Richtlinien für die Konfiguration von Windows 2000-Domänencontrollern

SPRACHE AUSWÄHLEN SPRACHE AUSWÄHLEN
Artikel-ID: 216899 - Produkte anzeigen, auf die sich dieser Artikel bezieht
Dieser Artikel wurde zuvor veröffentlicht unter D216899
Dieser Artikel ist eine Übersetzung des folgenden englischsprachigen Artikels der Microsoft Knowledge Base:
216899 Best practice methods for Windows 2000 domain controller setup
Bitte beachten Sie: Bei diesem Artikel handelt es sich um eine Übersetzung aus dem Englischen. Es ist möglich, dass nachträgliche Änderungen bzw. Ergänzungen im englischen Originalartikel in dieser Übersetzung nicht berücksichtigt sind. Die in diesem Artikel enthaltenen Informationen basieren auf der/den englischsprachigen Produktversion(en). Die Richtigkeit dieser Informationen in Zusammenhang mit anderssprachigen Produktversionen wurde im Rahmen dieser Übersetzung nicht getestet. Microsoft stellt diese Informationen ohne Gewähr für Richtigkeit bzw. Funktionalität zur Verfügung und übernimmt auch keine Gewährleistung bezüglich der Vollständigkeit oder Richtigkeit der Übersetzung.
Alles erweitern | Alles schließen

Auf dieser Seite

Zusammenfassung

Bevor Sie Microsoft Windows 2000-Domänencontroller und Mitgliedserver in Betrieb nehmen, sollte die Konfiguration dieser Server vom Systemadministrator überprüft werden. Diese Checkliste erläutert einige der Bereiche, auf die Sie Ihr Augenmerk richten sollten. Einige der hier erwähnten Themen erfordern möglicherweise, dass Sie sich ausführlicher aus weiteren Quellen informieren.

Weitere Informationen

Überprüfen des Installations- und Startvorgangs in der Ereignisanzeige

Prüfen Sie die Ereignisanzeige (Eventvwr.msc) auf Fehler- und Warnmeldungen im Zusammenhang mit dem Installations- und Startvorgang. Beheben Sie komponenten- und dienstbezogene Probleme nach Bedarf.

Festlegen der Größe und der Aktualisierungseinstellung des Ereignisprotokolls

Die Größe und die Aktualisierungseinstellung des Ereignisprotokolls (bei Bedarf überschreiben, Protokoll manuell löschen oder nach n Tagen überschreiben) muss entsprechend den Geschäfts- und Sicherheitsanforderungen festgelegt werden. Erstellen Sie beispielsweise eine Systemrichtlinie auf Standort-, Domänen- oder OU-Ebene, die die entsprechende Konfiguration implementiert.

Überprüfen des Dienststarts

Stellen Sie im Ordner für Dienste des Snap-Ins "Computerverwaltung" fest, ob alle Dienste in der Spalte "Start", die auf "Automatisch" gesetzt sind, ohne Eingreifen des Benutzers oder mehrfache Neuversuche gestartet wurden.

Deaktivieren nicht benötigter Dienste

Setzen Sie den Startwert für nicht benötigte oder nicht verwendete Dienste auf "Manuell". Folgende Dienste sollten überprüft werden:
  • Der Druckerwarteschlangendienst für Computer, die keine Drucker freigeben bzw. nicht auf Drucker zugreifen. (Der Druckerwarteschlangendienst muss auf mindestens einem Domänencontroller ausgeführt werden, damit die automatische Verwaltung von Druckerobjekten im Active Directory ordnungsgemäß funktioniert.) Weitere Informationen finden Sie im folgenden Artikel der Microsoft Knowledge Base:
    246269 Anforderungen des Directory Services Printer Pruner in dem Unternehmen für Richtige Funktion
  • Die Nachrichten- und Warndienste auf allen Servern.
Erstellen Sie beispielsweise eine Systemrichtlinie auf Standort-, Domänen- oder OU-Ebene, die die gewünschte Dienstkonfiguration implementiert.

Optimieren der Serverdienste

Legen Sie die Einstellung "Serveroptimierung" im Tool "Netzwerk" der Systemsteuerung entsprechend der Funktion fest, die der Computer in Ihrer Organisation haben wird. Dies gilt insbesondere für Computer, die bei der Konsolidierung von Domänen von einem Domänencontroller zu einem Mitgliedsserver heraufgestuft werden. Der Serverdienst für dedizierte Terminaldienste- oder IIS-Server sollte mithilfe der Einstellung "Datendurchsatz für Netzwerkanwendungen maximieren" optimiert werden.

