Domänencontroller optimal und sicher konfigurieren

Diese Active-Directory-Einstellungen müssen Admins kennen

| Autor / Redakteur: Thomas Joos / Andreas Donner

Mit diesen Einstellungen betreiben Sie Ihre Active-Directory-Umgebungen fehlerfrei und sicher!
Mit diesen Einstellungen betreiben Sie Ihre Active-Directory-Umgebungen fehlerfrei und sicher! (Bild: Kheng Guan Toh - Fotolia.com)

Administratoren von Active-Directory-Umgebungen sollten einige Einstellungen kennen und regelmäßig überprüfen, damit das AD möglichst problemlos betrieben werden kann – vor allem in puncto der Sicherheit und Datenschutz. Die Einstellungen in diesem Beitrag sind für Windows Server 2012 R2 & 2016 sowie die meisten Vorgängerversionen gültig.

In Windows Server 2012 R2 sind viele Active-Directory-Objekte vor dem versehentlichen Löschen geschützt. Dieser Schutz ist standardmäßig aktiviert. Nachdem Administratoren über das Menü "Ansicht" in der Verwaltungskonsole "Active Directory-Benutzer und -Computer" die erweiterte Ansicht aktiviert haben, ist auf der Registerkarte "Objekt" das Kontrollkästchen "Objekt vor zufälligem Löschen schützen" zu finden (siehe Abbildung 1).

Diese Option steuert die Berechtigungen des Objektes. Diese sind auf der Registerkarte "Sicherheit" in den Eigenschaften zu finden. Der Gruppe "Jeder" wird der Eintrag "Löschen" verweigert. Dies äußert sich darin, dass ein Administrator vor dem Löschen eines solchen geschützten Objektes zunächst das Kontrollkästchen zu dieser Option deaktivieren muss, bevor er das Objekt löschen kann. Deaktivieren Administratoren das Kontrollkästchen nicht, erhalten sie eine Fehlermeldung, dass der Zugriff verweigert wird, wenn sie das Objekt löschen wollen (siehe Abbildung 2).

Remote-PowerShell aktivieren, nutzen und Verbindungsprobleme beheben

Damit sich ein Domänencontroller in der PowerShell remote verwalten lässt, muss die Funktion zunächst aktiviert werden. Dazu geben Administratoren in einer PowerShell-Sitzung auf dem Ziel-Server den Befehl "Enable-PSRemoting -Force" ein. Rückgängig machen lässt sich der Vorgang mit "Disable-PSRemoting -Force" (siehe Abbildung 3).

Sollte die Verbindung nicht funktionieren, sollte in der Eingabeaufforderung noch der Befehl "winrm enumerate winrm/config/listener" eingegeben werden. Ein Listener mit dem Port 5985 muss aktiv und an alle IP-Adressen des Servers gebunden sein. Selbstverständlich darf der Port nicht durch eine Firewall blockiert werden. Standardmäßig schaltet Windows Server 2012 R2 den Port in der Windows-Firewall aber frei. Setzen Unternehmen eine weitere Firewall zwischen Client und Server ein, muss dieser Port auch hier freigeschaltet werden.

Nicht alle Cmdlets eignen sich für eine Remoteverwaltung von Servern. Administratoren können vor allem die Cmdlets nutzen, welche über die Option "-ComputerName" verfügen. Um sich alle Cmdlets anzeigen zu lassen, die diese Option unterstützen, also Server auch über das Netzwerk verwalten zu können, hilft der Befehl "Get-Help * -Parameter ComputerName".

Verwalten der Betriebsmasterrollen von Domänencontrollern

In Active Directory sind zunächst alle Domänencontroller gleichberechtigt. Allerdings gibt es fünf unterschiedliche Rollen, die ein Domänencontroller annehmen kann und die seine zentrale Aufgabe in Active Directory steuern. Die verschiedenen Rollen werden als Flexible Single Master Operators (FSMOs) bezeichnet. Jede dieser Rollen ist entweder einmalig pro Domäne (PDC-Emulator, Infrastrukturmaster, RID-Master) oder einmalig pro Gesamtstruktur (Schemamaster, Domänennamenmaster).

Fällt eine dieser Rollen aus, kommt es in Active Directory zu Fehlfunktionen. Die drei Schemamaster für Domänen sind in der Konsole "Active Directory-Benutzer und -Computer" über das Kontextmenü der Domäne zu sehen. Verbinden sich Administratoren in der Konsole mit einem anderen Domänencontroller, lassen sich die Betriebsmaster auch verschieben. Die beiden Betriebsmaster für die Gesamtstruktur (Domänennamen-Master und Schema-Master) spielen nur beim Installieren neuer Domänen und dem Erweitern des Schemas eine Rolle.

