Active Directory installieren

Transkript

1

2 Kapitel 3 Active Directory installieren In diesem Kapitel geht es um die neuen Active Directory-Funktionen unter Windows Server 2008 im Praxiseinsatz. Die Funktion eines Domänencontrollers übernehmen in Windows Server 2008 die neuen Active Directory- Domänendienste. 3.1 Vorbereitungen Der erste Schritt bei der Installation von Active Directory besteht darin, den Namen des Servers und den NetBIOS-Namen und das DNS-Suffix des ersten Domänencontrollers so zu wählen, wie später die Active Directory-Domäne benannt werden soll. Konfigurieren Sie daher zunächst über Systemsteuerung/System/Erweiterte Systemeinstellungen, Registerkarte Computername, Schaltfläche Ändern den NetBIOS-Namen des neuen Domänencontrollers, zum Beispiel dc01. Klicken Sie dann in diesem Fenster auf die Schaltfläche Weitere, und geben Sie das DNS-Suffix des Servers an. Geben Sie an dieser Stelle exakt den DNS-Namen an, den Ihre Active Directory-Domäne später erhalten soll, zum Beispiel contoso.com. Der vollständige Name des Servers (FQDN) setzt sich aus dem Computernamen und dem primären DNS-Suffix zusammen. Der vollständige Computername des Domänencontrollers lautet in unserem Beispiel somit dc01.contoso.com. Haben Sie die Änderungen vorgenommen, müssen Sie den Server neu starten. 59

3 Kapitel 3 Active Directory installieren Abbildung 3.1: Definieren des Computernamens und des DNS-Suffix eines Domänencontrollers Die IP-Einstellungen des Servers konfigurieren Haben Sie den vollständigen Computernamen festgelegt, sollten Sie als Nächstes die IP-Einstellungen des Servers anpassen. Wichtig ist an dieser Stelle, dass Sie die lokale IP-Adresse des Servers als primären DNS-Server festlegen. Da dieser Server der erste Domänencontroller des neuen Active Directory werden soll, wird er auch der erste DNS-Server. Die IP-Einstellungen für Netzwerkverbindungen erreichen Sie über den Link Netzwerkverbindungen verwalten im Netzwerk- und Freigabecenter. Am schnellsten gelangen Sie an diese Konfiguration über Start/Ausführen/ncpa.cpl. Rufen Sie die Eigenschaften des IPv4-Protokolls auf, um die IP-Einstellungen für die Domäne vorzunehmen. Tragen Sie in den Eigenschaften des IP-Protokolls die IP-Adresse des Servers als bevorzugten DNS-Server ein. Da ein DNS-Server vom Klienten nur über die IP-Adresse und nicht über den Namen gefunden wird, sollte ein DNS-Server immer mit einer statischen IP-Adresse konfiguriert werden. An dieser Stelle müssen Sie noch keinen alternativen DNS-Ser- 60

4 Vorbereitungen ver eintragen. Der alternative DNS-Server wird erst von einem Client befragt, wenn der bevorzugte DNS-Server nicht mehr antwortet. Wählen Sie eine beliebige IP-Adresse, die sich im Subnetz der Testumgebung befindet. Erweiterte Netzwerkeinstellungen für die Domänenaufnahme Über die Schaltfläche Erweitert erreichen Sie weitere Einstellungen, um die Namensauflösung per DNS oder WINS im Netzwerk optimal einzustellen. Normalerweise werden Sie hier keine Einstellungen vornehmen müssen, da bereits die Standardeinstellungen ausreichen. Für manche Netzwerke kann jedoch eine Nachjustierung sinnvoll sein. Ob das für Sie notwendig ist, erfahren Sie auf den folgenden Seiten. Passen Sie die erweiterten Einstellungen an, sollten Sie darauf achten, die Standardeinstellungen zu notieren, da diese später nicht einfach nachzuvollziehen sind, wenn Sie erneut Änderungen vornehmen müssen. Auf der Registerkarte WINS können Sie einen WINS-Server eintragen, sofern Sie einen solchen im Netzwerk betreiben. WINS steht für Windows Internet Name Service und ist der Vorgänger der dynamischen DNS-Aktualisierung. Während DNS für die Namensauflösung mit voll qualifizierten Domänennamen zuständig ist, werden mit WINS NetBIOS-Namen aufgelöst. Auf den Arbeitsstationen können Sie diese Einstellungen auch mithilfe eines DHCP-Servers verteilen. Auf der Registerkarte DNS werden schließlich notwendige Einstellungen vorgenommen, um Windows Server 2008 besser in eine Windows-Domäne einzubinden. Für eine generelle Aufnahme von Windows Vista oder Windows Server 2008 in eine Domäne sind hier keine Änderungen vorzunehmen. Auf den folgenden Seiten erfahren Sie jedoch anhand von Beispielen, wann hier Änderungen sinnvoll sein können. Zunächst sind standardmäßig immer nur die folgenden Optionen bzw. Kontrollkästchen aktiviert: Primäre und verbindungsspezifische DNS-Suffixe anhängen Übergeordnete Suffixe des primären DNS-Suffixes anhängen Adressen dieser Verbindung in DNS registrieren Die einzelnen Optionen spielen bei der Namensauflösung in einer DNS-Infrastruktur eine erhebliche Rolle: Primäre und verbindungsspezifische DNS-Suffixe anhängen Durch die Aktivierung dieser Option wird festgelegt, dass der Rechner versucht, bei der Auflösung von Rechnernamen immer automatisch das konfigurierte primäre DNS-Suffix des eigenen Computernamens anzuhängen. Wollen Sie zum Beispiel einen Rechnernamen mit der Bezeichnung dc01 auflösen, versucht der Rechner eine Namensauflösung nach dc01.contoso.com, wenn das primäre DNS-Suffix des Servers contoso.com ist. 61

5 Kapitel 3 Active Directory installieren Abbildung 3.2: Erweiterte DNS-Einstellungen für Windows Server 2008 Übergeordnete Suffixe des primären DNS-Suffixes anhängen Diese Option bedeutet, dass auch die Namen von übergeordneten Domänen bei der Namensauflösung verwendet werden. Wenn Sie zum Beispiel in einer untergeordneten Domäne mit der Bezeichnung muenchen.de.contoso.com einen Servernamen dc05 auflösen wollen, versucht der Rechner zunächst die Auflösung über dc05.muenchen.de.contoso.com, falls dies das primäre DNS-Suffix des PC oder Servers ist. Im Anschluss wird versucht, den Namen über dc05.de.contoso.com und dann über dc05.contoso.com aufzulösen, da diese Domänen der Domäne muenchen.de.contoso.com übergeordnet sind. DNS-Suffix für diese Verbindung Zusätzlich haben Sie noch die Möglichkeit, in diesem Bereich ein weiteres beliebiges DNS-Suffix einzutragen. Wenn der Rechner den eingegebenen Namen bei seinem konfigurierten DNS-Server nicht über sein eigenes primäres DNS-Suffix finden kann, versucht er es mit dem DNS-Suffix in diesem Feld. Wollen Sie zum Beispiel den Servernamen dc06 auflösen, versucht der Computer zunächst die Auflösung in dc06.contoso.com, 62

