Client eine IP-Adresse vom DHCP-Server anfordert. Dies kann auch darauf hindeuten, dass der Client bereits eine IP-Adresse vom DHCP-Server erhalten hat und aufAntwort vom RIS-Server wartet. Um sicherzustellen, dass der Client eine IP-Adresse erhält, überprüfen Sie die IP-Leases, die auflhrem DHCP-Server vergeben wurden.
Fehlerbehandlung: Wenn der Client keine Meldung erhält, wurde möglicherweise keine IP-Adresse empfangen, oder der BINL-Server antwortet nicht. Beachten Sie Folgendes:
● Ist der DHCP-Server verfügbar, und wurde der Dienst gestartet? DHCP- und RIS-Server müssen in Active Directory autorisiert sein, damit ihre Dienste starten können. Stellen Sie sicher, dass der Service gestartet wurde und dass andere Clients, die nicht remotebootfähig sind, IP-Adressen auf diesem Segment empfangen.
● Verfügt der DHCP-Server über einen definierten IP-Adressbereich und wurde dieser aktiviert?
● Befindet sich ein Router zwischen dem Client und dem DHCP-Server, der keine DHCP-Pakete durchlässt?
● Befinden sich im Ereignisprotokoll unter dem Systemprotokoll für DHCP Fehlermeldungen ?
● Können andere Clientcomputer, die nicht remotebootfähig sind, IP-Adressen aufdiesem Netzwerksegment empfangen?
Schritt 2: Wenn der Client eine IP-Adresse vom DHCP-Server erhält, wird die Meldung ‑BINL" eingeblendet. Dies deutet darauf hin, dass die Clients eine IPAdresse erfolgreich geleased haben und nun auf Kontakt mit dem RIS-Server warten. Der Client registriert schließlich eine Zeitüberschreitung und zeigt die Fehlermeldung an, dass keine Startdatei vom DHCP, BNL oder Bootp empfangen wurde.
Fehlerbehandlung: Wenn der Client keine BINL-Meldung erhält, erhält der Client möglicherweise keine Antwort vom RIS-Server. Beachten Sie Folgendes:
● Ist der RIS-Server verfügbar, und wurde RIS gestartet? RIS-Server müssen autorisiert sein, um im Netzwerk zu starten. Verwenden Sie die DHCP-Konsole, um DHCP- und RIS-Server in Active Directory zu autorisieren.
● Empfangen andere remotebootfähige Clients den CIW? Wenn ja, wird dieser Clientcomputer entweder nicht unterstützt, oder es besteht ein Problem mit der Remoteboot-ROM. Überprüfen Sie die Version der PXE-ROM aufdem Clientcomputer. Uberprüfen Sie außerdem in Active Directory, ob der Administrator diesen Client auf einen RIS-Server vorbereitet hat, der Offline oder
für den dientcomputer nicht verfügbar ist.
● Gibt es zwischen Client und RIS-Server einen Router, der die DHCP-basierten Anforderungen oder Antworten nicht durchlässt? Der RIS-Server kommuniziert während der ursprünglichen Dienstanforderung und der Antwortsequenz mit Hilfe von DHCP-Paketen. Sie müssen den Router möglicherweise so konfigurieren, dass er DHCP-Pakete weiterleitet.
● Befinden sich im Ereignisprotokoll innerhalb des System- oder Anwendungsprotokolls RIS (BINLSVC)-, DNS- oder Active Directory-Fehlermeldungen?
Schritt 3: Der Client wechselt zu TFTP oder fordert den Benutzer auf, die Taste F12 zu drücken. Dies zeigt an. dass der Client Kontakt mit dem RIS-Server hat und auf die erste Abbilddatei wartet. Einige Computer blenden keine BINL- oder TFTP-Meldungen ein, da diese Sequenz sehr kurzfristig auftritt.