Um sich einen Überblick über alle Betriebsmaster einer Gesamtstruktur zu verschaffen, können Administratoren den Befehl "netdom query fsmo" in der Eingabeaufforderung aufrufen.

Um einen Domänencontroller als globalen Katalog zu konfigurieren, benötigen Administratoren das Snap-In "Active Directory-Standorte und -Dienste" aus dem Menü "Tools" im Server-Manager. Wird dieses Snap-In geöffnet und die Eigenschaften der Option "NTDS-Settings" über "Sites/<Name des Standortes>/Servers/<Servername>" aufgerufen, lassen sich Domänencontroller zu globalen Katalogen erweitern. Auf der Registerkarte "Allgemein" aktivieren Administratoren dazu das Kontrollkästchen "Globaler Katalog" (siehe Abbildung 4) Haben Administratoren diese Konfiguration vorgenommen, repliziert sich der Server zukünftig mit weiteren Domänencontrollern und enthält nicht nur Informationen seiner Domäne, sondern einen Index der Gesamtstruktur.

Verwenden der Domänencontrollerdiagnose - dcdiag

Das wichtigste Tool für die Diagnose von Domänencontrollern ist das Befehlszeilentool "Dcdiag" (siehe Abbildung 5). Administratoren können das Tool in der Eingabeaufforderung mit Administratorrechten aufrufen, indem sie "dcdiag" eingeben. Eine ausführliche Diagnose erhalten Admins durch "dcdiag /v".

Mit "dcdiag /a" überprüfen Administratoren alle Domänencontroller am gleichen Active-Directory-Standort, über "dcdiag /e" werden alle Server in der Gesamtstruktur getestet. Um sich nur die Fehler und keine Informationen anzeigen zu lassen, wird "dcdiag /q" verwendet. Die Option "dcdiag /s:<Domänencontroller>" ermöglicht den Test eines Servers über das Netzwerk.

Mit "dcdiag/v >c:\dcdiag.txt" lässt sich die Ausgabe in eine Textdatei umleiten und so besser analysieren. Fehler sollten in einer Suchmaschine recherchiert werden. Für jeden Fehler den Dcdiag melden kann, sind bei Google & Co. dutzende Lösungsmöglichkeiten zu finden.

Optimieren der IP-Einstellungen beim Einsatz von mehreren Domänen

Installieren Administratoren einen zusätzlichen Domänencontroller für eine Domäne, muss sichergestellt werden, dass der bevorzugte DNS-Server in den IP-Einstellungen den Namen der Zone auflösen kann, welche die Domäne verwaltet. Admins können in den IP-Einstellungen eines Servers mehrere DNS-Server eintragen. Es wird immer zunächst der bevorzugte DNS-Server verwendet. Die alternativen DNS-Server werden erst abgefragt, wenn der bevorzugte DNS-Server nicht mehr zur Verfügung steht, weil er zum Beispiel gerade neu gestartet wird.

Ein Server verwendet nicht alle konfigurierten DNS-Server parallel oder hintereinander, um Namen aufzulösen. Kann der bevorzugte DNS-Server den DNS-Namen nicht auflösen und meldet dies dem Client zurück, wird nicht der alternative Server eingesetzt. Auch das Zurückgeben einer nicht erfolgten Namensauflösung wird als erfolgreiche Antwort akzeptiert.

Über die Schaltfläche "Erweitert", in den IP-Einstellungen in Windows, lassen sich weitere Einstellungen vornehmen, um die Namensauflösung und damit die Leistung im Active Directory zu verbessern. Administratoren können auf der Registerkarte "DNS" der erweiterten Einstellungen von Netzwerkadaptern (ncpa.cpl) weitere alternative DNS-Server eintragen. Aktivieren Administratoren auf den Domänencontrollern in den IP-Einstellungen über die Schaltfläche "Erweitert" auf der Registerkarte "DNS" die Option "Diese DNS-Suffixe anhängen (in Reihenfolge) ", lassen sich wichtige Ergänzungen vornehmen.

