Wege zum stabilen und schnellen Active Directory

In 17 Schritten zum perfekten Domänencontroller

| Autor / Redakteur: Thomas Joos / Andreas Donner

Mit etwas Know-how gelingt die Konfiguration einer Active-Directory-Domäne spielend.
Mit etwas Know-how gelingt die Konfiguration einer Active-Directory-Domäne spielend. (Bild: © XtravaganT - Fotolia.com)

Active Directory ist in Windows-Netzwerken essentielle Grundlage für einen stabilen Betrieb. Damit das AD optimal funktioniert, sollten Administratoren bei der Installation der Domäne und der Domänencontroller besonders umsichtig vorgehen. Wir zeigen die 15 wichtigsten Schritte beim Installieren neuer Domänencontroller auf Basis von Windows Server 2012 R2, Server 2016 und der neuen Version Server 2019.

Anmerkung der Redaktion: Dieser Beitrag stammt ursprünglich aus dem März 2019 und wurde zum 17.10.2019 komplett überarbeitet, aktualisiert und umfassend ergänzt!

Schritt 1: Betriebssystem einrichten und Namen festlegen

Um ein neues Active Directory zu installieren, sollte auf dem Server zuerst das Betriebssystem installiert und eingerichtet werden. Außerdem sollten auf dem Server möglichst alle zur Verfügung stehenden Aktualisierungen über die Windows-Update-Funktion installiert werden. Nach der Installation sollten Sie darüber hinaus bestätigen, dass sich der Server in einem privaten Netzwerk befindet. Dazu bestätigen Sie die entsprechende Meldung mit "Ja" (siehe Abbildung 1). Nur dann ist eine umfassende Kommunikation mit anderen Servern im Netzwerk möglich.

Im Netzwerk- und Freigabecenter finden Sie bei "Aktive Netzwerke anzeigen" die Option "Privates Netzwerk". Das stellt sicher, dass die Kommunikation funktioniert und nicht von der Windows-Firewall blockiert wird. Nach der Einrichtung wird die Einstellung auf ein Domänennetzwerk umgestellt. Diese Umstellung erfolgt automatisch.

Zusätzlich sollte über die Eigenschaften von "Dieser PC" im Windows-Explorer der Name des Servers sowie der Name der Domäne vorgegeben werden. Dadurch wird die Einrichtung einfacher, da bereits beim Erstellen der Domäne der Servername und der Name der Domäne vorgegeben werden. Am schnellsten geht das durch Eingabe von "sysdm.cpl" im Suchfeld des Startmenüs. Über die Schaltfläche "Ändern" erreichen Sie das Fenster zum Eingeben des neuen Servernamens (siehe Abbildung 2). Geben Sie diesen im oberen Bereich ein.

Klicken Sie danach auf die Schaltfläche "Weitere". Hier geben Sie das DNS-Suffix ihrer zukünftigen Active Directory-Domäne ein, die Sie installieren wollen, zum Beispiel "hof-erbach.int" (siehe Abbildung 2). Dadurch wird der Domänencontroller ein Bestandteil der DNS-Domäne, die später ebenfalls Grundlage von Active Directory ist. Zwar wird auch diese Einstellung automatisch gesetzt, wenn Active Directory installiert wird, allerdings ist es vor der Einrichtung von Active Directory sinnvoll, wenn DNS-Einstellungen vorgegeben werden. Dadurch wird die Namensauflösung deutlich erleichtert.

Wichtig ist natürlich auch die Vergabe einer statischen IP-Adresse für den Domänencontroller. Nur dann ist die Namensauflösung richtig gewährleistet und die Daten der DNS-Zone zeigen auf die richtige IP-Adresse. Die Einstellungen für die Netzwerkkonfiguration finden Sie am schnellsten über die Eingabe von "ncpa.cpl" im Suchfeld des Startmenüs. Als DNS-Server geben Sie beim ersten Domänencontroller entweder seine eigene IP-Adresse ein, oder die IP-Adresse des Servers, auf dem die DNS-Domäne der Active Directory-Domäne bereitgestellt wird. Dadurch wird die Namensauflösung gewährleistet. Verwenden Sie die lokale IP-Adresse des Servers, kann der Server die Namensauflösung der neuen Domäne bei der Einrichtung von DNS bereits gewährleisten.

