Active Directory, Domänencontroller; DNS

Tipps und Tricks zur Migration auf Windows Server 2012

11.02.2014 von Thomas Joos
Wer einige Fallstricke umgeht, kann Windows Server 2012 problemlos in bestehende Infrastrukturen integrieren. Der folgende Praxisbeitrag fasst unsere Empfehlungen zur Vorgehensweise zusammen.

Windows Server 2012 bringt einen ganzen Schwung an Neuerungen mit sich, nicht nur bei den Tools, sondern auch in Sachen Funktionalität. Mit den folgenden Tipps können sich Admins bei der Migration auf Windows Server 2012 das Leben leichter machen. Informationen zu den Neuerungen finden Sie beispielsweise in folgenden Beiträgen:

Doch genug der Vorrede, wir gehen gleich in medias res und starten direkt mit den Tipps zur Migration auf Windows Server 2012.

Schema vorbereiten mit adprep.exe

Sie können Domänencontroller mit Windows Server 2012 auch in Netzwerken mit Windows Server 2003/2008/2008 R2 integrieren.

Damit Sie Domänencontroller mit Windows Server 2012 erfolgreich aufnehmen können, müssen die Gesamtstrukturfunktionsebene und die Domänenfunktionsebene auf Windows Server 2003 oder höher gesetzt sein. Zusätzlich muss das Schema vorbereitet werden.

Dazu verwenden Sie das Tool adprep.exe von der Windows-Server-2012-DVD. Sie finden das Tool im Verzeichnis support\adprep auf der Windows-Server-2012-DVD. Die Syntax dazu lautet wie folgt:

adprep.exe /forestprep /forest <Gesamtstruktur> /userdomain <Domäne> /user <Benutzername> /password *

Mit der zusätzlichen Option /logdsid aktivieren Sie eine detailliertere Protokollierung mit adprep.exe. Die Datei adprep.log befindet sich im Verzeichnis %windir%\System32\Debug\Adprep\Logs.

Domänencontroller direkt aktualisieren

Nach der Aktualisierung des Schemas der Gesamtstruktur und der Domäne können Sie neue Domänencontroller mit Windows Server 2012 in das Netzwerk integrieren, oder Sie aktualisieren die bestehenden Domänencontroller direkt zu Windows Server 2012.

Bildergalerie:
Migration zu Windows Server 2012
Vor der Integration eines Windows Server 2012-Domänencontrollers, müssen Sie erst das Schema der Gesamtstruktur erweitern.
Migration zu Windows Server 2012
Domänencontroller mit Windows Server 2008 x64 oder Windows Server 2008 R2 können Sie direkt zu Windows Server 2012 aktualisieren.
Migration zu Windows Server 2012
Domänencontroller können Sie auch in der PowerShell installieren. Das ist zum Beispiel auf Core-Servern sinnvoll.

Das geht aber nur mit Windows Server 2008 x64 und Windows Server 2008 R2. Server. Von Windows Server 2003 können Sie nicht direkt zu Windows Server 2012 aktualisieren.

Domänencontroller mit der PowerShell installieren

Um einen neuen Domänencontroller zu installieren, verwenden Sie das CMDlet Install-ADDSDomainController. Damit der Befehl funktioniert, geben Sie den Namen der Domäne ein und konfigurieren das Kennwort für den Verzeichnisdienstwiederherstellungsmodus als SecureString. Dazu verwenden Sie folgenden Befehl:

Install-ADDSDomainController -Domainname <DNS-Name der Domäne> -SafeModeAdministratorPassword (read-host -prompt Kennwort -assecurestring)

Der Befehl fragt nach dem Kennwort für den Verzeichnisdienstwiederherstellungsmodus und speichert dieses als sichere Zeichenfolge ab.

Sie können natürlich alle notwendigen Optionen für die Installation im CMDlet angeben, zum Beispiel die Installation von DNS oder die Funktionsebene von Domäne und Gesamtstruktur.

DNS überprüfen

Bevor Sie Active Directory auf dem Server installieren, sollten Sie sicherstellen, dass alle DNS-Einstellungen korrekt vorgenommen wurden. Überprüfen Sie, ob sich der Server sowohl in der Forward- als auch in der Reverse-Lookup-Zone korrekt eingetragen hat.

Check: Die Namensauflösung testen Sie am besten mit nslookup.

