Domänencontroller - Prüfung nach der Installation
Prüfung nach der Installation
Wenn die Installation reibungslos von statten ging und der Server neu gestartet ist, sollte unbedingt überprüft werden, ob Active Directory sauber seinen Dienst verrichtet.
- Kontrolle der Einträge im Menü Tools (Server-Manager & Tools)
- Kontrolle der Ereignisse AD DS Ereignisse (AD DS & DNS)
- Kontrolle der DNS-Statusmeldung DNS (Domain Name Service)
- Kontrolle des DNS-Manager inkl. Einträge (Name der Stammdomäne)
- Kontrolle von Active Directory integriert (Zone in Active Directory integriert)
- Kontrolle des Snap-Ins Active Directory Benutzer & Computer (Der Inhalt von Active Directory)
- Kontrolle der Datenbankdateien (Datenbankdatei)
- Kontrolle der SYSVOL-Ordnerstruktur (SYSVOL-Ordner)
Server-Manager & Tools
Kontrolle der Einträge im Menü Tools
Unmittelbar nach der Anmeldung als Administrator, startet wieder der Server-Manager.
Auf der oberen rechten Seite befindet sich das Menü Tools.
Mit einem Klick darauf, werden die neu hinzugefügten Apps angezeigt.
- DNS (Nur bei DNS Installation)
- Active Directory-Standorte und -Dienste
- Active Directory- Verwaltungscenter
- Active Directory-Benutzer und -Computer
- Active Directory-Domänen und -Vertrauensstellungen
- ADSI-Editor
- Active Directory-Modul für Windows PowerShell
- Gruppenrichtlinienverwaltung
Ebenfalls findet man die Apps auf dem Desktop (Kachelansicht).
AD DS & DNS
- Kontrolle der AD DS Ereignisse
- Kontrolle der DNS-Statusmeldung
(DNS: Beim ersten DC in einer Domäne sollte DNS installiert werden. Bei weiteren Controllern in einer Domäne, muss DNS nicht mitinstalliert werden.)
Auf der linken Seite im Fenster Server-Manager sind auch folgende 2 Menüeinträge hinzugekommen:
AD DS (Active Directory Domain Services)
Durch das Hinzufügen der Serverrolle Active Directory-Domänendienste, war es durch einen Assistentenhinweis erforderlich, dass die Installation erst erfolgen kann, wenn unter anderem auch das Tool AD DS mitinstalliert wird.Überprüfung
Klickt man auf der linken Seite auf den Menüpunkt AD DS, befinden sich unten die Ereignisse.
In der Spalte Schweregrad werden bereits Warnungen und Fehler angezeigt, die nach der Installation üblich sind.- Kein Grund zur Beunruhigung!
DNS (Domain Name Service)
Wurde dieser Domänencontroller als erster für die Gesamtstruktur vorgesehen, sollte während der Active Directory-Domänendienste-Installation auch DNS ausgewählt werden, denn der erste Domänencontroller ist auch ein DNS-Server. Schon allein deshalb, weil auch der erste Domänencontroller auch der erste Catalog-Server ist und dieser in jeder Domäne zwingend vorhanden sein muss.Überprüfung
Ist der Menüeintrag verfügbar, dann klicke mit der Maus auf den Menüeintrag DNS.
Scrolle auf der rechten Seite soweit nach unten bis das Anzeigefeld DIENSTE erscheint.
Unter der Spalte Servername [Name des Servers] sollte der soeben installierte Dienst DNS mit der Statusmeldung Wird ausgeführt angezeigt werden.
Name der Stammdomäne
Kontrolle des DNS-Manager inkl. Einträge (Nur bei DNS Installation)
Anschließend überprüfen wir über den DNS-Manager, ob der Name der Stammdomäne angezeigt wird.
Vorgehensweise
- Klicke auf das Menü Tools, dass sich im selben Fenster Server-Manager, oben rechts befindet.
- Klicke dazu auf den Menüeintrag DNS.
> Das Fenster DNS-Manager öffnet sich. Über den Pfad [Name des Servers]/Forward-Lookupzonen/[Name der Stammdomäne], kann man im Detailfenster überprüfen, ob der Name des Server mit seinen IP-Adressen angezeigt wird. Die folgenden Ordner _msdcs, _sites, _tcp, und _udp werden während der der Active Directory-Installation von dem Domänencontroller gespeichert. Sind die Ordner verfügbar, wurden die SFR (Service Resource Records)-Einträge ordnungsgemäß aufgezeichnet.
