Freigeben über


Seitenbeschreibungen für den Assistenten zum Installieren und Entfernen von AD DS

Dieses Thema enthält Beschreibungen zu den Steuerelementen auf den folgenden Assistentenseiten, die die Installation und das Entfernen der AD DS-Serverrolle in Server Manager umfassen.

Bereitstellungskonfiguration

In Server-Manager beginnt jede Domänencontrollerinstallation auf der Seite Bereitstellungskonfiguration. Die restlichen Optionen und erforderlichen Felder auf dieser Seite und den folgenden Seiten variieren in Abhängigkeit von dem von Ihnen ausgewählten Bereitstellungsvorgang. Wenn Sie beispielsweise eine neue Gesamtstruktur erstellen, wird die Seite Vorbereitungsoptionen nicht angezeigt. Sie wird jedoch angezeigt, wenn Sie den ersten Domänencontroller unter Windows Server 2012 in einer vorhandenen Gesamtstruktur oder Domäne installieren.

Auf dieser Seite werden einige Validierungstests ausgeführt. Diese Tests werden später im Rahmen der Voraussetzungsüberprüfungen wiederholt. Wenn Sie beispielsweise versuchen, den ersten Windows Server 2012-Domänencontroller in einer Gesamtstruktur mit der Windows 2000-Funktionsebene zu installieren, wird auf dieser Seite ein Fehler angezeigt.

Beim Erstellen einer neuen Gesamtstruktur werden die folgenden Optionen angezeigt.

Screenshot der Seite „Bereitstellungskonfiguration“ des Konfigurations-Assistenten für Active Directory Domain Services mit den Optionen, die beim Erstellen einer neuen Gesamtstruktur angezeigt werden.

  • Beim Erstellen einer neuen Gesamtstruktur müssen Sie einen Namen für die Stammdomäne der Gesamtstruktur angeben. Der Stammdomänenname der Gesamtstruktur darf keine einzelne Bezeichnung sein (statt „contoso“ muss er beispielsweise „contoso.com“ lauten). Es müssen zulässige DNS-Domänennamenskonventionen verwendet werden. Sie können einen internationalen Domänennamen (IDN) angeben. Weitere Informationen zu DNS-Domänennamenskonventionen finden Sie im KB-Artikel 909264.

  • Erstellen Sie keine neuen Active Directory-Gesamtstrukturen, die denselben Namen haben wie Ihr externer DNS-Name. Wenn Ihre Internet-DNS-URL beispielsweise http://contoso.com lautet, müssen Sie für Ihre interne Gesamtstruktur einen anderen Namen auswählen, um künftige Kompatibilitätsprobleme zu vermeiden. Der Name sollte eindeutig und seine Verwendung für den Webdatenverkehr unwahrscheinlich sein, beispielsweise %%amp;quot;corp.contoso.com%%amp;quot;.

  • Auf dem Server, auf dem Sie eine neue Gesamtstruktur erstellen möchten, müssen Sie Mitglied der Administratorgruppe sein.

Weitere Informationen zum Erstellen einer Gesamtstruktur finden Sie unter Installieren einer neuen Active Directory-Gesamtstruktur in Windows Server 2012 (Stufe 200)).

Beim Erstellen einer neuen Domäne werden die folgenden Optionen angezeigt.

Screenshot der Seite „Bereitstellungskonfiguration“ des Konfigurations-Assistenten für Active Directory Domain Services mit den Optionen, die beim Erstellen einer neuen Domäne angezeigt werden.

Hinweis

Beim Erstellen einer neuen Gesamtstrukturdomäne müssen Sie anstelle der übergeordneten Domäne den Namen der Stammdomäne für die Gesamtstruktur angeben. Die restlichen Assistentenseiten und Optionen sind jedoch identisch.

  • Klicken Sie auf Auswählen, um zur übergeordneten Domäne oder zur Active Directory-Gesamtstruktur zu navigieren, oder geben Sie eine gültige übergeordnete Domäne oder einen Gesamtstrukturnamen ein. Geben Sie dann unter Neuer Domänename den Namen der neuen Domäne ein.

  • Strukturdomäne: geben Sie einen gültigen, vollqualifizierten Stammdomänennamen an; der Name darf nicht aus einer einzelnen Bezeichnung bestehen und muss die Anforderungen an den DNS-Domänennamen erfüllen.

  • Untergeordnete Domäne: geben Sie einen gültigen Namen für die untergeordnete Domäne an, der aus einer einzelnen Bezeichnung besteht; der Name muss die Anforderungen an den DNS-Domänennamen erfüllen.

  • Der Konfigurations-Assistent für die Active Directory-Domänendienste fordert Sie zur Eingabe der Domänenanmeldeinformationen auf, wenn Ihre aktuellen Anmeldeinformationen nicht zu der Domäne gehören. Klicken Sie auf Ändern, um Domänenanmeldeinformationen anzugeben.

Weitere Informationen zum Erstellen einer Domäne finden Sie unter Installieren einer neuen Windows Server 2012-Active Directory-Domäne (untergeordnet oder Gesamtstruktur) (Stufe 200)).

Beim Hinzufügen eines neuen Domänencontrollers zu einer vorhandenen Domäne werden die folgenden Optionen angezeigt.

