Freigeben über


Neues beim Installieren und Entfernen der Active Directory-Domänendienste

Die Bereitstellung von Active Directory Domain Services (AD DS) in Windows Server 2012 erfolgt einfacher und schneller als in vorherigen Versionen von Windows Server. Der AD DS-Installationsprozess basiert von nun an auf Windows PowerShell, und er ist in Server-Manager integriert. Die Anzahl der zum Einfügen von Domänencontrollern in eine vorhandene Active Directory-Umgebung erforderlichen Schritte wurde reduziert. Dadurch wird der Prozess zum Erstellen einer neuen Active Directory-Umgebung einfacher und effizienter. Durch den neuen AD DS-Bereitstellungsprozess werden potenzielle Fehler, die anderenfalls zum Blockieren der Installation geführt hätten, minimiert.

Zudem können Sie die AD DS-Serverrollen-Binärdateien (d. h. die AD DS-Serverrolle) auf mehreren Servern gleichzeitig installieren. Sie können den AD DS-Installations-Assistenten auch per Remoteverbindung auf einem individuellen Server ausführen. Diese Verbesserungen bieten mehr Flexibilität für die Bereitstellung von Domänencontrollern, die Windows Server ausführen, insbesondere für große, globale Bereitstellungen, bei denen viele Domänencontroller in Büros in verschiedenen Regionen bereitgestellt werden müssen.

Die AD DS-Installation umfasst die folgenden Features:

  • Integration von „Adprep.exe“ in den AD DS-Installationsprozess. Die mühsamen Schritte, die zum Vorbereiten eines vorhandenen Active Directory erforderlich sind (beispielsweise die Verwendung einer Vielzahl unterschiedlicher Anmeldeinformationen, das Kopieren der „Adprep.exe“-Dateien oder das Anmelden bei spezifischen Domänencontrollern) wurden sämtlichst vereinfacht oder automatisiert. Dadurch wird die zum Installieren von AD DS erforderliche Zeit verkürzt, und potenzielle Fehler, durch die die Heraufstufung von Domänencontrollern anderenfalls blockiert werden würde, werden reduziert. In Umgebungen, in denen die Ausführung der adprep.exe-Befehle im Vorfeld der Installation eines neuen Domänencontrollers zu bevorzugen ist, können Sie die adprep.exe-Befehle weiterhin gesondert von der AD DS-Installation ausführen.

  • Die neue AD DS-Installation basiert auf Windows PowerShell und kann per Remoteverbindung aufgerufen werden. Die neue AD DS-Installation ist in Server-Manager integriert, sodass Sie zum Installieren von AD DS dieselbe Schnittstelle wie zum Installieren anderer Serverrollen verwenden können. Für Windows PowerShell-Benutzer bieten die Cmdlets für die AD DS-Bereitstellung eine umfangreichere Funktionalität und mehr Flexibilität. Zwischen den Installationsoptionen auf Befehlszeilenebene und auf der grafischen Benutzeroberfläche herrscht funktionale Gleichwertigkeit.

  • Die neue AD DS-Installation umfasst eine Überprüfung der Voraussetzungen. Potenzielle Fehler werden bereits vor Beginn der Installation identifiziert. Sie können die Fehlerzustände korrigieren, bevor sie auftreten, ohne die Probleme zu verursachen, die bei einem unvollständigen Upgrade auftreten können. Wenn beispielsweise %%amp;quot;adprep/domainprep%%amp;quot; ausgeführt werden muss, überprüft der Installations-Assistent, ob der Benutzer über die ausreichenden Rechte zum Ausführen des Vorgangs verfügt.

  • Konfigurationsseiten werden in einer Reihenfolge gruppiert, die die Anforderungen der am häufigsten verwendeten Heraufstufungsoptionen mit verwandten Optionen widerspiegelt, die auf weniger Assistentenseiten gruppiert sind. Dies sorgt bei der Wahl von Installationsoptionen für mehr Überblick.

