Vereinfachte Verwaltung für AD DSAD DS Simplified Administration

Gilt für: Windows Server 2016, Windows Server 2012 R2, Windows Server 2012Applies To: Windows Server 2016, Windows Server 2012 R2, Windows Server 2012

In diesem Thema werden die Funktionen und Vorteile der Bereitstellung und Verwaltung von Windows Server 2012-Domänen Controllern sowie die Unterschiede zwischen der Bereitstellung des Betriebssystem-DC und der neuen Windows Server 2012-Implementierung erläutert.This topic explains the capabilities and benefits of Windows Server 2012 domain controller deployment and administration, and the differences between previous operating system DC deployment and the new Windows Server 2012 implementation.

In Windows Server 2012 wurde die nächste Generation von Active Directory Domain Services vereinfachte Verwaltung eingeführt, und die Neuerstellung der Domäne war seit Windows 2000 Server der größte.Windows Server 2012 introduced the next generation of Active Directory Domain Services Simplified Administration, and was the most radical domain re-envisioning since Windows 2000 Server. Die vereinfachte AD DS-Administration ist eine Umsetzung der Erfahrungen zwölf Jahren Active Directory und bietet Architekten und Administratoren ein flexibleres, intuitiveres und leichter zu unterstützendes Administrationserlebnis.AD DS Simplified Administration takes lessons learned from twelve years of Active Directory and makes a more supportable, more flexible, more intuitive administrative experience for architects and administrators. Hierzu mussten wir neue Versionen existierender Technologien erstellen und die Funktionen einiger Komponenten aus Windows Server 2008 R2 erweitern.This meant creating new versions of existing technologies as well as extending the capabilities of components released in Windows Server 2008 R2.

Die vereinfachte AD DS-Administration ist ein neuartiger Weg der Domänen-Bereitstellung.AD DS Simplified Administration is a reimagining of domain deployment.

  • Die AD DS-Rollenbereitstellung ist nun Teil der neuen Server-Manager-Architektur und erlaubt die Remote-InstallationAD DS role deployment is now part of the new Server Manager architecture and allows remote installation
  • Als AD DS-Bereitstellungs- und Konfigurations-Engine dient nun Windows PowerShell, selbst bei Verwendung des neuen AD DS-Konfigurations-AssistentenThe AD DS deployment and configuration engine is now Windows PowerShell, even when using the new AD DS Configuration Wizard
  • Schemaerweiterung, Gesamtstruktur- und Domänenvorbereitung sind automatisch Teil der Domänencontroller-Heraufstufung und umfassen keine separaten Aufgaben mehr auf speziellen Servern wie z. B. dem SchemamasterSchema extension, forest preparation, and domain preparation are automatically part of domain controller promotion and no longer require separate tasks on special servers such as the Schema Master
  • Zur Heraufstufung gehört nun eine Voraussetzungsprüfung, bei der die Bereitschaft von Gesamtstruktur und Domäne für den neuen Domänencontroller geprüft und somit Fehler bei der Heraufstufung vermieden werdenPromotion now includes prerequisite checking that validates forest and domain readiness for the new domain controller, lowering the chance of failed promotions
  • Das Active Directory-Modul für Windows PowerShell enthält nun Cmdlets für die Verwaltung von Replikationstopologien, dynamische Zugriffssteuerung und andere OperationenActive Directory module for Windows PowerShell now includes cmdlets for replication topology management, Dynamic Access Control, and other operations
  • Die Windows Server 2012-Gesamtstrukturfunktionsebene enthält keine neuen Features, und die Domänenfunktionsebene wird nur für einen Teil der neuen Kerberos-Features benötigt. Administratoren sind daher weniger häufig auf homogene Domänencontroller-Umgebungen angewiesenThe Windows Server 2012 forest functional level does not implement new features and domain functional level is required only for a subset of new Kerberos features, relieving administrators of the frequent need for a homogenous domain controller environment
  • Virtualisierte Domänencontroller werden nun vollständig unterstützt, um automatische Bereitstellung zu unterstützen und Rollbackschutz zu bietenFull support added for Virtualized Domain Controllers, to include automated deployment and rollback protection

Außerdem wurden zahlreiche Verbesserungen in den Bereichen Verwaltung und Wartung vorgenommen:In addition, there are many administrative and maintenance improvements:

  • Das Active Directory-Verwaltungscenter enthält einen grafischen Active Directory-Papierkorb, differenzierte Kennwortrichtlinien und die Windows PowerShell-VerlaufsanzeigeThe Active Directory Administrative Center includes a graphical Active Directory Recycle Bin, Fine-Grained Password Policy management, and Windows PowerShell history viewer
  • Der neue Server-Manager bietet AD DS-spezifische Bildschirme für die Leistungsüberwachung, Analyse bewährter Methoden, kritische Dienste und EreignisprotokolleThe new Server Manager has AD DS-specific interfaces into performance monitoring, best practice analysis, critical services, and the event logs
  • Gruppenverwaltete Dienstkonten unterstützen mehrere Computer mit denselben SicherheitsprinzipalenGroup Managed Service Accounts support multiple computers using the same security principals
  • Verbesserungen bei der Ausstellung von relativen Bezeichnern (RIDs) zur Erleichterung der Verwaltung älterer Active Directory-DomänenImprovements in Relative Identifier (RID) issuance and monitoring for better manageability in mature Active Directory domains