Screenshot der Seite „Bereitstellungskonfiguration“ des Konfigurations-Assistenten für Active Directory Domain Services mit den Optionen, die angezeigt werden, wenn Sie einen neuen Domänencontroller zu einer vorhandenen Domäne hinzufügen.

  • Klicken Sie auf Auswählen, um zu der Domäne zu navigieren, oder geben Sie einen gültigen Domänennamen ein.

  • Server-Manager fordert Sie ggf. zur Eingabe gültiger Anmeldeinformationen auf. Für das Installieren eines zusätzlichen Domänencontrollers ist die Mitgliedschaft in der Gruppe %%amp;quot;Domänen-Admins%%amp;quot; erforderlich.

    Zudem sind für das Installieren des ersten Domänencontrollers unter Windows Server 2012 in einer Gesamtstruktur Anmeldeinformationen erforderlich, die Gruppenmitgliedschaften in den beiden Gruppen „Unternehmensadministratoren“ und „Schema-Admins“ umfassen. Wenn Ihre aktuellen Anmeldeinformationen keine angemessenen Berechtigungen oder Gruppenmitgliedschaften aufweisen, wird später vom Konfigurations-Assistenten für die Active Directory-Domänendienste eine Eingabeaufforderung ausgegeben.

Weitere Informationen zum Hinzufügen eines Domänencontrollers zu einer vorhandenen Domäne finden Sie unter Installieren eines Windows Server 2012-Domänencontrollerreplikats in einer vorhandenen Domäne (Stufe 200).

Domänencontrolleroptionen

Wenn Sie eine neue Gesamtstruktur erstellen, werden auf der Seite %%amp;quot;Domänencontrolleroptionen%%amp;quot; die folgenden Optionen angezeigt:

Screenshot der Seite „Domänencontrolleroptionen“ des Konfigurations-Assistenten für Active Directory Domain Services mit den Optionen, die beim Erstellen einer neuen Gesamtstruktur angezeigt werden.

  • Die Gesamtstruktur- und Domänenfunktionsebenen sind standardmäßig auf Windows Server 2012 festgelegt.

    Auf der Windows Server 2012-Domänenfunktionsebene ist ein neues Feature verfügbar: Für die KDC-Richtlinie bezüglich administrativer Vorlagen für die Unterstützung für dynamische Zugriffssteuerung und Kerberos-Schutz sind zwei Einstellungen vorhanden („Immer Ansprüche liefern“ und „Ungeschützte Authentifizierungsanfragen ablehnen“), für die die Windows Server 2012-Domänenfunktionsebene erforderlich ist. Weitere Informationen finden Sie unter „Unterstützung für Ansprüche, Verbundauthentifizierung und Kerberos-Schutz“ im Artikel Neuerungen bei der Kerberos-Authentifizierung. Die Windows Server 2012-Gesamtstrukturfunktionsebene bietet zwar keine neuen Features, stellt jedoch sicher, dass alle in der Gesamtstruktur erstellten neuen Domänen automatisch auf der Windows Server 2012-Domänenfunktionsebene funktionieren. Außer der Unterstützung für dynamische Zugriffssteuerung und Kerberos-Schutz bietet die Windows Server 2012-Domänenfunktionsebene keine weiteren neuen Features. Sie stellt jedoch sicher, dass auf allen Domänencontrollern in der Domäne Windows Server 2012 ausgeführt wird. Weitere Informationen zu weiteren Features, die auf verschiedenen Funktionsebenen verfügbar sind, finden Sie unter Understanding Active Directory Domain Services (AD DS) Functional Levels.

    Neben den Funktionsebenen bieten Domänencontroller unter Windows Server 2012 zusätzliche Features, die auf Domänencontrollern, auf denen eine frühere Version von Windows Server ausgeführt wird, nicht verfügbar sind. Ein Domänencontroller unter Windows Server 2012 kann beispielsweise zum Klonen virtueller Domänencontroller verwendet werden, während dies bei einem Domänencontroller, auf dem eine frühere Version von Windows Server ausgeführt wird, nicht möglich ist.

  • Beim Erstellen einer neuen Gesamtstruktur ist standardmäßig DNS-Server ausgewählt. Bei dem ersten Domänencontroller in der Gesamtstruktur muss es sich um einen globalen Katalogserver handeln. Schreibgeschützte Domänencontroller (Read Only Domain Controller, RODC) sind dabei nicht zulässig.

  • Für die Anmeldung bei einem Domänencontroller, auf dem AD DS nicht ausgeführt wird, ist das Kennwort für den Verzeichnisdienst-Wiederherstellungsmodus (Directory Services Restore Mode, DSRM) erforderlich. Das von Ihnen angegebene Kennwort muss der auf den Server angewendeten Kennwortrichtlinie entsprechen, laut der standardmäßig kein sicheres, sondern lediglich ein nicht leeres Kennwort erforderlich ist. Wählen Sie stets ein sicheres, komplexes Kennwort oder bevorzugterweise eine Passphrase aus. Informationen zum Synchronisieren des DSRM-Kennworts mit dem Kennwort eines Domänenbenutzerkontos finden Sie im KB-Artikel 961320.

Weitere Informationen zum Erstellen einer Gesamtstruktur finden Sie unter Installieren einer neuen Active Directory-Gesamtstruktur in Windows Server 2012 (Stufe 200)).

