Windows Server 2012 R2 - Netzwerkadministration - HERDT

Windows Server 2012 R2
Martin Dausch
Netzwerkadministration
1. Ausgabe, Juli 2014
W2012R2N
7
Windows Server 2012 R2 - Netzwerkadministration
7
Active Directory installieren
In diesem Kapitel erfahren Sie
D
D
D
D
D
D
D
wie Sie Active Directory-Verzeichnisdienste installieren
wie Sie eine Gesamtstruktur einrichten
wie Sie eine Stammdomäne einrichten
wie Sie einen neuen Domänencontroller zu einer vorhandenen Domäne hinzufügen
wie Sie die Domänenfunktionsebene heraufstufen
wie Sie eine DNS-Zone ins Active Directory integrieren können
wie Sie Objekte im Active Directory erkunden können
Voraussetzungen
D DNS-Dienst einrichten und konfigurieren
D Konzepte von Active Directory
7.1
Installation vorbereiten
Logische Struktur für die Testumgebung
Die Gesamtstruktur für das Unternehmen Firma GmbH besteht aus einer Domäne. Dies entspricht der gängigen Praxis. Es gilt, so wenige Domänen wie möglich zu installieren, da jede zusätzliche Domäne einen deutlichen administrativen und finanziellen Mehraufwand bedeutet.
Falls Sie Ihre Testumgebung um zusätzliche untergeordnete Domänen erweitern möchten, vergessen Sie
nicht, dass Sie nur als Organisationsadministrator Standorte verwalten, DHCP-Server autorisieren oder
Gesamtstrukturfunktionsebenen hochstufen können.
Planung der Implementierung
Benötigte Informationen über die Gesamtstruktur:
D
DNS-Domänennamen
Neue Domäne
D
NetBIOS-Namen
Neue Struktur
D
Domänenfunktionsebene
Neue Gesamtstruktur
Struktur zur Gesamtstruktur hinzufügen
Neue untergeordnete
Domäne
Vorhandene Domäne
Domänencontroller zur
Domäne hinzufügen
Je nach geplanter struktureller Maßnahme müssen Sie für den jeweiligen Server unter Windows Server 2012
R2 entscheiden, welche Position in der Domänenhierarchie er einzunehmen hat. Außerdem müssen Sie die
dafür benötigten Informationen wie DNS-Domänenname oder Kennwörter eines Administrators parat haben.
62
© HERDT-Verlag
Active Directory installieren
7
Voraussetzungen
Folgende Voraussetzungen müssen im Netzwerk bzw. auf den Servern unter Windows Server 2012 R2 erfüllt
sein:
D
D
Für jede Windows-Domäne muss mindestens ein Windows Server vorhanden sein.
Ein Netzwerkadapter muss installiert und mit einer funktionierenden Gegenstelle verbunden sein. Als
Netzwerkprotokoll muss TCP/IP verwendet werden. Es sollte eine statische IP-Adresse verwendet
werden.
D
In jeder Domäne muss ein DNS-Server vorhanden sein, der SRV-Ressourceneinträge unterstützt. Soweit
noch nicht vorhanden, kann der DNS-Serverdienst auch bei der Installation des Active Directorys installiert und konfiguriert werden.
D
Zusätzliche Domänencontroller müssen einen DNS-Server abfragen können, um die Domänendienste
zu lokalisieren.
D
Für alle Server, die als Domänencontroller fungieren sollen, müssen Uhrzeit und Zeitzone korrekt
eingestellt sein.
D
Sie benötigen die Anmeldeinformationen eines Organisations- oder Domänenadministrators, um eine
neue Domäne zu einer Gesamtstruktur oder um einen weiteren Domänencontroller zu einer Domäne
hinzuzufügen. Zusätzlich muss die Gesamtstruktur einmalig mit adprep.exe für die Installation von
Windows-Server-2012 R2-Domänen vorbereitet werden.
D
Sollen Server-2012 R2-Domänencontroller zu bestehenden Vorgängerdomänen hinzugefügt werden,
