Freigeben über


Seitenbeschreibungen des Assistenten zum Installieren und Entfernen von Active Directory-Domänendiensten (AD DS)

Im Server-Manager können Sie den Konfigurations-Assistenten für Active Directory-Domänendienste verwenden, um einen Server auf einen Domänencontroller heraufzustufen und einen Server herabzustufen. In diesem Artikel werden die Steuerelemente auf den folgenden Seiten dieses Assistenten beschrieben.

Heraufstufen eines Servers zu einem Domänencontroller

In den folgenden Abschnitten werden die Seiten beschrieben, die angezeigt werden, wenn Sie den Konfigurations-Assistenten für Active Directory-Domänendienste verwenden, um einen Server auf einen Domänencontroller heraufzustufen.

Bereitstellungskonfiguration

In Server-Manager beginnt jede Domänencontrollerinstallation auf der Seite Bereitstellungskonfiguration. Die Optionen und erforderlichen Felder, die auf dieser Seite und den nachfolgenden Seiten angezeigt werden, hängen davon ab, welchen Bereitstellungsvorgang Sie auswählen.

Der Assistent führt einige Validierungen und Tests auf der Seite Bereitstellungskonfiguration und später im Rahmen von Voraussetzungsüberprüfungen erneut aus. Eine Überprüfung wird z. B. durchgeführt, wenn Sie versuchen, den ersten Windows Server-Domänencontroller in einer Gesamtstruktur zu installieren. Wenn die Funktionsebene der Gesamtstruktur die Windows Server-Version des Domänencontrollers nicht unterstützt, wird auf dieser Seite ein Fehler angezeigt.

In den folgenden Abschnitten werden die Bereitstellungsvorgänge beschrieben, die Sie auf dieser Seite auswählen können.

Erstellen eines Waldes

Der folgende Screenshot zeigt die Optionen, die beim Erstellen einer Gesamtstruktur angezeigt werden:

Screenshot der Seite

  • Wenn Sie eine Gesamtstruktur erstellen, müssen Sie einen Namen für die Stammdomäne der Gesamtstruktur angeben.

  • Der Name einer Active Directory-Gesamtstruktur, die Sie erstellen, muss sich von Ihrem externen DNS-Namen unterscheiden. Wenn Ihre Internet-DNS-URL z. B. lautet https://example-domain.com, müssen Sie einen anderen Namen für Ihre interne Gesamtstruktur auswählen, um zukünftige Kompatibilitätsprobleme zu vermeiden. Dieser Name sollte eindeutig und für Webdatenverkehr unwahrscheinlich sein, z. B corp.example-domain.com. . .

  • Sie müssen Mitglied der Gruppe Administratoren auf dem Server sein, auf dem Sie eine Gesamtstruktur erstellen möchten.

Weitere Informationen zum Erstellen einer Gesamtstruktur finden Sie unter Installieren einer neuen Active Directory-Gesamtstruktur in Windows Server 2012 (Stufe 200)).

Erstellen einer Domäne

Der folgende Screenshot zeigt die Optionen, die beim Erstellen einer Domäne angezeigt werden:

Screenshot der Seite

Hinweis

Wenn Sie eine Strukturdomäne erstellen, müssen Sie den Namen der Stammdomäne der Gesamtstruktur anstelle der übergeordneten Domäne angeben. Die übrigen Assistentenseiten und -optionen sind jedoch identisch, unabhängig davon, ob Sie eine untergeordnete Domäne oder eine Strukturdomäne erstellen.

  • Wählen Sie für Name der übergeordneten Domäne die Option Auswählen aus, um zur übergeordneten Domäne oder Active Directory-Struktur zu wechseln, oder geben Sie einen gültigen Namen für die übergeordnete Domäne oder den Namen einer übergeordneten Domäne ein.

  • Geben Sie unter Neuer Domänenname den Namen der neuen Domäne ein.

    • Geben Sie für eine Strukturdomäne einen gültigen, vollqualifizierten Stammdomänennamen an. Der Name darf nicht einfach bezeichnet werden und muss die Anforderungen für DNS-Domänennamen erfüllen.
    • Geben Sie für eine untergeordnete Domäne einen gültigen untergeordneten Domänennamen mit einer einzigen Bezeichnung an. Der Name muss die Anforderungen für DNS-Domänennamen erfüllen.
  • Wenn Ihre aktuellen Anmeldeinformationen nicht aus der Domäne stammen, werden Sie vom Konfigurations-Assistenten für Active Directory-Domänendienste zur Eingabe von Domänenanmeldeinformationen aufgefordert. Wählen Sie Ändern aus, um Domänenanmeldeinformationen anzugeben.

Weitere Informationen zum Erstellen einer Domäne finden Sie unter Installieren einer neuen Windows Server 2012-Active Directory-Domäne (untergeordnet oder Gesamtstruktur) (Stufe 200)).

