SID-500

Home » Windows Server » Installation einer neuen Domäne (Forest-Root-Domain) unter Windows Server 2016

Installation einer neuen Domäne (Forest-Root-Domain) unter Windows Server 2016

In diesem Beitrag wird Step-by-Step die Installation einer neuen Domäne unter Windows Server 2016 durchgeführt. In einem meiner Beiträge habe ich bereits die Installation eines Domain-Controllers mit Windows Server Core und PowerShell beschrieben. Jetzt ist die grafische Oberfläche an der Reihe.

Grundlegendes

Die Bereitstellung von Active Directory lässt sich in zwei Szenarien unterteilen:

  • Installation eines neuen Forest und einer Root Domain und nach Bedarf weiteren Child Domains
  • Installation von Windows Server 2016 in einem bestehenden Forest als zusätzlichen Domain-Controller

In diesem Beitrag wird eine Greenfeld Installation durchgeführt. Das bedeutet, dass eine neue Domäne (und auch neuer Forest ohne Child-Domains) installiert wird.

Voraussetzungen überprüfen

  • Der Benutzer benötigt administrative Rechte (als Administrator angemeldet)
  • Das Dateisystem muss NTFS sein
  • Der Server sollte über eine statische IP Adresse verfügen und der Computername sollte konfiguriert werden (z.B. DC01)
  • DNS Server: die übliche Methode ist den Domain-Controller bei der Installation zum DNS Server zu machen (passiert automatisch)

Während der Installation des ersten Domain-Controller müssen folgende Informationen bereitgestellt werden:

  • Domain Name (z.b. contoso.inet)
  • Domain NETBIOS Name (contoso)
  • Gesamtstrukturfunktionsebene (zb. W2k8R2, W2k12, W2k16)
  • Domänenfunktionsebene
  • Directory Services Restore Password (DSRM) – wird benötigt wenn Active Directory nicht mehr funktionstüchtig ist, da es keine lokalen Konten mehr gibt
  • Datenbank, Logfiles und SYSVOL Speicherort

Diese Informationen sollten in einer Echt-Umgebung vor der Installation sorgfältig vorbereitet sein. Vor allem der Domänen-Name ist ausschlaggebend und sollte gut überlegt sein.

Installation der Rolle Active Directory Domänendienste

Bevor der Server zum DC hinaufgestuft werden kann, muss die Rolle Active Directory Domain Services installiert werden. Dazu den Server-Manager öffnen und auf Rollen und Features hinzufügen klicken.

1.PNG

Bei Vorbereitung auf Weiter klicken und Rollenbasierte oder featurebasierte Installation auswählen (Standard).

2

Beim nächsten Reiter muss der Server gewählt werden.

3.PNG

Danach Active Directory Domänendienste wählen und der Frage, ob auch die Verwaltungstools auf dem Server installiert werden sollen auf Features hinzufügen klicken (die Verwaltungstools sind nicht zwingend und können auch auf einem Remote-Server installiert werden). Ich empfehle diese auch lokal zu installieren (der Server wird sonst zum DC aber ist nicht verwaltbar)

4.PNG

Das Hakerl sollte gesetzt sein.

5.PNG

Bei Features auf Weiter klicken und wer noch nicht ganz fit ist, kann sich die Erklärung (Was ist Active Directory) durchlesen. Wir wollen in diesem Beitrag nicht in die Azure Cloud.

6.PNG

Die Installation muss noch bestätigt werden.

7.PNG

8.PNG

Das wars. Die Rolle Active Directory Domänendienste ist installiert. Jetzt muss der Server noch zum Domain-Controller hochgestuft werden.

Hochstufen des Servers zum Domain-Controller und Installation einer neuen Domäne

Der Server-Manager meldet, dass noch etwas zu tun wäre. Beim einem Klick auf Server zum Domaincontroller heraufstufen startet ein Assistent.

9.PNG

Wir möchten in diesem Beitrag eine neue Gesamtstruktur hinzufügen und geben den Namen der Stammdomäne ein. Für interne Domänen empfehle ich als Top-Level Namen *.inet, *.local. In meinem Fall soll die Stammdomäne pagr.inet heißen.

10

Bei Domaincontrolleroptionen sind mehrere Einstellungen zu treffen.

11.PNG

Funktionsebenen

Die Gesamtstrukturfunktionsebene bestimmt, welche Active Directory Features (z.B. unterschiedliche Kennwortrichtlinien ab Windows Server 2008,  Active Directory Papierkorb ab Windows Server 2008R2, oder zeitgesteuerte Gruppenzugehörigkeit ab Windows Server 2016) verfügbar sind. Das gleiche gilt für die Domänenfunktionsebene, nur auf Domänen-Basis. Wenn hier Windows Server 2016 gewählt wird, dann werden alle Features basierend auf Windows Server 2016 verfügbar gemacht, was bedeutet, dass alle zukünftigen Domain-Controller mindestens Windows Server 2016 oder höher als Betriebssystem ausführen müssen. Mehr zu Funktionsebenen auf Technet und auf einer meiner IT-Partnerseiten IT-LEARNER.DE: https://it-learner.de/kurz-und-knapp-was-sind-funktionsebenen-in-der-active-directory/.

