2.2 Active Directory onderhouden

AD DS is grotendeels een zeer robuuste en betrouwbare adreslijstservice en vereist weinig onderhoud. Het kan echter van tijd tot tijd nodig zijn om databasedefragmentatie uit te voeren om AD DS te optimaliseren. Om u te helpen beschermen tegen gegevensverlies of databasebeschadiging, moet u ook weten hoe u een back-up van AD DS maakt en deze herstelt.

U kunt alleen-lezen domeincontrollers (RODC’s) implementeren in filialen of andere locaties waar de fysieke serverbeveiliging niet kan worden gegarandeerd. Omdat de RODC een alleen-lezen kopie van AD DS onderhoudt, is het belangrijk dat u weet hoe u replicatie naar de RODC configureert en beheert, en hoe u een beleid voor wachtwoordreplicatie naar RODC’s in uw filialen beheert.

2.2.1 Beheer Active Directory offline

AD DS wordt opgeslagen in domeincontrollers in een database en een verzameling gerelateerde logbestanden.

EXAMEN TIP

U definieert de locatie van de database en gerelateerde bestanden tijdens de installatie van AD DS. Deze bestanden worden standaard opgeslagen in %SystemRoot%\NTDS.

De meeste AD DS-databasebewerkingen worden online uitgevoerd; dat wil zeggen dat de AD DS-service actief is en toegankelijk is op het netwerk. Sommige bewerkingen, zoals databaseonderhoud, moeten echter offline worden uitgevoerd. Dit betekent vaak dat u de domeincontroller opnieuw moet opstarten in de herstelmodus voor directoryservices (DSRM). Terwijl de server zich in DSRM bevindt, kan deze geen aanmeldingsverzoeken van clients verwerken en geen andere AD DS-taken uitvoeren. Om ervoor te zorgen dat uw netwerk correct blijft werken, moet u extra domeincontrollers hebben die directorygerelateerde services kunnen blijven leveren.

In Windows Server 2016 kunt u voor sommige databasegerelateerde taken ook de AD DS-service stoppen in plaats van de domeincontroller opnieuw op te starten in DSRM.

EXAMEN TIP

De mogelijkheid om AD DS op deze manier te stoppen, wordt herstartbare AD DS genoemd en is alleen beschikbaar in Windows Server 2012 en hoger.

Door herstartbare AD DS te gebruiken om onderhoudstaken uit te voeren, kunt u onderhoudstaken sneller voltooien, waardoor de uitvaltijd van uw domeincontroller wordt verminderd.

1.1.1.1      Voer offline defragmentatie van een AD DS-database uit

Wanneer u offline defragmentatie van de AD DS-database uitvoert, maakt u ongebruikte ruimte in de database beschikbaar voor het bestandssysteem. Na voltooiing van de defragmentatie beschikt u over een gecomprimeerde AD DS-database. U gebruikt het opdrachtregelprogramma NtdsUtil.exe om offline AD DS-databaseonderhoud uit te voeren.

Gebruik de volgende procedure om uw AD DS te comprimeren:

  1. Klik op uw domeincontroller in Serverbeheer op Tools en klik vervolgens op Services om de Services-console te openen.
  2. Stop de Active Directory Domain Services-service, zoals weergegeven in Afbeelding 2-17.
  3. U wordt gevraagd verwante services te stoppen, zoals DNS Server, Kerberos Key Distribution Center, Intersite Messaging en DFS Replication. Klik op Ja om deze services te stoppen.
  4. Open een verhoogde opdrachtprompt.
  5. Voer de opdracht NtdsUtil.exe uit.
  6. Voer de volgende opdrachten uit, weergegeven in Afbeelding 2-18:
    1. Activeer instantie NTDS
    1. Bestanden
    1. Compacteren naar C:\
    1. Integriteit
  7. Voltooi het databaseonderhoud door de volgende opdrachten uit te voeren achter de verhoogde opdrachtprompt:
    1. Stop
    1. Stop
    1. Kopieer C:\ntds.dit C:\Windows\NTDS\ntds.dit
    1. Del C:\Windows\NTDS\*.log
    1. Uitstappen
  8. Start de Active Directory Domain Services in de Services-console. Ook worden aanverwante diensten gestart.

1.1.1.2      Voer metadata-opschoning uit

Het opschonen van metagegevens is een taak die u moet uitvoeren nadat u een domeincontroller met geweld uit uw AD DS-forest hebt verwijderd, mogelijk na een serverstoring. De metagegevens identificeren de domeincontroller in AD DS. Als dit niet wordt opgeschoond, kan dit van invloed zijn op AD DS-replicatie en op de Distributed File System (DFS)-replicatie.

U kunt metagegevens opschonen met behulp van Active Directory: gebruikers en computers en Active Directory-sites en -services. U kunt ook het opdrachtregelprogramma NtdsUtil.exe gebruiken.