Wenn Sie eine untergeordnete Domäne erstellen, werden auf der Seite %%amp;quot;Domänencontrolleroptionen%%amp;quot; die folgenden Optionen angezeigt:

Screenshot der Seite „Domänencontrolleroptionen“ des Konfigurations-Assistenten für Active Directory Domain Services mit den Optionen, die beim Erstellen einer untergeordneten Domäne angezeigt werden.

  • Die Domänenfunktionsebene ist standardmäßig auf Windows Server 2012 festgelegt. Sie können einen beliebigen anderen Wert angeben, der mindestens dem Wert der Gesamtstrukturfunktionsebene oder höher entspricht.

  • Die konfigurierbaren Domänencontrolleroptionen lauten DNS-Server und Globaler Katalog. Das Konfigurieren eines schreibgeschützten Domänencontrollers als ersten Domänencontroller in einer neuen Domäne ist nicht möglich.

    Für eine hohe Verfügbarkeit in verteilten Umgebungen empfiehlt Microsoft, dass alle Domänencontroller DNS und globale Katalogdienste bereitstellen. Dies ist die Ursache dafür, dass der Assistent diese Optionen beim Erstellen einer neuen Domäne standardmäßig aktiviert.

  • Auf der Seite Domänencontrolleroptionen können Sie unter Standortname den entsprechenden logischen Standortnamen für Active Directory in der Gesamtstrukturkonfiguration auswählen. Standardmäßig ist der Standortname mit dem korrektesten Subnetz ausgewählt. Wenn nur ein Standort vorhanden ist, wird dieser automatisch ausgewählt.

    Wichtig

    Wenn der Server zu keinem Active Directory-Subnetz gehört und mehrere Standorte vorhanden sind, wird keine Auswahl getroffen, und die Schaltfläche Weiter ist erst wieder verfügbar, nachdem Sie in der Liste einen Standort ausgewählt haben.

Weitere Informationen zum Erstellen einer Domäne finden Sie unter Installieren einer neuen Windows Server 2012-Active Directory-Domäne (untergeordnet oder Gesamtstruktur) (Stufe 200)).

Wenn Sie einer Domäne einen Domänencontroller hinzufügen, werden auf der Seite %%amp;quot;Domänencontrolleroptionen%%amp;quot; die folgenden Optionen angezeigt:

Screenshot der Seite „Domänencontrolleroptionen“ des Konfigurations-Assistenten für Active Directory Domain Services mit den Optionen, die beim Hinzufügen eines Domänencontrollers zu einer Domäne angezeigt werden.

  • Die konfigurierbaren Domänencontrolleroptionen lauten DNS-Server und Globaler Katalog und Schreibgeschützter Domänencontroller.

    Für eine hohe Verfügbarkeit in verteilten Umgebungen empfiehlt Microsoft, dass alle Domänencontroller DNS und globale Katalogdienste bereitstellen. Dies ist die Ursache dafür, dass der Assistent diese Optionen standardmäßig aktiviert. Weitere Informationen zum Bereitstellen von RODCs finden Sie im Planungs- und Bereitstellungshandbuch für schreibgeschützte Domänencontroller.

Weitere Informationen zum Hinzufügen eines Domänencontrollers zu einer vorhandenen Domäne finden Sie unter Installieren eines Windows Server 2012-Domänencontrollerreplikats in einer vorhandenen Domäne (Stufe 200).

DNS-Optionen

Wenn Sie DNS-Server installieren, wird die folgende Seite mit DNS-Optionen angezeigt:

Screenshot der Seite „DNS-Optionen“ des Konfigurations-Assistenten für Active Directory Domain Services.

Beim Installieren von DNS-Server sollten Delegierungseinträge, die auf den DNS-Server als autorisierend für die Zone verweisen, in der übergeordneten DNS-Zone (Domain Name System) erstellt werden. Delegierungseinträge übertragen die Namensauflösungsautorität und stellen richtige Verweise auf andere DNS-Server und die Clients der neuen Server bereit, die als autorisierende Server für die neue Zone verwendet werden. Zu diesen Ressourceneinträgen gehören die Folgenden:

  • Ein Namenserver-Ressourceneintrag (NS) zur Ausführung der Delegierung. Dieser Ressourceneintrag gibt bekannt, dass der Server ns1.na.example.microsoft.com ein autorisierender Server für die delegierte untergeordnete Domäne ist.

  • Es muss ein Hostressourceneintrag (A oder AAAA), auch als Verbindungseintrag bezeichnet, vorhanden sein, um den im Namenserver-Ressourceneintrag angegebenen Servernamen in die zugehörige IP-Adresse aufzulösen. Der Prozess zur Auflösung des Hostnamens in diesem Ressourceneintrag für den delegierten DNS-Server im Namenserver-Ressourceneintrag (NS) wird manchmal auch als Verbindungsverfolgung bezeichnet.

Sie können auch die automatische Erstellung durch den Konfigurations-Assistenten für die Active Directory-Domänendienste festlegen. Nachdem Sie auf der Seite Domänencontrolleroptionen auf Weiter geklickt haben, überprüft der Assistent, ob die entsprechenden Einträge in der übergeordneten DNS-Zone vorhanden sind. Wenn der Assistent nicht überprüfen kann, ob die Einträge in der übergeordneten Domäne vorhanden sind, bietet er Ihnen die Möglichkeit, automatisch eine neue DNS-Delegierung für eine neue Domäne zu erstellen (oder die vorhandene Delegierung zu aktualisieren) und den Vorgang mit der Installation des neuen Domänencontrollers fortzusetzen.