AD DS von anderen neuen Features, die in Windows Server 2012 enthalten sind, wie z. b.:AD DS profits from other new features included in Windows Server 2012, such as:

  • NIC-Teaming und Data Center BridgingNIC teaming and Datacenter Bridging
  • DNS-Sicherheit und schnellere, in AD integrierte Zonenverfügbarkeit nach dem HochfahrenDNS Security and faster AD-integrated zone availability after boot
  • Verbesserungen der Zuverlässigkeit und Skalierbarkeit von Hyper-VHyper-V reliability and scalability improvements
  • BitLocker-NetzwerkentsperrungBitLocker Network Unlock
  • Zusätzliche Windows PowerShell-Module für die KomponentenverwaltungAdditional Windows PowerShell component administration modules

ADPREP-IntegrationADPREP Integration

Erweiterungen des Gesamtstrukturschemas und Domänenvorbereitung in Active Directory sind nun in den Konfigurationsprozess des Domänencontrollers integriert.Active Directory forest schema extension and domain preparation now integrate into the domain controller configuration process. Wenn Sie einen neuen Domänencontroller in einer bestehenden Gesamtstruktur heraufstufen, erkennt der Prozess den Upgradestatus und die Phasen für Schemaerweiterung und Domänenvorbereitung werden automatisch ausgeführt.If you promote a new domain controller into an existing forest, the process detects upgrade status and the schema extension and domain preparation phases occur automatically. Der Benutzer, der den ersten Windows Server 2012-Domänencontroller installiert, muss weiterhin ein Unternehmens-Admin und Schema-Admin sein oder entsprechende gültige alternative Anmeldeinformationen eingeben.The user installing the first Windows Server 2012 domain controller must still be an Enterprise Admin and Schema Admin or provide valid alternate credentials.

Adprep.exe ist weiterhin auf der DVD enthalten, um Gesamtstrukturen und Domänen separat vorbereiten zu können.Adprep.exe remains on the DVD for separate forest and domain preparation. Die mit Windows Server 2012 ausgelieferte Version des Tools ist abwärtskompatibel mit Windows Server 2008 x64 und Windows Server 2008 R2.The version of the tool included with Windows Server 2012 is backwards compatible to Windows Server 2008 x64 and Windows Server 2008 R2. Adprep.exe unterstützt außerdem remote-forestprep und remote-domainprep, genau wie die ADDSDeployment-basierten Konfigurationstools für Domänencontroller.Adprep.exe also supports remote forestprep and domainprep, just like the ADDSDeployment-based domain controller configuration tools.

Weitere Informationen zu Adprep und zur Gesamtstrukturvorbereitung in älteren Betriebssystemen finden Sie unter Running Adprep (Windows Server 2008 R2).For information about Adprep and previous operating system forest preparation, see Running Adprep (Windows Server 2008 R2).

AD DS-Integration mit Server-ManagerServer Manager AD DS Integration

Screenshot, der das Server-Manager-Dashboard anzeigt.

Server-Manager dient als Hub für Serververwaltungsaufgaben.Server Manager acts as a hub for server management tasks. Das Dashboardähnliche Aussehen aktualisiert die Ansichten installierter Rollen und Remote-Servergruppen automatisch in regelmäßigen Abständen.Its dashboard-style appearance periodically refreshes views of installed roles and remote server groups. Server-Manager ermöglicht die zentralisierte Verwaltung lokaler und remote-Server ohne jeglichen Konsolenzugriff.Server Manager provides centralized management of local and remote servers, without the need for console access.

Active Directory Domain Services ist eine dieser Hub-Rollen. Wenn Sie Server-Manager auf einem Domänen Controller oder auf einem Windows 8-Remoteserver-Verwaltungstools ausführen, werden wichtige aktuelle Probleme in den Domänen Controllern in Ihrer Gesamtstruktur angezeigt.Active Directory Domain Services is one of those hub roles; by running Server Manager on a domain controller or the Remote Server Administration Tools on a Windows 8, you see important recent issues on domain controllers in your forest.

Zu diesen Ansichten zählen:These views include:

  • SerververfügbarkeitServer availability
  • Systemmonitor-Warnungen für hohe CPU- und SpeicherauslastungPerformance monitor alerts for high CPU and memory usage
  • Der Status AD DS-spezifischer Windows-DiensteThe status of Windows services specific to AD DS
  • Neue verzeichnisdienstbezogene Warnungen und Fehler im EreignisprotokollRecent Directory Services-related warning and error entries in the event log
  • Analyse der Umsetzung bewährter Methoden in einem Domänencontroller anhand einer Reihe von Microsoft festgelegter RegelnBest Practice analysis of a domain controller against a set of Microsoft-recommended rules

Active Directory-Verwaltungscenter - PapierkorbActive Directory Administrative Center Recycle Bin

Screenshot, in dem die Objekte zum Löschen im Active Directory-Verwaltungscenter Papierkorb angezeigt werden.

