Teilen über


Neues beim Installieren und Entfernen der Active Directory-Domänendienste

Die Bereitstellung von Active Directory Domain Services (AD DS) in Windows Server 2012 erfolgt einfacher und schneller als in vorherigen Versionen von Windows Server. Der AD DS-Installationsprozess basiert von nun an auf Windows PowerShell, und er ist in Server-Manager integriert. Die Anzahl der zum Einfügen von Domänencontrollern in eine vorhandene Active Directory-Umgebung erforderlichen Schritte wurde reduziert. Dadurch wird der Prozess zum Erstellen einer neuen Active Directory-Umgebung einfacher und effizienter. Durch den neuen AD DS-Bereitstellungsprozess werden potenzielle Fehler, die anderenfalls zum Blockieren der Installation geführt hätten, minimiert.

Zudem können Sie die AD DS-Serverrollen-Binärdateien (d. h. die AD DS-Serverrolle) auf mehreren Servern gleichzeitig installieren. Sie können den AD DS-Installations-Assistenten auch per Remoteverbindung auf einem individuellen Server ausführen. Diese Verbesserungen erhöhen die Flexibilität beim Bereitstellen von Domänencontrollern unter Windows Server 2012. Dies gilt insbesondere für umfangreiche, globale Bereitstellungen, bei denen viele Domänencontroller in Niederlassungen in verschiedenen Regionen bereitgestellt werden müssen.

Die AD DS-Installation umfasst die folgenden Features:

  • Integration von „Adprep.exe“ in den AD DS-Installationsprozess. Die mühsamen Schritte, die zum Vorbereiten eines vorhandenen Active Directory erforderlich sind (beispielsweise die Verwendung einer Vielzahl unterschiedlicher Anmeldeinformationen, das Kopieren der „Adprep.exe“-Dateien oder das Anmelden bei spezifischen Domänencontrollern) wurden sämtlichst vereinfacht oder automatisiert. Dadurch wird die zum Installieren von AD DS erforderliche Zeit verkürzt, und potenzielle Fehler, durch die die Heraufstufung von Domänencontrollern anderenfalls blockiert werden würde, werden reduziert.

    In Umgebungen, in denen die Ausführung der adprep.exe-Befehle im Vorfeld der Installation eines neuen Domänencontrollers zu bevorzugen ist, können Sie die adprep.exe-Befehle weiterhin gesondert von der AD DS-Installation ausführen. Die Windows Server 2012-Version von „adprep.exe“ wird remote ausgeführt, sodass Sie alle erforderlichen Befehle über einen Server ausführen können, auf dem eine 64-Bit-Version von Windows Server 2008 oder höher installiert ist.

  • Die neue AD DS-Installation basiert auf Windows PowerShell und kann per Remoteverbindung aufgerufen werden. Die neue AD DS-Installation ist in Server-Manager integriert, sodass Sie zum Installieren von AD DS dieselbe Schnittstelle wie zum Installieren anderer Serverrollen verwenden können. Für Windows PowerShell-Benutzer bieten die Cmdlets für die AD DS-Bereitstellung eine umfangreichere Funktionalität und mehr Flexibilität. Zwischen den Installationsoptionen auf Befehlszeilenebene und auf der grafischen Benutzeroberfläche herrscht funktionale Gleichwertigkeit.

  • Die neue AD DS-Installation umfasst eine Überprüfung der Voraussetzungen. Potenzielle Fehler werden bereits vor Beginn der Installation identifiziert. Sie können Fehlerzustände noch vor deren Eintreten korrigieren und müssen sich keine Sorgen um Probleme machen, die aus einem teilweise abgeschlossenen Upgrade resultieren. Wenn beispielsweise %%amp;quot;adprep/domainprep%%amp;quot; ausgeführt werden muss, überprüft der Installations-Assistent, ob der Benutzer über die ausreichenden Rechte zum Ausführen des Vorgangs verfügt.