  • Es kann ein Windows PowerShell-Skript mit allen Optionen exportiert werden, die während der grafischen Installation angegeben wurden. Am Ende einer Installation oder Deinstallation können Sie die Einstellungen in ein Windows PowerShell-Skript exportieren, um denselben Vorgang zu automatisieren.

  • Vor dem Neustart erfolgt nur kritische Replikation. Neuer Schalter zum Zulassen der Replikation nicht kritischer Daten vor dem Neustart. Weitere Informationen finden Sie unter ADDSDeployment PowerShell-Cmdlet.

Konfigurations-Assistent für die Active Directory-Domänendienste

Ab Windows Server 2012 ersetzt der Konfigurations-Assistent für Active Directory-Domänendienste den älteren Active Directory Domain Services-Installations-Assistenten als Benutzeroberflächenoption, um Einstellungen beim Installieren eines Domänencontrollers anzugeben. Der Konfigurations-Assistent für die Active Directory-Domänendienste beginnt, wenn der Assistent zum Hinzufügen von Rollen abgeschlossen wurde.

In der Installation von Active Directory Domain Services zeigen die UI-Verfahren, wie Sie den Assistenten zum Hinzufügen von Rollen starten, um die AD DS-Serverrollenbinärdateien zu installieren, und führen Sie dann den Konfigurations-Assistenten für Active Directory-Domänendienste aus, um die Domänencontrollerinstallation abzuschließen. Die Windows PowerShell-Beispiele zeigen, wie beide Schritte mithilfe eines Cmdlets für die AD DS-Bereitstellung abgeschlossen werden.

Integration von %%amp;quot;Adprep.exe%%amp;quot;

Adprep-Befehle werden beim Installieren eines Domänencontrollers unter Windows Server in einer vorhandenen Active Directory-Domäne oder -Gesamtstruktur bei Bedarf automatisch ausgeführt.

Obwohl die adprep-Vorgänge automatisch ausgeführt werden, ist eine separate Ausführung von %%amp;quot;Adprep.exe%%amp;quot; möglich. Wenn beispielsweise der Benutzer bzw. die Benutzerin, der bzw. die AD DS installiert, kein Mitglied der Gruppe „Unternehmensadministratoren“ ist (dies ist eine Voraussetzung für die Ausführung von „adprep /forestprep“), müssen Sie den Befehl möglicherweise separat ausführen. Sie müssen jedoch nur adprep.exe ausführen, wenn Sie ein direktes Upgrade Ihres ersten Windows Server-Domänencontrollers planen (d. a. Sie planen also ein direktes Upgrade des Betriebssystems eines Domänencontrollers, der Windows Server 2012 ausführt).

Adprep.exe befindet sich im Ordner \support\adprep des Windows Server-Installationsdatenträgers. Adprep kann remote ausgeführt werden.

Neuerungen

Informationen zum Beheben anderer fehler, die von Adprep.exezurückgegeben werden, finden Sie unter Bekannte Probleme.

Syntax für Adprep in Windows Server 2012

Verwenden Sie die folgende Syntax, um Adprep separat von einer AD DS-Installation auszuführen:

Adprep.exe /forestprep /forest <forest name> /userdomain <user domain name> /user <user name> /password *

Verwenden Sie %%amp;quot;/logdsid%%amp;quot; in dem Befehl, um eine detailliertere Protokollierung zu generieren. Die Datei %%amp;quot;adprep.log%%amp;quot; befindet sich im Verzeichnis %%amp;quot;%windir%\System32\Debug\Adprep\Logs%%amp;quot;.

Ausführen von Adprep mit Smartcard

Die Windows Server-Version von adprep.exe funktioniert mit Smartcard als Anmeldeinformationen, aber es gibt keine einfache Möglichkeit, die Smartcardanmeldeinformationen über die Befehlszeile anzugeben. Eine Methode besteht darin, die Smartcard-Anmeldeinformationen über das PowerShell-Cmdlet „Get-Credential“ abzurufen. Verwenden Sie anschließend den Benutzernamen des zurückgegebenen PSCredential-Objekts, das als @@... angezeigt wird. Das Kennwort entspricht der PIN der Smartcard.

