In diesem Beitrag wird Step-by-Step die Installation einer neuen Domäne unter Windows Server 2016 durchgeführt. In einem meiner Beiträge habe ich bereits die Installation eines Domain-Controllers mit Windows Server Core und PowerShell beschrieben. Jetzt ist die grafische Oberfläche an der Reihe.

Grundlegendes

Die Bereitstellung von Active Directory lässt sich in zwei Szenarien unterteilen:

• Installation eines neuen Forest und einer Root Domain und nach Bedarf weiteren Child Domains
• Installation von Windows Server 2016 in einem bestehenden Forest als zusätzlichen Domain-Controller

In diesem Beitrag wird eine Greenfeld Installation durchgeführt. Das bedeutet, dass eine neue Domäne (und auch neuer Forest ohne Child-Domains) installiert wird.

Voraussetzungen überprüfen

• Der Benutzer benötigt administrative Rechte (als Administrator angemeldet)
• Das Dateisystem muss NTFS sein
• Der Server sollte über eine statische IP Adresse verfügen und der Computername sollte konfiguriert werden (z.B. DC01)
• DNS Server: die übliche Methode ist den Domain-Controller bei der Installation zum DNS Server zu machen (passiert automatisch)

Während der Installation des ersten Domain-Controller müssen folgende Informationen bereitgestellt werden:

• Domain Name (z.b. contoso.inet)
• Domain NETBIOS Name (contoso)
• Gesamtstrukturfunktionsebene (zb. W2k8R2, W2k12, W2k16)
• Domänenfunktionsebene
• Directory Services Restore Password (DSRM) – wird benötigt wenn Active Directory nicht mehr funktionstüchtig ist, da es keine lokalen Konten mehr gibt
• Datenbank, Logfiles und SYSVOL Speicherort

Diese Informationen sollten in einer Echt-Umgebung vor der Installation sorgfältig vorbereitet sein. Vor allem der Domänen-Name ist ausschlaggebend und sollte gut überlegt sein.

Installation der Rolle Active Directory Domänendienste

Bevor der Server zum DC hinaufgestuft werden kann, muss die Rolle Active Directory Domain Services installiert werden. Dazu den Server-Manager öffnen und auf Rollen und Features hinzufügen klicken.

Bei Vorbereitung auf Weiter klicken und Rollenbasierte oder featurebasierte Installation auswählen (Standard).

Beim nächsten Reiter muss der Server gewählt werden.

Danach Active Directory Domänendienste wählen und der Frage, ob auch die Verwaltungstools auf dem Server installiert werden sollen auf Features hinzufügen klicken (die Verwaltungstools sind nicht zwingend und können auch auf einem Remote-Server installiert werden). Ich empfehle diese auch lokal zu installieren (der Server wird sonst zum DC aber ist nicht verwaltbar)

Das Hakerl sollte gesetzt sein.

Bei Features auf Weiter klicken und wer noch nicht ganz fit ist, kann sich die Erklärung (Was ist Active Directory) durchlesen. Wir wollen in diesem Beitrag nicht in die Azure Cloud.

Die Installation muss noch bestätigt werden.

Das wars. Die Rolle Active Directory Domänendienste ist installiert. Jetzt muss der Server noch zum Domain-Controller hochgestuft werden.

Hochstufen des Servers zum Domain-Controller und Installation einer neuen Domäne

Der Server-Manager meldet, dass noch etwas zu tun wäre. Beim einem Klick auf Server zum Domaincontroller heraufstufen startet ein Assistent.

Wir möchten in diesem Beitrag eine neue Gesamtstruktur hinzufügen und geben den Namen der Stammdomäne ein. Für interne Domänen empfehle ich als Top-Level Namen *.inet, *.local. In meinem Fall soll die Stammdomäne pagr.inet heißen.

Bei Domaincontrolleroptionen sind mehrere Einstellungen zu treffen.

