Exchange und das Active Directory

Mit Windows 2000 ist das Active Directory (AD) eine wesentliche Änderungen , welche sowohl Exchange 5.5. als auch Exchange 2000 betrifft. Das AD können wir mit einem Active Directory Connector nutzen, um Exchange 5.5 zu managen. Wie brauchen das AD zwingend für Exchange 2000 und um das Active Directory mit Exchange zu nutzen, müssen wir das AD etwas für unsere Zwecke erweitern.

Achtung: Domainlevel von Win2003 auf 2008 oder höher anheben kann Exchange stören:
Durch die Nutzung von AES128/256 wird das Kennwort für den KDC zurückgesetzt wird. Und das bricht die KDCs und ohne Kerberos kein Exchange. Lösung: KDC-Dienst auf allen DCs einmal durchstarten.

Considering updating your Domain functional level from Windows 2003? Read this! http://blogs.technet.com/b/exchange/archive/2015/02/13/considering-updating-your-domain-functional-level-from-windows-2003-read-this.aspx

Eine wichtige Antwort vorab: Exchange 2000/2003 kann sowohl auf einem Mitgliedsserver als auch auf einem Domänen Controller installiert werden. Aber beachten Sie dazu:

  • 822179 Overview of Operating System and Active Directory Requirements für Exchange Server 2003

You can run Exchange Server 2003 on either a member server or on a domain controller. After you install Exchange Server 2003 on a server, do not change the role of the server. für example, if you install Exchange Server 2003 on a member server, do not use the Dcpromo tool to promote the server to a domain controller. Or, if you install Exchange Server 2003 on a domain controller, do not use the Dcpromo tool to demote the server to a member server. Changing the role of a server after you install Exchange Server 2003 may result in loss of some Exchange functionality and is not supported

Neues in den Active Directory-Domänendiensten unter Windows Server 2008 http://technet2.microsoft.com/windowsserver2008/de/library/eccfec5b-86c6-4b19-8b70-1aad0403d1df1031.mspx?mfr=true

AD planen

Ehe wir nun Exchange mit dem AD integrieren muss das Active Directory erst mal installiert und funktionsfähig sein. Und hier kann ich nur vor "Schnellschüssen" warnen. Sehr viele Händler und Berater, die sich blendend mit Windows NT auskennen, müssen für das Active Directory viel nachlernen. Dabei zählt weniger die technische Kompetenz, also weniger das "Wie wird es installiert", sondern die organisatorische Planung. Das vorhersehen und Ermitteln der besten Struktur für das unternehmen. Exchange ist neben den Datei- und Druckfunktionen von Windows 2000 die erste Anwendung, die aktiv das Verzeichnis nutzt. Aber zukünftig werden weitere Dienste das Active Directory nutzen (DFS, NIS, DNS, SQL etc.) und damit ist die Planung das A und O, lange bevor Exchange 2000 oder ein ADC installiert wird. Oft kommt diese zu spät.

Das beginnt schon beim DNS-Namen für das Active Directory

  • firma.de
    Wenn ihr Active Directory genau so heißt, wie ihre offizielle Domäne, dann sollten Sie einen "Split-DNS" betreiben, damit ihre interne Verwaltungsinformation nicht im Internet sichtbar wird. Ansonsten ist diese Namenswahl möglich. Allerdings ist es schwer für mobile Anwender dann "firma.de" als vertraute oder "Intranet-Zone" zu definieren, da der zugriff aus dem Internet ja auf andere Server erfolgt
  • firma.local
    Nutzt man ".local" als suffix, dann besteht die Gefahr nicht, dass die externe Zone gleich der internen Zone ist. Allerdings sollen MAC-Systeme mit ".local" so ihre Probleme haben.
  • firma.zz
    In der ISO 3166 (Siehe auch http://de.wikipedia.org/wiki/ISO_3166) ist z.B. definiert, dass AA, ZZ und einige andere Suffixe für die interne Verwendung reserviert sind. So werden Konflikte zuverlässig vermieden.

Firmen mit einem Standort und weniger als 1000 Leuten und einer IT-Abteilung werden vermutlich mit einer Domäne arbeiten und können schon recht schnell loslegen. Firmen mit mehreren Standorten oder administrativen Grenzen müssen schon genau überlegen, ob sie eine Domäne mit mehreren Standorten machen oder ob Sie mehrere Domänen verteilen und dann vor der Frage stehen, ob alle Domäne in einer Struktur (Tree), oder in mehreren Strukturen in einer Gesamtstruktur (Forrest) sind oder gar eigenständige Gesamtstrukturen vorgesehen sind. Ein Irrtum bei der Planung heute, kann aktuell nur sehr aufwändig korrigiert werden (Neuinstallation), denn einige Funktionen wie z.B. das Verbinden von Gesamtstrukturen sind heute nicht verfügbar. 

