Active Directory von der Pike auf

Ich habe mich in meinen Windows 2022-Server eingeloggt und möchte aus diesem Server einen Domänencontroller machen. Das bedeutet, dass ich ihn als Domänencontroller zu einer brandneuen Active Directory-Gesamtstruktur und Domäne hinzufügen werde. Ich gehe auf »Rollen und Features hinzufügen«, woraufhin sich ein Assistent öffnet, und arbeite mich durch den Vorgang, bis wir zu den Serverrollen kommen. Aber bevor es so weit ist, vergewissere ich mich erst einmal, dass mein Servername und die IP-Adresse korrekt sind. Der Servername muss korrekt sein, weil Sie einen Active Directory-Domänencontroller nicht mehr umbenennen können. Ist der Name also falsch, sollten Sie ihn jetzt ändern. Und die IP-Adresse muss korrekt sein, weil wir eine statische IP-Adresse brauchen. Mindestens eine Ihrer Netzwerkkarten muss eine statische Einstellung aufweisen. Sie können keine dynamische Einstellung verwenden und erwarten, dass der Domänencontroller funktioniert, wenn sich Ihre IP-Adresse ändert und die Benutzer:innen Sie nicht mehr finden. Nachdem ich das jetzt wunschgemäß eingestellt habe, klicke ich auf »Weiter« und werde bei den Serverrollen das Kästchen für die Active Directory-Domänendienste auswählen. Hier klicke ich auf »Features hinzufügen« und dann wieder auf »Weiter«. So fahre ich fort, bis ich zur Installation komme. Dieser Vorgang macht den Server noch nicht zu einem Active Directory-Domänencontroller. Er installiert nur die Tools, die ich brauche, um daraus einen Domänencontroller zu machen. Jetzt beginnt die Installation. Wenn sie abgeschlossen ist, kann ich das Tool öffnen und einen neuen Assistenten anwählen, der mir mehrere Optionen bietet. Eine besteht darin, eine neue Gesamtstruktur und Domäne zu erstellen, eine andere in der Erstellung einer untergeordneten Domäne, Die letzte Option wäre, den Server als sekundären Domänencontroller zu einer bestehenden Gesamtstruktur und Domäne hinzuzufügen. Ich werde eine neue Gesamtstruktur und Domäne erstellen – wir müssen nur noch warten, bis die Installation abgeschlossen ist. Das dauert normalerweise ein paar Minuten, dann können wir fortfahren. Während ich warte gehe ich in die Netzwerk- und Interneteinstellungen. Dort richte ich den DNS-Server auf ihn selbst aus, denn wenn er auf eine öffentliche IP-Adresse ausgerichtet ist, gehen alle Anfragen ans Internet anstatt an den lokalen Domänencontroller. Ich öffne also das Netzwerk- und Freigabecenter und klicke auf »Adaptereinstellungen ändern«. Da ich IP Version 4 benutze, ändere ich die Einstellung, indem ich einen Doppelklick mache, unseren öffentlichen DNS-Server entferne, und die eigene IP-Adresse zur Verwendung benenne. Jetzt gilt für alle ans Internet gerichteten Anfragen, dass sie zunächst an den DNS-Manager gehen und eine weiterleitende IP-Adresse zum öffentlichen DNS-Server erstellt wird. Die Installation des Features ist abgeschlossen, also klicke ich auf »Schließen« . Und jetzt sehe ich hier oben dieses kleine Dreieck. Ich klicke darauf und gebe an, dass ich aus diesem Server einen Domänencontroller machen möchte. Nun öffnet sich ein Assistent. Hier muss ich die Option »Neue Gesamtstruktur hinzufügen« wählen, denn wir haben ja bislang noch keine Gesamtstruktur und Domäne erstellt. Ich muss einen Namen für die Stammdomäne eingeben. Ich habe meine Stammdomäne benannt, jetzt klicke ich auf »Weiter« und sehe mir die Funktionsebene der Gesamtstruktur und der Domäne an. Im Dropdown-Menü können Sie sehen, dass nach Windows Server 2016 nicht Neueres mehr kommt. Damals begann Microsoft, die Leute dazu zu animieren, Azure Active Directory und Azure Active Directory-Domänendienste zu abonnieren. Deshalb haben sie aufgehört, die Funktionsebene zu erhöhen. Achten Sie darauf, nichts