Fehlerbehandlung: Wenn der Clientcomputer keine Antwort vom RIS-Server erhält, registriert der Client eine Zeitüberschreitung und sendet eine Fehlermeldung, die besagt, dass keine Datei von DHCP, BINL oder TFTP empfangen wurde. In diesem Fall antwortet der RIS-Server nicht auf den Clientcomputer. Gehen Sie folgendermaßen vor:
1. Halten Sie den BINLSVC-Dienst an, und starten Sie ihn emeut, indem Sie auf Start und anschließend auf Ausführen klicken.
2. Geben Sie im Dialogfeld Ausführen im Textfeld die Zeichenkette Net Stop BINLSVC Net Start BINLSVC ein, und klicken Sie auf OK.
3. Wenn Sie den Clientcomputer in Active Directory vor dem Starten des Computers nicht vorbereitet haben, überprüfen Sie die Eigenschaften des RIS-Servers, um sicherzugehen, dass das Kontrollkästchen Auf Dienstanforderungen von Clients antworten aktiviert und das Kontrollkästchen Unbekannten Clients nicht antworten deaktiviert ist.
4. Uberprüfen Sie das Ereignisprotokoll in der Ereignisansicht, um Fehler im Bereich DHCP, DNS, RIS (BINLSVC) oderActive Directory auszuschließen.
Schritt 4: Jetzt sollte der Client den Willkommensbildschirm des CIW heruntergeladen haben und anzeigen.
Frage 3: Ist der Prebootabschnitt der PXE-basierten Remoteboot-ROM sicher?
Antwort: Nein. Die gesamte Boot-ROM-Sequenz und die Installation des Betriebssystems oder des Replikationsprozesses sind nicht sicher im Bezug auf Pakettypverschlüsselung, Client-/Server-Nachahmung oder Sniffer-Mechanismen. RIS sollte auf dem Netzwerk des Unternehmens daher nur mit Vorsicht angewendet werden. Stellen Sie sicher, dass nur autorisierte RIS-Server auf dem Netzwerk zugelassen werden und die Anzahl der zur Installation oder Konfiguration von RIS-Servem autorisierte Administratoren begrenzt ist.
Frage 4: Behält RIS die Dateiattribute und Sicherheitseinstellungen bei, die im Quellcomputer bei der Verwendung der RIPrep-Abbildfunktion definiert wurden?
Antwort: Ja. Die Dateiattribute und Sicherheitseinstellungen, die auf dem Quellcomputer definiert wurden, werden auf dem Zielcomputer beibehalten, der das Abbild installiert. Die RIPrep-Funktion unterstütztjedoch das verschlüsselte Dateisystem nicht, wenn es auf dem Quellclientcomputer aktivert und ausgeführt wird.
Frage 5: Wie repliziere ich alle Installationsabbilder, die sich zurzeit auf dem RIS-Server befinden, auf andere RIS-Server im Netzwerk, um Konsistenz bei allen Clientinstallationen zu gewährleisten?
Antwort: Zur Zeit ist die RIS-Funktion nicht in der Lage, die Replikation von Betriebssystemabbildern von einem RIS-Server auf einen anderen zu unterstützen. Es gibtjedoch verschiedene Möglichkeiten, dieses Problem zu beheben: Verwenden Sie die Replikationsfunktionen des Sysetmmanagementprodukts des Servers. das geplante Replikationen, Komprimierungen und langsame Verbindungen zulässt. Sie können auch andere Anwendungen zur Abbildreplikation verwenden. Stellen Sie sicher, dass der gewählte Replikationsmechanismus das Warten von Dateiattributen und Sicherheitseinstellungen des Quellabbilds unterstützt.
Frage 6: Kann ich einen RIS-Server parallel mit einem anderen Remotebootserver im Netzwerk einsetzen? Falls ja, was sind die Konsequenzen?