Bevor Active Directory auf einem Server installiert wird, sollte also zunächst sichergestellt sein, dass dieser optimal funktioniert. Dabei sollte zusammenfassend auf folgende Punkte geachtet werden:

  • Das Betriebssystem sollte möglichst aktuell sein, damit keine unnötigen Sicherheitslücken vorhanden sind.
  • Für alle angebundenen Geräte sollten entweder die passenden Treiber installiert sein, oder das Gerät sollte deaktiviert werden. Die Überprüfung kann im Gerätemanager in Windows vorgenommen werden. Gestartet wird dieser über "devmgmt.msc".
  • Der Name des Servers und sein DNS-Suffix sollte vorgegeben werden, vor allem wenn es sich um den ersten Domänencontroller handelt. Dadurch ist die Namensstruktur bereits vor der Installation von Active Directory festgelegt und funktioniert.
  • Auf dem Server sollten möglichst keine anderen Serverdienste installiert sein, zumindest nicht ohne Überprüfung, ob diese kompatibel mit der lokalen Installation von Active Directory sind, oder die Installation auf einem Domänencontroller empfohlen werden kann.

Schritt 2: DNS für Active Directory installieren und einrichten

Um ein neues Active Directory zu erstellen, sollte als erstes auf dem ersten geplanten Domänencontroller die DNS-Erweiterung installiert werden. Die Installation erfolgt über den Server-Manager als Serverrolle (siehe Abbildung 3). Wer eine andere DNS-Lösung einsetzt, kann auch diese nutzen. Auch die Installation von DNS auf einem anderen Server im Netzwerk ist möglich. Allerdings kann dann die DNS-Zone später nicht in Active Directory integriert werden. Durch die Integration in Active Directory werden die DNS-Daten über die Active-Directory-Replikation mit anderen Domänencontrollern repliziert. DNS und Active Directory sind zwei Dienste, die eng zusammenarbeiten. In Active Directory spielt die Namensauflösung eine besonders wichtige Rolle. Während der Installation von DNS auf einem Server müssen keine Anpassungen vorgenommen werden. Es reicht aus, den Dienst zu installieren. Die Installation und Einrichtung wird zwar automatisch vorgenommen, wenn Active Directory auf dem Server installiert wird, es ist aber sinnvoll vor der Installation die Namensauflösung bereits zu gewährleisten.

Nach der Installation ist das Verwaltungsprogramm für den DNS-Server im Server-Manager über den Bereich "Tools" zu finden. Alternativ wird das Tool "dnsmgmt.msc" über das Suchfeld des Startmenüs gestartet. Bei der Installation der Serverrollen von Active Directory wird über den Assistenten DNS automatisch mit installiert und eingerichtet. Generell ist es aber sinnvoller die Einrichtung vorher manuell vorzunehmen, um sicherzustellen, dass alle Einstellungen korrekt vorgenommen werden und man versteht, wie die Namensauflösung funktioniert.

Die Vorgehensweise ist bei Windows Server 2012 R2 und Windows Server 2016 identisch. Das gilt auch für Windows Server 2019. Natürlich kann eine DNS-Erweiterung auch auf einem anderen Server erfolgen. In den meisten Netzwerken ist es aber sinnvoll, mit DNS direkt auf dem Domänencontroller zu arbeiten. Wichtig ist vor allem, dass der Server Zugriff auf ein DNS-System hat, um Namen aufzulösen und die Einträge für Active Directory zu erstellen. Wird DNS auf einem Domänencontroller installiert besteht der Vorteil, dass die Daten in Active Directory integriert und mit der AD-Replikation auf andere Domänencontroller verteilt werden können.

