Vorwort
Im ersten Teil dieses Artikels wurde ein neues Active Directory installiert. Bisher gibt es allerdings nur einen Domain Controller. Um das Active Directory bei Ausfall einen Servers trotzdem verfügbar zu halten, sollten pro Domäne mindestens zwei Domain Controller installiert werden.
In diesem Artikel wird der zweite Domain Controller installiert und konfiguriert.
Vorbereitung
Die Vorbereitungen sind, wie auch beim ersten Domain Controller, schnell erledigt. Es wird wieder ein sprechender Hostname vergeben, in diesem Fall FWDC2:
Auch eine statische IP-Adresse wird wieder benötigt. Als DNS-Server wird diesmal der schon installierte Domain Controller angegeben:
Zum Schluss wird der Server als Mitglied in das vorhandene Active Directory hinzugefügt:
Das waren schon alle Vorbereitungen für den zweiten Domain Controller.
Active Directory Rolle installieren
Wie auch beim ersten Domain Controller, muss zunächst die Active Directory Rolle installiert werden. Die Vorgehensweise ist bei allen Domain Controllern identisch und wurde bereits im ersten Teil beschrieben, daher spare ich mir hier die Details.
Sobald die Rolle installiert ist, kann der Server zum Domain Controller heraufgestuft werden:
Zweiten Domain Controller hochstufen
Zum Hochstufen des zweiten Domain Controllers wird die Option “Domänencontroller zu einer vorhandenen Domäne hinzufügen” ausgewählt. Da der Server bereits Mitglied des Active Directory ist, muss bei “Domäne” nicht weiter ausgewählt werden. Wichtig ist, das an dem Server ein Domain Administrator angemeldet ist, sonst fehlen die entsprechenden Rechte zum hochstufen eines DCs.
Anhand der IP-Adresse wird nun das Subnetz und der dazugehörige Active Directory Standort ermittelt (wie in Teil 1 angelegt). Das Kennwort wieder sicher verwahren:
Auch hier erscheint wieder der Hinweis, dass keine Delegierung für den DNS Server erstellt werden kann, wie bereits erwähnt, ist dieses normal:
Im nächsten Dialog kann angegeben werden, von welchem Domain Controller die initiale Replikation stattfinden soll. Wenn es bereits mehrere Domain Controller gibt, oder der erste Domain Controller in einem neuen Standort installiert wird, kann hier ein DC angegeben werden, der am besten geeignet ist (Schnellste Verbindung, geringste Auslastung, etc):
Die Pfade für die Installation werden im Normalfall so belassen:
Jetzt wird wieder eine Zusammenfassung der Einstellungen angezeigt und es gibt wieder die Möglichkeit, die Einstellungen als Script zu speichern:
Mit einem Klick auf Installieren wird der Server zum Domain Controller hochgestuft und die initiale Replikation durchgeführt:
Der Server wird automatisch neugestartet:
Sobald der Neustart durchgeführt wurde, steht der neue Domain Controller zur Verfügung, aber auch hier gibt es wieder ein paar Nacharbeiten.
Nacharbeiten
Zunächst wieder das Thema mit der Uhrzeit. Der erste Domain Controller, bzw der Domain Controller mit der Masterrolle PDC, wird mit einer externen Zeitquelle synchronisiert. Im ersten Artikel ist dies ein NTP Server aus dem Internet. Alle anderen Domain Controller in dieser Domain, können nun die Zeit über den PDC synchronisieren.
Mit den folgenden Befehlen lässt sich dies konfigurieren (der Parameter heißt wirklich “domhier”, es wird keine Name eingetragen, einfach so übernehmen):
w32tm /config /syncfromflags:domhier /update net stop w32time && net start w32time
Eigentlich ist die Sache mit der Uhrzeit ganz einfach: PDC mit externer Zeitquelle synchronisieren, alle weiteren DCs der Domain mit PDC synchronisieren, Clients bekommen ihre Zeit von den Domain Controllern. Leider wird oft die Synchronisation mit einer externen Zeitquelle vergessen.
Jeder DNS Server sollte über mindestens zwei Weiterleitungen verfügen, hier dient als Beispiel der Router und Google DNS als Ziele für den DNS Forward. Hier wird aber NICHT ein anderer Domain Controller angegeben.
Der Hintergrund ist folgender: Alle DNS Anfragen die dieser DNS Server nicht direkt beantworten kann, wird er an die Adressen weiterleiten, die als Weiterleitung konfiguriert sind, daher werden hier normalerweise öffentliche DNS Server eingetragen. Ein anderer Domain Controller wird die Anfrage ebenfalls nicht beantworten können und müsste sie ebenfalls weiterleiten, es macht also im Normalfall keinen Sinn, hier einen anderen DC anzugeben:
Damit veraltete DNS Einträge auch nach gewisser Zeit gelöscht werden, sollte ebenfalls die “Alterung” aktiviert werden:
Gleiches gilt auch für die Reverse Lookup Zone:
Damit veraltete Einträge gelöscht werden, muss dazu auf den DNS-Servern der “Aufräumvorgang” aktiviert werden:
Zu guter Letzt noch eine Einstellung die den ersten Domain Controller betrifft. Der zweite Domain Controller wird als primärer DNS Server eingestellt, die Loopback Adresse als sekundärer DNS Server:
Auch dem zweiten Domain Controller sollten die Einstellungen bereits passen.