Fragen Sie mal jemand, der seit Anfang von NetWare 4 mit der NetWare NDS arbeitet. Schon damals hatte Novell das gleiche Problem, den Leuten erst mal klar zu machen, dass bei einer NDS auch nicht die Installation das aufwändige ist, sondern die Planung, der Entwurf und das Design. Ich vermute, dass in einigen Monaten oder auch Jahren die gleichen Tools bereitstehen, die Novell einige Montage später ebenfalls erst entwickelt hat, um Domänen zu verlagern oder Gesamtstrukturen zu verbinden (z.B. DSMerge)

Und wenn man versehentlich vorgeprescht ist und "zu schnell" war, dann sind die Tatsachen ernüchternd, dass sie heute Domänen nicht umbenennen können, dass die Hauptdomäne nicht geändert werden kann und dass SchemaÄnderungen generell nicht rückgängig gemacht werden können. Der Baum wächst von der Wurzel an. Planung ist alles.

Mein Tipp: Wenn sie irgendwie unsicher sind und die Installation nicht nur ein paar Personen betrifft, dann suchen Sie sich kompetente Hilfe. Sie brauchen weniger Zeit, Sie lernen aus der Erfahrung anderer und deren Vorgehensweise und ihr Kunde bleibt ihr zufriedener Kunde. Die meisten AutohäUser schicken ihre unfallwagen zum Lackieren zu einem anderen Betrieb. Warum wollen Sie alles selbst machen. Die Risikoabschätzung sollten Sie machen. Daher bitte in dieser kritischen Phase sich wirklich absichern.

Sie sollten dennoch genau überlegen, ob eine eigene Root-Domain heute noch relevant ist. Mit Windows 2000 war es interessant aber durch die neune Kennwortrichtlinien ab Windows 2008 und andere Dinge ist eine Root-Domain eher eine Erschwernis ohne echten Mehrwert. Lassen Sie und einfach darüber diskutieren, ehe Sie viele DCs zusätzlich aufbauen.

AD installieren

Schon bei der Installation des AD können Sie auf die erste Falle laufen. Schließlich wollen Sie ihre Benutzer und allen Einstellungen gerne mitnehmen, aber das steht alles in der Windows NT4 Domäne. Sie müssen also sich überlegen, wie sie diese Informationen in ihre Windows 2000 Active Directory Welt übernehmen. Es gibt dazu zwei Wege:

  • Windows 2000 Server zum DC der bestehenden Domäne
    Das geht aber nur, wenn man ihn vorher als PDC installiert und dann ein upgrade auf W2K fährt. Will man aber auf dem schönen neuen Server kein Update fahren, dann muss man sich mit einem Hilfssystem behelfen, welches als NT4 BDC installier und zum PDC promoted wird und dann das Update auf W2K durchführt. Die eigentlichen Server können dann als W2K DCs sauber installiert werden und das Hilfssystem nach Verlagerung der FSMO-Rollen wieder deinstalliert werden.
  • Windows 2000 AD neu installieren und Informationen mit ADMT migrieren
    Wenn Sie die bestehende  Domäne nicht verwenden wollen oder können (z.B. Namensproblem etc.) oder mehrere NT4 Domänen zusammenführen wollen, dann werden Sie das AD neu installieren und einen Weg suchen, bestehende Informationen in dieses neue Verzeichnis zu importieren. Schauen Sie sich dazu auf jeden Fall das Programm ADMT Exchange Tools und Hilfsprogramme an, um Benutzerinformationen samt SID-Informationen und Gruppenzugehörigkeiten zu übernehmen.

Nur hat das gar nichts mit Exchange 2000 zu tun. Sie finden die genauen Vorgehensweisen dazu in den Handbüchern oder anderen Quellen im Internet, z.B.:

Wenn unser Active Directory dann mal steht, dann können wir uns dem eigentlichen Exchange Update widmen. Wir gehen nun der Einfachheit halber von einer einzigen Domäne in einer Struktur in einer Gesamtstruktur aus. Es ist der Einfachheit halber der einzige Exchange 5.5-Server in der Firma, d.h. keine verbundenen Standorte und keine weiteren Server. Auch diese Informationen hier sollen nur die Wege mit den Vor und Nachteilen beschreiben und kein Ersatz für die ausführliche und sehr gute Dokumentation von Microsoft sein.

AD Anpassung

Ehe Exchange 5.5 oder Exchange 2000 das Active Directory nutzen kann, muss es entsprechend erweitert werden. Dabei gilt es zwei Bereiche zu unterscheiden:

  • Das Schema
    Das Schema des Verzeichnisses beschreibt, wie einzelne Objekte aufgebaut sind, d.h. welche Felder belegt sein müssen, welche belegt sein können und welche Objekte es überhaupt gibt. Das Objekt "Benutzer" hat Pflichtfelder wie der Anmeldename, die SID und das Kennwort und jede Menge optionale Felder wie Telefonnummer etc. Wird nun das Verzeichnis von Exchange mit genutzt, muss das Objekt Benutzer z.B. Um Felder erweitert werden. (z.B. Exchange Stammserver, Exchange Speicher, Exchange Mailadresse etc.)
  • Verzeichnisobjekte
    Im zweiten Schritt müssen die Informationen, die Exchange speichern muss, im Verzeichnis angelegt werden. Dazu werden einige besondere Verzeichnisobjekte angelegt, die Konfigurationsinformationen erhalten

Wie kommen nun diese Informationen in das Active Directory ?.