Niedrigeres als 2016 auszuwählen. Klicken Sie auf 2016 und fahren Sie fort. Bei den Domänencontrollerfunktionen ist es wichtig, dass die Kästchen für DNS-Server und »Globaler Katalog« beide ausgewählt sind. Wir möchten keinen schreibgeschützten Domänencontroller anlegen, denn ein erster Domänencontroller darf niemals schreibgeschützt sein. Das ist einfach nicht möglich. Nun geben wir ein Kennwort für den Verzeichnisdienst-Wiederherstellungsmodus ein, auch DSRM genannt. Das ist für Notfallwiederherstellungen gedacht, wenn die Active Directory-Domänendienste beim Einloggen in den Server nicht starten. Wir nehmen hier das Kennwort, das ich als Administrator genutzt habe, aber Sie können natürlich auch jedes andere Kennwort benutzen. Und weiter geht‘s. Nun erscheint die Warnung, dass die Delegierung für den DNS-Server nicht erstellt werden kann. Das können Sie einfach ignorieren. Das passiert bei jeder Version des Windows-Servers. Der Name der NetBIOS-Domäne wird automatisch eingetragen, Sie müssen hier nichts selbst eingeben. Warten Sie einfach ein paar Sekunden, bis er erscheint. Wie Sie sehen, ist der Name der NetBIOS-Domäne einfach ein Teil des Namens Ihrer ursprünglichen Active Directory-Domäne. Sie können das ändern, wenn Sie möchten, oder aber so lassen und auf »Weiter« klicken. Der Name der NetBIOS-Domäne ist im Grunde ein Überbleibsel aus alten Windows-NT-Tagen. Damals haben wir uns mit eben diesem NetBIOS-Domänennamen eingeloggt, und wir können ihn auch weiterhin für den Login benutzen, wenn wir das möchten. Wir können uns beispielsweise als Meistertrainer Backslash Administrator oder als Administrator über Meistertrainer Punkt internal anmelden – beides geht. Klicken Sie nun auf »Weiter«. Hier wähle ich die Standardspeicherplätze für die Datenbank, die Protokolldateien und SYSvol ... ... und klicke wieder auf »Weiter«. Jetzt könnten ein paar Warnmeldungen erscheinen, aber solange Sie keine roten Kreuze sehen, können Sie einfach weitermachen. Sie können alle Warnmeldungen ignorieren, denn das ist wieder etwas, was bei allen Windows-Versionen auftritt. Ich sehe nichts, was mich stutzig macht, also fahre ich fort und klicke auf »Installieren«. Wenn die Installation abgeschlossen ist, wird automatisch ein Neustart durchgeführt und Sie haben einen Active Directory-Domänencontroller in Ihrer neuen Gesamtstruktur und Domäne. Da es der erste Domänencontroller ist, wird er die Gesamtstruktur ebenso benennen wie die Domäne. Sie könnten jetzt auch noch mehr Domänencontroller installieren, wenn Sie möchten, oder unter demselben Gesamtstrukturnamen eine neue Domäne erstellen. Ich habe das bei vielen Unternehmen gesehen, bei denen zahlreiche Tochtergesellschaften einer Muttergesellschaft unterstellt sind. In Kürze erscheint ein Popup, das uns mitteilt, dass der Server neu gestartet wird, und dann warten wir auf den Neustart. Anschließend können wir uns zum ersten Mal mit diesem Server als Domänencontroller einloggen. Hier sehen wir, dass der Server gleich abgemeldet und neu gestartet wird. Wir waren also erfolgreich. Ich logge mich jetzt zum erstem Mal als Administrator der Domäne ein. Der Server-Manager ist geladen, und wenn ich zu den Tools gehe, sollte ich einige Active Directory-Tools sehen – und da sind sie auch. Ich klicke einfach auf »Benutzer und Computer«, um sicherzugehen, dass beim Start keine Fehler aufgetreten sind. Hier sehen wir, dass »Active Directory - Benutzer und Computer« erfolgreich gestartet wurde und die Domäne und die Gesamtstruktur funktionieren, denn es werden keine Fehler angezeigt. Das Hinzufügen eines Active Directory stellt für Clients eine sichere Möglichkeit dar, sich einzuloggen und die Benutzer- und Computerkonten von Systemadministrator:innen verwalten zu lassen.