Windows Server 2012 R2 - Netzwerkadministration - HERDT
Transcrição
Windows Server 2012 R2 - Netzwerkadministration - HERDT
Windows Server 2012 R2 Martin Dausch Netzwerkadministration 1. Ausgabe, Juli 2014 W2012R2N 7 Windows Server 2012 R2 - Netzwerkadministration 7 Active Directory installieren In diesem Kapitel erfahren Sie D D D D D D D wie Sie Active Directory-Verzeichnisdienste installieren wie Sie eine Gesamtstruktur einrichten wie Sie eine Stammdomäne einrichten wie Sie einen neuen Domänencontroller zu einer vorhandenen Domäne hinzufügen wie Sie die Domänenfunktionsebene heraufstufen wie Sie eine DNS-Zone ins Active Directory integrieren können wie Sie Objekte im Active Directory erkunden können Voraussetzungen D DNS-Dienst einrichten und konfigurieren D Konzepte von Active Directory 7.1 Installation vorbereiten Logische Struktur für die Testumgebung Die Gesamtstruktur für das Unternehmen Firma GmbH besteht aus einer Domäne. Dies entspricht der gängigen Praxis. Es gilt, so wenige Domänen wie möglich zu installieren, da jede zusätzliche Domäne einen deutlichen administrativen und finanziellen Mehraufwand bedeutet. Falls Sie Ihre Testumgebung um zusätzliche untergeordnete Domänen erweitern möchten, vergessen Sie nicht, dass Sie nur als Organisationsadministrator Standorte verwalten, DHCP-Server autorisieren oder Gesamtstrukturfunktionsebenen hochstufen können. Planung der Implementierung Benötigte Informationen über die Gesamtstruktur: D DNS-Domänennamen Neue Domäne D NetBIOS-Namen Neue Struktur D Domänenfunktionsebene Neue Gesamtstruktur Struktur zur Gesamtstruktur hinzufügen Neue untergeordnete Domäne Vorhandene Domäne Domänencontroller zur Domäne hinzufügen Je nach geplanter struktureller Maßnahme müssen Sie für den jeweiligen Server unter Windows Server 2012 R2 entscheiden, welche Position in der Domänenhierarchie er einzunehmen hat. Außerdem müssen Sie die dafür benötigten Informationen wie DNS-Domänenname oder Kennwörter eines Administrators parat haben. 62 © HERDT-Verlag Active Directory installieren 7 Voraussetzungen Folgende Voraussetzungen müssen im Netzwerk bzw. auf den Servern unter Windows Server 2012 R2 erfüllt sein: D D Für jede Windows-Domäne muss mindestens ein Windows Server vorhanden sein. Ein Netzwerkadapter muss installiert und mit einer funktionierenden Gegenstelle verbunden sein. Als Netzwerkprotokoll muss TCP/IP verwendet werden. Es sollte eine statische IP-Adresse verwendet werden. D In jeder Domäne muss ein DNS-Server vorhanden sein, der SRV-Ressourceneinträge unterstützt. Soweit noch nicht vorhanden, kann der DNS-Serverdienst auch bei der Installation des Active Directorys installiert und konfiguriert werden. D Zusätzliche Domänencontroller müssen einen DNS-Server abfragen können, um die Domänendienste zu lokalisieren. D Für alle Server, die als Domänencontroller fungieren sollen, müssen Uhrzeit und Zeitzone korrekt eingestellt sein. D Sie benötigen die Anmeldeinformationen eines Organisations- oder Domänenadministrators, um eine neue Domäne zu einer Gesamtstruktur oder um einen weiteren Domänencontroller zu einer Domäne hinzuzufügen. Zusätzlich muss die Gesamtstruktur einmalig mit adprep.exe für die Installation von Windows-Server-2012 R2-Domänen vorbereitet werden. D Sollen Server-2012 R2-Domänencontroller zu bestehenden Vorgängerdomänen hinzugefügt werden, müssen diese ebenfalls mit adprep.exe vorbereitet werden. Verzeichnisdienste