Exchange und das Active Directory

Mit Windows 2000 ist das Active Directory (AD) eine wesentliche Änderungen, welche sowohl Exchange 5.5. als auch Exchange 2000 betrifft. Das AD können wir mit einem Active Directory Connector nutzen, um Exchange 5.5 zu managen. Wie brauchen das AD zwingend für Exchange 2000 und um das Active Directory mit Exchange zu nutzen, müssen wir das AD etwas für unsere Zwecke erweitern.

Eine wichtige Antwort vorab: Exchange 2000/2003 kann sowohl auf einem Mitgliedsserver als auch auf einem Domänen Controller installiert werden. Aber beachten Sie dazu

You can run Exchange Server 2003 on either a member server or on a domain controller. After you install Exchange Server 2003 on a server, do not change the role of the server. For example, if you install Exchange Server 2003 on a member server, do not use the Dcpromo tool to promote the server to a domain controller. Or, if you install Exchange Server 2003 on a domain controller, do not use the Dcpromo tool to demote the server to a member server. Changing the role of a server after you install Exchange Server 2003 may result in loss of some Exchange functionality and is not supported

Neues in den Active Directory-Domänendiensten unter Windows Server 2008 http://technet2.microsoft.com/windowsserver2008/de/library/eccfec5b-86c6-4b19-8b70-1aad0403d1df1031.mspx?mfr=true

AD planen

Ehe wir nun Exchange mit dem AD integrieren muss das Active Directory erst mal installiert und funktionsfähig sein. Und hier kann ich nur vor "Schnellschüssen" warnen. Sehr viele Händler und Berater, die sich blendend mit Windows NT auskennen, müssen für das Active Directory viel nachlernen. Dabei zählt weniger die technische Kompetenz, also weniger das "Wie wird es installiert", sondern die organisatorische Planung. Das vorhersehen und Ermitteln der besten Struktur für das Unternehmen. Exchange ist neben den Datei- und Druckfunktionen von Windows 2000 die erste Anwendung, die aktiv das Verzeichnis nutzt. Aber zukünftig werden weitere Dienste das Active Directory nutzen (DFS, NIS, DNS, SQL etc.) und damit ist die Planung das A und O, lange bevor Exchange 2000 oder ein ADC installiert wird. Oft kommt diese zu spät.

Das beginnt schon beim DNS-Namen für das Active Directory

Firmen mit einem Standort und weniger als 1000 Leuten und einer IT-Abteilung werden vermutlich mit einer Domäne arbeiten und können schon recht schnell loslegen. Firmen mit mehreren Standorten oder administrativen Grenzen müssen schon genau überlegen, ob sie eine Domäne mit mehreren Standorten machen oder ob Sie mehrere Domänen verteilen und dann vor der Frage stehen, ob alle Domäne in einer Struktur (Tree), oder in mehreren Strukturen in einer Gesamtstruktur (Forrest) sind oder gar eigenständige Gesamtstrukturen vorgesehen sind. Ein Irrtum bei der Planung heute, kann aktuell nur sehr aufwändig korrigiert werden (Neuinstallation), denn einige Funktionen wie z.B. das Verbinden von Gesamtstrukturen sind heute nicht verfügbar. 

Fragen Sie mal jemand, der seit Anfang von NetWare 4 mit der NetWare NDS arbeitet. Schon damals hatte Novell das gleiche Problem, den Leuten erst mal klar zu machen, dass bei einer NDS auch nicht die Installation das aufwändige ist, sondern die Planung, der Entwurf und das Design. Ich vermute, dass in einigen Monaten oder auch Jahren die gleichen Tools bereitstehen, die Novell einige Montage später ebenfalls erst entwickelt hat, um Domänen zu verlagern oder Gesamtstrukturen zu verbinden (z.B. DSMerge)

Und wenn man versehentlich vorgeprescht ist und "zu schnell" war, dann sind die Tatsachen ernüchternd, dass sie heute Domänen nicht umbenennen können, dass die Hauptdomäne nicht geändert werden kann und dass Schemaänderungen generell nicht rückgängig gemacht werden können. Der Baum wächst von der Wurzel an. Planung ist alles.

