Identitätsmanagement mit Windows Server 2016 E-Book

Andrew Warren betreibt sein eigenes Schulungs- und Beratungsunternehmen in Großbritannien. Er hat als Fachmann für Kurse zu Windows Server 2016, als technischer Leiter für Kurse zu Windows 10 und als Mitentwickler von TechNet-Sitzungen zu Microsoft Exchange Server gearbeitet und verfügt über mehr als 30 Jahre Erfahrung in der IT-Branche. Zu Hause ist er im ländlichen Somerset.

Identitätsmanagement mit Windows Server 2016

Original Microsoft Prüfungstraining 70-742

Andrew Warren

Andrew James Warren

Lektorat: Sandra Bollenbacher

Übersetzung & Satz: G&U Language & Publishing Services GmbH, www.gundu.com

Copy-Editing: Petra Heubach-Erdmann, Düsseldorf

Herstellung: Susanne Bröckelmann

Umschlaggestaltung: Helmut Kraus, www.exclam.de

Druck und Bindung: M.P. Media-Print Informationstechnologie GmbH, 33100 Paderborn

Bibliografische Information der Deutschen Nationalbibliothek

Die Deutsche Nationalbibliothek verzeichnet diese Publikation in der Deutschen Nationalbibliografie; detaillierte bibliografische Daten sind im Internet über http://dnb.d-nb.de abrufbar.

ISBN:

Print     978-3-86490-443-1

PDF      978-3-96088-235-0

ePub    978-3-96088-236-7

mobi    978-3-96088-237-4

Translation Copyright für die deutschsprachige Ausgabe © 2017 dpunkt.verlag GmbH Wieblinger Weg 17

69123 Heidelberg

Authorized translation from the English language edition, entitled EXAM REF 70-742 IDENTITY WITH WINDOWS SERVER 2016, 1st Edition by ANDREW WARREN, published by Pearson Education, Inc, publishing as Microsoft Press, Copyright © 2017 by Pearson Education Inc.

All rights reserved. No part of this book may be reproduced or transmitted in any form or by any means, electronic or mechanical, including photocopying, recording or by any information storage retrieval system, without permission from Pearson Education, Inc.

German language edition published by DPUNKT.VERLAG GMBH, Copyright © 2017

ISBN of the English language edition: 978-0-7356-9881-9

Die vorliegende Publikation ist urheberrechtlich geschützt. Alle Rechte vorbehalten. Die Verwendung der Texte und Abbildungen, auch auszugsweise, ist ohne die schriftliche Zustimmung des Verlags urheberrechtswidrig und daher strafbar. Dies gilt insbesondere für die Vervielfältigung, Übersetzung oder die Verwendung in elektronischen Systemen.

Es wird darauf hingewiesen, dass die im Buch verwendeten Soft- und Hardware-Bezeichnungen sowie Markennamen und Produktbezeichnungen der jeweiligen Firmen im Allgemeinen warenzeichen-, marken- oder patentrechtlichem Schutz unterliegen.

Alle Angaben und Programme in diesem Buch wurden mit größter Sorgfalt kontrolliert. Weder Autor noch Verlag können jedoch für Schäden haftbar gemacht werden, die in Zusammenhang mit der Verwendung dieses Buchs stehen.

5 4 3 2 1 0

Inhaltsverzeichnis

Einführung

Der Aufbau dieses Buches

Microsoft-Zertifizierungen

Danksagungen

Kostenlose E-Books von Microsoft Press

Microsoft Virtual Academy

Schnellzugriff auf Onlinequellen

Errata, Aktualisierungen und Unterstützung

Sagen Sie uns Ihre Meinung

Bleiben Sie in Verbindung

Wichtig: Wie Sie sich mit diesem Buch auf die Prüfung vorbereiten

Kapitel 1

Active Directory-Domänendienste installieren und konfigurieren

Prüfungsziel 1.1:Installieren und Konfigurieren von Domänencontrollern

Grundlagen von AD DS

Installieren einer neuen Gesamtstruktur

Hinzufügen und Entfernen von Domänencontrollern

Installieren von AD DS auf einer Server Core-Installation

Installieren eines Domänencontrollers mit der Option »Installieren von Medium«

Installieren und Konfigurieren eines schreibgeschützten Domänencontrollers

Konfigurieren eines globalen Katalogservers

Klonen von Domänencontrollern

Aktualisieren von Domänencontrollern

Übertragen und Übernehmen von Betriebsmasterrollen

Lösen von Problemen bei der Registrierung von DNS-SRV-Einträgen

Prüfungsziel 1.2:Erstellen und Verwalten von Active Directory-Benutzern und -Computern

Erstellen, Kopieren, Konfigurieren und Löschen von Benutzern und Computern

Durchführen eines Offline-Domänenbeitritts

Einrichten von Benutzerrechten

Durchführen von Active Directory-Massenoperationen

Prüfungsziel 1.3:Erstellen und Verwalten von Active Directory-Gruppen und -Organisationseinheiten

Erstellen und Verwalten von Gruppen

Erstellen und Verwalten von Organisationseinheiten

Delegieren der Verwaltung von Active Directory-Objekten

Kapitel 2

Verwaltung und Wartung von AD DS

Prüfungsziel 2.1:Einrichten der Dienstauthentifizierung und von Kontorichtlinien

Erstellen und Konfigurieren von MSAs und gMSAs

Verwalten von SPNs

Einrichten der eingeschränkten Kerberos-Delegierung

Einrichten von virtuellen Konten

Einrichten von Kontorichtlinien

Einrichten und Anwenden von Kennworteinstellungsobjekten

Delegieren der Verwaltung von Kennworteinstellungen

Prüfungsziel 2.2:Warten von Active Directory

Offline-Verwaltung von Active Directory

Sichern und Wiederherstellen von Active Directory

Verwalten von schreibgeschützten Domänencontrollern

Verwalten der AD DS-Replikation

Prüfungsziel 2.3:Konfigurieren von Active Directory in einer komplexen Unternehmensumgebung

Einrichten einer AD DS-Infrastruktur mit mehreren Domänen und Gesamtstrukturen

Bereitstellen von Windows Server 2016-Domänencontrollern in einer vorhandenen AD DS-Umgebung

Aktualisieren von vorhanden Domänen und Gesamtstrukturen

Einrichten der Domänen- und Gesamtstrukturfunktionsebenen

Einrichten mehrerer Suffixe für Benutzerprinzipalnamen

Einrichten von Vertrauensstellungen

Einrichten von AD DS-Standorten und -Subnetzen

Kapitel 3

Erstellen und Verwalten von Gruppenrichtlinien

Prüfungsziel 3.1:Erstellen und Verwalten von Gruppenrichtlinienobjekten

Einrichten mehrerer lokaler Gruppenrichtlinien

Überblick über Domänengruppenrichtlinienobjekte

Verwalten von Starter-Gruppenrichtlinienobjekten

Verknüpfen von Gruppenrichtlinienobjekten

Sichern, Wiederherstellen, Importieren und Kopieren von Gruppenrichtlinienobjekten

Erstellen und Einrichten einer Migrationstabelle

Zurücksetzen von Standard-Gruppenrichtlinienobjekten

Delegieren der Verwaltung von Gruppenrichtlinien

Erkennen von Integritätsproblemen mithilfe des Gruppenrichtlinien-Infrastrukturstatus

Prüfungsziel 3.2:Einrichten der Verarbeitung von Gruppenrichtlinien

Festlegen der Verarbeitungsreihenfolge und des Vorrangs

Einrichten der Vererbung

Einrichten der Sicherheits- und WMI-Filterung

Einrichten der Loopbackverarbeitung

Einrichten und Verwalten der Verarbeitung über langsame Verbindungen und der Zwischenspeicherung

Einrichten des Verhaltens clientseitiger Erweiterungen

Erzwingen der Aktualisierung von Gruppenrichtlinien

Prüfungsziel 3.3:Einrichten von Gruppenrichtlinieneinstellungen

Steuern der Softwareinstallation

Einrichten von Skripts

Importieren von Sicherheitsvorlagen

Einrichten der Ordnerumleitung

Verwenden von administrativen Vorlagen

Prüfungsziel 3.4:Einrichten von Gruppenrichtlinienpräferenzen

Einrichten von Gruppenrichtlinienpräferenzen

Anwendung auf spezifische Elemente

Kapitel 4

Einrichten von Active Directory-Zertifikatdiensten

Prüfungsziel 4.1:Installieren und Einrichten von Active Directory-Zertifikatdiensten