deinstallieren Sie können Active Directory auch wieder deinstallieren. Dadurch wird der betreffende Domänencontroller zu einem Mitgliedsserver in der Domäne oder zu einem alleinstehenden Server, falls er der letzte Domänencontroller war. Diese Maßnahme kann sinnvoll sein, wenn mehrere Domänencontroller in einer Domäne vorhanden sind, einer wiederholt ausfällt und Sie einen anderen Server zum Domänencontroller machen wollen. Ein anderes Beispiel wäre, dass Sie mehrere Domänen zusammenlegen möchten. Beachten Sie jedoch, dass Sie die Domäne verlieren, falls Sie die Verzeichnisdienste vom einzigen Domänencontroller Ihrer Domäne entfernen. Das Herabstufen des letzten Domänencontrollers muss im Assistenten explizit angegeben werden. Bekanntes DNS-Problem beim Heraufstufen zum DC Wenn Sie einen vorhandenen DNS-Server zum ersten Domänencontroller einer neuen Domäne machen, führte dies bei älteren Windows-Server-Versionen zu Problemen beim Anlegen einer sauberen DNS-Umgebung für die Domäne. Bei Server 2012 R2 scheint dies nicht mehr der Fall zu sein. Sie können dennoch sicherheitshalber vor dem Heraufstufen zum DC die Rolle DNS-Server deinstallieren, falls vorhanden. Anschließend lassen Sie beim Konfigurieren der Active Directory-Domänendienste den Dienst automatisch mit installieren. Dies hat den Vorteil der Integration von DNS ins Active Directory. Rolle DNS-Server entfernen Klicken Sie im Server-Manager im Menü Verwalten auf Rollen und Funktionen entfernen. Klicken Sie auf Weiter. Deaktivieren Sie das Kontrollkästchen für DNS-Server und bestätigen Sie das Entfernen der dazugehörigen Features mit Features entfernen. Falls Sie von diesem Server aus einen entfernten DNS-Server verwalten möchten, deaktivieren Sie die Option Verwaltungstools entfernen. Klicken Sie auf Weiter und dann auf Entfernen. Starten Sie den Server anschließend neu. © HERDT-Verlag 63 7 Windows Server 2012 R2 - Netzwerkadministration 7.2 Stammdomäne einrichten Aufgabenstellung In der Testumgebung soll die Gesamtstruktur für die Firma GmbH aufgebaut werden. Hierzu richten Sie die Stammdomäne firma.intern ein. Domänencontroller für die Stammdomäne der Gesamtstruktur wird der Server B-DC01. Die DNS-Zone firma.intern soll in das Active Directory integriert werden. Domänencontroller installieren Der Assistent zum Installieren der AD-Domänendienste befindet Rolle hinzufügen über das Menü sich nun im Server-Manager. Das bisher verwendete dcpromo ist Verwalten nicht mehr verfügbar. Melden Sie sich am Server BDC01 an und starten Sie den Server-Manager. Klicken Sie im ServerManager in der Menüzeile auf Verwalten. Klicken Sie auf Rollen und Funktionen hinzufügen. Wählen Sie als Installationstyp Rollenbasiert aus. Wählen Sie den Server aus. Aktivieren Sie die Serverrolle Active Directory-Domänendienste und bestätigen Sie das Hinzufügen der dafür benötigten Features mit Features hinzufügen. Auswahl der Serverrolle AD-Domänendienste Daraufhin werden die Remoteserver-Verwaltungstools und die AD-Domänendienste (AD DS) der Installationsliste hinzugefügt. Bestätigen Sie die Dialoge Serverrollen, Features und AD DS mit Weiter. Klicken Sie im Dialog Bestätigung auf Installieren. Die Installation der Serverrolle und der Features wird nun durchgeführt. Nach Abschluss der Installation zeigt der Installationsstatus an, dass alle Komponenten erfolgreich installiert wurden, dass jedoch noch weitere Schritte erforderlich sind, um den Server zum Domänencontroller heraufzustufen. 