Für %%amp;quot;Adprep.exe%%amp;quot; ist der Parameter %%amp;quot;/userdomain%%amp;quot; erforderlich, wenn %%amp;quot;/user%%amp;quot; angegeben wurde. Bei Smartcard-Anmeldeinformationen sollte der Parameter %%amp;quot;/userdomain%%amp;quot; der Domäne des zugrunde liegenden Benutzerkontos entsprechen, das durch die Smartcard repräsentiert wird.

Der Befehl „adprep /domainprep /gpprep“ wird nicht automatisch ausgeführt.

Der Befehl „adprep /domainprep /gpprep“ wird nicht als Teil der AD DS-Installation ausgeführt. Mithilfe dieses Befehls werden Berechtigungen festgelegt, die für die Planungsmodusfunktionalität des Richtlinienergebnissatzes (Resultant Set of Policy, RSOP) erforderlich sind. Weitere Informationen zu diesem Befehl finden Sie im Microsoft Knowledge Base-Artikel 324392. Wenn der Befehl in Ihrer Active Directory-Domäne ausgeführt werden muss, können Sie ihn separat von der AD DS-Installation ausführen. Falls der Befehl bereits in Vorbereitung auf die Bereitstellung von Domänencontrollern mit Windows Server 2003 SP1 oder höher ausgeführt wurde, muss er nicht erneut ausgeführt werden.

Sie können Domänencontroller, die Windows Server ausführen, zu einer vorhandenen Domäne hinzufügen, ohne adprep /domainprep /gpprep auszuführen, aber der RSOP-Planungsmodus funktioniert nicht ordnungsgemäß.

Validierung der AD DS-Installationsvoraussetzungen

Vor Beginn der Installation überprüft der Installations-Assistent für AD DS, ob die folgenden Voraussetzungen erfüllt sind. Dadurch haben Sie die Möglichkeit, Probleme zu beheben, durch die die Installation möglicherweise blockiert werden könnte.

Die Adprep-bezogenen Voraussetzungen beinhalten beispielsweise Folgendes:

  • Überprüfung der Adprep-Anmeldeinformationen: wenn Adprep ausgeführt werden muss, überprüft der Installations-Assistent, ob der Benutzer über die ausreichenden Rechte zum Ausführen der erforderlichen Adprep-Vorgänge verfügt.
  • Schemamaster-Verfügbarkeitsprüfung: wenn der Installations-Assistent feststellt, dass %%amp;quot;adprep /forestprep%%amp;quot; ausgeführt werden muss, überprüft er, ob der Schemamaster online ist. Andernfalls schlägt der Assistent fehl.
  • Infrastrukturmaster-Verfügbarkeitsprüfung: wenn der Installations-Assistent feststellt, dass %%amp;quot;adprep /domainprep%%amp;quot; ausgeführt werden muss, überprüft er, ob der Infrastrukturmaster online ist. Andernfalls schlägt der Assistent fehl.

Weitere Voraussetzungsprüfungen, die aus dem alten Installations-Assistenten für Active Directory (%%amp;quot;dcpromo.exe%%amp;quot;) übernommen wurden, beinhalten Folgendes:

  • Überprüfung des Gesamtstrukturnamens: stellt sicher, dass der Gesamtstrukturname gültig und derzeit nicht vorhanden ist.
  • NetBIOS-Namensüberprüfung: überprüft, ob der angegebene NetBIOS-Name gültig ist und nicht mit vorhandenen Namen in Konflikt steht.
  • Überprüfung des Komponentenpfads: überprüft, ob die Pfade für die Active Directory-Datenbanken und -Protokolle und für SYSVOL gültig sind und ob genügend Speicherplatz zur Verfügung steht.
  • Überprüfung des Namens der untergeordneten Domäne: stellt sicher, dass die Namen der übergeordneten und neuen untergeordneten Domäne gültig sind und dass sie nicht mit vorhandenen Domänen in Konflikt stehen.
  • Überprüfung des Strukturdomänennamens: stellt sicher, dass der angegebene Strukturname gültig und derzeit nicht vorhanden ist.