Mein Tipp: Wenn sie irgendwie unsicher sind und die Installation nicht nur ein paar Personen betrifft, dann suchen Sie sich kompetente Hilfe. Sie brauchen weniger Zeit, Sie lernen aus der Erfahrung anderer und deren Vorgehensweise und ihr Kunde bleibt ihr zufriedener Kunde. Die meisten Autohäuser schicken ihre Unfallwagen zum Lackieren zu einem anderen Betrieb. Warum wollen Sie alles selbst machen. Die Risikoabschätzung sollten Sie machen. Daher bitte in dieser kritischen Phase sich wirklich absichern.

Sie sollten dennoch genau überlegen, ob eine eigene Root-Domain heute noch relevant ist. Mit Windows 2000 war es interessant aber durch die neune Kennwortrichtlinien ab Windows 2008 und andere Dinge ist eine Root-Domain eher eine Erschwernis ohne echten Mehrwert. Lassen Sie und einfach darüber diskutieren, ehe Sie viele DCs zusätzlich aufbauen.

AD installieren

Schon bei der Installation des AD können Sie auf die erste Falle laufen. Schließlich wollen Sie ihre Benutzer und allen Einstellungen gerne mitnehmen, aber das steht alles in der Windows NT4 Domäne. Sie müssen also sich überlegen, wie sie diese Informationen in ihre Windows 2000 Active Directory Welt übernehmen. Es gibt dazu zwei Wege:

Nur hat das gar nichts mit Exchange 2000 zu tun. Sie finden die genauen Vorgehensweisen dazu in den Handbüchern oder anderen Quellen im Internet, z.B.:

Wenn unser Active Directory dann mal steht, dann können wir uns dem eigentlichen Exchange Update widmen. Wir gehen nun der Einfachheit halber von einer einzigen Domäne in einer Struktur in einer Gesamtstruktur aus. Es ist der Einfachheit halber der einzige Exchange 5.5-Server in der Firma, d.h. keine verbundenen Standorte und keine weiteren Server. Auch diese Informationen hier sollen nur die Wege mit den Vor und Nachteilen beschreiben und kein Ersatz für die ausführliche und sehr gute Dokumentation von Microsoft sein.

AD Anpassung

Ehe Exchange 5.5 oder Exchange 2000 das Active Directory nutzen kann, muss es entsprechend erweitert werden. Dabei gilt es zwei Bereiche zu unterscheiden:

Wie kommen nun diese Informationen in das Active Directory ?.

Einige der Informationen werden während der Installation hinzugefügt. Dabei gibt es drei eigenständige Schritte, die aber durch das Exchange Setup in kleinen Umgebungen verborgen werden. Sie werden auch in der Reihenfolge abgearbeitet

Eine Besonderheit ist der ADC, welcher Exchange 5.5 mit dem AD koppelt.

Das Setup von Exchange ist entsprechend vorbereitet, um fehlende Teile selbst auszuführen, wenn Sie als Administrator die Reihenfolge nicht einhalten. Sollten Ihnen die notwendigen Rechte fehlen, oder andere Randbedingungen nicht stimmen, dann erhalten Sie eine Fehlermeldung.

Forestprep

Der erste Schritt ist die Erweiterung des Schemas. Dafür sind die Rechte des Schema Administrators notwendig. Ebenso muss das AD "richtig" funktionieren, d.h. per DNS muss die Installationsroutine den Schemamaster finden und per Netzwerk erreichen können, die für das Schema verantwortlich sind. (Schema Master FSMO-Rolle). Die Installationsroutine erweitert dann das Schema durch den Import mehrere LDIF-Dateien. Dieser Prozess dauert um so länger, je größer das Verzeichnis ist, weil vernünftigerweise gewartet werden sollte, bis die Schemaerweiterung auch auf alle Server repliziert ist. Überprüfen können wir dies z.B. mit dem Replikationsmonitor aus dem Administrator Kit. Sowohl bei einer Neuinstallation von Exchange 2000 als auch die Installation des ADC bei einer Migration erweitern das Schema.