6 Vorbereitungen sofern das sein primäres DNS-Suffix ist. Tragen Sie im Feld DNS-Suffix für diese Verbindung noch ein Suffix in der Form muenchen.de.microsoft.com ein, versucht der PC, auch den Namen nach dc06.muenchen.de.microsoft.com aufzulösen. Außerdem haben Sie durch diese Funktion die Möglichkeit, mehrere DNS-Suffixe zu verwenden, wenn Sie im Server verschiedene Netzwerkkarten betreiben. Adressen dieser Verbindung in DNS registrieren Auch diese Option ist bereits standardmäßig aktiviert. DNS-Server ab Windows Server 2000 haben die Möglichkeit, Einträge dynamisch zu registrieren. Durch dieses dynamische DNS müssen Hosteinträge nicht mehr manuell durchgeführt werden. Sobald sich ein Rechner im Netzwerk anmeldet, versucht er, seinen FQDN beim konfigurierten DNS-Server automatisch einzutragen, sofern diese Option nicht deaktiviert wurde. Dieser Punkt ist für die interne Namensauflösung in einem Active Directory-Netzwerk von sehr großer Bedeutung. Außer den standardmäßig aktivierten Optionen gibt es noch weitere Möglichkeiten, die Sie in diesem Fenster konfigurieren können: Diese DNS-Suffixe anhängen Wenn Sie diese Option aktivieren, können Sie DNS-Suffixe konfigurieren, mit denen unvollständige Rechnernamen aufgelöst werden. Aktivieren Sie diese Option, werden weder das primäre DNS- Suffix des Servers noch die DNS-Suffixe dieser Verbindung verwendet. Es werden die DNS-Suffixe in der Reihenfolge angehängt, die im Feld Diese DNS-Suffixe anhängen (in Reihenfolge) konfiguriert sind. Achten Sie bei der Konfiguration darauf, dass möglichst das DNS-Suffix der Windows-Domäne, in der dieser Server Mitglied ist oder werden soll, als erstes in dieser Liste eingetragen ist. Diese Option wird häufig verwendet, um die Namensauflösung in Gesamtstrukturen mit mehreren Strukturen zu vereinfachen. Dazu werden in der Reihenfolge alle Strukturen der Gesamtstruktur eingetragen, um eine Namensauflösung innerhalb von Active Directory zu gewährleisten. Vor allem beim Einsatz von Exchange-Servern ist diese Option sehr nützlich, wenn die Exchange-Server über mehrere Strukturen und Domänen verteilt sind. Standardmäßig ist diese Option nicht aktiviert. DNS-Suffix dieser Verbindung in DNS-Registrierung verwenden Wenn Sie dieses Kontrollkästchen aktivieren, wird der Server im DNS mit seinem Computernamen und seinem primären DNS-Suffix registriert, also seinem FQDN (Fully Qualified Domain Name). Zusätzlich wird der Name mit dem DNS- Suffix auch beim DNS-Server registriert, das im Bereich DNS-Suffix für diese Verbindung konfiguriert ist. Diese Option ist ebenfalls nicht standardmäßig aktiviert. 63

7 Kapitel 3 Active Directory installieren Wenn Sie schnell und effizient Server-Namen in verschiedenen DNS-Zonen auflösen wollen, aktivieren Sie auf den Computern in den IP-Einstellungen über die Schaltfläche Erweitert auf der Registerkarte DNS die Option Diese DNS-Suffixe anhängen (in Reihenfolge). Tragen Sie als Nächstes zuerst den Namensraum der eigenen Struktur ein, und hängen Sie danach die Namensräume der anderen Strukturen an. Der Sinn dieser Konfiguration ist die schnelle Auflösung von Servern in den anderen Strukturen. Wenn Sie zum Beispiel den Domänencontroller dc1 in der Struktur contoso.com auflösen wollen, müssen Sie immer dc1.contoso.com eingeben, wenn Ihr Server nicht Mitglied dieser Struktur ist. Diese Einstellung ist nur optional, erleichtert aber die Stabilität der Namensauflösung in Ihrem Active Directory. Sie sollten diese Einstellung auf jedem Domänencontroller sowie auf jedem Exchange-Server in Ihrer Gesamtstruktur durchführen sowie auf PCs von Administratoren oder Power-Usern, die ständig Verbindung zu anderen Domänen aufbauen müssen. Zuerst sollte immer die eigene Domäne und der eigene Namensraum eingetragen werden, bevor andere Namensräume abgefragt werden. Haben Sie diese Maßnahme durchgeführt, können Sie mit Nslookup den Effekt überprüfen, allerdings erst dann, wenn das Active Directory installiert wurde. Sie können an dieser Stelle lediglich dc1 eingeben. Der Server befragt seinen bevorzugten DNS-Server, ob ein Server mit dem Namen dc1. microsoft.com gefunden wird, wenn es sich hierbei um Ihr primäres DNS- Suffix handelt. Da dieser Server unter Umständen in dieser Domäne nicht vorhanden ist, wird der nächste Namensraum abgefragt. Das ist in diesem Beispiel contoso.com. Viele Administratoren tragen auf ihrem DNS-Server einfach einen neuen statischen Hosteintrag ein, der auf die IP-Adresse des Servers des anderen Namensraumes zeigt. Diese Vorgehensweise ist aber nicht richtig, auch wenn sie grundsätzlich funktioniert. Es wird in diesem Fall nämlich nicht der korrekte DNS-Name des entsprechenden Servers zurückgegeben, sondern der Servername mit der Zone des DNS-Servers, in die der Server als Host eingetragen wurde. Vor allem in größeren Active Directorys sollten Administratoren darauf achten, die Konfigurationen so vorzunehmen, dass sie auch formal korrekt sind. Das hilft oft, unbedachte Probleme zu vermeiden. Wenn Sie zum Beispiel in der Zone microsoft.com einen neuen Eintrag dc1 für den Domänencontroller dc1.contoso.com erstellen, der auf die IP-Adresse des Servers verweist, wird der Name als dc1.microsoft.com aufgelöst, obwohl der eigentliche Name des Servers dc1.contoso.com ist. Dadurch funktioniert zwar die Auflösung, aber es wird ein falscher Name zurückgegeben. 64