Bekannte Probleme

In diesem Abschnitt werden einige der bekannten Probleme aufgeführt, die sich auf die AD DS-Installation in Windows Server 2012 auswirken. Weitere bekannte Probleme finden Sie unter Problembehandlung bei der Domänencontrollerbereitstellung.

  • Wenn der WMI-Zugriff auf den Schemamaster beim Ausführen von %%amp;quot;adprep /forestprep%%amp;quot; per Remoteverbindung durch die Windows-Firewall blockiert wird, wird im Adprep-Protokoll im Verzeichnis %%amp;quot;%systemroot%\system32\debug\adprep%%amp;quot; der folgende Fehler protokolliert:

    Adprep encountered a Win32 error.
    Error code: 0x6ba Error message: The RPC server is unavailable.
    

    In diesem Fall können Sie den Fehler umgehen, indem Sie %%amp;quot;adprep /forestprep%%amp;quot; direkt auf dem Schemamaster ausführen, oder Sie können einen der folgenden Befehle zum Durchlassen des WMI-Datenverkehrs durch die Windows-Firewall verwenden.

    netsh advfirewall firewall set rule group="windows management instrumentation (wmi)" new enable=yes
    
  • Zum Abbrechen des Cmdlets %%amp;quot;Install-ADDSForest%%amp;quot; können Sie die Tastenkombination STRG+C verwenden. Durch den Abbruch wird die Installation gestoppt, und alle am Serverzustand vorgenommenen Änderungen werden rückgängig gemacht. Nach Ausgabe des Abbruchbefehls erhält Windows PowerShell jedoch nicht die Kontrolle zurück, und das Cmdlet kann sich für unbestimmte Zeit aufhängen.

  • Die Installation eines zusätzlichen Domänencontrollers mit Smartcardanmeldeinformationen schlägt fehl, wenn der Zielserver vor der Installation nicht mit der Domäne verbunden ist.

    Die in diesem Fall zurückgegeben Fehlermeldung lautet wie folgt:

    Mit dem Replikationsquellen-Domänencontroller Name des Quelldomänencontrollers kann keine Verbindung hergestellt werden. (Ausnahme: Fehler bei Anmeldung: unbekannter Benutzername oder falsches Kennwort)

    Wenn Sie den Zielserver der Domäne hinzufügen und die Installation anschließend mithilfe einer Smartcard ausführen, wird die Installation erfolgreich abgeschlossen.

  • Das ADDSDeployment-Modul wird unter 32-Bit-Prozessen nicht ausgeführt. Wenn Sie die Bereitstellung und Konfiguration von Windows Server 2012 mithilfe eines Skripts automatisieren, das ein ADDSDeployment-Cmdlet sowie ein Cmdlet ohne Unterstützung nativer 64-Bit-Prozesse enthält, kann bei der Skriptausführung ein Fehler auftreten, der darauf hinweist, dass das Cmdlet „ADDSDeployment“ nicht gefunden werden kann.

    In diesem Fall müssen Sie das Cmdlet „ADDSDeployment“ getrennt von dem Cmdlet ausführen, das keine nativen 64-Bit-Prozesse unterstützt.

  • Windows Server 2012 enthält ein neues Dateisystem namens „Robustes Dateisystem“ (Resilient File System, ReFS). Speichern Sie auf einem mit dem robusten Dateisystem (Resilient File System, ReFS) formatierten Datenvolume keinesfalls die Active Directory-Datenbanken, -Protokolldateien oder SYSVOL. Weitere Informationen zu ReFS finden Sie unter Building the next generation file system for Windows: ReFS.

  • Im Server Manager können Server mit AD DS oder anderen Serverrollen, die auf einer Server Core-Installation ausgeführt und aktualisiert wurden, den Serverstatus in rot anzeigen, auch wenn Ereignisse und Status wie erwartet erfasst werden. Server, die eine Server Core-Installation einer Vorabversion von Windows Server ausführen, können ebenfalls beeinträchtigt werden.