Antwort: Ja, Sie können verschiedene Remoteboot-/Remoteinstallationsserver (RB/RI) in einem physischen Netzwerk verwenden. Zurzeit kann der Remoteboot-PXE-ROM-Code den Unterschied zwischen RB/RI-Servern von Drittanbietern nicht erkennen. Wenn also ein remotebootfähiger Clientcomputer gestartet wird und die IP-Adresse eines RB/RI-Servers anfordert, antworten alle verfügbaren Server auf diesen Client. Der Client ist also nicht in der Lage, zu überprüfen, ob er von einem bestimmten RB/RI-Server bedient wird.
Mit RIS haben Sie die Möglichkeit, Clientcomputer in Active Directory vorzubereiten und festzulegen, welcher RIS-Server den Clientcomputer bedient. Sie können den RIS-Server so konfigurieren, dass er nur auf bekannte Clientcomputer (Prestage) antwortet. Dadurch stellen Sie sicher, dass der Client durch den richtigen RIS-Server bedient wird.
Nicht alle weiteren RB/RI-Altemativen haben die Fähigkeit, Dienstanforderungen zu ignorieren. Sie müssen möglicherweise die Server der entsprechenden Hersteller im Netzwerk isolieren, sodass diese RB/RI-Server nicht aufClients antworten.
Frage 7: Kann ich mehrere Netzwerkkarten zur RIS-Startdiskette hinzufügen?
Antwort: Nein. Das Dienstprogramm RBFG.EXE kann nicht geändert werden im Hinblick auf die Anzahl der unterstützten Netzwerkkarten für diese Version von RIS. Microsoft fügt weitere Netzwerkkarten hinzu und stellt das aktualisierte Dienstprogramm RBFG.EXE über die gewohnten Vertriebswege wie beispielsweise das Internet, Windows-Updates und Dienst- oder Funktionspaketaktualisierungen zur Verfügung.
Frage 8: Kann ich Active Directory-Objektattribute zur Erstellung eines Benennungsformats für die automatische RIS-Computerbenennungsfunktion verwenden?
Antwort: Nein. Zurzeit verwenden die bestehenden Attribute, die durch die automatische Benennungsfunktion unterstützt werden, Active Directory. Es werden zurzeit jedoch nicht alle Objektattribute vonActive Directory unterstützt.
Fehlerbehandlung für RIS
Symptom: Befehlseinstellungen werden während der unbeaufsichtigten Installation nicht verarbeitet
Ursache
Wenn Sie in der .sif-Datei die Einstellung ‑OemPreinstall = yes" verwenden, wird die korrekte Verzeichnisinformation benötigt.
Lösung
Andern Sie das Verzeichnis in \Remotelns\.&\\\Smup\angewendete_Sprache\ lmages\angewendeter_Ahbildname\$oem$.
Symptom: Sprachoptionen werden im CIW nicht angezeigt
Ursache
Standardmäßig verwendet RIS die Datei WELCOME.OSC, um die Optionen im Clientinstallationsabbild zu verwalten. Für Sprachoptionen bei Installationsabbildern müssen Sie die standardmäßige WELCOME.OSC durch die Datei MULTILING.OSC ersetzen.
Lösung
Standardmäßig verwendet der CIW die Datei WELCOME.OSC im Verzeichnis \RemoteInstall\OSChooser, um die Optionen im Clientinstallationsabbild zu verwalten. Wenn Sie die Datei WELCOME.OSC entfernen und die Datei MULTILIN.OSC in WELCOME.OSC umbenennen, bietet der CIW ein Menü mit verschiedenen Sprachen an. Sie können die Datei WELCOME.OSC bearbeiten, um benutzerdefinierte Sprachoptionen zu erstellen.
Symptom: Der Clientcomputer wurde aufeinem RIS-Server vorbereitet, wird jedoch von einem anderen Server bedient.
Ursache
Beim Vorbereiten von CIientcomputern in einer Domäne mit mehreren Domänencontrollern kann die Replikationsverzögerung der CAO-Informationen des Clients dazu führen, dass ein Clientcomputer von einem anderen RIS-Server bedient wird.
