Domain-Controller mit Install From Media (IFM) einrichten

    , 06.09.2021
    Tags: , ,

    Read-only Domain-Controller (RODC)Wenn ein neuer DC installiert wird, dann kann die anfängliche Repli­kation zahlreiche AD-Objekte umfassen. Externe Stand­orte sind aber oft nur über lang­same Netz­werke ange­bunden. Für solche Szenarien reduziert "Install from Media" (IFM) die Menge der replizierten Daten auf den neuen DC erheblich.

    Normalerweise erhält ein neuer DC jedes Objekt von einem bestehenden Domänen-Controller mittels Replikation. In einem Local Area Network ist dies in der Regel kein Problem. Über langsame Verbindungen kann diese Synchronisierung jedoch andere Anwendungen beeinträchtigen, die in der Außenstelle benötigt werden.

    Beginnend mit Windows Server 2008 hat Microsoft mit Ntdsutil eine weitere Methode namens IFM zur Erstellung von Installations­medien für neue DCs eingeführt. Sie ermöglicht das Laden der Active Directory-Objekte von einem Datenträger, anstatt diese über das Netzwerk zu schicken.

    IFM ersetzt Behelfslösungen, bei denen der neue Domänen-Controller zuerst vor Ort die Repliken erhält und dann in das Ziel­netzwerk gebracht wird. Ein solcher DC, der von der Active Directory-Replikations­topologie getrennt wird, kann zu Problemen führen.

    Alle Änderungen im AD, die nach dem Speichern der IFM-Daten erfolgen, müssen natürlich an den entfernten Standort synchronisiert werden. Deren Umfang ist im Vergleich zur Replikation der gesamten AD-Datenbank jedoch minimal.

    Sekundären RODC in Server 2019/2022 installieren

    An entfernten Standorten ist die Installation eines Read-only-DC (RODC) die bevorzugte Option. Er bietet dort einige Sicherheits- und Leistungs­vorteile. So werden auf einem RODC nur die Anmelde­informationen von Benutzern gespeichert, die sich tatsächlich gegen ihn authentifizieren.

    Wenn Sie mit IFM die Installations­medien für einen RODC erstellen, dann werden die gecachten Kennwörter entfernt. Als IFM-Quelle für einen RODC kommen sowohl ein beschreibbarer DC als auch ein anderer RODC in Frage.

    Man kann auch den SYSVOL-Ordner in das Installations­medium aufnehmen. Allerdings muss als Voraussetzung dafür der Abgleich der SYSVOL zwischen DCs über die DFS-Replikation erfolgen.

    Das Einrichten eines DC mittels IFM besteht aus drei Schritten:

    • IFM-Medien erstellen
    • Neuen DC installieren
    • AD-Objekte aus den IFM-Backup importieren

    Um die IFM-Medien zu erstellen, geben Sie auf dem Quellsystem die folgenden Befehle an einer administrativen Eingabeauf­forderung ein:

    ntdsutil

    activate instance ntds

    ifm

    help

    Bei der Hilfe von ntdsutil interessieren wir uns für die RODC-spezifischen Befehle. Hier erkennt man, dass sich der IFM-Mediensatz für einen RODC mit oder ohne SYSVOL erstellen lässt.

    IFM-Kommando in Ntdsutil ausführen

    Um die IFM-Medien zu erstellen, geben Sie die gewünschte Option und den Pfad zu dem Ordner ein, in Sie den Mediensatz speichern wollen. Das folgende Beispiel übernimmt auch das SYSVOL:

    Create Sysvol RODC c:\ifm

    IFM-Medien für einen Read-only Domänen-Controller erzeugen

    Bei einem RODC sehen Sie einen Active Directory-Ordner und einen SYSVOL-Ordner, wenn Sie diesen einschließen möchten. Bei einem beschreib­baren Domänen-Controller wird auch ein Registrierungs­ordner angezeigt.

    Ordnerstruktur der IFM-Medien für einen RODC

    Das IFM-Medienset kopiert man nun in einen Ordner auf dem neuen RODC-Server, bevor man diesen zu einem Domänen-Controller macht.

    Rolle Active Directory Domain Services hinzufügen

    Im nächsten Schritt installiert man die Rolle AD DS, in unserem Beispiel über den Wizard im Server Manager.

    Start des Wizards zum Hinzufügen und Entfernen von Rollen

    Hier hakt man unter Serverrollen die Option Active Directory Domänendienste an.