Somit läuft das Active Directory auf zwei Domain Controllern und ist gegen den Ausfall eines einzelnen Servers abgesichert. Ein ordentliches Backup muss selbstverständlich trotzdem eingerichtet werden.
Guten Tag Super How-To ,
bei mir kam es dazu das DC2 die reverse Lookup Zone nicht übernommen hat , gibt es eine Urache dafür?
Mfg
Morgen!
Danke für die Anleitung. Kann ich den 2. DC temporär zum 1. machen um den Server des 1. DC neu aufzusetzen? Muss ich am 2. DC dann noch Schritte machen um den zum Haupt DC zu machen? Und umgekehrt dann später wieder wenn der 1. DC frisch ist soll auch alles wieder zurück gehen.
Danke für Tips.
Martin
Da schließe ich mich gern an.
Aktuell liegen auf dem DC eine Menge an Daten (3TB), welche einen Neustart extrem verlangsamen. Fehlkonfiguration. Diese konfig möchte ich bereinigen. Ich würde sogar gern den zweiten zum PDC machen, den anderen komplett „löschen“ und auf einem anderem, neuen Server neu hochziehen anschließend dann zum PDC machen. Gibt es hierbei etwas zu beachten? Freue mich über Rückmeldung!
Danke!
Hallo, warum wird das automatic Aging nur im DNS des zweiten DC’s aktiviert?
Hi Martin,
der Sinn eines SDC ist doch, dass er redundant zum PDC läuft. Sprich Einstellungen die ich auf dem SDC oder PDC vornehme gelangen automatisch auf den anderen. Jedenfalls wäre das doch sinnvoll oder nicht? Gerne durch erfahrene User bestätigen oder negieren.
Hallo Frank,
wie immer – vielen Dank für deine tollen Artikel!
Muss man die „Alterung“ und „Aufräumvorgang“ auch am PDC aktivieren?
Diese Einstellungen sind im Artikel nur beim SDC vermerkt.
Danke für deine Antwort.
Viele Grüße,
Max
Hi Max,
der Sinn eines SDC ist doch, dass er redundant zum PDC läuft. Sprich Einstellungen die ich auf dem SDC oder PDC vornehme gelangen automatisch auf den anderen. Jedenfalls wäre das doch sinnvoll oder nicht? Gerne durch erfahrene User bestätigen oder negieren.
Hallo Curd,
google mal nach Split DNS. Du musst in dem Fall für Server die außerhalb Deiner lokalen Domäne sind z.B Webserver dann einen DNS Eintrag anlegen der auf die externe IP Adresse des Webservers verweist.
Hi Franky,
Danke für das tolle How-To. Wenn die Domäne gleich der Internetdomain ist, dürfte ja aus dem internen Netz keiner mehr auf die Internetseite kommen, oder?
Loopback oder eigene ip?
Grüße Harald
Alles Klar danke! Wieder was dazu gelernt!
Hallo Frank, super How-To vielen Dank dafür!!! Eine Frage bleibt bei mir noch offen, warum wird am PDC als primärer DNS der zweite DC eingetragen und nicht er selber und als Sekundärer DNS dann den zweiten DC?
Hallo Eddie,
den zweiten Domain Controller als primären DNS einzutragen hat folgenden Hintergrund: In bestimmten Situationen kann ein DC seine Replikationspartner nicht finden, wenn er selbst als primärer DNS eingetragen ist. Zum Beispiel im Falle eines Neustarts. Daher ist es Best Practise immer einen anderen DC als primären DNS einzutragen und die eigene IP als sekundärer DNS.
Gruß, Frank
Sorry, aber welchen Sinn sollen die Weiterleitungen auf den Router und Googles DNS haben? Wenn alles sauber Konfiguriert ist, werden die root hints dafür sorgen, dass du ins Internet kommst.
Hi Albert,
ich mache es aus Performance Gründen:
dig @8.8.8.8 http://www.frankysweb.de | grep „Query time:“
;; Query time: 44 msec
Zum Vergleich einer der Root Server von meinem Standort:
dig @199.7.91.13 http://www.frankysweb.de | grep „Query time:“
;; Query time: 122 msec
Google ist in den meisten Fällen einfach schneller und es sind weniger Hops nötig. Natürlich lassen sich auch die Root DNS Server nutzen. Der Router ist hier nur das Backup und verdeutlicht einen zweiten Forwarder.
Gruß, Frank
Lässt sich erklären wieso das Microsoft standardmässig den Aufräumvorgang deaktiviert lässt? Ich habe diesen jeweils auch auf 7 Tage gestellt und aktiviert. Wieso lässt Microsoft diese Einstellung inaktiv?
Gruss Dave