|
In diesem Artikel soll dargestellt werden, wie die Vorgehensweise zum heraufstufen / promoten eines Servers zum Domänencontroller ist.
Wie promotet man einen Windows Server 2003 zum Domänencontroller
In diesem Artikel soll dargestellt werden, wie die Vorgehensweise zum heraufstufen / promoten eines Servers zum Domänencontroller ist.
Es wird davon ausgegangen das der Server der Erste Domänencontroller in einer neuen Gesamtstruktur wird.
Als erstes gilt es zu überlegen welchen Computernamen der Server bekommen soll.
Das ist mitunter ein schwieriger Part, denn jeder sieht es anders, wichtig ist evtl. - das man anhand des Namens schon erkennen kann um welche Art Server es sich dabei handelt, aber wie gesagt - „Jeder" entscheidet es für sich.
In diesem Artikel hat der Server den Namen: MZDCON01 - dieser steht für
MZ = MAINZ - die Stadt in der sich der Server befindet DCON = für Domänencontroller 01 = der erste Domänencontroller in der Niederlassung / Stadt
Der Computername darf 63 Zeichen lang sein wobei der NetBIOS Name auf 15 Zeichen gekürzt wird, falls dieser länger sein sollte.
Nun folgt ein weiterer - wenn nicht sogar - Der schwierigste Teil, den DNS - Namen der Domäne zu bestimmen.
Um den DNS - Namen zu bestimmen, könnten folgende Punkte behilflich sein:
Die oft verwendete und auch vielmals favorisierte Variante ist, eine Subdomain (intern) zur existierenden externen Domain zu erstellen.
Als Beispiel: externe Domain (Webauftritt) http://www.dikmenoglu.de - somit würde die interne DNS - Domäne z.B. „intra.dikmenoglu.de" heißen.
Wenn die Namenskonventionen geklärt sind, gilt es den IP - Adressbereich (samt der Subnetzmaske) festzulegen, natürlich in Anbetracht der Anzahl vorhandener Clients. Soll es ein
- Class - A Netz (10.0.0.1 - 10.255.255.254)
- Class - B Netz (172.16.0.1 - 172.31.0.254)
- oder ein Class - C ( 192.168.0.1 - 192.168.255.254)
privater Adress - Bereich sein.
http://techtalk.unterwegs-im.net/content/view/21/3/
http://hyperwave.fh-brandenburg.de/rootcollection/lehre/systemarchitektur.ws9899/vorlesungen/ip-adressierung/ip_ger.html
Nach Klärung dieser Fragen kann das promoten beginnen.
Als erstes gilt es dem zukünftigen Domaincontroller seinen Computernamen zuzuweisen, falls dies noch nicht geschehen ist (beim installieren des Servers).
Es ist wohl jedem klar, dass das ganze mit einem Account der Administrator Rechte hat, geschehen muss.
Entweder geht man auf START - EINSTELLUNGEN - SYSTEMSTEUERUNG - SYSTEM - REITER COMPUTERNAME oder über rechts klick auf ARBEITSPLATZ - EIGENSCHAFTEN - REITER COMPUTERNAME
Als nächstes muss dem Server eine IP - Adresse, Subnetzmaske und das Standardgateway eingetragen werden, falls dies schon bei der Installation nicht geschehen ist. Man beachte, dass hier KEIN DNS - Server eingetragen ist/wird *, da es sich um den Ersten Domänencontroller einer neuen Gesamtstruktur handelt und der DNS - Server auf diesem Server installiert sowie eine primäre Active Directory-integrierte Zone erstellt wird. Das DNS ist ein zwingender Bestandteil eines Active Directory:
* Falls man den Server bereits im Vorfeld als „Bevorzugten DNS - Server einträgt" kommt es im späteren Verlauf der Active Directory Installation zu einem DNS - Registrierungsdiagnosefehler, den man dann immer noch berichtigen kann.
Man kann die Installation des Active Directory über den Serverkonfigurations - Assistenten das standardmäßig nach der ersten interaktiven Anmeldung auf dem Desktop des Servers erscheint oder über das Programm DCPROMO (über START - AUSFÜHREN) starten.