müssen diese ebenfalls mit adprep.exe vorbereitet werden.
Verzeichnisdienste deinstallieren
Sie können Active Directory auch wieder deinstallieren. Dadurch wird der betreffende Domänencontroller zu
einem Mitgliedsserver in der Domäne oder zu einem alleinstehenden Server, falls er der letzte Domänencontroller war. Diese Maßnahme kann sinnvoll sein, wenn mehrere Domänencontroller in einer Domäne
vorhanden sind, einer wiederholt ausfällt und Sie einen anderen Server zum Domänencontroller machen
wollen. Ein anderes Beispiel wäre, dass Sie mehrere Domänen zusammenlegen möchten.
Beachten Sie jedoch, dass Sie die Domäne verlieren, falls Sie die Verzeichnisdienste vom einzigen Domänencontroller Ihrer Domäne entfernen. Das Herabstufen des letzten Domänencontrollers muss im Assistenten
explizit angegeben werden.
Bekanntes DNS-Problem beim Heraufstufen zum DC
Wenn Sie einen vorhandenen DNS-Server zum ersten Domänencontroller einer neuen Domäne machen, führte dies bei älteren Windows-Server-Versionen zu Problemen beim Anlegen einer sauberen DNS-Umgebung
für die Domäne. Bei Server 2012 R2 scheint dies nicht mehr der Fall zu sein. Sie können dennoch sicherheitshalber vor dem Heraufstufen zum DC die Rolle DNS-Server deinstallieren, falls vorhanden. Anschließend
lassen Sie beim Konfigurieren der Active Directory-Domänendienste den Dienst automatisch mit installieren.
Dies hat den Vorteil der Integration von DNS ins Active Directory.
Rolle DNS-Server entfernen
Klicken Sie im Server-Manager im Menü Verwalten auf Rollen und Funktionen entfernen.
Klicken Sie auf Weiter.
Deaktivieren Sie das Kontrollkästchen für
DNS-Server und bestätigen Sie das Entfernen
der dazugehörigen Features mit Features
entfernen.
Falls Sie von diesem Server aus einen entfernten DNS-Server verwalten möchten, deaktivieren Sie die Option Verwaltungstools
entfernen.
Klicken Sie auf Weiter und dann auf
Entfernen.
Starten Sie den Server anschließend neu.
© HERDT-Verlag
63
7
Windows Server 2012 R2 - Netzwerkadministration
7.2
Stammdomäne einrichten
Aufgabenstellung
In der Testumgebung soll die Gesamtstruktur für die Firma
GmbH aufgebaut werden. Hierzu richten Sie die Stammdomäne
firma.intern ein. Domänencontroller für die Stammdomäne der
Gesamtstruktur wird der Server B-DC01. Die DNS-Zone
firma.intern soll in das Active Directory integriert werden.
Domänencontroller installieren
Der Assistent zum Installieren der AD-Domänendienste befindet Rolle hinzufügen über das Menü
sich nun im Server-Manager. Das bisher verwendete dcpromo ist Verwalten
nicht mehr verfügbar.
Melden Sie sich am Server BDC01 an und starten Sie den
Server-Manager.
Klicken Sie im ServerManager in der Menüzeile
auf Verwalten.
Klicken Sie auf Rollen und
Funktionen hinzufügen.
Wählen Sie als Installationstyp Rollenbasiert aus.
Wählen Sie den Server aus.
Aktivieren Sie die Serverrolle
Active Directory-Domänendienste und bestätigen Sie
das Hinzufügen der dafür
benötigten Features mit
Features hinzufügen.
Auswahl der Serverrolle AD-Domänendienste
Daraufhin werden die
Remoteserver-Verwaltungstools und die AD-Domänendienste (AD DS) der Installationsliste hinzugefügt.
Bestätigen Sie die Dialoge
Serverrollen, Features und
AD DS mit Weiter.
Klicken Sie im Dialog Bestätigung auf Installieren.