64 Heraufstufen zum DC aus dem Assistenten heraus © HERDT-Verlag 7 Active Directory installieren Klicken Sie auf den Link (siehe vorherige Abbildung), um den Server zum Domänencontroller heraufzustufen. oder Falls Sie den Assistenten während der Installation geschlossen haben, klicken Sie im Server-Manager auf das Fähnchen mit den aktuellen Aufgaben . Klicken Sie anschließend auf Server zu einem Domänencontroller Heraufstufen aus dem Menü heraus heraufstufen . Server zum Domänencontroller hochstufen Im Konfigurations-Assistenten für die Active Directory-Domänendienste müssen Sie zunächst entscheiden, welche Art von Domänencontroller Sie benötigen. Treffen Sie eine Auswahl: erstellt einen zusätzlichen DC in einer vorhandenen Domäne. erstellt den ersten DC einer neuen Domäne in einer vorhandenen Gesamtstruktur. Wenn diese Option aktiviert ist, können Sie anschließend zwischen einer untergeordneten Domäne (Subdomain) und einer Strukturdomäne auswählen. erstellt den ersten DC einer neuen Gesamtstruktur, eine Gesamtstruktur-Stammdomäne. Damit etablieren Sie ein neues Active Directory. Die weiteren Schritte hängen von der gewählten Option ab. Auswahl beim Erstellen des Domänencontrollers Neue Gesamtstruktur hinzufügen In der Testumgebung gibt es bisher keine Gesamtstruktur und keine Domänen, also benötigen Sie eine neue Gesamtstruktur. Wählen Sie auf der Seite Bereitstellungskonfiguration die Option Neue Gesamtstruktur hinzufügen . Geben Sie den vollqualifizierten Namen (FQDN) der neuen Gesamtstruktur-Stammdomäne ein . Wählen Sie hier (mindestens) eine Second-Level-Domain, z. B. firma.intern, und klicken Sie auf Weiter. Setzen Sie für Firma den Namen Ihres Unternehmens ein. © HERDT-Verlag 65 7 Windows Server 2012 R2 - Netzwerkadministration Auf der nächsten Seite können Sie die Domänencontrolleroptionen festlegen. Stellen Sie für die Testumgebung bei und jeweils Windows Server 2008 R2 ein, denn so können Sie anschließend in einer Übung die Ebenen heraufstufen. Legen Sie als Gesamtstrukturfunktionsebene anhand des ältesten DCs fest, der in der Gesamtstruktur verwendet werden soll. Bedenken Sie, dass es nicht möglich ist, die Funktionsebenen nachträglich abzusenken. Legen Sie anschließend die Domänenfunktionsebene fest . Stellen Sie sicher, dass die Optionen DNS-Server und Globaler Katalog aktiviert sind, denn jeder DC sollte auch DNS-Server sein. Der erste DC einer Gesamtstruktur muss globaler Katalog-Server sein, alle weiteren sollten es sein. Einen schreibgeschützten Domänencontroller können Sie nur installieren, wenn in der Domäne bereits ein Domänencontroller ab Windows Server 2008 vorhanden ist. Geben Sie zweimal das Verzeichnisdienst-Wiederherstellungskennwort ein . Dieses Kennwort benötigen Sie, wenn Sie gelöschte AD-Objekte nach einem Booten in den Verzeichnisdienst-Wiederherstellungsmodus zurückspielen wollen. Verwenden Sie hier ein komplexes Kennwort. Dieses sollte 7 oder mehr Zeichen lang sein und mindestens ein Zeichen aus drei der vier folgenden Gruppen enthalten: a - z, A - Z, 0 - 9, nicht alphanumerische Zeichen. Komplexe Kennwörter sind die Standardeinstellung in neuen Domänen. Das DSRM-Kennwort wird auf jedem Domänencontroller lokal gespeichert und muss für jeden DC getrennt verwaltet werden. Häufig wurde das Kennwort vor längerer Zeit festgelegt und nachträglich nicht mehr aktualisiert. Wenn