Die VMM Database beinhaltet viele Informationen, einige davon sind weniger kritisch, andere können durchaus sensitive Daten beinhalten, wie zum Beispiel Passwörter von Administratoren und Produkteschlüssel. Damit diese Information nicht einfach aus der Database, oder einer Kopie davon, ausgelesen werden können, werden diese durch VMM verschlüsselt. Per Default wird der dazu erforderliche Encryption Key auf dem lokalen VMM Server gespeichert. Dadurch entsteht allerdings die Situation, dass kein weiterer Server auf die Datenbank zugreifen kann. (weiterlesen…)

Server Virtualisierung ist hoch im Kurs und auch Domain Controller werden inzwischen fleissig virtualisiert. Wer allerdings einen Domain Controller als Virtual Machine betreibt, sollte besonderes Augenmerk auf die korrekte Zeitsynchronisation legen. Grundsätzlich sollte dies kein Problem darstellen, denn…

… jeder Active Directory Client synchronisiert seine Zeit mit einem Domain Controller
… jeder Domain Controller gleicht seine Zeit mit dem PDC Emulator (Primary Domain Controller Emulator) FSMO Rolle ab.
… der Domain Controller mit der PDC Emulator FSMO Rolle kann die Zeit mit einer externen Zeitquelle abgleichen.

Was wenn die Zeit “falsch” ist? Doch “falsch” ist nicht gleich “falsch” – Haben alle Active Directory Clients die gleiche falsche Uhrzeit konfiguriert, so funktioniert die Authentifizierung nach wie vor. Doch wird nur bei einzelnen Computer oder Domain Controller eine falsche Uhrzeit konfiguriert, kann dies zu grossen Problemen führen. Denn bereits eine Abweichung von fünf (5) Minuten reicht aus, damit die Kerberos-Tickets ihre Gültigkeit verlieren.

Dead on arrival?

Seit Windows Server 2008 wird kein Microsoft Zeitserver (time.windows.com) mehr vorkonfiguriert. Dies bedeutet dass auch kein automatischer Abgleich mehr erfolgt. Auf diesen Umstand wird nun im Active Directory Best Practices Analyzer von Windows Server 2008 R2 entsprechend hingewiesen:

The PDC emulator master srv-dc01.intra.server-talk.eu in this forest should be configured to correctly synchronize time from a valid time source

Diesen Fehler gilt es nun zunächst zu korrigieren, doch auch funktioniert das cmdlet net time nicht mehr wie früher. Eine Möglichkeit für Windows Server 2008 R2 wäre folgender Befehl. Dieser kann in einem Command Prompt als Administrator ausgeführt werden: w32tm /config /computer:srv-dc01.intra.server-talk.eu /manualpeerlist:ntp.metas.ch /syncfromflags:manual /update

In diesem Beispiel wird der NTP Server von METAS verwendet. METAS ist das nationale Metrologieinstitut der Schweizerischen Eidgenossenschaft. Der Abgleich mit dem Zeitserver im Internet erfolgt jeweils mittels UDP 123. Dieser Port muss auch entsprechend auf der Firewall geöffnet werden, damit der Domain Controller mit dem Internet kommunizieren kann.

Do’s and Dont’s – was man vermeiden sollte

In einer Infrastruktur wo Domain Controller virtuell betrieben werden gilt es zudem noch weitere Punkte zu beachten:

Auch ein Hypervisor aktualisiert die Zeit seiner Guests. Um Probleme zwischen Hyper-V Host und Virtual Machines zu verhindern, muss bei den Domain Controller in den Integration Components, VMware oder Xen Tools die Zeit Synchronisation deaktiviert werden.

Eine Virtual Machine muss immer heruntergefahren (Shutdown) und darf nie pausiert werden. Da bei einer Pause Zeit / Datum nicht verändert werden, kann unter Umstände nicht mehr repliziert werden und es können veraltete Objekte (Lingering Objects) entstehen.

Für einen Domain Controller sind Snapshots und Undo Virtual Hard Disks (VHDs) sind absolut tabu! Eine falsche Anwendung kann in einem Desaster mit Verlust von Active Directory Informationen enden.

Pro Domain muss mindestens ein physikalischer Domain Controller inklusive GC, DNS und den FSMO Rollen existieren. Wenn dennoch sämtliche Domain Controller virtualisiert wurden, sollten diese zumindest nicht auf ein CSV Volume gespeichert werden, um ein einfacheres und schnelleres Recovery durchführen zu können.