Mit den Knoten "Forward-Lookupzonen" (Auflösung der IP-Adresse nach Rechnername) und "Reverse-Lookupzonen" (Auflösung des Rechnernamens nach IP-Adresse) werden die Zonen angelegt, die Active Directory für seinen Betrieb benötigt. Hierüber erfolgt die Namensauflösung im Netzwerk sowie der einzelnen Dienste, die Active Directory benötigt. Dazu werden verschiedenen Einträge automatisch vorgenommen. Zusätzlich können Administratoren manuell eigene Einträge erstellen, zum Beispiel für Loadbalancer oder andere Netzwerkgeräte, die per Namen zu ihrer IP-Adresse aufgelöst werden sollen.

Die erste und wichtigste Zone, ist die "Forward-Lookupzone" der ersten Domäne von Active Directory. In dieser werden alle notwendigen Eintragungen vorgenommen, um Active Directory zu installieren und Namen sowie Dienste aufzulösen. Außerdem tragen sich in diese Zone später auch die Mitgliedsserver und Arbeitsstationen ein. Dadurch lassen sich im Netzwerk Servernamen und IP-Adressen fehlerfrei auflösen.

Um Zonen zu erstellen klicken Sie mit der rechten Maustaste auf "Forward-Lookupzonen" und wählen im Kontextmenü den Eintrag "Neue Zone" aus. Über den Assistenten wird anschließend eine Zone für die Namensauflösung angelegt (siehe Abbildung 4).

Auf der nächsten Seite des Assistenten wird der Name der neuen Zone festgelegt. Da hier die erste Zone für Active Directory erstellt wird, ist die Option "Primäre Zone" zuständig. Hier ist es wichtig, dass als Zonennamen exakt der Name verwendet wird, der auch als DNS-Suffix des Servers eingetragen wurde und der als DNS-Name der Active-Directory-Domäne genutzt werden soll. Denn dieser Name legt fest, wie das Active Directory heißt, und welche Domäne genutzt wird. Der Name wird als erster Eintrag in die DNS-Zone vorgenommen, um die Namensauflösung sicherzustellen. Nur dadurch lässt sich Active Directory fehlerfrei installieren (siehe Abbildung 5).

DNS-Server unter Windows Server 2012 R2, Windows Server 2016 und Windows Server 2019 arbeiten mit dynamischen Updates. Das heißt, alle Servernamen und IP-Adressen sowie die SRV-Records von Active Directory werden automatisch in diese Zone eingetragen. Der Installations-Assistent von Active Directory muss in einer Zone Dutzende Einträge automatisch erstellen können. Daher sollte beim Erstellen einer neuen Zone die Option "Nicht sichere und sichere dynamische Updates zulassen" aktiviert werden (siehe Abbildung 6). Die Option "Nur sichere dynamische Updates zulassen" kann man erst nach der Erstellung von Active Directory aktivieren – dies sollte man auch unbedingt tun, da dadurch die Sicherheit steigt und sich ausschließlich Domänencomputer registrieren dürfen.

Schritt 3: Reverse-Lookup und DNS-Suffix des Servers setzen

Im Anschluss sollte eine "Reverse-Lookupzone" erstellt werden. Diese Zone ist dafür zuständig, IP-Adressen in Rechnernamen zu übersetzen. Diese Zonen werden zwar für den stabilen Betrieb von Active Directory nicht zwingend benötigt, gehören aber dennoch zu einer ordentlichen Namensauflösung im Netzwerk dazu. Mithilfe der Zonen funktioniert die Namensauflösung in beide Richtungen, sodass sich auf Basis von IP-Adressen auch Rechnernamen auflösen lassen. Bei der Einrichtung der Zone hilft ein Assistent.