Hinzufügen eines Domänencontrollers zu einer vorhandenen Domäne

Der folgende Screenshot zeigt die Optionen, die angezeigt werden, wenn Sie einer vorhandenen Domäne einen neuen Domänencontroller hinzufügen:

Screenshot der Seite

  • Wählen Sie für Domänedie Option Auswählen aus, um zur Domäne zu wechseln, oder geben Sie einen gültigen Domänennamen ein.

  • Bei Bedarf werden Sie vom Server-Manager zur Eingabe gültiger Anmeldeinformationen aufgefordert. Für das Installieren eines zusätzlichen Domänencontrollers ist die Mitgliedschaft in der Gruppe %%amp;quot;Domänen-Admins%%amp;quot; erforderlich.

    Außerdem sind für die Installation des ersten Domänencontrollers, auf dem Windows Server in einer Gesamtstruktur ausgeführt wird, Anmeldeinformationen erforderlich, die Gruppenmitgliedschaften in den Gruppen Organisations-Admins und Schema-Admins enthalten. Wenn Ihre aktuellen Anmeldeinformationen keine angemessenen Berechtigungen oder Gruppenmitgliedschaften aufweisen, wird später vom Konfigurations-Assistenten für Active Directory Domain Services eine Eingabeaufforderung ausgegeben.

Weitere Informationen zum Hinzufügen eines Domänencontrollers zu einer vorhandenen Domäne finden Sie unter Installieren eines Windows Server 2012-Domänencontrollerreplikats in einer vorhandenen Domäne (Stufe 200).

Domänencontrolleroptionen

Die Optionen, die auf der Seite Domänencontrolleroptionen angezeigt werden, hängen von Ihrem Bereitstellungsvorgang ab. In den folgenden Abschnitten werden die Optionen beschrieben, die Sie für jeden Vorgang konfigurieren.

Neue Waldoptionen

Wenn Sie eine Gesamtstruktur erstellen, werden auf der Seite Domänencontrolleroptionen die Optionen angezeigt, die im folgenden Screenshot gezeigt werden:

Screenshot der Seite

  • Die Standardwerte der Gesamtstruktur- und Domänenfunktionsebenen hängen von Ihrer Windows Server-Version ab.

    Ab der Version Windows Server 2012 bietet die Domänenfunktionsebene die folgenden Einstellungen in der KDC-Richtlinie (Key Distribution Center) für Ansprüche, Verbundauthentifizierung und Kerberos-Schutz:

    • Reklamationen immer geltend machen
    • Fehler bei ungeschützten Authentifizierungsanforderungen

    Weitere Informationen finden Sie unter Unterstützung für Ansprüche, Verbundauthentifizierung und Kerberos-Schutz.

    Alle Domänen, die Sie in einer Gesamtstruktur erstellen, werden automatisch auf der Domänenfunktionsebene ausgeführt, die der ausgewählten Gesamtstrukturfunktionsebene entspricht. Außerdem wird auf allen Domänencontrollern in der Domäne die Windows Server-Version der ausgewählten Domänenfunktionsebene ausgeführt.

    Weitere Informationen zu Features, die auf verschiedenen Funktionsebenen verfügbar sind, finden Sie unter Funktionsebenen der Active Directory-Domänendienste.

    Die Features, die auf einem Domänencontroller verfügbar sind, hängen von der Version von Windows Server ab, die auf dem Domänencontroller ausgeführt wird.

  • Wenn Sie eine Gesamtstruktur erstellen, ist die Serveroption Domain Name System (DNS) standardmäßig ausgewählt. Der erste Domänencontroller in der Gesamtstruktur muss ein globaler Katalogserver sein, und es darf sich nicht um einen schreibgeschützten Domänencontroller (RODC) handeln.

  • Um sich bei einem Domänencontroller anzumelden, auf dem AD DS nicht ausgeführt wird, benötigen Sie das Kennwort für den Wiederherstellungsmodus für Verzeichnisdienste (Directory Services Restore Mode, DSRM). Das von Ihnen angegebene Kennwort muss der Kennwortrichtlinie entsprechen, die auf den Server angewendet wird. Standardmäßig ist für diese Richtlinie kein sicheres Kennwort erforderlich. Es ist nur ein nicht leeres Passwort erforderlich. Wählen Sie stets ein sicheres, komplexes Kennwort oder bevorzugterweise eine Passphrase aus. Informationen zum Synchronisieren des DSRM-Kennworts mit dem Kennwort eines Domänenbenutzerkontos finden Sie im Supportartikel zum Synchronisieren von Kennwörtern.

Weitere Informationen zum Erstellen einer Gesamtstruktur finden Sie unter Installieren einer neuen Active Directory-Gesamtstruktur in Windows Server 2012 (Stufe 200)).

Neue Optionen für untergeordnete Domains

Wenn Sie eine untergeordnete Domäne erstellen, werden auf der Seite Domänencontrolleroptionen die Optionen angezeigt, die im folgenden Screenshot gezeigt werden:

Screenshot der Seite

  • Der Standardwert der Domänenfunktionsebene hängt von Ihrer Windows Server-Version ab. Sie können einen beliebigen Wert angeben, der größer oder gleich der Funktionsebene der Gesamtstruktur ist.