Mit Windows Server 2008 R2 wurde der Active Directory-Papierkorb eingeführt, mit dem gelöschte Active Directory-Objekte auch ohne Datensicherung, Neustart des AD DS-Dienstes oder Neustart von Domänencontrollern wiederhergestellt werden können.Windows Server 2008 R2 introduced the Active Directory Recycle Bin, which recovers deleted Active Directory objects without restoring from backup, restarting the AD DS service, or rebooting domain controllers.

Windows Server 2012 erweitert die Windows PowerShell-basierten Wiederherstellungskapazitäten um eine neue grafische Oberfläche im Active Directory-Verwaltungscenter.Windows Server 2012 enhances the existing Windows PowerShell-based restore capabilities with a new graphical interface in the Active Directory Administrative Center. Dort können Administratoren den Papierkorb aktivieren und gelöschte Objekte in den Domänenkontexten der Gesamtstruktur suchen und wiederherstellen, ohne dafür direkt irgendwelche Windows PowerShell-Cmdlets ausführen zu müssen.This allows administrators to enable the Recycle Bin and locate or restore deleted objects in the domain contexts of the forest, all without directly running Windows PowerShell cmdlets. Active Directory-Verwaltungscenter und Active Directory-Papierkorb verwenden unter der Oberfläche weiterhin Windows PowerShell. Sie können Ihre alten Skripts und Prozeduren also weiterhin verwenden.The Active Directory Administrative Center and Active Directory Recycle Bin still use Windows PowerShell under the covers, so previous scripts and procedures are still valuable.

Weitere Informationen zum Active Directory-Papierkorb finden Sie unter Active Directory Recycle Bin Step-by-Step Guide (Windows Server 2008 R2).For information about the Active Directory Recycle Bin, see Active Directory Recycle Bin Step-by-Step Guide (Windows Server 2008 R2).

Active Directory-Verwaltungscenter - differenzierte Kennwortrichtlinien (FGPP)Active Directory Administrative Center Fine-Grained Password Policy

Screenshot, der die Active Directory-Verwaltungscenter Fine-Grained grafische Benutzeroberfläche der Kenn Wort Richtlinie anzeigt.

Mit Windows Server 2008 wurden die differenzierten Kennwortrichtlinien eingeführt, mit denen Administratoren unterschiedliche Kennwort- und Kontosperrungsrichtlinien pro Domäne konfigurieren können.Windows Server 2008 introduced the Fine-Grained Password policy, which allows administrators to configure multiple password and account lockout policies per domain. Auf diese Weise können Domänen flexiblere Kennwortregeln auf Basis von Benutzern und Gruppen enthalten.This allows domains a flexible solution to enforce more or less restrictive password rules, based on users and groups. Diese Funktion enthielt jedoch keine grafische Oberfläche und musste von Administratoren mithilfe von Ldp.exe oder Adsiedit.msc konfiguriert werden.It had no managerial interface and required administrators to configure it using Ldp.exe or Adsiedit.msc. Mit Windows Server 2008 R2 wurde das Active Directory-Modul für Windows PowerShell eingeführt, mit dem Administratoren eine Befehlszeilenschnittstelle für FGPP zur Verfügung haben.Windows Server 2008 R2 introduced the Active Directory module for Windows PowerShell, which granted administrators a command-line interface to FGPP.

Windows Server 2012 enthält eine grafische Benutzeroberfläche für die differenzierten Kontorichtlinien.Windows Server 2012 brings a graphical interface to Fine-Grained Password Policy. Dieser neue Dialog ist im Active Directory-Verwaltungscenter untergebracht und vereinfacht die FGPP-Verwaltung für alle Administratoren.The Active Directory Administrative Center is the home of this new dialog, which brings simplified FGPP management to all administrators.

Weitere Informationen zu fein abgestimmten Kennwortrichtlinien finden Sie unter Schrittweise Anleitung für die Konfiguration abgestimmter Kennwort- und Kontosperrungsrichtlinien für AD DS (Windows Server 2008 R2).For information about the Fine-Grained Password Policy, see AD DS Fine-Grained Password and Account Lockout Policy Step-by-Step Guide (Windows Server 2008 R2).

Active Directory-Verwaltungscenter - PowerShell-VerlaufsanzeigeActive Directory Administrative Center Windows PowerShell History Viewer

Screenshot, der die Active Directory-Verwaltungscenter Windows PowerShell History Viewer zeigt.

Mit Windows Server 2008 R2 wurde das Active Directory-Verwaltungscenter eingeführt, welches das ältere, seit Windows 2000 enthaltene, Active Directory-Benutzer und -Computer-Snap-In ersetzt.Windows Server 2008 R2 introduced the Active Directory Administrative Center, which superseded the older Active Directory Users and Computers snap-in created in Windows 2000. Das Active Directory-Verwaltungscenter bietet eine grafische Verwaltungsoberfläche für das damals noch neue Active Directory-Modul für Windows PowerShell.The Active Directory Administrative Center creates a graphical administrative interface to the then-new Active Directory module for Windows PowerShell.