  • Konfigurationsseiten werden in einer Reihenfolge gruppiert, die die Anforderungen der am häufigsten verwendeten Heraufstufungsoptionen mit verwandten Optionen widerspiegelt, die auf weniger Assistentenseiten gruppiert sind. Dies sorgt bei der Wahl von Installationsoptionen für mehr Überblick.

  • Es kann ein Windows PowerShell-Skript mit allen Optionen exportiert werden, die während der grafischen Installation angegeben wurden. Am Ende einer Installation oder Deinstallation können Sie die Einstellungen in ein Windows PowerShell-Skript exportieren, um denselben Vorgang zu automatisieren.

  • Vor dem Neustart erfolgt nur kritische Replikation. Neuer Schalter zum Zulassen der Replikation nicht kritischer Daten vor dem Neustart. Weitere Informationen finden Sie unter Argumente für das Cmdlet %%amp;quot;ADDSDeployment%%amp;quot;.

Konfigurations-Assistent für die Active Directory-Domänendienste

Ab Windows Server 2012 ersetzt der Konfigurations-Assistent für Active Directory Domain Services den alten Assistenten zum Installieren von Active Directory Domain Services als Option der Benutzeroberfläche (User Interface, UI) für die Angabe von Einstellungen beim Installieren eines Domänencontrollers. Der Konfigurations-Assistent für die Active Directory-Domänendienste beginnt, wenn der Assistent zum Hinzufügen von Rollen abgeschlossen wurde.

Warnung

Der alte Assistent zum Installieren von Active Directory Domain Services („dcpromo.exe“) ist ab Windows Server 2012 veraltet.

Unter Installieren von Active Directory Domain Services (Ebene 100) wird anhand der UI-Verfahren veranschaulicht, wie Sie den Assistenten zum Hinzufügen von Rollen starten, um die AD DS-Serverrollen-Binärdateien zu installieren, und anschließend den Konfigurations-Assistenten für Active Directory Domain Services ausführen, um die Domänencontrollerinstallation abzuschließen. Die Windows PowerShell-Beispiele zeigen, wie beide Schritte mithilfe eines Cmdlets für die AD DS-Bereitstellung abgeschlossen werden.

Integration von %%amp;quot;Adprep.exe%%amp;quot;

Ab Windows Server 2012 gibt es nur noch eine Version von „adprep.exe“. (Die 32-Bit-Version „adprep32.exe“ gibt es nicht mehr.) Adprep-Befehle werden beim Installieren eines Domänencontrollers unter Windows Server 2012 in einer vorhandenen Active Directory-Domäne oder -Gesamtstruktur bei Bedarf automatisch ausgeführt.

Obwohl die adprep-Vorgänge automatisch ausgeführt werden, ist eine separate Ausführung von %%amp;quot;Adprep.exe%%amp;quot; möglich. Wenn beispielsweise der Benutzer bzw. die Benutzerin, der bzw. die AD DS installiert, kein Mitglied der Gruppe „Unternehmensadministratoren“ ist (dies ist eine Voraussetzung für die Ausführung von „adprep /forestprep“), müssen Sie den Befehl möglicherweise separat ausführen. Sie müssen „adprep.exe“ jedoch nur dann ausführen, wenn Sie ein direktes Upgrade Ihres ersten Windows Server 2012-Domänencontrollers durchführen möchten (also wenn Sie ein direktes Upgrade des Betriebssystems eines Domänencontrollers unter Windows Server 2012 planen).

„Adprep.exe“ befindet sich auf dem Windows Server 2012-Installationsdatenträger im Ordner „\support\adprep“. Die Windows Server 2012-Version von „adprep.exe“ kann remote ausgeführt werden.

Die Windows Server 2012-Version von „adprep.exe“ kann auf Servern ausgeführt werden, auf denen eine 64-Bit-Version von Windows Server 2008 oder höher installiert ist. Der Server benötigt eine Netzwerkverbindung mit dem Schemamaster für die Gesamtstruktur und mit dem Infrastrukturmaster der Domäne, in der Sie einen Domänencontroller hinzufügen möchten. Wenn eine dieser Rollen auf einem Server mit Windows Server 2003 gehostet wird, muss Adprep separat ausgeführt werden. Der Server, auf dem Sie „adprep“ ausführen, muss kein Domänencontroller sein. Er kann einer Domäne angehören oder Teil einer Arbeitsgruppe sein.