Entscheidung zwischen eigenständigen und Unternehmenszertifizierungsstellen

Installieren von eigenständigen Zertifizierungsstellen

Installieren von Unternehmenszertifizierungsstellen

Installieren von Offlinezertifizierungsstellen

Installieren und Einrichten eines Online-Responders

Trennung der Verwaltungsrollen

Sichern und Wiederherstellen von Zertifizierungsstellen

Prüfungsziel 4.2:Verwalten von Zertifikaten

Verwalten von Zertifikatvorlagen

Bereitstellen, Validieren und Sperren von Zertifikaten

Archivieren und Wiederherstellen von Schlüsseln

Kapitel 5

Identitätsverbund und Zugriffslösungen

Prüfungsziel 5.1:Installieren und Einrichten der Active Directory-Verbunddienste

Überprüfen der Voraussetzungen für Verbunddienste

Installieren der Verbunddienste

Einrichten der Verbunddienste

Einrichten der anspruchsgestützten Authentifizierung

Einrichten von Authentifizierungsrichtlinien

Einrichten der Geräteregistrierung

Einrichtung zur Verwendung von Microsoft Azure und Microsoft Office 365

Einrichten der Verbunddienste zur Authentifizierung von Benutzern in LDAP-Verzeichnissen

Aktualisieren und Migrieren von früheren Verbunddienst-Bereitstellungen auf Windows Server 2016

Prüfungsziel 5.2:Verwenden des Webanwendungsproxys

Installieren und Einrichten des Webanwendungsproxys

Einbinden des Webanwendungsproxys in Active Directory-Verbunddienste

Einrichten des Webanwendungsproxys im Pass-through-Modus

Veröffentlichen von Remotedesktopgateway-Anwendungen

Prüfungsziel 5.3:Installieren und Einrichten der Active Directory-Rechteverwaltungsdienste

Überblick über AD RMS

Bereitstellen eines AD RMS-Servers

Verwalten von Vorlagen für Benutzerrechterichtlinien

Einrichten von Ausschlussrichtlinien

Sichern und Wiederherstellen von AD RMS

Index

Einführung

Bei der Prüfung 70-742 geht es um die Identitätsfunktionen von Windows Server 2016. Sie deckt die Installation und Konfiguration der Active Directory-Domänendienste (AD DS) sowie die Verwaltung und Wartung von AD DS einschließlich der Konfiguration für komplexe Unternehmensumgebungen ab. Einen wichtigen Bestandteil der Prüfung bildet das Erstellen und Verwalten von Gruppenrichtlinien. Des Weiteren werden die Implementierung der Active Directory-Zertifikatdienste (AD CS) sowie Identitätsverbund- und Zugriffslösungen wie die Active Directory-Verbunddienste (AD FS), der Webanwendungsproxies und die Active Directory-Rechteverwaltungsdienste (AD RMS) behandelt.

Dieses Buch richtet sich an AD DS-Administratoren, die eine Schulung in den Identitätsund Zugriffstechnologien für Windows Server 2016 benötigen. Es erklärt, wie Sie AD DS in einer verteilten Umgebung bereitstellen und einrichten und wie Sie Gruppenrichtlinien einsetzen. Außerdem wird die Bereitstellung von AD FS, AD RMS und AD CS erklärt.

Zwar deckt dieses Buch alle wichtigen Themenbereiche der Prüfung ab, aber nicht jede einzelne Prüfungsfrage. Nur das Microsoft-Prüfungsteam hat Zugang zu den Prüfungsfragen, und Microsoft fügt regelmäßig neue Fragen hinzu, sodass es nicht möglich ist, sämtliche Fragen zu behandeln. Betrachten Sie dieses Buch als Ergänzung zu Ihren praktischen Erfahrungen mit unserem Lernmaterial. Wenn Sie in diesem Buch auf ein Thema stoßen, in dem Sie sich nicht richtig firm fühlen, nehmen Sie sich die Zeit, es anhand der Links zu weiteren Informationsquellen genauer zu studieren. Auf MSDN und TechNet sowie in Blogs und Foren sind hervorragende Informationen zu finden.

Der Aufbau dieses Buches

Dieses Buch ist nach den Prüfungszielen gegliedert, die für die Prüfung veröffentlicht wurden. Diese Liste können Sie für jede Prüfung von der Microsoft Learning-Website unter https://aka.ms/exam-list abrufen. Jedes Kapitel in diesem Buch entspricht einem größeren Themengebiet der Liste, und die einzelnen technischen Aufgaben innerhalb des Themengebiets bestimmen den Aufbau des Kapitels.

Microsoft-Zertifizierungen

Durch Microsoft-Zertifizierungen können Sie sich auszeichnen. Diese Urkunden beweisen, dass Sie eine breite Palette von Fähigkeiten und Erfahrungen mit aktuellen Produkten und Technologien von Microsoft haben. Die Prüfungen und zugehörigen Zertifizierungen wurden entwickelt, um Ihre Beherrschung entscheidender Fertigkeiten für Entwurf und Bereitstellung, Implementierung oder Unterstützung von Lösungen mit Microsoft-Produkten und -Technologien am Firmensitz und in der Cloud zu messen. Eine Zertifizierung bietet eine Reihe von Vorteilen für Einzelpersonen sowie für Arbeitgeber und Organisationen.

Danksagungen

Andrew Warren Wenn man beginnt, ein Buch zu schreiben, sitzt man erst einmal eine Weile da und starrt den blinkenden Cursor auf dem Computerbildschirm an. Schließlich dämmert es einem, dass sich das Buch nicht von selbst schreibt, sodass man schließlich anfängt. Der Autor ist jedoch nur das erste Glied der Kette. Ohne meine Lektoren Trina MacDonald und das Pearson-Team würde mein Cursor immer noch blinken. Ich möchte auch meiner Frau und meiner Tochter dafür danken, dass sie die Espressomaschine immer betriebsbereit und mit Kaffeebohnen gefüllt gehalten haben.

Kostenlose E-Books von Microsoft Press

Die kostenlosen E-Books von Microsoft Press decken eine breite Palette von Themen ab und bieten sowohl einen technischen Überblick als auch ausführliche Informationen zu besonderen Themen (in englischer Sprache). Verfügbar sind sie als PDF EPUB und im Mobi-Format für den Kindle. Herunterladen können Sie sie von folgender Adresse:

https://aka.ms/mspressfree

Schauen Sie ruhig häufiger dort vorbei, um sich anzusehen, was es Neues gibt!

Microsoft Virtual Academy

Erweitern Sie Ihre Kenntnisse über Microsoft-Technologien mit kostenlosen, expertengeführten Online-Schulungen an der Microsoft Virtual Academy (MVA). Sie bietet eine umfassende Sammlung von Videos sowie Live-Veranstaltungen und mehr, um Ihnen zu helfen, die jüngsten Technologien zu erlernen und sich auf die Zertifizierungsprüfungen vorzubereiten. Weitere Informationen erhalten Sie unter folgender Adresse:

https://www.microsoftvirtualacademy.com

Schnellzugriff auf Onlinequellen

In diesem Buch finden Sie sehr viele Verweise auf empfehlenswerte Webseiten, auf denen Sie weitere Informationen erhalten können. Es kann manchmal mühselig sein, diese Webadressen (oder URLs) in den Browser einzugeben. Daher haben wir eine Gesamtliste zusammengestellt, die Sie als Leser der gedruckten Ausgabe dieses Buches während der Lektüre nutzen können. Diese Liste können Sie herunterladen von:

https://www.dpunkt.de/70-742

Die URLs sind nach Kapitel und Überschrift geordnet. Wenn Sie in diesem Buch auf einen URL stoßen, finden Sie in der Liste den zugehörigen Hyperlink, über den Sie die Webseite direkt aufsuchen können.