Dazu hat Microsoft ein umfangreiches Dokument veröffentlicht. Der Reference Guide kann jeweils direkt im Microsoft Download Center heruntergeladen werden: Running Domain Controllers in Hyper-V. Zum Lesen von Word Dokumenten ist Microsoft Office Word oder der Microsoft Word Viewer erforderlich.

Windows Patch-Level

Bevor eine Virtual Machine als Domain Controller in Betrieb genommen wird, muss noch sichergestellt werden dass diese im Minimum folgenden Patch-Level aufweisen:

Weitere Informationen

• Microsoft KB 888794: Things to consider when you host Active Directory domain controllers in virtual hosting environments
• Jorge’s Blog: Lingering objects
• Yusuf’s Blog: Lingering Objects (veraltete Objekte)

Für die Installation von Exchange Server 2007 ist eine Schema Erweiterung erforderlich. Diese kann automatisch im grafischen Setup (GUI) durchgeführt werden, oder man führt diese step-by-step in einem Command Prompt (CMD) durch. Dies hat den Vorteil, dass sämtliche Änderungen vollständig im Forest repliziert und unangenehme Fehler dadurch vermieden werden können. Optimaler weise wird die Erweiterung des Schemas direkt auf dem Domain Controller mit der FSMO-Role “Schema Master” durchgeführt. Der Vorgang kann aber auch von dem zukünftigen Exchange Server gestartet werden… Da in den meisten Fällen die Domain Controller basierend auf einem 32-Bit Windows installiert wurden (was auch völlig in Ordnung ist), kann hier nicht die gleiche Source wie für die produktive Exchange Server 2007 Installation verwendet werden. Die 32-Bit Version stellt Microsoft als Trial zum Download bereit. Auf dem System wo die Schema Extentsion durchgeführt werden soll, müssen folgende Voraussetzungen geschaffen werden:

• Windows Server 2003
  • Microsoft Windows PowerShell
  • Microsoft .NET Framework 2.0
  • Microsoft .NET Framework 2.0 Update
  • Microsoft Management Console (MMC) 3.0
• Windows Server 2008
  • Microsoft Windows PowerShell: ServerManagerCmd -i PowerShell
  • Microsoft AD Management Tools: ServerManagerCmd -i RSAT-ADDS

Die Source (Exchange Server 2007 32-Bit) sollte in ein Temporäres Directory entpackt werden, zum Beispiel “C:\Temp\EXCSource”. Die Befehle für die Schema Extension werden in einem “Command Prompt” durchgeführt. Diese muss bei Windows Server 2008 als Administrator ausgeführt werden

Schritt 1

Dieser Vorgang bereitet die Exchange Server 200x Umgebung für Exchange Server 2007 vor. Wird eine neue Exchange Server 2007 Organization installiert, ist dieser Befehl nicht notwendig.

• Permissions
  • Mitglied der Gruppe “Domain Admins”
  • Mitglied der Gruppe “Enterprise Admins”
• Befehl
  • Normal: setup /PrepareLegacyExchangePermissions
  • Kurzform: setup /pl
• Weitere Informationen
  • Microsoft Technet: Preparing Legacy Exchange Permissions

Schritt 2

In diesem Vorgang wird das Active Directory Schema für Exchange Server 2007 erweitert. Dieser Vorgang darf/muss nur einmal pro Active Directory ausgeführt werden. Übrigens, wurde “setup /pl” nicht separat ausgeführt, ist dies nicht weiter schlimm. In diesem Fall wird der fehlende Vorgang automatisch zusammen mit “setup /ps” ausgeführt.

• Permissions
  • Mitglied der Gruppe “Enterprise Admins”
  • Mitglied der Gruppe “Schema Admins “
  • Mitglied der Gruppe “Exchange Full Administrator”
• Befehl
  • Normal: setup /PrepareSchema
  • Kurzform: setup /ps
• Weitere Informationen
  • Microsoft Technet: Active Directory Schema Changes

Schritt 3

Dieser Parameter bereitet das Active Directory für die Exchange Installation vor. Existiert noch keine Exchange Organization, muss diese mit “/OrganizationName” (gemäss Konzept) definiert und angelegt werde. Bei einem Upgrade kann dieser Switch weggelassen werden. Für diesen Vorgang müssen sämtliche Domains im Forest auf Port 389 ansprechbar sein.