Schließe das soeben geöffnete Fenster DNS-Manager nicht, da wir hier im Anschluss eine weitere Überprüfung vornehmen. Siehe anschließenden Abschnitt: Zone in Active Directory integriert
Zone in Active Directory integriert
Kontrolle von Active Directory integriert. (Nur bei DNS Installation)
In diesem Abschnitt soll überprüft werden, ob auf dem DNS-Server die Forward-Lookupzone eine Active-Directory integrierte Zone ist. Dies ist besonders wichtig, denn die Zonen des DNS-Servers sollten vom Typ Active Directory integriert sein, wenn eine Domäne erstellt wurde, damit die Zonendaten (Zuordnungsinfo von Computer und deren IP-Adresse) direkt im Active Directory gespeichert werden können. Diese Daten werden bei einer Replikation auf andere DNS-Server oder DC's übermittelt.
Sind die Zonen nicht von Typ Active Directory integriert, werden die Daten in den Ordner dns abgelegt, der unter dem Pfad C:\Windows\System32\dns zu finden ist. Diese Zonendaten werden dann nicht mehr automatisch auf andere DNS-Server oder DC's übermittelt.
Vorgehensweise
Ist das Fenster DNS-Manager aufgrund der vorherigen Überprüfung (Abschnitt DNS von Pkt. 3) noch geöffnet, dann überspringe die folgenden Schritte 1 u.2 und fahre mit Schritt 3 fort.
- Öffne im Server-Manger oben rechts den Menüpunkt Tools.
- Klicke auf den Menüeintrag DNS.
> Das Fenster DNS-Manager öffnet sich. - Öffne den Pfad [Name des Servers]/Forward-Lookupzonen/[Name der Stammdomäne] und klicke mit der rechten Maustaste auf den [Name der Stammdomäne].
> Das Kontextmenü öffnet sich. - Klicke im Kontextmenü auf den Menüpunkt Eigenschaften.
Überprüfe den Typ (siehe Markierung), ob dieser auf Active Directory-integriert steht.
Der Inhalt von Active Directory
Kontrolle des Snap-Ins Active Directory Benutzer & Computer
5 grundlegende Einheiten, die angezeigt werden MÜSSEN.
Vorgehensweise
- Öffne im Server-Manger oben rechts den Menüpunkt Tools.
- Klicke auf den Menüeintrag Active Directory-Benutzer und -Computer.
> Das Fenster Active Directory-Benutzer und -Computer öffnet sich. - Öffne den Pfad Active Directory-Benutzer und -Computer [[Name des Servers].[Name der Stammdomäne]]/[Name des Servers]
- Erweitere auf der linken Seite den Menüpunkt [Name des Servers], um anschließend den Inhalt der jeweiligen Ordner (Organisationseinheiten) auf der rechten Seite anzuzeigen. Es MÜSSEN nun folgende 5 Organisationseinheiten angezeigt werden
Builtin
Die vom System vordefinierten Gruppen.
Auch die Gruppen, bevor der Server ein Domänencontroller wurde. Computers
Alle Computer die in der Domäne Mitglied sind, werden hier mit je einem eigenem Konto angezeigt. Sind noch keine Computer in der Domäne vorhanden, dürften hier noch keine Einträge vorhanden sein. Domain Controllers
Alle Computerkonten der Domänencontroller in der Domäne, werden hier angezeigt. ForeignSecurityPrincipals
Alle Informationen über Security Identifier (SID), die mit vertraute Domänen verbunden sind.
Sind noch keine Domänen vorhanden, dürften hier noch keine Einträge vorhanden sein. Users.
Alle Benutzer u. Gruppen inkl. Domänen-Administrator. Auch die Konten, bevor der Server ein Domänencontroller wurde.
Datenbankdatei
Kontrolle der Datenbankdateien. (Nur bei DNS Installation)
Überprüfung der Dateien von der Verzeichnisdatenbank (ntds.dit) und der Transaktionsprotokolle/Prüfpunktdateien (edp.***).
Über dem Pfad C:\Windows\NTDS erreicht man die oben genannten Dateien.
SYSVOL-Ordner
Kontrolle der SYSVOL-Ordnerstruktur und der Freigabe NETLOGON
Über dem Pfad C:\Windows\SYSVOL\sysvol\[Name der Stammdomäne] erreicht man den Ordner scripts.
Vorgehensweise
- Klicke mit der rechten Maustaste auf den Ordner scripts.
> Das Kontextmenü öffnet sich. - Klicke im Kontextmenü auf Eigenschaften.
> Das Fenster Eigenschaften von scripts öffnet sich. - Klicke auf den Reiter Freigabe und anschließend auf Erweiterte Freigabe…, um die Eigenschaften der Freigabe (Name: NETLOGON) anzusehen. In diesem Fenster Erweiterte Freigabe werden benutzerdefinierte Berechtigungen festgelegt, mehrere Freigaben erstellt, sowie weitere Optionen für die erweiterte Freigabe eingerichtet.
Sind alle diese Punkte erfolgreich kontrolliert worden, können nun Benutzer und Computer dieser Domäne beitreten.