Das Schema ist in der Gesamtstruktur (Forrest) identisch. Der Administrator der ersten Domäne des Forest wird in der Regel diesen Prozess möglichst frühzeitig durchführen. Bei einem einfachen Netzwerk mit einer Domäne werden die wenigsten das Setup mit der Option /forestprep aufrufen. Sollte das Schema noch nicht aktuell sein, wird das Setup diesen Schritt automatisch durchführen.

Forestprep macht unter anderem (getrennt aufrufbar durch "setup.exe /forestprep"):

  1. Legt das Exchange Organisationsobject im Active Directory an (Configuration Partition)
  2. Setzt die Basisberechtigungen des ersten Exchange Administrators
  3. Erweitert das Active Directory Schema mit den Exchange 2000 Schema Erweiterungen

Während des /ForestPrep werden Sie gefragt, ob sie eine neue Exchange 2000 Organisation anlegen oder einer  bestehenden Exchange 5.5 Organisation beitreten möchten. Die Entscheidung ist einmalig und kaum umkehrbar. Überlegen Sie daher genau.

Weitere Links hierzu:

Domainprep

Nachdem nun das Schema erweitert worden ist, muss die Domäne, in der Exchange 2000 installiert werden soll, entsprechend vorbereitet werden. Auch diesen Schritt kann man manuell ausführen. Dieser Schritt muss vom Domänenadministrator durchgeführt werden. Für die Exchange Installation ist dieser Benutzer dann nicht mehr notwendig. Sie sehen, dass Exchange 2000 auf große Organisationen mit verteilten administrativen Funktionen vorbereitet ist.

SETUP /domainprep startet diese Prozess, welcher je Domäne zu wiederholen ist, in der Exchange 2000 installiert werden soll. Allerdings wird dieser Schritt durch das Setup durchgeführt, wenn Sie einen Exchange Server in einer Domäne installieren wollen, wo dies noch nicht passiert ist.

Die einzelnen Schritte sind:

  1. Anlegen der speziellen globalen Sicherheitsgruppe "Exchange Domain Servers" in der OU "Users". Bitte verschieben Sie diese Gruppen nie.
  2. Anlegen der speziellen lokalen Sicherheitsgruppe "Exchange Enterprise Servers in der OU Users. Bitte verschieben Sie diese Gruppen nie.
  3. Aufnehmen der "Exchange Domain Servers" Gruppe in die "Exchange Enterprise Servers" Gruppe.
  4. Vergeben verschiedener Zugriffsberechtigungen für die "Exchange Enterprise Servers" Gruppe auf das Domänenobjekt.
  5. Anpassen der Berechtigungen der Gruppe "Exchange Enterprise Servers" auf das Objekt "AdminSDHolder"
  6. Anlegen des "Microsoft Exchange System Objects"’ container unterhalb der Domäne. (versteckt und nur in der erweiterten Ansicht sichtbar)

Hier weitere Links.

Forest Funktional Mode 1 und 2

Seit Windows 2003 gibt es nicht nur die Unterscheidung nach Mixed Mode und Native Mode, sondern auch weitere funktionelle Erweiterungen des Forests. Diese können teilweise nur aktiviert werden, wenn einige oder alle Domänencontroller mit Windows 2003 betrieben werden. Dann erst gibt es z.B. die Möglichkeit, so genannte "Querybased Duistribution Groups" anzulegen, d.h. Verteiler, deren Mitgliedschaften anhand von LDAP-Abfragen dynamisch ausgewertet werden. Zudem wird die Replikation des Active Directory damit effektiver. So werden Mitgliedschaften von Gruppen einzeln repliziert und nicht mehr die komplette Liste.

Aber es gibt auch einige Abhängigkeiten zu beachten, beim Einsatz mit Exchange:

Exchange Installation

Und nun können Sie als Administrator auf ihrem Windows 2000 Server ihren neuen Exchange 2000 installieren.