  • Sie können die folgenden Domänencontrolleroptionen konfigurieren:

    • DNS-Server (Domain Name System)
    • Globaler Katalog (GC)

    Sie können den ersten Domänencontroller in einer neuen Domäne nicht als RODC konfigurieren.

    Es wird empfohlen, dass alle Domänencontroller DNS- und globale Katalogdienste für Hochverfügbarkeit in verteilten Umgebungen bereitstellen. Aus diesem Grund aktiviert der Assistent diese Optionen standardmäßig, wenn Sie eine Domäne erstellen.

  • Sie können diese Seite auch verwenden, um einen geeigneten Namen für einen logischen Active Directory-Standort aus der Gesamtstrukturkonfiguration auszuwählen. Standardmäßig wird der Standortname mit dem korrektesten Subnetz ausgewählt. Wenn nur eine Website vorhanden ist, wird diese Website automatisch ausgewählt.

    Wichtig

    Wenn der Server nicht zu einem Active Directory-Subnetz gehört und mehr als ein Standort vorhanden ist, wird nichts ausgewählt. Die Schaltfläche Weiter ist erst verfügbar, wenn Sie eine Website aus der Liste auswählen.

Weitere Informationen zum Erstellen einer Domäne finden Sie unter Installieren einer neuen Windows Server 2012-Active Directory-Domäne (untergeordnet oder Gesamtstruktur) (Stufe 200)).

Optionen zum Hinzufügen eines Domänencontrollers zu einer Domäne

Wenn Sie einer Domäne einen Domänencontroller hinzufügen, werden auf der Seite Domänencontrolleroptionen die im folgenden Screenshot gezeigten Optionen angezeigt:

Screenshot der Seite

Sie können die folgenden Domänencontrolleroptionen konfigurieren:

  • DNS-Server (Domain Name System)
  • Globaler Katalog (GC)
  • Schreibgeschützter Domänencontroller (RODC)

Es wird empfohlen, dass alle Domänencontroller DNS- und globale Katalogdienste für Hochverfügbarkeit in verteilten Umgebungen bereitstellen. Aus diesem Grund sind diese Optionen standardmäßig aktiviert. Weitere Informationen zum Bereitstellen von RODCs finden Sie im Planungs- und Bereitstellungshandbuch für schreibgeschützte Domänencontroller.

Weitere Informationen zum Hinzufügen eines Domänencontrollers zu einer vorhandenen Domäne finden Sie unter Installieren eines Windows Server 2012-Domänencontrollerreplikats in einer vorhandenen Domäne (Stufe 200).

DNS-Optionen

Wenn Sie die DNS-Serverrolle installieren, wird die folgende Seite mit den DNS-Optionen angezeigt:

Screenshot der Seite

Wenn Sie die DNS-Serverfunktion installieren, sollten Delegierungseinträge, die auf den DNS-Server als autorisierend für die Zone verweisen, in der übergeordneten DNS-Zone erstellt werden. Delegierungsdatensätze übertragen die Namensabwicklungsberechtigung. Sie bieten auch einen korrekten Verweis auf andere DNS-Server und Clients neuer Server, die für die neue Zone autorisierend sind. Zu diesen Ressourceneinträgen gehören die folgenden Datensätze:

  • Ein Namenserver-Ressourceneintrag (NS) zur Ausführung der Delegierung. Dieser Ressourceneintrag kündigt an, dass es sich bei dem benannten ns1.na.example.microsoft.com Server um einen autorisierenden Server für die delegierte Unterdomäne handelt.
  • Ein Hostressourceneintrag (A oder AAAA), der auch als Glue-Datensatz bezeichnet wird. Dieser Eintrag muss vorhanden sein, um den Namen des Servers, der im NS-Ressourceneintrag angegeben ist, in seine IP-Adresse aufzulösen. Der Prozess des Auflösens des Hostnamens in diesem Ressourceneintrag in den delegierten DNS-Server im NS-Ressourceneintrag wird manchmal als Glue-Chasing bezeichnet.

Sie können festlegen, dass der Konfigurations-Assistent für Active Directory-Domänendienste diese Einträge automatisch erstellt. Wenn Sie auf der Seite Domänencontrolleroptionen die Option Weiter auswählen, überprüft der Assistent, ob die entsprechenden Einträge in der übergeordneten DNS-Zone vorhanden sind. Wenn der Assistent nicht überprüfen kann, ob die Einträge in der übergeordneten Domäne vorhanden sind, bietet der Assistent Ihnen die Möglichkeit, automatisch eine DNS-Delegierung für eine neue Domäne zu erstellen (oder die vorhandene Delegierung zu aktualisieren) und mit der Installation des neuen Domänencontrollers fortzufahren.

Alternativ können Sie diese DNS-Delegierungseinträge erstellen, bevor Sie die DNS-Serverrolle installieren. Um eine Zonendelegierung zu erstellen, öffnen Sie den DNS-Manager, klicken Sie mit der rechten Maustaste auf die übergeordnete Domäne, und wählen Sie dann Neue Delegierung aus. Folgen Sie den Schritten im Assistenten zum Erstellen neuer Delegierungen, um die Delegierung zu erstellen.

