Website-Icon Frankys Web

Server 2016: Active Directory Installation (Teil 2)

Vorwort

Im ersten Teil dieses Artikels wurde ein neues Active Directory installiert. Bisher gibt es allerdings nur einen Domain Controller. Um das Active Directory bei Ausfall einen Servers trotzdem verfügbar zu halten, sollten pro Domäne mindestens zwei Domain Controller installiert werden.

In diesem Artikel wird der zweite Domain Controller installiert und konfiguriert.

Vorbereitung

Die Vorbereitungen sind, wie auch beim ersten Domain Controller, schnell erledigt. Es wird wieder ein sprechender Hostname vergeben, in diesem Fall FWDC2:

Auch eine statische IP-Adresse wird wieder benötigt. Als DNS-Server wird diesmal der schon installierte Domain Controller angegeben:

Zum Schluss wird der Server als Mitglied in das vorhandene Active Directory hinzugefügt:

Das waren schon alle Vorbereitungen für den zweiten Domain Controller.

Active Directory Rolle installieren

Wie auch beim ersten Domain Controller, muss zunächst die Active Directory Rolle installiert werden. Die Vorgehensweise ist bei allen Domain Controllern identisch und wurde bereits im ersten Teil beschrieben, daher spare ich mir hier die Details.

Sobald die Rolle installiert ist, kann der Server zum Domain Controller heraufgestuft werden:

Zweiten Domain Controller hochstufen

Zum Hochstufen des zweiten Domain Controllers wird die Option “Domänencontroller zu einer vorhandenen Domäne hinzufügen” ausgewählt. Da der Server bereits Mitglied des Active Directory ist, muss bei “Domäne” nicht weiter ausgewählt werden. Wichtig ist, das an dem Server ein Domain Administrator angemeldet ist, sonst fehlen die entsprechenden Rechte zum hochstufen eines DCs.

Anhand der IP-Adresse wird nun das Subnetz und der dazugehörige Active Directory Standort ermittelt (wie in Teil 1 angelegt). Das Kennwort wieder sicher verwahren:

Auch hier erscheint wieder der Hinweis, dass keine Delegierung für den DNS Server erstellt werden kann, wie bereits erwähnt, ist dieses normal:

Im nächsten Dialog kann angegeben werden, von welchem Domain Controller die initiale Replikation stattfinden soll. Wenn es bereits mehrere Domain Controller gibt, oder der erste Domain Controller in einem neuen Standort installiert wird, kann hier ein DC angegeben werden, der am besten geeignet ist (Schnellste Verbindung, geringste Auslastung, etc):

Die Pfade für die Installation werden im Normalfall so belassen:

Jetzt wird wieder eine Zusammenfassung der Einstellungen angezeigt und es gibt wieder die Möglichkeit, die Einstellungen als Script zu speichern:

Mit einem Klick auf Installieren wird der Server zum Domain Controller hochgestuft und die initiale Replikation durchgeführt:

Der Server wird automatisch neugestartet:

Sobald der Neustart durchgeführt wurde, steht der neue Domain Controller zur Verfügung, aber auch hier gibt es wieder ein paar Nacharbeiten.

Nacharbeiten

Zunächst wieder das Thema mit der Uhrzeit. Der erste Domain Controller, bzw der Domain Controller mit der Masterrolle PDC, wird mit einer externen Zeitquelle synchronisiert. Im ersten Artikel ist dies ein NTP Server aus dem Internet. Alle anderen Domain Controller in dieser Domain, können nun die Zeit über den PDC synchronisieren.

Mit den folgenden Befehlen lässt sich dies konfigurieren (der Parameter heißt wirklich “domhier”, es wird keine Name eingetragen, einfach so übernehmen):

w32tm /config /syncfromflags:domhier /update
net stop w32time && net start w32time

Eigentlich ist die Sache mit der Uhrzeit ganz einfach: PDC mit externer Zeitquelle synchronisieren, alle weiteren DCs der Domain mit PDC synchronisieren, Clients bekommen ihre Zeit von den Domain Controllern. Leider wird oft die Synchronisation mit einer externen Zeitquelle vergessen.

Jeder DNS Server sollte über mindestens zwei Weiterleitungen verfügen, hier dient als Beispiel der Router und Google DNS als Ziele für den DNS Forward. Hier wird aber NICHT ein anderer Domain Controller angegeben.

Der Hintergrund ist folgender: Alle DNS Anfragen die dieser DNS Server nicht direkt beantworten kann, wird er an die Adressen weiterleiten, die als Weiterleitung konfiguriert sind, daher werden hier normalerweise öffentliche DNS Server eingetragen. Ein anderer Domain Controller wird die Anfrage ebenfalls nicht beantworten können und müsste sie ebenfalls weiterleiten, es macht also im Normalfall keinen Sinn, hier einen anderen DC anzugeben:

Damit veraltete DNS Einträge auch nach gewisser Zeit gelöscht werden, sollte ebenfalls die “Alterung” aktiviert werden:

Gleiches gilt auch für die Reverse Lookup Zone:

Damit veraltete Einträge gelöscht werden, muss dazu auf den DNS-Servern der “Aufräumvorgang” aktiviert werden:

Zu guter Letzt noch eine Einstellung die den ersten Domain Controller betrifft. Der zweite Domain Controller wird als primärer DNS Server eingestellt, die Loopback Adresse als sekundärer DNS Server:

Auch dem zweiten Domain Controller sollten die Einstellungen bereits passen.

Somit läuft das Active Directory auf zwei Domain Controllern und ist gegen den Ausfall eines einzelnen Servers abgesichert. Ein ordentliches Backup muss selbstverständlich trotzdem eingerichtet werden.

Die mobile Version verlassen