Für all diejenigen die bereits eine Server 2008 R2 Native Domain haben, möchte ich heute eine nützliche Funktion vorstellen. Und zwar geht es um den “Active Direcotry Recycle Bin”, welcher es ermöglicht, aus dem AD (Active Directory) gelöschte Objekte wieder herzustellen. Ein Vorteil bei dieser Methode ist es, dass die wiederhergestellten Objekte ihre Rechte behalten.

Leider ist diese Funktion nicht standardmäßig aktiv und muss manuell über die AD Powershell aktiviert werden.

Hinweis: Wurde diese Funktion einmal aktiviert, kann dies nicht mehr rückgängig gemacht werden.

Aktivieren des Active Directory Recycle Bin:

Damit man die Funktion aktivieren kann muss man der Gruppe “Enterprise Admin” angehören. Anschließend führt man die AD Powershell als Administrator aus und gibt folgende Befehlszeile ein:

 Enable-ADOptionalFeature "Recycle Bin Feature" -Scope ForestorConfigurationset -Target [DOMAINNAME]

Die nachfolgende Warnung kann man mit JA bestätigen. Wenn man keine Rückmeldung bekommt, wurde der Befehl richtig ausgeführt. Jetzt ist es möglich gelöschte Objekte wieder herzustellen.

Von Microsoft gibt es leider keine GUI zur Wiederherstellung der Objekte. Hierfür muss man mit der AD Powershell arbeiten. Abhilfe schafft jedoch die Firma OverallSolutions, welche ein gratis Tool mit dem Namen ADRecycleBin zur Verfügung stellt. Dieses Programm ist soweit selbsterklärend und muss als Administrator ausgeführt (rechte Maustaste – als Administrator ausführen) werden, da es sonst nicht mit dem AD kommunizieren kann.

Vor zwei Tagen bin ich auf ein Problem gestoßen, welches ich euch nicht vorenthalten möchte. Ziel war es, Dateien (inkl. Berechtigungen) von einem Server 2003 auf einen Server 2008 zu kopieren.

Dazu benutzt man das Tool Robocopy welches beim Server 2008/Vista/Windows 7 standartmäßig installiert ist und sich im system32 Verzeichnis befindet. Eigentlich reicht es wenn man folgendes in der cmd auf dem Server 2008 eingibt:

 robocopy [source] [destination] /copyall /R:0 /W:0

Robocopy kopierte auch brav die Datein von A nach B, nur leider fehlen auf wundersame Weise die Berechtigungen. Auf dem Server 2003 funktionierte das Script aber ohne Fehler. Das kann doch nicht sein, dass ich das Script auf einem Server 2003 ausführen muss, damit er die Berechtigungen übernimmt?

Nachdem ich längere Zeit im Internet recherchierte, bin ich auf einen Artikel gestoßen der genau den selben Fehler beschreibt den ich hatte. Ursache für das Problem ist die robocopy.exe welche in der Version XP027 installiert ist. In dieser Version gibt es einen Bug, der meines Wissens nach noch nicht behoben wurde. Auch Windows 7 und Server 2008 R2 benutzen diese Version.

Wenn man aber auf die vorherige Version zurückgreift (XP026 – enthalten in der Robocopy GUI), funktioniert das Kopieren inkl. den Berechtigungen ohne Fehler.

Also habe ich mir die “alte” robocopy.exe XP026 heruntergeladen und beim Server 2008 im system32 Verzeichnis ersetzt. Anschließend startete ich das Script erneut auf dem Server 2008 und siehe da, die Dateien und Berechtigungen wurden richtig kopiert.

Update 21.10.2009:

Manchmal ist es auch als Domänen Admin nicht möglich die robocopy.exe im system32 Verzeichnis zu ersetzen, da man die Fehlermeldung ACCESS DENIED bekommt. Dies liegt daran, dass der Owner dieser Datei “TrustedInstaller” ist. Daher muss man zuerst die Ownership übernehmen. Anschließend kann die Datei überschrieben werden.

Heute beschäftige ich mich mal mit dem KMS (Key Managment Server) von Microsoft. Manch einer fragt sich sicher wofür benötigt man so ein Teil bzw. was macht ein KMS Server.

Ein KMS Server ist dazu da, um Volume Lizenzen (kommen hauptsächlich in Firmen und Schulen zum Einsatz) zu aktivieren. Der unterschied zum normalen Aktivierungsvorgang liegt darin, dass wir uns nicht direkt zu Microsoft verbinden um das Betriebssystem zu aktivieren, sondern zu unserem eigenen Schlüsselserver.

Sobald sich der Client beim Server meldet, wird dieser für x Tage aktiviert. Nach Ablauf dieser x Tage meldet sich der Client erneut beim KMS Server und die Lizenz wird verlängert. Somit ist es nicht mehr möglich Volumes Lizenzen, ohne einen gültigen KMS Server, zu missbrauchen.

Einen KMS Server kann man auf folgenden Systemen installieren:

• Windows Vista (kann nur Vista aktivieren)
• Server 2008 (kann Vista und Server 2008 aktivieren)
• Windows 7 (kann Vista, Windows 7 aktivieren)
• Server 2008 R2 (kann Vista, Server 2008, Windows 7, Server 2008 R2 und zukünftig auch Office 2010 aktivieren)

Um einen KMS Server zu installieren benötigt man einen gültigen KMS Key welchen man bei Microsoft Volume Licensing erwerben/runterladen kann.

Installation:

Die Installation eines KMS Servers erweist sich als recht einfach. In meinem Beispiel gehen wir von einem Windows Server 2008 R2 aus (da dieser alles aktivieren kann). Nachdem wir unseren Server installiert haben, geben wir unseren KMS Key ein und aktivieren Windows so wie zuvor auch. Dies sollte ohne Probleme funktioniert haben.

Anschließend öffnen wir eine Console mit Admin-Rechten und wechseln in das Verzeichnis:

 c:\windows\system32 

Hier geben wir folgendes ein (xxx muss durch den KMS Key ersetzt werden):

 slmgr.vbs /ipk xxxx-xxxx-xxxx-xxxx-xxxx 

Man bekommt eine Meldung die uns mitteilt, dass der Key erfolgreich installiert wurde. Jetzt müssen wird den Schlüssel nur noch bei Microsoft registrieren.

Dazu geben wir folgendes ein:

 slmgr.vbs /ato 

Auch hier erhalten wir eine Nachricht die uns eine erfolgreiche Aktivierung bestätigt. Somit ist die Grundinstallation abgeschlossen.

Jetzt benötigen wir noch 25 Clients damit unser KMS Server den Dienst aufnimmt. Ab diesem Zeitpunkt aktiviert dieser die Clients automatisch.