Einige der Informationen werden während der Installation hinzugefügt. Dabei gibt es drei eigenständige Schritte, die aber durch das Exchange Setup in kleinen Umgebungen verborgen werden. Sie werden auch in der Reihenfolge abgearbeitet

  • Schema des Forest erweitern
    Einmalig durch den Schema Administrator
  • Domäne vorbereiten
    Einmalig je Domäne durch den Domänen Administrator
  • Exchange installieren
    durch den Administrator des Servers

Eine Besonderheit ist der ADC, welcher Exchange 5.5 mit dem AD koppelt.

Das Setup von Exchange ist entsprechend vorbereitet, um fehlende Teile selbst auszuführen, wenn Sie als Administrator die Reihenfolge nicht einhalten. Sollten Ihnen die notwendigen Rechte fehlen, oder andere Randbedingungen nicht stimmen, dann erhalten Sie eine Fehlermeldung.

Forestprep

Der erste Schritt ist die Erweiterung des Schemas. Dafür sind die Rechte des Schema Administrators notwendig. Ebenso muss das AD "richtig" funktionieren, d.h. per DNS muss die Installationsroutine den Schemamaster finden und per Netzwerk erreichen können, die für das Schema verantwortlich sind. (Schema Master FSMO-Rolle). Die Installationsroutine erweitert dann das Schema durch den Import mehrere LDIF-Dateien. Dieser Prozess dauert um so länger, je größer das Verzeichnis ist, weil vernünftigerweise gewartet werden sollte, bis die Schemaerweiterung auch auf alle Server repliziert ist. Überprüfen können wir dies z.B. mit dem Replikationsmonitor aus dem Administrator Kit. Sowohl bei einer Neuinstallation von Exchange 2000 als auch die Installation des ADC bei einer Migration erweitern das Schema.

Das Schema ist in der Gesamtstruktur (Forrest) identisch. Der Administrator der ersten Domäne des Forest wird in der Regel diesen Prozess möglichst frühzeitig durchführen. Bei einem einfachen Netzwerk mit einer Domäne werden die wenigsten das Setup mit der Option /forestprep aufrufen. Sollte das Schema noch nicht aktuell sein, wird das Setup diesen Schritt automatisch durchführen.

Forestprep macht unter anderem (getrennt aufrufbar durch "setup.exe /forestprep"):

  1. Legt das Exchange Organisationsobject im Active Directory an (Configuration Partition)
  2. Setzt die Basisberechtigungen des ersten Exchange Administrators
  3. Erweitert das Active Directory Schema mit den Exchange 2000 Schema Erweiterungen

Während des /ForestPrep werden Sie gefragt, ob sie eine neue Exchange 2000 Organisation anlegen oder einer  bestehenden Exchange 5.5 Organisation beitreten möchten. Die Entscheidung ist einmalig und kaum umkehrbar. Überlegen Sie daher genau.

Weitere Links hierzu:

  • TechNet Artikel zu Forrestprep und Domainprep
  • Q256184 XADM: ForestPrep Fails with Extending the Schema Error
  • Q230745 XADM: Event 1333 Anonymous LDAP and MAPI Search Requests Denied
  • Q274737 XADM: How to Verify That ForestPrep and DomainPrep Have Completed Successfully
  • Q281658 XADM: SETUP /FORESTPREP Fails with an Ambiguous Error Message
  • 289671 XADM: Invalid Character Error Occurs When You upgrade or Join an Exchange Server 5.5 Site
  • 329607 You can join an Exchange 5.5 site that has an invalid character in its name to an Exchange 2000 organization
  • 822589 How the Exchange 2003 Active Directory Connector Setup Process Updates the Schema
  • 841091 Characters that are not supported für object names in Exchange
  • Schema: Extending the Active Directory User Object with Custom Attributes http://microsoft.apress.com/asptodayarchive/72464/extending-the-active-directory-User-object-with-custom-attributes

Domainprep

Nachdem nun das Schema erweitert worden ist, muss die Domäne, in der Exchange 2000 installiert werden soll, entsprechend vorbereitet werden. Auch diesen Schritt kann man manuell ausführen. Dieser Schritt muss vom Domänenadministrator durchgeführt werden. für die Exchange Installation ist dieser Benutzer dann nicht mehr notwendig. Sie sehen, dass Exchange 2000 auf große Organisationen mit verteilten administrativen Funktionen vorbereitet ist.

SETUP /domainprep startet diese Prozess, welcher je Domäne zu wiederholen ist, in der Exchange 2000 installiert werden soll. Allerdings wird dieser Schritt durch das Setup durchgeführt, wenn Sie einen Exchange Server in einer Domäne installieren wollen, wo dies noch nicht passiert ist.