Exchange Speicherplatz im AD

Exchange 2000 speichert sehr viele Informationen im Active Directory. Sie finden die meisten Einträge, wenn Sie das Snap-In "Active Directory Sites and Services" starten und die Option aktivieren, auch die "Services"  (deutsch: Diensteknoten) anzeigen zu lassen. Sie finden dann folgende Struktur (Auszugsweise)

DC=[DOMAIN NAME],DC=com - the root of Active Directory.
+--CN=Configuration
   +--CN=Sites
   +--CN=Services
       +--CN=Microsoft Exchange
           +--CN=Organization1
               +--CN=Recipient Policies 
               +--CN=Global Settings 
                   +--CN=Internet Messaging 
           +--CN=Connections
                   +--CN=SMTP (Server Name-{GUID})
                   +--CN=SMTP (Server Name-{GUID2})
               +--CN=Administrative Groups 
                   +--CN=First Administrative Group 
                       +--CN=Servers 
                           +--CN=Server1 
                               +--CN=Protocols
                                   +--CN=SMTP
                                       +--CN=1
                               +--CN=InformationStore
                                   +--CN=First Storage Group 
                                       +--CN=Public Folder Store
                                                     (Server Name)
                                       +--CN=Mailbox Store 
                                                     (Server Name)
                       +--CN=Routing Groups 
                       +--CN=Policies 
                       +--CN=Folder Hierarchies 
                           +--CN=Public Folders 
                       +--CN=Advanced Security
                           +--CN=Encryption
               +--CN=Addressing
               +--CN=Address Lists Container
               +--CN=Add-Ins

Dabei lassen sich die Informationen in zwei Bereiche aufteilen:

Konfigurationsdaten der Server

Hier legt Exchange alle Informationen der Server ab, d.h. Name Organisation, der Administrativen Gruppen etc. Diese Informationen liegen in der "Configuration" Partition des Active Directory und sind damit auf alle Domaincontroller in dem gesamten Forrest repliziert. Änderungen an dieser Struktur bedeutet daher zum einen eine Last für die Replikation und zum anderen eine bestimmte Latenzzeit, bis die Änderungen auf allen Server präsent sind.

Zudem hat in diesem Bereich nicht jeder Rechte, so dass einige Änderungen auch die Mitgliedschaft in bestimmten Gruppen bedeutet. Ein Domänenadministrator ist daher nicht automatisch ausreichend für Änderungen an Exchange legitimiert.

Konfigurationsdaten der Mailobjekte

Weiterhin benötigt Exchange 2000 Informationen, welcher Benutzer ein Postfach hat, auf welchem Server dies liegt und welche Mailadressen ihm zugewiesen sind. Ebenso gibt es Verteiler und öffentliche Ordner mit wichtigen Informationen für Exchange. Die für Exchange relevanten Informationen werden im globalen Katalog vorgehalten und repliziert, damit jeder Server im gesamten Forest die Möglichkeit hat, den Empfänger zu finden und den besten Weg dorthin zu finden

Diese Informationen liegen je Domäne in der Domänenpartition. Demnach werden diese Informationen nur auf den Domänenkontrollern der gleichen Domäne vorgehalten und repliziert.

AD Domäne im mixed mode und Verteiler

Exchange 2000/2003 baut auf das Active Directory auf. Gerade wenn Sie aber eine Domäne langsam "migrieren", dann haben Sie meist noch einen oder mehrere NT4 BDC in ihrer Domäne und fahren daher die entsprechende Active Directory Domäne im so genannten "Mixed Mode".

