SERVER 2012R2

BenutzerverwaltungGruppenverwaltungKennwortrichtlinienOrganisationseinheitRechte & FreigabenAnmeldemethoden

  2. Home
  3. IT-Area
  4. Windows Server 2012 R2
  5. Domänencontroller

Domänencontroller

W2K12R2

In diesem Beitrag werde ich zeigen, wie man auf einen Windows Server 2012 die Rolle Active Directory-Domänendienste installiert und anschließend zu einem Domänencontroller heraufstufen kann.

Vorgehensweise

  1. Starte den Windows-Server 2012.
  2. Melde Dich als Administrator an.
  3. Öffne den Server-Manager, falls er nicht automatisch gestartet ist.
    WinServ2012 Der ServerManager vom lokalen Server
    Der Server-Manager
  4. Öffne die Eigenschaften von Internetprotokoll Version 4 und vergib dem Server eine feste IP-Adresse.
    Im folgenden Beispiel ist das: 160.100.0.1
    Gebe im selben Dialogfenster unter Folgende DNS-Serveradressen verwenden die selbe Adresse ein wie unter Folgende IP-Adresse verwenden, da wir diesen ersten Controller in der Domäne auch als DNS-Server nutzen werden.
  5. Vergebe den Server noch einen ansprechenden Namen, indem Du im Server-Manager/Lokaler Server/Eigenschaften auf den Link Computername klickst.
    Im folgenden Beispiel lautet der Computername: WIN2012.
  6. Klicke im Server-Manager (oben rechts) auf die Schaltfläche Verwalten.
    > Ein Pulldown-Menü öffnet sich.
    WinServ2012 Pulldown-Menü im ServerManager, öffne Verwalten
    Neue Rollen und Features hinzufügen.
  7. Wähle den Menüpunkt Rollen und Features hinzufügen.
    > Der Assistent zum Hinzufügen von Rollen und Features wird gestartet.
    WinServ2012 Assistent zum Hinzufügen von Rollen und Features. Die Seite Vorbemerkung.
    Der Assistent zum Hinzufügen von Rollen und Features.
  8. Klicke auf die Schaltfläche Weiter.
    > Die Seite Installationstyp auswählen öffnet sich.
    WinServ2012 Assistent zum Hinzufügen von Rollen und Features. Die Seite Installationstyp.
    Auswahl des Installationstypen
  9. Wähle die obere Option Rollenbasierte oder featurebasierte Installation und klicke anschließend auf die Schaltfläche Weiter.
    > Die Seite Zielserver auswählen öffnet sich.
    WinServ2012 Assistent zum Hinzufügen von Rollen und Features. Die Seite Zielserver auswählen.
    Auswahl des Servers
  10. Wähle die Option Einen Server aus dem Serverpool auswählen.
    Im unteren Bereich steht eine interessante Information, warum nur der eine Server gefunden wurde.
    Dies ist für später interessant, falls bereits mehrere Server vorhanden sein sollten und evtl. nicht gefunden werden.
  11. Klicke auf die Schaltfläche Weiter.
    > Die Seite Serverrollen auswählen öffnet sich.
    > Eine Liste aller Serverrollen werden Dir im folgenden Beitrag angezeigt: Der Rollenplan
    WinServ2012 Assistent zum Hinzufügen von Rollen und Features. Die Seite Serverrollen auswählen.
    Auswahl der Serverrollen
  12. Aktiviere in der Liste die Rolle Active Directory-Domänendienste.
    > Es öffnet sich ein Dialogfenster mit dem Hinweis, dass zu dieser Rolle weitere Features installiert werden müssen.
    WinServ2012 Assistent zum Hinzufügen von Rollen und Features. Die Hinweisfenster weitere ADD Features hinzufügen.
    Meldung ob weiter Features hinzugefügt werden sollen.
  13. Bestätige dieses Dialogfenster mit der Schaltfläche Features hinzufügen.
    > Das Dialogfenster schließt sich.
    > Die Seite Features auswählen öffnet sich. Du kannst in diesem Bereich weitere Features hinzufügen.
    > Eine Liste aller Features werden Dir im folgenden Beitrag angezeigt: Der Rollenplan
    Features die durch den vorherigen Schritt bestätigt wurden, werden grau dargestellt und können nicht mehr deaktiviert werden. Aufgrund dessen hat sich auch auf der linken Seite das Menü verändert. (Der Menüpunkt ADDS ist hinzugekommen)
    WinServ2012 Assistent zum Hinzufügen von Rollen und Features. Die Seite Features auswählen.
    Auswahl der Features die installiert werden sollen.
  14. Klicke auf die Schaltfläche Weiter.
    > Die Seite Active Directory-Domänendienste (ADDS) öffnet sich. In diesem Bereich befinden sich erstmal wichtige Hinweise die man zur Kenntnis nehmen sollte.
    WinServ2012 Assistent zum Hinzufügen von Rollen und Features. Die Seite ADDS
    Wichtige Hinweise bei der Installation von AD DS.
  15. Klicke auf die Schaltfläche Weiter.
    > Die Seite Installationsauswahl bestätigen öffnet sich. Es erscheint eine Zusammenfassung aller bereits vorgenommen Schritte.
    Im unteren Bereich können über den Link Konfigurationseinstellungen exportieren die soeben gemachten Konfigurationseinstellungen als Datei exportiert werden, die später als Quelldatei bei einer unbeaufsichtigten Installation verwendet werden kann.
    WinServ2012 Assistent zum Hinzufügen von Rollen und Features. Die Seite Installationsauswahl bestätigen.
    Bestätigung der Installationsauswahl. Wichtig: Die Konfigurationseinstellungen können hier für später exportiert werden.
  16. Klicke auf die Schaltfläche Installieren.
    > Die Seite Installationsstatus öffnet sich. Nachdem der Installationsprozess eingeleitet wurde, kann das Dialogfenster geschlossen werden, oder man wartet bis die Featureinstallation beendet wird.
    WinServ2012 Assistent zum Hinzufügen von Rollen und Features. Die Seite Installationsstatus.
    Der Installationsprozess wird ausgeführt.
  17. Klicke auf die Schaltfläche Schließen.