Lösung
Sie können warten, bis die Computerkonto informationen im Rahmen der nächsten geplanten Replikation übernommen wird oder die Replikationsfrequenz zwischen den Domänencontrollern bearbeiten.
Symptom: Nach dem Wiederherstellen einer RIS-Datenträgersicherung funktioniert RIS nicht mehr korrekt.
Ursache
Bei der Sicherung wurde der Daten träger ohne SIS-Verzeichnis wieder hergestellt.
Lösung
Uberprüfen Sie die Konfiguration des RIS-Datenträgers, und stellen Sie den Datenträger erneut wieder her.
Übungsfragen
Welche Funktion hat Sysvol (oder: freigegebener Systemdatenträger)?
Bei ‑Sysvol" handelt es sich um einen Systemdatenträger, der auf allen Windows 2000-DomänencontroIIern verwaltet wird. Auf diesem Datenträger werden Skripts und einige der Gruppenrichtlinienobjekte für die aktuelle Domäne und das Unternehmen gespeichert. Unter ‑SystemrooASYSVOLXSYSVOL" sind öffentliche Domänendateien gespeichert.
Nennen Sie einige der Gründe für die Erstellung mehrerer Domänen.
Für die Erstellung mehrerer Domänen sprechen z. B. eine dezentralisierte Netzwerkverwaltung, Replikationssteuerung, unterschiedliche Kennwortanforderungen von Unternehmen, große Anzahlen von Objekten, unterschiedliche Internetdomänennamen, internationale Anforderungen und interne firmenpolitische Anforderungen.
Ihr Unternehmen verfügt über einen extemen Internetnamespace, der bei einer DNS-Registrierungsinstanz reserviert ist. Im Rahmen der Implementierung von Active Directory in Ihrem Untemehmen möchten Sie den Namespace für das interne Netzwerk erweitern. Welche Vorteile bietet diese Möglichkeit?
Durch die Erweiterung eines bereits bestehender Namespace werden konsistente Strukturnamen für interne und externe Ressourcen bereit gestellt. Außerdem können Sie in Ihrem Unternehmen dieselben Anmelde- und Benutzernamen für interne und externe Ressourcen verwenden. Zu guter Letzt müssen Sie keinen zusätzlichen DNS-Namespace reservieren.
Welchen Zweck erfüllen Betriebsmasterfunktionen?
Da sich einige Anderungen nur schwer im Multimastermodus vornehmen lassen, können ein oder mehrere Domänencontroller zugewiesen werden, um Einzelmasteroperationen auszuführen (sie dürfen nicht gleichzeitig an verschiedenen Orten in einem Netzwerk auftreten). Betriebsmasterfunktionen werden Domänencontrollern zur Ausführung von Einzelmasteroperationen zugewiesen.
Welche Funktion hat ein Forward-Lookup? Ein Reverse-Lookup?
Bei einem Forward-Lookup wird ein Name in eine IP-Adresse aufgelöst. Bei einem Reverse-Lookup wird eine IP-Adresse in einen Namen aufge
löst.
Welchen Zweck erfüllt ein SOA-Ressourceneintrag?
Der SOA-Ressourceneintrag bestimmt, welcher Namensserver als autorisierende Informationsquelle für Daten innerhalb einer Domäne gilt. Der erste Eintrag in der Zonendatenbankdatei muss der SOA-Eintrag sein. Außerdem sind im SOA-Ressourceneintrag Eigenschaften wie z. B. Versionsinformationen und Zeitangaben gespeichert, die sich auf die Erneuerung oder den Ablaufder Zone auswirken. Diese Eigenschaften bestimmen die Häufigkeit der Zonenübertragungen zwischen den autorisierenden Servern für die Zone.
Was müssen Sie beim Delegieren von Zonen in einem Namespace tun?