Hinweis

Wenn Sie versuchen, die Windows Server 2012-Version von „adprep.exe“ auf einem Server unter Windows Server 2003 auszuführen, wird der folgende Fehler angezeigt:

%%amp;quot;Adprep.exe ist keine gültige Win32-Anwendung.%%amp;quot;

Neuigkeiten

Informationen zum Auflösen weitere Fehler, die von %%amp;quot;Adprep.exe%%amp;quot; zurückgegeben werden, finden Sie unter Bekannte Probleme.

Gruppenmitgliedschaftsüberprüfung für Windows Server 2003-Betriebsmasterrollen

Adprep führt für jeden Befehl (%%amp;quot;/forestprep%%amp;quot;, %%amp;quot;/domainprep%%amp;quot; oder %%amp;quot;/rodcprep%%amp;quot;) eine Gruppenmitgliedschaftsüberprüfung aus, um zu bestimmen, ob die angegebenen Anmeldeinformationen einem Konto in bestimmten Gruppen entsprechen. Für die Ausführung dieser Überprüfung kontaktiert Adprep den Besitzer der Betriebsmasterrolle. Wenn der Betriebsmaster Windows Server 2003 ausführt und Sie über %%amp;quot;Adprep.exe%%amp;quot; sicherstellen möchten, dass in allen Fällen eine Gruppenmitgliedschaftsüberprüfung erfolgt, müssen Sie die Befehlszeilenparameter %%amp;quot;/user%%amp;quot; und %%amp;quot;/userdomain%%amp;quot; angeben.

„/user“ und „/userdomain“ sind neue Parameter für „adprep.exe“ in Windows Server 2012. Mithilfe dieser Parameter werden der Benutzerkontenname bzw. die Benutzerdomäne des Benutzers angegeben, der den adprep-Befehl ausführt. Mithilfe des Befehlszeilendienstprogramms %%amp;quot;Adprep.exe%%amp;quot; wird verhindert, dass einer der Parameter %%amp;quot;/userdomain%%amp;quot; und %%amp;quot;/user%%amp;quot; angegeben und der andere Parameter ausgelassen wird.

Die Adprep-Vorgänge können jedoch mit Windows PowerShell oder Server-Manager auch als Teil einer AD DS-Installation ausgeführt werden. Für diese Funktionen wird dieselbe zugrunde liegende Implementierung (%%amp;quot;adprep.dll%%amp;quot;) wie für %%amp;quot;adprep.exe%%amp;quot; verwendet. Die Windows PowerShell- und Server-Manager-Umgebungen verfügen jeweils über eine separate Eingabe der Anmeldeinformationen. Dadurch unterscheiden sich die Anforderungen von „adprep.exe“. Mithilfe von Windows PowerShell oder Server-Manager kann ein Wert für „/user“, aber nicht für „/userdomain“ an „adprep.dll“ übergeben werden. Wenn „/user“ angegeben und „/userdomain“ nicht angegeben wird, erfolgt die Ausführung der Überprüfung mithilfe der Domäne des lokalen Computers. Wenn der Computer zu keiner Domäne gehört, kann die Gruppenmitgliedschaft nicht überprüft werden.

Falls die Gruppenmitgliedschaft nicht überprüft werden kann, zeigt adprep in den adprep-Protokolldateien eine Warnmeldung an, und der Vorgang wird fortgesetzt:

Adprep was unable to check the specified user's group membership. This could happen if the FSMO role owner <DNS host name of operations master> is running Windows Server 2003 or lower version of Windows.