Die Vorgehensweise ist identisch mit der Erstellung einer Forward-Zone. Sobald die Zone erstellt ist, kann über die Befehlszeile der Servername zu seiner IP-Adresse aufgelöst werden (Forward-Lookupzone). Durch die Erstellung der Reverse-Lookup-Zone wird die IP-Adresse zum Servernamen aufgelöst. Die beiden unterschiedlichen Namensauflösungen sollten nach dem Anlegen der Zone getestet werden (siehe Abbildung 7). Nach der Einrichtung und der späteren Aktivierung der dynamischen Updates tragen auch die Mitgliedsserver und später auch die Arbeitsstationen ihren Rechnernamen und die IP-Adresse in der DNS-Zone ein und sind dadurch auflösbar. Das erleichtert die Verbindungsaufnahme zu den Rechnern.

Hat sich der Server noch nicht automatisch registriert, hilft die Eingabe des Befehls "ipconfig /registerdns" in der Eingabeaufforderung (siehe Abbildung 7). Der Befehl aktiviert die dynamische Registrierung des Servers in der entsprechenden Zone. Danach sollte die IP-Adresse des Servers in der Zone registriert sein. Das funktioniert aber nur dann, wenn das DNS-Suffix des Servers über "Systemsteuerung/System" und "Sicherheit/System/Erweiterte Systemeinstellungen/Computername/Ändern" angepasst ist. Im Fenster wird dazu auf die Schaltfläche "Weitere" geklickt und das DNS-Suffix des Servers angegeben (siehe Abbildung 2). Die Einstellungen gelten sowohl für Windows Server 2012 R2 als auch für Windows Server 2016 und Windows Server 2019. Sie finden die Einträge entweder über die Namensauflösung auf den entsprechenden Rechnern, die Sie in der Befehlszeile mit "nslookup" testen können, oder direkt in der DNS-Zone.

Schritt 4: Überprüfung der DNS-Einstellungen

Bevor Active Directory auf dem Server installiert wird, sollte sichergestellt sein, dass alle DNS-Einstellungen korrekt vorgenommen wurden. Dazu sollte auch überprüft werden, ob sich der Server sowohl in der Forward- als auch in der Reverse-Lookupzone eingetragen hat. Die Überprüfung erfolgt in der Eingabeaufforderung über den Befehl "nslookup". Es dürfen keine Fehlermeldungen erscheinen. Außerdem muss der richtige FQDN des DNS-Servers und seine IP-Adresse angezeigt werden (siehe Abbildung 7). Die Einträge sind in den Zonen in der DNS-Verwaltung zu sehen (siehe Abbildung 8). Rufen Sie dazu in der Befehlszeile am besten "nslookup" auf und geben anschließend den Server mit und ohne seinen vollständigen Servernamen sowie anschließend seine IP-Adresse an. Der Server muss also fehlerfrei nach Servernamen und IP-Adresse auflösbar sein. Das vermeidet später Probleme bei der Installation und dem Betrieb von Active Directory.

Schritt 5: Installation der Active-Directory-Domänendienste-Rolle

Neben dem Server-Manager lassen sich die Binärdateien von Active Directory – inklusive der Verwaltungstools – auch in der PowerShell installieren. Dazu dient in beiden Server-Varianten der Befehl "Install-WindowsFeature -Name AD-Domain-Services -IncludeManagementTools". Natürlich lassen sich die Dienste auch über den Servermanager installieren, genauso wie andere Rollen in Windows Server 2012 R2/2016/2019. Durch die Installation werden nur die Installationsdateien von Active Directory auf dem Server installiert. Es findet keinerlei Konfiguration statt, die Einrichtung wird erst nachträglich vorgenommen.