Hier muss zuerst der Namensraum der eigenen Struktur eingetragen werden. Anschließend werden die Namensräume der anderen Strukturen angehängt. Der Sinn dieser Konfiguration ist die schnelle Auflösung von Servern in den anderen Strukturen. Wenn Serverdienste zum Beispiel den Domänencontroller "dc01" in der Struktur "contoso.int" auflösen wollen, müssen die Dienste "dc01.contoso.int" nutzen. Zuerst sollten immer die eigene Domäne und der eigene Namensraum eingetragen sein, bevor andere Namensräume abgefragt werden. Wurden die Namensräume an dieser Stelle korrekt gepflegt, versucht Windows den Namen solange aufzulösen, bis ein passender Name gefunden wird.

Vor allem in größeren Active-Directory-Umgebungen sollten Administratoren darauf achten, die Konfigurationen so vorzunehmen, dass sie auch formal korrekt sind. Das hilft, oft unbedachte Probleme zu vermeiden.

Korrekte Namensauflösung mit Nslookup in IPv4 und IPv6 testen

Treten in einem Microsoft-Netzwerk Fehler auf oder wollen Administratoren die Verbindung zu Active Directory testen, verwenden sie das Befehlszeilentool "Nslookup". Wenn ein Servername mit Nslookup nicht aufgelöst werden kann, sollte überprüft werden, wo das Problem liegt, und die Konfiguration angepasst werden:

  • 1. Ist in den IP-Einstellungen des Computers der richtige DNS-Server als bevorzugt eingetragen?
  • 2. Verwaltet der bevorzugte DNS-Server die Zone, in der Sie eine Namensauflösung durchführen wollen?
  • 3. Wenn der Server diese Zone nicht verwaltet, ist dann auf der Registerkarte "Weiterleitungen" in den Eigenschaften des Servers ein Server eingetragen, der die Zone auflösen kann?
  • 4. Wenn eine Weiterleitung eingetragen ist, kann dann der Server, zu dem weitergeleitet wird, die Zone auflösen?
  • 5. Wenn dieser Server nicht für die Zone verantwortlich ist, leitet er dann wiederum die Anfrage weiter?
  • 6. An irgendeiner Stelle der Weiterleitungskette muss ein Server stehen, der die Anfrage schließlich auflösen kann, sonst kann der Client keine Verbindung aufbauen und die Abfrage des Namens wird nicht erfolgreich sein.

Damit Nslookup auch den korrekten Namen des DNS-Servers in Active Directory anzeigt, muss sichergestellt werden, dass der DNS-Server in der Forward-Lookupzone der Domäne registriert ist.

Gruppenmitgliedschaften richtig pflegen

In Active Directory gibt es verschiedene Administratorengruppen, die über unterschiedliche Berechtigungen verfügen. Diese Gruppen befinden sich im Container "Users". In diesen Gruppen sollten nur die Benutzerkonten Mitglied sein, welche die entsprechenden Rechte benötigen. Welche das sind, zeigen wir nachfolgend:

  • Domänen-Admins – Die Gruppe enthält die Administratoren, welche die lokale Domäne verwalten und umfassende Rechte in dieser Domäne haben. Ein Administrator ist jeweils nur für eine Domäne zuständig. Wenn Unternehmen mehrere Domänen in einer Gesamtstruktur betreiben, gibt es mehrere Benutzerkonten "Administrator", die jeweils zu einer Domäne gehören und nur in dieser einen Domäne volle administrative Berechtigungen besitzen. Domänen-Admins haben in einer Domäne umfassendere Rechte als Organisations-Admins.
  • Organisations-Admins – Hierbei handelt es sich um eine spezielle Gruppe von Administratoren, die Berechtigungen für alle Domänen in Active Directory besitzen. Sie haben auf Ebene der Gesamtstruktur die meisten Rechte, aber in einzelnen Domänen haben die Domänen-Admins mehr Rechte. Organisations-Admins gibt es nur in der Rootdomäne.
  • Schema-Admins – Diese Gruppe ist eine der kritischsten Gruppen überhaupt. Mitglieder dieser Gruppe dürfen Veränderungen am Schema von Active Directory vornehmen. Produkte, die das Schema von Active Directory erweitern, wie zum Beispiel Exchange, können nur installiert werden, wenn der installierende Administrator in dieser Gruppe Mitglied ist.

Das Konto "Administrator" in der ersten installierten Domäne einer Gesamtstruktur ist das wichtigste und kritischste Konto im gesamten System. Es erlaubt den administrativen Zugriff auf alle wichtigen Systemfunktionen und ist Mitglied aller beschriebenen Administratorengruppen.

Kommentare werden geladen....

Kommentar zu diesem Artikel

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 43475387 / Tipps & Tricks)