Wenn Sie %%amp;quot;Adprep.exe%%amp;quot; ohne Angabe der Parameter %%amp;quot;/user%%amp;quot; und %%amp;quot;/userdomain%%amp;quot; ausführen und wenn auf dem Betriebsmaster Windows Server 2003 ausgeführt wird, kontaktiert %%amp;quot;Adprep.exe%%amp;quot; einen Domänencontroller in der Domäne des momentan angemeldeten Benutzers. Wenn es sich bei dem*der derzeit angemeldeten Benutzer*in nicht um ein Domänenkonto handelt, kann „adprep.exe“ die Gruppenmitgliedschaftsüberprüfung nicht ausführen. „adprep.exe“ kann diese Gruppenmitgliedschaftsüberprüfung auch dann nicht ausführen, wenn Smartcard-Anmeldeinformationen verwendet werden. Dies ist selbst dann der Fall, wenn Sie die beiden Parameter „/user“ und „/userdomain“angeben.

Wenn adprep erfolgreich beendet wird, ist keine Aktion erforderlich. Falls Adprep während der Ausführung aufgrund von Zugriffsfehlern erfolglos bleibt, geben Sie ein Konto mit der richtigen Mitgliedschaft an. Weitere Informationen finden Sie unter Anforderungen an die Anmeldeinformationen für die Ausführung von %%amp;quot;Adprep.exe%%amp;quot; und die Installation der Active Directory-Domänendienste.

Syntax für Adprep in Windows Server 2012

Verwenden Sie die folgende Syntax, um Adprep separat von einer AD DS-Installation auszuführen:

Adprep.exe /forestprep /forest <forest name> /userdomain <user domain name> /user <user name> /password *

Verwenden Sie %%amp;quot;/logdsid%%amp;quot; in dem Befehl, um eine detailliertere Protokollierung zu generieren. Die Datei %%amp;quot;adprep.log%%amp;quot; befindet sich im Verzeichnis %%amp;quot;%windir%\System32\Debug\Adprep\Logs%%amp;quot;.

Ausführen von Adprep mit Smartcard

Bei der Windows Server 2012-Version von „adprep.exe“ wird eine Smartcard für die Anmeldeinformationen verwendet. Eine einfache Methode zum Angeben der Smartcard-Anmeldeinformationen über die Befehlszeile gibt es jedoch nicht. Eine Methode besteht darin, die Smartcard-Anmeldeinformationen über das PowerShell-Cmdlet „Get-Credential“ abzurufen. Verwenden Sie anschließend den Benutzernamen des zurückgegebenen PSCredential-Objekts, das als @@... angezeigt wird. Das Kennwort entspricht der PIN der Smartcard.

Für %%amp;quot;Adprep.exe%%amp;quot; ist der Parameter %%amp;quot;/userdomain%%amp;quot; erforderlich, wenn %%amp;quot;/user%%amp;quot; angegeben wurde. Bei Smartcard-Anmeldeinformationen sollte der Parameter %%amp;quot;/userdomain%%amp;quot; der Domäne des zugrunde liegenden Benutzerkontos entsprechen, das durch die Smartcard repräsentiert wird.

Der Befehl „adprep /domainprep /gpprep“ wird nicht automatisch ausgeführt.

Der Befehl „adprep /domainprep /gpprep“ wird nicht als Teil der AD DS-Installation ausgeführt. Mithilfe dieses Befehls werden Berechtigungen festgelegt, die für die Planungsmodusfunktionalität des Richtlinienergebnissatzes (Resultant Set of Policy, RSOP) erforderlich sind. Weitere Informationen zu diesem Befehl finden Sie im Microsoft Knowledge Base-Artikel 324392. Wenn der Befehl in Ihrer Active Directory-Domäne ausgeführt werden muss, können Sie ihn separat von der AD DS-Installation ausführen. Falls der Befehl bereits in Vorbereitung auf die Bereitstellung von Domänencontrollern mit Windows Server 2003 SP1 oder höher ausgeführt wurde, muss er nicht erneut ausgeführt werden.

Sie können Domänencontroller unter Windows Server 2012 sicher zu einer vorhandenen Domäne hinzufügen, ohne den Befehl „adprep /domainprep /gpprep“ ausführen zu müssen. Der RSOP-Planungsmodus funktioniert in diesem Fall jedoch nicht ordnungsgemäß.

