Workshop

Windows Server 2008 - Active Directory Installation

06.08.2007 von Martin Kuppinger
Die Installation des Active Directory ändert sich mit dem Windows Server 2008. Bei der neuen Version des Windows Server 2008 muss zunächst die Rolle installiert werden, bevor der Domänencontroller konfiguriert werden kann.

Mit dem neuen Konzept der Serverrollen ändert sich nun doch einiges. Denn nun muss zunächst eine Rolle eingerichtet werden, bevor der – überarbeitete – Assistent für die Konfiguration des Active Directory lädt.

Übersichtlich: Der Server-Manager des Windows Server 2008 installiert neue Rollen und Funktionen.

Die Einrichtung von Rollen erfolgt beim Windows Server 2008 über den vollständig überarbeiteten, erweiterten und nun wirklich produktiv nutzbaren Server-Manager. Dort können neue Rollen und Serverfunktionen installiert werden. Das ist wesentlich übersichtlicher als bisher, da mit dem Server-Manager, der Systemsteuerung und manchmal auch zusätzlichen Installationswerkzeugen viele unterschiedliche Schnittstellen zum Einsatz kamen.

Rollen hinzufügen

Um eine neue Rolle einzurichten, verwenden Sie den Befehl Rollen hinzufügen im Bereich Rollenübersicht auf der Startseite des Server-Managers, insgesamt gibt es dort immerhin 17 verschiedene Rollen. Für einen Domänencontroller wird die Rolle Active Directory-Domänendienste benötigt.

Vielfältig: Beim Windows Server 2008 werden insgesamt 17 verschiedene Rollen bereitgestellt, die auf einem Server eingerichtet werden können.

Nach der Auswahl wird noch eine Information zu den Active Directory-Domänendiensten angezeigt, bevor die eigentliche Installation startet. Diese dauert wenige Minuten und erfordert keine zusätzlichen Konfigurationsinformationen.

Die Rollen kann anschließend in der Liste der Rollen ausgewählt werden. Im angezeigten Fenster – dem Bereich Rollen – Active Directory-Domänendienste im Server-Manager – findet sich anschließend oben der Link Führen Sie den Installations-Assistenten für die Active Directory-Domänendienste aus. Dabei handelt es sich um die neue Variante des schon früher genutzten Assistenten.

Die Einrichtung des Active Directory

Dieser Assistent kann in einem erweiterten Modus verwendet werden, auswählbar ist dieser auf der Startseite. Der erweiterte Modus stellt zusätzliche Optionen zur Verfügung.

Im ersten Schritt muss in dem Assistenten in gewohnter Weise gewählt werden, ob es sich um eine Domäne in einer neuen oder bestehenden Gesamtstruktur handelt. Bei der Installation des ersten Domänencontrollers muss eine neue Gesamtstruktur erstellt werden. Anschließend ist ein Name für die erste Domäne in dieser Struktur erforderlich.

Flexibel: Der Windows Server 2008 unterstützt eine Reihe verschiedener Funktionsebenen für die Gesamtstrukturen. In reinen Windows Server 2008-Umgebungen sollte die noch als „Longhorn“ bezeichnete Funktionsebene gewählt werden.

Der nächste Schritt ist die Auswahl der Funktionsebene des Forests (Gesamtstruktur). Was hier gewählt wird, hängt von den eingesetzten Server-Systemen ab. Soweit nur Domänencontroller mit dem Windows Server 2008 enthalten sind, sollte die Funktionsebene Windows Server Codename „Longhorn“ gewählt werden (zukünftiger Name Windows Server 2008). Damit stehen alle Funktionen dieser Server-Version zur Verfügung.

Neu ist auch, dass im Anschluss daran weitere Optionen für den Domänencontroller festgelegt werden können. Dieser kann gleich als DNS-Server eingerichtet werden, sollte in der Domäne noch kein DNS-Server vorhanden sein.

Der erste Domänencontroller in einem Forest ist außerdem zwangsläufig ein Global Catalog-Server. Diese Funktion sollte er allerdings nur übernehmen, bis es einen zweiten Domänencontroller im Forest am gleichen Standort gibt.

Die dritte Option ist Schreibgeschützter Domänencontroller (RODC). Dieser Read Only Domain Controller kann nicht auf dem ersten Domänencontroller einer Domäne eingerichtet werden.

DNS-Installation und weitere Schritte

Bei der Installation von DNS ist eine Grundvoraussetzung, dass der Server über eine statische IP-Adresse verfügt. Die TCP/IP-Konfiguration lässt sich aber bei Bedarf während der Einrichtung des Active Directory angepassen.

Falls mit Zonennamen wie .local für Testumgebungen gearbeitet wird, wird darüber hinaus noch eine Warnmeldung bezüglich der Delegierung angezeigt. Man kann den Vorgang der DNS-Installation in diesem Fall dennoch fortsetzen.

Konfigurierbar: Beim Windows Server 2008 kann der Speicherort für das System Volume (SYSVOL) flexibel konfiguriert werden.

Der nächste Schritt ist die Festlegung der Speicherorte. Neu ist hier, dass auch der Speicherort für das System Volume (SYSVOL) variabel sind. Das ist dann interessant, wenn man mit speziellen Partitionierungen bei einem Server arbeitet oder die Last für die Replikation der dort gespeicherten Informationen auf eine andere physische Festplatte als die für die Datenbankordner und Protokolldateien des Active Directory verlagern möchte.