Alternativ können Sie diese DNS-Delegierungseinträge vor dem Installieren von DNS-Server erstellen. Zum Erstellen einer Zonendelegierung öffnen Sie den DNS-Manager, klicken Sie mit der rechten Maustaste auf die übergeordnete Domäne, und klicken Sie dann auf Neue Delegierung. Folgen Sie den Schritten im Assistenten zum Erstellen neuer Delegierungen, um die Delegierung zu erstellen.

Der Installationsvorgang versucht, die Delegierung zu erstellen, um sicherzustellen, dass Computer in anderen Domänen DNS-Abfragen für Hosts in der DNS-Unterdomäne auflösen können, einschließlich Domänencontrollern und Mitgliedscomputern. Beachten Sie, dass die Delegierungseinträge nur auf Microsoft DNS-Servern automatisch erstellt werden können. Wenn sich die übergeordnete DNS-Domänenzone auf DNS-Servern von Drittanbietern wie BIND befindet, wird auf der Seite %%amp;quot; Voraussetzungsüberprüfung%%amp;quot; eine Warnung über einen Fehler beim Erstellen der DNS-Delegierungseinträge angezeigt. Weitere Informationen zu der Warnung finden Sie unter Bekannte Probleme beim Installieren von AD DS.

Delegierungen zwischen der übergeordneten Domäne und der Unterdomäne, die höher gestuft wird, können vor oder nach der Installation erstellt und überprüft werden. Es besteht kein Grund zur Verzögerung der Installation eines neuen Domänencontrollers, da Sie die DNS-Delegierung nicht erstellen oder aktualisieren können.

Weitere Informationen zur Delegierung finden Sie unter Grundlegendes zur Zonendelegierung (https://go.microsoft.com/fwlink/?LinkId=164773). Wenn in der momentanen Situation keine Zonendelegierung möglich ist, können Sie ggf. andere Methoden zur Bereitstellung der Namensauflösung von anderen Domänen zu den Hosts in der Domäne in Betracht ziehen. Der DNS-Administrator einer anderen Domäne kann z. B. bedingte Weiterleitung, Stubzonen oder sekundäre Zonen konfigurieren, um Namen in der Domäne aufzulösen. Weitere Informationen finden Sie in den folgenden Themen:

RODC-Optionen

Beim Installieren eines schreibgeschützten Domänencontrollers (Read-Only Domain Controller, RODC) werden die folgenden Optionen angezeigt.

Screenshot der Seite „RODC-Optionen“ des Konfigurations-Assistenten für Active Directory Domain Services mit den Optionen, die beim Installieren eines schreibgeschützten Domänencontrollers angezeigt werden.

  • Delegierte Administratorkonten erhalten für den RODC lokale Administratorberechtigungen. Diese Benutzer können Vorgänge mit Berechtigungen ausführen, die denen der Gruppe „Administratoren“ des lokalen Computers entsprechen. Sie sind keine Mitglieder der Gruppe %%amp;quot;Domänen-Admins%%amp;quot; oder der in die Domäne integrierten Gruppe %%amp;quot;Administratoren%%amp;quot;. Diese Option ist für die Delegierung der Zweigstellenverwaltung ohne Vergabe von Administratorberechtigungen für die Domäne hilfreich. Das Konfigurieren der Delegierung von Administratoren ist nicht erforderlich. Weitere Informationen finden Sie unter Administratorrollentrennung.

  • Die Kennwortreplikationsrichtlinie fungiert als Zugriffssteuerungsliste (Access Control List, ACL). Mit ihr wird bestimmt, ob ein Kennwort von einem RODC zwischengespeichert werden darf. Nachdem der RODC eine Anmeldeanforderung für einen authentifizierten Benutzer oder Computer empfangen hat, bezieht er sich auf die Kennwortreplikationsrichtlinie, um zu bestimmen, ob das Kennwort für das Konto zwischengespeichert werden soll. Anschließend können weitere Anmeldungen bei dem jeweiligen Konto effizienter ausgeführt werden.

    In der Kennwortreplikationsrichtlinie (Password Replication Policy, PRP) werden neben den Konten, deren Kennwörter zwischengespeichert werden dürfen, auch die Konten aufgelistet, für die das Zwischenspeichern der zugehörigen Kennwörter explizit verweigert wird. Die Liste der Benutzer- und Computerkonten, die zwischengespeichert werden dürfen, setzt nicht voraus, dass die Kennwörter zu diesen Konten zwingenderweise vom RODC zwischengespeichert wurden. Ein Administrator kann beispielsweise vorab die Konten angeben, die von einem RODC zwischengespeichert werden. Auf diese Art und Weise kann der RODC diese Konten auch dann authentifizieren, wenn der WAN-Link zu dem Nebenstandort offline ist.

