Server 2016: Active Directory Installation (Teil 2)

Vorwort

Im ersten Teil dieses Artikels wurde ein neues Active Directory installiert. Bisher gibt es allerdings nur einen Domain Controller. Um das Active Directory bei Ausfall einen Servers trotzdem verfügbar zu halten, sollten pro Domäne mindestens zwei Domain Controller installiert werden.

In diesem Artikel wird der zweite Domain Controller installiert und konfiguriert.

Vorbereitung

Die Vorbereitungen sind, wie auch beim ersten Domain Controller, schnell erledigt. Es wird wieder ein sprechender Hostname vergeben, in diesem Fall FWDC2:

image

Auch eine statische IP-Adresse wird wieder benötigt. Als DNS-Server wird diesmal der schon installierte Domain Controller angegeben:

image

Zum Schluss wird der Server als Mitglied in das vorhandene Active Directory hinzugefügt:

image

Das waren schon alle Vorbereitungen für den zweiten Domain Controller.

Active Directory Rolle installieren

Wie auch beim ersten Domain Controller, muss zunächst die Active Directory Rolle installiert werden. Die Vorgehensweise ist bei allen Domain Controllern identisch und wurde bereits im ersten Teil beschrieben, daher spare ich mir hier die Details.

Active Directory Rolle

Sobald die Rolle installiert ist, kann der Server zum Domain Controller heraufgestuft werden:

image

Zweiten Domain Controller hochstufen

Zum Hochstufen des zweiten Domain Controllers wird die Option “Domänencontroller zu einer vorhandenen Domäne hinzufügen” ausgewählt. Da der Server bereits Mitglied des Active Directory ist, muss bei “Domäne” nicht weiter ausgewählt werden. Wichtig ist, das an dem Server ein Domain Administrator angemeldet ist, sonst fehlen die entsprechenden Rechte zum hochstufen eines DCs.

image

Anhand der IP-Adresse wird nun das Subnetz und der dazugehörige Active Directory Standort ermittelt (wie in Teil 1 angelegt). Das Kennwort wieder sicher verwahren:

image

Auch hier erscheint wieder der Hinweis, dass keine Delegierung für den DNS Server erstellt werden kann, wie bereits erwähnt, ist dieses normal:

image

Im nächsten Dialog kann angegeben werden, von welchem Domain Controller die initiale Replikation stattfinden soll. Wenn es bereits mehrere Domain Controller gibt, oder der erste Domain Controller in einem neuen Standort installiert wird, kann hier ein DC angegeben werden, der am besten geeignet ist (Schnellste Verbindung, geringste Auslastung, etc):

image

Die Pfade für die Installation werden im Normalfall so belassen:

image

Jetzt wird wieder eine Zusammenfassung der Einstellungen angezeigt und es gibt wieder die Möglichkeit, die Einstellungen als Script zu speichern:

image

Mit einem Klick auf Installieren wird der Server zum Domain Controller hochgestuft und die initiale Replikation durchgeführt:

image

Der Server wird automatisch neugestartet:

image

Sobald der Neustart durchgeführt wurde, steht der neue Domain Controller zur Verfügung, aber auch hier gibt es wieder ein paar Nacharbeiten.

Nacharbeiten

Zunächst wieder das Thema mit der Uhrzeit. Der erste Domain Controller, bzw der Domain Controller mit der Masterrolle PDC, wird mit einer externen Zeitquelle synchronisiert. Im ersten Artikel ist dies ein NTP Server aus dem Internet. Alle anderen Domain Controller in dieser Domain, können nun die Zeit über den PDC synchronisieren.

Mit den folgenden Befehlen lässt sich dies konfigurieren (der Parameter heißt wirklich “domhier”, es wird keine Name eingetragen, einfach so übernehmen):

w32tm /config /syncfromflags:domhier /update
net stop w32time && net start w32time

Eigentlich ist die Sache mit der Uhrzeit ganz einfach: PDC mit externer Zeitquelle synchronisieren, alle weiteren DCs der Domain mit PDC synchronisieren, Clients bekommen ihre Zeit von den Domain Controllern. Leider wird oft die Synchronisation mit einer externen Zeitquelle vergessen.

Jeder DNS Server sollte über mindestens zwei Weiterleitungen verfügen, hier dient als Beispiel der Router und Google DNS als Ziele für den DNS Forward. Hier wird aber NICHT ein anderer Domain Controller angegeben.

Der Hintergrund ist folgender: Alle DNS Anfragen die dieser DNS Server nicht direkt beantworten kann, wird er an die Adressen weiterleiten, die als Weiterleitung konfiguriert sind, daher werden hier normalerweise öffentliche DNS Server eingetragen. Ein anderer Domain Controller wird die Anfrage ebenfalls nicht beantworten können und müsste sie ebenfalls weiterleiten, es macht also im Normalfall keinen Sinn, hier einen anderen DC anzugeben:

image

Damit veraltete DNS Einträge auch nach gewisser Zeit gelöscht werden, sollte ebenfalls die “Alterung” aktiviert werden:

image

Gleiches gilt auch für die Reverse Lookup Zone:

image

Damit veraltete Einträge gelöscht werden, muss dazu auf den DNS-Servern der “Aufräumvorgang” aktiviert werden:

image

Zu guter Letzt noch eine Einstellung die den ersten Domain Controller betrifft. Der zweite Domain Controller wird als primärer DNS Server eingestellt, die Loopback Adresse als sekundärer DNS Server:

image

Auch dem zweiten Domain Controller sollten die Einstellungen bereits passen.