    > Der Assistent zum Hinzufügen von Rollen und Features schließt sich. Das war's erst mal mit den Vorbereitungsarbeiten. Um den Server jetzt zum Domänencontroller zu machen, müssen noch weitere Schritte vorgenommen werden.
  18. Klicke im Server-Manager, auf der linken Seite, auf den Menüpunkt ADDS.
    Im oberen schwarzen Bereich ist ein orangenfarbenes Dreieck zu erkennen.
    013 WinServ2012 Der ServerManager. Domänencontroller heraufstufen.
    Das orangefarbenen Dreieck nicht ausser Acht lassen.
  19. Klicke auf das orangenfarbenes Dreieck.
    > Es öffnet sich ein Dropdown-Menü.
    WinServ2012 ServerManager. Der Konfigurations-Assistent für Acrive Directory-Domänendienste. Das Fenster Bereitstellungskonfiguration.
    Das Dropdown-Menü nach dem Klick auf das orangfarbene Dreieck.
  20. Klicke im Dropdown-Menü auf den Link Server zu einem Domänencontroller heraufstufen.
    > Der Konfigurations-Assistent für die Active Directory-Domänendienste öffnet sich.
    Der erste Schritt beginnt in der Bereitstellungskonfiguration.
    In diesem Bereich trifft man die Entscheidung, ob der Controller einer bereits vorhanden Domäne hinzugefügt -, oder zu einer vorhandenen Gesamtstruktur hinzugefügt werden soll.
    Da wir in diesem Beispiel den allerersten Controller in einer Domäne erstellen, kommen die oberen zwei Optionen nicht in Frage.
    WinServ2012 ServerManager. Der Konfigurations-Assistent für Acrive Directory-Domänendienste. Das Fenster Bereitstellungskonfiguration.
    Server zu einem Domänencontroller heraufstufen
  21. Klicke auf die Option Neue Gesamtstruktur hinzufügen.
    > Nach dem aktivieren der Option wird man aufgefordert einen Namen der Stammdomäne festzulegen.
    In diesem Beispiel nenne ich diese Domäne bayern.nk.
  22. Klicke auf die Schaltfläche Weiter.
    > Die Seite Domänencontrolleroption öffnet sich. Über die Auswahlliste kann die Gesamtstrukturfunktionsebene und die Domänenfunktionsebene festgelegt werden. Da wir in diesem Beispiel eine Funktionsebene auf WIN 2012 erstellen, werden wir die vorgegebenen Einstellungen so belassen.
    Ebenso belassen wir das aktivierte Auswahlfeld DNS-Server unter Domänencontrollerfunktionen angeben, da wir den ersten Controller in der Domäne als DNS-Server verwenden werden.
    Der erste Domänencontroller wird dadurch auch der erste globale Katalog-Server.
    Das Auswahlfeld Schreibgeschützter Domänencontroller RODC (Read-Only-Domänen-Controller) ist grau dargestellt, da der erste Domänencontroller in einer Domäne nicht als solches konfiguriert werden kann.
    WinServ2012 ServerManager. Der Konfigurations-Assistent für Acrive Directory-Domänendienste. Das Fenster Domänencontrolleroption.
    Festlegung der Domänencontrollerfunktion
  23. Vergebe ein Kennwort für den Verzeichnisdienst- Wiederherstellungsmodus.
    Dies dient dazu, dass später einzelne Objekte oder auch das ganze Active-Directory nur über dieses Kennwort wiederhergestellt werden kann.
  24. Klicke auf die Schaltfläche Weiter.
    > Die Seite DNS-Optionen öffnet sich. Auf dieser Seite wird erstmal ein Hinweis dargestellt, dass eine Delegierung nicht möglich ist. Dies kommt daher, dass der Domänencontroller und der DNS-Server von anderen untergeordneten Domänen eine Verbindung zu dieser Zone bayern.nk aufbauen muss. Diese untergeordneten Domänen existieren aber noch nicht, da dieser Controller der erste in der Gesamtstruktur ist. Eine Delegierung muss in der übergeordneten Zone eingerichtet werden, die festlegt, dass nicht die DNS-Server der Zone (hier bayern.nk) für die untergeordneten Zonen zuständig sind, sondern die DNS-Server in den untergeordneten Zonen.Mit dieser Konfiguration wird innerhalb einer Gesamtstruktur eine durchgehende Namensauflösung hergestellt und das die Subdomänen von den eigenen Administratoren betreut werden dürfen und nicht die Zonen von anderen Domänen.
    WinServ2012 ServerManager. Der Konfigurations-Assistent für Acrive Directory-Domänendienste. Das Fenster DNS Option.
    Die DNS-Optionen
  25. Klicke auf die Schaltfläche Weiter.
    > Die Seite Zusätzliche Optionen öffnet sich. Kontrolliere den NetBIOS-Domänennamen.
    Hier wird der SLD-Name ohne dem Suffix (.nk) angezeigt.
    Hierzu müssen keine Änderungen vorgenommen werden.
    WinServ2012 ServerManager. Der Konfigurations-Assistent für Acrive Directory-Domänendienste. Das Fenster Zusätzliche Optionen.
    Den NetBIOS-Domänennamen angeben.
  26. Klicke auf die Schaltfläche Weiter.
    > Die Seite Pfade öffnet sich. In diesem Bereich werden die Pfade angegeben die Active-Directory benötigt um Informationen abzuspeichern. In der Regel müssen keine Änderungen vorgenommen werden, wenn ausreichend Speicherplatz zur Verfügung steht.
    WinServ2012 ServerManager. Der Konfigurations-Assistent für Acrive Directory-Domänendienste. Das Fenster Pfade.
    Festlegung der verschiedenen Pfade. In der Regel schon vorgegeben und sollten nur bei Speichermangel geändert werden.
  27. Klicke auf die Schaltfläche Weiter.
    > Die Seite Optionen prüfen öffnet sich. Es erscheint eine Zusammenfassung aller bereits vorgenommen Schritte.
    Im unteren Bereich können über die Schaltfläche Skript anzeigen die soeben gemachten Konfigurationseinstellungen als txt-Datei gespeichert werden, die später dafür verwendet werden kann, um gleichartige Domänencontroller zu installieren.