Errata, Aktualisierungen und Unterstützung

Wir haben jede erdenkliche Anstrengung unternommen, um die Genauigkeit dieses Buches und der begleitenden Inhalte zu gewährleisten. Aktualisierungen zu diesem Buch, etwa eine Liste eingereichter Errata (zum Originalbuch) und zugehöriger Korrekturen, finden Sie unter folgender Adresse:

https://aka.ms/examref742/errata

Wenn Sie zusätzliche Unterstützung benötigen, wenden Sie sich per E-Mail an den Microsoft Press Book Support unter [email protected] (bitte in englischer Sprache) oder in Deutsch an den dpunkt.verlag unter [email protected].

Beachten Sie, dass wir über diese Adressen keine Produktunterstützung für Microsoft-Software und Hardware bieten. Dazu wenden Sie sich bitte an:

https://support.microsoft.com

Sagen Sie uns Ihre Meinung

Ihre Zufriedenheit hat für uns bei Microsoft Press den höchsten Stellenwert, weshalb Ihre Rückmeldung von uns von großem Wert ist. Bitte teilen Sie uns unter folgender Adresse mit, was Sie von diesem Buch halten (bitte in Englisch):

https://aka.ms/tellpress

Da wir wissen, wie kostbar Ihre Zeit ist, haben wir uns kurz gefasst und nur wenige Fragen gestellt. Ihre Antworten werden direkt an die Redakteure bei Microsoft Press weitergeleitet. (Es werden keine persönlichen Daten von Ihnen abgefragt.) Vielen Dank im Voraus für Ihre Mitarbeit!

Bleiben Sie in Verbindung

Wir möchten mit Ihnen im Gespräch bleiben. Sie finden uns auf Twitter unter:

http://twitter.com/MicrosoftPress (Englisch)

https://twitter.com/dpunkt_verlag (Deutsch)

Wichtig: Wie Sie sich mit diesem Buch auf die Prüfung vorbereiten

In den Zertifizierungsprüfungen werden Ihre praktischen Erfahrungen und Produktkenntnisse bestimmt. Verwenden Sie dieses Buch, um für sich selbst festzustellen, ob Sie schon zur Prüfung bereit sind, indem Sie Ihr Wissen über die dort abgefragten Themen kontrollieren. Bestimmen Sie, in welchen Themen Sie sich schon gut auskennen und in welchen Sie noch mehr Erfahrung benötigen. Um Ihre Kenntnisse in einzelnen Gebieten aufzufrischen, haben wir Kästen mit dem Titel »Weitere Informationen« hinzugefügt, in denen wir Sie auf ausführlichere Informationen außerhalb dieses Buches aufmerksam machen.

Dieses Buch ist kein Ersatz für praktische Erfahrung und auch nicht geeignet, um sich völlig neue Fähigkeiten anzueignen.

Wir empfehlen Ihnen, Ihre Prüfungsvorbereitung durch eine Kombination der verfügbaren Lernmaterialien und Kurse abzurunden. Mehr über Präsenzschulungen erfahren Sie unter https://www.microsoft.com/learning. Für viele Prüfungen gibt es auch offizielle Übungstests unter https://aka.ms/practicetests. Kostenlose Online-Kurse und Live-Veranstaltungen der Microsoft Virtual Academy finden Sie unter https://www.microsoftvirtualacademy.com.

Dieses Buch ist nach den Prüfungszielen gegliedert, die für die Prüfung veröffentlicht wurden. Diese Liste können Sie für jede Prüfung von der Microsoft Learning-Website unter https://aka.ms/exam-list abrufen.

Beachten Sie, dass dieses Buch auf der Grundlage öffentlich verfügbarer Informationen und der eigenen Erfahrungen des Autors geschrieben wurde. Um Betrug während der Prüfung auszuschließen, haben auch unsere Autoren keinen Zugang zu den Prüfungsfragen.

KAPITEL 1

Active Directory-Domänendienste installieren und konfigurieren

Die Active Directory-Domänendienste (AD DS) bilden den Grundstein der Identitäts- und Zugriffslösungen in Windows Server 2016. Es ist daher wichtig, sich mit der Einrichtung einer AD DS-Infrastruktur vertraut zu machen, um die Identitätsbedürfnisse Ihrer Organisation erfüllen zu können.

In diesem Kapitel sehen wir uns an, wie Sie Domänencontroller installieren und konfigurieren und wie Sie Benutzer, Gruppen, Computer und Organisationseinheiten erstellen und einrichten. Dies sind grundlegende Aufgaben für die Einrichtung von AD DS.

In diesem Kapitel behandelte Prüfungsziele:

Installieren und Konfigurieren von Domänencontrollern

Erstellen und Verwalten von Active Directory-Benutzern und -Computern

Erstellen und Verwalten von Active Directory-Gruppen und -Organisationseinheiten

Prüfungsziel 1.1:Installieren und Konfigurieren von Domänencontrollern

Domänencontroller haben die Windows Server 2016-Rolle AD DS inne und stellen Authentifizierungs- und zugehörige Dienste für die Computer und sonstigen Netzwerkgeräte Ihrer Organisation bereit. Bevor Sie sich der Bereitstellung von AD DS-Domänencontrollern widmen können, müssen Sie jedoch zunächst die Grundlagen von AD DS kennen. Dazu gehören auch Grundbegriffe wie Gesamtstrukturen, Strukturen, Domänen, Sites und Organisationseinheiten.

Grundlagen von AD DS

AD DS besteht sowohl aus logischen als auch aus physischen Komponenten. Physische Komponenten sind Dinge, die Sie anfassen können, also beispielsweise ein Domänencontroller, wohingegen es sich bei einer AD DS-Gesamtstruktur um eine immaterielle, logische Komponente handelt. AD DS umfasst die folgenden logischen Komponenten:

Gesamtstruktur

   Eine Gesamtstruktur ist eine Zusammenstellung von AD DS-Domänen, die ein gemeinsames Schema nutzen und über automatisch erstellte bidirektionale Vertrauensstellungen aneinander gebunden sind. Die meisten Organisationen richten AD DS mit einer einzigen Gesamtstruktur ein. Unter folgenden Umständen kann es jedoch nötig sein, mehrere Gesamtstrukturen zu verwenden:

Es ist eine vollständige administrative Trennung zwischen einzelnen Teilen der Organisation erforderlich.

In einzelnen Teilen der Organisation müssen im AD DS-Schema unterschiedliche Objekttypen und Attribute verwendet werden.

Domäne

   Eine Domäne ist eine logische Verwaltungseinheit, die Benutzer, Gruppen, Computer und andere Objekte enthält. Je nach den Bedürfnissen der Organisation können mehrere Domänen zu ein und derselben Gesamtstruktur gehören, aber auch verschiedenen Gesamtstrukturen zugeschlagen werden. Die Domänenstruktur wird durch Über-/Unterordnungs- und Vertrauensbeziehungen definiert.

PRÜFUNGSTIPP

Da für alle Domänen in einer Gesamtstruktur derselbe Gesamtstrukturadministrator zuständig ist – nämlich die universelle Sicherheitsgruppe Organisations-Admins –, kann mit Domänen keine administrative Trennung erreicht werden. Um eine vollständige administrative Trennung zu erreichen, müssen Sie mehrere AD DS-Gesamtstrukturen einrichten.

Struktur

   Eine Struktur ist eine Zusammenstellung von AD DS-Domänen mit einer gemeinsamen Stammdomäne und einem zusammenhängenden Namensraum. Beispielsweise weisen

sales.adatum.com

und

marketing.adatum.com

die gemeinsame Stammdomäne

adatum.com

auf und teilen sich den zusammenhängenden Namensraum

adatum.com

. Eine AD DS-Gesamtstruktur kann aus mehreren Strukturen, aber auch nur aus einer einzigen bestehen. Ein Grund für die Verwendung mehrerer Strukturen kann das Erfordernis sein, mehrere logische Namensräume in der Organisation vorzuhalten, z. B. aufgrund einer Fusion oder Akquise.

Schema

   Das AD DS-Schema ist die Zusammenstellung der Objekttypen und ihrer Eigenschaften oder Attribute, die bestimmt, welche Arten von Objekten Sie in Ihrer AD DS-Gesamtstruktur erstellen, speichern und verwalten können. Ein logischer Objekttyp ist beispielsweise der Benutzer, zu dessen Eigenschaften ein vollständiger Name, eine Abteilung und ein Kennwort gehören. Die Beziehung zwischen den Objekten und ihren Attributen wird im Schema beschrieben. Alle Domänencontroller in einer Gesamtstruktur verfügen über ein Exemplar des Schemas.