    Active Directory Domain Services im Server Manager auswählen

    Anschließend klickt man auf Add Features, um erforderliche Features für die AD DS hinzuzufügen.

    Zusätzliche Features für die Active Directory Domain Services installieren

    Im danach angezeigten Bildschirm für die Feature-Installation ist nichts zu tun, hier können Sie daher einfach auf Weiter klicken.

    Nach den Informationen zu den AD DS erscheint die Übersicht der bisherigen Auswahl, die man mit Klick auf Installieren bestätigen muss.

    Installation der Active Directory Domain Services bestätigen

    Das Hinzufügen der Rolle stuft den Server aber noch nicht zu einem DC hoch.

    Hinweis auf die erforderliche Konfiguration nach Abschluss der Installation

    Server zu einem Domain-Controller promoten

    Nach dem Klick auf das Flaggen­symbol rechts oben im Server Manager sieht man den Hinweis Promote this server to a domain controller. Diesem Link folgt man nun für Konfiguration des DC.

    Link für die weitere Konfiguration des Domänen-Controllers

    Nachdem wir einen RODC zu einer existierenden AD-Struktur hinzufügen, wählen wir hier die Option Add a domain controller to an existing domain.

    Auswahl der Bereitstellungsoptionen

    Aus den Optionen für Domänen-Controller wählen Sie die gewünschten Funktionen und den Standort aus. Hier aktivieren wir Read only domain controller (RODC).

    Optionen für den Domain-Controller auswählen

    Im nächsten Dialog stehen die RODC-Optionen zur Auswahl. Hier gibt man unter anderem an, für welche Konten das Passwort zum RODC repliziert werden soll.

    RODC-Optionen konfigurieren

    Auf dem Bildschirm Additional Options wählen Sie Install from media und geben den Pfad an, unter dem sie den Mediensatz gespeichert haben. Sie können ihn mit Verify auch auf seine Integrität prüfen. Klicken Sie auf Weiter.

    Auswahl der IFM-Medien für den Import in den RODC

    Als Nächstes geben Sie die Speicherorte für die AD DS-Datenbank, der Log-Dateien und von SYSVOL an bzw. akzeptieren deren Vorgabewerte.

    Pfade für die Komponenten des Active Directory konfigurieren

    Beachten Sie den Hinweis "directory information will be copied primarily from", der in der Zusammenfassung erscheint. Er bestätigt, dass die Daten von IFM für den RODC verwendet werden.

    Überblick über die zuvor gewählten Optionen für den Domänen-Controller

    Anschließend folgt die Prüfung der Voraus­setzungen. Sie werden eine Warnung über die Kompatibilität mit Windows NT 4.0 erhalten, aber den Check insgesamt erfolgreich passieren. Klicken Sie auf Installieren, um den Vorgang abzu­schließen.

    Prüfung der Voraussetzungen mit einer Warnung zur Kompatibilität mit Windows NT 4.0

    Nach dem Promoten des Servers zu einem RODC ist ein Reboot fällig.

    Zusammenfassung

    Die IFM-Option (Install from Media) ermöglicht es Unternehmen, den Großteil des Replikations­verkehrs zu vermeiden, wenn sie einen zusätzlichen Domänen-Controller in Betrieb nehmen. Dies ist besonders nützlich für Außenstellen, die nur über ein WAN angeschlossen sind.

    IFM importiert die AD-Objekte beim Heraufstufen des Servers zu einem Domänen-Controller, anstatt das gesamte Directory über das Netzwerk zu replizieren. Zusätzlich lässt sich damit auch das SYSVOL-Verzeichnis auf den neuen RODC übertragen.

    Täglich Know-how für IT-Pros mit unserem Newsletter

    Wir ver­wenden Ihre Mail-Adresse nur für den Ver­sand der News­letter.
    Es erfolgt keine per­sonen­be­zogene Auswertung.

    Bild von Brandon Lee

    Brandon Lee ist seit mehr als 18 Jahren in der IT-Branche tätig und konzen­triert sich auf Networking und Virtua­lisie­rung. Er ver­öffent­licht auf ver­schie­denen Blogs und ver­fasst tech­nische Doku­men­ta­tionen, haupt­sächlich auf Virtualizationhowto.com.

    // Kontakt: Web, E-Mail, LinkedIn //

    Verwandte Beiträge

    Weitere Links