Wenn Sie Zonen in einem Namespace delegieren, müssen Sie auch SOARessourceneinträge erstellen, um auf den autorisierenden DNS-Server für die neue Zone zu zeigen. Dies ist zum Übertragen von Autorität und zum Bereitstellen korrekter Verweise zu anderen DNS-Servern und -Clients wichtig, wobei die Clients der neuen Server für die neue Zone autorisieren.
Welche vierAufgaben müssen zur Konfiguration eines Standortes ausgeführt werden?
Erstellen eines Standortes, Verknüpfen eines Subnetzes mit dem Standort, Verbinden des Standortes mittels Standortverknüpfungen und Auswählen eines lizenzierten Standortcomputers.
4. Welche drei Aufgaben müssen zur Konfiguration einer standortübergreifenden Replikation ausgeführt werden?
Erstellen von Standortverknüpfungen, Konfigurieren von Verknüpfungsattributen (z. B. Kosten der Standortverknüpfung, ReplikationshäuHgkeit und -verfügbarkeit) und Erstellen von Standortverknüpfungsbrücken.
5. Worin unterscheiden sich Replikationshäufigkeit und Replikationsverfügbarkeit?
Unter Replikationshäufigkeit versteht man die Dauer zwischen Replikationen aufeiner Standortverknüpfung. ] Replikationsverfügbarkeit besagt, dass eine Standortverknüpfung zur Replikation von Verzeichnisinformationen zur Verfügung steht.
4. Welche Strategie sollten Sie bei der Verwendung von lokalen Domänengruppen und globalen Gruppen verfolgen?
Platzieren Sie Benutzerkonten in globalen Gruppen, platzieren Sie globale Gruppen in lokalen Domänengruppen, weisen Sie anschließend der lokalen Domänengruppe Berechtigungen zu.
6. Wie können Sie einem Benutzer am einfachsten vollständige Kontrolle über alle Computer in einer Domäne geben?
Fügen Sie das entsprechende Benutzerkonto der vordefinierten globalen Gruppe ‑Domänen-Admins" hinzu. Anschließend kann der Benutzer sämtliche administrative Aufgaben auf allen Domänencomputern und in Active Directory ausführen. Der Benutzer erhält die administrative Kontrolle, da Windows 2000 die vordefinierte globale Gruppe ‑DomänenAdmins" sowohl zum Mitglied der integrierten lokalen Administratordomänengruppe als auch der integrierten lokalen Administratorgruppe aufjedem Mitgliedserver und Computer mit Windows 2000 Professional macht. Die integrierte lokale Administratordomänengruppe verfügt über die Gesamtkontrolle über alle Domänencontroller und Active Directory. Jede integrierte lokale Administratorgruppe verfügt über die Gesamtkontrolle über ihren jeweiligen Computer.
5. Ein Angestellter verlässt die Firma. Was müssen Sie tun, um den Besitz seiner Dateien und Ordner an einen anderen Angestellten zu übertragen?
Zur Besitzübernahme der Dateien und Ordner des Mitarbeiters müssen Sie als Administrator angemeldet sein. Erteilen Sie einem^anderen Mitarbeiter die Sonderberechtigung ‑Besitz übernehmen", damit dieser Mitarbeiter den Besitz von Ordnern und Dateien übernehmen kann. Informieren Sie den Mitarbeiter, dem Sie die Berechtigung ‑Besitz übernehmen" erteilt haben, darüber, den Besitz von Dateien und Ordnern zu übernehmen.
2. Wie lauten die Berechtigungen für freigegebene Ordner? Vollzugriff, Ändern und Lesen.
3. Welche Berechtigungen werden einem freigegebenen Ordner standardmäßig zugewiesen?
Der Gruppe ‑Jeder" wird die Berechtigung ‑Vollzugriff" erteilt.
2. Sie möchten dem Manager der Vertriebsabteilung das Erstellen, Bearbeiten und Löschen von Benutzerkonten erlauben, die nur das Vertriebspersonal betreffen. Wie würden Sie vorgehen?