Das Active Directory-Modul enthält jedoch über einhundert Cmdlets, was zu einer steilen Lernkurve für neue Administratoren führt.While the Active Directory module contains over a hundred cmdlets, the learning curve for an administrator can be steep. Da Windows PowerShell jedoch eng mit der Windows-Verwaltungsstrategie integriert ist, enthält das Active Directory-Verwaltungscenter nun eine Ansicht, mit der Sie die Cmdlet-Ausführung in der grafischen Benutzeroberfläche beobachten können.Since Windows PowerShell integrates heavily into the strategy of Windows administration, the Active Directory Administrative Center now includes a viewer that enables you to see the cmdlet execution in the graphical interface. Sie können mit einer einfach zu bedienenden Oberfläche suchen, kopieren, den Verlauf löschen und Notizen hinzufügen.You can search, copy, clear history, and add notes with a simple interface. Administratoren können die grafische Benutzeroberfläche zum Erstellen und Ändern von Objekten verwenden und diese anschließend in der Verlaufsanzeige betrachten, um sich mit Windows PowerShell-Skripts vertraut zu machen und die Beispiele zu modifizieren.The intent is for an administrator to use the graphical interface to create and modify objects, and then review them in the history viewer to learn more about Windows PowerShell scripting and modify the examples.

AD-Replikation mit Windows PowerShellAD Replication Windows PowerShell

Screenshot, der zeigt, wie Cmdlets für die AD-Replikation verwendet werden.

Mit Windows Server 2012 wurde das Active Directory Windows PowerShell-Modul um zusätzliche Active Directory-Replikations-Cmdlets erweitert.Windows Server 2012 adds additional Active Directory replication cmdlets to the Active Directory Windows PowerShell module. Mit diesen Cmdlets können neue oder existierende Standorte, Subnetze, Verbindungen, Standortverknüpfungen und Brücken konfiguriert werden.These allow configuration of new or existing sites, subnets, connections, site links, and bridges. Außerdem geben die Cmdlets Informationen zu Active Directory-Replikations-Metadaten, Replikationsstatus, Warteschlangen und Versionsvektoren zurück.They also return Active Directory replication metadata, replication status, queuing, and up-to-dateness version vector information. Die Einführung dieser Replikations-Cmdlets - gemeinsam mit den Bereitstellungs- und anderen AD DS-Cmdlets - ermöglichen die Verwaltung von Gesamtstrukturen allein mithilfe von Windows PowerShell.The introduction of the replication cmdlets - combined with the deployment and other existing AD DS cmdlets - makes it possible to administer a forest using Windows PowerShell alone. Auf diese Weise erhalten Administratoren neue Möglichkeiten zur Bereitstellung und Verwaltung von Windows Server 2012 ohne grafische Benutzeroberfläche, wodurch wiederum Angriffsoberfläche und Wartungsanforderungen gesenkt werden.This creates new opportunities for administrators wishing to provision and manage Windows Server 2012 without a graphical interface, which then reduces the operating system's attack surface and servicing requirements. Dies ist besonders wichtig bei der Bereitstellung von Servern in Hochsicherheitsnetzwerken wie z. B. Secret Internet Protocol Router (SIPR) und Unternehmens-DMZs.This is especially important when deploying servers into high security networks such as Secret Internet Protocol Router (SIPR) and corporate DMZs.

Weitere Informationen zur AD DS-Standorttopologie und -Replikation finden Sie unter Windows Server Technical Reference.For more information about AD DS site topology and replication, see the Windows Server Technical Reference.

Verbesserungen bei der RID-Ausstellung und -VerwaltungRID Management and Issuance Improvements

Mit Windows 2000 Active Directory wurde der RID-Master eingeführt, der Pools mit relativen Bezeichnern an Domänencontroller ausstellt, um Sicherheits-IDs (SIDs) für Vertrauensnehmer wie z. B. Benutzer, Gruppen und Computer zu generieren.Windows 2000 Active Directory introduced the RID Master, which issues pools of relative identifiers to domain controllers, in order to create security identifiers (SIDs) of security trustees like users, groups, and computers. Dieser globale RID-Raum ist standardmäßig auf 230 (bzw. 1.073.741.823) SIDs pro Domäne begrenzt.By default, this global RID space is limited to 230 (or 1,073,741,823) total SIDs created in a domain. SIDs können nicht in den Pool zurückgegeben oder erneut ausgestellt werden.SIDs cannot return to the pool or reissue. Mit der Zeit können die SIDs in großen Domänen knapp werden oder durch versehentliche massenhafte Ausstellung erschöpft werden.Over time, a large domain may begin to run low on RIDs, or accidents may lead to unnecessary RID depletion and eventual exhaustion.

