Rheinwerk Computing < openbook > Rheinwerk Computing - Professionelle Bücher. Auch für Einsteiger.
Professionelle Bücher. Auch für Einsteiger.

Inhaltsverzeichnis
Geleitwort
1 Warum eine neue Server-Version?
2 Editionen und Lizenzen
3 Hardware und Dimensionierung
4 Protokolle
5 Was ist .NET?
6 Installation
7 Die Core-Installationsoption
8 Active Directory-Domänendienste
9 Netzwerkdienste im AD-Umfeld
10 Active Directory Lightweight Directory Services (AD LDS)
11 Active Directory-Verbunddienste (Federation Services)
12 Active Directory-Zertifikatdienste
13 Active Directory-Rechteverwaltungsdienste (AD RMS)
14 »Innere Sicherheit«
15 Dateisystem und Dateidienste
16 Drucken
17 Webserver (IIS)
18 SharePoint Foundation und SharePoint Server
19 Remotedesktopdienste (Terminaldienste)
20 Hochverfügbarkeit
21 Datensicherung
22 Servervirtualisierung mit Hyper-V
23 Windows PowerShell
Stichwort

Jetzt Buch bestellen
Ihre Meinung?
Spacer
Windows Server 2012 R2 von Ulrich B. Boddenberg
Das umfassende Handbuch
Buch: Windows Server 2012 R2

Windows Server 2012 R2
Rheinwerk Computing
1392 S., 4., aktualisierte Auflage 2014, geb.
59,90 Euro, ISBN 978-3-8362-2013-2
Pfeil 8 Active Directory-Domänendienste
Pfeil 8.1 Aufbau und Struktur
Pfeil 8.1.1 Logische Struktur
Pfeil 8.1.2 Schema
Pfeil 8.1.3 Der globale Katalog (Global Catalog, GC)
Pfeil 8.1.4 Betriebsmasterrollen/FSMO-Rollen
Pfeil 8.1.5 Verteilung von Betriebsmasterrollen und Global Catalog
Pfeil 8.1.6 Schreibgeschützte Domänencontroller – Read Only Domain Controller (RODC)
Pfeil 8.2 Planung und Design des Active Directory
Pfeil 8.2.1 Abbildung des Unternehmens
Pfeil 8.2.2 Übersichtlichkeit und Verwaltbarkeit
Pfeil 8.2.3 Standorte
Pfeil 8.2.4 Replikation
Pfeil 8.2.5 Gruppenrichtlinien
Pfeil 8.3 Ein neues Active Directory einrichten
Pfeil 8.3.1 Den ersten Domänencontroller einrichten
Pfeil 8.3.2 Zusätzliche Domänencontroller einrichten
Pfeil 8.4 Gruppenrichtlinien
Pfeil 8.4.1 Anwendungsbeispiel
Pfeil 8.4.2 Richtlinien für Computer und Benutzer
Pfeil 8.4.3 Verteilung über Domänencontroller
Pfeil 8.4.4 Vererbung
Pfeil 8.4.5 Sicherheit und Vorrang
Pfeil 8.4.6 Filter
Pfeil 8.4.7 Abarbeitungsreihenfolge, mehr Details
Pfeil 8.4.8 Lokale GPOs (ab Windows Vista und Windows Server 2008)
Pfeil 8.4.9 Starter-Gruppenrichtlinienobjekte / Starter-GPOs
Pfeil 8.4.10 ADM vs. ADMX
Pfeil 8.4.11 Zuweisen und Bearbeiten von Gruppenrichtlinien
Pfeil 8.4.12 WMI-Filter
Pfeil 8.4.13 Softwareverteilung mit Gruppenrichtlinien
Pfeil 8.4.14 Loopbackverarbeitung
Pfeil 8.4.15 Gruppenrichtlinien-Voreinstellungen (Preferences)
Pfeil 8.5 Diverses über Gruppen
Pfeil 8.6 Delegierung der Verwaltung
Pfeil 8.7 Das Active Directory aus der Client-Perspektive
Pfeil 8.7.1 DNS-Einträge oder »Wie findet der Client das Active Directory?«
Pfeil 8.7.2 Das Active Directory durchsuchen
Pfeil 8.7.3 Individuelle Erweiterungen
Pfeil 8.8 Zeitdienst
Pfeil 8.8.1 Grundkonfiguration der Zeitsynchronisation
Pfeil 8.8.2 Größere Umgebungen
Pfeil 8.9 Upgrade der Gesamtstruktur auf Active Directory-Domänendienste (AD DS) 2008/2012/R2
Pfeil 8.9.1 Schemaerweiterung und Anpassung der Domänen durchführen
Pfeil 8.9.2 Windows Server 2012 R2-Domänencontroller installieren
Pfeil 8.9.3 Kurze Überprüfung
Pfeil 8.9.4 FSMO-Rollen verschieben
Pfeil 8.9.5 Alte Domänencontroller deinstallieren und einheitlichen Modus wählen
Pfeil 8.9.6 Real-World-Troubleshooting – ein Beispiel
Pfeil 8.10 Umstrukturieren
Pfeil 8.11 Werkzeugkiste
Pfeil 8.12 Active Directory Best Practice Analyzer
Pfeil 8.13 Der Active Directory-Papierkorb
Pfeil 8.13.1 Voraussetzungen
Pfeil 8.13.2 Active Directory-Papierkorb aktivieren
Pfeil 8.13.3 Gelöschte Objekte anzeigen und wiederherstellen
Pfeil 8.13.4 Wiederherstellen mit der PowerShell
Pfeil 8.14 Active Directory-Verwaltungscenter
Pfeil 8.14.1 Kennwort zurücksetzen
Pfeil 8.14.2 Benutzer suchen und Attribute anzeigen und modifizieren
Pfeil 8.14.3 Navigieren und filtern
Pfeil 8.14.4 Neuanlegen von Objekten
Pfeil 8.14.5 Navigationsknoten und mehrere Domänen
Pfeil 8.14.6 Technik im Hintergrund und Voraussetzungen
Pfeil 8.15 Active Directory-Webdienste (Active Directory Web Services, ADWS)
Pfeil 8.16 Active Directory-Modul für Windows-PowerShell
Pfeil 8.17 Offline-Domänenbeitritt