Grafische hulpmiddelen gebruiken

Gebruik de volgende procedure om AD DS-metagegevens op te schonen met behulp van grafische hulpprogramma’s:

  1. Klik op een domeincontroller in Serverbeheer op Tools en klik vervolgens op Active Directory: gebruikers en computers.
  2. Navigeer naar de map Domeincontrollers, klik met de rechtermuisknop op de domeincontroller die u eerder uit het domein hebt verwijderd en klik vervolgens op Verwijderen. Klik op Ja om de bewerking te bevestigen.
  3. Schakel in het dialoogvenster Domeincontroller verwijderen, weergegeven in Afbeelding 2-19, het selectievakje Deze domeincontroller toch verwijderen in en klik op Verwijderen.
  4. Als de domeincontroller een Global Catalog-server is, klikt u op Ja om de verwijdering te bevestigen.
  5. Als de verwijderde domeincontroller een of meer operations-masterrollen heeft, moet u de rollen verplaatsen naar een online domeincontroller. Klik op OK om de rollen naar de voorgestelde domeincontroller te verplaatsen. U kunt geen andere domeincontroller gebruiken dan degene die wordt voorgesteld door het verwijderingsproces. Als u een andere domeincontroller wilt gebruiken om de operations-masterrollen te hosten, moet u deze verplaatsen nadat u het opschoonproces voor metagegevens hebt voltooid. U kunt meer lezen over het overdragen van operations-masterrollen in Vaardigheid 1.1: Domeincontrollers installeren en configureren, in de sectie Operations-masterrollen overdragen en overnemen.
  6. Klik in Serverbeheer op Extra en klik vervolgens op Active Directory-sites en -services.
  7. Navigeer naar het site-object dat uw verwijderde domeincontroller bevat. Vouw de map Servers uit en zoek de server die u hebt verwijderd.
  8. Selecteer de NTDS-instellingen. Klik met de rechtermuisknop op het knooppunt NTDS-instellingen en klik vervolgens op Verwijderen, zoals weergegeven in Afbeelding 2-20.
  9. Klik in het dialoogvenster Active Directory Domain Services op Ja om de verwijdering te bevestigen.
  10. Schakel in het dialoogvenster Domeincontroller verwijderen het selectievakje Deze domeincontroller toch verwijderen in en klik vervolgens op Verwijderen.
  11. Als de domeincontroller een globale-catalogusserver is, klikt u in het dialoogvenster Domeincontroller verwijderen op Ja.
  12. Als de verwijderde domeincontroller een of meer operations-masterrollen heeft, moet u de rollen verplaatsen naar een online domeincontroller. Klik op OK om de rollen naar de voorgestelde domeincontroller te verplaatsen. U kunt geen andere domeincontroller gebruiken dan degene die wordt voorgesteld door het verwijderingsproces. Als u een andere domeincontroller wilt gebruiken om de operations-masterrollen te hosten, verplaatst u deze nadat u het opschoonproces voor metagegevens hebt voltooid.
  13. Klik ten slotte in de navigatieconsole met de rechtermuisknop op de domeincontroller die geforceerd is verwijderd en klik vervolgens op Verwijderen. Klik op Ja om de bewerking te bevestigen.

NtdsUtil.exe gebruiken

U kunt ook het opdrachtregelprogramma NtdsUtil.exe gebruiken bij een opdrachtprompt met verhoogde bevoegdheid om de voorgaande taak te voltooien. Tijdens dit proces moet u de doeldomeincontroller selecteren door eerst het domein en de site te selecteren. Gebruik de volgende procedure om de taak te voltooien:

  1. Voer de opdracht NtdsUtil.exe uit.
  2. Voer de volgende opdrachten in volgorde uit, zoals weergegeven in Afbeelding 2-21:
    1. Metadata opschonen
    1. Aansluitingen
    1. Maak verbinding met server <servernaam> (waarbij <servernaam> een online domeincontroller is)
    1. Stop
    1. Selecteer Operatiedoel
    1. Maak een lijst van domeinen
    1. Selecteer Domein X (waarbij X het domein is dat de domeincontroller bevat die u met geweld hebt verwijderd)
    1. Maak een lijst van sites
    1. Selecteer Vestiging Y (waarbij Y de site is die de domeincontroller bevat die u met geweld hebt verwijderd)
    1. Maak een lijst van servers op de site
    1. Selecteer Server Z (waarbij Z de offline domeincontroller is die u wilt verwijderen)
    1. Stop
    1. Verwijder geselecteerde server
    1. Klik in het venster Server Remove Confirmation Dialog op Yes om het proces te voltooien.
    1. Stop

1.1.2      Back-up en herstel van Active Directory

AD DS is een kritieke service en daarom is het belangrijk dat u weet hoe u deze kunt beschermen tegen gegevensverlies en corruptie. U kunt AD DS helpen beschermen door de prullenbak van Active Directory te implementeren en door een geschikte back-up- en herstelprocedure te implementeren

1.1.2.1      Configure and restore objects by using the Active Directory Recycle Bin

De eerste beschermingslijn tegen gegevensverlies in AD DS is de Active Directory Prullenbak. Om de Prullenbak van Active Directory in te schakelen, klikt u in het Beheercentrum van Active Directory, weergegeven in Afbeelding 2-22, in de lijst Taken op Prullenbak inschakelen. U kunt ook de cmdlet Windows PowerShell Enable-ADOptionalFeature gebruiken.

EXAMEN TIP

Als u de Prullenbak van Active Directory eenmaal hebt ingeschakeld, kunt u deze niet meer uitschakelen.