Öffnen Sie eine Befehlszeile und geben den Befehl nslookup ein. Die Eingabe des Befehls darf keinerlei Fehlermeldungen verursachen, es müssen der richtige FQDN des DNS-Servers und seine IP-Adresse angezeigt werden. Wenn Sie in nslookup noch nach der IP-Adresse suchen, muss diese nach dem Servernamen aufgelöst werden.

Sollte das nicht der Fall sein, gehen Sie Schritt für Schritt vor, um den Fehler einzugrenzen:

1. Falls ein Fehler angezeigt wird, versuchen Sie es mit dem Befehl ipconfig /registerdns in der Befehlszeile. Überprüfen Sie, ob sich der Server in die Zone eingetragen hat.

2. Tritt der Fehler weiterhin auf, überprüfen Sie, ob das primäre DNS-Suffix auf dem Server mit dem Zonennamen übereinstimmt.

3. Stellen Sie als Nächstes fest, ob die IP-Adresse des Servers stimmt und der Eintrag des bevorzugten DNS-Servers auf die IP-Adresse des Servers zeigt.

4. Überprüfen Sie in den Eigenschaften der Zone, ob die dynamische Aktualisierung zugelassen wird, und ändern Sie gegebenenfalls die Einstellung, damit die Aktualisierung stattfinden kann. Die Eigenschaften der Zonen erreichen Sie, wenn Sie mit der rechten Maustaste auf die Zone klicken und die Eigenschaften auswählen.

Treten keine Fehler auf, können Sie mit der Erstellung von Active Directory auf diesem Server beginnen. Haben Sie Active Directory installiert, stehen auch in Windows Server 2012 die bekannten Tools dcdiag.exe, repadmin.exe und Co. zur Analyse zur Verfügung. Für die Namensauflösung können Sie weiterhin nslookup oder die neuen CMDlets zur Verwaltung von DNS verwenden, zum Beispiel resolve-dnsname.

Active Directory in der PowerShell installieren

Nicht nur per Server-Manager, auch in der PowerShell können Sie die Binärdateien von Active Directory inklusive der Verwaltungs-Tools installieren. Dazu verwenden Sie den Befehl

Install-windowsfeature -name AD-Domain-Services -IncludeManagementTools

Alle Befehle, die für Active Directory zur Verfügung stehen, erhalten Sie über Get-command -module ADDSDeployment, Hilfen mit Get-help <cmdlet>.

Sicher ist sicher: Vor der Installation von Active Directory sollten Sie einen Test durchführen. So lassen sich Fehler vermeiden.

Mit Test-ADDSDomainInstallation testen Sie die Voraussetzungen für die Installation einer neuen Domäne in Active Directory, Test-ADDSForestInstallation überprüft das Gleiche für eine neue Gesamtstruktur auf Basis von Windows Server 2012. Damit Sie die Tests ausführen können, müssen Sie an verschiedenen Stellen noch Kennwörter eingeben. Diese akzeptiert das entsprechende CMDlet aber nur als sichere Eingabe. Ein Beispiel für den Befehl ist:

Test-ADDSDomainControllerInstallation -Domainname <DNS-Name der Domäne> -SafeModeAdministratorPassword (read-host -prompt Kennwort -assecurestring)

Sie können die Einrichtung von Active Directory auch in der PowerShell auf einem Computer im Netzwerk durchführen. Dazu verwenden Sie den Befehl:

invoke-command {install-addsdomaincontroller -domainname <Domäne> -credential (get-credential) -computername <Name des Servers>

Active Directory von Installationsmedium installieren

Für die Installation eines Domänencontrollers in Niederlassungen oder bereits ausgelasteten Netzwerken bietet es sich an, auf einem Quell-Domänencontroller zunächst Daten aus Active Directory zu exportieren, auf einen Datenträger zu kopieren und zur Niederlassung zu senden. Beim Heraufstufen eines Domänencontrollers kann dieses Medium verwendet werden.

Hilfreich: Sie können die notwendigen Replikationsdaten für Active Directory als Datenträger zur Verfügung stellen.

So muss der Domänencontroller in der Niederlassung nur noch das Delta zwischen Medium und aktuellen Daten mit seinen Replikationspartnern synchronisieren, was die Netzwerklast deutlich reduziert.

Um ein Installationsmedium vorzubereiten, melden Sie sich an einem Domänencontroller mit Admin-Rechten an. Gehen Sie im Anschluss folgendermaßen vor:

1. Öffnen Sie eine Befehlszeile, und geben Sie ntdsutil ein.