8 DNS in Windows Server 2008 installieren und verwalten 3.2 DNS in Windows Server 2008 installieren und verwalten Der Assistent für die Installation von Active Directory kann zwar auch im Rahmen der Einrichtung die DNS-Funktionalität installieren und einrichten, allerdings ist diese Vorgehensweise nicht optimal. Besser ist es, DNS vor und getrennt von Active Directory zu installieren und einzurichten DNS-Rolle installieren Um DNS auf einem Windows Server 2008 zu installieren, starten Sie den Server-Manager und klicken auf Rollen. Klicken Sie anschließend auf den Link Rolle hinzufügen, und wählen Sie die Rolle DNS-Server aus. Klicken Sie diese Option an, und lassen Sie die notwendigen Komponenten installieren. Nach der Installation müssen Sie den Server nicht neu starten. Nach der Installation finden Sie das Verwaltungsprogramm für den DNS-Server unter Start/ Verwaltung/DNS. Starten Sie die Verwaltung, sehen Sie zunächst die Einträge, die Sie an dieser Stelle zur Verwaltung verwenden: Globale Protokolle und die DNS-Ereignisanzeige Forward-Lookupzonen Reverse-Lookupzonen Bedingte Weiterleitungen Standardmäßig werden Sie mit dem lokal installierten DNS-Server verbunden. Erstellen Sie später eine einheitliche Managementkonsole (MMC), können Sie die Verwaltung mehrerer DNS-Server in Ihrem Unternehmen an einer Stelle verbinden. Klicken Sie mit der rechten Maustaste in der Konsole auf den Eintrag DNS, können Sie sich mit weiteren DNS-Servern verbinden. Für die Testumgebung werden diese Schritte nicht benötigt. Mit den Knoten Forward- Lookupzonen und Reverse-Lookupzonen werden die Zonen angelegt, die das Active Directory für seinen Betrieb benötigt. Im Knoten Globale Protokolle finden Sie das gleiche Protokoll wie in der Ereignisanzeige des Servers. Über Bedingte Weiterleitungen können Sie Anfragen zu bestimmten DNS-Zonen an fest definierte DNS-Server weiterleiten. Unter Windows Server 2003 war diese Einstellung noch über die Eigenschaften des DNS-Servers verfügbar Erstellen der notwendigen DNS-Zonen für das Active Directory Der nächste Schritt zur Erstellung eines Active Directory besteht in der Erstellung der neuen Zonen, welche die DNS-Domänen des Active Directory verwalten. Starten Sie die DNS-Verwaltung. 65

9 Kapitel 3 Active Directory installieren Erstellen einer Forward-Lookupzone Die erste und wichtigste Zone, die Sie auf einem DNS-Server erstellen, ist die Forward-Lookupzone der ersten Domäne des Active Directory. Diese enthält die Informationen für die Zuordnung von Namen zu IP-Adressen. Klicken Sie dazu in der MMC mit der rechten Maustaste auf den Eintrag Forward- Lookupzonen, und wählen Sie im Kontextmenü den Befehl Neue Zone aus. Es startet der Assistent zum Erstellen von neuen Zonen. Im nächsten Fenster können Sie festlegen, welche Art von Zonen Sie erstellen wollen. Wählen Sie die Option Primäre Zone aus. Beim Erstellen neuer Zonen im Active Directory werden ausschließlich primäre Zonen benötigt. Eine sekundäre Zone kann man eintragen, wenn man eine lokale Kopie einer DNS-Zone auf dem Server vorhalten will, der Inhalt der Zone wird dann automatisch von einem für die Zone zuständigen Server kopiert. Auf der nächsten Seite des Assistenten legen Sie den Namen der neuen Zone fest. Wird bereits ein Active Directory betrieben, kann auf einer vorhergehenden Registerkarte eingestellt werden, auf welche Server die Daten der neuen Zone repliziert werden sollen. Hier ist es wichtig, dass Sie als Zonennamen exakt den Namen wählen, den Sie zuvor als DNS-Suffix des Servers eingetragen haben. Das DNS-Suffix des Domänencontrollers wird später in diese Zone integriert, und die erste Active Directory-Domäne speichert ihre SRV-Records ebenfalls in dieser Domäne. In diesem Beispiel lautet die Zone contoso.com. Im Anschluss erscheint das Fenster, in dem Sie die Erstellung einer neuen Datei für die Zone bestätigen müssen. Sie könnten an dieser Stelle den Namen der Datei zwar ändern, sollten ihn aber möglichst immer so belassen, wie er festgelegt wurde. Im nächsten Fenster müssen Sie die dynamischen Updates der DNS-Zone festlegen. DNS-Server unter Windows Server 2008 arbeiten mit dynamischen Updates. Das heißt, alle Servernamen und IP-Adressen sowie die SRV- Records des Active Directory werden von dem jeweiligen System automatisch in diese Zone eingetragen. Ohne dynamische Updates können Sie in einer Zone kein Active Directory integrieren. Der Installationsassistent des Active Directory muss in einer Zone Dutzende Einträge automatisch durchführen können. Aktivieren Sie daher im Fenster die Option Nicht sichere und sichere dynamische Updates zulassen. Sichere Updates können Sie nach der Erstellung von Active Directory konfigurieren. Vor der Installation ist diese Einstellung deaktiviert. Im Anschluss erhalten Sie nochmals eine Zusammenfassung Ihrer Angaben. Danach wird die Zone erstellt und in der MMC angezeigt. Innerhalb der Zone sollte bereits der lokale Server als Host (A) mit seiner IP-Adresse registriert sein. Diese Registrierung findet nur statt, wenn das primäre DNS-Suffix 66

10 DNS in Windows Server 2008 installieren und verwalten des Servers mit der erstellten Zone übereinstimmt und die dynamische Aktualisierung zugelassen wurde. In den IP-Einstellungen des Servers muss außerdem der DNS-Server eingetragen sein, der die Zone verwaltet. Erstellen einer Reverse-Lookupzone Im Anschluss an die Forward-Lookupzone sollten Sie eine Reverse-Lookupzone erstellen. Diese Zone ist dafür zuständig, IP-Adressen in Rechnernamen zu übersetzen. Diese Zonen werden zwar für den stabilen Betrieb eines Active Directory nicht zwingend benötigt, gehören aber dennoch zu einer ordentlichen Namensauflösung im Netzwerk. Klicken Sie mit der rechten Maustaste auf den Knoten Reverse-Lookupzone, und wählen Sie im Kontextmenü den Befehl Neue Zone aus. Auf der ersten Seite des Assistenten wählen Sie wieder die Option Primäre Zone. Auf der nächsten Seite können Sie festlegen, ob Sie eine IPv4- oder eine IPv6-Reverse-Lookupzone anlegen wollen. Da Windows Server 2008 neben IPv4 auch IPv6 unterstützt, wird dieses neue Dialogfeld eingeblendet. In den meisten Netzwerken wird derzeit noch ausschließlich mit IPv4 gearbeitet. Aus diesem Grund sollten Sie bei einer Testumgebung auch eine IPv4- Reverse-Lookup-Zone anlegen. Legen Sie auf der nächsten Seite des Assistenten den IP-Bereich fest, der durch diese Zone verwaltet werden soll. Tragen Sie zur Definition des IP-Bereiches unter Netzwerkkennung den IP-Bereich ein, den Sie verwalten wollen. Für jeden eigenständigen IP-Bereich müssen Sie eine eigene Zone anlegen. Verwalten Sie ein B-Klasse-Netz (Subnetzmaske ), können Sie auch einfach die letzte Stelle leer lassen. Hat sich bei einer Zone, die Sie für die Netzwerkkennung konfiguriert haben, ein Server mit der IP-Adresse registriert, legt der DNS-Server automatisch einen Ordner 1 unter der Zone 10.0 an. In diesem Ordner wird der Hosteintrag des Servers registriert. Alle weiteren IP-Adressen, wie zum Beispiel , werden ebenfalls automatisch als neuer Ordner angelegt. Sie müssen daher bei einem B-Klasse- Netzwerk nicht manuell für jedes Unternetz eine eigene Zone anlegen. Nur wenn sich der IP-Bereich vollständig unterscheidet, zum Beispiel und 10.1., müssen Sie zwei getrennte Zonen anlegen. Auf der nächsten Seite des Assistenten legen Sie den Zonennamen fest. Danach müssen Sie die dynamischen Updates zulassen und die Zusammenfassung bestätigen. Als Nächstes wird die neue Zone erstellt. Hat sich der Server noch nicht automatisch registriert, können Sie über die Eingabe des Befehls ipconfig /registerdns in der Befehlszeile die dynamische Registrierung anstoßen. Danach sollte die IP- Adresse des Servers in der Zone registriert sein. 67

