Granuläre Passwortrichtlinien in Active-Directory

Eine Passwortrichtlinie für die Domäne einzuführen ist nicht weiter schwer und lässt sich schnell mit einer Gruppenrichtlinie bewirken. Was aber erst auf den zweiten Blick auffält ist, daß man nur eine Richtlinie für die gesamte Domäne haben kann. Eine Beschränkung auf OU oder Nutzergruppen ist damit nicht möglich. Auch mehrere verschieden gestaltete Richtlinien für unterschiedliche Nutzergruppen kann man so nicht realisieren.

Seit Server 2008 gibt es jedoch einen Weg, unterschiedliche Passwort Richtlinien für unterschiedliche Gruppen einzuführen. Die sogenannte Fine Grained Password Policy.

Ermöglicht wird dies durch die Einführung neuer ADS Objektklassen seit Server 2008.

Voraussetzungen

  • Der Functional Level der Domäne muss mindestens Server 2008 sein.
  • Richtlinien können nur auf Nutzergruppen angewendet werden, nicht auf OU.

„Granuläre Passwortrichtlinien in Active-Directory“ weiterlesen

Dateireplikationsdienst neu starten

Gelegentlich bringt ein Domaincontroller einen Fehler im Ereignisprotokoll unter Dateireplikationsdienst (NT File Replication Service NTFRS).

Der Dateireplikationsdienst konnte die Replikation von DC1 nach DC2 für c:\winnt\sysvol\<DOMAIN> mit DNS-Namen DC2.domain.com nicht aktivieren. Es wird ein neuer Versuch gestartet.

Das Protokoll auf der Gegenseite zeigt jedoch keinerlei Probleme mit dem Dateireplikationsdienst. Oft ist diese Meldung ein Artefakt oder Hinweis auf eine Störung in der Vergangenheit, die aber aktuell nicht mehr besteht.

Zur Klärung ist es nicht notwendig, den Domaincontroller neu zu starten. Oft genügt es, den Dateireplikationsdienst neu zu starten.

net stop ntfrs

Nach erfolgreicher Beendigung des Dienstes wird dieser neu gestartet.

net start ntfrs

Wenn wirklich kein Problem mehr besteht, dann findet man im Ereignisprotokoll den Event 13516.

Der Dateireplikationsdienst verhindert nicht mehr die Heraufstufung des Computers DC1 zum Domänencontroller. Der Systemdatenträger wurde erfolgreich initialisiert. Der Anmeldedienst wurde benachrichtigt, dass der Systemdatenträger jetzt als SYSVOL freigegeben werden kann.

Links:

Microsoft TechNet zum Fehler 13508

 

DC aus ADS entfernen

Eine Testumgebung, die ich als vApp zur Entwicklung von der Produktivumgebung eines Kunden geklont habe, funktionierte anfangs ordentlich. Nach einiger Zeit gab es Anmeldeprobleme. Die Ursache: In der realen Umgebung gibt es drei DCs. In die Testumgebung hatte ich nur einen importiert. Wie werde ich die beiden anderen DCs los? Zu diesem Thema gibt es zwei gute Artikel bei Petri:

Delete Failed DCs from Active Directory

Forcibly Removing Active Directory from a DC

Letzterer ist eher brauchbar wenn die DCs noch greifbar sind. Falls nicht, so hilft Artikel Nummer eins weiter.