Windows Server 2012 behandelt zahlreiche Probleme bei der RID-Ausstellung und -Verwaltung, die von Kunden und dem Microsoft-Kundensupport seit der Einführung der ersten Active Directory-Domänen im Jahr 1999 entdeckt wurden.Windows Server 2012 addresses a number of RID issuance and management issues uncovered by customers and Microsoft Customer Support as AD DS matured since the creation of the first Active Directory domains in 1999. Dazu gehören:These include:

  • Regelmäßige RID-Verbrauchswarnungen werden in das Ereignisprotokoll geschriebenPeriodic RID consumption warnings are written to the event log
  • Ereignisse werden geschrieben, wenn ein Administrator einen RID-Pool ungültig machtEvents log when an administrator invalidates a RID pool
  • Für die RID-Blockgröße wird nun eine Obergrenze erzwungenA maximum cap on the RID policy RID Block Size is now enforced
  • Künstliche RID-Obergrenzen werden erzwungen und protokolliert, wenn der globale RID-Raum knapp wird. Auf diese Weise können Administratoren reagieren, bevor der globale Raum erschöpft istArtificial RID ceilings are now enforced and logged when the global RID space is low, allowing an administrator to take action before the global space is exhausted
  • Der globale RID-Raum kann nun um ein Bit erhöht und somit auf 231 (2.147.483.648 SIDs) vergrößert werdenThe global RID space can now be increased by one bit, doubling the size to 231 (2,147,483,648 SIDs)

Weitere Informationen zu RIDs und dem RID-Master finden Sie unter How Security Identifiers Work.For more information about RIDs and the RID Master, review How Security Identifiers Work.

AD DS-Rollenbereitstellung und VerwaltungsarchitekturAD DS Role Deployment and Management Architecture

Server-Manager und ADDSDeployment Windows PowerShell verwenden die folgenden Kernassemblys für die Bereitstellung und Verwaltung von AD DS-Rollen:Server Manager and ADDSDeployment Windows PowerShell rely on the following core assemblies for functionality when deploying or managing the AD DS role:

  • Microsoft.ADroles.Aspects.dllMicrosoft.ADroles.Aspects.dll
  • Microsoft.ADroles.Instrumentation.dllMicrosoft.ADroles.Instrumentation.dll
  • Microsoft.ADRoles.ServerManager.Common.dllMicrosoft.ADRoles.ServerManager.Common.dll
  • Microsoft.ADRoles.UI.Common.dllMicrosoft.ADRoles.UI.Common.dll
  • Microsoft.DirectoryServices.Deployment.Types.dllMicrosoft.DirectoryServices.Deployment.Types.dll
  • Microsoft.DirectoryServices.ServerManager.dllMicrosoft.DirectoryServices.ServerManager.dll
  • Addsdeployment.psm1Addsdeployment.psm1
  • Addsdeployment.psd1Addsdeployment.psd1

Beide Komponenten verwenden Windows PowerShell und dessen Remote-Aufrufbefehl für die Remote-Rolleninstallation und -Konfiguration.Both rely on Windows PowerShell and its remote invoke-command for remote role installation and configuration.

vereinfachte Verwaltung

In Windows Server 2012 wurden außerdem zahlreiche frühere Heraufstufungsoperationen aus LSASS.EXE umgestaltet, als Teil von:Windows Server 2012 also refactors a number of previous promotion operations out of LSASS.EXE, as part of:

  • DS-Rollenserverdienst (DsRoleSvc)DS Role Server Service (DsRoleSvc)
  • DSRoleSvc.dll (geladen vom DsRoleSvc-Dienst)DSRoleSvc.dll (loaded by DsRoleSvc service)

Dieser Dienst muss installiert sein und laufen, um virtuelle Domänencontroller herauf- oder herabstufen oder klonen zu können.This service must be present and running in order to promote, demote, or clone virtual domain controllers. Bei der AD DS-Rolleninstallation wird dieser Dienst installiert und standardmäßig für manuellen Start konfiguriert.AD DS role installation adds this service and sets a start type of Manual, by default. Deaktivieren Sie diesen Dienst nicht.Do not disable this service.

ADPrep- und VoraussetzungsprüfungsarchitekturADPrep and Prerequisite Checking Architecture

Adprep muss nun nicht mehr auf dem Schemamaster ausgeführt werden.Adprep no longer requires running on the schema master. Adprep kann remote auf einem beliebigen Computer unter Windows Server 2008 x64 oder einer neueren Version ausgeführt werden.It can be run remotely from a computer that runs Windows Server 2008 x64 or later.

Hinweis

Adprep verwendet LDAP zum Importieren von Schxx.ldf-Dateien und verbindet sich nicht automatisch neu, wenn die Verbindung zum Schemamaster während des Importvorgangs abbricht.Adprep uses LDAP to import Schxx.ldf files and does not automatically reconnect if the connection to the schema master is lost during import. Der Schemamaster wird als Teil dieses Importvorgangs in einen bestimmten Modus versetzt, und die automatische Verbindungswiederherstellung wird deaktiviert, da die LDAP-Verbindung andernfalls nicht im richtigen Modus wiederhergestellt würde.As part of the import process, the schema master is set in a specific mode and automatic reconnection is disabled because if LDAP reconnects after the connection is lost, the re-established connection would not be in the specific mode. In diesem Fall würde das Schema nicht korrekt aktualisiert werden.In that case, the schema would not be updated correctly.