11 Kapitel 3 Active Directory installieren Überprüfung und Fehlerbehebung der DNS-Einstellungen Bevor Sie Active Directory auf dem Server installieren, sollten Sie sicherstellen, dass alle DNS-Einstellungen korrekt vorgenommen wurden. Überprüfen Sie, ob sich der Server sowohl in der Forward- als auch in der Reverse- Lookupzone korrekt eingetragen hat. Öffnen Sie danach eine Befehlszeile, und geben Sie den Befehl nslookup ein. Die Eingabe des Befehls darf keinerlei Fehlermeldungen verursachen. Es müssen der richtige FQDN des DNS-Servers und seine IP-Adresse angezeigt werden. Sollte das nicht der Fall sein, gehen Sie Schritt für Schritt vor, um den Fehler einzugrenzen: 1. Sollte ein Fehler erscheinen, versuchen Sie es einmal mit dem Befehl ipconfig /registerdns in der Befehlszeile. 2. Sollte der Fehler weiterhin auftreten, überprüfen Sie, ob das primäre DNS-Suffix auf dem Server mit dem Zonennamen übereinstimmt. 3. Stellen Sie als Nächstes fest, ob die IP-Adresse des Servers stimmt und der Eintrag des bevorzugten DNS-Servers auf die IP-Adresse des Servers zeigt. 4. Überprüfen Sie in den Eigenschaften der Zone, ob sie die dynamische Aktualisierung zulässt, und ändern Sie gegebenenfalls die Einstellung, damit die Aktualisierung stattfinden kann. Die Eigenschaften der Zonen erreichen Sie, wenn Sie mit der rechten Maustaste auf die Zone klicken und die Eigenschaften auswählen. Treten keine Fehler auf, können Sie mit der Erstellung des Active Directory auf diesem Server beginnen. 3.3 Installation der Active Directory- Domänendienste-Rolle Nachdem Sie diese Vorbereitungen getroffen haben, können Sie das Active Directory auf dem Server installieren. Dazu stehen Ihnen zwei Möglichkeiten zur Verfügung, die Installation über die grafische Benutzeroberfläche oder die Installation per Befehlszeile Installation von Active Directory über den Server-Manager Starten Sie den Server-Manager, klicken Sie in der Konsolenstruktur auf Rollen und dann im rechten Fensterbereich auf den Link Rollen hinzufügen. Im Anschluss startet der Assistent zum Hinzufügen neuer Rollen. Bestätigen 68

12 Installation der Active Directory-Domänendienste-Rolle Sie das Startfenster des Assistenten. Auf der nächsten Seite wählen Sie die Rolle Active Directory-Domänendienste aus. Diese Maßnahme entspricht dem Befehl dcpromo von Windows Server Bei der Installation eines zusätzlichen Domänencontrollers komme ich noch auf diese Möglichkeit zurück. Klicken Sie zur Installation der Rolle auf Weiter. Es erscheint ein neues Fenster mit Hinweisen zu Active Directory, das Sie ebenfalls mit Weiter bestätigen können. Auf der nächsten Seite des Assistenten starten Sie über die Schaltfläche Installieren die Installation der Rolle auf dem Server. Nach kurzer Zeit ist die Installation der Rolle abgeschlossen. An dieser Stelle sind noch keine Konfigurationen für die Domäne durchgeführt worden, sondern Sie haben lediglich die notwendigen Dateien zur Erstellung eines Active Directory auf dem Server installiert. Klicken Sie im Server-Manager unter Rollen/Active Directory-Domänendienste in der Mitte der Konsole auf den Link Führen Sie den Assistenten zum Installieren von Active Directory-Domänendiensten (dcpromo.exe) aus. Dieser Link startet den gleichen Assistenten, den Sie auch, wie unter Windows Server 2003, über Start/Ausführen/dcpromo starten können. Erst durch die Ausführung dieses Assistenten wird der Server zum Domänencontroller heraufgestuft, und die Daten für das Active- Directory werden angelegt. Beim Aufrufen wird die Rolle Active Directory- Domänendienste automatisch nachinstalliert, wenn sich die entsprechenden Dateien noch nicht auf dem Server befinden. Installieren Sie das Active Directory über den bekannten Weg in der Befehlszeile mit dcpromo, ist der Ablauf für die Einrichtung von Active Directory, der nachfolgend beschrieben wird, identisch mit der Einrichtung über den Server-Manager. Fortgeschrittene Benutzer werden den Weg über dcpromo bevorzugen. Es ist also nicht zwingend notwendig, vor der Ausführung von dcpromo die Rolle Active Directory-Domänendienste zu installieren. Aktivieren Sie das Kontrollkästchen Installation im erweiterten Modus verwenden, damit Sie auch alle notwendigen Einstellungen für Ihre Domäne konfigurieren können. Wird dcpromo über die Befehlszeile gestartet, kann mit der Option dcpromo /adv gleich in den erweiterten Modus gewechselt werden. Durch die Aktivierung des erweiterten Modus können Sie mit dem Assistenten noch folgende Funktionen einstellen: Erstellen neuer Domänenstrukturen Verwenden eines Sicherungsmediums für die Replikation von Active Directory, um Netzwerkverkehr im WAN zu sparen Auswählen des Quell-Domänencontrollers für die Installation 69

13 Kapitel 3 Active Directory installieren Anpassen des NetBIOS-Namens der Domäne Konfiguration der Richtlinien für die Kennwortreplikation für schreibgeschützte Domänencontroller (neu in Windows Server 2008) Auf der nächsten Seite des Assistenten legen Sie fest, wie das Active Directory installiert werden soll. Da Sie die erste Domäne für Ihre Gesamtstruktur erstellen, wählen Sie die Option Neue Domäne in neuer Gesamtstruktur aus. Sie erstellen durch diese Auswahl eine neue Domäne und auch die dazugehörige Gesamtstruktur. Insgesamt gibt es im Active Directory die drei Container Gesamtstruktur, Struktur und Domäne. Bevor ich auf die Erstellung einer neuen Gesamtstruktur eingehe, zeige ich Ihnen, welche Möglichkeiten es gibt. Active Directory-Gesamtstruktur (Forest) Ein Active Directory kann aus mehreren selbstständigen Domänen bestehen, die dennoch zu einer großen gemeinsamen Organisation, auch Gesamtstruktur genannt, gehören. Alle verbundenen Domänen einer Gesamtstruktur teilen sich eine Datenbank. Eine Gesamtstruktur (Forest) ist die Grenze des Verzeichnisdienstes eines Unternehmens, in dem einheitliche Berechtigungen vergeben und delegiert werden können. Für Anwender ändert sich beim Umgang mit der Domäne so gut wie nichts. Sie können mehrere Domänen in einer Gesamtstruktur hierarchisch aufbauen. Jede Domäne in einem Active Directory ist eine eigene Partition im Verzeichnis. Jede Partition wird von unterschiedlichen Domänencontrollern verwaltet. Diese Partitionierung erfolgt automatisch. Domänenstrukturstamm (Tree) Domänen werden im Active Directory zu Strukturen (Trees) zusammengefasst. Eine Struktur muss über einen einheitlichen Namensraum verfügen. Heißt eine Struktur beispielsweise contoso.com, kann es innerhalb dieser Struktur weitere Einheiten geben, wie beispielsweise marketing.contoso.com, sales.contoso.com und dallas.sales.contoso.com. In einer Struktur werden automatisch gegenseitige Vertrauensstellungen zwischen den beteiligten Domänen erzeugt. Darüber hinaus kann in einer Struktur eine Suche über mehrere Domänen hinweg erfolgen. Eine Active Directory-Gesamtstruktur (Forest) kann aus mehreren Strukturen zusammengesetzt sein. Jede Gesamtstruktur besteht aus mindestens einer Struktur. Der ersten Domäne eines Active Directory kommt eine besondere Bedeutung zu. Da sie die erste Domäne ist, bildet sie die erste Struktur des Active Directory und ist gleichzeitig die Stamm-(Root-)Domäne der Gesamtstruktur. Planen Sie ein Active Directory mit nur einer Domäne, bildet diese Domäne die Gesamtstruktur, die erste und einzige Struktur und die Stamm- 70

