Nicht nur die generelle Installation von Serverrollen und die Überwachung von Servern hat Microsoft überarbeitet, sondern auch die Möglichkeit, Serverdienste mit verwalteten Dienstkonten zu konfigurieren. Diese Dienstkonten erhalten durch das Active Directory automatisch und regelmäßig neue Kennwörter.
Netzwerkangriffe durch kompromittierte Serverdienste sind so zumindest erschwert. Verwaltete Dienstkonten bieten seit Windows Server 2008 R2 eine Möglichkeit, auch für Serverdienste regelmäßige Kennwortänderungen durchzuführen.
In Windows Server 2012 hebt Microsoft die Grenze der Konten für einzelne Server auf, sodass sich die verwalteten Dienstkonten netzwerkweit auch auf mehreren Servern nutzen lassen. In Windows Server 2008 R2 waren Dienstkonten noch an einzelne Server gebunden, was die Verwaltung unnötig kompliziert hat. Microsoft optimiert auch die Zusammenarbeit von Domänencontroller und Hyper-V sowie die Wege, Domänencontroller schneller bereitzustellen. In Windows Server 2012 lassen sich Domänencontroller problemlos virtualisieren, ohne bei der Erstellung von Snapshots Gefahr zu laufen. die AD-Datenbank zu zerstören.
Um einen virtuellen Domänencontroller zu klonen, sind keine Spezialwerkzeuge notwendig, sondern Sie kopieren einfach die virtuelle Maschine und geben dem Klon einen neuen Namen im Netzwerk. Durch die neue Gen-ID in Windows Server 2012 und deren Unterstützung in Hyper-V 3.0 erkennt der neue Server das Active Directory und bindet sich ein. Administratoren können auf diesem Weg daher extrem einfach Domänencontroller im Netzwerk vervielfältigen.
PowerShell und neue CMDlets
Administratoren, die Active Directory installieren, verwenden den Assistenten zur Installation von Rollen im Server-Manager. Dieser installiert die entsprechenden Dateien und startet auch den Assistenten zur Einrichtung.
Dcpromo steht nicht mehr zur Verfügung. Um Active Directory in der PowerShell zu verwalten, benötigen Sie entweder eine Remotedesktop-Verbindung zu einem Domänencontroller mit Windows Server 2012, oder Sie müssen die Verwaltungs-Tools für Active Directory und das Modul für die Active Directory-Verwaltung in der PowerShell installieren.
Die neuen CMDlets zeigen Sie mit
get-command *adds*
an. Sie brauchen dazu vorher kein Modul mehr zu laden, das kann die PowerShell 3.0 in Windows Server 2012 automatisch im Hintergrund.
Administratoren, die sich nicht mit der PowerShell auseinandersetzen wollen, können Active Directory zwar auch über den Server-Manager installieren, aber mit der PowerShell gibt es mehr Möglichkeiten zum Skripten. Mit dem CMDlet Install-ADDSDomainController installieren Sie neue Domänencontroller in bestehenden Domänen. Install-ADDSDomain erstellt eine neue Domäne, Install-ADDSForest eine neue Gesamtstruktur.
Haben Sie die Installationsdateien von Active Directory auf einem Server installiert, erhalten Sie für den entsprechenden Server eine Warnung, dass Sie Active Directory noch konfigurieren müssen. Über den Link in der Warnung starten Sie die Installation von Active Directory auf dem entsprechenden Server.
Während der Heraufstufung erscheinen alle Fenster, die erforderlich sind, um den Server optimal an das Active Directory anzubinden. Auch den Standort legen Sie im Fenster fest.
Am Ende des Assistenten steht über die Schaltfläche Skript anzeigen die Möglichkeit zur Verfügung, das Heraufstufen auch über die PowerShell durchzuführen. Auf diesem Weg lernen Sie die neuen CMDlets kennen. Erst wenn Sie das Fenster bestätigen, führt Windows Server 2012 die Änderungen durch. Vorher passiert noch nichts.
Vor dem eigentlichen Heraufstufen testet Windows Server 2012 die Voraussetzungen für die Installation von Active Directory. Erst danach installieren Sie den Server. Sie können die Voraussetzungen auch selbst über die PowerShell durchführen, wie im vorigen Abschnitt besprochen.
Active-Directory-Voraussetzungen in der PowerShell testen
Um Active Directory zu testen, verwenden Sie entweder den Server-Manager oder die PowerShell. Im Server-Manager zeigt Windows Server 2012 die installierten Serverrollen an, und Sie erkennen an der Farbe, ob es Probleme gibt oder ob alles funktioniert.