Wer auf das Windows Admin Center setzt, kann die Binärdateien von Active Directory auch über diese webbasierte Oberfläche installieren. Wir haben auch dem Windows Admin Center mehrere Artikel gewidmet:

Das Windows Admin Center in der Praxis

Installation des Gateways, Konfiguration und Verwaltung von Windows-Servern

Das Windows Admin Center in der Praxis

17.08.18 - Das Windows Admin Center ist das neue Werkzeug, mit dem Administratoren über einen Webbrowser die verschiedenen Server und Arbeitsstationen zentral verwalten können. Microsoft erweitert mit neuen Versionen die Funktionen des Admin Centers ständig. Wir zeigen die Einrichtung. lesen

11 Tipps rund um das Windows Admin Center

Besseres Management in Windows-Netzwerken

11 Tipps rund um das Windows Admin Center

05.04.19 - Das Windows Admin Center ist das neue Verwaltungswerkzeug von Microsoft zur zentralen Verwaltung von Windows-Servern. Die Lösung ist kostenlos, schnell einsatzbereit und flexibel. Administratoren können darüber mit einem Webbrowser das gesamte Netzwerk verwalten. Wir geben 10 Tipps zum Umgang mit dem nützlichen Tool. lesen

Schritt 6: Starten der Installation von Active Directory

Nachdem die Serverrolle installiert ist, beginnt die Einrichtung von Active Directory auf dem Server. Dieser Vorgang wird im Server-Manager über das Wartungssymbol gestartet (siehe Abbildung 9). Beim Erstellen der ersten Domäne für die Gesamtstruktur wählen Sie die Option "Neue Gesamtstruktur hinzufügen" aus. Eine Gesamtstruktur ist die Grundlage von Active Directory. Eine Gesamtstruktur kann jederzeit mit weiteren Domänen und weiteren Namensräumen ergänzt werden. Die erste Domäne einer Gesamtstruktur stellt immer die Root-Domäne dar, an die später weitere Domänen angebaut werden können.

Als nächstes wird der DNS-Name der Domäne festgelegt. Dieser muss mit der erstellten DNS-Zone und dem DNS-Suffix des ersten Domänencontrollers übereinstimmen. Nur dann funktioniert die Namensauflösung problemlos (siehe Abbildung 10), da die DNS-Zone bereits erstellt, und der Servername auf diese Zone gesetzt wurde. Einfach ausgedrückt müssen die Namen des Servers, die erstellte DNS-Zone und die neue Active-Directory-DNS-Zone identisch sein, damit das bereits erstellte DNS-System optimal funktioniert und die einzelnen Bestandteile ineinandergreifen.

Auf der nächsten Seite des Assistenten werden die Funktionsebene der Gesamtstruktur und damit aller Domänen sowie einzelne Domänen festgelegt. Die Funktionsebene "Windows Server 2012 R2" aktivieren Sie, wenn nur Domänencontroller mit Windows Server 2012 R2 eingesetzt werden. Das gilt äquivalent für das Installieren einer Domäne mit Domänencontrollern auf Basis von Windows Server 2016. Für Windows Server 2019 gibt es keine eigene Funktionsebene. Wenn Sie die Funktionsebene auf "Windows Server 2016" setzen dürfen allerdings nur Domänencontroller mit Windows Server 2016 oder Windows Server 2019 betrieben werden. Für Mitgliedsserver spielt das keine Rolle. Sie können in einer Active-Directory-Domäne mit der Funktionsebene "Windows Server 2016" auch Mitgliedsserver mit Windows Server 2012/2012 R2 oder Windows Server 2008/2008 R2 betreiben. Die Funktionsebene der Domäne und die Funktionsebene der Gesamtstruktur sind nur für Funktionen der Domänencontroller relevant. Wenn die aktuelle Version genutzt wird – also am besten Windows Server 2016 – lohnt es sich, im Netzwerk Domänencontroller mit Windows Server 2016 oder Windows Server 2019 einzusetzen.

