Mit dem Core-Modus des Windows Server 2008 gibt es nun eine Version des Produkts, die ohne die vollständige Windows-GUI auskommt. Die Konsole wird zwar immer noch in einem Fenster ausgeführt. Die gesamten weiteren grafischen Administrationsprogramme fehlen aber und können nur über das Netzwerk oder die Befehlszeile genutzt werden.
In den meisten Fällen lassen sich Serverrollen über folgenden Befehl einrichten:
start /w ocsetup <Name des Dienstes>
Um einen Domänencontroller zu installieren, muss man dagegen mit
dcpromo /unattend:<Antwortdatei>
arbeiten. Es wird also das bekannte Programm für die Einrichtung eines Domänencontrollers verwendet – aber eben nicht mit dem Assistenten, sondern unter Verwendung einer vorher definierten Antwortdatei. Die Herausforderung liegt daher darin, zunächst eine solche Antwortdatei zu erstellen.
Die Struktur der Antwortdatei
Im Gegensatz zu vielen anderen Antwortdateien hat die Datei für die Installation des Active Directory eine sehr einfache Struktur. Es gibt nur einen Abschnitt, der mit[DCINSTALL] bezeichnet ist. In diesem Abschnitt finden sich alle Parameter für die Installation des Domänencontrollers. Eine vollständige Dokumentation aller Parameter gibt es im Artikel 947034 der Knowledge Base von Microsoft.
Dort sind auch mehrere allgemeine Beispiele für solche Antwortdateien zu finden, mit denen die verschiedenen Installationsszenarien für das Active Directory beschrieben werden. Nachfolgend finden sich konkrete Beispiele, in denen die wichtigsten Parameter noch einmal erläutert werden. Zu beachten ist, dass die Beispiele im genannten Knowledge Base-Artikel nicht unreflektiert übernommen werden dürfen. So ist eine DNS-Installation nicht für jeden Domänencontroller zwingend, wenn auch in vielen Fällen üblich.
Ansätze für die Erstellung
Um die Antwortdateien zu erstellen, gibt es drei Vorgehensweisen:
-
Man kann die Dateien manuell erstellen. Dazu muss man die Struktur der Dateien und die Parameter kennen.
-
Man kann die Beispieldateien aus der Knowledge Base kopieren und anpassen.
-
Man kann eine Installation eines vergleichbaren Domänencontrollers im grafischen Modus durchführen und am Ende von dcpromo.exe die gewählten Einstellungen gleich in eine Antwortdatei speichern lassen, die man dann nur noch modifiziert.
In allen Fällen handelt es sich um einfache Textdateien. Da der vollständige Dateiname als Parameter von dcpromo.exe angegeben wird, kann man eine mehr oder minder beliebige Endung verwenden. Es bietet sich an, die Dateien als txt zu speichern und den eigentlichen Dateinamen sprechend zu wählen, um einfach unterschiedliche Varianten von Antwortdateien identifizieren zu können.
Das Hinzufügen eines Domänencontrollers
Der häufigste Fall der Installation des Active Directory auf Servern im Core-Modus dürfte das Hinzufügen zusätzlicher Domänencontroller zu einer bestehenden Domäne sein. Eine Antwortdatei dafür kann wie folgt aussehen:
[DCINSTALL]
UserName= martink
UserDomain=kuppinger.intra
Password=!@10hKxp$
SiteName=Stuttgart
ReplicaOrNewDomain=replica
DatabasePath="C:\Windows\NTDS"
LogPath="D:\adlog"
SYSVOLPath="C:\Windows\Sysvol"
InstallDNS=yes
ConfirmGC=yes
SafeModeAdminPassword=$$!hF14K
RebootOnCompletion=yes
Die Liste der Parameter entspricht den Eingaben, die auch bei der grafischen Installation zu erledigen sind. Wichtig sind dabei vor allem die folgenden Punkte:
-
Der Administrator muss die Berechtigungen zum Hinzufügen von Servern in einer Domäne haben.
-
Der bei SiteName angegebene Standort muss bereits vorhanden sein.
-
Die Verzeichnisse, in denen das Active Directory, die Log-Dateien und das System Volume erstellt werden, sollten vorhanden sein, falls mit vollständigen Pfadnamen gearbeitet wird, die von den Standardwerten abweichen.
-
Der mit DNSInstall eingerichtete DNS-Dienst muss natürlich nicht zwingend eingerichtet werden.
-
Gleiches gilt für die Festlegung des Systems als Global Catalog Server, die per ConfirmGC erfolgt. Die beiden letztgenannten Parameter sind gegebenenfalls auf No zu setzen.