Die Installation der Serverrolle und der Features wird
nun durchgeführt.
Nach Abschluss der Installation zeigt
der Installationsstatus an, dass alle
Komponenten erfolgreich installiert
wurden, dass jedoch noch weitere
Schritte erforderlich sind, um den Server zum Domänencontroller heraufzustufen.
64
Heraufstufen zum DC aus dem Assistenten heraus
© HERDT-Verlag
7
Active Directory installieren
Klicken Sie auf den Link  (siehe vorherige Abbildung),
um den Server zum Domänencontroller heraufzustufen.

oder
Falls Sie den Assistenten während der Installation
geschlossen haben, klicken Sie im Server-Manager auf das
Fähnchen mit den aktuellen Aufgaben . Klicken Sie

anschließend auf Server zu einem Domänencontroller
Heraufstufen aus dem Menü heraus
heraufstufen .
Server zum Domänencontroller hochstufen
Im Konfigurations-Assistenten für die Active Directory-Domänendienste müssen Sie zunächst entscheiden,
welche Art von Domänencontroller Sie benötigen.
Treffen Sie eine Auswahl:



erstellt einen zusätzlichen DC in einer vorhandenen Domäne.
erstellt den ersten DC einer neuen Domäne in einer vorhandenen Gesamtstruktur. Wenn
diese Option aktiviert ist, können Sie anschließend zwischen einer untergeordneten Domäne
(Subdomain) und einer Strukturdomäne auswählen.
erstellt den ersten DC einer neuen Gesamtstruktur, eine Gesamtstruktur-Stammdomäne.
Damit etablieren Sie ein neues Active Directory.
Die weiteren Schritte hängen von der gewählten Option ab.



Auswahl beim Erstellen des Domänencontrollers
Neue Gesamtstruktur hinzufügen
In der Testumgebung gibt es bisher keine Gesamtstruktur und keine Domänen, also benötigen Sie eine neue
Gesamtstruktur.
Wählen Sie auf der Seite Bereitstellungskonfiguration die Option Neue Gesamtstruktur hinzufügen .
Geben Sie den vollqualifizierten Namen
(FQDN) der neuen Gesamtstruktur-Stammdomäne ein . Wählen Sie hier (mindestens)
eine Second-Level-Domain, z. B. firma.intern,
und klicken Sie auf Weiter.
Setzen Sie für Firma den Namen Ihres Unternehmens ein.
© HERDT-Verlag


65
7
Windows Server 2012 R2 - Netzwerkadministration
Auf der nächsten Seite können Sie die Domänencontrolleroptionen festlegen.
Stellen Sie für die Testumgebung bei  und  jeweils Windows Server 2008 R2 ein, denn so
können Sie anschließend in einer Übung die Ebenen heraufstufen.
Legen Sie als Gesamtstrukturfunktionsebene  anhand des ältesten DCs fest, der in der Gesamtstruktur verwendet werden soll. Bedenken Sie, dass es nicht möglich ist, die Funktionsebenen nachträglich abzusenken.
Legen Sie anschließend die Domänenfunktionsebene fest .
Stellen Sie sicher, dass die Optionen DNS-Server  und Globaler Katalog  aktiviert sind,
denn jeder DC sollte auch DNS-Server sein. Der erste DC einer Gesamtstruktur muss globaler
Katalog-Server  sein, alle weiteren sollten es sein. Einen schreibgeschützten Domänencontroller  können Sie nur installieren, wenn in der Domäne bereits ein Domänencontroller ab Windows Server 2008 vorhanden ist.
Geben Sie zweimal das Verzeichnisdienst-Wiederherstellungskennwort ein . Dieses Kennwort benötigen Sie, wenn Sie gelöschte AD-Objekte nach einem Booten in den Verzeichnisdienst-Wiederherstellungsmodus zurückspielen wollen.