Die Installation der Active Directory-Domänendienste hängt, wenn eine kritische Replikation durch einen Fehler verhindert wird

Wenn die AD DS-Installation während der kritischen Replikationsphase einen Fehler erkennt, kann die Installation für unbestimmte Zeit hängen. Wird beispielsweise der Abschluss der kritischen Replikation durch Netzwerkfehler verhindert, wird die Installation nicht fortgesetzt.

Wenn Sie die Installation mithilfe von Server-Manager vornehmen, bleibt die Seite mit dem Installationsstatus möglicherweise geöffnet. Auf dem Bildschirm wird jedoch keine Fehlermeldung angezeigt, und der Status ändert sich möglicherweise 15 Minuten lang nicht. Wenn Sie Windows PowerShell verwenden, ändert sich der im Windows PowerShell-Fenster angezeigte Status 15 Minuten lang nicht.

Wenn dieses Problem bei Ihnen auftritt, überprüfen Sie die Datei %%amp;quot;dcpromo.log%%amp;quot; im Ordner %%amp;quot;%systemroot%/debug%%amp;quot; des Zielservers. In der Protokolldatei werden normalerweise wiederholte Fehler für die Replikation angegeben. Einige bekannte Ursachen für dieses Problem lauten wie folgt:

  • Die kritische Replikation zwischen dem heraufgestuften Zielserver und dem Replikationsquellen-Domänencontroller wird durch Netzwerkprobleme verhindert.

    Im Protokoll %%amp;quot;dcpromo.log%%amp;quot; wird beispielsweise Folgendes angezeigt:

    05/02/2012 14:16:46 [INFO] EVENTLOG (Error): NTDS Replication / DS RPC Client : 1963
    Internal event: The following local directory service received an exception from a remote procedure call (RPC) connection. Extensive RPC information was requested. This is intermediate information and might not contain a possible cause.
    Process ID:
    500
    Reported error information:
    Error value:
    Could not find the domain controller for this domain. (1908)
    directory service:
    <domain>.com
    Extensive error information:
    Error value:
    A security package specific error occurred. 1825
    directory service:
    <DC Name>
    

    Da der Installationsprozess die kritische Replikation auf unbestimmte Zeit wiederholt, wird die Domänencontrollerinstallation fortgesetzt, wenn die zugrunde liegenden Netzwerkprobleme behoben wurden. Untersuchen Sie bei Bedarf die Netzwerkprobleme mit Tools wie %%amp;quot;ipconfig%%amp;quot;, %%amp;quot;nslookup%%amp;quot; und %%amp;quot;netmon%%amp;quot;. Stellen Sie sicher, dass zwischen dem Domänencontroller, den Sie heraufstufen, und dem bei der AD DS-Installation ausgewählten Replikationspartner Konnektivität besteht. Überprüfen Sie außerdem, ob die Namensauflösung funktioniert.

    Die AD DS-Installationanforderungen für Netzwerkkonnektivität und Namensauflösung werden vor dem Start der Installation während der Voraussetzungsüberprüfung geprüft. Manche Fehlerzustände können jedoch zwischen der Voraussetzungsüberprüfung und vor dem Abschluss der Installation auftreten, z. B. wenn der Replikationspartner während der Installation nicht verfügbar ist.

  • Während der Installation des replizierten Domänencontrollers wird das lokale Administratorkonto des Zielservers für die Installationsanmeldeinformationen angegeben, und das Kennwort des lokalen Administratorkontos stimmt mit dem Kennwort eines Domänenadministratorkontos überein. In diesem Fall können Sie den Installations-Assistenten abschließen und mit der Installation beginnen, bevor der Fehler „Zugriff verweigert“ auftritt.