Da die Kennwörter in der Datei im Klartext eingegeben werden müssen, müssen Sie sehr vorsichtig mit diesen Dateien umgehen. Diese stellen faktisch ein erhebliches Sicherheitsrisiko dar. Die Alternative dazu ist die Verwendung eines Platzhalters *, so dass der Benutzer bei der Ausführung nach dem Kennwort gefragt wird. Das zeigen wir im folgenden Beispiel.
Untergeordnete Domänen
Der zweite wichtige Fall bei der Installation ist die Einrichtung einer untergeordneten Domäne in einem bestehenden Baum innerhalb eines Forests. Hier hat die Antwortdatei folgende Form:
[DCINSTALL]
ParentDomainDNSName=kuppinger.intra
UserName=administrator
UserDomain=kuppinger.intra
Password=*
NewDomain=beratung
ChildName=beratung.kuppinger.intra
SiteName=Stuttgart
DomainNetBiosName=BERATUNG
ReplicaOrNewDomain=domain
DomainLevel=2
DatabasePath="%systemroot%\NTDS"
LogPath="%systemroot%\NTDS"
SYSVOLPath="%systemroot%\SYSVOL"
InstallDNS=yes
CreateDNSDelegation=yes
DNSDelegationUserName= Administrator
DNSDelegationPassword= *
SafeModeAdminPassword==$$!hF14K
RebootOnCompletion=yes
Details zum Beispiel
In diesem Beispiel gibt es einige Abweichungen zum ersten Beispiel. So arbeitet es bei den Kennwörtern mit den Platzhaltern – bis auf das Kennwort für die Wiederherstellung, das bei SafeModeAdminPassword definiert ist. Bei letzterem werden laut Dokumentation keine Platzhalter unterstützt.
Bei den Pfadangaben kommt die Variable %systemroot% zum Einsatz, so dass Windows auf die Standardverzeichnisse zugreift. Allerdings ist eine Trennung von Verzeichnis-Datenbank und Log-Datei auf unterschiedliche physische Festplatten für den produktiven Betrieb empfehlenswert.
Bei den Namen sind zusätzliche Informationen wie der Domänenname sowie der DNS- und NetBIOS-Name für die Domäne anzugeben.
Ein wichtiger Parameter ist auch DomainLevel. Hier kann das Funktionsniveau der Domäne definiert werden. Folgende Werte werden unterstützt:
-
0: Windows 2000 Server im nativen Modus
-
2: Windows Server 2003-Modus
-
3: Windows Server 2008-Modus
Wichtig sind auch die Parameter zur DNS-Delegation. Hier legen Sie zum einen fest, ob mit einer solchen Delegation gearbeitet werden soll. Dabei wird in der übergeordneten Domäne eine Referenz für diese Domäne erstellt. Da die dafür erforderlichen Berechtigungen gegebenenfalls ein anderer Administrator hat, können Sie dafür ein gesondertes Benutzerkonto angeben.
Den Domänencontroller-Dienst entfernen
Das Active Directory lässt sich über Antwortdateien nicht nur installiert, sondern auch wieder entfernt werden. Ein Beispiel für eine Antwortdatei findet sich nachfolgend.
[DCINSTALL]
UserName=administrator
UserDomain=kuppinger.intra
Password=*
AdministratorPassword==$$!hF14K
RemoveApplicationPartitions=yes
RemoveDNSDelegation=yes
DNSDelegationUserName=administrator
DNSDelegationPassword=*
RebootOnCompletion=yes
Die Parameter sind zum größten Teil identisch mit denen, die auch bei der Einrichtung von Domänen verwendet werden. Neu sind nur zwei Parameter:
-
RemoveApplicationPartitions: Damit werden Anwendungspartitionen entfernt, die nicht mehr benötigt werden.
-
RemoveDNSDelegation: Dieser Eintrag entfernt die Delegierung von übergeordneten DNS-Zonen. Entsprechend muss hier wieder der Benutzername des dafür berechtigten Administrators angegeben werden.
Beide Parameter können auf no gesetzt bleiben, wenn nur einer von mehreren Domänencontrollern eine Domäne entfernt wird.
Über die beschriebenen Fälle hinaus lassen sich auch alle weiteren Szenarien wie die Einrichtung von neuen Bäumen in einem Forest, die Installation von einem Medium oder die Einrichtung von Read Only-Domänencontrollern durchführen. Hier wird in Ergänzung auf den eingangs genannten Knowledge Base-Artikel von Microsoft verwiesen. (Kuppinger/mha)