Nadat u de Prullenbak van Active Directory hebt ingeschakeld, ziet u een container Verwijderde objecten in het Active Directory-beheercentrum. Wanneer u AD DS-objecten verwijdert, worden ze opgeslagen in de map Verwijderde objecten, weergegeven in Afbeelding 2-23.

Voer object- en containerherstel uit

Om een verwijderd object te herstellen, klikt u in de map Verwijderde objecten met de rechtermuisknop op een verwijderd object en klikt u vervolgens op Herstellen of Herstellen naar. Als u Herstellen kiest, kunt u het object herstellen naar de oorspronkelijke locatie in AD DS. Met de optie Herstellen naar kunt u een alternatieve locatie voor het object opgeven. Wanneer u een verwijderd object herstelt uit de Prullenbak van Active Directory, worden alle kenmerken van het object hersteld, inclusief groepslidmaatschappen en toegangsrechten.

Verwijderde objecten kunnen standaard 180 dagen na verwijdering worden hersteld. U kunt deze waarde echter opnieuw configureren door de tombstoneLifetime- en msDS-DeletedObjectLifetime-waarden te wijzigen met behulp van Windows PowerShell. Als u bijvoorbeeld de herstelperiode wilt wijzigen in 30 dagen in het Adatum.com-domein, voert u de volgende twee opdrachten uit:

Set-ADObject -Identity “CN=Directory Service,CN=Windows NT,CN=Services,CN=Configur ation,DC=Adatum,DC=com” –Partition “CN=Configuration,DC=Adatum,DC=com” –Replace:@{“tombstoneLifetime” = 30}

Set-ADObject -Identity “CN=Directory Service,CN=Windows NT,CN=Services,CN=Configurati on,DC=Adatum,DC=com” –Partition “CN=Configuration,DC=Adatum,DC=com” –Replace:@{“msDS- DeletedObjectLifetime” = 30}

1.1.2.2      Active Directory-snapshots configureren

Een Active Directory-momentopname is een kopie van de status van AD DS op een bepaald punt. U kunt momentopnamen maken met behulp van het opdrachtregelprogramma NtdsUtil.exe met behulp van de volgende procedure:

  1. Open een verhoogde opdrachtprompt op een domeincontroller.
  2. Voer NtdsUtil.exe uit en voer vervolgens de volgende opdrachten uit, in deze volgorde, om het proces te voltooien:
    1. Activeer instantie NTDS
    1. Momentopname
    1. Maken
    1. Maak een lijst van alle
    1. Stop

Nadat u een momentopname hebt gemaakt, kunt u deze onderzoeken door NtdsUtil.exe te gebruiken om de momentopname te koppelen. Nadat u het hebt aangekoppeld, kunt u Active Directory: gebruikers en computers gebruiken om de momentopname te bekijken. Gebruik de volgende procedure om een snapshot te koppelen:

  1. Open een verhoogde opdrachtprompt op een domeincontroller.
  2. Voer NtdsUtil.exe uit en voer vervolgens de volgende opdrachten uit, in deze volgorde, om het proces te voltooien:
    1. Activeer instantie NTDS
    1. Momentopname
    1. Maak een lijst van alle
    1. Mount <GUID> (waarbij <GUID> de unieke identiteit is van de snapshot die u wilt mounten)
    1. Stop
    1. Stop
  3. Voer de volgende opdracht uit bij de verhoogde opdrachtprompt:
    1. dsamain -dbpath c:\$snap_datetime_volumec$\windows\ntds\ntds.dit -ldapport 50000

Laat de opdracht dsamain.exe draaien en voltooi de volgende procedure om een momentopname te bekijken:

  1. Open vanuit Serverbeheer Active Directory: gebruikers en computers.
  2. Klik met de rechtermuisknop op het hoofdknooppunt en klik vervolgens op Domeincontroller wijzigen.
  3. Klik in het dialoogvenster Directoryserver wijzigen op <Typ hier een directoryservernaam[:poort]>.
  4. Typ de naam van de domeincontroller gevolgd door het poortnummer dat u eerder hebt opgegeven. Typ bijvoorbeeld LON-DC1:50000, druk op Enter en klik op OK.

U kunt nu de aangekoppelde momentopname bekijken. Wanneer u klaar bent met het bekijken van de momentopname, gebruikt u de opdracht NtdsUtil.exe om de momentopname te ontkoppelen:

  1. Voer in NtdsUtil.exe de volgende opdrachten uit:
    1. Activeer instantie NTDS
    1. Momentopname
    1. Ontkoppel <GUID>
    1. Stop
    1. Stop

1.1.2.3      Maak een back-up van Active Directory en SYSVOL

Hoewel nuttig, kunt u niet vertrouwen op de Active Directory Prullenbak of AD DS-snapshots als middel om AD DS-herstel te bieden. Geen van deze methoden kan ook helpen bij het beschermen van de gegevens die zijn opgeslagen in SYSVOL.

EXAMEN TIP

SYSVOL is een map die wordt onderhouden door alle domeincontrollers in uw forest en bevat scripts en aan groepsbeleid gerelateerde bestanden.