Organisationseinheit

   Eine Organisationseinheit ist ein Container in einer Domäne, der Benutzer, Gruppen, Computer und andere Organisationseinheiten enthält. Organisationseinheiten dienen zur Vereinfachung der Verwaltung. Um ein administratives Recht für mehrere Objekte zuzuweisen, können Sie einfach die Objekte in einer Organisationseinheit gruppieren und das Recht für diese Einheit zuweisen. Des Weiteren können Sie Gruppenrichtlinienobjekte (Group Policy Objects, GPOs) nutzen, um Benutzer- und Computereinstellungen zu konfigurieren, und die GPO-Einstellungen mit einer Organisationseinheit verknüpfen, was den Konfigurationsvorgang vereinfacht. Wenn Sie AD DS installieren und eine Domäne erstellen, wird automatisch die Organisationseinheit

Domänencontroller

erstellt.

Container

   Um Objekte zu gruppieren, können Sie außer Organisationseinheiten auch Container verwenden. Es gibt eine Reihe integrierter Container, darunter

Computers, Built-in

und

Managed Service Accounts

. Eine Verknüpfung von GPOs zu Containern ist nicht möglich.

Standort

   Ein Standort ist die logische Darstellung eines physischen Standorts Ihrer Organisation. Er kann für ein umfassendes Gebiet wie eine Stadt, aber auch für einen kleineren Bereich stehen, etwa eine Gruppe von Subnetzen in einem Rechenzentrum. Mithilfe von AD DS-Standorten können Netzwerkgeräte bestimmen, wo sie sich relativ zu den Diensten befinden, mit denen sie Verbindung aufnehmen möchten. Beispielsweise nutzt ein Windows 10-Computer beim Hochfahren die Standortangabe, um einen benachbarten Domänencontroller zu finden, sodass sich der Benutzer anmelden kann. Mithilfe von Standorten können Sie auch die AD DS-Replikation steuern, indem Sie einen Zeitplan und die Abstände für die Replikation zwischen Standorten festlegen.

PRÜFUNGSTIPP

Bei der Installation von AD DS wird der Standardstandort Default-First-Site-Name eingerichtet. Solange Sie keine weiteren Standorte erstellen und ihnen Domänencontroller zuweisen, gehören alle Domänencontroller zu diesem Standort. Wollen Sie weitere Standortobjekte anlegen, so sollten Sie den Standardstandort umbenennen.

Subnetz

   Ein Subnetz ist die logische Darstellung eines physischen Subnetzes in Ihrem Netzwerk. Durch die Definition von Subnetzen ermöglichen Sie es den Computern in Ihrer AD DS-Gesamtstruktur, ihre physische Position relativ zu den in der Gesamtstruktur angebotenen Diensten zu ermitteln. Standardmäßig sind keine Subnetze eingerichtet. Wenn Sie Subnetze erstellen, weisen Sie sie Standorten zu. Ein Standort kann mehr als ein Subnetz umfassen.

Partition

   Die AD DS sind physisch in einer Datenbank auf den Domänencontrollern gespeichert. Da sich einige Teile der AD DS häufiger ändern als andere, werden in der AD DS-Datenbank verschiedene Partitionen gespeichert.

Es handelt sich dabei um folgende Partitionen:

Schema

   Eine Partition auf der Ebene der Gesamtstruktur, die sich nur selten ändert. Sie enthält das Schema der AD DS-Gesamtstruktur.

Konfiguration

   Eine Partition auf der Ebene der Gesamtstruktur, die sich nur selten ändert. Sie enthält die Konfiguration der AD DS-Gesamtstruktur.

Domäne

   Eine Partition auf Domänenebene, die sich häufig ändert. Auf allen Domänencontrollern ist eine schreibbare Kopie dieser Partition gespeichert. Sie enthält die Objekte, die tatsächlich in der Gesamtstruktur existieren, also z. B. die Benutzer oder Computer.

Vertrauensstellungen

   Eine Vertrauensstellung ist eine Sicherheitsvereinbarung zwischen zwei Domänen in einer AD DS-Gesamtstruktur, zwischen zwei Gesamtstrukturen oder zwischen einer Gesamtstruktur und einem externen Sicherheitsbereich. Diese Vereinbarung ermöglicht einem Benutzer auf der einen Seite der Vertrauensstellung den Zugriff auf Ressourcen, die sich auf der anderen Seite befinden. Die Seite mit der Ressource wird als die vertrauende, die Seite mit dem Benutzer dagegen als die vertrauenswürdige Partei bezeichnet. Um sich das klar zu machen, stellen Sie sich vor, dass Sie jemandem Ihre Autoschlüssel leihen, und überlegen sich, wer dabei wem vertraut.

Installieren einer neuen Gesamtstruktur

Um eine neue AD DS-Gesamtstruktur zu installieren, müssen Sie den ersten Domänencontroller dieser Gesamtstruktur bereitstellen. Das bedeutet, die AD DS-Serverrolle auf einem Windows Server 2016-Computer einzurichten und diesen Server dann zum Domänencontroller hochzustufen, wobei Sie die Option Neue Gesamtstruktur hinzufügen wählen müssen.

Um eine neue Gesamtstruktur zu erstellen, installieren Sie als Erstes wie folgt die AD DS-Rolle:

1.Melden Sie sich als lokaler Administrator an dem Windows Server 2016-Computer an.

2.Starten Sie den Server-Manager und klicken Sie auf dem Dashboard auf

Rollen und Features hinzufügen

.

3.Klicken Sie sich durch den Assistenten zum Hinzufügen von Rollen und Features. Aktivieren Sie auf der Seite

Serverrollen

aus

Abbildung 1–1

das Kontrollkästchen

Active Directory-Domänendienste

, klicken Sie auf

Features hinzufügen

und dann auf

Weiter

.

Abb. 1–1Installieren der Serverrolle Active Directory-Domänendienste

4.Klicken Sie sich durch den Rest des Assistenten und schließlich auf

Installieren

.

5.Klicken Sie nach Abschluss der Installation auf

Schließen

.

PRÜFUNGSTIPP

Sie können die erforderlichen Dateien auch über die Windows PowerShell installieren. Führen Sie dazu den BefehlInstall-WindowsFeature AD-Domain-Servicesan einer Windows PowerShell-Eingabeaufforderung mit erhöhten Rechten aus.

Nach der Installation der Binärdateien für AD DS erstellen Sie die neue Gesamtstruktur, indem Sie den Computer zum ersten Domänencontroller in dieser Gesamtstruktur heraufstufen. Gehen Sie dazu folgendermaßen vor:

1.Klicken Sie im Server-Manager auf das gelbe Warndreieck im Bereich

Benachrichtigungen

und dann auf

Server zu einem Domänencontroller heraufstufen

.

PRÜFUNGSTIPP

Zum Heraufstufen können Sie auch das CmdletInstall-ADDSDomainControllerder Windows PowerShell verwenden. Um beispielsweise den lokalen Server als zusätzlichen Domänencontroller in der Domäne adatum.com hinzuzufügen und die DNS-Serverrolle zu installieren, führen Sieinstall-ADDSDomainController -InstallDns-DomainName adatum.comaus.

2.Klicken Sie im Konfigurations-Assistenten für die Active Directory-Domänendienste auf der Seite

Bereitstellungskonfiguration

unter

Wählen Sie den Bereitstellungsvorgang aus

auf

Neue Gesamtstruktur hinzufügen

. Geben Sie dann wie in

Abbildung 1–2

gezeigt den Namen der Stammdomäne der Gesamtstruktur ein. Klicken Sie auf

Weiter

.