    Erwähnenswert in der letzten Zeile des Feldes Auswahl prüfen ist:
    Das Kennwort des neuen Domänenadministrators entspricht dem Kennwort des lokalen Administrators dieses Computers. D.h. Es gibt keinen lokalen Administrator mehr.
    WinServ2012 ServerManager. Der Konfigurations-Assistent für Acrive Directory-Domänendienste. Das Fenster Optionen prüfen.
    Überprüfung der Optionen. Hier kann auch das Power-Shell-Skript für später exportiert werden.
  28. Klicke auf die Schaltfläche Weiter.
    > Die Seite Voraussetzungsüberprüfung öffnet sich. Im oberen Bereich sollte der Hinweis stehen, dass alle erforderlichen Komponenten erfolgreich überprüft wurden, andernfalls klicke auf den Link Voraussetzungsüberprüfung erneut ausführen.
    WinServ2012 ServerManager. Der Konfigurations-Assistent für Acrive Directory-Domänendienste. Das Fenster Voraussetzungsüberprüfung.
    Vorraussetzungsüberprüfung
  29. Klicke auf die Schaltfläche Installieren.
    > Die Seite Installation öffnet sich.
    Der Installationsprozess wurde eingeleitet. Laut der Hardwarekonfiguration kann dies bis zu 5min. dauern. Genug Zeit die detaillierten Vorgangsergebnisse in der Mitte auswendig zu lernen. :-)
    WinServ2012 ServerManager. Der Konfigurations-Assistent für Acrive Directory-Domänendienste. Das Fenster Installation.
    Installation einleiten
  30. Am Ende der Installation führt der Server einen Neustart durch. Solange dies nicht geschehen ist, ist die Installation nicht abgeschlossen.
    WinServ2012 ServerManager. Der Konfigurations-Assistent für Acrive Directory-Domänendienste. Das Fenster Neustart.
    Nach der Installation wird ein Neustart durchgeführt.
  31. Der letzte und wichtigsten Schritt ist, dass die Kaffeetasse wieder aufgefüllt wird, den im nächsten Beitrag geht es darum, welche Prüfungen nach der Installation vorgenommen werden müssen.

