Server 2016: Active Directory Installation (Teil 2)

Vorwort

Im ersten Teil dieses Artikels wurde ein neues Active Directory installiert. Bisher gibt es allerdings nur einen Domain Controller. Um das Active Directory bei Ausfall einen Servers trotzdem verfügbar zu halten, sollten pro Domäne mindestens zwei Domain Controller installiert werden.

In diesem Artikel wird der zweite Domain Controller installiert und konfiguriert.

Vorbereitung

Die Vorbereitungen sind, wie auch beim ersten Domain Controller, schnell erledigt. Es wird wieder ein sprechender Hostname vergeben, in diesem Fall FWDC2:

image

Auch eine statische IP-Adresse wird wieder benötigt. Als DNS-Server wird diesmal der schon installierte Domain Controller angegeben:

image

Zum Schluss wird der Server als Mitglied in das vorhandene Active Directory hinzugefügt:

image

Das waren schon alle Vorbereitungen für den zweiten Domain Controller.

Active Directory Rolle installieren

Wie auch beim ersten Domain Controller, muss zunächst die Active Directory Rolle installiert werden. Die Vorgehensweise ist bei allen Domain Controllern identisch und wurde bereits im ersten Teil beschrieben, daher spare ich mir hier die Details.

Active Directory Rolle

Sobald die Rolle installiert ist, kann der Server zum Domain Controller heraufgestuft werden:

image

Zweiten Domain Controller hochstufen

Zum Hochstufen des zweiten Domain Controllers wird die Option “Domänencontroller zu einer vorhandenen Domäne hinzufügen” ausgewählt. Da der Server bereits Mitglied des Active Directory ist, muss bei “Domäne” nicht weiter ausgewählt werden. Wichtig ist, das an dem Server ein Domain Administrator angemeldet ist, sonst fehlen die entsprechenden Rechte zum hochstufen eines DCs.

image

Anhand der IP-Adresse wird nun das Subnetz und der dazugehörige Active Directory Standort ermittelt (wie in Teil 1 angelegt). Das Kennwort wieder sicher verwahren:

image

Auch hier erscheint wieder der Hinweis, dass keine Delegierung für den DNS Server erstellt werden kann, wie bereits erwähnt, ist dieses normal:

image

Im nächsten Dialog kann angegeben werden, von welchem Domain Controller die initiale Replikation stattfinden soll. Wenn es bereits mehrere Domain Controller gibt, oder der erste Domain Controller in einem neuen Standort installiert wird, kann hier ein DC angegeben werden, der am besten geeignet ist (Schnellste Verbindung, geringste Auslastung, etc):

image

Die Pfade für die Installation werden im Normalfall so belassen:

image

Jetzt wird wieder eine Zusammenfassung der Einstellungen angezeigt und es gibt wieder die Möglichkeit, die Einstellungen als Script zu speichern:

image

Mit einem Klick auf Installieren wird der Server zum Domain Controller hochgestuft und die initiale Replikation durchgeführt:

image

Der Server wird automatisch neugestartet:

image

Sobald der Neustart durchgeführt wurde, steht der neue Domain Controller zur Verfügung, aber auch hier gibt es wieder ein paar Nacharbeiten.

Nacharbeiten

Zunächst wieder das Thema mit der Uhrzeit. Der erste Domain Controller, bzw der Domain Controller mit der Masterrolle PDC, wird mit einer externen Zeitquelle synchronisiert. Im ersten Artikel ist dies ein NTP Server aus dem Internet. Alle anderen Domain Controller in dieser Domain, können nun die Zeit über den PDC synchronisieren.

Mit den folgenden Befehlen lässt sich dies konfigurieren (der Parameter heißt wirklich “domhier”, es wird keine Name eingetragen, einfach so übernehmen):

w32tm /config /syncfromflags:domhier /update
net stop w32time && net start w32time

Eigentlich ist die Sache mit der Uhrzeit ganz einfach: PDC mit externer Zeitquelle synchronisieren, alle weiteren DCs der Domain mit PDC synchronisieren, Clients bekommen ihre Zeit von den Domain Controllern. Leider wird oft die Synchronisation mit einer externen Zeitquelle vergessen.

Jeder DNS Server sollte über mindestens zwei Weiterleitungen verfügen, hier dient als Beispiel der Router und Google DNS als Ziele für den DNS Forward. Hier wird aber NICHT ein anderer Domain Controller angegeben.

Der Hintergrund ist folgender: Alle DNS Anfragen die dieser DNS Server nicht direkt beantworten kann, wird er an die Adressen weiterleiten, die als Weiterleitung konfiguriert sind, daher werden hier normalerweise öffentliche DNS Server eingetragen. Ein anderer Domain Controller wird die Anfrage ebenfalls nicht beantworten können und müsste sie ebenfalls weiterleiten, es macht also im Normalfall keinen Sinn, hier einen anderen DC anzugeben:

image

Damit veraltete DNS Einträge auch nach gewisser Zeit gelöscht werden, sollte ebenfalls die “Alterung” aktiviert werden:

image

Gleiches gilt auch für die Reverse Lookup Zone:

image

Damit veraltete Einträge gelöscht werden, muss dazu auf den DNS-Servern der “Aufräumvorgang” aktiviert werden:

image

Zu guter Letzt noch eine Einstellung die den ersten Domain Controller betrifft. Der zweite Domain Controller wird als primärer DNS Server eingestellt, die Loopback Adresse als sekundärer DNS Server:

image

Auch dem zweiten Domain Controller sollten die Einstellungen bereits passen.

Somit läuft das Active Directory auf zwei Domain Controllern und ist gegen den Ausfall eines einzelnen Servers abgesichert. Ein ordentliches Backup muss selbstverständlich trotzdem eingerichtet werden.

3 Replies to “Server 2016: Active Directory Installation (Teil 2)”

  1. Lässt sich erklären wieso das Microsoft standardmässig den Aufräumvorgang deaktiviert lässt? Ich habe diesen jeweils auch auf 7 Tage gestellt und aktiviert. Wieso lässt Microsoft diese Einstellung inaktiv?

    Gruss Dave

  2. Sorry, aber welchen Sinn sollen die Weiterleitungen auf den Router und Googles DNS haben? Wenn alles sauber Konfiguriert ist, werden die root hints dafür sorgen, dass du ins Internet kommst.

  3. Hi Albert,
    ich mache es aus Performance Gründen:

    dig @8.8.8.8 http://www.frankysweb.de | grep „Query time:“
    ;; Query time: 44 msec

    Zum Vergleich einer der Root Server von meinem Standort:

    dig @199.7.91.13 http://www.frankysweb.de | grep „Query time:“
    ;; Query time: 122 msec

    Google ist in den meisten Fällen einfach schneller und es sind weniger Hops nötig. Natürlich lassen sich auch die Root DNS Server nutzen. Der Router ist hier nur das Backup und verdeutlicht einen zweiten Forwarder.
    Gruß, Frank

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.