Somit läuft das Active Directory auf zwei Domain Controllern und ist gegen den Ausfall eines einzelnen Servers abgesichert. Ein ordentliches Backup muss selbstverständlich trotzdem eingerichtet werden.

16 thoughts on “Server 2016: Active Directory Installation (Teil 2)”

  1. Guten Tag Super How-To ,

    bei mir kam es dazu das DC2 die reverse Lookup Zone nicht übernommen hat , gibt es eine Urache dafür?

    Mfg

    Reply
  2. Morgen!
    Danke für die Anleitung. Kann ich den 2. DC temporär zum 1. machen um den Server des 1. DC neu aufzusetzen? Muss ich am 2. DC dann noch Schritte machen um den zum Haupt DC zu machen? Und umgekehrt dann später wieder wenn der 1. DC frisch ist soll auch alles wieder zurück gehen.
    Danke für Tips.
    Martin

    Reply
    • Da schließe ich mich gern an.
      Aktuell liegen auf dem DC eine Menge an Daten (3TB), welche einen Neustart extrem verlangsamen. Fehlkonfiguration. Diese konfig möchte ich bereinigen. Ich würde sogar gern den zweiten zum PDC machen, den anderen komplett „löschen“ und auf einem anderem, neuen Server neu hochziehen anschließend dann zum PDC machen. Gibt es hierbei etwas zu beachten? Freue mich über Rückmeldung!

      Danke!

      Reply
    • Hi Martin,

      der Sinn eines SDC ist doch, dass er redundant zum PDC läuft. Sprich Einstellungen die ich auf dem SDC oder PDC vornehme gelangen automatisch auf den anderen. Jedenfalls wäre das doch sinnvoll oder nicht? Gerne durch erfahrene User bestätigen oder negieren.

      Reply
  3. Hallo Frank,
    wie immer – vielen Dank für deine tollen Artikel!
    Muss man die „Alterung“ und „Aufräumvorgang“ auch am PDC aktivieren?
    Diese Einstellungen sind im Artikel nur beim SDC vermerkt.

    Danke für deine Antwort.

    Viele Grüße,
    Max

    Reply
    • Hi Max,

      der Sinn eines SDC ist doch, dass er redundant zum PDC läuft. Sprich Einstellungen die ich auf dem SDC oder PDC vornehme gelangen automatisch auf den anderen. Jedenfalls wäre das doch sinnvoll oder nicht? Gerne durch erfahrene User bestätigen oder negieren.

      Reply
  4. Hallo Curd,

    google mal nach Split DNS. Du musst in dem Fall für Server die außerhalb Deiner lokalen Domäne sind z.B Webserver dann einen DNS Eintrag anlegen der auf die externe IP Adresse des Webservers verweist.

    Reply
  5. Hi Franky,
    Danke für das tolle How-To. Wenn die Domäne gleich der Internetdomain ist, dürfte ja aus dem internen Netz keiner mehr auf die Internetseite kommen, oder?

    Reply
  6. Hallo Frank, super How-To vielen Dank dafür!!! Eine Frage bleibt bei mir noch offen, warum wird am PDC als primärer DNS der zweite DC eingetragen und nicht er selber und als Sekundärer DNS dann den zweiten DC?

    Reply
    • Hallo Eddie,
      den zweiten Domain Controller als primären DNS einzutragen hat folgenden Hintergrund: In bestimmten Situationen kann ein DC seine Replikationspartner nicht finden, wenn er selbst als primärer DNS eingetragen ist. Zum Beispiel im Falle eines Neustarts. Daher ist es Best Practise immer einen anderen DC als primären DNS einzutragen und die eigene IP als sekundärer DNS.
      Gruß, Frank

      Reply
  7. Sorry, aber welchen Sinn sollen die Weiterleitungen auf den Router und Googles DNS haben? Wenn alles sauber Konfiguriert ist, werden die root hints dafür sorgen, dass du ins Internet kommst.

    Reply
    • Hi Albert,
      ich mache es aus Performance Gründen:

      dig @8.8.8.8 http://www.frankysweb.de | grep „Query time:“
      ;; Query time: 44 msec

      Zum Vergleich einer der Root Server von meinem Standort:

      dig @199.7.91.13 http://www.frankysweb.de | grep „Query time:“
      ;; Query time: 122 msec

      Google ist in den meisten Fällen einfach schneller und es sind weniger Hops nötig. Natürlich lassen sich auch die Root DNS Server nutzen. Der Router ist hier nur das Backup und verdeutlicht einen zweiten Forwarder.
      Gruß, Frank

      Reply
  8. Lässt sich erklären wieso das Microsoft standardmässig den Aufräumvorgang deaktiviert lässt? Ich habe diesen jeweils auch auf 7 Tage gestellt und aktiviert. Wieso lässt Microsoft diese Einstellung inaktiv?

    Gruss Dave

    Reply

Leave a Comment