Funktionsebenen

Die Gesamtstrukturfunktionsebene bestimmt, welche Active Directory Features (z.B. unterschiedliche Kennwortrichtlinien ab Windows Server 2008,  Active Directory Papierkorb ab Windows Server 2008R2, oder zeitgesteuerte Gruppenzugehörigkeit ab Windows Server 2016) verfügbar sind. Das gleiche gilt für die Domänenfunktionsebene, nur auf Domänen-Basis. Wenn hier Windows Server 2016 gewählt wird, dann werden alle Features basierend auf Windows Server 2016 verfügbar gemacht, was bedeutet, dass alle zukünftigen Domain-Controller mindestens Windows Server 2016 oder höher als Betriebssystem ausführen müssen. Mehr zu Funktionsebenen auf Technet und auf einer meiner IT-Partnerseiten IT-LEARNER.DE: https://it-learner.de/kurz-und-knapp-was-sind-funktionsebenen-in-der-active-directory/.

DNS-Server und Globaler Katalog

Ohne DNS kein Active Directory. Daher wird bei der Installation der neuen Domäne auch gleich ein DNS-Server installiert und auch für Active Directory konfiguriert. Ein globaler Katalog-Server ist ein Domain-Controller, auf dem eine vollständige Kopie aller Objekte der eigenen Domäne und eine schreibgeschützte Teilkopie aller Objekte für alle anderen Domänen gespeichert ist. Der Vorteil ist u.a. das schnelle Suchen nach Objekten im gesamten Forest. Der erste in der Domäne installierte DC ist immer Globaler Katalog. Mehr zum Globalen Katalog auf Technet: https://technet.microsoft.com/de-de/library/cc730749(v=ws.11).aspx

DSRM Kennwort

Auf einem Domain-Controller gibt es keine lokalen Konten. Es gibt nur Domänen-Konten. Was wenn die Domäne kaputt ist? Dann ist kein Login möglich (ohne Domäne keine Domänen-Konten, daher auch kein Domänen-Administrator). Daher muss hier ein Kennwort konfiguriert werden um den Domain-Controller im Abgesicherten Modus starten zu können. Wer es im nachhinein vergessen hat, der kann es auch nachträglich ändern: Active Directory: Verzeichnisdienst- Wiederherstellungskennwort (DSRM) ändern.

Nach soviel Theorie hätte ich fast vergessen: Weiter klicken und bei DNS Optionen keine Delegierung erstellen. (In diesem Beitrag handelt es sich um eine Greenfeld Installation).

Der NetBIOS-Domänenname ist der vereinfachte Name der Domäne. Er wird vom System vorgeschlagen. Ich würde empfehlen diesen Vorschlag zu akzeptieren und Weiter zu klicken. Wir begegnen dem Namen später noch bei der ersten Anmeldung.

Bei Pfade wird der Speicherort der Datenbank und des Ordners SYSVOL vorgeschlagen. Ich akzeptiere den Vorschlag und klicke auf Weiter.

Das wars auch schon. Die Einstellungen sorgfältig überprüfen und auf Weiter klicken. (Skript anzeigen ist auch recht interessant, es werden PowerShell Befehle angezeigt)

Wenn alles überprüft wurde, kann auf Installieren geklickt werden. (Die diversen Warnung beziehen sich auf die Kompatibilität mit Windows NT 4.0 und dergleichen).

Nach der Installation wird der Server neu gestartet.

Nach dem Neustart mit dem neuen Domänen-Administrator im Format DomänenName\Administrator am Server anmelden. Das Kennwort wurde vom lokalen Administrator übernommen.

Im Server-Manager ist hoffentlich alles Grün.

Jetzt müssen nur noch Clients oder Member-Server zur Domäne hinzugefügt werden. Wie das geht habe ich in Computer zu einer Active Directory Domäne hinzufügen (Step-by-Step) beschrieben.

Fazit

Wir hätten es auch einfacher haben können: Ein One-Liner in PowerShell und die Domäne ist installiert: Installation eines Server Core Domain-Controllers unter Windows Server 2016.

Viel Spaß mit der neuen Domäne!

PS: Wer nach der Installation Probleme hat dem empfehle ich meine Troubleshooting Beiträge Active Directory: Domain-Controller reparieren und Active Directory: Sichern und Wiederherstellen (Autoritatives Restore).