Windows Support Tools

ADSIEDIT

ADSIEdit ist ein scharfes Werkzeug um per ADSI an der Verzeichnisdatenbank herumzuschnippeln. Sie können über den Weg natürlich wichtige Werte auslesen, die sie sonst nicht erhalten können, aber sie können damit auch (entsprechende Rechte vorausgesetzt) auch Werte verändern, die sie z.B.: mit dem Exchange Systemmanager so nie setzen könnten. Mein tipp: Finger weg beim Schreiben, aber lesend können Sie schon das ein oder andere dahinter lernen

Active Directory Replikation Monitor (REPLMON)

mit diesem Programm (Support Tools auf der Server CD) können sie die USN kontrollieren und damit erkennen, ob die verschiedenen Kontroller schon "synchron" sind. Es ist hilfreich, um z.B. hinterherlaufende Domaincontroller oder Global Catalog Server zu erkennen oder andere Probleme bei der Replikation des Active Directory zu finden. Die Beseitigung ist hiermit nur bedingt möglich.

DSADIAG

Dieses Hilfsprogramm gibt die Liste der DSA-Server des Exchange 2000 Servers aus. Dies sind:

  • Config DC - Local Domain Controller zum Lesen und Schreiben von Konfigurationsdaten
  • Working DCs - Bis zu zehn domain controller für lokale Suchen in der Domäne
  • Working GCs - Bis zu zehn global catalog server für forestweite Suchen

Hinter jedem Server werden die Statusanzeigen uP, DOWN, FAST (antwortet auf LDAP Anfragen in unter fünf Sekunden), IN SYNC (voll repliziert ).

DSACLS

In den Windows 2000 Support Tools ist das Programm DSACLS, mit dem Sie Rechte auf Verzeichnisobjekte anzeigen oder verändern können. Aufgrund der "Gefahr" eines solchen Programms ohne ausreichende Kenntnis werde ich hier keine Beispiele für den Einsatz bieten. Wer selbst testen möchte, mögen die Beispiele in folgenden TechNet-Artikeln weiterhelfen

  • Q292304 How to Prevent Windows 2000 Users from Changing Personal Detail
  • Q294257 "Failed to Open the Group Policy Object" Error Message Occurs
  • Q279723 How to Grant Help Desk the Specific Right to unlock Locked User
  • Q300444 XADM: Recovering Permissions on Public Folders When Deny Is Set

ACLDIAG Rechte des AD rausschreiben

ACLDIAG ist speziell mit Exchange 2000 interessant, da es die Rechte auf Objekte im Active Directory kontrolliert und bei Aufforderung auch zurücksetzt. Allerdings fällt dies schon wieder in den Bereich der fortgeschrittenen Administration, so dass hier hier dieses Programm und den Einsatz nicht beschreiben werden.

DSASTAT Active Directory Vergleichen

DSASTAT ist ebenfalls für die Personen interessant, die AD einsetzen und nicht sicher sind, ob alles korrekt ist. Auch wenn der Replikationsmonitor anzeigt, dass alle Server "synchron" sind, ist das keine Sicherheit, dass alle Server auch den gleichen Stand haben. Es gibt Fehler im Active Directory (z.B. Infrastrukturmaster auf Globalem Katalog, DCs, die länger als die Tombstonezeit offline sind), bei denen das AD nicht mehr aktuell ist.

DSASTAT erlaubt es, zwei Domain Controller binär zu vergleichen, d.h. den wahren Inhalt der gewählten Partition mit einem anderen Server zu vergleichen und unterschiede zu melden.

DSASTAT erlaubt weiterhin auch eine statistische Auswertung des AD, so dass sie endlich auslesen können, wie viele Bytes in ihrer Active Directory Datenbank nun in Realität gespeichert sind und wie viele davon auf Benutzer, auf Gruppen oder andere Objekte entfallen.