Wege zum stabilen und schnellen Active Directory

In 15 Schritten zum perfekten Domänencontroller

| Autor / Redakteur: Thomas Joos / Andreas Donner

Schritt 7: DNS korrekt einstellen

Nach der Eingabe des Administratorkontos zum Verbindungsaufbau zu DNS sollte die DNS-Delegierung aktiviert werden, damit die Daten von Active Directory in einer eigenen Zone unterhalb der herkömmlichen Zone gebündelt werden. Das stellt sicher, dass sich die Daten von Active Directory nicht mit den Namen und Servern vermischen, sondern in einem eigenen Ordner im DNS-System aufbewahrt werden.

Dazu legt der Assistent eine neue Zone mit dem Namen "_msdcs_<DNS-Name des Servers>" in der DNS-Zone an. In der originalen DNS-Zone legt der Assistent eine Delegierung zur neu angelegten Zone an. Diese weist die eigentliche DNS-Zone bei der Auflösung von Diensten für Active Directory an, die Anfragen an die delegierte Zone zu stellen. So ist zusätzlich sichergestellt, dass Anpassungen an der DNS-Zone des Servers das Active Directory nicht beeinträchtigen, da die Zonen voneinander getrennt sind. Wichtig ist vor allem, dass der Assistent eine Verbindung zum DNS-Server aufbauen kann, um eine Zone für Active Directory anzulegen. Ohne ein stabiles DNS-System lässt sich ein Active Directory gar nicht erst installiert, oder dieses läuft nach der Installation sehr instabil.

Auf der nächsten Seite des Assistenten zum Erstellen von Active Directory wird erkannt, dass bereits eine DNS-Zone vorhanden ist, wenn diese zuvor angelegt wurde, wie in diesem Beitrag beschrieben. Der Assistent bietet an, eine neue Zone für Active Directory zu installieren und diese unterhalb der bereits vorhandenen Zone zu integrieren. Das sollten Sie aus den bereits genannten Gründen gestatten.

Schritt 8: Konfiguration abschließen

In den nächsten Fenstern geben Sie den NetBIOS-Namen der neuen Domäne an und legen den Speicherort der Datenbank und der Protokolle auf dem Server fest. Als NetBIOS-Name wird in der Regel eine Abkürzung des DNS-Namens verwendet. Normalerweise schlägt Active Directory automatisch einen Namen vor.

Im Anschluss muss noch der Ordner festgelegt werden, der als Netlogon- und SYSVOL-Freigabe verwendet wird. In diesem Ordner werden die Anmeldeskripts und später die Gruppenrichtlinien gespeichert und zwischen den Domänencontrollern repliziert. In den meisten Fällen können Sie den Standard-Ordner verwenden, den der Assistent auch vorschlägt. Zum Abschluss testet der Assistent den Server, und prüft, ob Active Directory fehlerfrei installiert werden kann. Danach beginnt das Heraufstufen zum Domänencontroller.

Schritt 9: DNS in Active Directory integrieren und sichere Updates konfigurieren

Die erste Maßnahme, die nach der Installation von Active Directory durchgeführt werden sollte, ist die Integration der DNS-Zonen in Active Directory. Durch diese Integration werden die kompletten Daten der DNS-Zonen über die Active Directory-Replikation verteilt und stehen sicher auch auf weiteren Servern zur Verfügung, die in Active Directory installiert werden. Das erleichtert später die Installation von weiteren Domänencontrollern und die DNS-Daten sind in der Active Directory-Datenbank integriert.

Um diese Konfiguration zu überprüfen, ruft man zunächst das DNS-Snap-In über den Server-Manager oder mit "dnsmgmt.msc" auf. Um die Zone in Active Directory zu integrieren, wird folgendermaßen vorgegangen (siehe Abbildung 11):

  • Klicken Sie mit der rechten Maustaste auf die Zone und wählen Sie im Kontextmenü den Eintrag "Eigenschaften".
  • Auf der Registerkarte "Allgemein" können Sie durch Klicken auf die Schaltfläche "Ändern" im Bereich "Typ" die Zone in Active Directory integrieren lassen.
  • Aktivieren Sie im Fenster "Zonentyp ändern" das Kontrollkästchen "Zone in Active Directory speichern" (siehe Abbildung 11).