Rheinwerk Computing - Zum Seitenanfang

8.3 Ein neues Active Directory einrichten Zur nächsten Überschrift

Nachdem ich Sie viele Seiten lang mit Grundlagen (oder dem, was ich dafür halte) gequält habe, wollen wir nun die Installation eines Active Directory betrachten.

Ältere Active Directorys

Falls Sie bereits ein älteres Active Directory verwenden, werden Sie sich vermutlich deutlich mehr für Abschnitt 8.9 interessieren, denn dort geht es um die Migration.

Für diejenigen, die das erste Active Directory installieren, gibt es im nächsten Abschnitt einen Schnelldurchlauf – keine Sorge, die Installation ist wirklich nicht schwierig.


Rheinwerk Computing - Zum Seitenanfang

8.3.1 Den ersten Domänencontroller einrichten Zur nächsten ÜberschriftZur vorigen Überschrift

Der erste Schritt ist das Hinzufügen der Rolle Active Directory-Domänendienste, was Sie wie üblich mit dem Server-Manager erledigen können (Abbildung 8.81).

Abbildung

Abbildung 8.81 Hier ist der Startpunkt im 2012er-Server-Manager.

Das Hinzufügen ist im Grunde genommen nur ein Kopieren der benötigten Dateien; die Rolle ist (bzw. die dazugehörigen Dateien sind ) zwar vorhanden, der Server ist aber trotzdem (noch) kein Domänencontroller.

Abbildung

Abbildung 8.82 Der erste Schritt ist die Installation der Serverrolle, benötigte Features werden automatisch hinzugefügt.

Auf der letzten Dialogseite werden Sie den Hinweis finden, dass die eigentliche »Domänencontroller-Werdung« noch durchgeführt werden muss (Abbildung 8.83).

Abbildung

Abbildung 8.83 Nach der Installation der Rolle muss der Assistent aufgerufen werden, der aus dem Server einen DC macht.