In diesem Mode sind aber z.B. die "Universal Security Groups" nicht verfügbar. Aber genau diese braucht Exchange 2000/2003, da alle Verteiler universal Groups sein müssen (nur die sind im Globalen Katalog im gesamten Forrest komplett verfügbar) und diese Gruppen müssen eine SID haben, wenn diese für Berechtigungen auf öffentliche Ordner genutzt werden. Daher ist es notwendig, dass eben eine "native Mode" Domäne für Verteiler vorhanden ist. Wenn dies nicht zutrifft und im GC daher die Mitglieder einer Gruppe nicht auslesbar sind, dann werden Nachrichten an die Gruppe nicht zugestellt. Ansonsten hat man Ärger mit der Umsetzung der Rechte, da der E2K für die PF-Berechtigungen, welche für Objekte von 5.5er Verteilerlisten kommen, die Universal Distribution Groups in Universal Security Groups verwandelt. In einer AD mixed Domäne scheitert das.

Lösungsmöglichkeiten:

  1. Expansion Server festlegen
    für die Gruppen können im ADC ein Expansion Server festgelegt werden) (im ADC die erweiterten Funktionen einschalten - Exchange Erweitert). Hier wählt man den Server der auch DC für die Domäne ist. da der GC auf dem DC auch die Mitglieder von "globalen Gruppen" liefert.
  2. GC definieren
    Den GC für den Exchange Server per Registry festschreiben - siehe Q250570 oder auf SP2 installieren, wo das im GUI konfiguriert werden kann und hier den GC der Verteilerdomäne angeben.
  3. Verteilerdomäne
    Dummy AD Native Mode Domäne für universelle Gruppen anlegen.

Es ist aber immer zu überlegen, wenn mehrere Domänen existieren, dass nicht alle Optionen zum Ziel führen.

ADC Installation

Der Active Directory Connector ist wird häufig als erstes installiert. Nur bei reinen Exchange 2000 Umgebungen ist er nicht notwendig. Auch während der Installation des ADC wird das Verzeichnis ähnlich wie beim Forestprep und Domainprep erweitert. Schließlich muss auch der ADC seine Daten im AD hinterlegen und die Benutzer um eine Kartekarte "Exchange" erweitert werden. Auch wenn hier "nur" Exchange 5.5 Daten gespeichert werden. Insofern bringt die Installation des ADC auch schon Veränderungen mit.

Exchange 5.5. merkt von allem dem nichts, da es keine Funktion des Windows 2000 AD verwendet. Nur der ADC ist der Vermittler zwischen den Welten. Weitere Informationen finden sie bei Exchange und der Active Directory Connector.

AD im Enterprise-Umfeld

Das Active Directory in größeren Umfeldern bedarf einer viel genaueren Planung und Kontrolle Ich kann hier natürlich nicht in wenigen Sätzen sagen, wie ihre Umgebung zu konfigurieren ist, aber

AD Diagnose mittels Eventlog

Neben all den Programmen wie REPLMON, DSASTAT, DSACLS gibt es auch eine einfache Möglichkeit bei der Fehlersuche oder Überwachung das Eventlog zu nutzen. Folgende beiden Q-Artikel beschreiben die Einstellungen:

Folgende Datei können Sie als REG-Datei speichern. Per Default sind alle Diagnoseparameter deaktiviert (Wert = 0). Sie können ausgewählte Werte auf 1 bis 7 setzen, je nachdem wie genau das AD im Eventlog die Vorgänge protokollieren soll. Bitte aktivieren Sie nicht alle Parameter auf den Wert 5, da ihnen das Eventlog sehr schnell voll läuft und sie in der Menge der Informationen auch nichts wieder finden. Nutzen sie selektiv die Werte.

Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\Diagnostics]
"1 Knowledge Consistency Checker"=dword:00000000
"2 Security Events"=dword:00000000
"3 ExDS Interface Events"=dword:00000003
"4 MAPI Interface Events"=dword:00000003
"5 Replication Events"=dword:00000000
"6 Garbage Collection"=dword:00000000
"7 Internal Configuration"=dword:00000000
"8 Directory Access"=dword:00000003
"9 Internal Processing"=dword:00000000
"10 Performance Counters"=dword:00000000
"11 Initialization/Termination"=dword:00000000
"12 Service Control"=dword:00000000
"13 Name Resolution"=dword:00000000
"14 Backup"=dword:00000000
"15 Field Engineering"=dword:00000000
"16 LDAP Interface Events"=dword:00000002
"17 Setup"=dword:00000000
"18 Global Catalog"=dword:00000003
"19 Inter-site Messaging"=dword:00000000

Sie können problemlos auch mit REGEDIT interaktiv die Werte anpassen. Die Einstellungen werden ohne Neustart sofort aktiv. Eine genauere Beschreibung der Ergebnisse und Event erübrigt sich, da diese kundenspezifisch sind und im jeweiligen Kontext zu sehen sind.