Abb. 1–2Hinzufügen einer neuen Gesamtstruktur

3.Richten Sie auf der Seite

Domänencontrolleroptionen

aus

Abbildung 1–3

die folgenden Optionen ein und klicken Sie auf

Weiter

:

Gesamtstrukturfunktionsebene

   Die Gesamtstrukturfunktionsebene bestimmt, welche Funktionen in Ihrer Gesamtstruktur verfügbar sind, und legt außerdem die Mindestfunktionsebene für die Domänen in der Gesamtstruktur fest. Wenn Sie beispielsweise die Gesamtstrukturfunktionsebene

Windows Server 2012

wählen, bedeutet das, dass auch die Domänenfunktionsebenen mindestens

Windows Server 2012

sein müssen. Zur Auswahl stehen folgende Funktionsebenen:

–   Windows Server 2008

–   Windows Server 2008 R2

–   Windows Server 2012

–   Windows Server 2012 R2

–   Windows Server 2016

Domänenfunktionsebene

   Bestimmt, welche Funktionen auf Domänenebene zur Verfügung stehen. Sie haben die Wahl zwischen folgenden Einstellungen:

–   Windows Server 2008

–   Windows Server 2008 R2

–   Windows Server 2012

–   Windows Server 2012 R2

–   Windows Server 2016

DNS-Server

   DNS ist für die Namensauflösung zuständig und stellt damit einen unverzichtbaren Dienst für AD DS dar. Diese Option ist standardmäßig aktiviert. Sofern Sie nicht bereits eine DNS-Infrastruktur eingerichtet haben, sollten Sie diese Option nicht deaktivieren.

Globaler Katalog

   Globale Katalogserver stellen ihre Dienste in der ganzen Gesamtstruktur zur Verfügung. Diese Option wird automatisch ausgewählt und kann nicht abgewählt werden. Der erste Domänencontroller muss ein globaler Katalogserver sein (weil er zu diesem Zeitpunkt auch der einzige Domänencontroller ist). Wenn Sie weitere Domänencontroller hinzugefügt haben, können Sie diese Einstellung ändern.

Schreibgeschützter Domänencontroller (RODC)

   Diese Option bestimmt, ob der Domänencontroller schreibgeschützt ist. Sie ist standardmäßig nicht aktiviert. Beim ersten (und damit dem zurzeit einzigen) Domänencontroller in der Gesamtstruktur steht sie nicht zur Verfügung.

Kennwort für den Verzeichnisdienst-Wiederherstellungsmodus (DSRM) eingeben

   Dieses Kennwort müssen Sie verwenden, wenn Sie den Domänencontroller im Wiederherstellungsmodus starten.

Abb. 1–3Einrichten der Domänencontrolleroptionen

4.Legen Sie auf der Seite

Zusätzliche Optionen

den NetBIOS-Domänennamen fest. Das Protokoll NetBIOS, das auf einer nicht hierarchischen Namensstruktur beruht, ist kaum noch in Gebrauch. Der NetBIOS-Standardname besteht aus dem ersten Teil des Namens der AD DS-Gesamtstruktur. Heißt die Gesamtstruktur beispielsweise

Contoso.com

, so lautet der NetBIOS-Name standardmäßig

CONTOSO

. Im Allgemeinen gibt es keinen Grund, dies zu ändern. Klicken Sie auf

Weiter

.

5.Geben Sie wie in

Abbildung 1–4

gezeigt die Speicherorte für die AD DS-Datenbank, die Protokolldateien und die SYSVOL-Inhalte an und klicken Sie auf

Weiter

. Die Standardwerte lauten wie folgt:

Datenbankordner:

C:\Windows\NTDS

Protokolldateiordner:

C:\Windows\NTDS

SYSVOL-Ordner:

C:\Windows\SYSVOL

PRÜFUNGSTIPP

Es ist gewöhnlich nicht sinnvoll, verschiedene Pfade zu verwenden. Wenn Ihr Server über mehrere physische Festplatten verfügt, kann es einen kleinen Leistungsvorteil bringen, die SYSVOL-, die Datenbank- und die Protokolldateien getrennt voneinander unterzubringen, da dadurch die Last verteilt wird.

Abb. 1–4Festlegen der AD DS-Pfade

6.Vergewissern Sie sich, dass die Konfigurationsoptionen korrekt sind, und klicken Sie auf

Weiter

, um die Voraussetzungen überprüfen zu lassen.

7.Klicken Sie auf

Installieren

, wenn Sie dazu aufgefordert werden. Während der Installation wird der Servercomputer neu gestartet.

8.Melden Sie sich mit dem Domänenadministratorkonto an dem Servercomputer an.

Hinzufügen und Entfernen von Domänencontrollern

Nachdem Sie den ersten Domänencontroller in der AD DS-Gesamtstruktur bereitgestellt haben, können Sie weitere Domänencontroller hinzufügen, um für Ausfallsicherheit zu sorgen und die Leistung zu verbessern. Der Vorgang ist im Großen und Ganzen identisch mit dem für den ersten Domänencontroller: Sie installieren die AD DS-Serverrolle (über den Server-Manager oder die Windows PowerShell) und stufen den Computer dann zum Domänencontroller hoch (ebenfalls entweder mit dem Server-Manager oder der PowerShell).

Welche Optionen Sie zum Heraufstufen wählen sollten, hängt jedoch von der Art der Bereitstellung ab. Es gibt die beiden folgenden grundlegenden Situationen:

Hinzufügen eines neuen Domänencontrollers zu einer vorhandenen Domäne

   Um diesen Vorgang auszuführen, müssen Sie sich als Mitglied der globalen Sicherheitsgruppe

Domänen-Admins

der Zieldomäne anmelden.

Hinzufügen eines neuen Domänencontrollers in einer neuen Domäne

   Um diesen Vorgang auszuführen, müssen Sie sich als Mitglied der universellen Sicherheitsgruppe

Organisations-Admins

der Stammdomäne der Gesamtstruktur anmelden. Dadurch erhalten Sie ausreichende Rechte, um die Konfigurationspartition von AD DS zu ändern und die neue Domäne im Rahmen einer neuen oder einer vorhandenen Domänenstruktur zu erstellen.

Neue Domänen werden meistens hinzugefügt, um Replikationsgrenzen einzurichten. Da die meisten Änderungen an der AD DS-Datenbank in der Domänenpartition stattfinden, ruft diese Partition auch den meisten Replikationsdatenverkehr hervor. Durch die Aufteilung der Gesamtstruktur in mehrere Domänen verteilen Sie den Umfang der Änderungen und verringern dadurch die Replikation zwischen Standorten. Nehmen Sie beispielsweise an, die Firma Adatum unterhält umfassende Bereitstellungen von Computern sowohl in Europa als auch in Kanada. Das Unternehmen kann dann innerhalb der Stammdomäne adatum.com die beiden getrennten Domänen europe.adatum.com und canada.adatum.com erstellen, damit Änderungen in europe.adatum.com nicht auf Domänencontroller in canada.adatum.com repliziert werden müssen und umgekehrt.

Hinzufügen eines neuen Domänencontrollers zu einer vorhandenen Domäne

Um einen neuen Domänencontroller zu einer vorhandenen Domäne hinzuzufügen, melden Sie sich als Domänenadministrator an und führen den folgenden Vorgang aus:

PRÜFUNGSTIPP

Eine Anmeldung als Mitglied der globalen Sicherheitsgruppe Domänen-Admins setzt voraus, dass der Servercomputer, den Sie heraufstufen möchten, zur Zieldomäne gehört. Ist das nicht der Fall, so ist es einfacher, den Servercomputer erst zu der Zieldomäne hinzuzufügen und den Vorgang danach auszuführen. Wollen Sie den Computer nicht zu der Zieldomäne hinzufügen, müssen Sie sich als lokaler Administrator anmelden und während des Heraufstufungsvorgangs die Anmeldeinformationen eines Domänenadministrators bereitstellen. Eine weitere Voraussetzung besteht darin, dass der Servercomputer, den Sie heraufstufen, Namen mithilfe des DSN-Dienstes in der AD DS-Gesamtstruktur auflösen kann.

1.Fügen Sie die Serverrolle

Active Directory-Domänendienste

hinzu.

2.Klicken Sie im Server-Manager auf

Benachrichtigungen

und dann auf

Server zu einem Domänencontroller heraufstufen

.

3.Klicken Sie im Konfigurations-Assistenten für die Active Directory-Domänendienste auf der Seite

Bereitstellungskonfiguration

aus

Abbildung 1–5

auf

Domänencontroller zu einer vorhandenen Domäne hinzufügen

.