  • Windows Server 2008 – In dieser Funktionsebene werden Kennwortrichtlinien für mehrere Organisationseinheiten (OUs) unterstützt. Außerdem nutzt Windows in diesem Modus zur Replikation des SYSVOL-Ordners DFS, was wesentlich performanter und stabiler funktioniert. In diesem Modus können Sie den der Kerberosverkehr mit AES 128 oder 256 verschlüsseln.
  • Windows Server 2008 R2 – Diese Funktionsebene ist für die Unterstützung des Active-Directory-Papierkorbs notwendig, oder wenn Sie Authentifizierungsrichtlinien mit Active-Directory-Verbunddienste konfigurieren wollen.
  • Windows Server 2012 – Diese Funktionsebene ist notwendig, wenn Sie erweiterte Active-Directory-Funktionen nutzen wollen. Dazu gehören die Möglichkeit, Domänencontroller zu klonen oder verwaltete Dienstkonten auf mehreren Servern einzusetzen. Auf der Windows Server 2012/2012 R2-Domänenfunktionsebene ist die Kerberos-Domänencontrollerrichtlinie für die Unterstützung der dynamischen Zugriffssteuerung und Kerberos Armoring aktiv. Die Windows Server 2012/2012 R2-Gesamtstrukturfunktionsebene bietet keine neuen Features, stellt aber sicher, dass alle in der Gesamtstruktur erstellten neuen Domänen automatisch auf Windows Server 2012-Domänenfunktionsebene gestellt werden.
  • Windows Server 2012 R2 – Diese neue Funktionsebene aktivieren Sie, wenn Sie nur noch Domänencontroller mit Windows Server 2012 R2 einsetzen. Die Funktionsebene bietet die gleichen Möglichkeiten wie Windows Server 2012. Haben Sie Ihre Domänencontroller alle auf Windows Server 2012 R2 aktualisiert, sollten Sie die Gesamtstrukturfunktionsebene und die Domänenfunktionsebenen der Domänen auf Windows Server 2012 R2 heraufstufen, wenn Sie tiefgehende Active-Directory-Funktionen aus Windows Server 2012 R2 nutzen; also zum Beispiel Webanwendungen mit Claim-Based-Authentication und ADFS zusammen betreiben.
  • Windows Server 2016 – Diese Funktionsebene nutzen Sie, wenn Sie nur Domänencontroller mit Windows Server 2016 oder Windows Server 2019 einsetzen. Alle neuen Funktionen in Active Directory werden damit aktiviert.

Der neue Domänencontroller wird darüber hinaus auch der erste globale Katalog-Server und DNS-Server. Der globale Katalog enthält einen Index über das komplette Active Directory. An jedem Standort sollte mindestens ein Domänencontroller zum globalen Katalog konfiguriert werden. Dadurch wird sichergestellt, dass an jedem Standort auch alle Daten von Active Directory verfügbar sind. Achten Sie aber darauf, nicht alle Domänencontroller zum globalen Katalog heraufzustufen, da dadurch auch die Menge der Daten ansteigt, die zu diesem Domänencontroller repliziert werden. Da der globale Katalog sozusagen alle Daten von Active Directory aus allen Domänen kennt, ist die Menge, die solche Server speichern müssen, entsprechend groß. Das belastet das Netzwerk und der WAN-Verbindung, da diese Daten auch repliziert werden müssen. Der erste Domänencontroller einer Domäne/Gesamtstruktur sollte aber auf jeden Fall zum globalen Katalog konfiguriert werden.

Im Fenster wird auch das Kennwort für den Verzeichnisdienst-Wiederherstellungsmodus angegeben. Hierbei handelt es sich um das Kennwort des lokalen Administrators, wenn zur Wiederherstellung von Active Directory der Server im Verzeichnisdienstwiederherstellungsmodus gestartet wird. Dabei handelt es sich um die lokale Anmeldung am Server, ohne dass eine Verbindung zum Active Directory hergestellt wird. Im normalen Betrieb spielt das keine Rolle, sondern nur bei Wiederherstellungen von Domänencontrollern. In jedem Fall sollten Sie sich aber das Kennwort notieren und an einem sicheren Ort aufbewahren.

Inhalt des Artikels:

Kommentare werden geladen....

Kommentar zu diesem Artikel

Der Kommentar wird durch einen Redakteur geprüft und in Kürze freigeschaltet.

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Kontaktieren Sie uns über: support.vogel.de/ (ID: 43390981 / LAN- und VLAN-Administration)