Om bescherming te bieden tegen gegevensverlies of beschadiging van AD DS, kunt u overwegen een back-up- en hersteloplossing te implementeren. U kunt de Windows Server Backup-functie gebruiken om deze oplossing te bieden.

Windows Server Backup bestaat uit een opdrachtregelprogramma, Wbadmin.exe, en een grafische console die u kunt gebruiken om een back-up te maken van AD DS en deze indien nodig te herstellen.

Om de Windows Server Backup-functie te installeren, kunt u Serverbeheer gebruiken, zoals weergegeven in Afbeelding 2-24.

Met Windows Server Backup kunt u de volgende typen back-ups uitvoeren:

  • Bare Metal Recovery – In het geval van een totale serverstoring, bijvoorbeeld na het verlies van een fysieke harde schijf, kunt u een bare metal recovery-back-up gebruiken om een server volledig te herstellen tot het punt waarop de back-up werd uitgevoerd.
  • Systeemstatus – De systeemstatus bestaat uit de configuratie van de server, inclusief de geïnstalleerde rollen en functies. Dit omvat de AD DS-database en SYSVOL-inhoud.
  • Geselecteerde volumes – Hiermee kunt u een back-up maken van specifieke mappen of zelfs bestanden.

Na het installeren van de Windows Server Backup-functie kunt u Windows Server Backup gebruiken om een back-up te maken van AD DS met behulp van de volgende procedure.

  1. Klik op uw domeincontroller op Start, wijs Windows-accessoires aan en klik vervolgens op Windows Server Backup.
  2. Klik in Windows Server Backup in het navigatievenster met de rechtermuisknop op Lokale back-up en klik vervolgens op Eenmalige back-up.
  3. Klik in de wizard Back-up eenmalig op de pagina Back-upopties op Verschillende opties en klik op Volgende.
  4. Klik op de pagina Back-upconfiguratie selecteren op Aangepast en klik vervolgens op Volgende.
  5. Klik op de pagina Items selecteren voor back-up op Items toevoegen.
  6. Schakel in het dialoogvenster Items selecteren het selectievakje Systeemstatus in, zoals weergegeven in Afbeelding 2-25, en klik vervolgens op OK.
  7. Klik op de pagina Items selecteren voor back-up, weergegeven in Afbeelding 2-26, op Volgende.
  8. Selecteer de bestemming op de pagina Bestemmingstype specificeren. Kies tussen Lokale stations en Externe gedeelde map. Klik volgende.
  9. Als u een externe map hebt geselecteerd, typt u op de pagina Externe map opgeven in het vak Locatie de UNC-naam voor de gedeelde map die u als back-updoel wilt gebruiken, zoals weergegeven in Afbeelding 2-27.
  10. Klik in het gedeelte Toegangsbeheer op Niet overnemen of Overnemen. Deze instelling bepaalt wie toegang heeft tot de doelback-upbestanden. Als u de toegang wilt beperken tot de gebruiker die de back-up uitvoert, klikt u op Niet overnemen en vervolgens op Volgende. Anders, om de back-up toegankelijk te maken voor iedereen met machtigingen voor de externe map, klikt u op Overnemen en vervolgens op Volgende.
  11. Klik op de bevestigingspagina op Back-up.

1.1.2.4      Voer Active Directory-herstel uit

Afhankelijk van de situatie varieert de manier waarop u uw AD DS herstelt. Als een domeincontroller bijvoorbeeld niet meer beschikbaar is, maar u beschikt over een of meer andere domeincontrollers voor hetzelfde domein, kunt u eenvoudig de domeincontroller verwijderen, de metagegevens opschonen en een nieuwe domeincontroller implementeren om de defecte controller te vervangen.

U kunt echter besluiten dat u de AD DS liever op een domeincontroller wilt herstellen dan de servereenheid te vervangen; misschien omdat het andere apps, services of gegevens bevat die u niet gemakkelijk kunt vervangen. Of misschien omdat u slechts een paar verwijderde objecten wilt herstellen. In deze situatie kunt u een AD DS-herstelbewerking uitvoeren.

Wanneer u AD DS herstelt, is het belangrijk om rekening te houden met de aard van de database; het is een multimaster-database, wat betekent dat zelfs als één domeincontroller offline is, er nog steeds wijzigingen kunnen plaatsvinden op andere instanties van de database op andere domeincontrollers. Als u de AD DS-database gewoon herstelt naar een tijdstip waarop u voor het laatst een back-up hebt gemaakt, wordt dat tijdstip overschreven door AD DS-replicatie van andere domeincontrollers wanneer de herstelbewerking is voltooid. Dit kan wenselijk zijn; tenslotte, als er wijzigingen zijn geweest sinds de laatste back-up, wilt u deze meestal opnemen.

Als u echter slechts een deel van uw AD DS probeert te herstellen, wilt u deze niet overschrijven met gerepliceerde wijzigingen. In plaats van een defecte domeincontroller aan te pakken, probeert u bijvoorbeeld objecten te herstellen die per ongeluk zijn verwijderd. Als u een back-upbewerking hebt uitgevoerd en later per ongeluk een AD DS-object hebt verwijderd, wordt die verwijdering gerepliceerd na uw herstelbewerking.