Die einzelnen Schritte sind:

  1. Anlegen der speziellen globalen Sicherheitsgruppe "Exchange Domain Servers" in der OU "Users". Bitte verschieben Sie diese Gruppen nie.
  2. Anlegen der speziellen lokalen Sicherheitsgruppe "Exchange Enterprise Servers in der OU Users. Bitte verschieben Sie diese Gruppen nie.
  3. Aufnehmen der "Exchange Domain Servers" Gruppe in die "Exchange Enterprise Servers" Gruppe.
  4. Vergeben verschiedener Zugriffsberechtigungen für die "Exchange Enterprise Servers" Gruppe auf das Domänenobjekt.
  5. Anpassen der Berechtigungen der Gruppe "Exchange Enterprise Servers" auf das Objekt "AdminSDHolder"
  6. Anlegen des "Microsoft Exchange System Objects"’ container unterhalb der Domäne. (versteckt und nur in der erweiterten Ansicht sichtbar)

Hier weitere Links.

Forest Funktional Mode 1 und 2

Seit Windows 2003 gibt es nicht nur die Unterscheidung nach Mixed Mode und Native Mode, sondern auch weitere funktionelle Erweiterungen des Forests. Diese können teilweise nur aktiviert werden, wenn einige oder alle Domänencontroller mit Windows 2003 betrieben werden. Dann erst gibt es z.B. die Möglichkeit, so genannte "Querybased Distribution Groups" anzulegen, d.h. Verteiler, deren Mitgliedschaften anhand von LDAP-Abfragen dynamisch ausgewertet werden. Zudem wird die Replikation des Active Directory damit effektiver. So werden Mitgliedschaften von Gruppen einzeln repliziert und nicht mehr die komplette Liste.

Aber es gibt auch einige Abhängigkeiten zu beachten, beim Einsatz mit Exchange:

  • 831809 Exchange 2000 Recipient Update Service does not replicate changes successfully in forest functional level 1 or 2 in Windows Server 2003 Active Directory
  • 825916 Exchange 2000 Active Directory Connector Does Not Successfully Replicate Changes to Group Membership in Windows Server 2003 Active Directory in Forest Functional Levels 1 or 2
  • 873059 The Recipient Update Service does not Update objects correctly when Exchange 2000 Server is running in a Windows Server 2003 forest

Achtung: Domainlevel von Win2003 auf 2008 oder höher anheben kann Exchange stören:
Durch die Nutzung von AES128/256 wird das Kennwort für den KDC zurückgesetzt wird. Und das bricht die KDCs und ohne Kerberos kein Exchange. Lösung: KDC-Dienst auf allen DCs einmal durchstarten.

Considering updating your Domain functional level from Windows 2003? Read this! http://blogs.technet.com/b/exchange/archive/2015/02/13/considering-updating-your-domain-functional-level-from-windows-2003-read-this.aspx

Forest Functional Mode Umstellungen

Auch der Forest Functional Mode it für Exchange relevant und einige Effekte können auch andere Dienste betreffen. Beachten Sie dazu auch die Seiten zu den Servern.

Exchange Speicherplatz im AD

Exchange speichert sehr viele Informationen im Active Directory. Sie finden die meisten Einträge, wenn Sie das Snap-In "Active Directory Sites and Services" starten und die Option aktivieren, auch die "Services"  (deutsch: Dienstknoten) anzeigen zu lassen. Sie finden dann folgende Struktur (Auszugsweise)

DC=[DOMAIN NAME],DC=com - the root of Active Directory.
+--CN=Configuration
   +--CN=Sites
   +--CN=Services
       +--CN=Microsoft Exchange
           +--CN=Organization1
               +--CN=Recipient Policies 
               +--CN=Global Settings 
                   +--CN=Internet Messaging 
           +--CN=Connections
                   +--CN=SMTP (Server Name-{GUID})
                   +--CN=SMTP (Server Name-{GUID2})
               +--CN=Administrative Groups 
                   +--CN=First Administrative Group 
                       +--CN=Servers 
                           +--CN=Server1 
                               +--CN=Protocols
                                   +--CN=SMTP
                                       +--CN=1
                               +--CN=InformationStore
                                   +--CN=First Storage Group 
                                       +--CN=Public Folder Store
                                                     (Server Name)
                                       +--CN=Mailbox Store 
                                                     (Server Name)
                       +--CN=Routing Groups 
                       +--CN=Policies 
                       +--CN=Folder Hierarchies 
                           +--CN=Public Folders 
                       +--CN=Advanced Security
                           +--CN=Encryption
               +--CN=Addressing
               +--CN=Address Lists Container
               +--CN=Add-Ins

Dabei lassen sich die Informationen in zwei Bereiche aufteilen:

Konfigurationsdaten der Server

Hier legt Exchange alle Informationen der Server ab, d.h. Name Organisation, der Administrativen Gruppen etc. Diese Informationen liegen in der "Configuration" Partition des Active Directory und sind damit auf alle Domaincontroller in dem gesamten Forrest repliziert. Änderungen an dieser Struktur bedeutet daher zum einen eine Last für die Replikation und zum anderen eine bestimmte Latenzzeit, bis die Änderungen auf allen Server präsent sind.