Abb. 1–5Bereitstellen eines zusätzlichen Domänencontrollers in einer vorhandenen Domäne

4.Geben Sie den Domänennamen an. Vorgegeben ist der Name der Domäne, zu der der Servercomputer gehört. Sie können jedoch auch andere in der Gesamtstruktur verfügbare Domänen auswählen.

5.Geben Sie die Anmeldeinformationen eines Benutzerkontos mit ausreichenden Rechten für den Heraufstufungsvorgang an. Vorgegeben ist das aktuelle Benutzerkonto. Klicken Sie auf

Weiter

.

6.Richten Sie auf der Seite

Domänencontrolleroptionen

die Optionen

DNS-Server

(standardmäßig aktiviert),

Globaler Katalog

(standardmäßig aktiviert) und

Schreibgeschützter Domänencontroller (RODC)

(standardmäßig nicht aktiviert) ein. Im Gegensatz zur Heraufstufung des ersten Domänencontrollers in der Gesamtstruktur ist die Option

Schreibgeschützter Domänencontroller

jetzt verfügbar.

7.Wählen Sie in der Dropdownliste

Standortname

den Standort aus, in dem der physische Domänencontroller aufgestellt ist (siehe

Abbildung 1–6

). Vorausgewählt ist

Default-First-Site-Name

. Solange Sie keine zusätzlichen AD DS-Standorte hinzufügen, ist dies der einzige verfügbare Standort. Nach der Bereitstellung können Sie den Domänencontroller verschieben.

Abb. 1–6Einrichten der Optionen eines zusätzlichen Domänencontrollers

8.Geben Sie das Kennwort für den Verzeichnisdienst-Wiederherstellungsmodus (DSRM) ein und klicken Sie auf

Weiter

.

9.Auf der Seite

Zusätzliche Optionen

müssen Sie festlegen, wie der Domänencontroller die AD DS-Datenbank füllen soll. Sie können wie in

Abbildung 1–7

die Option

Beliebiger Domänencontroller

wählen, um die Erstauffüllung von einem beliebigen Domänencontroller zu beziehen, der online ist, oder einen bestimmten Domänencontroller angeben. Alternativ können Sie auch die Option

Installieren von Medium

auswählen. Klicken Sie auf

Weiter

.

Abb. 1–7Zusätzliche Domänencontrolleroptionen

10.  Geben Sie wie zuvor die Pfade an und klicken Sie sich durch den Rest des Konfigurations-Assistenten.

11.  Klicken Sie auf

Installieren

, wenn Sie dazu aufgefordert werden. Der Servercomputer wird während des Heraufstufungsvorgangs neu gestartet.

Nach dem Abschluss der Heraufstufung melden Sie sich mit einem Domänenadministratorkonto an.

Hinzufügen eines neuen Domänencontrollers in einer vorhandenen Domäne

Um einen neuen Domänencontroller in einer neuen Domäne einer vorhandenen Gesamtstruktur hinzuzufügen, müssen Sie sich als Mitglied der universellen Sicherheitsgruppe Organisations-Admins der Gesamtstruktur anmelden und dann den folgenden Vorgang ausführen.

PRÜFUNGSTIPP

Eine Anmeldung als Mitglied der universellen Sicherheitsgruppe Organisations-Admins setzt voraus, dass der Servercomputer, den Sie heraufstufen möchten, zur einer der Domänen Ihrer AD DS-Gesamtstruktur gehört. Ist das nicht der Fall, so ist es einfacher, den Servercomputer erst zur Stammdomäne der Gesamtstruktur hinzuzufügen und den Vorgang danach auszuführen. Wollen Sie den Computer nicht zu der Stammdomäne hinzufügen, müssen Sie sich als lokaler Administrator anmelden und während des Heraufstufungsvorgangs die Anmeldeinformationen eines Unternehmensadministrators bereitstellen. Eine weitere Voraussetzung besteht darin, dass der Servercomputer, den Sie heraufstufen, Namen mithilfe des DSN-Dienstes in der AD DS-Gesamtstruktur auflösen kann.

1.Fügen Sie die Serverrolle

Active Directory-Domänendienste

hinzu.

2.Klicken Sie im Server-Manager auf

Benachrichtigungen

und dann auf

Server zu einem Domänencontroller heraufstufen

.

3.Klicken Sie im Konfigurations-Assistenten für die Active Directory-Domänendienste auf der Seite

Bereitstellungskonfiguration

aus

Abbildung 1–8

auf

Neue Domäne zu einer vorhandenen Gesamtstruktur hinzufügen

.

Abb. 1–8Bereitstellen einer neuen untergeordneten Domäne in einer vorhandenen Gesamtstruktur

4.Wählen Sie aus, wie die neue Domäne hinzugefügt werden soll. Es gibt folgende Möglichkeiten:

Untergeordnete Domäne

   Wenn Sie diese Option wählen, wird die neue Domäne als untergeordnete Domäne der angegebenen übergeordneten Domäne erstellt, also innerhalb der vorhandenen Domänenstruktur.

Strukturdomäne

   Wählen Sie diese Option, um eine neue Struktur in der Gesamtstruktur zu erstellen. Diese Struktur verwendet das gleiche Gesamtstrukturschema und die gleiche Stammdomäne, kann aber einen nicht angrenzenden Namensraum definieren. Das ist praktisch, wenn Sie in Ihrer Gesamtstruktur aus organisatorischen Gründen mehrere DNS-Domänennamen erstellen möchten, aber keine administrative Trennung wünschen oder benötigen, wie sie mit separaten Gesamtstrukturen möglich ist. Wenn Sie

Strukturdomäne

auswählen, müssen Sie die Gesamtstrukturdomäne auswählen, zu der die Struktur hinzugefügt werden soll. Vorgegeben ist dabei die Gesamtstruktur, an der Sie angemeldet sind.

5.Geben Sie den Domänennamen an. Im Namen einer untergeordneten Domäne ist der Name der übergeordneten Domäne als Präfix enthalten. Wenn Sie beispielsweise die Domäne

europe

als untergeordnete Domäne von

adatum.com

erstellen, ergibt sich die Domäne

europe.adatum.com

. Für eine neue Strukturdomäne können Sie einen beliebigen gültigen DNS-Namen wählen. Der Name der Stammdomäne der Gesamtstruktur ist darin nicht enthalten. Klicken Sie auf

Weiter

.

6.Wählen Sie auf der Seite

Domänencontrolleroptionen

die Einstellungen für die Domänenfunktionsebene und für DNS-Server, globale Katalogserver und schreibgeschützte Domänencontroller aus. Geben Sie einen geeigneten Standortnamen und das DSRM-Kennwort an und klicken Sie auf

Weiter

.

7.Aktivieren Sie auf der Seite

DNS-Optionen

aus

Abbildung 1–9

das Kontrollkästchen

DNS-Delegierung erstellen

. Dadurch wird eine DNS-Delegierung für die Unterdomäne in Ihrem DNS-Namensraum erstellt. Klicken Sie auf

Weiter

.

8.Geben Sie den NetBIOS-Domänennamen an und klicken Sie sich durch den Rest des Assistenten. Klicken Sie auf

Installieren

, wenn Sie dazu aufgefordert werden.

9.Der Servercomputer wird während des Heraufstufungsvorgangs neu gestartet. Melden Sie sich anschließend mit einem Domänenadministratorkonto an.

Abb. 1–9Einrichten der DNS-Optionen für eine neue Domäne

Domänencontroller entfernen

Hin und wieder kommt es vor, dass ein Domänencontroller außer Betrieb genommen und entfernt werden muss. Der Vorgang ist ganz einfach und kann mithilfe des Server-Managers ausgeführt werden.

1.Melden Sie sich mit einem Konto an, das über ausreichende Rechte verfügt. Um einen Domänencontroller aus einer Domäne zu entfernen, melden Sie sich als Domänenadministrator an. Wollen Sie dagegen eine komplette Domäne entfernen, müssen Sie sich als Mitglied der universellen Sicherheitsgruppe

Organisations-Admins

anmelden.