Wenn Sie auf AD DS klicken, sehen Sie alle Domänencontroller im Netzwerk und wichtige Einträge in den Ereignisanzeigen der Domänencontroller.
In der PowerShell testen Sie Domänencontroller mit Test-ADDSDomainControllerInstallation, Test-ADDSDomainControllerUnInstallation, Test-ADDSDomainInstallation, Test-ADDSForestInstallation und Test-ADDSReadOnlyDomainControllerUnInstallation.
Die Verwaltungskonsole Active Directory Administrative Center bietet außerdem mehr Möglichkeiten als die Vorgängerversion. In der neuen Konsole können Sie zum Beispiel die einzelnen Aktionen, die Sie durchführen, auch als PowerShell-Befehl anzeigen. Diese zeigt das Center in der Windows PowerShell History im unteren Bereich der Konsole an.
Mit CMDlet Test-ADDSDomainControllerInstallation können Sie die Voraussetzungen für die Installation eines Domänencontrollers testen. Die Voraussetzungen für schreibgeschützte Domänencontroller testen Sie mit Test-ADDSReadOnlyDomainControllerUnInstallation.
Test-ADDSDomainControllerUninstallation testet die Voraussetzungen für die Deinstallation eines Domänencontrollers. Das Tool bereit sozusagen die Ausführung des CMDlets Uninstall-ADDSDomainController vor.
Mit Test-ADDSDomainInstallation testen Sie die Voraussetzungen für die Installation einer neuen Domäne in Active Directory, Test-ADDSForestInstallation überprüft das Gleiche für eine neue Gesamtstruktur auf Basis von Windows Server 2012.
Bekannte Tools zur AD-Analyse in neuem Gewand
Haben Sie Active Directory installiert, stehen auch in Windows Server 2012 die bekannten Tools dcdiag.exe, repadmin.exe und Co zur Analyse zur Verfügung. Für die Namensauflösung können Sie weiterhin nslookup verwenden oder die neuen CMDlets zur Verwaltung von DNS einsetzen, zum Beispiel resolve-dnsname.
Über das Kontextmenü eines Domänencontrollers in der Servergruppe AD DS können Sie Verwaltungs-Tools und Tools zur Analyse der Domäne starten. Es öffnet sich ein Befehlszeilenfenster, in dem Sie mit den bereits bekannten Mitteln aus Windows Server 2008 R2 eine Analyse durchführen können.
Die Analyse startet aber nicht, indem Sie das Tool im Kontextmenü des Servers im neuen Server-Manager aufrufen. Hier öffnet sich lediglich eine neue Befehlszeile, die die Hilfe des Tools anzeigt. Die Diagnose selbst starten Sie nach der Installation von Active Directory, indem Sie dcdiag oder repadmin verwenden und dabei auf die verschiedenen Optionen der Befehle setzen.
Domänencontrollerdiagnose verwenden - Dcdiag
Das wichtigste Tool für die Diagnose von Domänencontrollern ist auch in Windows Server 2012 Dcdiag. Sie können das Tool in der Eingabeaufforderung aufrufen, indem Sie dcdiag eingeben oder über den beschriebenen Weg über das Kontextmenü des Servers im Server-Manager starten.
Es wird geprüft, ob das Computerkonto in Active Directory in Ordnung ist und ob das Computerkonto sich richtig registriert hat. Sie können über die Option dcdiag /RecreateMachineAccount eine Fehlerbehebung versuchen, wenn der Test fehlschlägt. Auch die Optionen /FixMachineAccount und /fix versuchen, Fehler zu beheben.
Mit dcdiag /a überprüfen Sie alle Domänencontroller am gleichen Active-Directory-Standort, über dcdiag /e werden alle Server in der Gesamtstruktur getestet. Um sich nur die Fehler und keine Informationen anzeigen zu lassen, verwenden Sie dcdiag /q. Die Option dcdiag /s:<Domänencontroller> ermöglicht den Test eines Servers über das Netzwerk, dcdiag /v testet ausführlicher
Active-Directory-Replikation anzeigen - Repadmin, Nltest und Co.
Das wichtigste Tool, um die Replikation in Active Directory zu überprüfen, ist Repadmin. Geben Sie in der Eingabeaufforderung den Befehl repadmin/showreps ein. Es werden alle durchgeführten Replikationsvorgänge von Active Directory sowie etwaige Fehler angezeigt, die auf die Ursache der nicht funktionierenden Replikation hinweisen.
