Wege zum stabilen und schnellen Active Directory In 11 Schritten zum perfekten Domänencontroller

Autor / Redakteur: Thomas Joos / Dipl.-Ing. (FH) Andreas Donner

Active Directory ist in Windows-Netzwerken essentielle Grundlage für einen stabilen Betrieb. Damit das AD optimal funktioniert, sollten Administratoren bei der Installation der Domäne und der Domänencontroller besonders umsichtig vorgehen. Wir zeigen die 11 wichtigsten Schritte beim Installieren neuer Domänencontroller.

Firmen zum Thema

Mit etwas Know-how gelingt die Konfiguration einer Active-Directory-Domäne spielend.
Mit etwas Know-how gelingt die Konfiguration einer Active-Directory-Domäne spielend.
(Bild: XtravaganT - Fotolia.com)

Schritt 1: DNS für Active Directory installieren und einrichten

Um ein neues Active Directory zu erstellen, muss als erstes auf dem ersten geplanten Domänencontroller die DNS-Erweiterung zu installiert werden. Die Installation erfolgt über den Server-Manager als Serverrolle. Nach der Installation ist das Verwaltungsprogramm für den DNS-Server im Server-Manager über den Bereich "Tools" zu finden.

Mit den Knoten "Forward-Lookupzonen" und "Reverse-Lookupzonen" legen Administratoren die Zonen an, die Active Directory für seinen Betrieb benötigt. Die erste und wichtigste Zone, ist die "Forward-Lookupzone" der ersten Domäne von Active Directory. Um diese zu erstellen klicken Administratoren mit der rechten Maustaste auf "Forward-Lookupzonen" und wählen im Kontextmenü den Eintrag "Neue Zone" aus. Beim Erstellen neuer Domänen in Active Directory werden ausschließlich primäre Domänen benötigt.

Bildergalerie
Bildergalerie mit 7 Bildern

Auf der nächsten Seite des Assistenten wird der Name der neuen Zone festgelegt. Hier ist es extrem wichtig, dass als Zonennamen exakt der Name verwendet wird, der auch als DNS-Suffix des Servers eingetragen wurde und der als DNS-Name der Active Directory-Domäne genutzt werden soll.

DNS-Server unter Windows Server 2012 R2 arbeiten mit dynamischen Updates. Das heißt, alle Servernamen und IP-Adressen sowie die SRV-Records von Active Directory werden automatisch in diese Zone eingetragen. Der Installations-Assistent von Active Directory muss in einer Zone Dutzende Einträge automatisch erstellen können. Daher sollte beim Erstellen einer neuen Zone die Option "Nicht sichere und sichere dynamische Updates zulassen" aktiviert werden (siehe Abbildung 1). "Nur sichere dynamische Updates zulassen" können Administratoren erst nach der Erstellung von Active Directory aktivieren.

Schritt 2: Reverse-Lookup und DNS-Suffix des Servers setzen

Im Anschluss sollten Administratoren eine "Reverse-Lookupzone" erstellen. Diese Zone ist dafür zuständig, IP-Adressen in Rechnernamen zu übersetzen. Diese Zonen werden zwar für den stabilen Betrieb von Active Directory nicht zwingend benötigt, gehören aber dennoch zu einer ordentlichen Namensauflösung im Netzwerk dazu. Auch hierbei hilft ein Assistent.

Hat sich der Server noch nicht automatisch registriert, können Administratoren über die Eingabe des Befehls "ipconfig /registerdns" in der Eingabeaufforderung die dynamische Registrierung anstoßen. Danach sollte die IP-Adresse des Servers in der Zone registriert sein. Das funktioniert aber nur dann, wenn das DNS-Suffix des Servers über "Systemsteuerung/System" und "Sicherheit/System/Erweiterte Systemeinstellungen/Computername/Ändern" angepasst wurde. Im Fenster wird dazu auf die Schaltfläche "Weitere" geklickt und das DNS-Suffix des Servers angegeben (siehe Abbildung 2).

Schritt 3: Überprüfung der DNS-Einstellungen

Bevor Active Directory auf dem Server installiert wird, sollten Administratoren sicherstellen, dass alle DNS-Einstellungen korrekt vorgenommen sind. Dazu sollte auch überprüft werden, ob sich der Server sowohl in der Forward- als auch in der Reverse-Lookupzone eingetragen hat. Öffnen Administratoren eine Eingabeaufforderung und geben den Befehl "nslookup" ein, dürfen keine Fehlermeldungen erscheinen. Es müssen der richtige FQDN des DNS-Servers und seine IP-Adresse angezeigt werden (siehe Abbildung 3).

Bildergalerie
Bildergalerie mit 7 Bildern

Schritt 4: Installation der Active-Directory-Domänendienste-Rolle

Neben dem Server-Manager können Administratoren die Binärdateien von Active Directory – inklusive der Verwaltungstools – auch in der PowerShell installieren. Dazu dient der Befehl "Install-WindowsFeature -Name AD-Domain-Services -IncludeManagementTools".

Schritt 5: Starten der Installation von Active Directory

Nachdem die Serverrolle installiert ist, beginnen Administratoren mit der Einrichtung der Domäne. Dieser Vorgang wird im Server-Manager über das Wartungssymbol gestartet (siehe Abbildung 4). Wird die erste Domäne für die Gesamtstruktur erstellt, wählen Administratoren die Option "Neue Gesamtstruktur hinzufügen" aus. Als nächstes wählen Administratoren den DNS-Namen der Domäne. Dieser muss mit der erstellten DNS-Zone und dem DNS-Suffix des ersten Domänencontrollers übereinstimmen.

Auf der nächsten Seite des Assistenten werden die Funktionsebene der Gesamtstruktur und damit aller Domänen sowie einzelne Domänen festgelegt. Die Funktionsebene für die Domänen kann im Snap-In "Active Directory-Benutzer und -Computer" über das Kontextmenü der Domäne konfiguriert werden. Die Funktionsebene für die Gesamtstruktur stellen Administratoren über das Snap-In "Active Directory-Domänen und -Vertrauensstellungen" ein, ebenfalls über das Kontextmenü. Das Abändern der Funktionsebene lässt sich nicht rückgängig machen. Die Funktionsebene "Windows Server 2012 R2" aktivieren Administratoren, wenn nur Domänencontroller mit Windows Server 2012 R2 eingesetzt werden. Der neue Domänencontroller wird darüber hinaus auch der erste globale Katalog-Server.

Im Fenster wird das Kennwort für den Verzeichnisdienst-Wiederherstellungsmodus angegeben. Hierbei handelt es sich um das Kennwort des lokalen Administrators, wenn zur Wiederherstellung von Active Directory der Server im Verzeichnisdienstwiederherstellungsmodus gestartet wird.

Bildergalerie
Bildergalerie mit 7 Bildern

Weiter mit Schritt sechs bis elf.

(ID:43422074)

Über den Autor

 Thomas Joos

Thomas Joos

Freiberuflicher Autor und Journalist