Verwenden Sie hier ein komplexes Kennwort. Dieses sollte 7 oder mehr Zeichen lang sein und mindestens ein
Zeichen aus drei der vier folgenden Gruppen enthalten: a - z, A - Z, 0 - 9, nicht alphanumerische Zeichen.
Komplexe Kennwörter sind die Standardeinstellung in neuen Domänen.
Das DSRM-Kennwort wird auf jedem Domänencontroller lokal gespeichert und muss für jeden DC getrennt
verwaltet werden. Häufig wurde das Kennwort vor längerer Zeit festgelegt und nachträglich nicht mehr
aktualisiert. Wenn Sie in einem neuen Firmennetz tätig werden, sollten Sie beizeiten eine Aktualisierung der
DSRM-Kennwörter auf allen DCs einplanen, um nicht während einer Notfallwiederherstellung vor unbekannten Kennwörtern zu stehen.
Klicken Sie auf Weiter. Sie erhalten auf der
Seite DNS-Optionen eine Fehlermeldung, die
Sie jedoch in diesem Fall ignorieren können.
Klicken Sie auf Weiter.
Überprüfen Sie auf der Seite Zusätzliche
Optionen den NetBIOS-Domänennamen. Der
Assistent schlägt Ihnen den linken Bestandteil des FQDN vor, in unserem Beispiel also
FIRMA. Klicken Sie auf Weiter.
66
Pfade zum NTDS und SYSVOL
© HERDT-Verlag
7
Active Directory installieren
Ändern Sie bei Bedarf auf der folgenden Seite die Pfade zur AD DS-Datenbank, zu den
Protokolldateien und zum SYSVOL. Klicken Sie auf Weiter.
Für die Testumgebung ist keine Änderung erforderlich.
Standardmäßig wird die Active Directory-Datenbank in
einem Ordner namens NTDS (NT Directory Service) auf der
Systempartition C:\ abgelegt. Da Windows aus Sicherheitsgründen für das Active Directory-Laufwerk den Schreibcache ausschaltet, empfiehlt sich in der Praxis die Verwendung eines separaten Datenträgers für den Datenbankordner. Die Protokolldateien sollten wiederum nicht auf
dem gleichen Datenträger liegen wie die Datenbank, damit Sie bei Ausfall der Datenbankplatte aus einer Sicherung und den Änderungsprotokollen eine aktuelle Version
der Datenbank erstellen können. Den Speicherort des
Ordners SYSVOL sollten Sie nicht verschieben, da sich
Replikationsprobleme ergeben können, wenn dieser nicht
am Standardspeicherort liegt.
Auf der Seite Optionen prüfen erhalten Sie eine Zusammenfassung Ihrer Einstellungen, die Sie mit einem Klick
auf Skript anzeigen  im Texteditor öffnen und abspeichern können. Diese Datei kann später bei unbeaufsichtigten Installationen wiederverwendet werden.

Übersicht aller Optionen
Überprüfen Sie die Auswahl
und klicken Sie auf Weiter.
Im letzten Schritt vor der Ausführung
der Installation werden alle beteiligten
Komponenten überprüft. Auch bei
einer fehlerfreien Konfiguration werden stets mehrere Warnmeldungen
angezeigt. Falls Sie als Endergebnis ein
grünes Häkchen  angezeigt bekommen, sind alle Bedingungen erfüllt.
Falls die Überprüfung jedoch Fehler
ergeben hat, müssen diese vor der
Fertigstellung erst beseitigt werden.

