Wege zum stabilen und schnellen Active Directory

In 12 Schritten zum perfekten Domänen-Controller

| Autor / Redakteur: Thomas Joos / Andreas Donner

Mit etwas Know-how gelingt die Konfiguration einer Active-Directory-Domäne spielend.
Mit etwas Know-how gelingt die Konfiguration einer Active-Directory-Domäne spielend. (Bild: © XtravaganT - Fotolia.com)

„Active Directory“ ist in Windows-Netzwerken essentielle Grundlage für einen stabilen Betrieb. Damit das AD optimal funktioniert, sollten Administratoren bei der Installation der Domäne und der Domänen-Controller besonders umsichtig vorgehen. Wir zeigen die zwölf wichtigsten Schritte beim Installieren neuer Domänen-Controller auf Basis von „Windows Server 2012 R2“ und „2016“.

Schritt 1: DNS für Active Directory installieren und einrichten

Um ein neues Active Directory zu erstellen, muss als erstes auf dem ersten geplanten Domänen-Controller die DNS-Erweiterung zu installiert werden. Die Installation erfolgt über den Server-Manager als Server-Rolle. Nach der Installation ist das Verwaltungsprogramm für den DNS-Server im Server-Manager über den Bereich „Tools“ zu finden. Die Vorgehensweise ist bei Server 2012 R2 und Server 2016 identisch.

Mit den Knoten „Forward-Lookupzonen“ (Auflösung der IP-Adresse nach Rechnername) und „Reverse-Lookupzonen“ (Auflösung des Rechnernamens nach IP-Adresse) werden die Zonen angelegt, die Active Directory für seinen Betrieb benötigt. Die erste und wichtigste Zone, ist die Forward-Lookupzone der ersten Domäne von Active Directory. Um diese zu erstellen klicken Administratoren mit der rechten Maustaste auf den entsprechenden Button und wählen im Kontextmenü den Eintrag „Neue Zone“ aus. Beim Erstellen neuer Domänen in Active Directory werden ausschließlich primäre Domänen benötigt.

Auf der nächsten Seite des Assistenten wird der Name der neuen Zone festgelegt. Hier ist es extrem wichtig, dass als Zonennamen exakt der Name verwendet wird, der auch als DNS-Suffix des Servers eingetragen wurde und der als DNS-Name der Active Directory-Domäne genutzt werden soll.

DNS-Server unter Windows Server 2012 R2 und Windows Server 2016 arbeiten mit dynamischen Updates. Das heißt, alle Server-Namen und IP-Adressen sowie die SRV-Records von Active Directory werden automatisch in diese Zone eingetragen.

Der Installations-Assistent von Active Directory muss in einer Zone Dutzende Einträge automatisch erstellen können. Daher sollte beim Erstellen einer neuen Zone die Option „Nicht sichere und sichere dynamische Updates zulassen“ aktiviert werden (siehe: Abbildung 1). Diese Option können Administratoren erst nach der Erstellung von Active Directory aktivieren – dies sollte man auch unbedingt tun, da dadurch die Sicherheit steigt und sich ausschließlich Domänen-Computer registrieren dürfen.

Schritt 2: Reverse-Lookup und DNS-Suffix des Servers setzen

Im Anschluss sollte eine Reverse-Lookupzone erstellt werden. Diese Zone ist dafür zuständig, IP-Adressen in Rechnernamen zu übersetzen. Diese Zonen werden zwar für den stabilen Betrieb von Active Directory nicht zwingend benötigt, gehören aber dennoch zu einer ordentlichen Namensauflösung im Netzwerk dazu.

Mithilfe der Zonen funktioniert die Namensauflösung in beide Richtungen, so dass sich auf Basis von IP-Adressen auch Rechnernamen auflösen lassen. Bei der Einrichtung der Zone hilft ein Assistent.

Hat sich der Server noch nicht automatisch registriert, hilft die Eingabe des Befehls „ipconfig /registerdns“ in der Eingabeaufforderung. Der Befehl aktiviert die dynamische Registrierung. Danach sollte die IP-Adresse des Servers in der Zone registriert sein.