Sie können die Anzeige auch in eine Datei mit repadmin/showreps >c:\repl.txt umleiten lassen. Stellen Sie sicher, dass die Replikation nur einige Minuten zurückliegt, damit Sie interne Replikationsprobleme der Domänencontroller ausschließen können. Sie sehen, dass Sie bereits einige Maßnahmen aus dem Tool ableiten können, die Sie bei der Fehlersuche unterstützen. Wichtig auch in diesem Bereich der Fehlersuche ist, dass Sie die Beschreibung des Fehlers so genau wie möglich wählen, damit Sie bei der Suche im Internet nur die wirklich passenden Antworten präsentiert bekommen.
Geben Sie in der Eingabeaufforderung den Befehl nltest /dclist:<NetBIOS-Domänenname> ein, zum Beispiel nltest /dclist:contoso. Alle Domänencontroller sollten mit ihren vollständigen Domänennamen ausgegeben werden. Werden einzelne Domänencontroller nur mit ihrem NetBIOS-Namen angezeigt, überprüfen Sie deren DNS-Registrierung auf den DNS-Servern.
Ebenfalls wichtig ist die Abfrage der verschiedenen Betriebsmaster. Diese lassen Sie sich gebündelt mit netdom query fsmo anzeigen oder einzeln über die Befehle dsquery server -hasfsmo pdc (PDC-Master), dsquery server -hasfsmo rid (RID-Master), dsquery server -hasfsmo infr (Infrastruktur-Master), dsquery server -hasfsmo schema (Schemamaster) und dsquery server -hasfsmo name (Domänennamenmaster).
Nach der Installation von Active Directory werden in der Forward-Lookup-Zone der entsprechenden DNS-Domäne zahlreiche Einstellungen vorgenommen. Überprüfen Sie in der DNS-Verwaltung, ob die Einträge von Active Directory fehlerfrei vorgenommen worden sind. Sie brauchen nicht alle Einträge zu überprüfen, können aber schon an der Übersicht erkennen, ob überhaupt Einträge erstellt wurden. Alle notwendigen Dienste von Active Directory werden als SRV-Record im DNS gespeichert. Den DNS-Manger starten Sie im Server-Manager über das Kontextmenü des Servers in der Gruppe DNS.
Im nächsten Schritt besteht die Möglichkeit, die Diagnoseprotokollierung des Active Directory in der Ereignisanzeige zu testen. Standardmäßig schreiben Domänencontroller nur kritische Fehler von Active Directory in die Ereignisanzeige, speziell in das Protokoll Verzeichnisdienst. Wenn Sie im neuen Server-Manager auf AD DS klicken, sehen Sie alle Einträge der verschiedenen Domänencontroller. Dazu müssen Sie die Server im Server-Manager hinzufügen.
Um mehrere Server im Netzwerk zu verwalten, klicken Sie im Server-Manager auf Verwalten\Server hinzufügen. Anschließend können Sie Server mit Windows Server 2012 an den neuen Server-Manager anbinden. Sobald Sie die Server hinzugefügt haben, sehen Sie in der entsprechenden Gruppe, ob Fehler vorliegen. Auf diese Weise überprüfen Sie für mehrere Server auf einmal die Ereignisanzeigen.
Leistungsüberwachung zur Diagnose nutzen
Windows Server 2012 stellt mit der Leistungsüberwachung ein mächtiges Tool zur Verfügung, um Performance-Probleme auf einem Server aufzudecken. Bekannt ist das Werkzeug bereits seit Windows Server 2008 R2. Es eignet sich dazu, eine Diagnose in Active Directory durchzuführen.
Die Bedienung hat sich im Vergleich zu den Vorgängerversionen nur wenig geändert. Sie finden das Tool im Server-Manager über Toolseistungsüberwachung. schneller rufen sie das tool durch eingabe von perfmon.msc im startbildschirm auf.
mit perfmon /res starten sie den ressourcenmonitor, der eine echtzeitanzeige der aktuell verbrauchten ressourcen bietet, ähnlich wie der task-manager. vor allem, wenn in einem active directory noch zusatzdienste installiert sind, zum beispiel sharepoint, exchange oder sql, tauchen schnell leistungsprobleme auf, die sich oft aber durch die leistungsüberwachung aufdecken und beheben lassen.
liegen leistungsprobleme in exchange oder anderen serverdiensten vor, die von active directory abhängen, zum beispiel bezüglich des postfachzugriffs oder dem versenden von nachrichten, besteht häufig auch ein problem in active directory oder dns.
das heißt, parallel zur leistungsüberwachung sollten sie noch eine diagnose der namensauflösung sowie eine diagnose der domänencontroller durchführen, zum beispiel über dcdiag.exe. exchange, aber auch andere dienste, die das ad benötigen, greifen über die systemdatei wldap32.dll auf das active directory zu. dabei laufen (vereinfacht) folgende vorgänge ab:
1. die datei wldap32.dll auf dem exchange-server erhält durch einen exchange-prozess eine anfrage, auf den globalen katalog zuzugreifen.