Om dit probleem te verhelpen, kunt u niet-gemachtigde herstelbewerkingen of gezaghebbende herstelbewerkingen uitvoeren. Het gebruik van een bindend herstel betekent dat de herstelde gegevens niet worden overschreven door gerepliceerde wijzigingen.

EXAMEN TIP

Als u de Prullenbak van Active Directory hebt ingeschakeld, kunt u objecten uit de map Verwijderde objecten herstellen als alternatief voor bindend herstel.

Om een niet-authoratieve AD DS-herstelbewerking uit te voeren, start u uw domeincontroller in DSRM. Open vervolgens de Windows Server Backup-console en gebruik de herstelwizard om de systeemstatusgegevens van een eerdere back-up te herstellen. Dit is een eenvoudige procedure. Start vervolgens uw domeincontroller normaal. Wijzigingen die zijn aangebracht sinds de laatste back-up worden nu gerepliceerd naar de domeincontroller.

Om een gezaghebbende AD DS-herstelbewerking uit te voeren, start u de domeincontroller in DSRM, herstelt u de systeemstatus en opent u een opdrachtprompt met verhoogde bevoegdheid. Voer bij de opdrachtprompt de opdracht NtdsUtil.exe uit. Voer vervolgens de volgende opdrachten uit:

  • ■ Gemachtigd herstellen
  • ■ Herstel object <object DN>

De DN van het object ziet er ongeveer zo uit: CN=Adam ,OU=Sales,DC=adatum,DC=com. Start uw domeincontroller normaal opnieuw op. Als u een volledige OE als gezaghebbend wilt markeren, voert u bij de NtdsUtil.exe-prompt de volgende opdrachten uit:

  • ■ Gemachtigd herstellen
  • ■ Herstel substructuur <object DN>

De object(en) die als gezaghebbend zijn gemarkeerd, worden niet overschreven en worden door uw forest gerepliceerd vanaf de herstelde domeincontroller.

1.1.3      Manage Read Only Domain Controllers

Een RODC is een domeincontroller die een alleen-lezen exemplaar van AD DS bevat. U kunt RODC’s gebruiken om domeincontrollers te implementeren in kantoren waar de fysieke beveiliging niet kan worden gegarandeerd.

1.1.3.1      Configureer wachtwoordreplicatiebeleid voor RODC

RODC’s slaan standaard geen gevoelige wachtwoordgerelateerde informatie op. Wanneer een gebruiker zich aanmeldt, stuurt de RODC het aanmeldingsverzoek daarom door naar een beschrijfbare domeincontroller binnen uw organisatie.

Om de bruikbaarheid te verbeteren, kunt u echter definiëren dat specifieke gebruikers- en computeraccounts in de cache op de RODC kunnen worden opgeslagen, waardoor lokale authenticatie kan plaatsvinden. U doet dit door een RODC-wachtwoordreplicatiebeleid te definiëren. Over het algemeen voegt u alleen de gebruikers en computers toe die zich op dezelfde lokale site als de RODC bevinden aan het replicatiebeleid.

Om een replicatiebeleid voor een RODC te configureren, gebruikt u twee Domain Local-beveiligingsgroepen:

  • Toegestane RODC-wachtwoordreplicatiegroep – Voeg gebruikers of computers toe aan deze groep zodat hun wachtwoorden in de cache op de RODC kunnen worden opgeslagen.
  • RODC-wachtwoordreplicatiegroep geweigerd – Voeg gebruikers of computers toe aan deze groep om te voorkomen dat hun wachtwoorden in de cache op de RODC worden opgeslagen.

EXAMEN TIP

Bovendien wordt de volgende lokale groepen ook geweigerd om wachtwoorden te repliceren: beheerders, serveroperators, back-upoperators en accountoperators.

Deze groepen worden automatisch gemaakt wanneer u een RODC implementeert en stellen u in staat om het wachtwoordreplicatiebeleid op alle RODC’s te configureren. Maar als u meerdere filialen heeft, en dus meerdere RODC’s, is het veiliger om voor elke RODC een afzonderlijke groep te configureren voor toegestane wachtwoordreplicatie. Verwijder in dit geval de Toegestane RODC-wachtwoordreplicatiegroep en voeg een groep toe die u handmatig hebt gemaakt, en voeg vervolgens de vereiste leden voor die vertakking toe. Gebruik de volgende procedure om deze taak te voltooien:

  1. Maak in Active Directory: gebruikers en computers een globale beveiligingsgroep die gebruikers en computers met machtigingen bevat.
  2. Zoek de OU van de domeincontrollers.
  3. Klik met de rechtermuisknop op uw RODC en klik op Eigenschappen.
  4. Verwijder in het dialoogvenster Eigenschappen op het tabblad Wachtwoordreplicatiebeleid, weergegeven in Afbeelding 2-28, de Toegestane RODC-wachtwoordreplicatiegroep.
  5. Klik op Toevoegen en klik, zoals weergegeven in Afbeelding 2-29, op Toestaan dat wachtwoorden voor de account naar deze RODC worden gerepliceerd voor de account die u aan het wachtwoordreplicatiebeleid toevoegt, en klik vervolgens op OK.
  6. Voer in het dialoogvenster Gebruikers, computers, serviceaccounts of groepen selecteren de groepsnaam in waarvan de ledenwachtwoorden moeten worden gerepliceerd naar deze RODC en klik vervolgens tweemaal op OK.
  7. Voeg de vereiste gebruikers en computers toe aan de groep die u zojuist hebt toegevoegd.

