Domänen-Controller unter Windows Server 2012 installieren

    Schritt 2 besteht in der Konfiguration der AD DS-Rolle.Die Umstellung vieler administrativer Aufgaben auf den neuen Server Manager und die PowerShell verändert unter Windows Server 2012 auch die Installation eines Domänen-Controllers. Im Vergleich zu den bisher gebräuchlichen Tools dcpromo und adprep erlaubt der neue Ansatz die Ausführung aller notwendigen Schritte in einem Durchgang aus einer Umgebung. Bei der Integration eines DC auf Basis von Server 2012 in eine bestehende Umgebung müssen jedoch die dafür erforderlichen Systemvoraussetzungen überprüft werden.

    Bevor man einen Domänen-Controller unter Windows Server 2012 in einem vorhandenen Forest installiert, soll man die Risiken und Nebenwirkungen eines solchen Schritts bedenken. Das Hinzufügen eines DCs, der auf einem neueren Betriebssystem läuft, ändert nämlich das AD-Schema. Nachdem die Ausführung von adprep als eigener Schritt nicht mehr notwendig (aber noch möglich) ist, könnten Admins, die sich mit der neuen Prozedur noch nicht vertraut gemacht haben, das Schema unbeabsichtigt mittels Wizards auf Windows Server 2012 aktualisieren.

    Mindestens Funktionsebene Windows 2003 nötig

    Im Vorfeld ist außerdem zu beachten, dass sich ein DC unter Windows Server 2012 nur dann zu einer bestehenden Struktur hinzufügen lässt, wenn die Funktionsebene des Forests mindestens auf dem Stand von Windows Server 2003 ist. Das gilt auch dann, wenn man einen Read-only Domain Controller (RODC) einrichten möchte. Dieser setzt aber voraus, dass sich mindestens ein normaler DC unter Windows Server 2008 oder höher in der gleichen Domäne befindet.

    Update der Funktionsebene auf Server 2012

    Domänen-Controller unter Windows Server 2012 bringen zwar einige neue Funktionen (z.B. Virtual DC Cloning, Group Managed Service Accounts), aber sie erfordern eine Anhebung der Domänen-Funktionsebene auf Windows Server 2012 nur dann, wenn man Flexible Authentication Secure Tunneling (FAST) nutzen möchte. Die Forest-Funktionsebene von Windows Server 2012 bietet keine neuen Features. Sie stellt nur sicher, dass der Functional Level aller neuen Domänen ebenfalls auf dem Stand von Windows Server 2012 ist.

    Installation mittels Server Manager

    Die Installation eines DC erfolgt in 2 Schritten: Der erste besteht wie gewohnt darin, dass durch Hinzufügen der Rolle AD DS die benötigten Dateien aufgespielt werden. Danach befördert man den Server zu einem Domänen-Controller. Beide Abläufe lassen sich aus dem Server Manager über Wizards steuern.

    Die Rolle Domänendienste lässt sich einfach über den Server Manager (auch remote) hinzufügen.

    Die Variante unter Einsatz des Server Managers dürfte die von den meisten Admins bevorzugte sein. Sie ist wesentlich einfacher als eine ganze Serie von PowerShell-Cmdlets aufzurufen. Wer dennoch lieber auf das Scripting setzt, findet in diesem TechNet-Beitrag eine ausführliche Übersicht über alle auszuführenden Befehle.

    AD DS-Rolle zu mehreren Servern hinzufügen

    Anders als bei GUI-Tools oft üblich, hat die Installation eines DC mittels Server Manager nicht den Nachteil, dass man damit nur einzelne Rechner verwalten kann. Vielmehr gehört es zu den neuen Funktionen des Server Manager, dass man mehrere Maschinen in Gruppen zusammenfassen und auf sie bestimmte Aktionen wie etwa das Hinzufügen von Rollen anwenden kann. Das gilt auch für die Installation der AD DS.