DNS-Server und Globaler Katalog

Ohne DNS kein Active Directory. Daher wird bei der Installation der neuen Domäne auch gleich ein DNS-Server installiert und auch für Active Directory konfiguriert. Ein globaler Katalog-Server ist ein Domain-Controller, auf dem eine vollständige Kopie aller Objekte der eigenen Domäne und eine schreibgeschützte Teilkopie aller Objekte für alle anderen Domänen gespeichert ist. Der Vorteil ist u.a. das schnelle Suchen nach Objekten im gesamten Forest. Der erste in der Domäne installierte DC ist immer Globaler Katalog. Mehr zum Globalen Katalog auf Technet: https://technet.microsoft.com/de-de/library/cc730749(v=ws.11).aspx

DSRM Kennwort

Auf einem Domain-Controller gibt es keine lokalen Konten. Es gibt nur Domänen-Konten. Was wenn die Domäne kaputt ist? Dann ist kein Login möglich (ohne Domäne keine Domänen-Konten, daher auch kein Domänen-Administrator). Daher muss hier ein Kennwort konfiguriert werden um den Domain-Controller im Abgesicherten Modus starten zu können. Wer es im nachhinein vergessen hat, der kann es auch nachträglich ändern: Active Directory: Verzeichnisdienst- Wiederherstellungskennwort (DSRM) ändern.

Nach soviel Theorie hätte ich fast vergessen: Weiter klicken und bei DNS Optionen keine Delegierung erstellen. (In diesem Beitrag handelt es sich um eine Greenfeld Installation).

12.PNG

Der NetBIOS-Domänenname ist der vereinfachte Name der Domäne. Er wird vom System vorgeschlagen. Ich würde empfehlen diesen Vorschlag zu akzeptieren und Weiter zu klicken. Wir begegnen dem Namen später noch bei der ersten Anmeldung.

13

Bei Pfade wird der Speicherort der Datenbank und des Ordners SYSVOL vorgeschlagen. Ich akzeptiere den Vorschlag und klicke auf Weiter.

14.PNG

Das wars auch schon. Die Einstellungen sorgfältig überprüfen und auf Weiter klicken. (Skript anzeigen ist auch recht interessant, es werden PowerShell Befehle angezeigt)

15

Wenn alles überprüft wurde, kann auf Installieren geklickt werden. (Die diversen Warnung beziehen sich auf die Kompatibilität mit Windows NT 4.0 und dergleichen).

17

Nach der Installation wird der Server neu gestartet.

18.PNG

Nach dem Neustart mit dem neuen Domänen-Administrator im Format DomänenName\Administrator am Server anmelden. Das Kennwort wurde vom lokalen Administrator übernommen.

19.PNG

Im Server-Manager ist hoffentlich alles Grün.

20.PNG

Jetzt müssen nur noch Clients oder Member-Server zur Domäne hinzugefügt werden. Wie das geht habe ich in Computer zu einer Active Directory Domäne hinzufügen (Step-by-Step) beschrieben.

Fazit

Wir hätten es auch einfacher haben können: Ein One-Liner in PowerShell und die Domäne ist installiert: Installation eines Server Core Domain-Controllers unter Windows Server 2016.

Viel Spaß mit der neuen Domäne!

PS: Wer nach der Installation Probleme hat dem empfehle ich meine Troubleshooting Beiträge Active Directory: Domain-Controller reparieren und Active Directory: Sichern und Wiederherstellen (Autoritatives Restore).


6 Comments

  1. […] Active Directory Verwaltungscenter ist eines von vielen Tools um eine Active Directory Domäne grafisch zu administrieren. Besonders gut gefällt mir der PowerShell History Verlauf. Jede […]

    Like

  2. […] alles neu gemacht werden soll, dann empfehle ich meine Beiträge Installation einer neuen Domäne (Forest-Root-Domain) unter Windows Server 2016 und Installation eines Server Core Domain-Controllers unter Windows Server […]

    Like

  3. […] und unterscheidet sich vom eigentlichen Namen des Ordners SYSVOL. Beide Ordner werden bei der Installation einer Active Directory Domäne […]

    Like

  4. […] Wer mit Server Core dennoch nicht warm wird, der installiert die Domäne einfach grafisch: Installation einer neuen Domäne (Forest-Root-Domain) unter Windows Server 2016 […]

    Like

  5. […] vorhinein ändern, und zwar bevor etwas passiert. Die Rede ist von diesem Kennwort, wie es bei der Installation einer neuen Active Directory Domäne festgelegt […]

    Like

  6. […] If you don´t like Server Core, you can simply install the domain graphically: Installation einer neuen Domäne (Forest-Root-Domain) unter Windows Server 2016 […]

    Like

Leave a Reply

Fill in your details below or click an icon to log in:

WordPress.com Logo

You are commenting using your WordPress.com account. Log Out / Change )

Twitter picture

You are commenting using your Twitter account. Log Out / Change )

Facebook photo

You are commenting using your Facebook account. Log Out / Change )

Google+ photo

You are commenting using your Google+ account. Log Out / Change )

Connecting to %s

Categories

Who is the blogger?

My name is Patrick Grünauer (pewa2303). I am from Austria. On sid-500 I write about Windows, Cisco and IT-Security in English and German. Have fun while reading!

Patrick Gruenauer
Follow SID-500 on WordPress.com