Einrichtung eines Win2022-Servers als Domänencontroller incl. DNS-Server [ID 1228]
Welche Schritte müssen nach dem Aufsetzen eines Servers (am Beispiel des Windows Server 2022) VOR der Installation von SPH-PaedNet erledigt werden?
Mit freundlicher Unterstützung aus dem IP-Insider:
https://www.ip-insider.de/in-17-schritten-zum-perfekten-domaenencontroller-a-489759/
Inhaltsverzeichnis
1. Betriebssystem einrichten und Namen sowie IP festlegen
1.1 Betriebssystem installieren und aktualisieren
1.2 Einstellung der Netzwerkkarte
1.3. Servername festlegen
2. Einrichtung des Active Directory
2.1. Installation des Active Directory
2.2. Konfiguration des Active Directory
3. Einrichtung des DNS
3.1 Prüfung der Netzwerkkarteneinstellung
3.2 Prüfung der Eigenschaften der Forward-LookupZone
3.3 Einrichten der Reverse-Lookup-Zone
3.4 Prüfung der Netzwerkschnittstellen, die DNS-Anfragen abhören sollen
3.5 Einrichtung von Weiterleitungen für DNS-Anfragen aus dem PaedNet-Netz
3.6 Überwachung der Weiterleitungen
3.7 Verkürzung der Alterung
1. Betriebssystem einrichten und Namen sowie IP festlegen
1.1. Betriebssystem installieren und aktualisieren
Auf dem Server müssen zuerst das Betriebssystem und alle zur Verfügung stehenden Aktualisierungen über die Windows-Update-Funktion installiert und eingerichtet werden.
Für alle angebundenen Geräte sollten entweder die passenden Treiber installiert sein, oder das Gerät sollte deaktiviert werden.
Die Überprüfung kann im Gerätemanager in Windows vorgenommen werden. Gestartet wird dieser z.B. über „devmgmt.msc“.
Nach der Installation sollten Sie darüber hinaus bestätigen, dass sich der Server in einem privaten Netzwerk befindet.
Dazu bestätigen Sie die entsprechende Meldung mit "Ja":
Abb. 1
Nach der Einrichtung des Servers als Domänencontroller (siehe Kapitel 2 "Einrichtung des Active-Directory") wird die Einstellung automatisch auf „Domänennetzwerk“ umgestellt.
1.2. Einstellung der Netzwerkkarte
Ein Domänencontroller muss zwingend eine feste statische IP-Adresse bekommen und darf nicht per DHCP versorgt werden, sonst kann DNS auf diesem Server nicht richtig funktionieren!
Eventuell vorhandene zusätzliche, nicht benötigte Netzwerkkarten sind (mindestens) zu deaktivieren, besser auszubauen.
Die Einstellungen für die Netzwerkkonfiguration finden Sie am schnellsten über die Eingabe von „ncpa.cpl“ im Suchfeld des Startmenüs, im folgenden Fenster:
Rechtsklick auf die Netzwerkkarte -> Eigenschaften -> Doppelklick auf Internetprotokoll, Version 4.
| IP-Adresse: | Die neue IP-Adresse Ihres Servers |
| Subnetzmaske: | Wird in der Regel vom System automatisch eingetragen, kann aber von Ihrer Netzwerkumgebung abhängig sein |
| Standartgateway: | Ihr Router |
| Bevorzugter DNS-Server: | Ein dauerhaft laufender DNS-Server im Internet (hier Cloudflare-DNS-Server 1.1.1.1) |
Abb. 2
1.3. Servername festlegen
Achtung: Für PaedNet-Installationen sollte der Windows-Servername auf keinen Fall länger als 15 Zeichen sein!
Den Computernamen können Sie ändern, wenn Sie im Suchfeld den Begriff „PC“ eingeben und dann das angezeigte Element „PC-Infos“ anklicken.
Im neuen Fenster wählen Sie "Diesen PC umbenennen" aus.
Geben Sie nun als PC-Namen ihren zukünftigen "Servernamen" (Hier im Beispiel "PDC-PDC") ein, bestätigen mit "Weiter" und starten den Server neu.
Nochmals Achtung: Für PaedNet-Installationen sollte der Windows-Servername auf keinen Fall länger als 15 Zeichen sein!
Abb. 3
2. Einrichtung des Active Directory
2.1. Installation des Active Directory
Nun kann der Active Directory-Domänendienst installiert werden.
Die Installation erfolgt über den Server-Manager unter "Verwalten -> Rollen und Features hinzufügen".
a) Im Fenster "Vorbereitung" klicken Sie auf "Weiter" und als "Installationstyp" wählen Sie "Rollenbasierte oder featurebasierte Installation" aus (Abbildung 4).
Abb. 4
b) Wählen Sie bei "Serverauswahl" Ihren Server aus:
Abb. 5
Installieren Sie bei "Serverrolle" den "Active Directory-Domänendienste" inklusive der „Verwaltungstools“.