Wenn man in dieser Materie wenig Erfahrung hat, empfiehlt sich die Installation über den Serverkonfigurations - Assistenten. Wir starten den Assistenten zum installieren von Active Directory über das Programm DCPROMO
Es begrüßt einen der Assistent, wo es mit einem Klick auf WEITER losgehen kann. 
Hier wird auf die sichere Kommunikation zwischen den Clients sowie weiteren Servern mit diesem Domänencontroller hingewiesen. Windows 9x sowie NT4 bis SP3 unterstützen keine sichere Kommunikation.
(Stichwort: SMB-Signing http://www.grurili.de/index.html?/HowTo/DOS_Clients_an_Windows_2003_Server.htm )
In diesem Fenster muss man festlegen ob es sich um einen „Domänencontroller für eine neue Domäne" oder um einen „zusätzlichen Domänencontroller für eine bestehende Domäne" handelt.
Nun muss der Domänentyp festgelegt werden. Handelt es sich um eine „Domäne in einer neuen Gesamtstruktur" (wie in diesem Artikel) oder um eine Subdomäne „Untergeordnete Domäne in einer bestehenden Domänenstruktur" oder um eine neue „Domänenstruktur in einer bestehenden Gesamtstruktur".
Da in den TCP/IP - Einstellungen des Servers kein DNS - Server angegeben wurde, gilt es hier festzulegen den DNS Server auf diesem Server zu installieren und gleich die Forward-Lookupzone (primär AD-integriert) einrichten zu lassen (durch den DCPROMO - Assistenten): 
Nach anklicken auf WEITER muss der DNS - Name der neu zu erstellenden Domäne festgelegt werden. Da es sich dabei um die erste Domäne in einer neuen Gesamtstruktur handelt, wird diese Domäne automatisch zur Stammdomäne der Gesamtstruktur (Forest Root Domain): 
Um auch Nicht - DNS - Clients den Zugriff auf die Active Directory - Domäne zu ermöglichen, ist auf dieser Seite der NetBIOS - Name festzulegen unter dem die Domäne erreichbar sein soll. Der Name darf/kann max. 15 Zeichen lang sein: 
Jetzt muss festgelegt werden wo die Verzeichnisdatenbank NTDS.DIT mitsamt den Protokolldateien abgelegt werden soll. Standardmäßig empfiehlt der Assistent den Pfad %SYSTEMROOT%\NTDS vor. Man könnte auch die Verzeichnisdatenbank auf ein anderes Laufwerk unterbringen (wie z.B. auf einen RAID 5 Disk - Array) als das %SYSTEMROOT% Verzeichnis, um somit höhere Performance zu erzielen.
Das angegebene Laufwerk muss selbstverständlich genügend freien Speicherplatz (auch unter Berücksichtigung künftigen Wachstums), sowie das NTFS - Dateiformat, haben: 
Bei diesem Prozess passiert nun folgendes, der Assistent kopiert die schon nach der Installation eines 2003er Servers existierende
„rudimentäre" NTDS.DIT vom Verzeichnis %SYSTEMROOT\SYSTEM32, in das oben angegebene Verzeichnis (Datenbankordner): 
Auf der nächsten Seite ist das Verzeichnis für das System - Volume - SYSVOL - für diese Active Directory - Domäne anzugeben. Der Inhalt dieses Ordners wird vom File Replication Service (FRS) - Dateireplikationsdienst automatisch auf alle Domänencontroller repliziert und steht somit allen Benutzern- sowie Computern dieser Domäne zur Verfügung: 
Falls man vor der Installation des Active Directory in den TCP/IP - Einstellungen des Server`s, ihn selbst mit seiner IP - Adresse eingetragen hat, bekommt man dann dieses Fenster.