Die Voraussetzungsprüfung stellt sicher, dass bestimmte Bedingungen erfüllt sind.Prerequisite checking ensures that certain conditions are true. Diese Bedingungen sind Voraussetzung für die erfolgreiche AD DS-Installation.These conditions are required for successful AD DS installation. Ein Teil dieser Bedingungen kann direkt korrigiert werden, bevor die Installation fortgesetzt wird.If some required conditions are not true, they can be resolved before continuing the installation. Außerdem wird erkannt, wenn eine Gesamtstruktur oder Domäne nicht vorbereitet wurde, und der Adprep-Bereitstellungscode wird automatisch ausgeführt.It also detects that a forest or domain are not yet prepared, so that the Adprep deployment code runs automatically.

Ausführbare ADPrep-Dateien, DLLs, LDFs, DateienADPrep Executables, DLLs, LDFs, files

  • ADprep.dllADprep.dll
  • Ldifde.dllLdifde.dll
  • Csvde.dllCsvde.dll
  • Sch14.ldf - Sch56.ldfSch14.ldf - Sch56.ldf
  • Schupgrade.catSchupgrade.cat
  • *dcpromo.csv*dcpromo.csv

Der zuvor in ADprep.exe untergebrachte AD-Vorbereitungscode ist nun in adprep.dll enthalten.The AD Preparation code formerly housed in ADprep.exe is refactored into adprep.dll. Auf diese Weise können sowohl ADPrep.exe als auch das ADDSDeployment Windows PowerShell-Modul die Bibliothek für dieselben Aufgaben verwenden und haben denselben Funktionsumfang.This allows both ADPrep.exe and the ADDSDeployment Windows PowerShell module to use the library for the same tasks and have the same capabilities. Adprep.exe ist auf dem Installationsmedium enthalten, wird jedoch von den automatischen Prozessen nicht direkt aufgerufen. Nur Administratoren führen Adprep.exe manuell aus.Adprep.exe is included with the installation media but automated processes do not call it directly - only an Administrator runs it manually. Adprep.exe kann nur unter Windows Server 2008 x64 und neueren Betriebssystemen ausgeführt werden.It can only run on Windows Server 2008 x64 and later operating systems. Ldifde.exe und csvde.exe wurden ebenfalls als DLLs umgestaltet, die vom Vorbereitungsprozess geladen werden.Ldifde.exe and csvde.exe also have refactored versions as DLLs that are loaded by the preparation process. Die Schemaerweiterung verwendet weiterhin die LDF-Dateien mit geprüften Signaturen, wie in früheren Betriebssystemversionen.Schema extension still uses the signature-verified LDF files, like in previous operating system versions.

Diagramm, das zeigt, wie ADprep.dll sowohl ADPrep.exe als auch das addsdeployment Windows PowerShell-Modul die Bibliothek für dieselben Aufgaben verwenden und über dieselben Funktionen verfügen.

Wichtig

Es existiert kein 32-Bit Adprep32.exe-Tool für Windows Server 2012.There is no 32-bit Adprep32.exe tool for Windows Server 2012. Sie benötigen mindestens einen Computer unter Windows Server 2008 x64, Windows Server 2008 R2 oder Windows Server 2012, der als Domänencontroller, Mitgliedsserver oder in einer Arbeitsgruppe läuft, um Gesamtstruktur und Domäne vorbereiten zu können.You must have at least one Windows Server 2008 x64, Windows Server 2008 R2, or Windows Server 2012 computer, running as a domain controller, member server, or in a workgroup, to prepare the forest and domain. Adprep.exe läuft nicht unter Windows Server 2003 x64.Adprep.exe does not run on Windows Server 2003 x64.

VoraussetzungsprüfungPrerequisite Checking

Das in den verwalteten Code von ADDSDeployment Windows PowerShell integrierte System zur Voraussetzungsprüfung funktioniert je nach Operation auf unterschiedliche Arten.The prerequisite checking system built into ADDSDeployment Windows PowerShell managed code works in different modes, based on the operation. Die folgenden Tabellen beschreiben die einzelnen Tests, deren jeweilige Anwendungsfälle und erläutern, was und wie genau geprüft wird.The tables below describe each test, when it is used, and an explanation of how and what it validates. Diese Tabellen sind hilfreich, wenn Probleme auftreten, bei denen die Prüfung fehlschlägt und die Fehlermeldung nicht zur Problembehandlung ausreicht.These tables may be useful if there are issues where the validation fails and the error is not sufficient to troubleshoot the problem.

Diese Tests schreiben in den Ereignisprotokollkanal Verzeichnisdienste-Bereitstellung unter der Aufgabenkategorie Core, immer mit der Ereignis-ID 103.These tests log in the DirectoryServices-Deployment operational event log channel under the Task Category Core, always as Event ID 103.