14 Installation der Active Directory-Domänendienste-Rolle (Root-)Domäne des Active Directory. Die Domänen einer Struktur teilen sich einen sogenannten Namensraum. Unter Windows NT hatten Domänen lediglich einen NetBIOS-Namen mit bis zu 15 Zeichen. Im Active Directory gibt es diese NetBIOS-Namen auch. Abbildung 3.3: Beispiel einer Gesamtstruktur Wichtiger sind jedoch die DNS-Namen, die jede Domäne einem DNS- Namensraum eindeutig zuweisen. Als Struktur wird ein Namensraum bezeichnet, der vollkommen eigenständig ist. In der nächsten Abbildung bilden zum Beispiel die Domänen microsoft.com und de.microsoft.com jeweils eine eigenständige Domäne innerhalb derselben Struktur. Auch die Domänen contoso.com, sales.contoso.com und dallas.sales.contoso.com sind eine eigene Struktur. Die beiden Strukturen contoso.com und microsoft.com sind trotz ihrer vollständig eigenständigen Namensräume Teil einer gemeinsamen Active Directory-Gesamtstruktur. Jede Domäne kann beliebige untergeord- 71

15 Kapitel 3 Active Directory installieren nete Domänen (Child-Domänen genannt) haben, denen ebenfalls weitere Domänen untergeordnet werden. Alle Domänen eines Namensraums werden als eigenständige Struktur (auch Domänenstrukturstamm genannt) bezeichnet. Child-Domänen sind wie die übergeordneten Domänen vollkommen eigenständig, teilen sich jedoch einen Namensraum und eine Active Directory-Gesamtstruktur. Sie bilden jeweils eigene Partitionen im Active Directory, die durch getrennte Domänencontroller verwaltet werden. In diesem Beispiel werde ich aber zunächst eine Testumgebung mit einer neuen Gesamtstruktur aufbauen. Die weiteren Schritte bei diesem Aufbau beziehen sich daher auf diesen Bereich. Auf der nächsten Seite des Assistenten legen Sie den DNS-Namen der neuen Domäne fest. Tragen Sie hier genau den gleichen Namen ein, den Sie bereits bei dem primären DNS-Suffix des Domänencontrollers verwendet haben, in diesem Beispiel contoso.com. Im nächsten Fenster müssen Sie den NetBIOS-Namen der neuen Domäne festlegen. Dieser Name wird zum Beispiel in den Anmeldemasken und den meisten Authentifizierungsfenstern verwendet. Sie sollten möglichst einen NetBIOS-Namen wählen, der auch zum DNS-Namen passt, am besten den DNS-Namen ohne die letzte Endung, in diesem Beispiel also CONTOSO. Auf der nächsten Seite des Assistenten legen Sie die Funktionsebene der Gesamtstruktur fest. Ein Active Directory kann unter verschiedenen Betriebsmodi betrieben werden, die sich jeweils pro Domäne und pro Gesamtstruktur einstellen lassen: Betriebsmodus der einzelnen Domänen in der Gesamtstruktur Betriebsmodus der Gesamtstruktur Während die Funktionsebene der Gesamtstruktur nur einmal verändert werden muss, müssen Sie für jede Domäne der Gesamtstruktur deren eigene Funktionsebene anpassen. Diese beiden Ebenen können unabhängig voneinander jeweils drei verschiedene Betriebsmodi annehmen. Diese drei Betriebsmodi haben keine Kompatibilitätsunterschiede für Mitgliedsserver oder -PCs. Wichtig ist der Modus nur für die Domänencontroller. Windows 2000 In diesem Modus können nur noch Windows 2000-, Windows Server und Windows Server 2008-Domänencontroller die Domäne verwalten. Es dürfen aber weiterhin Windows NT 4.0-Server als Mitglied betrieben werden. Ab diesem Modus können universelle Gruppen erstellt werden, und die SID-History wird unterstützt. Bei der SID-History können den Benutzerkonten mehrere SIDs aus anderen Domänen zugeordnet werden. Sicherheitsgruppen können in diesem Modus zu Verteilergruppen 72

16 Installation der Active Directory-Domänendienste-Rolle umfunktioniert werden. Ab diesem Modus kann auch Exchange Server 2007 in der Domäne installiert werden. Windows Server 2003 Ab diesem Modus können Domänen in der Gesamtstruktur umbenannt und umstrukturiert werden. Es können gesamtstrukturübergreifende Vertrauensstellungen erstellt werden. Sofern in einer Gesamtstruktur keine Windows 2000-Domänencontroller unterstützt werden müssen, sollten Sie so schnell wie möglich die Funktionsebene der Domänen und der Gesamtstruktur auf den Windows Server 2003-Modus hochsetzen. Sie erhalten dadurch keinerlei Nachteile, eröffnen sich aber erst dann die vollständigen Möglichkeiten von Active Directory. In diesem Modus werden schreibgeschützte Domänencontroller (RODC) unterstützt, sofern sich der PDC-Emulator auf einem Domänencontroller unter Windows Server 2008 befindet. Windows Server 2008 Dieser Modus hat funktional keine großen Unterschiede zum Windows Server 2003-Modus. Allerdings wird durch Auswahl dieses Modus sichergestellt, dass alle Domänen der Gesamtstruktur im Windows Server 2008-Modus betrieben werden. In diesem Modus werden Kennwortrichtlinien für mehrere OUs unterstützt. Außerdem wird in diesem Modus zur Replikation des Sysvol-Verzeichnisses DFS genutzt, was wesentlich performanter und stabiler funktioniert. In diesem Modus kann der Kerberosverkehr mit AES 128 oder 256 verschlüsselt werden. Auch später noch können Sie die Funktionsebene der Gesamtstruktur oder einzelner Domänen abändern, aber hierbei ist immer nur ein Wechsel in einem»höheren«modus möglich. Auf der nächsten Seite des Assistenten konfigurieren Sie, dass der Domänencontroller auch zum DNS-Server konfiguriert wird. Der erste Domänencontroller in der Gesamtstruktur sollte möglichst auch immer DNS-Server sein. Der neue Domänencontroller wird darüber hinaus auch zwingend der erste globale Katalogserver. Auf dieser Seite können Sie auch festlegen, ob ein Domänencontroller zum Read-Only-Domänencontroller (RODC) werden soll. Hierbei wird auf dem Domänencontroller ein Replikat der Active Directory-Datenbank gespeichert, die keinerlei Änderungen akzeptiert, zudem enthält die Datenbank aus Gründen der Sicherheit auch nur die Kennwörter ausgewählter Benutzer. Außerdem lässt sich die Berechtigung zur RODC-Verwaltung an einen beliebigen Domänenbenutzer delegieren, um beispielsweise Aktualisierungen von Gerätetreibern vor Ort rasch durchführen zu können. Der erste Domänencontroller einer Gesamtstruktur kann nicht zum RODC konfiguriert werden, aus diesem Grund ist diese Option, genau wie die Auswahl zum globalen Katalog, deaktiviert. 73