Exchange auf einem DC

Wenn Sie den Exchange Server zugleich zu einem Domain Controller machen wollen, dann sollten so folgende Artikel kennen und verstanden haben:

Die Quintessenz ist: JA es geht aber man macht es nur, wenn man sonst keine Wahl hat. Keine Wahl heißt z.B.: Sie haben nur genau einen Server (Small Business ?) oder sie haben nur zwei Server (und dann sind zwei DCs immer noch besser als ein DC und Exchange auf dem anderen). In allen anderen Fällen sollten Sie Exchange nicht auf einem DC installieren.

Und Sie sollten auf keinen Fall die Rolle des Servers nach der Installation von Exchange verändern. Wenn Sie mit DCPromo die Funktion des Servers veränder (also hoch stufen oder herunter stufen) wird Exchange nicht mehr sauber laufen, da z.B. der IIS lokale Konten (IUSR* und IWAM*) anlegt, und die danach nicht mehr gültig sind.

FSMO-Rollen

In einem Active Directory sind zwar alle Domain Controller gleich aber trotzdem gibt es die ein oder andere Rolle, die auf einem DC angesiedelt sein muss.

Wenn ein Server mit einer FSMO-Rolle ausfällt und in absehbarer Zeit nicht mehr wiederhergestellt wird, müssen Sie von Hand die Rolle mittels NTDSUTIL umverteilen. Auch sonst gibt es einige Regeln bei der Verteiler der Rollen:

Siehe auch:

Tombstone und Gelöschte Elemente

Ein interessanter Wert, der etwas über die Funktionsweise des AD aussagt ist die "tombstoneLifetime". Das Active Directory repliziert Objekte anhand der Änderungen. Wird ein Object gelöscht, dann darf der DC das Objekt nicht sofort rückstandsfrei entfernen, da dann die anderen DCs ja keine "Änderung" mehr sehen würde. Daher werden gelöschte Objekte erst mal als "isDeleted" gekennzeichnet, in eine eigene OU verschoben und z.B. auf Gruppen entfernt. Dies wird von den anderen DCs "erkannt" und ebenfalls nachvollzogen.

Irgendwann muss aber ein anderer Prozess diese Objekte dann doch weg räumen. Das macht ein "Garbage Collection" Prozess, welcher per Default alle 12h auf jedem DC ausgeführt wird und Objekte dann auch richtig entfernt. Hier kommt nun die tombstoneLifetime ins spiel, die Forestweit konfiguriert wird und bestimmt, nach wie vielen Tagen ein DC die Objekte entfernt. Das waren bei Windows 2000 noch 60 Tage und ab Windows 2003 SP1 180Tage.

Object: CN=Directory Service,CN=Windows NT,CN=Services,CN=Configuration,DC= DOMAIN, dc=TLD
Attribut: tombstoneLifetime

Die Abfrage kann auch per DSQuery erfolgen, wenn Sie ADSIEDIT umgehen wolln

dsquery * "cn=directory service,cn=windows nt,cn=services,cn=configuration,dc=msxfaq,dc=de" -scope base -attr tombstonelifetime

Achtung: Wenn nichts drin steht, dann ist weiter der Wert von 60 Tagen aktiv, selbst auf Windows 2003 und höher. Beim Aufsetzen des Forest mit DCPROMO mit aktuellen Windows Versionen wird der Wert nur auf 180 gesetzt.

Die TechNet und diverse Blogs beschreiben dies noch detaillierter.