Durch die Installation werden nur die Installationsdateien von Active Directory auf dem Server installiert. Es findet jetzt noch keinerlei Konfiguration statt.
Abb. 6
Bestätigen Sie so lange mit Klick auf „Weiter“, bis Sie zu folgendem Fenster gelangen.
Klicken Sie auf „Zielserver bei Bedarf automatisch neu starten“ und bestätigen Sie die Einstellung durch Klick auf „Ja“ im Bestätigungsfenster. Klicken Sie danach auf "Installieren":
Abb. 7
c) Nach der erfolgreichen Installation klicken Sie auf "Schließen":
Abb. 8
Nachdem die Serverrolle installiert ist, beginnt die Konfiguration des Active Directory auf dem Server. Dieser Vorgang wird im Server-Manager über das Wartungssymbol mit Klick auf „Server zu einem Domänencontroller heraufstufen“ gestartet.
Abb. 9
2.2. Konfiguration des Active Directory
Beim Erstellen der ersten Domäne für die Gesamtstruktur wählen Sie die Option "Neue Gesamtstruktur hinzufügen" aus.
Eine Gesamtstruktur ist die Grundlage von Active Directory.
Als nächstes wird der DNS-Name der Domäne festgelegt (hier als Beispiel "sph.local"):
Abb. 10
Im Folgefenster prüfen Sie, ob das Häkchen bei "DNS-Server" gesetzt ist.
Desweiteren muss hier ein Kennwort für den Verzeichnisdienst-Wiederherstellungsmodus angegeben werden, hierbei handelt es sich um das Kennwort des lokalen Administrators.
Klicken Sie dann auf „Weiter“:
Abb. 11
Klicken Sie dann so lange auf „Weiter“, bis Sie zu den Voraussetzungsüberprüfungen kommen.
- Ist der neue Server der erste Domänencontroller, dann überspringen Sie im ersten Fenster die Meldung "Für den DNS-Server kann keine Delegierung erstellt werden..." mit "Weiter".
Abb. 12
- Im nächsten Fenster analysiert die Installation den Domänennamen und schlägt automatisch einen NetBIOS-Domänennamen vor. Dabei muss es sich um den in Abbildung 10 eingegebenen Domänennamen aber ohne Suffix (hier ".local") handeln. Sollten sich die Namen unterscheiden, gehen Sie zurück bis zu Abbildung 10 und geben Sie dort einen kürzeren Namen oder einen Namen ohne Sonderzeichen ein.
Abb. 13
- Im Anschluss muss noch der Ordner festgelegt werden, der als Netlogon- und SYSVOL-Freigabe verwendet wird.
In diesem Ordner werden die Anmeldeskripts und später die Gruppenrichtlinien gespeichert und zwischen den Domänencontrollern repliziert.
In den meisten Fällen können Sie den Standard-Ordner verwenden, den der Assistent auch vorschlägt:
Abb. 14
Im nächsten Fenster sehen Sie die Installationszusammenfassung. Mit Klick auf "Weiter"...
Abb. 15
...testet der Assistent den Server und prüft, ob das Active Directory fehlerfrei installiert werden kann. Danach beginnt das Heraufstufen zum Domänencontroller.
Sollten Sie in der "Voraussetzungsüberprüfung" folgende Fehlermeldung (siehe Abbildung 16) sehen, dann entspricht das Passwort des lokalen Administrators nicht den Microsoft Komplexitätsvoraussetzungen.
- Um das Passwort zu ändern, drücken Sie Strg+Alt+Entf.
- Klicken Sie auf „Kennwort ändern“
- Ändern Sie das Kennwort.
- Klicken Sie dann im Fenster "Voraussetzungsüberprüfung" auf "Zurück" … und im vorherigen Fenster auf "Weiter"… um die Voraussetzungen erneut zu überprüfen:
Abb. 16
Sollte die "Voraussetzungsüberprüfung" erfolgreich sein, klicken Sie auf "Installieren".
Abb. 17
Der Server startet zum Abschluss ggfs. neu.
Melden Sie sich danach mit einem Domänen-Administrator (hier der User SPH\Administrator) an. Er hat das gleiche Passwort wie der lokale Administrator, mit dem Sie sich angemeldet haben, bevor Sie das Active Directory eingerichtet haben:
Abb. 18
3. Einrichtung des DNS
3.1 Prüfung der Netzwerkkarteneinstellung
Nach Installation des Active Directory und des DNS sollten die Netzwerkkarteneinstellungen so aussehen:
Abb. 19
3.2 Prüfung der Eigenschaften der Forward-LookupZone
Im Zuge der DNS-Installation wird die Forward-Lookup-Zone eingerichtet (Anhand dieser Tabelle ist es dem Server möglich, die IP eines Domänenrechners anhand seines Namens aufzulösen). Dabei ist darauf zu achten, dass der DNS „Active Directory-integriert“ installiert wird.