Überprüfen der IP-, DNS-, WINS- und Standardgateway-Einstellungen

Geben Sie an einer Eingabeaufforderung den Befehl IPCONFIG /ALL ein, um die korrekte Konfiguration von IP, DNS, WINS und dem Standardgateway zu überprüfen. Bei Windows 2000-Servern (inbesondere Domänencontroller), die WINS-Clients sind, aber außerdem den WINS-Serverdienst ausführen, müssen beide WINS-Adressen entweder auf diesen Server oder auf einen entfernten WINS-Server verweisen, um eine fehlerhafte Registrierung zu vermeiden.

Prüfen der Netzwerkkonnektivität und der DNS\WINS-Registrierung mit "Netdiag"

Geben Sie an einer Eingabeaufforderung netdiag /v >c:\netdiag.ttmmjj .txt ein. Hierbei steht ttmmjj für das heutige Datum. Überprüfen Sie die Textdatei auf gute Netzwerkkonnektivität und DNS\WINS-Registrierung. Speichern Sie diese Datei in einem lokalen Ordner auf allen Servern, damit sie angezeigt werden kann, wenn Änderungen an der Serverkonfiguration vorgenommen oder Netzwerkprobleme festgestellt wurden. Aktualisieren Sie sie, nachdem Sie Änderungen vorgenommen haben.

Anzeigen des vollqualifizierten Computernamens

Geben Sie an einer Eingabeaufforderung den Befehl net config rdr ein, um den vollqualifizierten Computernamen anzuzeigen. Vergleichen Sie das Ergebnis mit dem Active Directory-Namen, um entsprechende Übereinstimmungen oder Abweichungen festzustellen.

Größe und Speicherort der Auslagerungsdatei

Legen Sie die Größe und den Speicherort der Auslagerungsdatei auf der Grundlage der Größe des Arbeitsspeichers und der Serverauslastung fest. Die Größe der Auslagerungsdatei kann von RAM-Größe + 12 MB bis RAM-Größe * 2 variieren. Bei wichtigen Servern sollte eine Auslagerungsdatei in der Größe des RAM-Speichers oder größer auf der gleichen Partition wie das Betriebssystem abgelegt werden, damit Speicherabbilder aufgezeichnet werden können. Um die Performance zu optimieren, kann die Auslagerungsdatei auch auf einem physikalischen Laufwerk abgelegt werden, das von dem Laufwerk getrennt ist, auf dem sich Windows NT befindet. Sie kann auch in einem Festplattenarray abgelegt oder auf mehrere physikalische Laufwerke verteilt werden, die im Umlauf geschrieben und gelesen werden, bis der verfügbare Speicherplatz verbraucht ist.
Weitere Informationen finden Sie im folgenden Artikel der Microsoft Knowledge Base:
197379 Konfigurieren von Auslagerungsdateien für die Optimierung und Wiederherstellung unter Windows Server 2003, Windows 2000 und Windows NT

Hinzufügen der Option /DEBUG zur Datei Boot.ini

Fügen Sie die Befehlszeilenoption /DEBUG zur Datei Boot.ini hinzu, um eine Post-Mortem-Fehlerbehandlung auf Ihren Servern zu ermöglichen. Durch das Hinzufügen dieser Befehlszeilenoption wird die Serverperformance zwar um 2-3 Prozent verringert, jedoch wird hierdurch ein Debugging-Tool zur Post-Mortem-Fehlerbehandlung aktiviert, wenn ein Systemabsturz auftritt. Weitere Informationen finden Sie in folgendem Artikel der Microsoft Knowledge Base:
121543 Einrichten für das Debuggen in Remotetests
Behalten Sie stets übereinstimmende Symboldateien für das Hauptbetriebssystem, die Service Packs und Hotfixes auf dem Server bei.

FSMO-Verfügbarkeit und -Platzierung

Windows NT führt eine erste Platzierung der Funktionen auf Domänencontrollern durch. Diese Platzierung ist in der Regel korrekt für Verzeichnisse mit wenigen Domänencontrollern. In einem Verzeichnis mit vielen Domänencontrollern ist die Standardplatzierung sehr wahrscheinlich nicht optimal auf Ihr Netzwerk abgestimmt. Eine Erläuterung der Platzierung von DFSMO-Funktionen geht zwar über den Rahmen dieses Dokuments hinaus, jedoch ist die folgende allgemeingültige Regel zu nennen:
  • Der Schemamaster und die Domänennamen-Masterfunktion sollten auf demselben Domänencontroller platziert werden, da diese Funktionen selten verwendet werden und streng kontrolliert werden sollten.
  • Der Infrastrukturmaster sollte sich nicht auf demselben Domänencontroller wie der RID-Master und die PDC-Emulatorfunktionen befinden, wenn der Domänencontroller auch ein GC-Server ist. Vor allem müssen Sie mithilfe einer der Verwaltungskonsolen (wie beispielsweise Dsa.msc oder Ntdsutil.exe) überprüfen, ob alle FSMO-Funktionen verfügbar sind.
Weitere Informationen finden Sie im folgenden Artikel der Microsoft Knowledge Base:
223346 FSMO-Platzierung und -Optimierung auf Windows 2000-Domänen