Prüfung nach der Installation

Wenn die Installation reibungslos von statten ging und der Server neu gestartet ist, sollte unbedingt überprüft werden, ob Active Directory sauber seinen Dienst verrichtet.

  1. Kontrolle der Einträge im Menü Tools (Server-Manager & Tools)
  2. Kontrolle der Ereignisse AD DS Ereignisse (AD DS & DNS)
  3. Kontrolle der DNS-Statusmeldung DNS (Domain Name Service)
  4. Kontrolle des DNS-Manager inkl. Einträge (Name der Stammdomäne)
  5. Kontrolle von Active Directory integriert (Zone in Active Directory integriert)
  6. Kontrolle des Snap-Ins Active Directory Benutzer & Computer (Der Inhalt von Active Directory)
  7. Kontrolle der Datenbankdateien (Datenbankdatei)
  8. Kontrolle der SYSVOL-Ordnerstruktur (SYSVOL-Ordner)

Server-Manager & Tools

Kontrolle der Einträge im Menü Tools

Unmittelbar nach der Anmeldung als Administrator, startet wieder der Server-Manager.
Auf der oberen rechten Seite befindet sich das Menü Tools.
Mit einem Klick darauf, werden die neu hinzugefügten Apps angezeigt.

  • DNS (Nur bei DNS Installation)
  • Active Directory-Standorte und -Dienste
  • Active Directory- Verwaltungscenter
  • Active Directory-Benutzer und -Computer
  • Active Directory-Domänen und -Vertrauensstellungen
  • ADSI-Editor
  • Active Directory-Modul für Windows PowerShell
  • Gruppenrichtlinienverwaltung

Ebenfalls findet man die Apps auf dem Desktop (Kachelansicht).

WinServ2012 Anzeige der neu installierten Apps in Active Directory
Server-Manager & Tools

AD DS & DNS

  1. Kontrolle der AD DS Ereignisse
  2. Kontrolle der DNS-Statusmeldung
ADDS und DNS
(DNS: Beim ersten DC in einer Domäne sollte DNS installiert werden. Bei weiteren Controllern in einer Domäne, muss DNS nicht mitinstalliert werden.)

Auf der linken Seite im Fenster Server-Manager sind auch folgende 2 Menüeinträge hinzugekommen:

WinServ2012 Menuevergleich im Servermanager. Vor und nach der Installation der AD-Rolle.
AD DS & DNS

AD DS (Active Directory Domain Services)

Durch das Hinzufügen der Serverrolle Active Directory-Domänendienste, war es durch einen Assistentenhinweis erforderlich, dass die Installation erst erfolgen kann, wenn unter anderem auch das Tool AD DS mitinstalliert wird.Überprüfung
Klickt man auf der linken Seite auf den Menüpunkt AD DS, befinden sich unten die Ereignisse.
In der Spalte Schweregrad werden bereits Warnungen und Fehler angezeigt, die nach der Installation üblich sind.- Kein Grund zur Beunruhigung!

DNS (Domain Name Service)

Wurde dieser Domänencontroller als erster für die Gesamtstruktur vorgesehen, sollte während der Active Directory-Domänendienste-Installation auch DNS ausgewählt werden, denn der erste Domänencontroller ist auch ein DNS-Server. Schon allein deshalb, weil auch der erste Domänencontroller auch der erste Catalog-Server ist und dieser in jeder Domäne zwingend vorhanden sein muss.Überprüfung
Ist der Menüeintrag verfügbar, dann klicke mit der Maus auf den Menüeintrag DNS.
Scrolle auf der rechten Seite soweit nach unten bis das Anzeigefeld DIENSTE erscheint.
Unter der Spalte Servername [Name des Servers] sollte der soeben installierte Dienst DNS mit der Statusmeldung Wird ausgeführt angezeigt werden.

Name der Stammdomäne

Kontrolle des DNS-Manager inkl. Einträge (Nur bei DNS Installation)

Anschließend überprüfen wir über den DNS-Manager, ob der Name der Stammdomäne angezeigt wird.