2. Geben Sie als Nächstes activate instance ntds ein und bestätigen Sie.

3. Geben Sie ifm ein und bestätigen Sie.

4. Geben Sie create rodc c:\temp ein, um ein Installationsmedium für einen RODC (schreibgeschützter Domänencontroller) zu erstellen. Um einen vollwertigen DC mit dem Installationsmedium zu erstellen, geben Sie create full c:\temp ein. Soll das SYSVOL-Verzeichnis nicht mit eingeschlossen werden, verwenden Sie einen der beiden Befehle create nosysvol rodc c:\temp oder create nosysvol full c:\temp. Das Verzeichnis können Sie natürlich beliebig ändern.

5. Verlassen Sie ntdsutil mit der wiederholten Eingabe von quit.

6. Überprüfen Sie, ob das Verzeichnis erstellt wurde und die Daten darin enthalten sind.

Kopieren Sie die Daten auf ein Medium und legen es in den Server ein, den Sie mit diesem Medium installieren wollen. Soll die Installation unbeaufsichtigt vonstatten gehen, verwenden Sie die Variable /ReplicationSourcePath.

Nutzen Sie den Assistenten in der grafischen Oberfläche, aktivieren Sie auf der Seite Installieren von Medium die Option Daten von Medien an folgendem Speicherort replizieren und wählen das lokale Verzeichnis aus, in dem die Daten abgelegt wurden. Dieses Fenster erscheint, wenn Sie über den Installationsassistenten von Active Directory einen zusätzlichen Domänencontroller installieren.

Funktionsebenen anpassen

Ein Active Directory kann unter verschiedenen Funktionsebenen betrieben werden:

• Funktionsebene der einzelnen Domänen in der Gesamtstruktur

• Funktionsebene der Gesamtstruktur, die dann für alle Domänen gültig ist

Sie können die Funktionsebene für die Domänen im Snap-In Active Directory-Benutzer und -Computer über das Kontextmenü der Domäne einstellen. Die Funktionsebene für die Gesamtstruktur stellen Sie über das Snap-In Active Directory-Domänen und -Vertrauensstellungen ein, ebenfalls über das Kontextmenü. Das Abändern der Funktionsebene lässt sich nicht rückgängig machen.

Bestimmung: Die Funktionsebene für eine neue Gesamtstruktur legen Sie zum Beispiel während der Heraufstufung eines Domänencontrollers fest.

Eine Ausnahme ist die mögliche Herabstufung von Windows Server 2012 auf Windows Server 2008 R2. Das geht allerdings nur dann, wenn Sie den Active-Directory-Papierkorb noch nicht aktiviert haben. Während die Funktionsebene der Gesamtstruktur nur einmal zu verändern ist, müssen Sie für jede Domäne der Gesamtstruktur deren eigene Funktionsebene anpassen.

Diese Funktionsebenen haben keine Kompatibilitätsunterschiede für Mitgliedsserver oder -PCs. Wichtig ist der Modus nur für die integrierten Domänencontroller. Dies bedeutet: Auch im Betriebsmodus Windows Server 2012 dürfen Sie Server mit Windows Server 2003/2008/2008 R2 als Mitgliedsserver betreiben, nur eben nicht als Domänencontroller.

Diese Funktionsebene Windows Server 2012 ist notwendig, wenn Sie die neuen AD-Funktionen in Windows Server 2012 nutzen wollen. Dazu gehört die Möglichkeit, Domänencontroller zu klonen oder verwaltete Dienstkonten auf mehreren Servern einzusetzen. Auf der Windows-Server-2012-Domänenfunktionsebene ist die Kerberos-Domänencontrollerrichtlinie für die Unterstützung der dynamischen Zugriffssteuerung und Kerberos Armoring aktiv.

Die Windows-Server-2012-Gesamtstrukturfunktionsebene bietet keine neuen Features, stellt aber sicher, dass alle in der Gesamtstruktur erstellten neuen Domänen automatisch auf die Windows-Server-2012-Domänenfunktionsebene gestellt werden.

Neue Möglichkeiten zur Virtualisierung von Domänencontrollern

Mit Windows Server 2012 haben Sie zum Beispiel die Möglichkeit, einen virtuellen Domänencontroller zu installieren, diesen mit Sysprep vorzubereiten und dieses Image für das Klonen zu verwenden. Um einen Domänencontroller zu klonen, ist die Datei DcCloneConfig.xml von entscheidender Bedeutung. Diese muss sich im Verzeichnis mit der Active-Directory-Datenbank befinden (standardmäßig C:\Windows\NTDS). Wenn Sie die virtuelle Festplatte des virtuellen Domänencontrollers kopieren oder den virtuellen Server zu einem neuen Server exportieren oder importieren, erkennt dies Windows Server 2012. Das Betriebssystem stuft den neuen Server automatisch zum Domänencontroller hoch, erstellt eine neue lokale Active-Directory-Datenbank und verwendet als Replikationsquelle die geklonte lokale Datenbank.