• Permissions
  • Mitglied der Gruppe “Enterprise Admins”
• Befehl
  • Normal: setup /PrepareAD /OrganizationName:ExchangeTalk
  • Kurzform: setup /p /on:ExchangeTalk
• Prüfung
  • Mit ADSIEdit kann die “objectVersion” in Active Directory geprüft werden. Dazu müssen die “Properties” von “DC=MyDomain,CN=Configuration,CN=Services,CN=Microsoft Exchange,CN=MyOrganization” geöffnet werden. Die Version von Exchange Server 2007 SP1 lautet 11221, Exchange Server 2007 RTM 10666.
• Weitere Informationen
  • Microsoft Technet: Exchange 2007 Server Setup Permissions Reference
  • Microsoft Technet: Insufficient Permissions to Prepare Active Directory

Schritt 4

In jeder zusätzlichen Domain des Forest, wo Exchange Server 2007 installiert werden soll oder E-Mail-aktivierte User enthalten soll, muss die Domain vorbereitet werden. Dazu wird entweder der FQDN der Domain explizit angegeben, oder der Vorgang direkt für sämtliche Domains ausgeführt. Die lokale Domain wurde bereits in Schritt 3, mit /prepareAD, entsprechend vorbereitet.

• Permissions
  • Mitglied der Gruppe “Enterprise Admins”
• Befehl
  • Normal (specific Domain): setup /PrepareDomain:fqdn.mydomain.com
  • Kurzform (specific Domain): setup /pd:fqdn.mydomain.com
  • Normal (alle Domains): setup /PrepareAllDomains
  • Kurzform (alle Domains): : setup /pad
• Weitere Informationen
  • Microsoft Technet: Exchange 2007 Server Setup Permissions Reference

Überprüfung

Die Version des Schema kann mittels ADSIEdit ermittelt und kontrolliert werden. ADSI Edit (“adsiedit.msc”) oder ein anderes Tool starten und folgenden Path öffnen: CN=ms-Exch-Schema-Version-Pt,CN=Schema,CN=Configuration,DC=intra,DC=server-talk,DC=eu. Das Attribute “Range Upper” zeigt die aktuelle Version an, für welche der Active Directory Forest vorbereitet wurde. Mögliche Werte wären:

• Exchange Server 2000 = 4397
• Exchange Server 2000 SP3 = 4406
• Exchange Server 2003 = 6870
• Exchange Server 2003 SP3 = 6936
• Exchange Server 2007 = 10628
• Exchange Server 2007 SP1 = 11116

Der Status der Active Directory Replikation kann mit dem Support Tool “replmon.exe” verfolgt werden. Diesem Thema hat Yusuf in seinem Blog einen kompletten Artikel gewidmet.

Weitere Informationen

• Microsoft Technet: Preparing Active Directory for Exchange 2007 White Paper
• Microsoft Technet: How to Prepare Active Directory and Domains
• Microsoft Technet: Active Directory Schema Changes (SP1)
• Microsoft Technet: Description of the Parameters Used With the Exchange 2007 Setup.com Tool White Paper
• Microsoft KB 556086: How to find the current Schema Version
• Active Directory Team Blog: Troubleshooting ADPREP Errors

Damit Exchange Server 2007 auf einem Windows Server 2008 System installiert werden kann, Vorbereitungen am zukünftigen Exchange Server aber auch am Active Directory notwendig. Wichtig, es lässt sich nur die Version mit integriertem Exchange Server Service Pack 1 auf Windows Server 2008 installieren. Die Installation auf Basis des Server Core ist bei Exchange Server nicht möglich.

Server Vorbereitungen

Für die Installation einer Exchange Umgebung auf Basis von Windows Server 2008 müssen auf den Servern zunächst gewisse Basis Erweiterungen installiert werden. Windows PowerShell gehört zwar zum Lieferumfang von Windows Server 2008, wird aber nicht standardmässig installiert. Die Installation kann mit dem Befehl “ServerManagerCmd -i PowerShell” gestartet werden. Für die Installation muss ein Command Prompt zwingend als Administrator ausgeführt werden.

Mit dem Befehl “ServerManagerCmd -i RSAT-ADDS“ wird die Installation der “Active Directory Domain Services Remote Management Tools” gestartet. Diese Tools werden auch auf dem Server benötigt, wo das Active Directory Schema vorbereitet wird. Nach Abschluss der Installation ist ein Neustart des Servers erforderlich.