    Im Protokoll %%amp;quot;dcpromo.log%%amp;quot; wird beispielsweise Folgendes angezeigt:

    03/30/2012 11:36:51 [INFO] Creating the NTDS Settings object for this Active Directory Domain Controller on the remote AD DC DC2.contoso.com...
    03/30/2012 11:36:51 [INFO] EVENTLOG (Error): NTDS Replication / DS RPC Client : 1963Internal event: The following local directory service received an exception from a remote procedure call (RPC) connection. Extensive RPC information was requested. This is intermediate information and might not contain a possible cause.
    Process ID:
    508
    Reported error information:
    Error value:
    Access is denied. (5)
    directory service:
    DC2.contoso.com
    

    Wenn der Fehler durch Angeben eines lokalen Administratorkontos und kennworts verursacht wird, führen Sie zum Wiederherstellen des Betriebssystems die Metadatenbereinigung des Kontos für den Domänencontroller aus, der die Installation nicht abgeschlossen hat, und wiederholen Sie dann die AD DS-Installation mithilfe von Domänenadministratoranmeldeinformationen. Durch einen Neustart des Servers wird dieser Fehlerzustand nicht behoben, da der Server angibt, dass AD DS installiert ist, auch wenn die Installation nicht erfolgreich abgeschlossen wurde.

Der Konfigurations-Assistent für die Active Directory-Domänendienste gibt eine Warnung aus, wenn ein nicht normalisierter DNS-Name angegeben wird

Wenn Sie eine neue Domäne oder Gesamtstruktur erstellen und einen DNS-Domänennamen angeben, der internationalisierte Zeichen enthält, die nicht normalisiert wurden, zeigt der Konfigurations-Assistent für Active Directory Domain Services eine Warnung mit dem Hinweis an, dass DNS-Abfragen für den Namen fehlschlagen können. Obwohl der DNS-Domänenname auf der Seite %%amp;quot;Bereitstellungskonfiguration%%amp;quot; angegeben wird, erscheint die Warnung später im Assistenten auf der Seite %%amp;quot;Voraussetzungsüberprüfung%%amp;quot;.

Wenn ein DNS-Domänenname als nicht normalisierter Name wie „füßball.com“ oder „'ΣΤ'.com“ angegeben wird (die normalisierten Versionen lauten „füssball.com“ und „βστα.com“), normalisieren Clientanwendungen, die versuchen, mit WinHTTP auf die Domäne zuzugreifen, den Namen, bevor Namensauflösungs-APIs aufgerufen werden. Wenn der Benutzer in einem Dialogfeld die Zeichenfolge „'ΣΤ'.com“ eingibt, wird die DNS-Abfrage als „βστα.com“ gesendet, und kein DNS-Server wird sie mit einem Ressourceneintrag für „'ΣΤ'.com“ abgleichen. Der Benutzer kann den Namen nicht auflösen.

Im folgenden Beispiel wird eines der Probleme erläutert, das bei Verwendung eines nicht normalisierten IDN-Namens auftreten kann:

  1. Die Domäne mit einem nicht normalisierten Namen wird auf dem DNS-Server erstellt und registriert: „füßball.com“
  2. Der Computer „nps“ wird in die Domäne eingebunden, und der Name wird registriert: „nps.füßball.com“
  3. Eine Clientanwendung versucht, eine Verbindung mit dem Server %%amp;quot;nps.füßball.com%%amp;quot; herzustellen.
  4. Die Clientanwendung versucht, den Namen %%amp;quot;nps.füßball.com%%amp;quot; aufzulösen, indem Sie APIs für die Namensauflösung aufruft.
  5. Aufgrund der Normalisierung wird der Name in %%amp;quot;nps.füssball.com%%amp;quot; konvertiert und über die Leitung %%amp;quot;nps.füßball.com%%amp;quot; abgefragt.
  6. Die Clientanwendung kann den Namen nicht auflösen, da der registrierte Name %%amp;quot;nps.füßball.com%%amp;quot; lautet.

Wenn die Warnung auf der Seite %%amp;quot;Voraussetzungsüberprüfung%%amp;quot; des Konfigurations-Assistenten für die Active Directory-Domänendienste angezeigt wird, wechseln Sie zur Seite %%amp;quot;Bereitstellungskonfiguration%%amp;quot; zurück, und geben Sie einen normalisierten DNS-Domänennamen an. Wenn Sie eine neue Domäne mit Windows PowerShell installieren, geben Sie für die Option „-DomainName“ einen normalisierten DNS-Namen an.

Weitere Informationen zu IDNs finden Sie unter "Handling Internationalized Domain Names (IDNs)".