Der Installationsvorgang versucht, die Delegierung zu erstellen, um sicherzustellen, dass Computer in anderen Domänen DNS-Abfragen für Hosts in der DNS-Unterdomäne auflösen können, einschließlich Domänencontrollern und Mitgliedscomputern. Die Delegierungseinträge können nur auf Microsoft DNS-Servern automatisch erstellt werden. Wenn sich die übergeordnete DNS-Domänenzone auf DNS-Servern von Drittanbietern befindet, z. B. Berkeley Internet Name Domain (BIND)-Servern, wird auf der Seite "Voraussetzungsprüfung " eine Warnung angezeigt, dass DNS-Delegierungsdatensätze nicht erstellt werden können. Weitere Informationen zu der Warnung finden Sie unter Bekannte Probleme beim Installieren und Entfernen von AD DS.

Delegierungen zwischen der übergeordneten Domäne und der Unterdomäne, die höher gestuft wird, können vor oder nach der Installation erstellt und überprüft werden. Es gibt keinen Grund, die Installation eines neuen Domänencontrollers zu verzögern, da Sie die DNS-Delegierung nicht erstellen oder aktualisieren können.

Weitere Informationen zur Delegierung finden Sie unter Grundlegendes zur Zonendelegierung. Wenn die Zonendelegierung in Ihrer Situation nicht möglich ist, können Sie andere Methoden in Betracht ziehen, um den Hosts in Ihrer Domäne die Namensauflösung von anderen Domänen bereitzustellen. Der DNS-Administrator einer anderen Domäne kann z. B. bedingte Weiterleitungen, Stubzonen oder sekundäre Zonen konfigurieren, um Namen in Ihrer Domäne aufzulösen. Weitere Informationen finden Sie in den folgenden Ressourcen:

RODC-Optionen

Der folgende Screenshot zeigt die Optionen, die bei der Installation eines RODC angezeigt werden.

Screenshot der Seite RODC-Optionen des Assistenten mit Konten, die Kennwörter replizieren und nicht replizieren können, sowie Schaltflächen zum Bearbeiten der Konten.

  • Sie können die Option Delegiertes Administratorkonto verwenden, um die Konten anzugeben, denen lokale Administratorberechtigungen für den RODC zugewiesen sind. Diese Benutzer können Vorgänge mit Berechtigungen ausführen, die denen der Gruppe „Administratoren“ des lokalen Computers entsprechen. Sie sind keine Mitglieder der Gruppe mit Domänenadministrator*innen oder der in die Domäne integrierten Gruppe „Administratoren“. Diese Option ist nützlich, um die Verwaltung von Zweigstellen zu delegieren, ohne Domänenadministratorberechtigungen zu erteilen. Das Konfigurieren der Delegierung der Verwaltung ist nicht erforderlich. Weitere Informationen finden Sie unter Trennung von Administratorrollen.

  • Sie können die verbleibenden Optionen auf der Seite verwenden, um die Kennwortreplikationsrichtlinie (PRP) zu konfigurieren, die als Zugriffssteuerungsliste (Access Control List, ACL) fungiert. Diese Richtlinie bestimmt, ob ein RODC ein Kennwort zwischenspeichern kann. Nachdem der RODC eine Anmeldeanforderung für authentifizierte Benutzer oder Computer empfangen hat, verweist er auf das PRP, um zu bestimmen, ob das Kennwort für das Konto zwischengespeichert werden soll. Dasselbe Konto kann dann nachfolgende Anmeldungen effizienter durchführen. Wenn ein Konto zwischengespeichert wird, kann es vom RODC authentifiziert werden, auch wenn die WAN-Verbindung zum Hubstandort offline ist.

    Das PRP listet zwei Arten von Konten auf:

    • Konten mit Kennwörtern, die zwischengespeichert werden können
    • Konten mit Kennwörtern, deren Zwischenspeicherung explizit verweigert wird

    Wenn ein Benutzer- oder Computerkonto in der Liste der Konten enthalten ist, die zwischengespeichert werden können, hat der RODC das Kennwort für dieses Konto nicht unbedingt zwischengespeichert. Ein Administrator kann z. B. im Voraus die Konten angeben, die ein RODC zwischenspeichern soll.

    Die Kennwörter werden nicht für Benutzer- oder Computerkonten zwischengespeichert, die weder explizit noch implizit verweigert oder zugelassen sind. Wenn diese Benutzer oder Computer keinen Zugriff auf einen beschreibbaren Domänencontroller haben, können sie nicht auf die von AD DS bereitgestellten Ressourcen oder Funktionen zugreifen. Weitere Informationen zum PRP finden Sie unter Kennwortreplikationsrichtlinie. Weitere Informationen zum Verwalten des PRP finden Sie unter Verwalten der Kennwortreplikationsrichtlinie.

Weitere Informationen zum Installieren von schreibgeschützten Domänencontrollern finden Sie unter Installieren eines schreibgeschützten Active Directory-Domänencontrollers in Windows Server 2012 (Stufe 200)).

