Während der Aktualisierung der Active-Directory-Domänencontroller auf Windows Server 2003 nehmen zwei Einzelbetriebsmaster, zusätzlich zu ihren eigentlichen Aufgaben, wichtige Rollen ein.
Diese Aufgaben werden durchgeführt wenn:
- die Einzelbetriebsmasterrolle von einem Windows 2000 Server auf einen Windows Server 2003 verschoben wird, oder wenn
- der Rolleninhaber durch ein In-Place-Update von Windows 2000 Server auf Windows Server 2003 aktualisiert wird.
PDC-Emulator
Der PDC-Emulator, den es ja einmal pro Domäne gibt, erzeugt neue Sicherheitsprinzipale. Bestens bekannt aus dieser Reihe ist ja die neue „Built-In“ Gruppe „Remote Destop Users“. Falls in Ihrer Domäne diese Gruppen fehlen, dann war noch nie ein Server 2003 Inhaber der PDC-Emulator-Einzelbetriebsmasterrolle.
Folgende Aufgaben werden durch den PDC-Emulator während der Aktualisierung der Domäne vorgenommen:
- Neue Sicherheitsprinzipale werden pro Domäne angelegt:
- Builtin\Remote Desktop Users
- Builtin\Network Configuration Operators
- Performance Monitor Users
- Performance Log Users
- Builtin\Incoming Forest Trust Builders
- Builtin\Performance Monitoring Users
- Builtin\Performance Logging Users
- Builtin\Windows Authorization Access Group
- Builtin\Terminal Service License Server
- Gruppenmitgliedschaften werden verändert:
- Falls die Gruppe „Everyone“ in der Gruppe „Pre-Windows 2000 Compatible Access“ Mitglied ist, dann werden zusätzlich die Gruppen „Anonymous Logon“ und „Authenticated Users“ aufgenommen
- Die Gruppe „Network Service“ wird Mitglied in der Gruppe „Performance Log Users“
- Die Gruppe „Enterprise Domain Controllers“ wird Mitglied in der Gruppe „Windows Authorization Access“
Wenn der PDC-Emulator einer Root-Domäne aktualisiert wird, dann werden weitere Sicherheitsprinzipale für den ganzen Forest angelegt:
- LocalService
- NetworkService
- NTLM Authentication
- Other Organziation
- Remote Interactive Logon
- SChannel Authentication
- This Organization
Domain-Naming-Master
Der Domain-Naming-Master, der einmal pro Forest existiert, erzeugt die Voraussetzungen für die bessere Konfiguration der Replikation der DNS Daten. Es handelt sich hierbei um die neuen Anwendungspartitionen „ForestDNSZones“ und „DomainDNSZones“ in denen DNS Daten gespeichert werden können.
Die Partition „ForestDNSZones“ wird hierbei zu allen DCs/DNS-Servern des ganzen Forest repliziert. Die „DomainDNSZones“ dagegen nur zu allen DC/DNS Server der Domäne.
Ein „dcpromo“ auf einem Windows Server 2003 speichert in dieser Partition die DNS-Zone „_msdcs.forestrootdomain.tld“. Diese wird damit im ganzen „Forest“ repliziert.
In der „DomainDNSZones“ Partition wird normalerweise die Zone „forestrootdomain.tld“ im Falle der „Root“ Domäne, oder die Zone „subdomain.forestrootdomain.tld“ im Falle einer Subdomäne gespeichert.
Mit dem Befehl ntdsutil/domain management/list kann nachvollzogen werden ob die DNS Anwendungspartitionen erzeugt worden sind
Abbildung 1 : DNS Anwendungspartitionen
Mit der DNS-MMC kann der Speicherort für DNS Zonendatenfestgelegt werden:
Abbildung 2 : DNS Konfiguration
http://faq-o-matic.net/?p=594