    Benutzer oder Computer, denen der Vorgang nicht gestattet (auch implizit) oder sogar verweigert wird, können ihr Kennwort nicht zwischenspeichern. Wenn diese Benutzer oder Computer keinen Zugriff auf einen beschreibbaren Domänencontroller haben, können sie nicht auf von AD DS bereitgestellte Ressourcen oder Funktionalitäten zugreifen. Weitere Informationen zur PRP finden Sie unter Kennwortreplikationsrichtlinie. Weitere Informationen zum Verwalten der PRP finden Sie unter Verwalten der Kennwortreplikationsrichtlinie.

Weitere Informationen zum Installieren von schreibgeschützten Domänencontrollern finden Sie unter Installieren eines schreibgeschützten Active Directory-Domänencontrollers in Windows Server 2012 (Stufe 200)).

Zusätzliche Optionen

Die folgende Option wird auf der Seite Zusätzliche Optionen angezeigt, wenn Sie eine neue Domäne erstellen:

Screenshot der Seite „Weitere Optionen“ des Konfigurations-Assistenten für Active Directory Domain Services mit den Optionen, die beim Erstellen einer neuen Domäne angezeigt werden.

Die folgenden Optionen werden auf der Seite Zusätzliche Optionen angezeigt, wenn Sie in einer vorhandenen Domäne einen zusätzlichen Domänencontroller installieren:

Screenshot der Seite „Weitere Optionen“ des Konfigurations-Assistenten für Active Directory Domain Services mit den Optionen, die beim Installieren eines zusätzlichen Domänencontrollers in einer vorhandenen Domäne angezeigt werden.

  • Sie können entweder einen Domänencontroller als Replikationsquelle angeben oder zulassen, dass der Assistent einen beliebigen Domänencontroller als Replikationsquelle auswählt.

  • Sie können auch festlegen, dass der Domänencontroller mithilfe gesicherter Medien und der Option %%amp;quot;Installieren von Medium%%amp;quot; (Install from Media, IFM) installiert wird. Wenn das Installationsmedium lokal gespeichert ist, können Sie mithilfe der Option Installieren von Medium zum Speicherort der Datei navigieren. Die Option zum Durchsuchen ist bei einer Remoteinstallation nicht verfügbar. Wenn Sie sicherstellen möchten, dass es sich bei dem angegebenen Pfad um ein gültiges Medium handelt, können Sie auf Überprüfen klicken. Von der IFM-Option verwendete Medien dürfen nur mit der Windows Server-Sicherung oder mit „Ntdsutil.exe“ auf einem anderen vorhandenen Windows Server 2012-Computer erstellt werden. Die Verwendung von Windows Server 2008 R2 oder eines früheren Betriebssystems zum Erstellen von Medien für einen Windows Server 2012-Domänencontroller ist nicht möglich. Wenn die Medien mit einem Systemschlüssel (SYSKEY) geschützt sind, werden Sie während der Überprüfung von Server-Manager zur Eingabe des Kennworts für das Abbild aufgefordert.

Weitere Informationen zum Erstellen einer Domäne finden Sie unter Installieren einer neuen Windows Server 2012-Active Directory-Domäne (untergeordnet oder Gesamtstruktur) (Stufe 200)). Weitere Informationen zum Hinzufügen eines Domänencontrollers zu einer vorhandenen Domäne finden Sie unter Installieren eines Windows Server 2012-Domänencontrollerreplikats in einer vorhandenen Domäne (Stufe 200).

Paths

Auf der Seite Pfade werden die folgenden Optionen angezeigt.

Screenshot der Seite „Pfade“ des Konfigurations-Assistenten für Active Directory Domain Services.

  • Auf der Seite Pfade können Sie die standardmäßigen Ordnerpfade der AD DS-Datenbank, der Datenbankprotokolle und der SYSVOL-Freigabe überschreiben. Die Standardspeicherorte befinden sich grundsätzlich unter %systemroot%.

Geben Sie den Speicherort für die AD DS-Datenbank (NTDS.DIT), die Protokolldateien und für SYSVOL an. Bei einer lokalen Installation können Sie zu dem Speicherort navigieren, unter dem Sie die Dateien speichern möchten.

Vorbereitungsoptionen

Screenshot der Seite „Vorbereitungsoptionen“ des Konfigurations-Assistenten für Active Directory Domain Services.

Wenn Sie derzeit nicht mit den zum Ausführen von adprep.exe-Befehlen erforderlichen Anmeldeinformationen angemeldet sind und Adprep zum Abschließen der AD DS-Installation erforderlich ist, werden Sie zum Angeben von Anmeldeinformationen aufgefordert, mit denen %%amp;quot;adprep.exe%%amp;quot; ausgeführt werden kann. Zum Hinzufügen des ersten Domänencontrollers unter Windows Server 2012 zu einer vorhandenen Domäne oder Gesamtstruktur muss „adprep“ ausgeführt werden. Dies gilt insbesondere in folgenden Fällen:

  • Zum Hinzufügen des ersten Domänencontrollers unter Windows Server 2012 zu einer vorhandenen Gesamtstruktur muss „adprep /forestprep“ ausgeführt werden. Dieser Befehl muss von einem Mitglied der Gruppe %%amp;quot;Organisations-Admins%%amp;quot;, %%amp;quot;Schema-Admins%%amp;quot; und %%amp;quot;Domänen-Admins%%amp;quot; der Domäne ausgeführt werden, die den Schemamaster enthält. Damit dieser Befehl erfolgreich abgeschlossen werden kann, muss zwischen dem Computer, auf dem Sie den Befehl ausführen, und dem Schemamaster für die Gesamtstruktur eine Verbindung bestehen.