Zudem hat in diesem Bereich nicht jeder Rechte, so dass einige Änderungen auch die Mitgliedschaft in bestimmten Gruppen bedeutet. Ein Domänenadministrator ist daher nicht automatisch ausreichend für Änderungen an Exchange legitimiert.

Konfigurationsdaten der Mailobjekte

Weiterhin benötigt Exchange 2000 Informationen, welcher Benutzer ein Postfach hat, auf welchem Server dies liegt und welche Mailadressen ihm zugewiesen sind. Ebenso gibt es Verteiler und öffentliche Ordner mit wichtigen Informationen für Exchange. Die für Exchange relevanten Informationen werden im globalen Katalog vorgehalten und repliziert, damit jeder Server im gesamten Forest die Möglichkeit hat, den Empfänger zu finden und den besten Weg dorthin zu finden

Diese Informationen liegen je Domäne in der Domänenpartition. Demnach werden diese Informationen nur auf den Domänenkontrollern der gleichen Domäne vorgehalten und repliziert.

AD Domäne im mixed mode und Verteiler

Exchange 2000/2003 baut auf das Active Directory auf. Gerade wenn Sie aber eine Domäne langsam "migrieren", dann haben Sie meist noch einen oder mehrere NT4 BDC in ihrer Domäne und fahren daher die entsprechende Active Directory Domäne im so genannten "Mixed Mode".

In diesem Mode sind aber z.B. die "Universal Security Groups" nicht verfügbar. Aber genau diese braucht Exchange 2000/2003, da alle Verteiler universal Groups sein müssen (nur die sind im Globalen Katalog im gesamten Forrest komplett verfügbar) und diese Gruppen müssen eine SID haben, wenn diese für Berechtigungen auf öffentliche Ordner genutzt werden. Daher ist es notwendig, dass eben eine "native Mode" Domäne für Verteiler vorhanden ist. Wenn dies nicht zutrifft und im GC daher die Mitglieder einer Gruppe nicht auslesbar sind, dann werden Nachrichten an die Gruppe nicht zugestellt. Ansonsten hat man ärger mit der Umsetzung der Rechte, da der E2K für die PF-Berechtigungen, welche für Objekte von 5.5er Verteilerlisten kommen, die universal Distribution Groups in universal Security Groups verwandelt. In einer AD mixed Domäne scheitert das.

Lösungsmöglichkeiten:

  1. Expansion Server festlegen
    für die Gruppen können im ADC ein Expansion Server festgelegt werden) (im ADC die erweiterten Funktionen einschalten - Exchange Erweitert). Hier wählt man den Server der auch DC für die Domäne ist. da der GC auf dem DC auch die Mitglieder von "globalen Gruppen" liefert.
  2. GC definieren
    Den GC für den Exchange Server per Registry festschreiben - siehe Q250570 oder auf SP2 installieren, wo das im GUI konfiguriert werden kann und hier den GC der Verteilerdomäne angeben.
  3. Verteilerdomäne
    Dummy AD Native Mode Domäne für universelle Gruppen anlegen.

Es ist aber immer zu überlegen, wenn mehrere Domänen existieren, dass nicht alle Optionen zum Ziel führen.

  • Q271930 Message Delivery to Global Groups Does Not Work
  • Q231273 Group Type and Scope usage in Windows 2000

ADC Installation

Der Active Directory Connector ist wird häufig als erstes installiert. Nur bei reinen Exchange 2000 Umgebungen ist er nicht notwendig. Auch während der Installation des ADC wird das Verzeichnis ähnlich wie beim Forestprep und Domainprep erweitert. Schließlich muss auch der ADC seine Daten im AD hinterlegen und die Benutzer um eine Kartekarte "Exchange" erweitert werden. Auch wenn hier "nur" Exchange 5.5 Daten gespeichert werden. Insofern bringt die Installation des ADC auch schon Veränderungen mit.

Exchange 5.5. merkt von allem dem nichts, da es keine Funktion des Windows 2000 AD verwendet. Nur der ADC ist der Vermittler zwischen den Welten. Weitere Informationen finden sie bei Exchange und der Active Directory Connector.

AD im Enterprise-Umfeld

Das Active Directory in größeren Umfeldern bedarf einer viel genaueren Planung und Kontrolle Ich kann hier natürlich nicht in wenigen Sätzen sagen, wie ihre Umgebung zu konfigurieren ist, aber

  • Q128978 Dead Gateway Detection in TCP/IP für Windows NT
  • Q157025 Default Gateway Configuration für Multihomed Computers
  • Q171564 TCP/IP Dead Gateway Detection Algorithm Updated für Windows NT
  • Q175767 Expected Behavior of Multiple Adapters on Same Network
  • Q191611 Symptoms of Multihomed Browsers
  • Q246804 How to Enable/Disable Windows 2000 Dynamic DNS Registrations
  • Q272294 Active Directory Communication Fails on Multihomed Domain Controllers
  • Q275554 Hosts's A Record Is Registered in DNS After Choosing Not to Register the Connection's Address
  • Q130914 Domain Controller Replikation over slow Wan Links