Sie in einem neuen Firmennetz tätig werden, sollten Sie beizeiten eine Aktualisierung der DSRM-Kennwörter auf allen DCs einplanen, um nicht während einer Notfallwiederherstellung vor unbekannten Kennwörtern zu stehen. Klicken Sie auf Weiter. Sie erhalten auf der Seite DNS-Optionen eine Fehlermeldung, die Sie jedoch in diesem Fall ignorieren können. Klicken Sie auf Weiter. Überprüfen Sie auf der Seite Zusätzliche Optionen den NetBIOS-Domänennamen. Der Assistent schlägt Ihnen den linken Bestandteil des FQDN vor, in unserem Beispiel also FIRMA. Klicken Sie auf Weiter. 66 Pfade zum NTDS und SYSVOL © HERDT-Verlag 7 Active Directory installieren Ändern Sie bei Bedarf auf der folgenden Seite die Pfade zur AD DS-Datenbank, zu den Protokolldateien und zum SYSVOL. Klicken Sie auf Weiter. Für die Testumgebung ist keine Änderung erforderlich. Standardmäßig wird die Active Directory-Datenbank in einem Ordner namens NTDS (NT Directory Service) auf der Systempartition C:\ abgelegt. Da Windows aus Sicherheitsgründen für das Active Directory-Laufwerk den Schreibcache ausschaltet, empfiehlt sich in der Praxis die Verwendung eines separaten Datenträgers für den Datenbankordner. Die Protokolldateien sollten wiederum nicht auf dem gleichen Datenträger liegen wie die Datenbank, damit Sie bei Ausfall der Datenbankplatte aus einer Sicherung und den Änderungsprotokollen eine aktuelle Version der Datenbank erstellen können. Den Speicherort des Ordners SYSVOL sollten Sie nicht verschieben, da sich Replikationsprobleme ergeben können, wenn dieser nicht am Standardspeicherort liegt. Auf der Seite Optionen prüfen erhalten Sie eine Zusammenfassung Ihrer Einstellungen, die Sie mit einem Klick auf Skript anzeigen im Texteditor öffnen und abspeichern können. Diese Datei kann später bei unbeaufsichtigten Installationen wiederverwendet werden. Übersicht aller Optionen Überprüfen Sie die Auswahl und klicken Sie auf Weiter. Im letzten Schritt vor der Ausführung der Installation werden alle beteiligten Komponenten überprüft. Auch bei einer fehlerfreien Konfiguration werden stets mehrere Warnmeldungen angezeigt. Falls Sie als Endergebnis ein grünes Häkchen angezeigt bekommen, sind alle Bedingungen erfüllt. Falls die Überprüfung jedoch Fehler ergeben hat, müssen diese vor der Fertigstellung erst beseitigt werden. Klicken Sie auf Installieren. Der Installationsvorgang wird nun ausgeführt und der Server automatisch neu Überprüfung vor der Hochstufung zum DC. gestartet. Das Konto Administrator dieses Rechners wird automatisch Mitglied der Gruppen Organisations-, Schemaund Domänen-Admins. Als Kennwort wird das bestehende Administratorkennwort verwendet. Die IP-Konfiguration wird bei der Installation angepasst. Als primärer DNS-Server ist jetzt 127.0.0.1 (localhost) eingetragen. War vorher ein primärer DNS-Server konfiguriert, so fungiert er jetzt als sekundärer. Das gilt auch für die folgenden Beschreibungen. © HERDT-Verlag 67 7 Windows Server 2012 R2 - Netzwerkadministration In der Domäne anmelden Windows hat ein neues Konto für den Domänenadministrator angelegt und dafür die Kennwörter (Benutzername und Passwort) vom Konto des lokalen Administrators verwendet. Der erste Domänenadministrator in einer neuen Struktur ist verantwortlich für die Gesamtstruktur der Firma oder Organisation. Er wird deshalb auch als Organisations- oder als Enterprise-Admin bezeichnet und verfügt über alle Berechtigungen. Melden