17 Kapitel 3 Active Directory installieren Nachdem Sie die Installation des DNS-Servers ausgewählt haben, erscheint eine weitere Warnmeldung, die etwas verwirrend ist. Obwohl dem Server eine statische IP-Adresse zugewiesen wurde, erscheint die Meldung, dass eine dynamische IP-Adresse verwendet wird. Das liegt daran, dass für die IPv6- Verbindung meistens dynamische Einstellungen verwendet werden. Solange Sie der IPv4-Verbindung eine statische Adresse zugewiesen haben, können Sie die Warnung mit Ja bestätigen und ignorieren. Als Nächstes erscheint eine Meldung, dass bereits DNS installiert ist, und der Assistent möchte eine Delegierung für die DNS-Zone erstellen. Diese Meldung erscheint allerdings nur dann, wenn Sie nicht, wie zuvor beschrieben, vor der Installation von Active Directory die Rolle DNS-Server installiert haben und die Zonen eingerichtet wurden. Diese Meldung besagt in aller Kürze, dass der DNS-Server, den Sie in den IP-Einstellungen konfiguriert haben, nicht in der Lage ist, die DNS-Zone der neuen Active Directory-Domäne aufzulösen. Da Sie derzeit den ersten DNS-Server und Domänencontroller installieren, wird diese Zone natürlich erst erstellt. Aus diesem Grund erscheint die Meldung, die Sie mit Nein bestätigen. In diesem Fall übernimmt der Assistent nicht die Einrichtung des DNS-Servers, sondern integriert die Daten für das Active Directory direkt in die Zone, die zuvor angelegt wurde. Diese Meldung hat ihren Ursprung bei der Erweiterung eines bestehenden Active Directory um zusätzliche Domänen. Wenn Sie eine untergeordnete Domäne erstellen wollen, zum Beispiel die Domäne de unterhalb der Domäne contoso.com, haben Sie zwei Möglichkeiten, die Namensauflösung und das DNS-Konzept zu erstellen. Sie können auf den primären DNS-Servern der Zone contoso.com eine Unterdomäne de erstellen. In diesem Fall wird die neue Domäne unterhalb der Domäne contoso.com angezeigt. Alle DNS-Server, welche die Zone contoso.com verwalten, sind auch für die Domäne de.contoso.com zuständig. Haben Sie die neue Domäne erstellt, müssen Sie als Nächstes auf dem ersten Domänencontroller der neuen untergeordneten Domäne in den IP-Einstellungen den DNS-Server der Hauptzone eintragen. Wenn sich die Domäne in einer anderen Niederlassung befindet, können Sie nach der Erstellung der neuen untergeordneten Domäne die Einstellungen auf den lokalen DNS-Server umstellen. Da bei den meisten Active Directorys die DNS-Zonen im Active Directory integriert sind, können Sie vor dem Heraufstufen eines Domänencontrollers diesen noch nicht zum DNS-Server innerhalb eines Active Directory konfigurieren. Erstellen Sie eine neue untergeordnete Domäne und ist in den IP-Einstellungen des neuen Domänencontrollers der DNS-Server der Hauptzone eingetragen, können Sie nach der Heraufstufung die komplette Zone zum DNS-Server in der untergeordneten Domäne replizieren lassen. 74

18 Installation der Active Directory-Domänendienste-Rolle Vor allem bei größeren Unternehmen kann die Erstellung untergeordneter DNS-Domänen Probleme bereiten. Wenn zum Beispiel in der Zentrale in Dallas die Root-Domäne contoso.com verwaltet werden soll, aber die Administratoren in der deutschen Domäne de diese Zone aus Sicherheitsgründen nicht verwalten sollen, sondern nur ihre eigene, können Sie nicht einfach eine Unterdomäne anlegen, da sonst jeder Administrator eines DNS-Servers Änderungen in der ganzen Zone vornehmen kann. Durch fehlerhafte Änderungen kann dadurch ein weltweites Active Directory schnell außer Funktion gesetzt werden. Aus diesem Grund hat Microsoft in seinen DNS-Servern die Delegation von Domänen integriert. Gehen Sie dazu folgendermaßen vor: Auf dem DNS-Server der neuen untergeordneten Domäne wird eine eigene Zone de.contoso.com angelegt und konfiguriert. Zukünftig verwalten die Administratoren der Domäne de ihre eigene Zone de.contoso.com. Damit die DNS-Server und Domänencontroller der restlichen Niederlassungen ebenfalls Verbindung zu der Zone de.contoso.com aufbauen können, wird in der Hauptzone contoso.com eine sogenannte Delegation eingerichtet, in der festgelegt wird, dass nicht die DNS-Server der Zone contoso.com für die Domäne de.contoso.com zuständig sind, sondern die DNS-Server der Niederlassung in Deutschland. Durch diese Konfiguration können weiterhin alle Namen aufgelöst werden, aber die Administratoren der Niederlassungen können nur ihre eigenen Zonen verwalten, nicht die Zonen der anderen Niederlassungen. Nachdem Sie die Delegation eingerichtet haben, wird die Zone unterhalb der Hauptzone als delegiert angezeigt. Dieser DNS-Server ist nicht mehr für diese Zone verantwortlich, kann aber Namen in der Domäne durch die Delegation auflösen, indem er Anfragen an die DNS-Server weiterleitet, die in der Delegation angegeben sind. Auf Dauer kann allerdings diese Konfiguration auch kompliziert werden. Einfacher ist es, innerhalb eines Namensraums möglichst alle neuen Domänen als Unterdomänen anzulegen. Stellen Sie bei der Replikation der Hauptzone ein, dass diese Zone auf alle DNS-Server des Active Directory repliziert wird. Dadurch ist sichergestellt, dass in jeder Niederlassung alle notwendigen Server aufgelöst werden können. Sie ersparen sich dadurch komplizierte Verwaltungsvorgänge. Wenn jedoch in den Niederlassungen Administratoren sitzen, die ihre eigenen Domänen verwalten sollen, arbeiten Sie mit der Delegation. Geben Sie die delegierte Domäne ein, müssen Sie nur die neue Zone eingeben, also in diesem Fall de. Den restlichen Domänennamen, also hier contoso.com, wird durch den Assistenten automatisch eingerichtet. Geben Sie auf der letzten Seite des Assistenten die IP-Adresse des DNS-Servers ein, 75