Um dies zu kontrollieren, findet man unter START==>WINDOWS-VERWALTUNGSPROGRAMME==>DNS in den Eigenschaften der Forward-Lookup-Zone (hier „sph.local“) auf der Registerkarte „Allgemein“ den Wert Typ: „Active Directory-integriert“:
Abb. 20
3.3 Einrichten der Reverse-Lookup-Zone
Sollten Sie noch keine Reverse-Lookupzone eingerichtet haben, wählen Sie im Kontextmenü der Reverse-Lookupzone den Eintrag „Neue Zone…“:
Abb. 21
Bestätigen Sie das erste Fenster mit Klick auf „Weiter“. In den drei folgenden Fenstern belassen Sie die Voreinstellungen:
Abb. 22
Abb. 23
Abb. 24
Im folgenden Fenster „Assistent zum Erstellen neuer Zonen – Name der Reverse-Lookupzone“ geben Sie die ersten drei Bytes Ihrer IP-Adresse ein:
Abb. 25
Bestätigen Sie die Einstellungen in den beiden folgenden Fenstern:
Abb. 26
Abb. 27
Ergebnis:
Abb. 28
Der Server muss nun in der neuen Reverse-Lookupzone einen Zeigereintag bekommen. Öffnen Sie dazu Ihre Forward-Lookupzone und lassen Sie sich die Eigenschaften des Servers anzeigen:
Abb. 29
Setzen Sie das Häkchen bei „Entsprechenden Zeigereintrag (PTR) aktualisieren“:
Abb. 30
Ergebnis:
Abb. 31
3.4 Prüfung der Netzwerkschnittstellen, die DNS-Anfragen abhören sollen
Zur korrekten Funktionsweise des DNS-Servers gehört es zu überprüfen, von welchen IP-Adressen bzw. Netzwerkkarten der DNS-Server DNS-Anfragen abhören und beantworten soll. Öffnen Sie im DNS-Manager im obersten Verzeichnisbaum die Eigenschaften "Ihr DC==>Eigenschaften“:
Abb. 32
Prüfen Sie, dass es sich bei den angehakten Adressen um die IPv4- bzw. IPv6-Adresse der Netzwerkkarte handelt, die das PaedNet-Netz versorgt. Sollten Sie mehrere Netzwerkkarten in Ihrem Server haben, dann werden Ihnen hier mehr als zwei Adressen angezeigt. Entfernen Sie die Häkchen der Netzwerkkarten, die nicht am PaedNet-Netz hängen.
Abb. 33
3.5 Einrichtung von Weiterleitungen für DNS-Anfragen aus dem PaedNet-Netz
Clients, die DNS-Anfragen nach Adressen außerhalb der eigenen Domäne stellen (z.B. nach Internetadressen), können nicht durch den lokalen DNS befriedigt werden.
Die Anfrage wird deshalb an einen fest konfigurierten externen Nameserver weitergeleitet.
Zur Prüfung der externen Weiterleitung wählen Sie den Reiter „Weiterleitungen“ und klicken Sie auf „Bearbeiten". Geben Sie dort die IP-Adresse Ihres Routers ein (im Bild unten: 192.168.0.2) und klicken Sie auf OK. Die IP ihres Routers sollte einen grünen Haken erhalten.
Wir empfehlen zusätzlich bei den Weiterleitungen die IP-Adresse eines möglichst ständig aktiven DNS-Servers einzustellen:
In unserem Beispiel erfolgt die Weiterleitung auf 1.1.1.1 (Cloudflare). Klicken Sie anschließend auf "OK":
Abb. 34
Ergebnis:
Abb. 35
3.6 Überwachung der Weiterleitungen
Wechseln Sie zum Reiter „Überwachen“. Setzen Sie die Häkchen wie gezeigt und testen Sie die Weiterleitung durch Klick auf „Jetzt testen“. Es sollte dann ein erfolgreicher Test angezeigt werden.
Abb. 36
Ergebnis:
Abb. 37
3.7 Verkürzung der Alterung
Damit veraltete Clients automatisch aus dem DNS verschwinden, muss die Alterung wie folgt aktiviert werden:
Abb. 38
Aktivieren Sie 'Veraltete Ressourceneinträge aufräumen" und setzen die Intervalle auf 7 Stunden.
Abb. 39
Sollten, trotz der oben genannten Konfiguration, die veralteten Ressourcen nicht aufgeräumt werden und es zu doppelten IP-Eintragungen kommen, so finden Sie einen Lösungsansatz im Artikel → ID 1315.
Abb. 40
----------------------------------------------------
Zurückführende Links
Zurück zum "Übersicht Einrichtung Windows Server [ID 800]"
Zurück zum "Übersicht SPH-PaedNet - Installation [ID 1411]"
Zurück zum "SPH-PaedNet Übersicht [ID 900]"
Letzte Bearbeitung: 20.11.2024 - ASk