Validierung der AD DS-Installationsvoraussetzungen

Vor Beginn der Installation überprüft der Installations-Assistent für AD DS, ob die folgenden Voraussetzungen erfüllt sind. Dadurch haben Sie die Möglichkeit, Probleme zu beheben, durch die die Installation möglicherweise blockiert werden könnte.

Die Adprep-bezogenen Voraussetzungen beinhalten beispielsweise Folgendes:

  • Überprüfung der Adprep-Anmeldeinformationen: wenn Adprep ausgeführt werden muss, überprüft der Installations-Assistent, ob der Benutzer über die ausreichenden Rechte zum Ausführen der erforderlichen Adprep-Vorgänge verfügt.
  • Schemamaster-Verfügbarkeitsprüfung: wenn der Installations-Assistent feststellt, dass %%amp;quot;adprep /forestprep%%amp;quot; ausgeführt werden muss, überprüft er, ob der Schemamaster online ist. Andernfalls schlägt der Assistent fehl.
  • Infrastrukturmaster-Verfügbarkeitsprüfung: wenn der Installations-Assistent feststellt, dass %%amp;quot;adprep /domainprep%%amp;quot; ausgeführt werden muss, überprüft er, ob der Infrastrukturmaster online ist. Andernfalls schlägt der Assistent fehl.

Weitere Voraussetzungsprüfungen, die aus dem alten Installations-Assistenten für Active Directory (%%amp;quot;dcpromo.exe%%amp;quot;) übernommen wurden, beinhalten Folgendes:

  • Überprüfung des Gesamtstrukturnamens: stellt sicher, dass der Gesamtstrukturname gültig und derzeit nicht vorhanden ist.
  • NetBIOS-Namensüberprüfung: überprüft, ob der angegebene NetBIOS-Name gültig ist und nicht mit vorhandenen Namen in Konflikt steht.
  • Überprüfung des Komponentenpfads: überprüft, ob die Pfade für die Active Directory-Datenbanken und -Protokolle und für SYSVOL gültig sind und ob genügend Speicherplatz zur Verfügung steht.
  • Überprüfung des Namens der untergeordneten Domäne: stellt sicher, dass die Namen der übergeordneten und neuen untergeordneten Domäne gültig sind und dass sie nicht mit vorhandenen Domänen in Konflikt stehen.
  • Überprüfung des Strukturdomänennamens: stellt sicher, dass der angegebene Strukturname gültig und derzeit nicht vorhanden ist.

Systemanforderungen

Für Windows Server 2012 gelten dieselben Systemanforderungen wie für Windows Server 2008 R2. Weitere Informationen finden Sie unter Systemanforderungen für Windows Server 2008 R2 mit SP1 (https://www.microsoft.com/windowsserver2008/en/us/system-requirements.aspx).

Für einige Features gelten möglicherweise zusätzliche Anforderungen. Beispielsweise erfordert das Feature zum Klonen virtueller Domänencontroller, dass auf dem PDC-Emulator Windows Server 2012 ausgeführt wird und ein Computer unter Windows Server 2012 mit installierter Hyper-V-Rolle verwendet wird.

Bekannte Probleme

In diesem Abschnitt werden einige bekannte Probleme aufgeführt, die sich auf die AD DS-Installation unter Windows Server 2012 auswirken. Weitere bekannte Probleme finden Sie unter Problembehandlung für die Domänencontrollerbereitstellung.

  • Wenn der WMI-Zugriff auf den Schemamaster beim Ausführen von %%amp;quot;adprep /forestprep%%amp;quot; per Remoteverbindung durch die Windows-Firewall blockiert wird, wird im Adprep-Protokoll im Verzeichnis %%amp;quot;%systemroot%\system32\debug\adprep%%amp;quot; der folgende Fehler protokolliert:

    Adprep encountered a Win32 error.
    Error code: 0x6ba Error message: The RPC server is unavailable.
    