  • Zum Hinzufügen des ersten Domänencontrollers unter Windows Server 2012 zu einer vorhandenen Domäne muss „adprep /domainprep“ ausgeführt werden. Dieser Befehl muss von einem Mitglied der Gruppe „Domänenadministratoren“ der Domäne ausgeführt werden, in der Sie den Domänencontroller unter Windows Server 2012 installieren. Damit dieser Befehl erfolgreich abgeschlossen werden kann, muss zwischen dem Computer, auf dem Sie den Befehl ausführen, und dem Infrastrukturmaster für die Domäne eine Verbindung bestehen.

  • Zum Hinzufügen des ersten RODC zu einer vorhandenen Gesamtstruktur ist die Ausführung von adprep/rodcprep erforderlich. Dieser Befehl muss von einem Mitglied der Gruppe %%amp;quot;Organisation-Admins%%amp;quot; ausgeführt werden. Damit dieser Befehl erfolgreich abgeschlossen werden kann, muss zwischen dem Computer, auf dem Sie den Befehl ausführen, und dem Infrastrukturmaster für die einzelnen Anwendungsverzeichnispartitionen in der Gesamtstruktur eine Verbindung bestehen.

Weitere Informationen zu %%amp;quot;Adprep.exe%%amp;quot; finden Sie unter Integration von %%amp;quot;Adprep.exe%%amp;quot; und Ausführen von %%amp;quot;Adprep.exe%%amp;quot;.

Optionen prüfen

Screenshot der Seite „Optionen prüfen“ des Konfigurations-Assistenten für Active Directory Domain Services.

  • Auf der Seite Optionen prüfen können Sie vor dem Starten der Installation Ihre Einstellungen validieren und sicherstellen, dass Ihre Anforderungen erfüllt werden. Dies ist jedoch nicht die letzte Möglichkeit, um die Installation mit Server-Manager zu stoppen. Diese Seite ermöglicht Ihnen lediglich das Überprüfen und Bestätigen Ihrer Einstellungen, bevor Sie die Konfiguration fortsetzen.

  • Die Seite Optionen prüfen im Server-Manager bietet zudem die optionale Schaltfläche Skript anzeigen zum Erstellen einer Unicode-Textdatei, die die aktuelle ADDSDeployment-Konfiguration als einzelnes Windows PowerShell-Skript enthält. Dies ermöglicht Ihnen die Verwendung der grafischen Oberfläche von Server-Manager als Windows PowerShell-Bereitstellungsstudio. Mithilfe des Konfigurations-Assistenten für die Active Directory-Domänendienste können Sie Optionen konfigurieren, die Konfiguration exportieren und den Assistenten abbrechen. Bei diesem Prozess wird ein gültiges und syntaktisch korrektes Muster zur weiteren Änderung oder direkten Verwendung erstellt.

Voraussetzungsüberprüfung

Screenshot der Seite „Voraussetzungsüberprüfung“ des Konfigurations-Assistenten für Active Directory Domain Services.

Einige der auf dieser Seite angezeigten Warnungen lauten wie folgt:

  • Domänencontroller unter Windows Server 2008 oder einem höheren Betriebssystem haben eine Standardeinstellung für „Mit Windows NT 4.0 kompatible Kryptografiealgorithmen zulassen“. Durch diese Einstellung wird verhindert, dass beim Herstellen von Sicherheitskanalsitzungen schwächere Kryptografiealgorithmen verwendet werden. Weitere Informationen zu den potenziellen Auswirkungen und einer Problemumgehung finden Sie unter Deaktivieren der AllowNT4Crypto-Einstellung auf allen betroffenen Domänencontrollern.

  • Die DNS-Delegierung konnte nicht erstellt oder aktualisiert werden. Weitere Informationen finden Sie unter DNS-Optionen.

  • Für die Voraussetzungsüberprüfung sind WMI-Aufrufe erforderlich. Diese können erfolglos sein, wenn sie durch Firewallblockierungsregeln blockiert werden, und sie können eine Fehlermeldung mit dem Hinweis zurückgeben, dass der RPC-Server nicht verfügbar ist.

Weitere Informationen zu den für die AD DS-Installation spezifischen Voraussetzungsüberprüfungen finden Sie unter Voraussetzungsüberprüfungen.

Ergebnisse

Screenshot der Seite „Ergebnisse“ des Konfigurations-Assistenten für Active Directory Domain Services.

Auf dieser Seite können Sie die Ergebnisse der Installation überprüfen.

Zudem können Sie festlegen, dass der Zielserver nach Abschluss des Assistenten neu gestartet wird. Bei erfolgreichem Abschluss der Installation wird der Server jedoch generell neu gestartet. Dabei ist es unerheblich, ob Sie diese Option auswählen oder nicht. Nach Abschluss des Assistenten auf einem Zielserver, der vor der Installation der Domäne nicht hinzugefügt wurde, kann der Systemstatus des Zielservers in einigen Fällen dazu führen, dass der Server im Netzwerk nicht erreichbar ist. Der Systemstatus kann auch verhindern, dass Sie über Berechtigungen zum Verwalten des Remoteservers verfügen.