U kunt een vergelijkbare procedure uitvoeren om het serverspecifieke replicatiebeleid voor weigeren te wijzigen. Verwijder de geweigerde RODC-wachtwoordreplicatiegroep uit het wachtwoordreplicatiebeleid en voeg uw eigen groep toe met leden van wie de wachtwoorden niet naar de doel-RODC worden gerepliceerd.

U kunt de geavanceerde weergave op het tabblad Wachtwoordreplicatiebeleid gebruiken om te bekijken welke gebruikers- of computerwachtwoorden naar de RODC worden gerepliceerd. U kunt ook het effectieve beleid bepalen voor een geselecteerde gebruiker of computer. Gebruik de volgende werkwijze:

  1. Klik in Active Directory: gebruikers en computers, in de OU van domeincontrollers, met de rechtermuisknop op uw RODC en klik op Eigenschappen.
  2. Klik op het tabblad Wachtwoordreplicatiebeleid op Geavanceerd.
  3. Klik in het dialoogvenster Geavanceerd wachtwoordreplicatiebeleid op het tabblad Beleidsgebruik, weergegeven in Afbeelding 2-30, in de lijst Gebruikers en computers weergeven die aan de volgende criteria voldoen, op:
    1. Accounts waarvan de wachtwoorden zijn opgeslagen op deze alleen-lezen domeincontroller Hiermee kunt u zien van welke gebruikers en computers hun wachtwoorden in de cache op de RODC zijn opgeslagen.
    1. Accounts die zijn geverifieerd bij deze alleen-lezen domeincontroller Hiermee kunt u zien welke gebruikers en computers zich hebben aangemeld met de RODC.
  4. Gebruik de knop Wachtwoorden vooraf invullen om wachtwoorden op te halen voor vermelde gebruikers. Dit kan helpen de aanmeldingstijd voor geconfigureerde gebruikers te verkorten.
  5. Voeg op het tabblad Resulterend beleid gebruikers of computers toe om te bepalen wat het resulterende wachtwoordbeleid is voor de geselecteerde objecten. Dit is handig wanneer u meerdere Toestaan- of Weigeren-groepen hebt geconfigureerd op het tabblad Wachtwoordreplicatiebeleid.

1.1.4      AD DS-replicatie beheren

AD DS is een database die zich op Windows Server-domeincontrollers bevindt en uit meerdere partities bestaat. Dit zijn:

  • Schema – Een partitie op forestniveau die zelden verandert en het forestschema bevat.
  • Configuratie – Een partitie op forestniveau die ook zelden verandert en de configuratiegegevens voor het forest bevat..
  • Domein – Een domeinbrede partitie die regelmatig verandert, en een beschrijfbare kopie van de partitie wordt opgeslagen op alle domeincontrollers.

EXAMEN TIP

U kunt ook toepassingspartities maken en configureren. Deze slaan niet-domeingegevens op, zoals DNS-zone-informatie, en kunnen worden geconfigureerd om te repliceren naar gespecificeerde domeincontrollers.

Wijzigingen in de schema- en configuratiepartities komen niet vaak voor. Bijgevolg bestaat het grootste deel van het AD DS-replicatieverkeer uit wijzigingen in domeinpartities, zoals het maken van nieuwe objecten (gebruikers, groepen, computers) en het bijwerken van hun kenmerken (eigenschappen zoals wachtwoorden, groepslidmaatschappen, enzovoort). Als AD DS-beheerder is een van uw taken het bewaken en beheren van de replicatietopologie en het verkeer.

AD DS-replicatie is het proces waarbij de verschillende kopieën van de AD DS-database in uw forest worden gesynchroniseerd. Deze replica heeft de volgende kenmerken:

  • Multimaster – Met uitzondering van bepaalde specifieke elementen is AD DS een multimaster-database. In wezen betekent dit dat alle kopieën beschrijfbaar zijn en bijgewerkt kunnen worden. Dit biedt het voordeel dat single points of failure worden verwijderd en kan ook de prestaties verbeteren.
  • Pull gebaseerd – Op pull gebaseerde domeincontrollers halen wijzigingen op van hun replicatiepartners in plaats van wijzigingen door te voeren.
  • Fijnmazig – Om replicatieconflicten te voorkomen, is replicatie gebaseerd op attributen van objecten en niet op hele objecten. Dit verkleint de kans op een conflict dat anders zou kunnen optreden als hetzelfde object ongeveer tegelijkertijd op twee domeincontrollers wordt gewijzigd.
  • Site-aware – Omdat de meeste wijzigingen plaatsvinden in de domeinpartitie, vragen alle domeincontrollers binnen een domein om deze wijzigingen. Om langzamere netwerkverbindingen tussen locaties te helpen beheren, kunt u AD DS-sites configureren en vervolgens configureren hoe AD DS-replicatie tussen sites wordt afgehandeld. Dit staat bekend als intersite-replicatie.
  • Automatisch gegenereerde topologie – Windows Server genereert automatisch de AD DS-replicatietopologie, waardoor een veerkrachtige en efficiënte infrastructuur ontstaat. In veel gevallen hoeft u de topologie niet handmatig opnieuw te configureren.

