Wege zum stabilen und schnellen Active Directory

In 14 Schritten zum perfekten Domänencontroller

| Autor / Redakteur: Thomas Joos / Andreas Donner

Mit etwas Know-how gelingt die Konfiguration einer Active-Directory-Domäne spielend.
Mit etwas Know-how gelingt die Konfiguration einer Active-Directory-Domäne spielend. (Bild: © XtravaganT - Fotolia.com)

Active Directory ist in Windows-Netzwerken essentielle Grundlage für einen stabilen Betrieb. Damit das AD optimal funktioniert, sollten Administratoren bei der Installation der Domäne und der Domänencontroller besonders umsichtig vorgehen. Wir zeigen die 14 wichtigsten Schritte beim Installieren neuer Domänencontroller auf Basis von Windows Server 2012 R2 und Server 2016.

Anmerkung der Redaktion: Dieser Beitrag stammt ursprünglich aus dem Oktober 2016 und wurde zum 27.10.2017 komplett überarbeitet, aktualisiert und umfassend ergänzt!

Schritt 1: Betriebssystem einrichten und Namen festlegen

Um ein neues Active Directory zu installieren, sollte auf dem Server zuerst das Betriebssystem installiert und eingerichtet werden. Außerdem sollten auf dem Server möglichst alle zur Verfügung stehenden Aktualisierungen über die Windows-Update-Funktion installiert werden. Nach der Installation sollten Sie darüber hinaus bestätigen, dass sich der Server in einem privaten Netzwerk befindet. Dazu bestätigen Sie die entsprechende Meldung mit "Ja" (siehe Abbildung 1).

Im Netzwerk- und Freigabecenter finden Sie bei "Aktive Netzwerke anzeigen" die Option "Privates Netzwerk". Das stellt sicher, dass die Kommunikation funktioniert und nicht von der Windows-Firewall blockiert wird. Nach der Einrichtung wird die Einstellung auf ein Domänennetzwerk umgestellt.

Zusätzlich sollte über die Eigenschaften von "Dieser PC" im Windows-Explorer der Name des Servers sowie der Name der Domäne vorgegeben werden. Am schnellsten geht das durch Eingabe von "sysdm.cpl" im Suchfeld des Startmenüs. Über die Schaltfläche "Ändern" erreichen Sie das Fenster zum Eingeben des neuen Servernamens (siehe Abbildung 2). Geben Sie diesen im oberen Bereichen ein.

Klicken Sie danach auf die Schaltfläche "Weitere". Hier geben Sie das DNS-Suffix ihrer zukünftigen Active Directory-Domäne ein, die Sie installieren wollen, zum Beispiel "hof-erbach.int" (siehe Abbildung 2). Wichtig ist natürlich auch die Vergabe einer statischen IP-Adresse für den Domänencontroller.

Schritt 2: DNS für Active Directory installieren und einrichten

Um ein neues Active Directory zu erstellen, muss als erstes auf dem ersten geplanten Domänencontroller die DNS-Erweiterung installiert werden. Die Installation erfolgt über den Server-Manager als Serverrolle (siehe Abbildung 3).

Nach der Installation ist das Verwaltungsprogramm für den DNS-Server im Server-Manager über den Bereich "Tools" zu finden. Alternativ wird das Tool "dnsmgmt.msc" über das Suchfeld des Startmenüs gestartet. Bei der Installation der Serverrollen von Active Directory wird über den Assistenten DNS automatisch mit installiert und eingerichtet. Generell ist es aber sinnvoller die Einrichtung vorher manuell vorzunehmen, um sicherzustellen, dass alle Einstellungen korrekt vorgenommen werden.