Erstellen einer Sicherungskopie des DS und der wichtigsten Dienste

Verwenden Sie die Option für die automatische Systemwiederherstellung von Windows 2000 Backup oder eine äquivalente Option, um eine Sicherungskopie des Systems zu erstellen. Erstellen Sie einen Sicherungsprozess für den Verzeichnisdienst sowie alle wichtigen Dienste, und halten Sie ihn bereit.

Üben Sie die Wiederherstellung des gesamten Computers sowie die autorisierende und nicht autorisierende Wiederherstellung des DS und einzelner Dienste in einer Testumgebung, in der die Infrastruktur Ihres Produktionsnetzwerks hinsichtlich von Geschwindigkeit, Kapazität und Hardware emuliert wird.

Erstellen Sie mithilfe von Ntbackup.exe oder einem anderen Windows 2000-Active Directory-kompatiblen Dienstprogramm eine Sicherungskopie des Systemzustands. Speichern Sie eine Kopie des Sicherungsabbilds auf dem lokalen Laufwerk jedes heraufgestuften Domänencontrollers, und verwahren Sie eine Kopie an einem anderen Standort. Computerkonten, NTDS-Einstellungsobjekte und der Active Directory-/Dateisystem-Bereich der Systemrichtlinien können im Fall einer Löschung nicht wiederhergestellt werden. Wenn Sie feststellen, dass ein wichtiges Objekt gelöscht wurde, entfernen Sie Replikatdomänencontroller, insbesondere an Remotestandorten, die die Löschung aus dem Netzwerk nicht repliziert haben, damit eine autorisierende Wiederherstellung durchgeführt werden kann. Microsoft empfiehlt die Sicherung der folgenden Elemente:
  • Domänencontroller in der Stammdomäne der Gesamtstruktur
  • Domänencontroller in Domänen mit untergeordneten Domänen
  • Computerkontenobjekte für alle Domänencontroller in der Gesamtstruktur
  • Standarddomänen- und Standarddomänencontroller-Richtlinien im Active Directory und die Freigabe SYSVOL für alle Domänen in der Gesamtstruktur

EFS-Wiederherstellungsrichtlinie

Erstellen Sie einen Plan für die Speicherung und Wiederherstellung von EFS-Zertifikaten (Encrypted File System, EFS), die die Sicherheit und den Personalzugriff in Zeiten berücksichtigen, in denen diese wahrscheinlich benötigt werden. Server werden in der Regel außerhalb von Spitzenzeiten neu erstellt. Dies erfolgt normalerweise 6-36 Monate nach der ursprünglichen Bereitstellung.

Kennwortrichtlinie für die Offline-Sicherheitskontenverwaltung

Weitere Informationen zu diesem Thema finden Sie in den folgenden Artikeln der Microsoft Knowledge Base:
223301 Schutz des Administratorkontos in der Offline-Sicherheitskontenverwaltung

Eigenschaften

Artikel-ID: 216899 - Geändert am: Freitag, 26. Oktober 2007 - Version: 5.1
Die Informationen in diesem Artikel beziehen sich auf:
  • Microsoft Windows 2000 Server
  • Microsoft Windows 2000 Advanced Server
  • Microsoft Windows 2000 Professional Edition
  • Microsoft Windows 2000 Datacenter Server
Keywords: 
kbinfo kbproductlink KB216899
Microsoft stellt Ihnen die in der Knowledge Base angebotenen Artikel und Informationen als Service-Leistung zur Verfügung. Microsoft übernimmt keinerlei Gewährleistung dafür, dass die angebotenen Artikel und Informationen auch in Ihrer Einsatzumgebung die erwünschten Ergebnisse erzielen. Die Entscheidung darüber, ob und in welcher Form Sie die angebotenen Artikel und Informationen nutzen, liegt daher allein bei Ihnen. Mit Ausnahme der gesetzlichen Haftung für Vorsatz ist jede Haftung von Microsoft im Zusammenhang mit Ihrer Nutzung dieser Artikel oder Informationen ausgeschlossen.

Ihr Feedback an uns

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com