Bij het bespreken van AD DS-replicatie is het nuttig om in gedachten te houden dat er twee soorten replicatie zijn:

  • Intrasite – Dit gebeurt tussen domeincontrollers op dezelfde AD DS-site. Windows Server beheert AD DS-replicatie in de veronderstelling dat snelle, persistente netwerken domeincontrollers binnen een site verbinden. Intrasite-replicatie vereist meestal weinig handmatige tussenkomst omdat Windows Server dit efficiënt automatisch beheert. U moet echter een geschikte AD DS-site-infrastructuur bedenken en implementeren en domeincontrollers op de juiste site plaatsen.
  • Intersite – Dit gebeurt tussen domeincontrollers op verschillende AD DS-sites. Windows Server beheert replicatie in de veronderstelling dat domeincontrollers mogelijk niet zijn verbonden via permanente hogesnelheidsnetwerken. U hebt meer handmatige controle over het replicatieproces, inclusief het interval en het schema.

1.1.4.1      Bewaken en beheren van replicatie

Intrasite-replicatie bestaat uit een netwerk van verbindingsobjecten tussen domeincontrollers, die replicatiepartners zijn. Verbindingsobjecten zijn op pull gebaseerde replicatiepaden in één richting tussen een domeincontroller en zijn replicatiepartner.

Een component genaamd Knowledge Consistentie Checker (KCC) genereert een geoptimaliseerde topologie voor replicatie door deze verbindingsobjecten automatisch te maken. Deze topologie bevat voldoende verbindingsobjecten om maximaal drie hops te maken tussen twee willekeurige domeincontrollers, waardoor vertragingen in de verspreiding van replicatiegegevens worden verminderd.

Als u een extra domeincontroller in een site implementeert, of omgekeerd, er een verwijdert, genereert de kennisconsistentiecontrole de replicatietopologie opnieuw om rekening te houden met de wijziging.

EXAMEN TIP

De kennisconsistentiecontrole wordt periodiek uitgevoerd, standaard elke 15 minuten.

Figuur 2-31 toont de verbindingsobjecten in de Default-First-Site-Name site in het domein Adatum.com.

Hoewel u desgewenst handmatig permanente verbindingsobjecten binnen een site kunt maken, is dit meestal niet nodig en wordt dit niet aanbevolen; dit komt doordat de kennisconsistentiecontrole geen handmatig gemaakte verbindingsobjecten evalueert. Het is waarschijnlijker dat u verbindingsobjecten moet maken en configureren om intersite-replicatie te beheren. Dit wordt besproken in Vaardigheid 2.3: Active Directory configureren in een complexe bedrijfsomgeving, in de sectie AD DS-sites en -subnetten configureren.

U kunt AD DS-replicatie bekijken en beheren met behulp van de Active Directory Sites and Services-tool, zoals weergegeven in Afbeelding 2-31. U kunt bijvoorbeeld replicatie forceren via een verbindingsobject tussen twee domeincontrollers door de volgende procedure te volgen:

  1. Navigeer in Active Directory Sites en Services naar het serverobject dat u wilt bijwerken.
  2. Klik onder het serverobject op het knooppunt NTDS-instellingen en klik in het detailvenster met de rechtermuisknop op het <automatisch gegenereerd>-object.
  3. Klik op Nu repliceren in het contextmenu. Dit haalt wijzigingen op van de aangewezen replicatiepartner.

U kunt ook Repadmin.exe en de opdrachtregelprogramma’s DcDiag.exe gebruiken:

  • Repadmin – Gebruik dit hulpprogramma om de status van replicatie op uw domeincontrollers te controleren of om de replicatietopologie opnieuw te configureren:
    • Geef de replicatiepartners voor een domeincontroller weer met behulp van repadmin /showrepl DC_LIST, zoals weergegeven in figuur 2-32. Vervang DC_LIST door de namen van uw domeincontroller(s). U kunt een sterretje als wildcard gebruiken.
    • Geef verbindingsobjecten voor een domeincontroller weer met behulp van repadmin /showconn DC_LIST.
    • Geef metagegevens over een object weer met behulp van repadmin /showobjmeta DC_LIST Object. Vervang object door de AD DS-DN-naam of GUID van uw object.
    • Start de kennisconsistentiecontrole met behulp van repadmin /kcc.
    • Forceer replicatie tussen partners door gebruik te maken van repadmin /replicate Destination_DC_ LIST Source_DC_Name Naming_Context.
    • Synchroniseer een domeincontroller met alle replicatiepartners door repadmin / syncall DC/A /e te gebruiken.
  • DcDiag – Gebruik Dcdiag.exe om tests uit te voeren tegen uw AD DS-replicatietopologie, zoals weergegeven in Afbeelding 2-33. U kunt ook verschillende parameters gebruiken om specifieke tests uit te voeren, waaronder: FrsEvent, DFSREvent, Intersite, KccEvent, Replicas, Topology en VerifyReplicas.

U kunt ook een aantal Windows PowerShell-cmdlets gebruiken, zoals weergegeven in 2, om replicatie in Windows Server 2016 te bewaken en te beheren.