2.Öffnen Sie den Server-Manager und wählen Sie im Menü

Verwalten

den Punkt

Rollen und Features entfernen

.

3.Klicken Sie auf der Seite

Vorbereitung

des Assistenten zum Entfernen von Rollen und Features auf

Weiter

.

4.Wählen Sie auf der Seite

Zielserver auswählen

den gewünschten Server aus und klicken Sie auf

Weiter

.

5.Deaktivieren Sie auf der Seite

Serverrollen entfernen

das Kontrollkästchen

Active Directory-Domänendienste

, klicken Sie auf

Features entfernen

und dann auf

Weiter

.

Abb. 1–10Entfernen von AD DS

6.Klicken Sie in dem Popup-Dialogfeld

Validierungsergebnisse

aus

Abbildung 1–10

auf

Diesen Domänencontroller tiefer stufen

.

Abb. 1–11Herunterstufen eines Domänencontrollers

7.Der Konfigurations-Assistent für die Active Directory-Domänendienste erscheint (siehe

Abbildung 1–11

). Geben Sie auf der Seite

Anmeldeinformationen

ggf. Anmeldeinformationen eines Benutzers mit ausreichenden Rechten für den Vorgang ein. Aktivieren Sie das Kontrollkästchen

Entfernen dieses Domänencontrollers erzwingen

nur dann, wenn der Domänencontroller ausgefallen ist und nicht erreicht werden kann. Klicken Sie auf

Weiter

.

Abb. 1–12Entfernen optionaler Komponenten

8.Auf der Seite

Warnungen

aus

Abbildung 1–12

werden Sie aufgefordert, das Entfernen der Rollen als DNS-Server und globaler Katalogserver zu bestätigen. Aktivieren Sie das Kontrollkästchen

Entfernung fortsetzen

und klicken Sie auf

Weiter

.

9.Geben Sie auf der Seite

Neues Administratorkennwort

das lokale Administratorkennwort ein und bestätigen Sie es. Klicken Sie auf

Weiter

.

10.  Überprüfen Sie Ihre Angaben und klicken Sie auf

Tiefer stufen

.

11.  Der Server ist jetzt heruntergestuft und wird neu gestartet. Melden Sie sich mit einem lokalen Administratorkonto daran an.

Um sich zu vergewissern, dass der Domänencontroller ordnungsgemäß heruntergestuft und die Serverrolle entfernt wurde, gehen Sie wie folgt vor:

1.Öffnen Sie auf einem Domänencontroller

Active Directory-Benutzer und -Computer

. Vergewissern Sie sich, dass der heruntergestufte Domänencontroller nicht mehr in der Organisationseinheit

Domain Controllers

aufgeführt wird.

2.Klicken Sie auf den Container

Computers

. Der heruntergestufte Servercomputer sollte hier angezeigt werden.

3.Öffnen Sie

Active Directory-Standorte und -Dienste

. Erweitern Sie die Knoten

Sites

und

Default-First-Site-Name

. Löschen Sie in

Servers

das Objekt für den heruntergestuften Server.

PRÜFUNGSTIPP

Handelt es sich bei dem Server, der außer Betrieb genommen wird, um den letzten Domänencontroller einer Domäne, müssen Sie als Erstes sämtliche anderen Computer aus der Domäne entfernen, etwa indem Sie sie in andere Domänen der Gesamtstruktur verschieben. Gehen Sie dann wie zuvor beschrieben vor.

Die Herabstufung können Sie auch in der Windows PowerShell durchführen. Führen Sie dazu an der Eingabeaufforderung die beiden folgenden Cmdlets aus:

Installieren von AD DS auf einer Server Core-Installation

Die AD DS-Serverrolle kann auch auf einer Server Core-Installation bereitgestellt werden. Dies können Sie mit dem Server-Manager über das Netzwerk oder mit dem Windows PowerShell-Cmdlet Install-WindowsFeature AD-Domain-Services erledigen.

Nach der Installation der erforderlichen Dateien können Sie im Server-Manager den Konfigurations-Assistenten für die Active Directory-Domänendienste starten, um die Server Core-Installation über das Netzwerk zu konfigurieren. Sie können den Vorgang aber auch mit dem Windows PowerShell-Cmdlet Install-ADDSDomainController durchführen. Mit anderen Worten, AD DS wird auf einer Server Core-Installation von Windows Server 2016 auf die gleiche Weise installiert wie auf einem Server mit Desktop.

PRÜFUNGSTIPP

Es ist nicht möglich, die AD DS-Serverrolle auf einem Nano-Server zu installieren. Daher kann ein Nano-Server auch nicht als Domänencontroller verwendet werden.

Installieren eines Domänencontrollers mit der Option »Installieren von Medium«

Während der Bereitstellung eines Domänencontrollers wird der Inhalt der AD DS-Datenbank auf den neuen Domänencontroller repliziert. Das schließt die gesamtstrukturweite Schema- und Konfigurationspartition sowie die zugehörige Domänenpartition ein. Nach dieser ersten Synchronisation findet die Replikation zwischen den Domänencontrollern auf die übliche Weise statt.

Unter manchen Umständen kann die Erstsynchronisation eine Herausforderung darstellen, etwa wenn Sie einen Domänencontroller an einem Standort bereitstellen, dessen Anbindung an das Netzwerk Ihrer Organisation nur eine geringe Bandbreite aufweist. In dieser Situation kann die Erstsynchronisation ziemlich lange dauern oder einen unangemessenen hohen Anteil der verfügbaren Bandbreite verschlingen.

Um dieses Problem zu mildern, können Sie die Erstsynchronisation bei der Bereitstellung eines Domänencontrollers auch mithilfe einer lokalen Kopie der AD DS-Datenbank durchführen, die auch als Momentaufnahme oder Snapshot bezeichnet wird. Für diese Form der Bereitstellung wird die Option Installieren von Medium verwendet. Der Vorgang erfordert sehr viele Schritte:

1.Erstellen Sie auf einem vorhandenen Domänencontroller im Datei-Explorer einen neuen Ordner, beispielsweise

C:\IFM

(»install from media«), um den AD DS-Snapshot zu speichern.

2.Öffnen Sie eine Eingabeaufforderung mit erhöhten Rechten und führen Sie dort den Befehl

ntdsutil.exe

aus.

3.Geben Sie an der Eingabeaufforderung von

ntdsutil:

den Befehl

Activate instance ntds

ein und drücken Sie die Eingabetaste.

4.Geben Sie an der Eingabeaufforderung von

ntdsutil:

die Bezeichnung

ifm

ein und drücken Sie die Eingabetaste.

5.Geben Sie an der Eingabeaufforderung von

ntdsutil:

wie in

Abbildung 1–13

gezeigt den Befehl

create SYSVOL full C:\IFM

ein und drücken Sie die Eingabetaste.

Abb. 1–13Erstellen eines NTDS-Snapshots für die Installation vom Medium

6.Geben Sie an der Eingabeaufforderung von

ifm:

den Befehl

quit

ein und drücken Sie die Eingabetaste.

7.Geben Sie an der Eingabeaufforderung von

ntdsutil:

den Befehl

quit

ein und drücken Sie die Eingabetaste.

8.Schließen Sie die Eingabeaufforderung.

9.Kopieren Sie im Datei-Explorer den Inhalt des Ordners

C:\IFM

(siehe

Abbildung 1–14

) auf einen Wechseldatenträger, z. B. einen USB-Stick.

Abb. 1–14Die für den AD DS-Snapshot erstellten Ordner

10.  Installieren Sie auf dem Servercomputer, den Sie zum Domänencontroller heraufstufen wollen, auf die übliche Weise die Serverrolle der Active Directory-Domänendienste, also entweder über den Server-Manager oder mithilfe der Windows PowerShell.

11.  Schließen Sie den USB-Stick mit dem AD DS-Snapshot an den Computer an oder kopieren Sie die Snapshotdateien, sodass sie auf dem Zielcomputer verfügbar sind. Starten Sie dann vom Server-Manager aus den Konfigurations-Assistenten für die Active Directory-Domänendienste und klicken Sie sich hindurch.