Haben Sie diese Einstellung vorgenommen, können Sie noch im Bereich "Dynamische Updates" die Option "Nur sichere …" aktivieren. Bei dieser Einstellung können sich nur Computer, die sich erfolgreich in Active Directory authentifiziert haben, dynamisch für die DNS registrieren. Alle anderen Computer haben keine Rechte, Einträge in der DNS-Zone zu erstellen.

Schritt 10: DNS-Replikation festlegen

Wurde die Zone in Active Directory integriert, kann auch die Replikation der DNS-Daten angepasst werden. In den Eigenschaften einer Zone ist dazu im Bereich "Replikation" die Schaltfläche "Ändern" zu betätigen. Danach kann konfiguriert werden, auf welche Server im Netzwerk die DNS-Daten repliziert werden sollen. Standardmäßig werden die Daten einer DNS-Zone nur auf den Domänencontrollern der Windows-Domäne repliziert. Die Replikation kann jedoch auch ohne weiteres auf weitere Server ausgedehnt werden. Welche Replikation hier gewünscht ist, hängt von den Anforderungen des jeweiligen Unternehmens ab. Hier kann festgelegt werden, welche Server die DNS-Daten erhalten sollen.

Schritt 11: DNS-IP-Einstellungen anpassen

Gibt man nach der Fertigstellung der Installation von Active Directory auf dem Domänencontroller in der Eingabeaufforderung "nslookup" ein, erhält man unter Umständen eine etwas verwirrende Ausgabe: Der Server gibt als Adresse ":1" zurück. Diese Ausgabe wird durch eine Konfiguration der Netzwerkverbindungen verursacht. Bei ":1" handelt es sich um die lokale IPv6-Host-Adresse des Servers. Dies ist zwar kein Fehler, aber die Anzeige ist verwirrend. Um das Problem zu beheben, wird folgendermaßen vorgegangen:

  • Rufen Sie zunächst die Verwaltung Ihrer Netzwerkverbindungen mit "ncpa.cpl" auf.
  • Rufen Sie die Eigenschaften des IPv6-Protokolls auf. Aktivieren Sie die Option "DNS-Serveradresse automatisch beziehen". Durch diese Konfiguration vermeiden Sie die irreführende Meldung in Nslookup. In den meisten Netzwerken wird ohnehin mit IPv4 gearbeitet. Nutzen Sie IPv6 im Unternehmen, tragen Sie an dieser Stelle die IPv6-Adresse des Servers ein.
  • Rufen Sie als nächstes die Eigenschaften für das IPv4-Protokoll auf. Auch hier hat der Assistent als bevorzugten DNS-Server die Adresse des lokalen Hosts hinterlegt (127.0.0.1). In diesem Fall funktionieren zwar Abfragen per DNS, aber diese Konfiguration ist nicht sauber und resultiert in einer fehlerhaften Ausgabe bei Nslookup. Tragen Sie auch hier die richtige IPv4-Adresse des Servers ein. Anschließend sollte die Eingabe von "nslookup" in der Eingabeaufforderung keine Fehler mehr ausgeben.

Schritt 12: Zusätzlichen Domänencontroller installieren

Haben Sie eine neue Domäne installiert, sollten Sie immer so schnell wie möglich auch einen zusätzlichen Domänencontroller installieren. Die Installation ist schnell durchgeführt und Sie können damit sichergehen, dass die Daten der Active-Directory-Domäne bei Ausfall des ersten Servers nicht verlorengehen und Anwender sich weiter anmelden können.

Der erste Schritt bei der Integration eines zusätzlichen Domänencontrollers in eine Domäne besteht aus der Installation des Betriebssystems. Achten Sie darauf, dass Sie den Server mit dem gleichen Stand des Betriebssystems installieren, damit Sie eine homogene Umgebung erhalten.