Wenn Sie den auf Abbildung 8.83 gezeigten Abschlussdialog schließen, ohne den »DC-Heraufstufungs-Assistenten« gestartet zu haben, schauen Sie im Server-Manager in die Kopfzeile. Dort wird ein Ausrufezeichen darauf hinweisen, dass Meldungen vorhanden sind. Eine davon wird Sie auffordern, den Server zum Domänencontroller heraufzustufen – und schon ist der Assistent gestartet (Abbildung 8.84).

... und dcpromo?

Bisher war an dieser Stelle immer das Eintippen von dcpromo angesagt. Das kann man in Server 2012/R2 sogar machen, aber es erscheint lediglich der Hinweis, dass diese Funktionalität jetzt in den Server-Manager integriert ist.

Sie starten nun den Active Directory-Domänendienste-Installationassistenten (Abbildung 8.82):

  • Auf der ersten Seite des Assistenten wählen Sie aus, ob der neu einzurichtende Domänencontroller in eine bereits bestehende Gesamtstruktur integriert werden soll oder ob eine völlig neue Gesamtstruktur erstellt werden soll. In unserem Fall wählen Sie die letztgenannte Option und machen so den neuen Domänencontroller zur Keimzelle des neuen Forests.
  • Zunächst muss der FQDN der neuen Gesamtstruktur angegeben werden. Es sei darauf hingewiesen, dass es im Allgemeinen keine so glückliche Idee ist, ein Domänen-Suffix (.de, .com) zu vergeben, das im öffentlichen Internet verwendet wird. Technisch ist das zwar möglich, allerdings machen Sie sich das Leben dadurch unnötig schwer.

Abbildung

Abbildung 8.84 So kann der Assistent auch gestartet werden.

Benennung

Auf Abbildung 8.85 sehen Sie, dass die Domäne ubexec.ads.boddenberg.de genannt worden ist, also ein .de-Name, von dem ich einige Zeilen zuvor abgeraten habe. Da aber eine separate DNS-Domäne, nämlich ads.boddenberg.de, gewählt worden ist, riskieren Sie nicht die Split-DNS-Probleme, die bei Verwendung von boddenberg.de entstanden wären.

Abbildung

Abbildung 8.85 Der Assistent führt Sie durch das Erstellen einer neuen Domäne in einer neuen Gesamtstruktur.

Achten Sie darauf, dass die Domäne Ihnen »gehört«

Ich habe etliche Kunden, die intern »offizielle« Domänennamen verwenden, obwohl sie nicht im Besitz dieser Domäne sind. Das ist sehr unglücklich. Es gelten also folgende Regeln:

  • Geben Sie niemals einer Domäne einen Namen, den Sie nicht besitzen.
  • Wenn Sie einen offiziellen Namen verwenden und ihn noch nicht registriert haben, holen Sie das sofort nach – bevor es jemand anders tut.

Abbildung 8.86 zeigt den nächsten Dialog für die Erstellung der neuen Gesamtstruktur:

  • Eine wesentliche Entscheidung ist die Festlegung der Funktionsebene für die Gesamtstruktur. Wenn Sie beispielsweise Windows Server 2012 R2 auswählen, bedeutet das, dass es in der kompletten Umgebung nur Domänencontroller mit diesem Betriebssystem geben kann. Es ist kein Problem, Member-Server oder Clients mit älteren Betriebssystemen in der Domäne zu betreiben, aber mit DCs geht das nicht. Die Funktionsebene Windows Server 2008 beispielsweise gestattet DCs mit dem 2008er- und dem 2012er-Betriebssystem. Wenn Sie sicher sind, dass es wirklich nur Windows Server 2012-Domänencontroller geben wird, sollten Sie die Funktionsebene ruhig auf »höchster Stufe« konfigurieren.

    Abbildung

    Abbildung 8.86 Hier geben Sie den FQDN der Stammdomäne und der Gesamtstruktur und die Gesamtstrukturfunktionsebene ein.

  • Active Directory benötigt zwingenderweise eine funktionierende DNS-Infrastruktur. Bei der Installation eines Domänencontrollers können Sie auf Wunsch den DNS-Server gleich mit installieren lassen. Beim ersten DC ist das im Allgemeinen eine gute (bzw. die richtige) Wahl.
  • Das Kennwort für den Wiederherstellungsmodus sollten Sie gut geschützt aufbewahren. Damit meine ich, dass es zum einen nicht einfach zu erraten sein sollte, zum anderen sollten Sie (oder andere berechtigte Personen) im Fall der Fälle darauf problemlos Zugriff haben.