2. per dns versucht der server, den globalen katalogserver aufzulösen, um auf diesen zugreifen zu können. dauert dieses auflösen zu lange, verzögert sich bereits an dieser stelle der active-directory-zugriff.
3. nach der namensauflösung baut die wldap32.dll eine verbindung zum globalen katalog auf und überträgt die anfrage.
4. anschließend werden eine tcp-verbindung aufgebaut und eine ldap-abfrage gestartet. damit die verbindung funktioniert, benötigt die tcp-verbindung drei bestätigungen durch den domänencontroller. bei einer latenz von 10 ms im netzwerk dauert der zugriff in diesem fall also 30 ms, bevor der exchange-server die ldap-abfrage übertragen kann.
5. die ldap-abfrage wird zur datei lsass.exe auf dem domänencontroller übertragen, die auf den ldap-port des servers hört.
6. der domänencontroller nimmt die abfrage an den globalen katalog entgegen und führt die suche in seinem globalen katalog durch.
7. der globale katalog sendet die daten über die netzwerkkarte zur datei wldap32.dll auf dem exchange-server. handelt es sich um eine hohe anzahl an daten, zum beispiel beim auflösen der mitglieder einer verteilergruppe, müssen erst alle daten übertragen werden, bevor exchange mit der verarbeitung weitermachen kann.
verbindung von exchange-servern zum active directory
der oben beschriebene ablauf erklärt, warum ein großer teil der leistung bei servern von der netzwerkgeschwindigkeit zwischen exchange-server und dem globalen katalog oder domänencontroller abhängt. aus diesem grund sollten sie bei leistungsproblemen der exchange-infrastruktur auch immer die geschwindigkeit des netzwerks messen.
auch die geschwindigkeit der anbindung zum dns-server und eine schnelle, stabile und korrekte namensauflösung sind sehr wichtig. die geschwindigkeit zum dns-server darf 50 ms nicht überschreiten, wenn sie die leistung des exchange-servers optimieren wollen. dauert die anfrage länger, haben sie schon den ersten flaschenhals in der exchange-leistung. dazu reicht das pingen des servers aus, sie benötigen noch nicht mal die leistungsüberwachung.
wichtig für die verbindung von exchange zum active directory ist die indikatorgruppe msexchange adaccess-prozesse in der leistungsüberwachung. diese fügt der exchange-installationsassistent auf einem server hinzu. erweitern sie diese gruppe, um die indikatoren zu sehen. interessant sind in dieser gruppe die beiden indikatoren ldap-lesedauer und ldap-suchdauer.
klicken sie dazu auf das pluszeichen neben der indikatorgruppe im oberen bereich und dann auf die beiden indikatoren. ldap-lesedauer misst die zeit, die eine ldap-abfrage bis zur datenübermittlung benötigt. ldap-suchdauer zeigt die zeit an, die der server für eine suche per ldap im active directory braucht. der durchschnittswert für diese indikatoren sollte unter 50 ms liegen, die maximaldauer sollte nicht über 100 ms steigen. über die symbolleiste der leistungsüberwachung können sie die anzeige zwischen linie, histogrammleiste und bericht hin- und herwechseln. auf diesem weg erhalten sie zum beispiel schneller eine übersicht, wenn ein bestimmter server probleme beim verbinden mit dem active directory hat.
ldap-zugriff auf domänencontrollern überwachen
damit active-directory-abhängige dienste schnell und effizient daten aus dem active directory abrufen können, muss der globale katalog schnell antworten und darf nicht überlastet sein. um diese auslastung zu überprüfen, können sie ebenfalls die leistungsüberwachung verwenden. klicken sie anschließend auf datensammlersätze\system\active directory diagnostic und dann auf das grüne dreieck in der symbolleiste, um den sammlungssatz zu starten. hat ein server leistungsprobleme, starten sie den sammlungssatz einfach und lassen eine zeit lang die abfragen messen.
nach einiger zeit beenden sie die messung über das kontextmenü des sammlungssatzes oder die symbolleiste. anschließend können sie über berichte\system\active directory diagnostics die daten der letzten messung anzeigen lassen. in verschiedenen bereichen sehen sie alle durchgeführten aufgaben und deren daten und zugriffsgeschwindigkeiten. auf diesem weg können sie schnell erkennen, wo probleme auf dem server verursacht werden. (mje)
dieser artikel basiert auf einem beitrag der cw-schwesterpublikation tecchannel.