    In diesem Fall können Sie den Fehler umgehen, indem Sie %%amp;quot;adprep /forestprep%%amp;quot; direkt auf dem Schemamaster ausführen, oder Sie können einen der folgenden Befehle zum Durchlassen des WMI-Datenverkehrs durch die Windows-Firewall verwenden.

    Für Windows Server 2008 oder höher:

    netsh advfirewall firewall set rule group="windows management instrumentation (wmi)" new enable=yes
    

    Für Windows Server 2003:

    netsh firewall set service RemoteAdmin enable
    

    Nach Abschluss von Adprep können Sie einen der folgenden Befehle ausführen, um den WMI-Datenverkehr wieder zu blockieren:

    netsh advfirewall firewall set rule group="windows management instrumentation (wmi)" new enable=no
    
    netsh firewall set service remoteadmin disable
    
  • Zum Abbrechen des Cmdlets %%amp;quot;Install-ADDSForest%%amp;quot; können Sie die Tastenkombination STRG+C verwenden. Durch den Abbruch wird die Installation gestoppt, und alle am Serverzustand vorgenommenen Änderungen werden rückgängig gemacht. Nach Ausgabe des Abbruchbefehls erhält Windows PowerShell jedoch nicht die Kontrolle zurück, und das Cmdlet kann sich für unbestimmte Zeit aufhängen.

  • Die Installation eines zusätzlichen Domänencontrollers mithilfe von Smartcard-Anmeldeinformationen wird nicht gelingen, wenn der Zielserver vor der Installation nicht der Domäne hinzugefügt wird.

    Die in diesem Fall zurückgegeben Fehlermeldung lautet wie folgt:

    Mit dem Replikationsquellen-Domänencontroller Name des Quelldomänencontrollers kann keine Verbindung hergestellt werden. (Ausnahme: Fehler bei Anmeldung: unbekannter Benutzername oder falsches Kennwort)

    Wenn Sie den Zielserver der Domäne hinzufügen und die Installation anschließend mithilfe einer Smartcard ausführen, wird die Installation erfolgreich abgeschlossen.

  • Das ADDSDeployment-Modul wird unter 32-Bit-Prozessen nicht ausgeführt. Wenn Sie die Bereitstellung und Konfiguration von Windows Server 2012 mithilfe eines Skripts automatisieren, das ein ADDSDeployment-Cmdlet sowie ein Cmdlet ohne Unterstützung nativer 64-Bit-Prozesse enthält, kann bei der Skriptausführung ein Fehler auftreten, der darauf hinweist, dass das Cmdlet „ADDSDeployment“ nicht gefunden werden kann.

    In diesem Fall müssen Sie das Cmdlet „ADDSDeployment“ getrennt von dem Cmdlet ausführen, das keine nativen 64-Bit-Prozesse unterstützt.

  • Windows Server 2012 enthält ein neues Dateisystem namens „Robustes Dateisystem“ (Resilient File System, ReFS). Speichern Sie auf einem mit dem robusten Dateisystem (Resilient File System, ReFS) formatierten Datenvolume keinesfalls die Active Directory-Datenbanken, -Protokolldateien oder SYSVOL. Weitere Informationen zu ReFS finden Sie unter Erstellen der nächsten Dateisystemgeneration für Windows: ReFS.

  • In Server-Manager kann auf Servern, auf denen AD DS oder andere Serverrollen in einer Server Core-Installation ausgeführt werden und die auf Windows Server 2012 aktualisiert wurden, für die Serverrolle ein roter Status angezeigt werden, obwohl Ereignisse und Status erwartungsgemäß erfasst werden. Davon können auch Server betroffen sein, auf denen eine Server Core-Installation einer vorherigen Version von Windows Server 2012 ausgeführt wird.

Die Installation der Active Directory-Domänendienste hängt, wenn eine kritische Replikation durch einen Fehler verhindert wird

Wenn die AD DS-Installation während der kritischen Replikationsphase einen Fehler erkennt, kann die Installation für unbestimmte Zeit hängen. Wird beispielsweise der Abschluss der kritischen Replikation durch Netzwerkfehler verhindert, wird die Installation nicht fortgesetzt.