Exchange und GCs

Für die Funktion von Exchange ist der Einsatz von "Globalen Katalogen" erforderlich. Zwar benötigen Sie diese Funktion auch in ihrem Active Directory zur interaktiven Anmeldung, aber per Default wird nur der erste Server im Forest auch automatisch zum GC. Alle nachfolgend installierten DCs sind keine GC-Server. Sie müssen sich abhängig von ihrer Netzwerkstruktur, WAN-Umgebung und den Zugriffen überlegen, welche Server zusätzlich GC sein sollen.

Bei der Hochstufung eines DC's zum globalen Katalog müssen Sie speziell für Exchange ein paar Dinge beachten

Auch Outlook nutzt den GC und das kann sogar zu Problemen führen, wenn ein Anwender das Recht hat, Verteiler zu pflegen und Sie mehrere Domain haben. Verbindet sich Outlook mit einem DC der "falschen Domain", dann kann er die Gruppen nicht pflegen

GC und Fremdsprachen

Manchmal kann es sein, dass Sie folgende Meldungen im Eventlog finden

Event Type:
Error
Event Source: NTDS ISAM
Event Category: General
Event ID:604
Date: 7/29/2002
Time: 11:12:13 AM
User: N/A
Computer:computername
Description: NTDS (248) Must install language support for language ID 0x421.

Diese besagt, dass ein Client eine Sortierung in der entsprechenden Sprache angefordert hat und vom GC nicht geliefert werden konnte. Um die Sortierung von Adresslisten zu erlauben, müssen auf dem GC zwei Anpassungen durchgeführt werden.

HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/NTDS/LANGUAGE/"Language 00000409":REG_DWORD= "409" (hex)

Siehe auch http://www.Microsoft.com/technet/prodtechnol/exchange/2000/deploy/e2krelnt.mspx. Eine Liste der Sprachen und der dazugehörigen Codes findet sich auf 324097 List of Language Packs and their Codes for Windows 2000 Domain Controllers. Wiederholen Sie die Schritte für weitere Sprachen.

AD und Firewalls und beschränktes Routing

Die machen sich das Leben natürlich am einfachsten, wenn alle DCs des Forests miteinander ungehindert sprechen können. Es ist ein Irrglaube, dass die DCs immer nur "entlang" der Sitelinks Verbindungen aufbauen. Es kann durchaus sein, dass ein DC einer Site unter Umgehung einer Site direkt mit einem DC in einem anderen Standort kommunizieren will.

Das betrifft nicht nur die AD-Replikation per LDAP, sondern auch GC-Replikationen oder andere Protokolle wie FRS (File Replication Service), die für die Funktion von NETLOGON und SYSVOL, und damit für die Gruppenrichtlinien, essentiell wichtig sind.

Weiterhin prüft Windows über einfaches PINGs (ICMP), ob die Gegenstelle erreichbar ist, ehe "teure" TCP-Verbindungen aufgebaut werden. Wer also intern PING und TRACERT blockiert, weil er Angst vor Ping-Angriffen, Ping of Death etc. hat, der wird auch Probleme bei der AD-Replikation aber auch beim Zugriff durch die Clients bekommen.

Active Directory mit ADTD "dokumentieren"

Viele Jahre lang war "ADMap" das Mittel der Wahl, um aus einem Active Directory ein schönes Visio-Bild zu erstellen. ADMap hat dazu per LDAP die Domänen, Standorte und Replikationsverbindungen ausgelesen und mittels installiertem Visio zu einem Diagramm umgewandelt. Seit Oktober 2007 gibt es ein neues Tool, welches ADMAP ablöst: ADTD steht für "Active Directory Topology Diagrammer" und ist bei Microsoft zu erhalten:

Microsoft Active Directory Topology Diagrammer
http://www.microsoft.com/downloads/details.aspx?familyid=cb42fc06-50c7-47ed-a65c-862661742764&displaylang=en&tm (ca. 1,4MB)

Sie benötigen das .NET Framework 2.0 und Visio 2003 oder 2007 zum Ausführen des Tools.

Weitere Links

Tags:ActiveDirectory AD FSMO Domainprep Forestprep Schema