Vorgehensweise

  1. Klicke auf das Menü Tools, dass sich im selben Fenster Server-Manager, oben rechts befindet.
  2. Klicke dazu auf den Menüeintrag DNS.
    > Das Fenster DNS-Manager öffnet sich. Über den Pfad [Name des Servers]/Forward-Lookupzonen/[Name der Stammdomäne], kann man im Detailfenster überprüfen, ob der Name des Server mit seinen IP-Adressen angezeigt wird. Die folgenden Ordner _msdcs, _sites, _tcp, und _udp werden während der der Active Directory-Installation von dem Domänencontroller gespeichert. Sind die Ordner verfügbar, wurden die SFR (Service Resource Records)-Einträge ordnungsgemäß aufgezeichnet.

Schließe das soeben geöffnete Fenster DNS-Manager nicht, da wir hier im Anschluss eine weitere Überprüfung vornehmen. Siehe anschließenden Abschnitt: Zone in Active Directory integriert

Zone in Active Directory integriert

Kontrolle von Active Directory integriert. (Nur bei DNS Installation)

In diesem Abschnitt soll überprüft werden, ob auf dem DNS-Server die Forward-Lookupzone eine Active-Directory integrierte Zone ist. Dies ist besonders wichtig, denn die Zonen des DNS-Servers sollten vom Typ Active Directory integriert sein, wenn eine Domäne erstellt wurde, damit die Zonendaten (Zuordnungsinfo von Computer und deren IP-Adresse) direkt im Active Directory gespeichert werden können. Diese Daten werden bei einer Replikation auf andere DNS-Server oder DC's übermittelt.

Sind die Zonen nicht von Typ Active Directory integriert, werden die Daten in den Ordner dns abgelegt, der unter dem Pfad C:\Windows\System32\dns zu finden ist. Diese Zonendaten werden dann nicht mehr automatisch auf andere DNS-Server oder DC's übermittelt.

Vorgehensweise

Ist das Fenster DNS-Manager aufgrund der vorherigen Überprüfung (Abschnitt DNS von Pkt. 3) noch geöffnet, dann überspringe die folgenden Schritte 1 u.2 und fahre mit Schritt 3 fort.

  1. Öffne im Server-Manger oben rechts den Menüpunkt Tools.
  2. Klicke auf den Menüeintrag DNS.
    > Das Fenster DNS-Manager öffnet sich.
  3. Öffne den Pfad [Name des Servers]/Forward-Lookupzonen/[Name der Stammdomäne] und klicke mit der rechten Maustaste auf den [Name der Stammdomäne].
    > Das Kontextmenü öffnet sich.
  4. Klicke im Kontextmenü auf den Menüpunkt Eigenschaften.
    Überprüfe den Typ (siehe Markierung), ob dieser auf Active Directory-integriert steht.
    WinServ2012 Eigenschaftsfenster der Stammdomäne. Überprüfung auf Active Directory-integriert
    Überprüfung ob Active Direcory integriert ist.

Der Inhalt von Active Directory

Kontrolle des Snap-Ins Active Directory Benutzer & Computer

5 grundlegende Einheiten, die angezeigt werden MÜSSEN.

Vorgehensweise

  1. Öffne im Server-Manger oben rechts den Menüpunkt Tools.
  2. Klicke auf den Menüeintrag Active Directory-Benutzer und -Computer.
    > Das Fenster Active Directory-Benutzer und -Computer öffnet sich.
  3. Öffne den Pfad Active Directory-Benutzer und -Computer [[Name des Servers].[Name der Stammdomäne]]/[Name des Servers]
  4. Erweitere auf der linken Seite den Menüpunkt [Name des Servers], um anschließend den Inhalt der jeweiligen Ordner (Organisationseinheiten) auf der rechten Seite anzuzeigen. Es MÜSSEN nun folgende 5 Organisationseinheiten angezeigt werden
    WinServ2012 Die 5 wichtigsten Ordner in der Active Directory
    Der Inhalt von Acrive Directory
    Builtin
    Die vom System vordefinierten Gruppen.
    Auch die Gruppen, bevor der Server ein Domänencontroller wurde. Computers
    Alle Computer die in der Domäne Mitglied sind, werden hier mit je einem eigenem Konto angezeigt. Sind noch keine Computer in der Domäne vorhanden, dürften hier noch keine Einträge vorhanden sein. Domain Controllers
    Alle Computerkonten der Domänencontroller in der Domäne, werden hier angezeigt. ForeignSecurityPrincipals
    Alle Informationen über Security Identifier (SID), die mit vertraute Domänen verbunden sind.
    Sind noch keine Domänen vorhanden, dürften hier noch keine Einträge vorhanden sein. Users.
    Alle Benutzer u. Gruppen inkl. Domänen-Administrator. Auch die Konten, bevor der Server ein Domänencontroller wurde.