Zusätzliche Optionen

Der folgende Screenshot zeigt die Option, die auf der Seite Zusätzliche Optionen angezeigt wird, wenn Sie eine Domäne erstellen:

Screenshot der Seite Zusätzliche Optionen des Assistenten. Ein Feld zum Bearbeiten des NetBIOS-Namens der Domäne ist sichtbar.

Der folgende Screenshot zeigt die Optionen, die auf der Seite Zusätzliche Optionen angezeigt werden, wenn Sie einer vorhandenen Domäne einen Domänencontroller hinzufügen:

Screenshot der Seite Zusätzliche Optionen des Assistenten. Ein Installationspfad für das Medium wird angezeigt. Die Replikationsquelle ist auf einen beliebigen Domänencontroller festgelegt.

  • Sie können die Option Replizieren von verwenden, um einen Domänencontroller als Replikationsquelle anzugeben oder dem Assistenten zu erlauben, einen beliebigen Domänencontroller als Replikationsquelle auszuwählen.

  • Sie können die Option Von Medium installieren verwenden, um eine gesicherte Medienquelle anzugeben, die für die Installation des Domänencontrollers verwendet werden soll. Wenn das Installationsmedium lokal gespeichert ist, können Sie die Option Pfad verwenden, um den Speicherort der Datei auszuwählen. Diese Option ist für eine Remote-Installation nicht verfügbar. Sie können Überprüfen auswählen, um sicherzustellen, dass es sich bei dem angegebenen Pfad um ein gültiges Medium handelt. Sie müssen das Medium, das Sie für diese Option verwenden, mithilfe der Windows Server-Sicherung oder ntdsutil.exe von einem anderen vorhandenen Windows Server-Computer erstellen. Sie können kein Betriebssystem vor Windows Server 2012 verwenden, um Medien für den Domänencontroller zu erstellen. Wenn das Medium mit einem SysKey-Kennwort geschützt ist, fordert der Server-Manager während der Überprüfung zur Eingabe des Kennworts für das Image auf.

Weitere Informationen zum Erstellen einer Domäne finden Sie unter Installieren einer neuen Windows Server 2012-Active Directory-Domäne (untergeordnet oder Gesamtstruktur) (Stufe 200)). Weitere Informationen zum Hinzufügen eines Domänencontrollers zu einer vorhandenen Domäne finden Sie unter Installieren eines Windows Server 2012-Domänencontrollerreplikats in einer vorhandenen Domäne (Stufe 200).

Pfade

Der folgende Screenshot zeigt die Optionen, die auf der Seite Pfade angezeigt werden:

Screenshot der Seite Pfade des Assistenten. Es stehen Felder für die Eingabe der Ordner Datenbank, Protokoll und SYSVOL zur Verfügung.

Auf der Seite Pfade können Sie die Standardordnerspeicherorte der AD DS-Datenbank (NTDS. DIT), die Datenbanktransaktionsprotokolle und die SYSVOL-Freigabe. Die Standardspeicherorte befinden sich immer im %systemroot% Ordner. Für eine lokale Installation können Sie einen Speicherort für die Dateien auswählen.

Vorbereitungsoptionen

Der folgende Screenshot zeigt die Seite "Vorbereitungsoptionen ":

Screenshot der Seite

Auf dieser Seite werden Sie aufgefordert, die Anmeldeinformationen zum Ausführen von adprep.exeeinzugeben. Der Assistent zeigt diese Seite an, wenn die beiden folgenden Bedingungen erfüllt sind:

  • Sie sind derzeit nicht mit ausreichenden Anmeldeinformationen zum Ausführen adprep.exe von Befehlen angemeldet.
  • Um die AD DS-Installation abzuschließen, adprep.exe muss ausgeführt werden.

Das adprep.exe Tool muss in den folgenden Situationen ausgeführt werden:

  • Der adprep /forestprep Befehl muss ausgeführt werden, um einer vorhandenen Gesamtstruktur den ersten Domänencontroller hinzuzufügen, auf dem Windows Server 2012 ausgeführt wird. Zum Ausführen dieses Befehls müssen Sie Mitglied der Gruppe Organisations-Admins, der Gruppe Schema-Admins und der Gruppe Domänen-Admins der Domäne sein, die den Schemamaster hostet. Damit dieser Befehl erfolgreich ausgeführt werden kann, muss eine Verbindung zwischen dem Computer, auf dem Sie den Befehl ausführen, und dem Schemamaster für die Gesamtstruktur bestehen.

  • Der adprep /domainprep Befehl muss ausgeführt werden, um den ersten Domänencontroller, auf dem Windows Server 2012 ausgeführt wird, zu einer vorhandenen Domäne hinzuzufügen. Dieser Befehl muss von einem Mitglied der Gruppe Domänen-Admins der Domäne ausgeführt werden, in der Sie den Domänencontroller installieren, auf dem Windows Server ausgeführt wird. Damit dieser Befehl erfolgreich ausgeführt werden kann, muss eine Verbindung zwischen dem Computer, auf dem Sie den Befehl ausführen, und dem Infrastrukturmaster für die Domäne bestehen.