Das funktioniert aber nur dann, wenn das DNS-Suffix des Servers über „Systemsteuerung/System“ und „Sicherheit/System/Erweiterte Systemeinstellungen/Computername/Ändern“ angepasst ist. Im Fenster wird dazu auf die Schaltfläche „Weitere“ geklickt und das DNS-Suffix des Servers angegeben (siehe: Abbildung 2). Die Einstellungen gelten sowohl für Windows Server 2012 R2 als auch für Windows Server 2016.

Schritt 3: Überprüfung der DNS-Einstellungen

Bevor Active Directory auf dem Server installiert wird, sollte sichergestellt sein, dass alle DNS-Einstellungen korrekt vorgenommen sind. Dazu sollte auch überprüft werden, ob sich der Server sowohl in der Forward- als auch in der Reverse-Lookupzone eingetragen hat. Die Überprüfung erfolgt in der Eingabeaufforderung über den Befehl „nslookup“. Es dürfen keine Fehlermeldungen erscheinen. Außerdem muss der richtige FQDN des DNS-Servers und seine IP-Adresse angezeigt werden (siehe: Abbildung 3).

Schritt 4: Installation der Active-Directory-Domänendienste-Rolle

Neben dem Server-Manager lassen sich die Binärdateien von Active Directory – inklusive der Verwaltungs-Tools – auch in der Powershell installieren. Dazu dient in beiden Server-Varianten der Befehl:

Install-WindowsFeature -Name AD-Domain-Services -IncludeManagementTools

Schritt 5: Starten der Installation von Active Directory

Nachdem die Server-Rolle installiert ist, beginnt die Einrichtung der Domäne. Dieser Vorgang wird im Server-Manager über das Wartungssymbol gestartet (siehe: Abbildung 4). Beim Erstellen der ersten Domäne für die Gesamtstruktur wählen Administratoren die Option „Neue Gesamtstruktur hinzufügen“ aus. Als nächstes wird der DNS-Name der Domäne festgelegt. Dieser muss mit der erstellten DNS-Zone und dem DNS-Suffix des ersten Domänen-Controller übereinstimmen.

Auf der nächsten Seite des Assistenten werden die Funktionsebene der Gesamtstruktur und damit aller Domänen sowie einzelne Domänen festgelegt. Die Funktionsebene für die Domänen kann im Snap-In „Active Directory-Benutzer und -Computer“ über das Kontextmenü der Domäne konfiguriert werden. Die Funktionsebene für die Gesamtstruktur stellen Administratoren über das Snap-In „Active Directory-Domänen und -Vertrauensstellungen“ ein, ebenfalls über das Kontextmenü.

Das Abändern der Funktionsebene lässt sich nicht rückgängig machen. Die Funktionsebene „Windows Server 2012 R2“ aktivieren Administratoren, wenn nur Domänen-Controller mit Windows Server 2012 R2 eingesetzt werden. Das gilt äquivalent für das Installieren einer Domäne mit Domänen-Controller auf Basis von Windows Server 2016. Der neue Domänen-Controller wird darüber hinaus auch der erste globale Katalog-Server.

Im Fenster wird das Kennwort für den Verzeichnisdienst-Wiederherstellungsmodus angegeben. Hierbei handelt es sich um das Kennwort des lokalen Administrators, wenn zur Wiederherstellung von Active Directory der Server im Verzeichnisdienst-Wiederherstellungsmodus gestartet wird.

Weiter mit Schritt sechs bis zwölf.

Inhalt des Artikels:

Was meinen Sie zu diesem Thema?
Danke für den Artikel. Auch wenn nichts weltbewegenden drinnen steht ist es doch eine gute Lektüre...  lesen
posted am 20.01.2017 um 04:09 von MikeyDread

gäähn  lesen
posted am 01.12.2016 um 09:39 von Unregistriert


Mitdiskutieren
copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 44323165 / Anwendungen)