Da noch kein DNS - Server auf diesem Server installiert ist, kommt es zu diesem Diagnose - Fehler, den man mit der entsprechenden Auswahl (siehe ausgewählte Option im Screenshot) übergehen kann: 
In diesem Fenster gilt es festzulegen, wie es sich mit der Sondergruppe Jeder verhält. Für z.B. RAS - Server die auf Windows NT Server laufen, ist diese Einstellung relevant, da die Dienste/Anwendungen davon ausgehen, dass die Gruppe Jeder „anonymen" Benutzern den Zugriff gewährt ohne das sie sich an der Domäne authentifiziert haben.
Beim Active Directory wurde dieses Verhalten geändert, hier gehören bloß die User der Gruppe Jeder an, die sich zuerst an einem Domänencontroller erfolgreich authentifiziert, sprich - angemeldet haben.
Wer also noch auf NT - basierende Applikationen am laufen hat, wählt hier die Option „Mit Prä-Windows 2000-Serverbetriebssystemen kompatible Berechtigungen".
Hier durch werden der lokalen Gruppe „Prä-Windows 2000 kompatibler Zugriff" die Sondergruppen Jeder und Anonymous - Anmeldung hinzugefügt.
Der Sicherheit zu liebe, sollte die Standardmäßig aktivierte Option „Nur mit Windows 2000-oder Windows Server 2003-Betriebssystemen kompatible Berechtigungen" ausgewählt werden: 
Nun muss ein Kennwort für den Wiederherstellungsmodus vergeben werden.
Das Kennwort sollte natürlich komplex sein, sich von dem Kennwort des Domänenadministrators unterscheiden und an einem sicheren Ort aufbewahrt werden. Dieses Kennwort wird benötigt, falls Probleme im Verzeichnisdienst auftauchen und man dann im Modus Verzeichnisdienste wiederherstellen starten und somit die Probleme beheben kann.
Dieses DSRM - Kennwort (Directory Service Restore Mode) lässt sich auch später über das NTDSUTIL ändern.
http://support.microsoft.com/kb/322672/en-us
Mit Klick auf WEITER gelangt man dann zu dieser Übersicht wo man die ausgewählten Einstellungen überprüfen und ggf. noch ändern kann (mit Zurück gehen zu den einzelnen Schritten).
Mit dem letzten Klick auf WEITER kann die Installation und Konfiguration des Active Directory auf diesem Server - der danach als Domänencontroller fungiert - beginnen: 
Wenn die Installation des Active Directory soweit durch ist, wird anschließend DNS auf dem Server installiert und eine Active Directory integrierte Forward - Lookupzone eingerichtet: 
Zum Abschluss zeigt der Assistent das Ergebnis der Installation: 
Mit einem Klick auf Fertig stellen, wird ein Neustart des Servers fällig: 
Im Verzeichnis %Systemroot%\Debug kann man sich (unter anderem) die Log - Datei DCPROMO.LOG ansehen und bekommt somit Einsicht in die technischen Abläufe des Heraufstufens und kann somit auftretenden Schwierigkeiten auf die Schliche kommen.
Nach einem Neustart gilt es jetzt noch in den TCP/IP - Einstellungen des Domänencontrollers ihn selbst mit seiner echten IP (nicht Localhost) als DNS - Server einzutragen: 
Als nächstes sollte vollständigkeitshalber - im DNS - noch eine primäre Active Directory - integrierte Reverse Lookup -Zone eingerichtet werden.
Im Snap-In „Active Directory - Standorte und - Dienste" sollte noch ein Subnet erstellt und dem entsprechenden Standort zugewiesen werden.
Da dies der erste DC einer neuen Gesamtstruktur ist, heisst der Standort standardmäßig „Standardname-des-ersten-Standorts", den man umbenennen kann.
Des Weiteren kann man nun weitere Dienste installieren, wie DHCP, WINS etc.
Da dieser Server der erste Domänencontroller einer neuen Gesamtstruktur ist, hat er eine ganz besondere Rolle im Active Directory. Er ist Standardmäßig der „Träger" der 5 FSMO - Rollen, als die wären:
Schemamaster Domänennamenmaster RID-Master Infrastrukturmaster PDC - Emulator
sowie dem Globalen Katalog (GC = Global Catalog).
© 2006 by Yusuf Dikmenoglu
|