  • Der adprep /rodcprep Befehl muss ausgeführt werden, um einer vorhandenen Gesamtstruktur den ersten RODC hinzuzufügen. Dieser Befehl muss von einem Mitglied der Gruppe %%amp;quot;Organisation-Admins%%amp;quot; ausgeführt werden. Damit dieser Befehl erfolgreich ausgeführt werden kann, muss eine Verbindung zwischen dem Computer, auf dem Sie den Befehl ausführen, und dem Infrastrukturmaster für jede Anwendungsverzeichnispartition in der Gesamtstruktur bestehen.

Weitere Informationen zu adprep.exefinden Sie unter Adprep.exe Integration und Ausführen von Adprep.exe.

Optionen prüfen

Der folgende Screenshot zeigt die Seite "Überprüfungsoptionen ":

Screenshot der Seite

  • Auf der Seite Optionen überprüfen können Sie Ihre Einstellungen überprüfen und sicherstellen, dass sie Ihren Anforderungen entsprechen, bevor Sie mit der Installation beginnen. Diese Seite ist nicht die letzte Gelegenheit im Server-Manager, die Installation zu beenden. Auf dieser Seite können Sie Ihre Einstellungen überprüfen und bestätigen, bevor Sie mit der Konfiguration fortfahren.

  • Auf dieser Seite haben Sie auch die Möglichkeit, über die Schaltfläche Skript anzeigen eine Unicode-Textdatei zu erstellen, die die aktuelle ADDSDeployment Modulkonfiguration als einzelnes Windows PowerShell-Skript enthält. Daher können Sie die grafische Benutzeroberfläche des Server-Managers als Windows PowerShell-Bereitstellungsstudio verwenden:

    • Verwenden Sie den Konfigurations-Assistenten für Active Directory-Domänendienste, um Optionen zu konfigurieren.
    • Exportieren Sie die Konfiguration.
    • Brechen Sie den Assistenten ab.

    Bei diesem Prozess wird ein gültiges und syntaktisch korrektes Muster zur weiteren Änderung oder direkten Verwendung erstellt.

Voraussetzungsüberprüfung

Der folgende Screenshot zeigt die Seite "Überprüfung der Voraussetzungen ":

Screenshot der Seite

Auf dieser Seite werden potenzielle Probleme angezeigt, die bei der Überprüfung der Voraussetzungen erkannt werden. Die Ergebnisse können Warnungen auflisten, einschließlich der folgenden:

  • Domänencontroller, auf denen Windows Server ausgeführt wird, verfügen über die Standardeinstellung Kryptografiealgorithmen zulassen, die mit Windows NT 4 kompatibel sind und verhindern, dass Clients, die schwächere Kryptografiealgorithmen verwenden, sichere Kanalsitzungen einrichten. Weitere Informationen zu den potenziellen Auswirkungen und einer Problemumgehung finden Sie unter Deaktivieren der AllowNT4Crypto-Einstellung auf allen betroffenen Domänencontrollern.

  • Eine DNS-Delegierung kann nicht erstellt oder aktualisiert werden. Weitere Informationen finden Sie unter DNS-Optionen.

  • WMI-Aufrufe (Windows Management Instrumentation) schlagen fehl. Für die Voraussetzungsüberprüfung sind WMI-Aufrufe erforderlich. Wenn ein WMI-Aufruf durch Firewallregeln blockiert wird, kann er fehlschlagen und den Fehler "Remoteprozeduraufruf" (Remote Procedure Call, RPC) zurückgeben.

Weitere Informationen zu den spezifischen Voraussetzungsüberprüfungen, die für die AD DS-Installation durchgeführt werden, finden Sie unter Voraussetzungstests.

Ergebnisse

Der folgende Screenshot zeigt die Seite "Ergebnisse" :

Screenshot der Ergebnisseite des Assistenten. Der Text gibt die erfolgreiche Konfiguration eines Domänencontrollers an. Warnungen sind sichtbar.

Auf dieser Seite können Sie die Ergebnisse der Installation überprüfen.

Sie können den Zielserver auch von dieser Seite aus neu starten, nachdem der Assistent abgeschlossen wurde. Wenn die Installation jedoch erfolgreich ist, wird der Server neu gestartet, unabhängig davon, ob Sie diese Option auswählen.

In einigen Fällen kann der Zielserver nicht neu gestartet werden. Wenn der Assistent auf einem Zielserver abgeschlossen wird, der vor der Installation nicht mit der Domäne verbunden war, kann der Systemstatus des Zielservers dazu führen, dass der Server im Netzwerk nicht mehr erreichbar ist. Der Systemstatus kann auch verhindern, dass Sie über Berechtigungen zum Verwalten des Remoteservers verfügen.

Wenn der Zielserver in diesen Fällen nicht neu gestartet werden kann, müssen Sie ihn manuell neu starten. Sie können keine Tools wie shutdown.exe Windows PowerShell verwenden, um es neu zu starten. Sie können Remotedesktopdienste verwenden, um sich anzumelden und den Zielserver remote herunterzufahren.