19 Kapitel 3 Active Directory installieren der zukünftig diese Zone verwalten soll. Sie können jederzeit in den Zoneneinstellungen zusätzliche DNS-Server für die Zone eintragen. Nachdem die Delegation erstellt wurde, können alle PCs und Server, die den DNS-Server der Hauptzone abfragen, auch die Namen der Server in den untergeordneten Zonen auflösen. Sobald der DNS-Server der Zone contoso.com eine Anfrage für die Domäne de.contoso.com erhält, gibt er diese Abfrage an die DNS-Server weiter, die in der Delegation hinterlegt sind. Die Zone de.contoso.com wird auf den DNS-Servern, welche die Zone verwaltet, genauso verwaltet wie die Zone contoso.com auf dem Haupt-DNS-Server. Die Zone sollte in das Active Directory integriert und zu den anderen Domänencontrollern der Niederlassung repliziert werden. Die Delegation auf den DNS-Servern der Zone contoso.com hat keinerlei Auswirkungen auf die Verwaltung der Zone de.contoso.com. Die Delegation ist quasi nur eine Verknüpfung zu den DNS-Servern in der Zone de.contoso.com. In der Ansicht der DNS-Verwaltung auf den DNS-Servern von contoso.com werden die Delegationen grau angezeigt. Delegationen können jederzeit gelöscht und wieder angelegt werden, da sie keinerlei Auswirkungen auf die Zone haben, zu der sie delegiert sind. In diesem Fenster werden Sie also gefragt, ob in der übergeordneten DNS- Zone (dies wäre in unserem Beispiel die.com-zone) eine Delegation zur aktuellen Domäne durchgeführt werden soll. Dies spielt nur bei der Installation untergeordneter Domänen eine Rolle. Da Sie die erste Domäne in der Gesamtstruktur erstellen, können Sie an dieser Stelle die Option Nein, keine DNS-Delegierung erstellen auswählen. In diesem Fall erstellt der Assistent die notwendigen Daten in der Zone, die Sie erstellt haben. Im nächsten Fenster legen Sie den Speicherort der Datenbank und der Protokolle fest, die das Active Directory zum Speichern der Informationen benötigt. Sie sollten hier den Ordner an der Stelle belassen, die vorgeschlagen wird. Im Anschluss müssen Sie noch den Ordner festlegen, der als netlogon- und sysvol-freigabe verwendet wird. In diesem Ordner werden die Anmeldeskripte und später die Gruppenrichtlinien gespeichert. Belassen Sie auch an dieser Stelle den Standardpfad, da eine Änderung keinen Sinn ergeben würde. Im nächsten Fenster legen Sie das Kennwort für den Verzeichnisdienstwiederherstellungsmodus fest. In diesem Modus können Sie einzelne Objekte aus dem Active Directory oder auch ein ganzes Active Directory wiederherstellen. Anschließend erhalten Sie eine Zusammenfassung angezeigt, und der Assistent beginnt mit seiner Arbeit. Sie können den Server automatisch neu starten lassen, nachdem die Installation durchgeführt wurde, oder Sie können den Neustart manuell durchführen. Unter Umständen erhalten Sie noch eine Feh- 76

20 Installation der Active Directory-Domänendienste-Rolle lermeldung angezeigt, in welcher der Assistent Ihnen mitteilt, dass keine DNS-Zone erstellt werden kann, da Sie bereits eine Zone mit der gleichen Bezeichnung erstellt haben. Bestätigen Sie diese Meldung. Der Assistent integriert in diesem Fall die notwendigen Daten von Active Directory in Ihre bereits erstellte Zone. DNS in das Active Directory integrieren und sichere Updates konfigurieren Die erste Maßnahme, die Sie nach der Installation des Active Directory durchführen sollten, ist die Integration der DNS-Zonen in das Active Directory. Durch diese Integration werden die kompletten Daten der DNS-Zonen über die Active Directory-Replikation verteilt. Haben Sie die Installation des DNS- Servers nicht manuell vorgenommen, sondern durch den Assistenten für das Active Directory, sind die Zonen bereits automatisch in das Active Directory integriert. Um die DNS-Zonen-Daten manuell in das Active Directory zu integrieren, rufen Sie zunächst das DNS-Snap-In auf. Erweitern Sie die Zone, sehen Sie die Erweiterungen, die das Active Directory hinzugefügt hat. In den einzelnen Unterdomänen der Zone finden Sie die verschiedenen SRV-Records. 1. Klicken Sie mit der rechten Maustaste auf die Zone, und wählen Sie Eigenschaften. 2. Auf der Registerkarte Allgemein können Sie durch Klicken auf die Schaltfläche Ändern im Bereich Typ die Zone in das Active Directory integrieren lassen. 3. Aktivieren Sie im Fenster Zonentyp ändern das Kontrollkästchen Zone in Active Directory speichern. 4. Haben Sie diese Einstellung vorgenommen, können Sie noch im Bereich Dynamische Updates die Option Nur sichere aktivieren. Bei dieser Einstellung können sich nur Computer, die sich erfolgreich im Active Directory authentifizieren, dynamisch in DNS registrieren. Haben Sie die Zone in das Active Directory integriert, können Sie auch die Replikation der DNS- Daten anpassen: Klicken Sie in den Eigenschaften einer Zone im Bereich Replikation auf Ändern, können Sie konfigurieren, auf welche Server die DNS- Daten repliziert werden sollen. Standardmäßig werden die Daten einer DNS- Zone nur auf den Domänencontrollern der Windows-Domäne repliziert. Die Replikation kann jedoch ohne Weiteres auf weitere Server ausgedehnt werden. Sie können die Zone auf alle DNS-Server der Gesamtstruktur, auf alle DNS- Server der aktuellen Domäne oder auf alle Domänencontroller der aktuellen Domäne replizieren. 77