Wenn der Neustart des Zielservers in diesem Fall nicht gelingt, müssen Sie ihn manuell neu starten. Ein Neustart mithilfe von Tools wie %%amp;quot;shutdown.exe%%amp;quot; oder Windows PowerShell ist nicht möglich. Über die Remotedesktopdienste können Sie sich anmelden und den Zielserver per Remoteverbindung herunterfahren.

Anmeldeinformationen zum Entfernen von Rollen

Screenshot der Seite „Anmeldeinformationen“ des Konfigurations-Assistenten für Active Directory Domain Services.

Auf der Seite Anmeldeinformationen werden Herabstufungsoptionen konfiguriert. Geben Sie in der folgenden Liste die zum Ausführen der Herabstufung erforderlichen Anmeldeinformationen an:

  • Für die Herabstufung eines zusätzlichen Domänencontrollers sind Domänenadministrator-Anmeldeinformationen erforderlich. Bei Auswahl der Option Entfernen des Domänencontrollers erzwingen wird der Domänencontroller herabgestuft, ohne die Metadaten des Domänencontrollerobjekts aus Active Directory zu entfernen.

    Wichtig

    Wählen Sie diese Option nur dann aus, wenn der Domänencontroller keine andere Domänencontroller kontaktieren kann und zum Beheben dieses Netzwerkproblems keine angemessene Möglichkeit besteht. Bei der erzwungenen Herabstufung bleiben in Active Directory der restlichen Domänencontroller in der Gesamtstruktur verwaiste Metadaten zurück. Zudem gehen alle nicht replizierten Änderungen an diesem Domänencontroller, beispielsweise Kennwörter oder neue Benutzerkonten, für immer verloren. Verwaiste Metadaten stellen die Hauptursache in einem erheblichen Prozentsatz der Microsoft Kundendienstfälle für AD DS, Exchange, SQL und andere Software dar. Wenn Sie einen Domänencontroller zwangsweise herabstufen, müssen Sie sofort eine manuelle Metadatenbereinigung ausführen. Informationen zu den entsprechenden Schritten finden Sie unter Bereinigen von Servermetadaten.

  • Für das Herabstufen des letzten Domänencontrollers in einer Domäne ist eine Mitgliedschaft in der Gruppe %%amp;quot;Organisations-Admins%%amp;quot; erforderlich, da hierbei die Domäne selbst entfernt wird (wenn es sich um die letzte Domäne in der Gesamtstruktur handelt, wird dabei die Gesamtstruktur entfernt). Wenn der aktuelle Domänencontroller der letzte Domänencontroller in der Domäne ist, werden Sie von Server-Manager darüber informiert. Wählen Sie die Option Letzter Domänencontroller in der Domäne aus, um zu bestätigen, dass der Domänencontroller der letzte Domänencontroller in der Domäne ist.

Weitere Informationen zum Entfernen von AD DS finden Sie unter Entfernen der Active Directory-Domänendienste (Stufe 100) und Herabstufen von Domänencontrollern und Domänen (Stufe 200).

Optionen und Warnungen zum Entfernen von AD DS

Hilfe zur Seite %%amp;quot;Optionen prüfen%%amp;quot; finden Sie unter %%amp;quot;Überprüfungsoptionen%%amp;quot;.

Wenn der Domänencontroller zusätzliche Rollen hostet (z. B. die DNS-Serverrolle oder den globalen Katalogserver) wird die folgende Warnseite angezeigt:

Screenshot der Seite „Warnungen“ des Konfigurations-Assistenten für Active Directory Domain Services.

Bevor Sie zum Fortsetzen des Vorgangs auf Weiter klicken können, müssen Sie auf Entfernung fortsetzen klicken, um zu bestätigen, dass die zusätzlichen Rollen nicht mehr verfügbar sein werden.

Wenn Sie das Entfernen eines Domänencontrollers erzwingen, gehen sämtliche Active Directory-Objektänderungen, die nicht auf andere Domänencontroller in der Domäne repliziert wurden, verloren. Falls der Domänencontroller zudem Betriebsmasterrollen, den globalen Katalog oder die DNS-Serverrolle hostet, kann sich dies wie folgt auf wichtige Vorgänge in der Domäne und Gesamtstruktur auswirken. Versuchen Sie vor dem Entfernen eines Domänencontrollers, der eine beliebige Betriebsmasterrolle hostet, die Rolle auf einen anderen Domänencontroller zu übertragen. Wenn die Rolle nicht übertragen werden kann, entfernen Sie zunächst die Active Directory-Domänendienste von diesem Computer, und übernehmen Sie dann die Rolle mithilfe von %%amp;quot;Ntdsutil.exe%%amp;quot;. Verwenden Sie Ntdsutil für den Domänencontroller, für den die Rolle übernommen werden soll. Verwenden Sie möglichst einen aktuellen Replikationspartner, der sich am gleichen Standort wie dieser Domänencontroller befindet. Weitere Informationen zum Übertragen und Übernehmen von Betriebsmasterrollen finden Sie in der Microsoft Knowledge Base in Artikel 255504. Wenn der Assistent nicht bestimmen kann, ob der Domänencontroller eine Betriebsmasterrolle hostet, führen Sie den Befehl %%amp;quot;netdom.exe%%amp;quot; aus. Somit können Sie feststellen, ob dieser Domänencontroller Betriebsmasterrollen ausführt.