    Die Ausführung des Server Manager setzt voraus, dass man entweder die volle grafische Oberfläche oder das Minimal Server Interface installiert hat. Aber selbst wenn man das von Microsoft empfohlene Default-Setup gewählt und Server Core eingerichtet hat, ist man keineswegs auf die Kommandozeile beschränkt. Vielmehr lassen sich nun auch Rollen remote über den Server Manager in RSAT für Windows 8 hinzufügen und konfigurieren.

    Vorhandene Domäne, neue Domäne, neuer Forest

    Nachdem man den Wizard für das Hinzufügen der Rolle AD DS durchlaufen hat, weist der Server Manager auf die ausstehende Konfiguration der Domänendienste hin. Sie lässt sich über den angegebenen Link starten und öffnet den nächsten Wizard. Im ersten Dialog kann man entscheiden, ob man den DC zu einer bestehenden Domäne hinzufügen möchte, eine neue Domäne in einem vorhandenen Forest anlegen oder einen neuen Forest erzeugen möchte.

    Ein DC lässt sich einer vorhandenen Domäne zuordnen oder er gründet eine neue Domäne bzw. einen Forest.

    Um die gewählte Aktion ausführen zu können, muss man geeignete Anmeldedaten angeben. Fügt man einen DC einer bestehenden Domäne hinzu, dann braucht man einen Account, der Mitglied der Gruppe Domänen-Admins ist. Handelt es sich um den ersten DC auf Basis von Windows Server 2012 in einem Forest, dann wird für das implizite adprep /forestprep zusätzlich die Mitgliedschaft in den Gruppen Organisations-Admins und Schema-Admins vorausgesetzt. Richtet man einen neuen Forest ein, dann muss man lokaler Administrator des Servers sein. Wenn die Rechte für die aktuelle Aktion nicht ausreichen, fordert der Wizard die Eingabe alternativer Anmeldedaten.

    Installationsoptionen

    Im folgenden Dialog Domänencontrolleroptionen hat man die Möglichkeit, Funktionen des DC zu wählen. So muss man sich entscheiden, ob der DC als DNS fungieren oder den Global Catalog vorhalten soll. Außerdem entscheidet man hier, on man einen RODC einrichten möchte. Zusätzlich kann man gleich eine DNS-Delegierung eintragen lassen.

    Der Wizard bietet die Wahl, ob der DC Funktionen wie DNS oder Global Catalog übernehmen soll.

    In den nächsten Dialogen hat man die Möglichkeit, bestimmte DCs für die anfängliche Replikation auszuwählen oder stattdessen eine vorhandene Sicherung mitteln IFM (Install from Media) einzuspielen. Außerdem kann man verschiedene Pfade für die Datenbank, die Log-Dateien und das SYSVOL-Verzeichnis angeben, um die Performance zu verbessern.

    Export der Aktionen als PowerShell-Script

    Hinter dem Punkt Vorbereitungsoptionen verbergen sich schließlich die Pendants zu adprep /forestprep und adprep /domainprep, mit den unter anderem das Schema erweitert wird. Die abschließende Prüfung aller gewählten Optionen bietet die Möglichkeit, die PowerShell-Aufrufe der bevorstehenden Aktionen anzusehen bzw. zu kopieren. Damit ließe sich der gleiche Vorgang auf weiteren Maschinen reproduzieren.

    Nach der Auswahl der gewünschten Konfigurationsoptionen kann man die anstehenden Aktionen als PowerShell-Script exportieren.

    BPA für AD DS ausführen

    Nach erfolgreicher Installation des DC und dem erforderlichen Neustart empfiehlt es sich, den Best Practice Analyzer für die AD DS-Rolle auszuführen. Er lässt sich ebenfalls innerhalb des Server Manager ausführen, und zwar indem man in der Navigationsleiste die entsprechende Rolle auswählt, zum Abschnitt Best Practices Analyzer scrollt und dort unter Aufgaben den Befehl BPA-Überprüfung starten auswählt.

    Keine Kommentare