Abb. 1–15Auswählen der Option Installieren von Medium

12.  Aktivieren Sie auf der Seite

Zusätzliche Optionen

das Kontrollkästchen

Installieren von Medium

(siehe

Abbildung 1–15

). Geben Sie im Feld

Pfad

den Pfad zu der lokalen Kopie des AD DS-Snapshots ein, klicken Sie auf

Überprüfen

und dann auf

Weiter

.

13.  Klicken Sie sich durch den Rest des Assistenten, überprüfen Sie Ihre Angaben und klicken Sie auf

Installieren

, wenn Sie dazu aufgefordert werden. Der Server wird beim Heraufstufen neu gestartet.

14.  Melden Sie sich als Domänenadministrator an.

Die Replikation dieses Domänencontrollers mit den anderen Domänencontrollern in der Gesamtstruktur wird nun auf die übliche Weise durchgeführt. Sie können den AD DS-Standort festlegen, zu dem der Domänencontroller gehört, und dann einen Replikationszeitplan für diesen Standort aufstellen. Wie das gemacht wird, erfahren Sie in »Prüfungsziel 2.3: Konfigurieren von Active Directory in einer komplexen Unternehmensumgebung«, von Kapitel 2, »Verwaltung und Wartung von AD DS«.

PRÜFUNGSTIPP

Sie können die Heraufstufung des Servercomputers auch mit dem Windows Power-Shell-BefehlInstall-ADDSDomaincontroller -InstallationMediaPath x:\ifmdurchführen.

Installieren und Konfigurieren eines schreibgeschützten Domänencontrollers

Ein schreibgeschützter Domänencontroller (Read-Only Domain Controller, RODC) enthält nur eine schreibgeschützte Kopie von AD DS. Das bietet die Möglichkeit, Domänencontroller in Büros bereitzustellen, in denen physische Sicherheit nicht garantiert werden kann, etwa in einer Filiale, die zwar einen lokalen Domänencontroller braucht, aber keinen sicheren Computerraum aufweist.

RODCs bieten zwar eine Reihe von Vorteilen für die Verwaltung, aber bevor Sie sie bereitstellen, müssen Sie sich über die folgenden Dinge im Klaren sein:

Sie sollten pro Standort und Domäne nur einen RODC bereitstellen. Bei mehreren RODCs pro Standort kann es zu uneinheitlicher Zwischenspeicherung kommen, was zu Problemen bei der Anmeldung von Benutzern und Computern führen kann.

Sie können die Rolle des DNS-Servers auch auf einem RODC installieren. Lokale Clients können diesen DNS-Server wie jede andere DNS-Instanz in Ihrer Organisation nutzen. Es gibt nur eine einzige Ausnahme: Da die DNS-Zoneninformationen schreibgeschützt sind, können die Clients auf einem RODC keine dynamischen Aktualisierungen durchführen. In einer solchen Situation teilt der RODC den Clients jedoch den Namen eines schreibbaren Domänencontrollers mit, den die Clients zur Aktualisierung der Datensätze nutzen können.

RODCs können die folgenden AD DS-Funktionen nicht ausführen:

Betriebsmasterrollen

   Betriebsmaster müssen in der AD DS-Datenbank schreiben können. Daher können RODCs keine der fünf Betriebsmasterrollen ausüben. Mit Betriebsmastern werden wir uns weiter hinten in diesem Prüfungsziel noch ausführlicher beschäftigen.

Bridgehead für die AD DS-Replikation

   Da Bridgeheads für die AD DS-Replikation zuständig sind, müssen sie sowohl die eingehende als auch die ausgehende AD DS-Replikation ermöglichen. Da auf RODCs nur eine eingehende Replikation möglich ist, können sie nicht als Bridgeheads fungieren.

RODCs können folgende Tätigkeiten nicht durchführen:

Authentifizierung über mehrere Vertrauensstellungen hinweg, wenn keine WAN-Verbindung zur Verfügung steht

   Wenn eine Filiale Benutzer aus mehreren Domänen der Gesamtstruktur einschließt, können sich Benutzer und Computer aus anderen Domänen als derjenigen, zu der der RODC gehört, nicht authentifizieren, wenn keine WAN-Verbindung zur Verfügung steht. Das liegt daran, dass der RODC nur die Anmeldeinformationen für Konten der Domäne zwischenspeichert, zu der er selbst gehört.

Unterstützung von Anwendungen, die eine ständige Interaktion mit AD DS erfordern

   Manche Anwendungen erfordern eine Interaktion mit AD DS, beispielsweise Microsoft Exchange Server. Ein RODC kann dies nicht bieten. In Standorten mit Exchange Server-Computern müssen Sie daher schreibbare Domänencontroller bereitstellen.

Bereitstellen eines RODC

Bevor Sie einen RODC bereitstellen, müssen Sie sich vergewissern, dass es in Ihrer Organisation mindestens einen schreibbaren Domänencontroller gibt. Die Bereitstellung erfolgt größtenteils auf die gleiche Weise wie bei jedem anderen Domänencontroller auch:

1.Installieren Sie die Serverrolle

Active Directory-Domänendienste

auf dem Servercomputer, den Sie als RODC bereitstellen wollen.

2.Starten Sie den Konfigurations-Assistenten für die Active Directory-Domänendienste und klicken Sie sich hindurch.

3.Aktivieren Sie auf der Seite

Domänencontrolleroptionen

aus

Abbildung 1–16

das Kontrollkästchen

Schreibgeschützter Domänencontroller (RODC)

und alle anderen gewünschten Optionen. Klicken Sie auf

Weiter

.

Abb. 1–16Installieren eines RODC

4.Richten Sie auf der Seite

RODC-Optionen

aus

Abbildung 1–17

die im Folgenden beschriebenen Optionen ein und klicken Sie auf

Weiter

.

Abb. 1–17Einrichten der RODC-Optionen

Delegiertes Administratorkonto

   Delegierte Administratoren können den RODC lokal verwalten, ohne über die Rechte eines Domänenadministrators zu verfügen. Gewöhnlich sind sie in der Lage, die folgenden Aufgaben auszuführen:

–   Installieren und Verwalten von Geräten und Treibern, Festplatten und Aktualisierungen

–   Verwalten der AD DS-Dienste

–   Verwalten von Serverrollen und -features

–   Einsehen der Ereignisprotokolle

–   Verwalten von freigegebenen Ordnern, Apps und Diensten

Für die Kennwortreplikation an den RODC berechtigte Konten

   Standardmäßig werden auf RODCs keine sensiblen Kennwortinformationen gespeichert. Wenn sich ein Benutzer anmeldet, leitet der RODC die Anmeldeanforderung an einen verfügbaren schreibbaren Domänencontroller in der Organisation weiter.

Aus praktischen Gründen können Sie jedoch festlegen, dass bestimmte Benutzer- und Computerkonten auf dem RODCs zwischengespeichert werden, sodass eine lokale Authentifizierung erfolgen kann. Dazu definieren Sie eine Richtlinie zur RODC-Kennwortreplikation. Grundsätzlich sollten Sie zu dieser Richtlinie nur Benutzer und Computer hinzufügen, die sich im selben Standort befinden wie der RODC.

PRÜFUNGSTIPP

RODCs speichern nur die Anmeldeinformationen eines Teils der Benutzer und Computer. Wird ein RODC gestohlen, beschränken sich die Sicherheitsprobleme daher nur auf diese Konten. Das verringert die allgemeine Gefährdung und den administrativen Mehraufwand, da nur die Passwörter der betroffenen Konten zurückgesetzt werden.

Wie Sie in Abbildung 1–17 sehen, ist standardmäßig nur die Zulässige RODC-Kennwortreplikationsgruppe aktiviert. Nach der Bereitstellung des RODC können Sie Benutzer und Computer zu dieser Gruppe hinzufügen.

PRÜFUNGSTIPP

Es gibt auch die Abgelehnte RODC-Kennwortreplikationsgruppe. Die Anmeldeinformationen von Mitgliedern dieser Gruppe werden niemals auf dem RODC gespeichert. Standardmäßig enthält diese Gruppe die Gruppen Domänen-Admins, Organisations-Admins und Richtlinien-Erstellen-Besitzer.

Für die Kennwortreplikation an den RODC nicht berechtigte Konten

   Standardmäßig ist die Gruppe

Abgelehnte RODC-Kennwortreplikationsgruppe