Windows PowerShell - VoraussetzungenPrerequisite Windows PowerShell

Für jedes Domänencontroller-Bereitstellungs-Cmdlet existiert ein ADDSDeployment Windows PowerShell-Cmdlet.There are ADDSDeployment Windows PowerShell cmdlets for all of the domain controller deployment cmdlets. Die Cmdlets haben sehr ähnliche Argumente wie ihre jeweiligen Gegenstücke.They have approximately the same arguments as their associated cmdlets.

  • Test-ADDSDomainControllerInstallationTest-ADDSDomainControllerInstallation
  • Test-ADDSDomainControllerUninstallationTest-ADDSDomainControllerUninstallation
  • Test-ADDSDomainInstallationTest-ADDSDomainInstallation
  • Test-ADDSForestInstallationTest-ADDSForestInstallation
  • Test-ADDSReadOnlyDomainControllerAccountCreationTest-ADDSReadOnlyDomainControllerAccountCreation

Diese Cmdlets müssen normalerweise nicht ausgeführt werden, da sie standardmäßig automatisch von den Bereitstellungs-Cmdlets aufgerufen werden.There is no need to run these cmdlets, ordinarily; they already automatically execute with the deployment cmdlets by default.

VoraussetzungsprüfungenPrerequisite Tests

PrüfungsnameTest Name ProtokolleProtocols

usedused

Erklärung und HinweiseExplanation and notes
VerifyAdminTrustedVerifyAdminTrusted

ForDelegationProviderForDelegationProvider

LDAPLDAP Prüft, ob Sie die Berechtigung "Ermöglichen, dass Computer- und Benutzerkonten für Delegierungszwecke vertraut wird" (SeEnableDelegationPrivilege) auf dem existierenden Partner-Domänencontroller haben.Validates that you have the "Enable computer and user accounts to be trusted for delegation" (SeEnableDelegationPrivilege) privilege on the existing partner domain controller. Hierfür wird Zugriff auf Ihr konstruiertes tokenGroups-Attribut benötigt.This requires access to your constructed tokenGroups attribute.

Wird nicht verwendet, wenn ein Microsoft Windows Server 2003-Domänencontroller kontaktier wird.Not used when contacting Windows Server 2003 domain controllers. Sie müssen diese Berechtigung vor der Heraufstufung manuell bestätigenYou must manually confirm this privilege prior to promotion

VerifyADPrepVerifyADPrep

Voraussetzungen (Gesamtstruktur)Prerequisites (forest)

LDAPLDAP Sucht und kontaktiert den Schemamaster mithilfe des rootDSE namingContexts-Attributs und dem Schema-Namenskontext-Attribut fsmoRoleOwner.Discovers and contacts the Schema Master using the rootDSE namingContexts attribute and Schema naming context fsmoRoleOwner attribute. Ermittelt, welche Vorbereitungsoperationen (forestprep, domainprep oder rodcprep) für die AD DS-Installation benötigt werden.Determines which preparatory operations (forestprep, domainprep, or rodcprep) are required for AD DS installation. Prüft, ob objectVersion für das Schema wie erwartet ist und ob eine weitere Erweiterung benötigt wird.Validates the schema objectVersion is expected and if it requires further extension.
VerifyADPrepVerifyADPrep

Voraussetzungen (Domäne und RODC)Prerequisites (domain and RODC)

LDAPLDAP Sucht und kontaktiert den Infrastruktur-Master mithilfe des rootDSE namingContexts-Attributs und dem Infrastrukturcontainer-Attribut fsmoRoleOwner.Discovers and contacts the Infrastructure Master using the rootDSE namingContexts attribute and the Infrastructure container fsmoRoleOwner attribute. Im Fall einer RODC-Installation wird bei dieser Prüfung der Domänennamenmaster gesucht und sichergestellt, dass dieser online ist.In the case of an RODC installation, this test discovers the domain naming master and make sure it is online.
CheckGroupCheckGroup

MembershipMembership

LDAP,LDAP,

RPC über SMB (LSARPC)RPC over SMB (LSARPC)

Prüft, ob der Benutzer Mitglied der Gruppen Domänen-Admins bzw. Unternehmens-Admins ist, je nach Operation (DA beim Hinzufügen oder Herabstufen eines Domänencontrollers, UA beim Hinzufügen oder Entfernen einer Domäne)Validate the user is a member of Domain Admins or Enterprise Admins group, depending on the operation (DA for adding or demoting a domain controller, EA for adding or removing a domain)
CheckForestPrepCheckForestPrep

GroupMembershipGroupMembership

LDAP,LDAP,

RPC über SMB (LSARPC)RPC over SMB (LSARPC)

Prüft, ob der Benutzer Mitglied der Gruppen Schema-Admins und Unternehmens-Admins ist und ob er die Berechtigung zur Verwaltung der Überwachungs- und Sicherheitsereignisprotokolle (SesScurityPrivilege) auf den existierenden Domänencontrollern hatValidate the user is a member of Schema Admins and Enterprise Admins groups and has the Manage Audit and Security Event Logs (SesScurityPrivilege) privilege on the existing domain controllers
CheckDomainPrepCheckDomainPrep