Für die Verwaltung der Exchange Server müssen zusätzliche IIS Components installiert werden. Auch diese Befehle aus einer Command Prompt starten: “ServerManagerCmd -i Web-Metabase” und “ServerManagerCmd -i Web-Lgcy-Mgmt-Console“. Ohne diese IIS Components währe es nicht möglich, die Client Access Role von einem Hub-Transport Server aus zu verwalten.

Jede Exchange Server Role erfordert spezifische Components. Nachfolgend eine Zusammenstellung:

• Client Access Server
  • Windows PowerShell
    • ServerManagerCmd -i PowerShell
  • IIS
    • ServerManagerCmd -i Web-Server
    • ServerManagerCmd -i Web-ISAPI-Ext
    • ServerManagerCmd -i Web-Metabase
    • ServerManagerCmd -i Web-Lgcy-Mgmt-Console
    • ServerManagerCmd -i Web-Basic-Auth
    • ServerManagerCmd -i Web-Digest-Auth
    • ServerManagerCmd -i Web-Windows-Auth
    • ServerManagerCmd -i Web-Dyn-Compression
  • RPC-über-HTTP-Proxyfeature
    • ServerManagerCmd -i RPC-over-HTTP-proxy
• Edge Transport Server
  • Windows PowerShell
    • ServerManagerCmd -i PowerShell
  • Active Directory Lightweight Directory Services (AD LDS)
    • ServerManagerCmd -i ADLDS
• Hub Transport Server
  • Windows PowerShell
    • ServerManagerCmd -i PowerShell
• Mailbox Server
  • Windows PowerShell
    • ServerManagerCmd -i PowerShell
  • IIS
    • ServerManagerCmd -i Web-Server
    • ServerManagerCmd -i Web-ISAPI-Ext
    • ServerManagerCmd -i Web-Metabase
    • ServerManagerCmd -i Web-Lgcy-Mgmt-Console
    • ServerManagerCmd -i Web-Basic-Auth
    • ServerManagerCmd -i Web-Windows-Aut
  • Failover Clustering (Sofern Cluster…)
    • ServerManagerCmd -i Failover-Clustering
• Unified Messaging Server
  • Windows PowerShell
    • ServerManagerCmd -i PowerShell
  • Windows Media Player audio/video codecs
    • ServerManagerCmd -i Desktop-Experience

Übrigens, eine Liste sämtlicher konfigurierten Server Roles und Features kann mit “ServerManagerCmd -q” erstellt und angezeigt werden. Nils Kaczenski von faq-o-matic.net hat ein Script für die vereinfachte Installation der benötigten Komponenten geschrieben.

Active Directory Schema Erweiterung

Vor der Installation eines Exchange Server 2007 sind wie Vorbereitungen am Active Directory notwendig. In grösseren Umgebungen ist es zu empfehlen, die Vorbereitungen als Command-line Setup durchzuführen. Dies ermöglicht die Verifizierung jedes Tasks und verschafft der Replikation mehr Zeit. Die Schema Erweiterung wird wie folgt durchgeführt:

1. setup.com /PrepareLegacyExchangePermissions
   Dieser Parameter bereitet die Exchange Server 200x Umgebung für Exchange Server 2007 vor. Wird eine neue Exchange Server 2007 Organization installiert, ist dieser Befehl nicht notwendig.
2. setup.com /PrepareSchema
   Damit wird das Active Directory Schema für Exchange Server 2007 erweitert. Dieser Vorgang darf/muss nur einmal pro Active Directory ausgeführt werden.
3. setup.com /PrepareAD /OrganizationName:MyOrganizationName
Dieser Parameter bereitet das Active Directory für die Exchange Installation vor. Den Exchange Organization Name gemäss Konzept eingeben.
4. setup.com /PrepareDomain
   Zusätzlich zu der Schema Erweiterung muss auch jede Domäne vorbereitet werden, in der E-Mail aktivierte Objects erstellt oder auch aktiviert werden.
5. setup.com /PrepareAllDomain
   Dieser Parameter bereitet alle Domains in einem Forest für die Verwendung von Exchange Server 2007 vor. Dieser Befehl sollte aus der Root Domain als Enterprise Administrator aufgerufen werden.

Exchange Server Installation

Die Installation kann ebenfalls auf als Command-line Setup aufgerufen werden, im sogenannten Unattended Mode. Mit “setup.com /Roles:HT,CA,MB /Mode:Install /DomainController:MyDC” werden zum Beispiel die Rollen Client Access, Hub-Transport und Mailbox Server installiert. Alle mögliche Parameter können mit “setup.com /help:install” angezeigt werden.