AD Diagnose mittels Eventlog

Neben all den Programmen wie REPLMON, DSASTAT, DSACLS gibt es auch eine einfache Möglichkeit bei der Fehlersuche oder Überwachung das Eventlog zu nutzen. Folgende beiden Q-Artikel beschreiben die Einstellungen:

Folgende Datei können Sie als REG-Datei speichern. Per Default sind alle Diagnoseparameter deaktiviert (Wert = 0). Sie können ausgewählte Werte auf 1 bis 7 setzen, je nachdem wie genau das AD im Eventlog die Vorgänge protokollieren soll. Bitte aktivieren Sie nicht alle Parameter auf den Wert 5, da ihnen das Eventlog sehr schnell voll läuft und sie in der Menge der Informationen auch nichts wieder finden. Nutzen sie selektiv die Werte.

Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\Diagnostics]
"1 Knowledge Consistency Checker"=dword:00000000
"2 Security Events"=dword:00000000
"3 ExDS Interface Events"=dword:00000003
"4 MAPI Interface Events"=dword:00000003
"5 Replication Events"=dword:00000000
"6 Garbage Collection"=dword:00000000
"7 Internal Configuration"=dword:00000000
"8 Directory Access"=dword:00000003
"9 Internal Processing"=dword:00000000
"10 Performance Counters"=dword:00000000
"11 Initialization/Termination"=dword:00000000
"12 Service Control"=dword:00000000
"13 Name Resolution"=dword:00000000
"14 Backup"=dword:00000000
"15 Field Engineering"=dword:00000000
"16 LDAP Interface Events"=dword:00000002
"17 Setup"=dword:00000000
"18 Global Catalog"=dword:00000003
"19 Inter-site Messaging"=dword:00000000

Sie können problemlos auch mit REGEDIT interaktiv die Werte anpassen. Die Einstellungen werden ohne Neustart sofort aktiv. Eine genauere Beschreibung der Ergebnisse und Event erübrigt sich, da diese kundenspezifisch sind und im jeweiligen Kontext zu sehen sind.

Exchange auf einem DC

Wenn Sie den Exchange Server zugleich zu einem Domain Controller machen wollen, dann sollten so folgende Artikel können und verstanden haben:

  • 875427  Global catalog server placement and ratios in an Exchange 2000 Server organization or in an Exchange Server 2003 organization
  • 322801 Exchange System Attendant does not start, and you receive a "Global catalog servers not responding" error message
  • 829361 Exchange Server 2003 computer takes longer than you expect to shut down
  • 313994 How to create or move a global catalog in Windows 2000
  • 822179 Overview of operating system and Active Directory requirements für Exchange Server 2003
  • 304403 Exchange considerations für promoting a domain controller to a global catalog server
  • 305065 Exchange Server-related considerations für demoting a global catalog server to a domain controller
  • 813033 Availability of the "Understanding and Troubleshooting Directory Access" book
  • http://msexchange.me.uk/dcpromoandexchange.htm
  • http://blogs.brnets.com/michael/archive/2005/01/24/319.aspx.

Die Quintessenz ist: JA es geht aber man macht es nur, wenn man sonst keine Wahl hat. Keine Wahl heißt z.B.: Sie haben nur genau einen Server (Small Business ?) oder sie haben nur zwei Server (und dann sind zwei DCs immer noch besser als ein DC und Exchange auf dem anderen). In allen anderen Fällen sollten Sie Exchange nicht auf einem DC installieren.

Und Sie sollten auf keinen Fall die Rolle des Servers nach der Installation von Exchange verändern. Wenn Sie mit DCPromo die Funktion des Servers veränder (also hoch stufen oder herunter stufen) wird Exchange nicht mehr sauber laufen, da z.B. der IIS lokale Konten (IUSR* und IWAM*) anlegt, und die danach nicht mehr gültig sind.

FSMO-Rollen

In einem Active Directory sind zwar alle Domain Controller gleich aber trotzdem gibt es die ein oder andere Rolle, die auf einem DC angesiedelt sein muss.

  • Domain Naming Master (Einmal  je Forest)
    Koordiniert z.B. die Installation weiterer Domänen im Forest
  • Schema Master  (Einmal  je Forest)
    Koordiniert Änderungen am Schema, damit diese garantiert nicht an verschiedenen Servern durchgeführt werden
  • PDC Emulator (Einmal je Domäne)
    Spielt den PDC für alle "Vor Windows 2000"-Systeme, die einen PDF suchen, um z.B. Kennworte zu ändern. Zudem ist er zentrale Anlaufstelle für ausgesperrte Konten aber auch für die Zeitsynchronisation per NTP in der Domäne.
  • RID Master (Einmal  je Domäne)
    Vergibt die relativen Identifier (RID), die zusammen mit der Nummer der Domäne dann zur SID für Objekte werden. Jeder DC erhält quasi 64 Blankoformulare zum Anlegen neuer Objekte. Der RID-Master stellt sicher, dass dass SIDs eindeutig sind.
  • Infrastrukturmaster (Einmal  je Domäne)
    Diese Rolle wird unterschätzt und missverstanden aber ist essentiell für den Betrieb  mehrerer Domänen in einem Forest. Wenn Sie in die Gruppe DOM1/GRP1 den Benutzer DOM2/User2 hinzufügen, ist der Infrastrukturmaster von DOM2 dafür zuständig, dass beim Benutzer DOM2/User2 auch die Gruppenmitgliedschaft aktualisiert wird.