Wenn Sie die Installation mithilfe von Server-Manager vornehmen, bleibt die Seite mit dem Installationsstatus möglicherweise geöffnet. Auf dem Bildschirm wird jedoch keine Fehlermeldung angezeigt, und der Status ändert sich möglicherweise 15 Minuten lang nicht. Wenn Sie Windows PowerShell verwenden, ändert sich der im Windows PowerShell-Fenster angezeigte Status 15 Minuten lang nicht.

Wenn dieses Problem bei Ihnen auftritt, überprüfen Sie die Datei %%amp;quot;dcpromo.log%%amp;quot; im Ordner %%amp;quot;%systemroot%/debug%%amp;quot; des Zielservers. In der Protokolldatei werden normalerweise wiederholte Fehler für die Replikation angegeben. Einige bekannte Ursachen für dieses Problem lauten wie folgt:

  • Die kritische Replikation zwischen dem heraufgestuften Zielserver und dem Replikationsquellen-Domänencontroller wird durch Netzwerkprobleme verhindert.

    Im Protokoll %%amp;quot;dcpromo.log%%amp;quot; wird beispielsweise Folgendes angezeigt:

    05/02/2012 14:16:46 [INFO] EVENTLOG (Error): NTDS Replication / DS RPC Client : 1963
    Internal event: The following local directory service received an exception from a remote procedure call (RPC) connection. Extensive RPC information was requested. This is intermediate information and might not contain a possible cause.
    Process ID:
    500
    Reported error information:
    Error value:
    Could not find the domain controller for this domain. (1908)
    directory service:
    <domain>.com
    Extensive error information:
    Error value:
    A security package specific error occurred. 1825
    directory service:
    <DC Name>
    

    Da der Installationsprozess die kritische Replikation auf unbestimmte Zeit wiederholt, wird die Domänencontrollerinstallation fortgesetzt, wenn die zugrunde liegenden Netzwerkprobleme behoben wurden. Untersuchen Sie bei Bedarf die Netzwerkprobleme mit Tools wie %%amp;quot;ipconfig%%amp;quot;, %%amp;quot;nslookup%%amp;quot; und %%amp;quot;netmon%%amp;quot;. Stellen Sie sicher, dass zwischen dem Domänencontroller, den Sie heraufstufen, und dem bei der AD DS-Installation ausgewählten Replikationspartner Konnektivität besteht. Überprüfen Sie außerdem, ob die Namensauflösung funktioniert.

    Die AD DS-Installationanforderungen für Netzwerkkonnektivität und Namensauflösung werden vor dem Start der Installation während der Voraussetzungsüberprüfung geprüft. Manche Fehlerzustände können jedoch zwischen der Voraussetzungsüberprüfung und vor dem Abschluss der Installation auftreten, z. B. wenn der Replikationspartner während der Installation nicht verfügbar ist.

  • Während der Installation des replizierten Domänencontrollers wird das lokale Administratorkonto des Zielservers für die Installationsanmeldeinformationen angegeben, und das Kennwort des lokalen Administratorkontos stimmt mit dem Kennwort eines Domänenadministratorkontos überein. In diesem Fall können Sie den Installations-Assistenten abschließen und mit der Installation beginnen, bevor der Fehler „Zugriff verweigert“ auftritt.

    Im Protokoll %%amp;quot;dcpromo.log%%amp;quot; wird beispielsweise Folgendes angezeigt:

    03/30/2012 11:36:51 [INFO] Creating the NTDS Settings object for this Active Directory Domain Controller on the remote AD DC DC2.contoso.com...
    03/30/2012 11:36:51 [INFO] EVENTLOG (Error): NTDS Replication / DS RPC Client : 1963Internal event: The following local directory service received an exception from a remote procedure call (RPC) connection. Extensive RPC information was requested. This is intermediate information and might not contain a possible cause.
    Process ID:
    508
    Reported error information:
    Error value:
    Access is denied. (5)
    directory service:
    DC2.contoso.com
    