Stellen Sie alle Benutzerkonten der Vertriebsmitarbeiter in einer OU zusammen, und übertragen Sie die Steuerung der OU dem Manager der Vertriebsabteilung.
6. Wie müssen Sie sich anmelden, wenn Sie den Computer im Modus Verzeichnisdienstwiederherstellung neu starten? Wie ist dies zu erklären?
Nach einem Neustart den Computers im Modus ‑Verzeichnisdienstwiederherstellung" müssen Sie sich als Administrator mit einem gültigen Namen und Kennwort eines SAM-Kontos (Security Accounts Manager) und nicht mit dem Namen und Kennwort eines Active Directory-Administrators anmelden. Active Directory ist offline, und eine überprüfung des Kontos kann daher nicht durchgeführt werden. Statt dessen wird die Datenbank für SAM-Konten verwendet, um den Zugriff auf Active Directory während des Offlinebetriebs zu steuern9 Sie haben dieses Kennwort beim Einrichten von Active Directory angegeben.
3. In welcher Reihenfolge werden Gruppenrichtlinien in der Active DirectoryStruktur implementiert?
Standort, Domäne, Oü.
4. Nennen Sie die Aufgaben zum Implementieren von Gruppenrichtlinien.
Erstellen eines GPOs, Erstellen eines Snap-In für das GPO, Delegieren der GPO-Verwaltung, Festlegen von Gruppenrichtlinieneinstellungen für das GPO, Deaktivieren nicht verwendeter Gruppenrichtlinieneinstellungen, Filtern des GPO-Bereichs sowie Verknüpfen des GPOs mit einem Standort, einer Domäne oder OU.
6. Worin besteht der Unterschied zwischen dem Zuweisen und Veröffentlichen von Software?
Weisen Sie eine Softwareanwendung zu, wenn Sie die Anwendung auf allen Computern der Benutzer bereitstellen möchten. Eine Anwendung kann sowohl für Computer als auch für Benutzer zugewiesen werden.
Veröffentlichen Sie eine Softwareanwendung, wenn die Anwendung den Benutzern zur Verfügung stehen soll, die vom GPO verwaltet werden, falls ein Benutzer diese Anwendung benötigt. Bei veröffentlichten Anwendungen kann jeder Benutzer entscheiden, ob er die veröffentlichte Anwendung installieren möchte oder nicht. Eine Anwendung kann nur für Benutzer veröffentlicht werden.
7. Welche Ordner können umgeleitet werden?
Anwendungsdaten, Desktop, Eigene Dateien, Eigene Bilder und Startmenü.
1. Auf welchem Computer richten Sie eine Uberwachungsrichtlinie zum Uberwachen eines Ordners ein, der sich auf einem Mitgliedserver befindet, der zu einer Domäne gehört?
Sie richten die Uberwachungsrichtlinie auf dem Mitgliedsserver ein, da sich die Richtlinie auf dem Computer befinden muss, auf dem der Ordner gespeichert ist.
4. Worin unterscheiden sich Benutzerrechte von Berechtigungen?
Benutzerrechte unterscheiden sich von Berechtigungen, da sie für Benutzerkonten gelten, wohingegen sich Berechtigungen auf Objekte beziehen.
1. Welche Objekte sollten Sie zuerst überprüfen, wenn Probleme mit Active Directory auftreten?
Uberprüfen Sie in der Ereignisanzeige die Ereignisprotokolle der Verzeichnisdienste.
2. Worin besteht der Unterschied zwischen einem Leistungsobjekt und einem Leistungsindikator?
Ein Leistungsobjekt ist eine logische Verbindung von Leistungsindikatoren,
3. Worin besteht der Unterschied zwischen einem Leistungsindikatorenprotokoll und einem Ablaufverfolgungsprotokoll?
Leistungsindikatorenprotokolle sammeln Leistungsdaten für ein angege(»eneslntervall..