Schließlich fordert das System noch die Vergabe eines Kennworts für die Wiederherstellung des Active Directory, bevor die eigentliche Installation beginnt. Diese dauert wie bisher einige Minuten. Ein Unterschied ist dabei, dass die DNS-Installation nun erst nach Eingabe aller Parameter durchgeführt wird, während sie bis zum Windows Server 2003 direkt nach der Entscheidung zur Einrichtung eines DNS-Servers startete.

Weitere Konfigurationsschritte

Nach der Installation der Active Directory-Dienste, die übrigens auch die Dateidienste automatisch aktiviert, fällt auf, dass keine der neu installierten Rollen korrekt ausgeführt wird respektive dass es bei allen Fehlermeldungen gibt. Das Problem dahinter ist, dass nicht alle erforderlichen Dienste für das Active Directory korrekt starten.

Genauer gesagt, klappt der Start wegen den beiden Diensten

nicht. Der zweite Dienst wird allerdings nur beendet, weil der Dienst Dateireplikation nicht läuft. Dessen Startart ist auf Manuell gesetzt. Wird er von Hand aufgerufen, oder die Startart auf Automatisch gesetzt, entfallen die Fehlermeldungen.

Die Steuerung der Domänencontroller-Funktionalität

Neu beim Windows Server 2008 sind die Steuerungsfunktionen für die Domänencontroller-Funktionalität im Server-Manager. Diese finden sich bei Rollen – Active Directory-Domänendienste. Vergleichbare Steuerungsmöglichkeiten gibt es auch für alle anderen Rollen und Funktionen auf einem Server.

Übersichtlich: Die Steuerung der Dienste hinter dem Active Directory kann nun über eine zentrale Schnittstelle im Server-Manager erfolgen.

Im oberen Bereich dieser Schnittstelle finden sich die Systemdienste. Hier ist gleich erkennbar, welche Dienste das Active Directory eigentlich benötigt. Interessant ist auch, dass alle Dienste gezielt beendet werden – einschließlich der Kerndienste Active Directory-Domänendienste und Kerberos-Schlüsselverteilungscenter. Das erleichtert die Wartung von Domänencontrollern, weil diese nicht mehr zwingend im Reparaturmodus (Wiederherstellungsmodus) durchgeführt werden muss.

Darunter findet sich eine Übersicht über die Rollendienste. Hier wird sichtbar, dass das Active Directory nicht alle Rollendienste automatisch installiert. Die Identitätsverwaltung von UNIX ist ein Add-On, das von dieser Stelle aus mit weiteren Teilfunktionen wie dem NIS-Server und der Kennwortsynchronisation zwischen dem Active Directory und UNIX eingerichtet werden kann.

Schließlich gibt es im unteren Bereich noch Links zu Ressourcen und Hinweise für die Optimierung der Servers mit dieser Rolle. Diese sind recht umfassend und gehen bis in Detailbereiche der Serverkonfiguration wie die optimale Zuweisung von Betriebsmaster-Rollen (FSMOs, Flexible Single Master Operations).

Domänencontroller-Rolle entfernen

Die Rolle eines Active Directory-Servers lässt sich auch wieder zurücksetzen. Dazu muss der Server zunächst heruntergestuft werden. Dazu startet man dcpromo.exe manuell. Falls es sich um einen Global Catalog-Server handelt, zeigt das System eine Warnmeldung. Ansonsten kann festgelegt werden, ob es sich um den letzten Domänencontroller einer Domäne handelt und die Domäne gleich gelöscht werden soll.

Gelöscht: Über den Assistenten zum Installieren von Active Directory-Domänendiensten lässt sich die Domänencontroller-Funktionalität auch wieder von einem Server entfernen.

Außerdem lassen sich auch alle Anwendungsverzeichnispartitionen des Domänencontrollers löschen. Das bietet sich an, um keine nicht mehr benötigten Daten und Datenstrukturen zu hinterlassen. Diese Option steht nur beim Entfernen des letzten Domänencontrollers einer Domäne zur Verfügung. Vor dem Löschen ist noch ein neues Administratorkennwort erforderlich.

Interessant dabei ist, dass die Komplexitätsanforderungen geprüft werden, während bei der ersten Festlegung eines Kennworts nach der Installation keine solche Prüfung erfolgt.

Rücksetzen der Domänendienste

Nach einem Neustart kann auch die Rolle der Active Directory-Domänendienste zurück gesetzt werden. Dazu verwendet der Server-Manager bei Rollenübersicht die Option Rollen entfernen. Nach der Startseite ist es möglich, sämtliche Rollen zu wählen, die entfernt werden sollen.

Einfach zu entfernen: Rollen lassen sich über einen Assistenten jederzeit wieder deinstallieren.

Falls ein lokaler DNS-Server installiert ist, müssen zunächst die Active Directory-Domänendienste und anschließend die Rolle des DNS-Servers entfernt werden. Nach dem Entfernen des Rolle Active Directory-Domänendienste ist ein Neustart erforderlich. Anschließend lädt sichein Assistent, der die Konfiguration analysiert und weitere erforderliche Konfigurationsschritte für das Entfernen durchführt. (mja)