Sie sich am Server B-DC01 als Domänenadministrator in der Domäne firma.intern an. Das lokale Administratorkonto existiert auf einem Domänencontroller nicht mehr. Künftig wird jede Anmeldung durch die Domäne firma.intern autorisiert. Registrierung neuer DNS-Einträge überprüfen Domänencontroller und ihre Dienste werden im DNS mit Service-Ressourceneinträgen (Service Resource Records, SRV) identifiziert. Diese SRV-Einträge werden automatisch angelegt. Dies sollten Sie überprüfen, bevor Sie mit der Einrichtung der Testumgebung fortfahren: Geben Sie im Startbildschirm DNS ein und klicken Sie auf DNS. Erweitern Sie im DNS-Manager in der linken Spalte Forward-Lookupzonen und dann firma.intern. Hier sind einige neue Ordner hinzugekommen, wenn DNS richtig installiert wurde. Falls dies nicht der Fall ist, sollten Sie in Erwägung ziehen, DNS zu entfernen und erneut zu installieren. Ohne korrekt funktionierendes DNS kann Ihre Testumgebung nicht richtig arbeiten. Sie können sich die SRV-Einträge ansehen, beispielsweise im Ordner _tcp . Falls vorher schon ReverseLookupzonen und Stubzonen existierten, sind sie vom DNS-Serverdienst bei der Einrichtung übernommen worden, da die Zonendatendateien bereits an entsprechender Stelle im Dateisystem vorhanden waren. SRV-Einträge zur Dienstidentifizierung ansehen 68 © HERDT-Verlag 7 Active Directory installieren DNS-Zone ins Active Directory integrieren Wenn die Zone beim Hochstufen des Servers vom System erstellt wurde, wurde sie automatisch ins Active Directory integriert. Sie können dies wie folgt überprüfen: Klicken Sie mit der rechten Maustaste im DNSManager auf die Zone firma.intern. Wählen Sie im Kontextmenü Eigenschaften. Auf der Registerkarte Allgemein wird angezeigt, ob die Zone ins Active Directory integriert ist . Bei Bedarf können Sie dies auch nachträglich ändern . Erstellung der Registrierungseinträge erzwingen Die SRV-Einträge werden vom System bei jedem Start des Anmeldedienstes automatisch angelegt. Sollte dies einmal nicht der Fall sein, können Sie die Registrierung durch einen Neustart des Dienstes manuell erzwingen. Zone in das Active Directory integrieren Öffnen Sie die Eingabeaufforderung. Beenden Sie den Anmeldedienst mit dem Befehl net stop netlogon Ü. Starten Sie den Dienst erneut. Geben Sie dazu folgenden Befehl ein: net start netlogon Ü. 7.3 Domänencontroller zur Domäne hinzufügen B-DC02 zum zusätzlichen DC machen Der Server B-DC02 soll zum zusätzlichen Domänencontroller in der Domäne firma.intern heraufgestuft werden. Dafür ist eine funktionierende Netzwerkverbindung erforderlich. Es vereinfacht die Sache, wenn Sie in den Netzwerkeigenschaften von B-DC02 als DNS-Server B-DC01 eintragen. Die Serverrolle AD DS haben Sie bereits hinzugefügt. Melden Sie sich am virtuellen Server B-DC02 als lokaler Administrator an. Klicken Sie im Server-Manager auf das Fähnchen und anschließend auf Server zu einem Domänencontroller heraufstufen. Domänencontroller zu einer vorhandenen Gesamtstruktur hinzufügen Das Hinzufügen eines zusätzlichen Domänencontrollers verläuft ähnlich wie das Erstellen einer neuen Gesamtstruktur. Wählen Sie die Option Domänencontroller zu einer vorhandenen Gesamtstruktur hinzufügen. Wählen Sie als Namen der Domäne firma.intern und geben Sie die Anmeldeinformationen eines Domänenadministrators ein. Verwenden Sie dabei die Form firma.intern\Administrator. Klicken Sie auf Weiter. © HERDT-Verlag 69