4. Welche Aktionen können durch eine Warnung ausgelöst werden?
Warnungen können einen Eintrag in das Anwendungsereignisprotokoll schreiben, eine Netzwerkmeldung an den Computer senden, ein Lei»tungsdatenprotokoll starten oder ein Programm ausführen, wenn der Leistungsindikatorwert eine festgelegte Einstellung über- oder unterschreitet.
5. Weiche Aktionen kann ein Administrator mit dem Supporttool Active Directory Replication Monitor durchführen, und wie kann er auf dieses Tool zugreifen?
Mit dem Active Directory Replication Monitor können Administratoren den Low-Level-Status der Active Directory-Replikation anzeigen, Domänencontroller synchronisieren, die Topologie als Grafik anzeigen und Status und Leistung der Replikation der Domänencontroller über eine grafi. sche Schnittstelle überwachen. ]
1. Was ist RIS? Welche Remoteboottypen werden von RIS unterstützt?
Bei Remote Installation Services (RIS) handelt es sich um Softwaredienste, mit denen ein Administrator neue Clientcomputer einrichten kann, ohne dazu jeden Client einzeln aufzusuchen. Die Zielclients müssen Remoteboot unterstützen. Es werden zwei Typen von remotebootfähigen Clientcomputern unterschieden: Computer mit PXE (Pre-Boot eXecution Environment) DHCP-basierten Remoteboot-ROMS und Computer mit Netzwerkkarten, die von der RIS-Bootdiskette unterstützt werden.
2. Welche Möglichkeiten bietet die PXE-Remoteboottechnologie?
PXE stellt eine neue Form der Remoteboottechnologie dar, die von der Computerindustrie entwickelt wurde. Mit PXE sind Unternehmen in der Lage, ihre gewohnte TCP/IP-Netzwerkinfrastruktur mit DHCP zu nutzen, um RIS-Server im Netz ausfindig zu machen. Net PC/PC98-kompatible Systeme können die Remoteboottechnologie in Windows 2000 nutzen. Net PC/PC98 steht für das jährlich aktualisierte Handbuch für Hardwareentwickler, herausgegeben von Microsoft und Intel in Zusammenarbeit mit Compaq und anderen Hardwareherstellern. PC98 entwickelt Normen für die Hardwareentwicklung, um die PC-Technologie voranzutreiben und Microsoft so in die Lage zu versetzen, herausragende Funktionen wie beispielsweise RIS in die Windows-Plattform zu integrieren.
4. Was ist ein RIPrep-Abbild?
Die Option zur Erstellung von RIPrep-Abbildern ermöglicht dem Netzwerkadministrator das Duplizieren einer kompletten Standarddesktopkonfiguration mit Betriebssystemkonfiguration, Desktopanpassungen und lokal installierten Anwendungen. Nachdem Windows 2000 Professional einschließlich der Dienste und der Standardanwendungen zum ersten Mal auf einem Computer installiert wurde, führt der Netzwerkadministrator einen Assistenten aus, der das Installationsabbild vorbereitet und es auf einem verfügbaren RIS-Server im Netz repliziert, um es zur Installation auf anderen Clients bereitzustellen.
5. Was ist der CIW?
Benutzer von Clients mit Remotebootfunktion melden sich mit dem Clientinstallations-Assistenten (CIW) an, um Installationsoptionen, Betriebssysteme sowie Tools zur Wartung und Fehlerbehebung auszuwählen. Der Assistent fragt den Benutzer nach seinem Namen, Kennwort und dem Namen der Domäne. Nachdem die Benutzereingaben überprüft wurden, zeigt der Assistent die verfügbaren Installationsoptionen an. Hat der Benutzer eine Option ausgewählt, wird das ausgewählte Abbild der Betriebssysteminstallation aufdie lokale Festplatte des Clientcomputers kopiert.
Besucher seit 25.2.2004
|