Klicken Sie auf Installieren.
Der Installationsvorgang wird
nun ausgeführt und der
Server automatisch neu
Überprüfung vor der Hochstufung zum DC.
gestartet.
Das Konto Administrator dieses Rechners wird automatisch Mitglied der Gruppen Organisations-, Schemaund Domänen-Admins. Als Kennwort wird das bestehende Administratorkennwort verwendet.
Die IP-Konfiguration wird bei der Installation angepasst. Als primärer DNS-Server ist jetzt 127.0.0.1 (localhost)
eingetragen. War vorher ein primärer DNS-Server konfiguriert, so fungiert er jetzt als sekundärer. Das gilt
auch für die folgenden Beschreibungen.
© HERDT-Verlag
67
7
Windows Server 2012 R2 - Netzwerkadministration
In der Domäne anmelden
Windows hat ein neues Konto für den Domänenadministrator angelegt und dafür die Kennwörter (Benutzername und Passwort) vom Konto des lokalen Administrators verwendet. Der erste Domänenadministrator in
einer neuen Struktur ist verantwortlich für die Gesamtstruktur der Firma oder Organisation. Er wird deshalb
auch als Organisations- oder als Enterprise-Admin bezeichnet und verfügt über alle Berechtigungen.
Melden Sie sich am Server B-DC01 als Domänenadministrator in der Domäne firma.intern an.
Das lokale Administratorkonto existiert auf einem Domänencontroller nicht mehr. Künftig wird jede Anmeldung durch die Domäne firma.intern autorisiert.
Registrierung neuer DNS-Einträge überprüfen
Domänencontroller und ihre Dienste werden im DNS mit Service-Ressourceneinträgen (Service Resource
Records, SRV) identifiziert. Diese SRV-Einträge werden automatisch angelegt. Dies sollten Sie überprüfen,
bevor Sie mit der Einrichtung der Testumgebung fortfahren:
Geben Sie im Startbildschirm DNS ein und klicken Sie auf DNS.
Erweitern Sie im DNS-Manager in der linken Spalte Forward-Lookupzonen und dann
firma.intern.
Hier sind einige neue Ordner hinzugekommen, wenn DNS richtig installiert wurde. Falls dies nicht der Fall ist,
sollten Sie in Erwägung ziehen, DNS zu entfernen und erneut zu installieren. Ohne korrekt funktionierendes
DNS kann Ihre Testumgebung nicht richtig arbeiten.
Sie können sich die SRV-Einträge ansehen, beispielsweise im Ordner _tcp . Falls vorher schon ReverseLookupzonen und Stubzonen existierten, sind sie vom DNS-Serverdienst bei der Einrichtung übernommen
worden, da die Zonendatendateien bereits an entsprechender Stelle im Dateisystem vorhanden waren.

SRV-Einträge zur Dienstidentifizierung ansehen
68
© HERDT-Verlag
7
Active Directory installieren
DNS-Zone ins Active Directory integrieren
Wenn die Zone beim Hochstufen des Servers vom System
erstellt wurde, wurde sie automatisch ins Active Directory
integriert. Sie können dies wie folgt überprüfen:
Klicken Sie mit der rechten Maustaste im DNSManager auf die Zone firma.intern. Wählen Sie
im Kontextmenü Eigenschaften.


Auf der Registerkarte Allgemein wird angezeigt, ob die
Zone ins Active Directory integriert ist . Bei Bedarf
können Sie dies auch nachträglich ändern .
Erstellung der Registrierungseinträge erzwingen
Die SRV-Einträge werden vom System bei jedem Start des
Anmeldedienstes automatisch angelegt. Sollte dies einmal
nicht der Fall sein, können Sie die Registrierung durch einen
Neustart des Dienstes manuell erzwingen.
Zone in das Active Directory integrieren
Öffnen Sie die Eingabeaufforderung.
Beenden Sie den Anmeldedienst mit dem Befehl
net stop netlogon Ü.
Starten Sie den Dienst erneut. Geben Sie dazu folgenden Befehl ein:
net start netlogon Ü.
7.3
Domänencontroller zur Domäne hinzufügen
B-DC02 zum zusätzlichen DC machen
Der Server B-DC02 soll zum zusätzlichen Domänencontroller in der Domäne firma.intern heraufgestuft
werden. Dafür ist eine funktionierende Netzwerkverbindung erforderlich. Es vereinfacht die Sache, wenn Sie
in den Netzwerkeigenschaften von B-DC02 als DNS-Server B-DC01 eintragen. Die Serverrolle AD DS haben Sie
bereits hinzugefügt.
Melden Sie sich am virtuellen Server B-DC02 als lokaler Administrator an.
Klicken Sie im Server-Manager auf das Fähnchen und anschließend auf Server zu einem
Domänencontroller heraufstufen.
Domänencontroller zu einer vorhandenen Gesamtstruktur hinzufügen
Das Hinzufügen eines zusätzlichen Domänencontrollers verläuft ähnlich wie das Erstellen einer neuen
Gesamtstruktur.
Wählen Sie die Option Domänencontroller zu einer vorhandenen Gesamtstruktur hinzufügen.
Wählen Sie als Namen der Domäne firma.intern und geben Sie die Anmeldeinformationen eines Domänenadministrators ein.
Verwenden Sie dabei die Form firma.intern\Administrator.
Klicken Sie auf Weiter.
© HERDT-Verlag
69