Nach Abschluss der Installation wird folgendes in der Command Prompt ausgegeben:

Welcome to Microsoft Exchange Server 2007 Unattended Setup

Preparing Exchange Setup

The following server roles will be installed
Management Tools
Hub Transport Role
Client Access Role
Mailbox Role

Performing Microsoft Exchange Server Prerequisite Check

Hub Transport Role Checks         ……………………. COMPLETED
Setup cannot detect an SMTP or Send connector with an address space of ‘*’. Mail flow
to the Internet may not work properly.
Client Access Role Checks          ……………………. COMPLETED
Mailbox Role Checks                  ……………………. COMPLETED

Configuring Microsoft Exchange Server
Copying Exchange files               ……………………. COMPLETED
Exchange Management Tools       ……………………. COMPLETED
Hub Transport Server Role           ……………………. COMPLETED

The Microsoft Exchange Server setup operation completed successfully.

Es empfiehlt sich, Exchange Server Updates direkt in die Installation mit einzubeziehen: How-To: Exchange Server Updates automatisch mit-installieren

Ab diesem Zeitpunkt kann Exchange Server 2007 konfiguriert werden. Zum Beispiel sollte ein gültiger Product Key eingetragen werden: Set-ExchangeServer MyExchangeServer -ProductKey:MyKey.

Weitere Informationen

• Microsoft Technet: How to Prepare Active Directory and Domains
• Microsoft Technet: How to Install Exchange 2007 in Unattended Mode
• Gerod Serafin’s Technet Blog: Preparing your AD for Exchange 2007 SP1

Soll ein Domain Controller auf einem Windows Server Core 2008 installiert werden, muss zunächst ein neuer Server als Core Server installiert werden. Nach Abschluss der Windows Installation müssen folgende Komponenten gemäss Konzept konfiguriert werden:

• Network
• Computer Name
• Remote Desktop Connection
• Firewall

Server Konfiguration

Die Konfiguration kann mittels Command Prompt, beschrieben in einem älteren Artikel “How-To: Hyper-V mit Windows Server Core 2008“, oder dem inoffiziellen Tool “Server Core Configurator” von Guy Teverovsky vorgenommen werden. Zum Download…

Domain Controller Installation

Beim Server Core kann der “Active Directory Domain Controller Installation Wizard” (dcpromo) nicht wie früher ausgeführt werden. In diesem Fall wird ein “Unattend file” für die Installation der Domain Controller Role benötigt. Einfachheitshalber kann das benötigte Unattend file auf einem anderen Windows Server 2008 (mit GUI) erstellt werden. Informationen dazu gibt es im Microsoft Support KB 947034. Ein solches File kann wie folgt aussehen:

[DCINSTALL]
UserName=Administrator
UserDomain=intra.server-talk.eu
Password=MyPa$$w0rdIsSaf3
ReplicaOrNewDomain=Replica
ReplicaDomainDNSName=intra.server-talk.eu
InstallDNS=Yes
ConfirmGC=Yes
DatabasePath="C:\Windows\NTDS"
LogPath="C:\Windows\NTDS"
SYSVOLPath="C:\Windows\SYSVOL"
SafeModeAdminPassword=MyPa$$w0rdIsSaf3
RebootOnCompletion=Yes

Die Installation wird dann mit dem Command “dcpromo /answer:c:\dccore.txt” gestartet. Die Active Directory Domain Services binaries werden automatisch installiert. Nach dem Reboot wurde der Server bereits in die OU “Domain Controllers” verschoben und nimmt seine Tätigkeiten als Domain Controller auf.

Nach der Installation der Domain wird im lokalen File der Eintrag bei “Password” und “SafeModeAdminPassword” entfernt. Das File kann also ohne Bedenken auf dem Server belassen werden. Übrigens, ein Demotion (De-Installation) eines Domain Controllers erfolgt mit dem Befehl: dcpromo /AdministratorPassword:"MyPa$$w0rdIsSaf3"

Weitere Informationen

• Microsoft TechNet: Server Core Installation Option of Windows Server 2008 Step-By-Step Guide
• Microsoft TechNet: Demotion Operation

Wenn bei der Exchange Server Source die Updates integriert wurden, erfolgt die Installation wahrscheinlich von einer lokalen Disk, wie zum Beispiel “E:\Microsoft\Exchange Server\Source\”. Bei der Vorbereitung des Active Directory kann es beim Ausführen des Command “setup.com /PrepareAD /OrganizationName: ServerTalkMail“ zu einem Fehler kommen:

Performing Microsoft Exchange Server Prerequisite Check
Organization Checks              ……………………. COMPLETED

Configuring Microsoft Exchange Server
Organization Preparation         ……………………. FAILED
You do not have permissions to read the security descriptor on CN=Deleted
Objects,CN=Configuration,DC=intra,DC=server-talk,DC=ch.