Datenbankdatei

Kontrolle der Datenbankdateien. (Nur bei DNS Installation)
Überprüfung der Dateien von der Verzeichnisdatenbank (ntds.dit) und der Transaktionsprotokolle/Prüfpunktdateien (edp.***).
Über dem Pfad C:\Windows\NTDS erreicht man die oben genannten Dateien.

SYSVOL-Ordner

Kontrolle der SYSVOL-Ordnerstruktur und der Freigabe NETLOGON

Über dem Pfad C:\Windows\SYSVOL\sysvol\[Name der Stammdomäne] erreicht man den Ordner scripts.

WinServ2012 Der Ordner Ordner scripts im Windows-Explorer
Der SYSVOL-Ordner

Vorgehensweise

  1. Klicke mit der rechten Maustaste auf den Ordner scripts.
    > Das Kontextmenü öffnet sich.
  2. Klicke im Kontextmenü auf Eigenschaften.
    > Das Fenster Eigenschaften von scripts öffnet sich.
  3. Klicke auf den Reiter Freigabe und anschließend auf Erweiterte Freigabe…, um die Eigenschaften der Freigabe (Name: NETLOGON) anzusehen. In diesem Fenster Erweiterte Freigabe werden benutzerdefinierte Berechtigungen festgelegt, mehrere Freigaben erstellt, sowie weitere Optionen für die erweiterte Freigabe eingerichtet.
    WinServ2012 ErweiterteFreigabe Netlogon
    Erweiterte Freigaben festlegen

Sind alle diese Punkte erfolgreich kontrolliert worden, können nun Benutzer und Computer dieser Domäne beitreten.


Beitritt in eine Domäne

Erst wenn die erste Domäne erfolgreich installiert wurde, können weitere Maschinen zu dieser Domäne eingebunden werden. Des Weiteren können zusätzlich sog. Subdomänen erstellt werden.

In diesem Beispiel werde ich einen Computer in die Domäne einbinden, die ich in dem vorherigen Beispiel bereits erstellt habe: Installation Domänencontroller

Vorgehensweise

  1. Öffne in dem Computer der dieser Domäne beitreten soll, die Eigenschaften von Internetprotokoll Version 4.
  2. Aktiviere die Option Folgende IP-Adresse verwenden und trage die IP-Adresse und die Subnetmaske für den Computer ein.
    Markiere im selben Fenster die Option Folgende DNS-Serveradressen verwenden und trage dort die IP-Adresse des DNS-Servers ein.
    WinServ2012 Eigenschaften von Internetprotokoll Version 4TCP IPv4 full
    Beitritt in eine Domäne
  3. Überprüfe über die PowerShell, ob der DC über PING erreichbar ist.Beispiel
    C:\Users\Administrator>ping 160.100.0.1
    oder C:\Users\Administrator>ping WIN2012.bayern.nk
  4. Öffne nun die Systemsteuerung des einzubindenden Computers.
  5. Vergebe im Dialogfenster Ändern des Computernamens bzw. der Domäne dem Computer einen aussagekräftigen Namen und aktiviere die Option Mitglied von und trage hier die Domäne ein, in der der Computer Mitglied sein soll. Da ich im vorherigen Beispiel die Domäne bayern.nk erstellt habe, vergebe ich hier diesen Domänennamen.
    WinServ2012 Aendern des Computernamens bzw. der Domaene und Arbeitsgruppe
    Computername ändern und Domäne festlegen
  6. Klicke auf die Schaltfläche OK.
  7. Trage im nächsten Dialogfenster Windows-Sicherheit den Benutzernamen und das Kennwort eines Benutzers ein, der dazu berechtigt ist einen Computer in die Domäne hinzuzufügen. In diesem Fall ist dies der Administrator des DC, da bislang noch keine anderen Benutzerkonten angelegt wurden, die dieses Recht übertragen bekommen haben.
    WinServ2012 Windows Sicherheit
    Anmeldung durch ein berechtigte Person in dieser Domäne.
  8. Klicke auf die Schaltfläche OK.
    > Nach dem erfolgreichen Anmelden erscheint die Meldung, dass der Computer der Domäne erfolgreich beigetreten ist.
    WinServ2012 Aendern des Computernamens bzw. der Domaene
    Meldung nach erfolgreicher Anmeldung
  9. Klicke auf die Schaltfläche OK.
  10. Führe einen Neustart des Computers durch.
  11. Nach dem Neustart, kannst Du Dich mit dem Computer an der Domäne anmelden. Gebe dazu im vorderen Bereich des Benutzerkontos den NETBIOS-Domänennamen ein.
    WinServ2012 Anmeldung des eingebundenen Computers
    Anmeldung eines Computers in der selben Domäne
  12. Fertig.