OpdrachtBeschrijivng
Get-ADReplicationConnectionBiedt informatie over een opgegeven AD DS-replicatieverbinding(en) op basis van filters die u opgeeft
Get-ADReplicationFailureBiedt een beschrijving van een replicatiefout
Get-ADReplicationPartnerMetadataBiedt replicatiemetadata van een of meer replicatiepartners
Get-ADReplicationSiteBiedt informatie over een specifieke site(s) op basis van toegepaste filters
Get-ADReplicationSiteLinkBiedt informatie over een specifieke sitelink(s) op basis van toegepaste filters
Get-ADReplicationSiteLinkBridgeBiedt informatie over een of meer specifieke sitekoppelingsbruggen op basis van toegepaste filters
Get-ADReplicationSubnetBiedt informatie over een opgegeven subnet (s) op basis van toegepaste filters

1.1.4.2      Configureer replicatie naar RODC’s

RODC’s bestaan van nature op andere fysieke locaties dan beschrijfbare domeincontrollers. Meestal betekent dit dat ze zich op een andere AD DS-site bevinden. Daarom is elke configuratie van RODC-replicatie intersite in plaats van intrasite. Dit vereist dat u de site-objecten in AD DS correct hebt geconfigureerd en de domeincontrollers naar de juiste site(s) hebt verplaatst.

De kennisconsistentiecontrole maakt automatisch verbindingsobjecten voor RODC’s. Maar als u problemen ondervindt, gebruikt u het opdrachtregelprogramma Repadmin.exe om de kennisconsistentiecontrole te dwingen de topologie opnieuw te genereren. Gebruik de volgende procedure op hoog niveau:

  1. Voeg de site met de RODC toe aan een sitekoppeling en zorg ervoor dat de geselecteerde sitekoppeling ook een site bevat met een beschrijfbare domeincontroller.
  2. Forceer replicatie van de configuratiepartitie naar de RODC met behulp van Repadmin.exe.
  3. Genereer de replicatietopologie opnieuw met behulp van repadmin /kcc op de RODC.

1.1.4.3      Upgrade SYSVOL-replicatie naar Distributed File System-replicatie

SYSVOL-mappen bevinden zich in de map %SystemRoot%\SYSVOL op alle domeincontrollers en bevatten aanmeldingsscripts en groepsbeleidsjablonen. In eerdere versies van Windows Server gebruikt AD DS de File Replication Service (FRS) om de inhoud van de map SYSVOL tussen domeincontrollers te synchroniseren.

In Windows Server 2008 en nieuwer gebruikt u DFS-replicatie (DFSR) om SYSVOL-replicatie te beheren, ter vervanging van de FRS-replicatie-infrastructuur. DFSR biedt een efficiëntere en betrouwbaardere manier om SYSVOL te repliceren.

Als u uw domeincontrollers hebt geüpgraded vanaf Windows Server 2003, is het mogelijk dat ze FRS nog steeds gebruiken om SYSVOL te repliceren. U kunt dit controleren door het opdrachtregelprogramma Dfsrmig.exe als volgt te gebruiken:

  1. Open een verhoogde opdrachtprompt.
  2. Voer de opdracht Dfsrmig.exe /GetGlobalState uit.

Als het geretourneerde bericht de huidige globale status van DFSR: ‘Uitgeschakeld’ is, maakt uw SYSVOL-replicatie al gebruik van DFSR. Als u het bericht ontvangt dat de DFSR-migratie nog niet is geïnitialiseerd, moet u migreren naar DFSR. Tijdens de migratie doorloopt de configuratie vier fasen of toestanden:

  • Toestand 0 – Dit is de startstatus. FRS wordt gebruikt om SYSVOL te repliceren.
  • Toestand 1 – De voorbereide status. FRS blijft SYSVOL repliceren, maar de lokale DFSR-service maakt een gerepliceerde kopie van SYSVOL.
  • Toestand 2 – De omgeleide status. DFSR begint SYSVOL te repliceren en FRS onderhoudt alleen een lokale replica van SYSVOL.
  • Toestand 3 – De geëlimineerde toestand. FRS wordt niet meer gebruikt en DFSR biedt alle SYSVOL-replicatie.

Gebruik de volgende procedure om SYSVOL-replicatie naar DFSR te migreren:

  1. Voer dfsrmig /setglobalstate 1 uit bij de opdrachtprompt. Voer vervolgens de opdracht Dfsrmig.exe / GetMigrationState uit om te controleren of alle domeincontrollers de voorbereide status hebben bereikt.
  2. Voer dfsrmig /setglobalstate 2 uit bij de opdrachtprompt. Voer vervolgens de opdracht Dfsrmig.exe / GetMigrationState uit om te controleren of alle domeincontrollers de omgeleide status hebben bereikt.
  3. Voer dfsrmig /setglobalstate 3 uit bij de opdrachtprompt. Voer vervolgens de opdracht Dfsrmig.exe / GetMigrationState uit om te controleren of alle domeincontrollers de geëlimineerde status hebben bereikt.
  4. Open op elke domeincontroller de Services-console en controleer of de File Replication Service is uitgeschakeld.