  • Globaler Katalog: möglicherweise haben die Benutzer Probleme mit der Anmeldung bei Domänen in der Gesamtstruktur. Stellen Sie vor dem Entfernen eines globalen Katalogservers sicher, dass sich in der jeweiligen Gesamtstruktur und an dem jeweiligen Standort genügend globale Katalogserver zum Verarbeiten der Benutzeranmeldungen befinden. Weisen Sie bei Bedarf einen weiteren globalen Katalogserver zu, und aktualisieren Sie die Clients und Anwendungen mit den neuen Informationen.

  • DNS-Server: alle DNS-Daten, die in Active Directory-integrierten Zonen gespeichert werden, gehen verloren. Nachdem Sie AD DS entfernt haben, kann der jeweilige DNS-Server keine Namensauflösung für die in Active Directory integrierten DNS-Zonen ausführen. Daher wird empfohlen, für die Namensauflösung mit der IP-Adresse eines neuen DNS-Servers die DNS-Konfiguration aller Computer zu aktualisieren, die momentan auf die IP-Adresse dieses DNS-Servers verweisen.

  • Infrastrukturmaster: Clients in der Domäne haben möglicherweise Schwierigkeiten dabei, Objekte in anderen Domänen zu finden. Bevor Sie den Vorgang fortsetzen, übertragen Sie die Infrastrukturmasterrolle auf einen Domänencontroller, bei dem es sich nicht um einen globalen Katalogserver handelt.

  • RID-Master: möglicherweise haben Sie Probleme beim Erstellen neuer Benutzerkonten, Computerkonten und Sicherheitsgruppen. Bevor Sie den Vorgang fortsetzen, übertragen Sie die RID-Masterrolle auf einen Domänencontroller, der sich in derselben Domäne wie dieser Domänencontroller befindet.

  • Emulator für primären Domänencontroller (PDC): vom PDC-Emulator ausgeführte Vorgänge wie Gruppenrichtlinienaktualisierungen und Kennwortzurücksetzungen für Nicht-AD DS-Konten funktionieren nicht ordnungsgemäß. Bevor Sie den Vorgang fortsetzen, übertragen Sie die PDC-Emulatormasterrolle auf einen Domänencontroller, der sich in derselben Domäne wie dieser Domänencontroller befindet.

  • Schemamaster: Sie können das Schema für die jeweilige Gesamtstruktur nicht mehr ändern. Bevor Sie den Vorgang fortsetzen, übertragen Sie die Schemamasterrolle auf einen Domänencontroller in der Stammdomäne der Gesamtstruktur.

  • Domänennamenmaster: Sie können der jeweiligen Gesamtstruktur keine Domänen mehr hinzufügen und keine Domänen mehr daraus entfernen. Bevor Sie den Vorgang fortsetzen, übertragen Sie die Domänennamen-Masterrolle auf einen Domänencontroller in der Stammdomäne der Gesamtstruktur.

  • Dabei werden alle Anwendungsverzeichnispartitionen auf diesem Active Directory-Domänencontroller entfernt. Wenn ein Domänencontroller die aktuellste Replikation einer oder mehrerer Anwendungsverzeichnispartitionen enthält, sind diese Partitionen nach Abschluss des Entfernungsvorgangs nicht mehr vorhanden.

Beachten Sie, dass die Domäne nach dem Deinstallieren der Active Directory-Domänendienste vom letzten Domänencontroller in der Domäne nicht mehr vorhanden ist.

Wenn es sich bei dem Domänencontroller um einen DNS-Server handelt, der zum Hosten der DNS-Zone delegiert ist, haben Sie auf der folgenden Seite die Möglichkeit, den DNS-Server aus der DNS-Zonendelegierung zu entfernen.

Screenshot der Seite „Entfernungsoptionen“ des Konfigurations-Assistenten für Active Directory Domain Services.

Weitere Informationen zum Entfernen von AD DS finden Sie unter Entfernen der Active Directory-Domänendienste (Stufe 100) und Herabstufen von Domänencontrollern und Domänen (Stufe 200).

Neues Administratorkennwort

Auf der Seite Neues Administratorkennwort müssen Sie ein Kennwort für das Administratorkonto des integrierten lokalen Computers angeben, nachdem die Herabstufung abgeschlossen ist und der Computer zu einem Domänenmitgliedsserver oder Arbeitsgruppencomputer wurde.

Screenshot der Seite „Neues Administratorkennwort“ des Konfigurations-Assistenten für Active Directory Domain Services.

Weitere Informationen zum Entfernen von AD DS finden Sie unter Entfernen der Active Directory-Domänendienste (Stufe 100) und Herabstufen von Domänencontrollern und Domänen (Stufe 200).

Seite „Optionen prüfen“

Auf der Seite Optionen prüfen können Sie die Konfigurationseinstellungen für die Herabstufung in ein Windows PowerShell-Skript exportieren, sodass Sie zusätzliche Herabstufungen automatisieren können. Klicken Sie auf Tiefer stufen, um AD DS zu entfernen.

Screenshot der letzten Seite „Optionen prüfen“ des Konfigurations-Assistenten für Active Directory Domain Services.