Prüfung: Sie können in der PowerShell testen, ob sich ein Domänencontroller klonen lässt.

Bevor Sie einen virtuellen Domänencontroller klonen, müssen Sie auf dem Server das CMDlet Get-ADDCCloningExcludedApplicationList ausführen. Es überprüft, ob es auf dem virtuellen Server Anwendungen gibt, die das Klonen nicht unterstützen. Entdeckt das CMDlet nicht kompatible Dienste, zum Beispiel den DHCP-Dienst oder einen installierten Virenscanner, erhalten Sie entsprechende Informationen. In diesem Fall entfernen Sie den entsprechenden Dienst erst vom Server. Alternativ tragen Sie den Dienst später in die Datei CustomDCCloneAllowList.xml ein.

Hilfreich: Den Klonvorgang steuern Sie mit einer XML-Datei. Windows Server 2012 bringt hierfür eine Beispieldatei mit.

Die Konfiguration für das Klonen nehmen Sie später in der Datei DcCloneConfig.xml vor. Die Beispieldatei SampleDCCloneConfig.xml finden Sie im Verzeichnis C:\Windows\System32. In der XML-Datei pflegen Sie in den verschiedenen Bereichen die IP-Adresse des neuen Servers ein, ebenso die Subnetzmaske, das Standard-Gateway sowie die DNS-Server, die der neue Server zur Namensauflösung verwenden soll. Sie legen hier auch den neuen Namen des Domänencontrollers fest. Um XML-Dateien zu bearbeiten, können Sie zwar den Editor in Windows verwenden. Microsoft stellt aber zwei Programme kostenlos zur Verfügung, mit denen Sie sich hier leichter tun:

Visual Studio 2010 Express

XML Notepad

Domänencontroller klonen

Nachdem Sie die Datei dccloneconfig.xml erstellt haben, kopieren Sie diese in das Verzeichnis mit der Active-Directory-Datenbank, also normalerweise in das Verzeichnis C:\Windows\NTDS. Das Verzeichnis legen Sie während der Heraufstufung zum Domänencontroller fest. Sie können nur Quell-Domänencontroller klonen, die Mitglied der Gruppe Klonbare Domänencontroller in Active Directory sind. Nehmen Sie Domänencontroller dazu am besten im SnapIn Active Directory-Benutzer und -Computer auf der Registerkarte Mitglied von in dieser Gruppe auf. Nur nicht eingeschaltete Domänencontroller lassen sich klonen. Das heißt, Sie müssen den entsprechenden Domänencontroller herunterfahren, bevor Sie ihn klonen können.

Um die Festplatten eines virtuellen Domänencontrollers zu kopieren, den Sie klonen wollen, haben Sie zwei Möglichkeiten: Sie können die Festplatten mit dem Explorer kopieren und in einen neuen Server einbinden, oder Sie exportieren den virtuellen Computer. Microsoft empfiehlt, immer alle virtuellen Festplatten eines virtuellen Domänencontrollers zu kopieren, nicht nur die Systemfestplatte.

Bevor Sie den neuen Domänencontroller in das Active Directory aufnehmen können, müssen Sie die durch den Klonvorgang angepasste Datei dccloneconfig.xml vom Quellcomputer in das Verzeichnis mit der Active, Directory-Datenbank, also normalerweise in das Verzeichnis C:\Windows\NTDS, vom Quell- auf den Zielcomputer kopieren. Windows hat den Namen der Datei angepasst, um zu zeigen, dass ein Klon-Vorgang stattgefunden hat. Ändern Sie den Namen wieder, um zu dccloneconfig.xml.

Anschließend erstellen Sie entweder einen neuen virtuellen Computer und verwenden die kopierte Festplatte, oder Sie importieren den exportieren Server mit dem Hyper-V-Manager oder der PowerShell. Beim Importieren wählen Sie die Option Virtuellen Computer kopieren aus. Starten Sie den Domänencontroller, liest er die Datei dccloneconfig.xml ein und bereitet sich selbst für das Klonen vor. Während des Windows-Starts erhalten Sie eine entsprechende Meldung. (mje)