Weitere DC's installieren

Erst durch die Installation eines einzigen Domänencontrollers (DC) ist eine Domäne entstanden. Um diesen DC vor Ausfällen zu schützen, ist es dringend erforderlich, dass in einem Netzwerk weitere DC's in eine Domäne eingebunden werden.

Im nachfolgenden Abschnitt soll ein weiterer DC in die selbe Domäne eingebunden werden. Hierzu ist zu beachten, dass die Installation des zweiten DC etwas von der Installation des ersten DC abweicht.

Deshalb werde ich nur die wichtigsten Punkte in der Vorgehensweise erwähnen.

Vorgehensweise

  1. Rolle Active Directory-Domänendienste hinzufügen.
    Server-Manger/Verwaltung/Rollen u. Features hinzufügen/Serverrollen auswählen.Die Rolle DNS-Server nicht auswählen, da der erste DC bereits diese Rolle besitzt.
    WinServ2012 Assistent zum Hinzufügen von Rollen und Features
    Assisten zum Hinzufügen von Rollen und Features
  2. Konfigurations-Assistent starten.
    Server-Manger -> Klick oben auf gelbes Dreieck -> Server zu einem Domänencontroller heraufstufen.<
    WinServ2012 ServerManager - Hochstufen des weiteren DC
    Server zu einem Domänencontroller heraufstufen. Siehe hierzu orangefarbenes Dreieck
  3. Konfigurations-Assistent -> Bereitstellungskonfiguration
    Option: Domänencontroller zu einer vorhandenen Domäne hinzufügen.
    Domäne auswählen, wohin dieser DC eingebunden werden soll.
    WinServ2012 Konfigurations-Assistent - DC zu einer vorhandenen Domäne hinzufügen
    Bereitstellungskonfiguration: DC zu einer vorhandenen Domäne hinzufügen.
  4. Konfigurations-Assistent -> Domänencontrolleroption
    Als DNS-Server den bestehenden DNS-Server (ersten Domänencontroller) auswählen.
    WinServ2012 Konfigurations-Assistent für ADDS - Zusaetzliche Optionen
    Auswahl des ersten Domänencontroller
  5. Klicke Weiter und dann Installieren = Der Installationsprozess wird eingeleitet. Rechner startet neu.

Die Subdomäne

Eine Subdomäne zu installieren ist ähnlich wie die Installation des ersten Domänen-Controller (erste Ebene) oder des zweiten Domänencontroller, der für die Sicherung des ersten Domänencontroller gegen Ausfälle zuständig ist.

Im Nachfolgenden Abschnitt soll eine Unterdomäne mit dem ersten Controller erstellt werden.

Damit auch hier in der Subdomäne die Namensauflösung beschleunigt wird, wird dem ersten Controller gleich der DNS verpasst.

Im Anschluss werde ich nur die Abweichungen gegenüber der vollständigen Active Directory Installation erwähnen.

Vorgehensweise

  1. Rolle Active Directory-Domänendienste hinzufügen.
    Server-Manger/Verwaltung/Rollen u. Features hinzufügen/Serverrollen auswählen.
  2. Konfigurations-Assistent starten.
    Server-Manger -> Klick oben auf gelbes Dreieck -> Server zu einem Domänencontroller heraufstufen.
  3. Konfigurations-Assistent -> Bereitstellungskonfiguration
    Option: Neue Domäne zu einer vorhandenen Gesamtstruktur hinzufügen.
    Domänentyp: untergeordnete Domäne.
    Name der übergeordneten Domäne.
    (Der erste Controller v. der Ebene darüber. In diesem Beispiel bayern.nk).
    Name der neuen Domäne.
    Gib hier den neuen Namen ein, so wie die Subdomäne benannt werden soll. z.B. west.
    Der FQDN würde dann west.bayern.nk lauten.
  4. Konfigurations-Assistent -> Bereitstellungskonfiguration
    Die Anmeldeinformationen: Administrator u. Kennwort der übergeordneten Domäne.
  5. Klicke Weiter und dann Installieren = Der Installationsprozess wird eingeleitet. Rechner startet neu.

Replikation

Was eine Replikation ist, werde ich mit wenigen Sätzen erklären.

Mit dem Begriff Replikation, oder besser gesagt Standardreplikation bezeichnet man das automatische Abgleichen der Daten zwischen den Controllern, innerhalb einer Domäne. Es gibt verschiedene Möglichkeiten eine Replikation, aufgrund von unterschiedlichen Strukturgrößen, zu konfigurieren.

z.B. gibt es die Multi-Master-Replikation.
In einer Domäne von Windows 2012 befinden sich alle Domänencontroller auf derselben Gleichberechtigungsebene. Jede Veränderungen in der Active Directory Datenbank werden auch an alle anderen Domänencontroller repliziert.