GroupMembershipGroupMembership

LDAP,LDAP,

RPC über SMB (LSARPC)RPC over SMB (LSARPC)

Prüft, ob der Benutzer Mitglied der Gruppe Domänen-Admins ist und ob er die Berechtigung zur Verwaltung der Überwachungs- und Sicherheitsereignisprotokolle (SesScurityPrivilege) auf den existierenden Domänencontrollern hatValidate the user is a member of Domain Admins group and has the Manage Audit and Security Event Logs (SesScurityPrivilege) privilege on the existing domain controllers
CheckRODCPrepCheckRODCPrep

GroupMembershipGroupMembership

LDAP,LDAP,

RPC über SMB (LSARPC)RPC over SMB (LSARPC)

Prüft, ob der Benutzer Mitglied der Gruppe Unternehmens-Admins ist und ob er die Berechtigung zur Verwaltung der Überwachungs- und Sicherheitsereignisprotokolle (SesScurityPrivilege) auf den existierenden Domänencontrollern hatValidate the user is a member of Enterprise Admins group and has the Manage Audit and Security Event Logs (SesScurityPrivilege) privilege on the existing domain controllers
VerifyInitSyncVerifyInitSync

AfterRebootAfterReboot

LDAPLDAP Prüft, ob der Schemamaster seit dem Neustart mindestens einmal repliziert wurde, indem ein Dummywert für das rootDSE-Attribut becomeSchemaMaster gesetzt wirdValidate that the Schema Master has replicated at least once since it restarted by setting a dummy value on rootDSE attribute becomeSchemaMaster
VerifySFUHotFixVerifySFUHotFix

ÜbernommenApplied

LDAPLDAP Prüft, ob das existierende Gesamtstruktur-Schema bekannte problematische SFU2-Erweiterungen für das UID-Attribut mit OID 1.2.840.113556.1.4.7000.187.102 enthältValidate the existing forest schema does not contain known problem SFU2 extension for the UID attribute with OID 1.2.840.113556.1.4.7000.187.102

(https://support.microsoft.com/kb/821732)(https://support.microsoft.com/kb/821732)

VerifyExchangeVerifyExchange

SchemaFixedSchemaFixed

LDAP, WMI, DCOM, RPCLDAP, WMI, DCOM, RPC Überprüfen Sie, ob das vorhandene Gesamtstruktur Schema noch keine Problem Austausch 2000-Erweiterungen ms-Exch-Assistant-Name, ms-Exch-LabeledURI und MS-Exch-House-Identifier () enthält. https://support.microsoft.com/kb/314649Validate the existing forest schema does not still contain problem Exchange 2000 extensions ms-Exch-Assistant-Name, ms-Exch-LabeledURI, and ms-Exch-House-Identifier (https://support.microsoft.com/kb/314649)
VerifyWin2KSchemaVerifyWin2KSchema

KonsistenzConsistency

LDAPLDAP Prüft, ob das existierende Gesamtstruktur-Schema konsistente (nicht auf falsche Weise extern modifizierte) Core-Attribute und Klassen enthält.Validate the existing forest schema has consistent (not incorrectly modified by a third party) core attributes and classes.
DCPromoDCPromo DRSR über RPC,DRSR over RPC,

LDAP,LDAP,

DNSDNS

RPC über SMB (SAMR)RPC over SMB (SAMR)

Prüft die an den Heraufstufungscode übergebene Befehlszeilensyntax und testet die Heraufstufung.Validate the command-line syntax passed to the promotion code and test promotion. Prüft, ob die Gesamtstruktur bzw. Domäne bereits existiert, falls diese neu erstellt werden.Validate the forest or domain does not already exist if creating new.
VerifyOutboundVerifyOutbound

ReplicationEnabledReplicationEnabled

LDAP, DRSR über SMB, RPC über SMB (LSARPC)LDAP, DRSR over SMB, RPC over SMB (LSARPC) Prüft, ob die Replikation in ausgehender Richtund in dem als Replikationspartner angegebenen Domänencontroller aktiviert ist. Dazu wird das Optionsattribut des NTDS-Einstellungsobjekts für NTDSDSA_OPT_DISABLE_OUTBOUND_REPL (0x00000004) ausgelesenValidate the existing domain controller specified as the replication partner has outbound replication enabled by checking the NTDS Settings object's options attribute for NTDSDSA_OPT_DISABLE_OUTBOUND_REPL (0x00000004)
VerifyMachineAdminVerifyMachineAdmin

KennwortPassword

DRSR über RPC,DRSR over RPC,

LDAP,LDAP,

DNSDNS

RPC über SMB (SAMR)RPC over SMB (SAMR)

Prüft, ob das für DSRM eingestellte Wiederherstellungskennwort für den abgesicherten Modus die Komplexitätsanforderungen erfüllt.Validate the safe mode password set for DSRM meets domain complexity requirements.
VerifySafeModePasswordVerifySafeModePassword N/VN/A Prüft, ob das lokale Administratorkennwort die Komplexitätsanforderungen der Computer-Sicherheitsrichtlinie erfüllt.Validate the local Administrator password set meets computer security policy complexity requirements.