Installieren Sie nach dem Neustart des Servers – wie beim ersten Server – ebenfalls die DNS-Rolle. Haben Sie den Server als Domänencontroller in Active Directory mit aufgenommen, steht er ebenfalls als DNS-Server für die Mitgliedsserver und Arbeitsstationen zur Verfügung. Sobald Active Directory auf dem Server konfiguriert ist, erhält der Server automatisch die DNS-Daten, wenn die Zone in Active Directory integriert wurde.

Installieren Sie im Anschluss die Active-Directory-Domänendienste, wie bei der Installation eines normalen Domänencontrollers auch. Die Unterscheidung der Konfiguration findet erst im Rahmen der Einrichtung des Servers statt. Wählen Sie daher im Assistenten zur Einrichtung von Active Directory die Option „Domänencontroller zu einer vorhandenen Domäne hinzufügen“.

Schritt 13: Notwendige Nacharbeiten nach der Integration eines zusätzlichen Domänencontrollers

Haben Sie einen neuen Domänencontroller in die Domäne aufgenommen, sollten sie noch einige Nacharbeiten durchführen, um den Domänencontroller optimal einzubinden:

  • Überprüfen Sie, ob die Daten der DNS-Zonen auf den neuen Domänencontroller repliziert wurden, wenn zusätzliche Domänencontroller integriert wurden. Sie sehen das in der DNS-Verwaltung. Wenn die Daten repliziert wurden, sind in der DNS-Zone die gleichen Ordner zu sehen wie auf den anderen Servern.
  • Tragen Sie in den IP-Einstellungen der einzelnen Domänencontroller jeweils den anderen Domänencontroller als bevorzugten Server und als alternativen Domänencontroller den lokalen Server ein, zumindest dann, wenn sich beide am selben Standort befinden. Dadurch wird sichergestellt, dass die Namensauflösung im Netzwerk funktioniert, weil jeder Domänencontroller als DNS-Server einen anderen DNS-Server im Netzwerk zur Namensauflösung nutzt. Es ist wichtig für Active Directory, dass die Namensauflösung auf den PCs und den Servern im Netzwerk funktioniert, vor allem zwischen den Domänencontrollern. Besonders wichtig ist die Namensauflösung zwischen den Domänencontrollern, damit die Daten von Active Directory repliziert werden können.

Nach einigen Minuten sollten Sie die Replikation der beiden Domänencontroller überprüfen. Starten Sie dazu das Snap-In "Active Directory-Standorte und -Dienste" über das Menü "Tools" im Server-Manager. Navigieren Sie zum Knoten des Namens des Standorts und öffnen Sie den Knoten "Servers". An dieser Stelle sollten alle Domänencontroller angezeigt werden.

Klicken Sie bei den Servern auf das Pluszeichen, sehen Sie darunter einen weiteren Eintrag mit der Bezeichnung "NTDS-Settings". Klicken Sie auf diesen, wird auf der rechten Seite jeder Replikationspartner des Domänencontrollers angezeigt.

Klicken Sie auf diese automatisch erstellten Verbindungen mit der rechten Maustaste, können Sie im Kontextmenü die Option "Jetzt replizieren" auswählen. Im Anschluss daran erscheint ein Fenster, das Sie über die erfolgreiche Replikation informiert. Im folgenden Absatz zeigen wir Ihnen, wie Sie die Active Directory-Replikation testen.

Schritt 14: Active Directory-Domänencontroller testen und Fehler beheben

In Active Directory müssen sich die Domänencontroller fehlerfrei replizieren können. In der grafischen Oberfläche ist allerdings nicht zu erkennen, wie man die Server testen und die Synchronisierung überprüfen kann.