Es gibt viele Informationen die repliziert werden. Einige für den inneren Bereich, sowohl als auch für die komplette Gesamtstruktur.
Die Datenbank von Active Directory unterteilt sich daher in folgende verschiedene Bereiche.

  • Domänenpartition
    Replikation: Auf alle DCs, innerhalb einer Domäne.
    Daten: Benutzerkonten, Computerkonten, öffentliche Ressourcen.
    Inhalt von replizierten Informationen: Active Directory-Benutzer und -Computer.
  • Schemapartition
    Replikation: Auf alle DCs (aller Domänen), innerhalb einer Gesamtstruktur.
    Daten: Hinzufügen, Änderungen, Umbenennen, Löschen von AC-Objekten wie Benutzern und Gruppen.
  • Konfigurationspartition
    Replikation: Auf alle DCs (aller Domänen), innerhalb einer Gesamtstruktur.
    Daten: Informationen über alle Domänenstrukturen seines Forests.
    Inhalt von replizierten Informationen: Active Directory-Domänen und -Vertrauensstellungen.
  • Anwendungsverzeichnispartition
    Replikation: Auf alle DCs (aller Domänen), innerhalb einer Gesamtstruktur.
    Daten: Speichert dynamische Anwendungsspezifische Daten (keine Sicherheitsprinzipale von Benutzer, Gruppen, Computer) von Anwendungen und Dienste.

Eine Replikation durchführen

Nach jeder Installation sollte die Replikation 1x manuell erzwungen werden, damit sofort sichergestellt werden kann, ob eine Replikation zwischen den jeweiligen Replikationspartnern funktioniert.

Vorgehensweise

  1. Öffne im Server-Manager oben rechts den Menüpunkt Tools.
  2. Klicke im Untermenü auf den Menüpunkt Active-Directory-Standorte und Dienste.
  3. Öffne im Fenster Active-Directory-Standorte und Dienste folgenden Pfad:
    Sites/Default-First-Site-Name/Servers
  4. Erweitere den Pfad Servers, auf der linken Hälfte, damit darunter alle Server angezeigt werden.
  5. Erweitere den Pfad des gewünschten Servers.
    > Der Eintrag NTDS Settings wird angezeigt.
  6. Klicke auf den Eintrag NTDS Settings.
    > In der rechten Fensterhälfte werden die Replikationspartner angezeigt.
  7. Klicke im rechten Fenster mit der rechten Maustaste auf den Replikationspartner.
    > Wähle im Kontextmenü Jetzt replizieren.
    WinServ2012 Active-Directory - Standorte und Dienste - Replikation durchführen
    Durchführung einer Replikation

Die Stelle des Vertrauens

Damit ein Zugriff auf andere Ressourcen ermöglicht werden kann, sind über die Verbindungen sog. Vertrauensstellungen notwendig. In einer Gesamtstruktur sind alle Domänen, automatisch durch ihre jeweilige Installation, mit der erzeugten Vertrauensstellung untereinander verbunden. Ebenso können auch Vertrauensstellungen zwischen mehreren Gesamtstrukturen aufgebaut werden.

Bidirektionale Verbindung
Möchte ein Benutzer von einer Unterdomäne auf ein Verzeichnis zugreifen, dass sich in der Übergeordneten Domäne befindet ist dies durchaus möglich, wenn für dieses Verzeichnis die jeweiligen Rechte für diesen Benutzer frei gegeben sind. Ebenso funktioniert dies auch in die andere Richtung. Diese Verbindungsstellung nennt man auch bidirektional, da die Verbindung in beide Richtungen funktioniert.

Transitive Verbindung
Befindet sich eine Gruppe oder ein Benutzer in der Domäne D. und es besteht eine Vertrauensstellung zwischen den Domänen A,B,C, und D, haben ebenso diese Benutzer oder Gruppen die Möglichkeit auf Verzeichnisse zuzugreifen, die sich in der Domäne A befinden. Diese Vertrauensverbindung ist also auch transitiv, da die Verbindung auch weiter geleitet werden.

Zugriffe: 33782
Wir benutzen Cookies

Wir nutzen Cookies auf unserer Website. Einige von ihnen sind essenziell für den Betrieb der Seite, während andere uns helfen, diese Website und die Nutzererfahrung zu verbessern (Tracking Cookies). Sie können selbst entscheiden, ob Sie die Cookies zulassen möchten. Bitte beachten Sie, dass bei einer Ablehnung womöglich nicht mehr alle Funktionalitäten der Seite zur Verfügung stehen.

Akzeptieren Ablehnen
Datenschutzerklärung | Impressum