Wird allerdings die Installation respektive “setup.com“ von “D:\Microsoft\Exchange Server\Source\” gestartet, funktioniert der Command “/PrepareAD” ohne Probleme:

Performing Microsoft Exchange Server Prerequisite Check
Organization Checks              ……………………. COMPLETED

Configuring Microsoft Exchange Server
Organization Preparation         ……………………. COMPLETED

The Microsoft Exchange Server setup operation completed successfully.

Weitere Informationen

• Microsoft Technet: White Paper: Preparing Active Directory for Exchange 2007
• Microsoft KB 556086: How to find the current Schema Version
• Microsoft KB 274737: How to Verify That ForestPrep and DomainPrep Completed Successfully

Jeder kennt Microsoft’s ADSIEDIT um mittels LDAP auf das Active Directory zuzugreifen. Softerra bietet mit “Softerra LDAP Administator” ein kommerzielles Produkt mit zusätzlichen Funktionen und vereinfachter Handhabnung. Besonders hilfreich ist, dass im rechten Fenster direkt die entsprechenden Felder samt Inhalt angezeigt werden. Leider werden aber auch nur die ausgefüllten Felder angezeigt… Im grossen und Ganzen ist das Tool im Wesentlichen Übersichtlicher als ADSIEDIT von Windows Server. LDAP Administrator 2008.1 ist unter den gängigen Operating Systems lauffähig: Windows 2000 SP4+/ XP SP2+/ Vista / Server 2003 SP2 / Server 2008.

Für rund USD 250.00 kann eine Lizenz im Softerra Online Store bezogen werden. Eine in den Funktionen eingeschränkte Version wird ebenfalls gratis als “LDAP Browser” in der Version 2.6 zum Download angeboten. Mit dieser Version lassen sich allerdings keine Änderungen im Directory vornehmen.

Weitere Informationen

• www.softerra.com: Softerra LDAP Administrator 2008.1 Overview
• www.softerra.com: Softerra LDAP Browser 2.6 Download

Im DNS können für Domains spezifische “Forwarders” eingetragen werden. Beispielsweise in einem Forest-Trust ist es notwendig, die Active Directory Domain mit entsprechenden DNS-Servern als Weiterleitung einzutragen. Wenn die Domain demselben DNS-Tree angehört, kommt es zu folgender Fehlermeldung:

The server forwarders cannot be updated.
A zone configuration problem occurred.

In anderen Worten gesagt, es kann keine Weiterleitung zu “resources.domain.com” konfiguriert werden, wenn im DNS die Zone “domain.com” eingetragen ist. In einem solchen Fall muss mit “Delegations” gearbeitet werden.

Mit Windows Server 2008 wird erstmals die neue Rolle des “Read-only Domain Controller” (RODC) eingeführt. Die Autoren von “Ask the Directory Services Team” haben zwei interessante Artikel zu diesem Thema veröffentlicht: 

• Understanding “Read Only Domain Controller” authentication
• Read-Only Domain Controllers and Account Lockouts

Diese Informationen sollten zwingend beim Desing der Infrastruktur berücksichtig werden. Bei Technet gibt ebenfalls einen Artikel zu RODC. Ebenfalls sollte man den Artikel von Yusuf bei Gelegenheit lesen um weiterführende Informationen zum Thema zu erhalten.

Microsoft beschreibt in diversen Knowledge Base sehr genau, wie Microsoft Exchange Server 2000/2003 richtig aus einer Active Directory Domain entfernt werden kann:

• Microsoft KB 273478: How to completely remove Exchange 2000 or Exchange 2003 from Active Directory
• Microsoft KB 833396: How to remove Exchange Server 2003 from your computer
• Microsoft KB 822931: How to remove the first Exchange Server 2003 computer from the administrative group

Diese Anweisungen müssen zwingend befolgt werden, da ansonsten die Verfügbarkeit und Stabilität der bestehenden Exchange Server nicht mehr gewährleistet werden kann.