Domänencontroller und deren Replikation überprüfen Sie am besten in der Befehlszeile der Server. Mit "dcdiag /v" starten Sie eine gründliche Überprüfung von Active Directory. Erscheinen hier Fehlermeldungen, haben Sie oft schon die Ursache für Replikationsfehler gefunden. Geben Sie die Fehler in Google ein, erhalten Sie meist einige Hinweise zur Fehlerbehebung. Wollen Sie nur Fehler angezeigt bekommen, verwenden Sie "dcdiag /q". Wollen Sie nur einen einzelnen Domänencontroller über das Netzwerk testen, verwenden Sie "dcdiag /s:<Name des Domänencontrollers>".

"Repadmin /showreps" zeigt die Replikationen der Domänencontroller an. Können sich einzelne Domänencontroller nicht replizieren, sehen Sie recht schnell welcher Domänencontroller die Quelle des Problems ist. Mit "repadmin /showreps >c:\rep.txt" lassen sich die Daten in eine Textdatei umleiten. Auch hier können Sie Fehlermeldungen in eine Suchmaschine eingeben und erhalten oft konkrete Anleitungen zur Fehlerbehebung.

Zusätzlich sollten Sie überprüfen, ob alle Domänencontroller korrekt in AD registriert sind. Dazu verwenden Sie den Befehl "nltest /dclist:<NetBios-Name der Domäne>". Überprüfen Sie für die einzelnen Domänencontroller ferner, ob sie ihren eigenen Standort kennen. Der zugehörige Befehl lautet "nltest /dsgetsite". Nur wenn der Standort richtig aufgelöst wird, und die Domänencontroller problemlos funktionieren ist davon auszugehen, dass Active Directory funktioniert.

Schritt 15: Uhrzeit konfigurieren

In Active Directory sollten die Uhren der Rechner und Server nicht mehr als fünf Minuten voneinander abweichen. Da Active Directory bei der Authentifizierung mit Kerberos arbeitet, ein System das stark auf Tickets, Zeitstempel und damit gültige Uhrzeiten aufbaut, besteht die Gefahr, dass Authentifizierungsaufgaben nicht funktionieren, wenn die Uhren einzelner Rechner deutlich voneinander abweichen.

Der PDC-Master einer Active Directory-Domäne ist der autorisierende Zeitserver der Domäne und für die Uhrzeiten aller anderen Domänencontroller, Mitgliedsserver und Arbeitsstationen in der Gesamtstruktur verantwortlich.

Setzen Unternehmen eine verschachtelte Struktur mit mehreren Domänen ein, synchronisieren sich die einzelnen PDC-Master der Domänen jeweils mit dem PDC-Master der übergeordneten Domäne. Der PDC-Master der Stammdomäne ist schließlich der Server, von dem sich alle anderen Server die Zeit holen. Dieser sollte seine Uhrzeit am besten über einen Zeitserver im Internet synchronisieren. Dazu werden in der Befehlszeile auf dem ersten Domänencontroller, also dem Domänencontroller mit der PDC-Masterrolle, die folgenden Befehle eingegeben:

w32tm /config /manualpeerlist:ptbtime1.ptb.de /syncfromflags:manual /reliable:yes /update

net stop w32time && net start w32time

Als Zeitserver wird hier der Zeitserver der Physikalisch-Technischen Bundesanstalt in Braunschweig verwendet. Alle anderen Domänencontroller, Arbeitsstationen und Server synchronisieren ihre Zeit mit dem PDC-Master. Um sicherzustellen, dass alle anderen Domänencontroller ihre Uhrzeit mit diesem Domänencontroller synchronisieren, wird auf den einzelnen Domänencontrollern der folgende Befehl eingegeben:

w32tm /config /syncfromflags:domhier /update

net stop w32time && net start w32time

nmerkung der Redaktion: Dieser Beitrag stammt ursprünglich aus dem Oktober 2017 und wurde zum 12.03.2019 komplett überarbeitet, aktualisiert und umfassend ergänzt!

Inhalt des Artikels:

Kommentare werden geladen....

Kommentar zu diesem Artikel

Der Kommentar wird durch einen Redakteur geprüft und in Kürze freigeschaltet.

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 43390981 / LAN- und VLAN-Administration)