Wenn ein Server mit einer FSMO-Rolle ausfällt und in absehbarer Zeit nicht mehr wiederhergestellt wird, müssen Sie von Hand die Rolle mittels NTDSUTIL umverteilen. Auch sonst gibt es einige Regeln bei der Verteiler der Rollen:

  • Infrastrukturmaster
    Darf nicht auf einem GC laufen, da er sonst die Änderungen in Gruppenmitgliedschaften nicht erkennen kann
    Ausnahme 1: Sie haben nur genau eine Domäne, dann ist diese Rolle wirkungslos
    Ausnahme 2: Alle (und wirklich ALLE) Domänencontroller im Forest sind auch Globaler Katalog, auch wenn es mehrere Domains gibt.
  • RID und PDC auf einem Server
    Da viele alte Clients und Tools neue Konten auf dem PDC anlegen, benötigt dieser am häufigsten neue SIDs.
  • Domain Naming Master und Schema Master
    Diese beiden Rollen werden sehr selten genutzt und sollten zur leichteren Dokumentation und Überwachung auf einem DC zusammen gefasst werden.
  • Domain Naming Master auf GC
    Diese FSMO-Rolle sollte auf einem GC sein, da ansonsten bestimmte Trusts nicht immer zuverlässig funktionieren.
  • FSMO-Rollen zusammenfassen
    Es ist einfacher, die Funktion zu überprüfen, wenn Sie die FSMO-Rollen nicht wild auf verschiedenen Servern verteilen. Zur Erinnerung: Wenn eine FSMO-Rolle kurze Zeit ausfällt, ist damit meist keine schwerwiegende Störung verbunden.

Siehe auch:

  • 223346 FSMO Placement and Optimization on Windows 2000 Domains
  • 223787 Flexible Single Master Operation Transfer and Seizure Process
  • 248047 Phantoms, Tombstones and the Infrastructure Master

Tombstone und Gelöschte Elemente

Ein interessanter Wert, der etwas über die Funktionsweise des AD aussagt ist die "tombstoneLifetime". Das Active Directory repliziert Objekte anhand der Änderungen . Wird ein Object gelöscht, dann darf der DC das Objekt nicht sofort rückstandsfrei entfernen, da dann die anderen DCs ja keine "Änderung" mehr sehen würde. Daher werden gelöschte Objekte erst mal als "isDeleted" gekennzeichnet, in eine eigene OU verschoben und z.B. auf Gruppen entfernt. Dies wird von den anderen DCs "erkannt" und ebenfalls nachvollzogen.

Irgendwann muss aber ein anderer Prozess diese Objekte dann doch weg räumen. Das macht ein "Garbage Collection" Prozess, welcher per Default alle 12h auf jedem DC ausgeführt wird und Objekte dann auch richtig entfernt. Hier kommt nun die tombstoneLifetime ins spiel, die Forestweit konfiguriert wird und bestimmt, nach wie vielen Tagen ein DC die Objekte entfernt. Das waren bei Windows 2000 noch 60 Tage und ab Windows 2003 SP1 180Tage.

Object: CN=Directory Service,CN=Windows NT,CN=Services,CN=Configuration,DC= DOMAIN, dc=TLD
Attribut: tombstoneLifetime

Die Abfrage kann auch per DSQuery erfolgen, wenn Sie ADSIEDIT umgehen wollen:

dsquery * "cn=directory service,cn=windows nt,cn=services,cn=configuration,dc=msxfaq,dc=de" -scope base -attr tombstonelifetime

Achtung: Wenn nichts drin steht, dann ist weiter der Wert von 60 Tagen aktiv, selbst auf Windows 2003 und höher. Beim Aufsetzen des Forest mit DCPROMO mit aktuellen Windows Versionen wird der Wert nur auf 180 gesetzt.

Die TechNet und diverse Blogs beschreiben dies noch detaillierter.

Exchange und GCs

Für die Funktion von Exchange ist der Einsatz von "Globalen Katalogen" erforderlich. Zwar benötigen Sie diese Funktion auch in ihrem Active Directory zur interaktiven Anmeldung, aber per Default wird nur der erste Server im Forest auch automatisch zum GC. Alle nachfolgend installierten DCs sind keine GC-Server. Sie müssen sich abhängig von ihrer Netzwerkstruktur, WAN-Umgebung und den Zugriffen überlegen, welche Server zusätzlich GC sein sollen.