Der nächste, auf Abbildung 8.87 gezeigte Dialog, ist neu in Server 2012. Sie können wählen, ob eine DNS-Delegierung erstellt werden soll, und können ggf. das zu verwendende Konto hinterlegen. Diese Einstellung macht nur dann Sinn, wenn der übergeordnete Namensserver erreichbar ist und mit Microsoft-Technologie läuft.

Abbildung

Abbildung 8.87 Entscheiden Sie, ob eine Delegierung erstellt werden soll bzw. erstellt werden kann.

Ein Beispiel für die Delegierung

Was es mit der Erstellung der Delegierung für den neuen DNS-Server auf sich hat, lässt sich anhand eines Beispiels aus dem öffentlichen Internet erklären: Für jede Domäne, beispielsweise boddenberg.de, existiert ein autorisierender Namensserver, der die Adressen der Server, wie beispielsweise www.boddenberg.de oder mail.boddenberg.de, auflösen kann.

Damit dieser Server gefunden wird, wird beim Root-Server der Top-Level-Domain .de eine Delegierung dorthin erstellt. Vereinfacht gesagt, sorgt eine Delegierung dafür, dass ein Client, der einen Server im Namensraum boddenberg.de sucht, vom Top-Level-Namensserver an den zuständigen Namensserver verwiesen wird.

Auf Abbildung 8.88 sehen Sie die Delegierung, die in dem hier gezeigten Beispiel erstellt wurde:

  • Die Domäne boddenberg.de wird von Microsoft-DNS-Servern verwaltet.
  • ads ist als Container erstellt worden.
  • In diesem wiederum findet sich die Delegierung auf ubexec nebst Nennung des Namensservers.

Abbildung

Abbildung 8.88 Diese Delegierung wurde in dem hier gezeigten Beispiel automatisch erstellt.

Abbildung 8.89 zeigt, dass der NetBIOS-Name der Domäne nach wie vor eine Rolle spielt. Dieser Name sollte (muss aber nicht!) dem ersten Teil des FQDNs entsprechen, also ubexec bei ubexec.ads.boddenberg.de. Wenn Sie von dieser Vorgehensweise abweichen, gibt es zwei mögliche Probleme:

  • Es wird unübersichtlich, vor allem, wenn Sie mehrere Domänen haben.
  • Es könnte zu erhöhtem Konfigurationsaufwand kommen. Beispielsweise müssen Sie beim SharePoint-Benutzerprofil-Sync-Dienst zusätzliche Schritte ausführen, wenn NetBIOS-Name und FQDN unterschiedlich sind.

Punkte im NetBIOS-Namen

Punkte im NetBIOS-Namen sind absolut tabu! Sie führen zu unlösbaren Problemen.

Abbildung

Abbildung 8.89 Der NetBIOS-Name der Domäne ist noch immer gefragt.

Abbildung 8.90 zeigt eine weitere wichtige Dialogseite des Assistenten. Sie müssen entscheiden, wo die Datenbankdateien des Domänencontrollers abgelegt werden sollen. Der »reinen Lehre« entsprechend sagt man zwar, dass keine produktiven Daten auf der C-Platte abgelegt werden sollen. Ich muss allerdings sagen, dass wohl auf 99 % der Domänencontroller dieser Welt die AD-Datenbankdateien genau dort liegen. Aus Gründen der Vereinfachung und Bequemlichkeit tendiere ich auch dazu, diese im Standardpfad zu speichern. Ich habe zudem das unbestimmte Gefühl, dass das eine oder andere Dritthersteller-Werkzeug direkt »aus der Kurve fliegt«, wenn die Dateien an einem anderen Ort gespeichert werden. Ebendiese Argumentation gilt für das SYSVOL-Verzeichnis, in dem diverse von den Clients bei der Anmeldung benötigte Dateien vorgehalten werden – vornehmlich alles rund um die Gruppenrichtlinien.