Herabstufen eines Domänencontrollers

In den folgenden Abschnitten werden die Seiten beschrieben, die angezeigt werden, wenn Sie den Konfigurations-Assistenten für Active Directory-Domänendienste verwenden, um einen Domänencontroller herabzustufen.

Anmeldeinformationen

Der folgende Screenshot zeigt die Seite Anmeldeinformationen , die zu Beginn des Herabstufungsprozesses angezeigt wird.

Screenshot der Seite

Auf dieser Seite konfigurieren Sie die Herabstufungsoptionen. Die folgenden Anmeldeinformationen sind erforderlich, um die Herabstufung in verschiedenen Situationen durchzuführen:

  • Für die Herabstufung eines zusätzlichen Domänencontrollers sind Domänenadministrator-Anmeldeinformationen erforderlich. Bei Auswahl der Option Entfernen des Domänencontrollers erzwingen wird der Domänencontroller herabgestuft, ohne die Metadaten des Domänencontrollerobjekts aus Active Directory zu entfernen.

    Wichtig

    Wählen Sie die Option Entfernen dieses Domänencontrollers erzwingen nur aus, wenn der Domänencontroller keine Verbindung zu anderen Domänencontrollern herstellen kann und es keine vernünftige Möglichkeit gibt, dieses Netzwerkproblem zu beheben. Bei der erzwungenen Herabstufung bleiben in Active Directory der restlichen Domänencontroller in der Gesamtstruktur verwaiste Metadaten zurück. Außerdem gehen alle nicht replizierten Änderungen auf diesem Domänencontroller, z. B. Kennwörter oder neue Benutzerkonten, für immer verloren. Verwaiste Metadaten sind die Ursache in einem erheblichen Prozentsatz der Microsoft-Supportfälle für AD DS, Microsoft Exchange, SQL Server und andere Software. Wenn Sie einen Domänencontroller zwangsweise herabstufen, müssen Sie sofort eine manuelle Metadatenbereinigung ausführen. Anweisungen finden Sie unter Bereinigen von Servermetadaten.

  • Für die Herabstufung des letzten Domänencontrollers in einer Domäne ist die Mitgliedschaft in der Gruppe "Organisations-Admins" erforderlich, da durch diese Aktion die Domäne selbst entfernt wird. Wenn die Domäne die letzte in der Gesamtstruktur ist, wird durch diese Aktion auch die Gesamtstruktur entfernt. Wenn der aktuelle Domänencontroller der letzte Domänencontroller in der Domäne ist, werden Sie von Server-Manager darüber informiert. Wählen Sie die Option Letzter Domänencontroller in der Domäne aus, um zu bestätigen, dass der Domänencontroller der letzte Domänencontroller in der Domäne ist.

Weitere Informationen zum Entfernen von AD DS finden Sie unter Entfernen von Active Directory-Domänendiensten (Stufe 100) und Herabstufen von Domänencontrollern und Domänen.

Warnungen

Wenn Sie den Server-Manager verwenden, um einen Domänencontroller herabzustufen, zeigt der Assistent in bestimmten Fällen Warnungen an. Wenn der Domänencontroller auch andere Rollen hostet, z. B. den DNS-Server oder die Serverrollen des globalen Katalogs, wird die folgende Seite "Warnungen" angezeigt:

Screenshot der Seite

Bevor Sie Weiter auswählen können, um fortzufahren, müssen Sie Mit Entfernen fortfahren auswählen, um zu bestätigen, dass diese Rollen durch die Herabstufung des Domänencontrollers nicht mehr verfügbar sind.

Wenn Sie das Entfernen eines Domänencontrollers erzwingen:

  • Alle Active Directory-Objektänderungen, die nicht auf andere Domänencontroller in der Domäne repliziert werden, gehen verloren.

  • Alle Anwendungsverzeichnispartitionen auf dem Domänencontroller werden entfernt. Wenn der Domänencontroller das letzte Replikat einer oder mehrerer Anwendungsverzeichnispartitionen enthält, sind diese Partitionen nach Abschluss des Entfernungsvorgangs nicht mehr vorhanden.

  • Kritische Vorgänge in der Domäne und der Gesamtstruktur können auf folgende Weise beeinflusst werden, wenn der Domänencontroller bestimmte Rollen hostet:

    Rolle Ergebnis des Entfernens des Domänencontrollers Zu ergreifende Maßnahmen, bevor Sie fortfahren
    Globaler Katalog Benutzer haben möglicherweise Probleme beim Anmelden bei Domänen in der Gesamtstruktur. Stellen Sie sicher, dass sich genügend globale Katalogserver in der Gesamtstruktur und am Standort befinden, um Benutzeranmeldungen zu verarbeiten. Legen Sie bei Bedarf einen anderen globalen Katalogserver fest, und aktualisieren Sie Clients und Anwendungen mit den neuen Informationen.
    DNS-Server Alle DNS-Daten, die in Active Directory-integrierten Zonen gespeichert sind, gehen verloren. Nachdem Sie AD DS entfernt haben, ist der DNS-Server nicht in der Lage, die Namensauflösung für die DNS-Zonen durchzuführen, die in Active Directory integriert wurden. Aktualisieren Sie die DNS-Konfiguration aller Computer, die derzeit auf die IP-Adresse des DNS-Servers für die Namensauflösung verweisen. Konfigurieren Sie sie mit der IP-Adresse eines neuen DNS-Servers.
    Infrastrukturmaster Clients in der Domäne haben möglicherweise Schwierigkeiten, Objekte in anderen Domänen zu finden. Übertragen Sie die Infrastrukturmasterfunktion auf einen Domänencontroller, bei dem es sich nicht um einen globalen Katalogserver handelt.
    Master der relativen ID (RID) Möglicherweise treten Probleme beim Erstellen von Benutzerkonten, Computerkonten und Sicherheitsgruppen auf. Übertragen Sie die RID-Masterfunktion auf einen Domänencontroller in derselben Domäne wie der Domänencontroller, den Sie herabstufen.
    Emulator des primären Domänencontrollers (PDC) Vorgänge, die vom PDC-Emulator ausgeführt werden, z. B. Gruppenrichtlinienupdates und Kennwortzurücksetzungen für Nicht-AD DS-Konten, funktionieren nicht ordnungsgemäß. Übertragen Sie die Masterfunktion des PDC-Emulators auf einen Domänencontroller, der sich in derselben Domäne befindet wie der Domänencontroller, den Sie herabstufen.
    Schemamaster Sie können das Schema für die Gesamtstruktur nicht mehr ändern. Übertragen Sie die Schemamasterrolle an einen Domänencontroller in der Stammdomäne in der Gesamtstruktur.
    Domänennamenmaster Sie können der Gesamtstruktur keine Domänen mehr hinzufügen oder Domänen aus der Gesamtstruktur entfernen. Übertragen Sie die Rolle des Domänennamenmasters auf einen Domänencontroller in der Stammdomäne in der Gesamtstruktur.

Bevor Sie einen Domänencontroller entfernen, der Betriebsmasterfunktionen hostet, versuchen Sie, die Rolle auf einen anderen Domänencontroller zu übertragen.

Wenn es nicht möglich ist, die Rolle zu übertragen, entfernen Sie zuerst AD DS vom Computer. Übernehmen Sie dann die Rolle, indem Sie sie auf dem Domänencontroller verwenden ntdsutil.exe , für den Sie die Rolle übernehmen möchten. Verwenden Sie nach Möglichkeit einen aktuellen Replikationspartner am selben Standort wie der Domänencontroller, den Sie herabstufen. Weitere Informationen zum Übertragen und Übernehmen von Betriebsmasterfunktionen finden Sie unter Übertragen oder Übernehmen von Vorgangsmasterrollen in Active Directory-Domänendienste.

Wenn der Assistent nicht ermitteln kann, ob der Domänencontroller eine Betriebsmasterfunktion hostet, führen Sie den netdom.exe Befehl aus, um zu ermitteln, ob der Domänencontroller Betriebsmasterfunktionen ausführt.

Nachdem Sie AD DS vom letzten Domänencontroller in der Domäne deinstalliert haben, ist die Domäne nicht mehr vorhanden.

Entfernungsoptionen

Wenn es sich bei dem Domänencontroller, den Sie herabstufen, um einen DNS-Server handelt, der zum Hosten der DNS-Zone delegiert wurde, wird die folgende Seite angezeigt. Es bietet die Möglichkeit, den DNS-Server aus der DNS-Zonendelegierung zu entfernen.

Screenshot der Seite

Weitere Informationen zum Entfernen von AD DS finden Sie unter Entfernen von Active Directory-Domänendiensten (Stufe 100) und Herabstufen von Domänencontrollern und Domänen.

Neues Administratorkennwort

Auf der Seite "Neues Administratorkennwort" müssen Sie ein Kennwort für das Administratorkonto des integrierten lokalen Computers angeben. Dieses Kennwort wird verwendet, wenn die Herabstufung abgeschlossen ist und der Computer zu einem Domänenmitgliedsserver oder Arbeitsgruppencomputer wird.

Screenshot der Seite

Weitere Informationen zum Entfernen von AD DS finden Sie unter Entfernen von Active Directory-Domänendiensten (Stufe 100) und Herabstufen von Domänencontrollern und Domänen.

Optionen prüfen

Der folgende Screenshot zeigt die Seite "Überprüfungsoptionen ", die angezeigt wird, wenn Sie einen Domänencontroller herabstufen:

Screenshot der letzten Seite

Auf dieser Seite können Sie Ihre Auswahl überprüfen und die Herabstufung starten.

Auf dieser Seite haben Sie auch die Möglichkeit, die Konfigurationseinstellungen für die Herabstufung in ein Windows PowerShell-Skript zu exportieren, damit Sie andere Herabstufungen automatisieren können.

Um den Server herabzustufen, wählen Sie Herabstufen aus.