21 Kapitel 3 Active Directory installieren DNS-IP-Einstellungen anpassen Windows Server 2008 hat die Eigenart, die Konfiguration Ihrer Netzwerkverbindungen automatisch abzuändern, sodass die Einstellungen für manche Administratoren verwirrend sein können. Im folgenden Abschnitt erfahren Sie, wie Sie die Einstellungen wieder an Ihre Bedürfnisse anpassen. Geben Sie nach der Fertigstellung der Installation von Active Directory auf dem Domänencontroller in der Befehlszeile nslookup ein, erhalten Sie unter Umständen eine etwas verwirrende Ausgabe. Der Fehler wird durch eine Konfiguration der Netzwerkverbindungen verursacht. Rufen Sie zunächst die Verwaltung Ihrer Netzwerkverbindungen auf. Der schnellste Weg ist, wenn Sie ncpa.cpl in das Suchfeld des Startmenüs eingeben. Rufen Sie zunächst die Eigenschaften des IPv6-Protokolls auf. Wie Sie sehen, hat Windows Server 2008 die Option Folgende DNS-Serveradressen verwenden aktiviert und den Eintrag ::1 hinterlegt. Dies entspricht bei IPv6 dem Eintrag (localhost) bei IPv4. Durch diesen Eintrag fragt der DNS-Server bei Reverse-Abfragen per IPv6 den lokalen DNS-Server. Haben Sie keine IPv6-Reverse-Lookup-Zone erstellt, weil Sie in Ihrem LAN noch kein IPv6 einsetzen, wird durch diese Konfiguration ein Fehler verursacht. Legen Sie eine IPv6-Reverse-Lookup-Zone an, und stellen Sie sicher, dass ein Zeiger zur IPv6-Adresse des Servers eingetragen wird. In den meisten Fällen ist diese Konfiguration allerdings nicht notwendig, vor allem dann nicht, wenn im Unternehmen nicht mit IPv6 gearbeitet wird. Aktivieren Sie in diesem Fall die Option DNS-Serveradresse automatisch beziehen. Durch diese Konfiguration vermeiden Sie die irreführende Meldung in nslookup. Rufen Sie als Nächstes die Eigenschaften für das IPv4-Protokoll auf. Auch hier hat der Assistent als bevorzugten DNS-Server die Adresse des lokalen Hosts hinterlegt ( ). In diesem Fall funktionieren zwar Abfragen per DNS, aber diese Konfiguration ist nicht sauber und resultiert in einer fehlerhaften Ausgabe bei nslookup. Tragen Sie auch hier die richtige IPv4-Adresse des Servers ein. Anschließend sollte die Eingabe von nslookup in der Befehlszeile keine Fehler mehr ausgeben. Haben Sie eine neue Domäne installiert, sollten Sie immer so schnell wie möglich einen zusätzlichen Domänencontroller installieren. In einer Testumgebung wird das zwar nicht unbedingt notwendig sein, aber durch mehrere Domänencontroller können Sie das Verhalten von Active Directory besser testen, vor allem bezüglich der Replikation. Die Installation ist schnell durchgeführt, und Sie können damit sichergehen, dass die Daten der Active Directory-Domäne bei Ausfall des ersten Servers nicht verloren gehen können. Wir zeigen Ihnen im folgenden Abschnitt, wie zusätzliche Domänencontroller in einer Domäne 78

22 Installation der Active Directory-Domänendienste-Rolle installiert werden. Dabei muss es sich nicht gezwungenermaßen um einen schreibgeschützten Domänencontroller handeln, wir gehen aber in diesem Beispiel davon aus. Wollen Sie einen schreibgeschützten Domänencontroller installieren, achten Sie darauf, dass der PDC-Emulator auf einem Windows Server 2008-DC positioniert sein muss. Außerdem muss sich die Gesamtstruktur mindestens im Windows Server 2003-Betriebsmodus befinden Vorbereitungen für die Integration eines zusätzlichen Domänencontrollers in eine Domäne Der erste Schritt bei der Integration eines zusätzlichen Domänencontrollers in eine Domäne besteht aus der Installation des Betriebssystems. Achten Sie darauf, dass Sie den Server mit dem gleichen Stand des Betriebssystems installieren, damit Sie eine homogene Umgebung erhalten. Computername und primäres DNS-Suffix Geben Sie dem zusätzlichen Domänencontroller zunächst einen passenden Namen, zum Beispiel dc02, und konfigurieren Sie das primäre DNS-Suffix auf dem Server. Gehen Sie bei diesem Schritt so vor wie bei der Erstellung des ersten Domänencontrollers. DNS-Erweiterung installieren Installieren Sie auf dem Rechner nach dem Neustart des Servers, wie beim ersten Server, ebenfalls die DNS-Erweiterung. Nachdem der Server als Domänencontroller in das Active Directory mit aufgenommen wurde, steht er dann ebenfalls als DNS-Server für die Mitgliedsserver und Arbeitsstationen zur Verfügung. Konfigurieren der IP-Einstellungen Weisen Sie dem zusätzlichen Domänencontroller zunächst den ersten Domänencontroller, den Sie installiert haben, als bevorzugten DNS-Server zu. Später kann diese Einstellung noch abgeändert werden, aber für das Beitreten der Domäne muss der Server einen DNS-Server in der Domäne erreichen können Integration eines neuen Domänencontrollers Rufen Sie im Anschluss über Start/Ausführen/dcpromo den Installationsassistenten von Active Directory auf dem neuen Domänencontroller auf. Aktivieren Sie auch in diesem Fall wieder die erweiterte Konfiguration. In dem ersten Fenster wählen Sie die Option Vorhandene Gesamtstruktur und dann Domänencontroller vorhandener Domäne hinzufügen. 79

23 Kapitel 3 Active Directory installieren Auf der nächsten Seite des Assistenten ist automatisch die Option Alternative Anmeldeinformationen aktiviert. Über die Schaltfläche Festlegen müssen Sie das Konto eines Administrators festlegen, der über die Rechte verfügt, Domänencontroller zu einer Domäne hinzuzufügen. Außerdem müssen Sie auf dieser Seite den DNS-Namen der Domäne angeben, in die Sie den Domänencontroller hinzufügen wollen. Sie können zwar auch mit dem NetBIOS-Namen der Domäne arbeiten, aber die Auflösung per DNS geht schneller und ist zuverlässiger. Wichtig ist an dieser Stelle nicht, dass Sie dieser hier angegebenen Domäne einen zusätzlichen Domänencontroller hinzufügen, sondern dass Sie sich an der Gesamtstruktur authentifizieren. Damit Sie sicherstellen, dass die Authentifizierung und die Verbindung auch zur Domäne passen, der Sie einen Domänencontroller hinzufügen wollen, ist hier die Angabe dieser Domäne der beste Weg. Als Nächstes wählen Sie den physikalischen Standort aus, in den der Domänencontroller positioniert wird. Diese Möglichkeit ist neu in Windows Server Bei Windows Server 2003 wurde die Zuweisung nur automatisiert durchgeführt, eine manuelle Zuweisung während des Heraufstufens war nicht möglich. Das Active Directory bietet die Möglichkeit, eine Gesamtstruktur in mehrere Standorte zu unterteilen, die durch verschiedene IP-Subnetze voneinander getrennt sind. Durch diese physische Trennung der Standorte ist es nicht notwendig, für jede Niederlassung eine eigene Domäne zu erstellen. Auf der nächsten Seite des Assistenten legen Sie fest, ob der neue Domänencontroller zum globalen Katalog konfiguriert werden soll. Außerdem können Sie an dieser Stelle festlegen, dass der Domänencontroller nur als schreibgeschützter Domänencontroller (RODC) verwendet wird, also dieser Server keine Änderungen entgegennimmt außer als Replikation von seinem übergeordneten Domänencontroller. Auf der nächsten Seite des Assistenten geben Sie eine Benutzergruppe an, welche die Berechtigung erhält, den Domänencontroller zu verwalten. Mitglieder der angegebenen Gruppe dürfen den Server verwalten beziehungsweise Änderungen auf dem Server vorzunehmen. Die Gruppe oder Benutzer, die Sie hier angeben, erhalten lokale Administratorberechtigungen auf dem Controller, verfügen aber über keinerlei Rechte in der Active Directory-Domäne. Sie können für eine Testumgebung aber auch den normalen Administrator- Benutzer verwenden. Im nächsten Fenster legen Sie fest, ob der Domänencontroller die Daten des Active Directory über das Netzwerk oder die WAN-Leitung erhalten soll oder ob Sie die Datensicherung Ihres Active Directory verwenden. Diese Option ist vor allem sinnvoll, wenn Sie einen neuen Domänencontroller für eine kleine 80