Bei der Hochstufung eines DC's zum globalen Katalog müssen Sie speziell für Exchange ein paar Dinge beachten

  • NSPI erfordert Neusatz
    Da ein GC auch einen Exchange 5.5 Verzeichnisdienst mit simulieren muss, wird auf einem GC die Datei NSPI.DLL beim Start geladen. Wenn Sie daher einen DC zum GC machen, dann wird dieser für Exchange erst dann nutzbar sein, wenn Sie den Server neu gestartet haben
  • Native und Mixed Mode
    Es ist eventuell erforderlich, nach der Umschaltung in den Exchange Native Mode alle GCs einmal durchzustarten, damit die Änderungen auch wirklich vorhanden und aktiv sind.
  • Mehrsprachigkeit
    Der GC stellt die gesamte Funktion für die Adressbücher von Exchange Clients bereit. Speziell wenn Sie nicht nur englische Clients betreiben, sollten Sie den GCs auch die Information hinterlegen, wie andere Sprachen Listen sortieren.

Auch Outlook nutzt den GC und das kann sogar zu Problemen führen, wenn ein Anwender das Recht hat, Verteiler zu pflegen und Sie mehrere Domain haben. Verbindet sich Outlook mit einem DC der "falschen Domain", dann kann er die Gruppen nicht pflegen

GC und Fremdsprachen

Manchmal kann es sein, dass Sie folgende Meldungen im Eventlog finden:

Event Type:
Error
Event Source: NTDS ISAM
Event Category: General
Event ID:604
Date: 7/29/2002
Time: 11:12:13 AM
User: N/A
Computer:computername
Description: NTDS (248) Must install language support für language ID 0x421.

Diese besagt, dass ein Client eine Sortierung in der entsprechenden Sprache angefordert hat und vom GC nicht geliefert werden konnte. Um die Sortierung von Adresslisten zu erlauben, müssen auf dem GC zwei Anpassungen durchgeführt werden.

  • SprachUnterstützung einrichten
    Zuerst müssen Sie unter Windows in den Ländereinstellungen die gewünschten Sprachen zusätzlich installieren.
    (Start - Einstellungen - "Regions- und Sprachoptionen" auf der Karteikarte Sprache den Button "Details". Hier sind die zusätzlichen Sprachen zu installieren.
  • Registrierungsschlüssel
    Damit nun auch das Active Directory diese zusätzlichen Sortierungen anbietet, ist ein Eintrag in der Registrierung erforderlich. Ansonsten nutzt das Active Directory nur die englische Sortierung. Sie müssen die SprachID (locale ID) als String in folgenden Schlüssel addieren.

HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/NTDS/LANGUAGE/"Language 00000409":REG_DWORD= "409" (hex)

  • Neustart
    Danach ist ein Neustart des Servers erforderlich. Nun sollte der GC aber auch die anderen Sortierreihenfolgen korrekt liefern können.

Siehe auch http://www.Microsoft.com/technet/prodtechnol/exchange/2000/deploy/e2krelnt.mspx. Eine Liste der Sprachen und der dazugehörigen Codes findet sich auf 324097 List of Language Packs and their Codes für Windows 2000 Domain Controllers. Wiederholen Sie die Schritte für weitere Sprachen.

AD und Firewalls und beschränktes Routing

Die machen sich das Leben natürlich am einfachsten, wenn alle DCs des Forests miteinander ungehindert sprechen können. Es ist ein Irrglaube, dass die DCs immer nur "entlang" der Sitelinks Verbindungen aufbauen. Es kann durchaus sein, dass ein DC einer Site unter umgehung einer Site direkt mit einem DC in einem anderen Standort kommunizieren will.

Das betrifft nicht nur die AD-Replikation per LDAP, sondern auch GC-Replikationen oder andere Protokolle wie FRS (File Replication Service), die für die Funktion von NETLOGON und SYSVOL, und damit für die Gruppenrichtlinien, essentiell wichtig sind.

Weiterhin prüft Windows über einfaches PINGs (ICMP), ob die Gegenstelle erreichbar ist, ehe "teure" TCP-Verbindungen aufgebaut werden. Wer also intern PING und TRACERT blockiert, weil er Angst vor Ping-Angriffen, Ping of Death etc. hat, der wird auch Probleme bei der AD-Replikation aber auch beim Zugriff durch die Clients bekommen.

Active Directory mit ADTD "dokumentieren"

Viele Jahre lang war "ADMap" das Mittel der Wahl, um aus einem Active Directory ein schönes Visio-Bild zu erstellen. ADMap hat dazu per LDAP die Domänen, Standorte und Replikationsverbindungen ausgelesen und mittels installiertem Visio zu einem Diagramm umgewandelt. Seit Oktober 2007 gibt es ein neues Tool, welches ADMAP ablöst: ADTD steht für "Active Directory Topology Diagrammer" und ist bei Microsoft zu erhalten:

Microsoft Active Directory Topology Diagrammer
http://www.microsoft.com/downloads/details.aspx?familyid=cb42fc06-50c7-47ed-a65c-862661742764&displaylang=en&tm (ca. 1,4MB)

Sie benötigen das .NET Framework 2.0 und Visio 2003 oder 2007 zum Ausführen des Tools.

Weitere Links