Logo faq-o-matic.net
Logo faq-o-matic.net

Wichtige Betriebsmaster während der Domänenaktualisierung

von veröffentlicht am19. Dezember 2005, 15:11 Uhr Kurzlink und Zitatlink einblenden
Kategorie Kategorie: Active Directory, Migration   Translate with Google Translate Translate EN   Die angezeigte Seite drucken

Während der Aktualisierung der Active-Directory-Domänencontroller auf Windows Server 2003 nehmen zwei Einzelbetriebsmaster, zusätzlich zu ihren eigentlichen Aufgaben, wichtige Rollen ein.

Diese Aufgaben werden durchgeführt wenn:

  • die Einzelbetriebsmasterrolle von einem Windows 2000 Server auf einen Windows Server 2003 verschoben wird, oder wenn
  • der Rolleninhaber durch ein In-Place-Update von Windows 2000 Server auf Windows Server 2003 aktualisiert wird.
PDC-Emulator

Der PDC-Emulator, den es ja einmal pro Domäne gibt, erzeugt neue Sicherheitsprinzipale. Bestens bekannt aus dieser Reihe ist ja die neue „Built-In“ Gruppe „Remote Destop Users“. Falls in Ihrer Domäne diese Gruppen fehlen, dann war noch nie ein Server 2003 Inhaber der PDC-Emulator-Einzelbetriebsmasterrolle.

Folgende Aufgaben werden durch den PDC-Emulator während der Aktualisierung der Domäne vorgenommen:

  • Neue Sicherheitsprinzipale werden pro Domäne angelegt:
    • Builtin\Remote Desktop Users
    • Builtin\Network Configuration Operators
    • Performance Monitor Users
    • Performance Log Users
    • Builtin\Incoming Forest Trust Builders
    • Builtin\Performance Monitoring Users
    • Builtin\Performance Logging Users
    • Builtin\Windows Authorization Access Group
    • Builtin\Terminal Service License Server
  • Gruppenmitgliedschaften werden verändert:
    • Falls die Gruppe „Everyone“ in der Gruppe „Pre-Windows 2000 Compatible Access“ Mitglied ist, dann werden zusätzlich die Gruppen „Anonymous Logon“ und „Authenticated Users“ aufgenommen
    • Die Gruppe „Network Service“ wird Mitglied in der Gruppe „Performance Log Users“
    • Die Gruppe „Enterprise Domain Controllers“ wird Mitglied in der Gruppe „Windows Authorization Access“

Wenn der PDC-Emulator einer Root-Domäne aktualisiert wird, dann werden weitere Sicherheitsprinzipale für den ganzen Forest angelegt:

  • LocalService
  • NetworkService
  • NTLM Authentication
  • Other Organziation
  • Remote Interactive Logon
  • SChannel Authentication
  • This Organization

Domain-Naming-Master

Der Domain-Naming-Master, der einmal pro Forest existiert, erzeugt die Voraussetzungen für die bessere Konfiguration der Replikation der DNS Daten. Es handelt sich hierbei um die neuen Anwendungspartitionen „ForestDNSZones“ und „DomainDNSZones“ in denen DNS Daten gespeichert werden können.

Die Partition „ForestDNSZones“ wird hierbei zu allen DCs/DNS-Servern des ganzen Forest repliziert. Die „DomainDNSZones“ dagegen nur zu allen DC/DNS Server der Domäne.

Ein „dcpromo“ auf einem Windows Server 2003 speichert in dieser Partition die DNS-Zone „_msdcs.forestrootdomain.tld“. Diese wird damit im ganzen „Forest“ repliziert.

In der „DomainDNSZones“ Partition wird normalerweise die Zone „forestrootdomain.tld“ im Falle der „Root“ Domäne, oder die Zone „subdomain.forestrootdomain.tld“ im Falle einer Subdomäne gespeichert.

Mit dem Befehl ntdsutil/domain management/list kann nachvollzogen werden ob die DNS Anwendungspartitionen erzeugt worden sind

Abbildung 1 : DNS Anwendungspartitionen

Mit der DNS-MMC kann der Speicherort für DNS Zonendatenfestgelegt werden:

Abbildung 2 : DNS Konfiguration

© 2005-2019 bei faq-o-matic.net. Alle Rechte an den Texten liegen bei deren Autorinnen und Autoren.

Jede Wiederveröffentlichung der Texte oder von Auszügen daraus - egal ob kommerziell oder nicht - bedarf der ausdrücklichen Genehmigung durch die jeweiligen Urheberinnen oder Urheber.

Das Impressum findet sich unter: http://www.faq-o-matic.net/impressum/

Danke, dass du faq-o-matic.net nutzt. Du hast ein einfaches Blog sehr glücklich gemacht!