    Wird der Fehler durch Angabe eines lokalen Administratorkontos und Kennworts verursacht, müssen Sie zur Wiederherstellung das Betriebssystem neu installieren, eine Metadatenbereinigung des Kontos für den Domänencontroller ausführen , für den die Installation nicht abgeschlossen werden konnte, und anschließend die AD DS-Installation mit den Anmeldeinformationen für den Domänenadministrator wiederholen. Durch einen Neustart des Servers wird dieser Fehlerzustand nicht behoben, da der Server angibt, dass AD DS installiert ist, auch wenn die Installation nicht erfolgreich abgeschlossen wurde.

Der Konfigurations-Assistent für die Active Directory-Domänendienste gibt eine Warnung aus, wenn ein nicht normalisierter DNS-Name angegeben wird

Wenn Sie eine neue Domäne oder Gesamtstruktur erstellen und einen DNS-Domänennamen angeben, der internationalisierte Zeichen enthält, die nicht normalisiert wurden, zeigt der Konfigurations-Assistent für Active Directory Domain Services eine Warnung mit dem Hinweis an, dass DNS-Abfragen für den Namen fehlschlagen können. Obwohl der DNS-Domänenname auf der Seite %%amp;quot;Bereitstellungskonfiguration%%amp;quot; angegeben wird, erscheint die Warnung später im Assistenten auf der Seite %%amp;quot;Voraussetzungsüberprüfung%%amp;quot;.

Wenn ein DNS-Domänenname als nicht normalisierter Name wie „füßball.com“ oder „'ΣΤ'.com“ angegeben wird (die normalisierten Versionen lauten „füssball.com“ und „βστα.com“), normalisieren Clientanwendungen, die versuchen, mit WinHTTP auf die Domäne zuzugreifen, den Namen, bevor Namensauflösungs-APIs aufgerufen werden. Wenn der Benutzer in einem Dialogfeld die Zeichenfolge „'ΣΤ'.com“ eingibt, wird die DNS-Abfrage als „βστα.com“ gesendet, und kein DNS-Server wird sie mit einem Ressourceneintrag für „'ΣΤ'.com“ abgleichen. Der Benutzer kann den Namen nicht auflösen.

Im folgenden Beispiel wird eines der Probleme erläutert, das bei Verwendung eines nicht normalisierten IDN-Namens auftreten kann:

  1. Die Domäne mit einem nicht normalisierten Namen wird auf dem DNS-Server erstellt und registriert: „füßball.com“
  2. Der Computer „nps“ wird in die Domäne eingebunden, und der Name wird registriert: „nps.füßball.com“
  3. Eine Clientanwendung versucht, eine Verbindung mit dem Server %%amp;quot;nps.füßball.com%%amp;quot; herzustellen.
  4. Die Clientanwendung versucht, den Namen %%amp;quot;nps.füßball.com%%amp;quot; aufzulösen, indem Sie APIs für die Namensauflösung aufruft.
  5. Aufgrund der Normalisierung wird der Name in %%amp;quot;nps.füssball.com%%amp;quot; konvertiert und über die Leitung %%amp;quot;nps.füßball.com%%amp;quot; abgefragt.
  6. Die Clientanwendung kann den Namen nicht auflösen, da der registrierte Name %%amp;quot;nps.füßball.com%%amp;quot; lautet.

Wenn die Warnung auf der Seite %%amp;quot;Voraussetzungsüberprüfung%%amp;quot; des Konfigurations-Assistenten für die Active Directory-Domänendienste angezeigt wird, wechseln Sie zur Seite %%amp;quot;Bereitstellungskonfiguration%%amp;quot; zurück, und geben Sie einen normalisierten DNS-Domänennamen an. Wenn Sie eine neue Domäne mit Windows PowerShell installieren, geben Sie für die Option „-DomainName“ einen normalisierten DNS-Namen an.

Weitere Informationen zu IDNs finden Sie unter Handling Internationalized Domain Names (IDNs).