Die Vorgehensweise ist bei Server 2012 R2 und Server 2016 identisch. Natürlich kann eine DNS-Erweiterung auch auf einem anderen Server erfolgen. Wichtig ist vor allem, dass der Server Zugriff auf ein DNS-System hat, um Namen aufzulösen und die Einträge für Active Directory zu erstellen. Wird DNS auf einem Domänencontroller installiert besteht der Vorteil, dass die Daten in Active Directory integriert und mit der AD-Replikation auf andere Domänencontroller verteilt werden können.

Mit den Knoten "Forward-Lookupzonen" (Auflösung der IP-Adresse nach Rechnername) und "Reverse-Lookupzonen" (Auflösung des Rechnernamens nach IP-Adresse) werden die Zonen angelegt, die Active Directory für seinen Betrieb benötigt. Hierüber erfolgt die Namensauflösung im Netzwerk sowie der einzelnen Dienste, die Active Directory benötigt. Die erste und wichtigste Zone, ist die "Forward-Lookupzone" der ersten Domäne von Active Directory. In dieser werden alle notwendigen Eintragungen vorgenommen, um Active Directory zu installieren und Namen sowie Dienste aufzulösen.

Um diese zu erstellen klicken Administratoren mit der rechten Maustaste auf "Forward-Lookupzonen" und wählen im Kontextmenü den Eintrag "Neue Zone" aus. Über den Assistenten wird anschließend eine Zone für die Namensauflösung angelegt (siehe Abbildung 4).

Auf der nächsten Seite des Assistenten wird der Name der neuen Zone festgelegt. Da hier die erste Zone für Active Directory erstellt wird, ist die Option "Primäre Zone" zuständig. Hier ist es wichtig, dass als Zonennamen exakt der Name verwendet wird, der auch als DNS-Suffix des Servers eingetragen wurde und der als DNS-Name der Active-Directory-Domäne genutzt werden soll. Der Name wird als erster Eintrag in die DNS-Zone vorgenommen, um die Namensauflösung sicherzustellen. Nur dadurch lässt sich Active Directory fehlerfrei installieren (siehe Abbildung 5).

DNS-Server unter Windows Server 2012 R2 und Windows Server 2016 arbeiten mit dynamischen Updates. Das heißt, alle Servernamen und IP-Adressen sowie die SRV-Records von Active Directory werden automatisch in diese Zone eingetragen. Der Installations-Assistent von Active Directory muss in einer Zone Dutzende Einträge automatisch erstellen können. Daher sollte beim Erstellen einer neuen Zone die Option "Nicht sichere und sichere dynamische Updates zulassen" aktiviert werden (siehe Abbildung 6). "Nur sichere dynamische Updates zulassen" können Administratoren erst nach der Erstellung von Active Directory aktivieren – dies sollte man auch unbedingt tun, da dadurch die Sicherheit steigt und sich ausschließlich Domänencomputer registrieren dürfen.

Schritt 3: Reverse-Lookup und DNS-Suffix des Servers setzen

Im Anschluss sollte eine "Reverse-Lookupzone" erstellt werden. Diese Zone ist dafür zuständig, IP-Adressen in Rechnernamen zu übersetzen. Diese Zonen werden zwar für den stabilen Betrieb von Active Directory nicht zwingend benötigt, gehören aber dennoch zu einer ordentlichen Namensauflösung im Netzwerk dazu. Mithilfe der Zonen funktioniert die Namensauflösung in beide Richtungen, sodass sich auf Basis von IP-Adressen auch Rechnernamen auflösen lassen. Bei der Einrichtung der Zone hilft ein Assistent.

Die Vorgehensweise ist identisch mit der Erstellung einer Forward-Zone. Sobald die Zone erstellt ist, kann über die Befehlszeile der Servername zu seiner IP-Adresse aufgelöst werden (Forward-Lookupzone). Durch die Erstellung der Reverse-Lookup-Zone wird die IP-Adresse zum Servernamen aufgelöst. Die beiden unterschiedlichen Namensauflösungen sollten nach dem Anlegen der Zone getestet werden (siehe Abbildung 7).