Wer Exchange 2007 administriert (hat), kennt die Dialoge, in denen das zum selben Ergebnis führende PowerShell-Skript angezeigt wird. Das Active Directory-Team folgt diesem Beispiel und bietet im Dialog Optionen prüfen (Abbildung 8.91) einen Schalter an, mit dem Sie sich das PowerShell-Skript anzeigen lassen können, das zum Erstellen des neuen Forests dient.

Abbildung

Abbildung 8.90 Der Speicherort für die Systemdateien und die Auswahl des Wiederherstellungskennworts

Abbildung

Abbildung 8.91 Das zugehörige PowerShell-Skript kann ausgegeben werden.

Nachdem Sie alle Eingaben im Assistenten getätigt haben, wird die Installation des Domänencontrollers durchgeführt. Sie dauert einige Minuten. Nach dem abschließenden Neustart verfügen Sie über eine funktionsfähige Active Directory-Gesamtstruktur mit einer Domäne.


Rheinwerk Computing - Zum Seitenanfang

8.3.2 Zusätzliche Domänencontroller einrichten Zur vorigen Überschrift

Das Einrichten eines zusätzlichen Domänencontrollers funktioniert zunächst wie beim ersten DC. Sie fügen also eine Rolle hinzu und starten den Assistenten. Der wesentliche Unterschied begegnet Ihnen direkt auf der ersten Seite des Assistenten. Dort entscheiden Sie sich jetzt nicht für das Erstellen einer neuen Gesamtstruktur, sondern machen den Server zu einem Domänencontroller in einer bereits existierenden Domäne oder aber zum ersten DC einer neuen Domäne in einer vorhandenen Gesamtstruktur (Abbildung 8.92).

Abbildung

Abbildung 8.92 Wählen Sie eine Option für die Installation des neuen DCs aus.

Der weitere Verlauf des Assistenten wird Sie vor keine größere Herausforderung stellen. Wenn alle Eingaben gesammelt sind, wird der DC eingerichtet und eine erste Replikation durchgeführt. Apropos Replikation: Eine Neuerung ab Server 2012 sehen Sie auf Abbildung 8.93. Sie können die Replikatsquelle auswählen. Sie ist entweder ein – wählbarer – Domänencontroller oder ein Medium.

Abbildung

Abbildung 8.93 In diesem Dialog wählen Sie die Replikatsquelle aus.


Ihre Meinung

Wie hat Ihnen das Openbook gefallen? Wir freuen uns immer über Ihre Rückmeldung. Schreiben Sie uns gerne Ihr Feedback als E-Mail an kommunikation@rheinwerk-verlag.de.

<< zurück



Copyright © Rheinwerk Verlag GmbH, Bonn 2014
Für Ihren privaten Gebrauch dürfen Sie die Online-Version natürlich ausdrucken. Ansonsten unterliegt das Openbook denselben Bestimmungen, wie die gebundene Ausgabe: Das Werk einschließlich aller seiner Teile ist urheberrechtlich geschützt.
Alle Rechte vorbehalten einschließlich der Vervielfältigung, Übersetzung, Mikroverfilmung sowie Einspeicherung und Verarbeitung in elektronischen Systemen.


Nutzungsbestimmungen | Datenschutz | Impressum

Rheinwerk Verlag GmbH, Rheinwerkallee 4, 53227 Bonn, Tel.: 0228.42150.0, Fax 0228.42150.77, service@rheinwerk-verlag.de

Cookie-Einstellungen ändern
  Zum Rheinwerk-Shop
Zum Rheinwerk-Shop: Windows Server 2012 R2






Windows Server 2012 R2
Jetzt Buch bestellen
 Ihre Meinung?
Wie hat Ihnen das Openbook gefallen?
Ihre Meinung

 Buchempfehlungen
Zum Rheinwerk-Shop: Office 365






 Office 365

Zum Rheinwerk-Shop: Microsoft Hyper-V






 Microsoft Hyper-V

Zum Rheinwerk-Shop: Linux-Server






 Linux-Server

Zum Rheinwerk-Shop: Vmware vSphere 5






 Vmware vSphere 5

Zum Rheinwerk-Shop: Windows 8 für Administratoren






 Windows 8 für
 Administratoren

 Lieferung
Versandkostenfrei bestellen in Deutschland, Österreich und der Schweiz
InfoInfo