Hat sich der Server noch nicht automatisch registriert, hilft die Eingabe des Befehls "ipconfig /registerdns" in der Eingabeaufforderung (siehe Abbildung 7). Der Befehl aktiviert die dynamische Registrierung des Servers in der entsprechenden Zone. Danach sollte die IP-Adresse des Servers in der Zone registriert sein. Das funktioniert aber nur dann, wenn das DNS-Suffix des Servers über "Systemsteuerung/System" und "Sicherheit/System/Erweiterte Systemeinstellungen/Computername/Ändern" angepasst ist. Im Fenster wird dazu auf die Schaltfläche "Weitere" geklickt und das DNS-Suffix des Servers angegeben (siehe Abbildung 2). Die Einstellungen gelten sowohl für Windows Server 2012 R2 als auch für Windows Server 2016.

Schritt 4: Überprüfung der DNS-Einstellungen

Bevor Active Directory auf dem Server installiert wird, sollte sichergestellt sein, dass alle DNS-Einstellungen korrekt vorgenommen wurden. Dazu sollte auch überprüft werden, ob sich der Server sowohl in der Forward- als auch in der Reverse-Lookupzone eingetragen hat. Die Überprüfung erfolgt in der Eingabeaufforderung über den Befehl "nslookup". Es dürfen keine Fehlermeldungen erscheinen. Außerdem muss der richtige FQDN des DNS-Servers und seine IP-Adresse angezeigt werden (siehe Abbildung 7). Die Einträge sind in den Zonen in der DNS-Verwaltung zu sehen (siehe Abbildung 8).

Schritt 5: Installation der Active-Directory-Domänendienste-Rolle

Neben dem Server-Manager lassen sich die Binärdateien von Active Directory – inklusive der Verwaltungstools – auch in der PowerShell installieren. Dazu dient in beiden Server-Varianten der Befehl "Install-WindowsFeature -Name AD-Domain-Services -IncludeManagementTools". Natürlich lassen sich die Dienste auch über den Servermanager installieren, genauso wie andere Rollen in Windows Server 2012 R2/2016.

Schritt 6: Starten der Installation von Active Directory

Nachdem die Serverrolle installiert ist, beginnt die Einrichtung von Active Directory. Dieser Vorgang wird im Server-Manager über das Wartungssymbol gestartet (siehe Abbildung 9). Beim Erstellen der ersten Domäne für die Gesamtstruktur wählen Administratoren die Option "Neue Gesamtstruktur hinzufügen" aus. Eine Gesamtstruktur ist die Grundlage von Active Directory. Als nächstes wird der DNS-Name der Domäne festgelegt. Dieser muss mit der erstellten DNS-Zone und dem DNS-Suffix des ersten Domänencontrollers übereinstimmen. Nur dann funktioniert die Namensauflösung problemlos (siehe Abbildung 10).

Auf der nächsten Seite des Assistenten werden die Funktionsebene der Gesamtstruktur und damit aller Domänen sowie einzelne Domänen festgelegt. Die Funktionsebene "Windows Server 2012 R2" aktivieren Administratoren, wenn nur Domänencontroller mit Windows Server 2012 R2 eingesetzt werden. Das gilt äquivalent für das Installieren einer Domäne mit Domänencontrollern auf Basis von Windows Server 2016. Der neue Domänencontroller wird darüber hinaus auch der erste globale Katalog-Server und DNS-Server. Der globale Katalog enthält einen Index über das komplette Active Directory.

Im Fenster wird auch das Kennwort für den Verzeichnisdienst-Wiederherstellungsmodus angegeben. Hierbei handelt es sich um das Kennwort des lokalen Administrators, wenn zur Wiederherstellung von Active Directory der Server im Verzeichnisdienstwiederherstellungsmodus gestartet wird.

Inhalt des Artikels:

Kommentare werden geladen....

Kommentar zu diesem Artikel

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 43390981 / LAN- und VLAN-Administration)