SuebenIT



Domäne mit Windows Server 2012 R2 erstellen und einrichten

Active Directory Domänendienste installieren mit DHCP und DNS

Wir richten eine neue Domäne mit Microsoft Windows Server 2012 R2 ein. Wir starten dabei von Null. Dh. wir brauchen keine Voraussetzungen. Es muß noch nichts existieren. Wir richten die Domäne von Grund auf völlig neu ein. Wir installieren die Active Directory Domänendienste, stufen den Server zum Domaincontroller (DC) hoch, installieren DNS und DHCP, richten alles ein. Du hast danach eine voll funktionierende Domäne - kannst Benutzer anlegen, Clients in die Domäne einbinden, mit GPOs arbeiten, usw.

Im Bereich DHCP und DNS werde ich dir auch die besondere Situation mit allen notwendigen Einstellungen zeigen, wenn du die Domäne bei dir daheim bspw. zum testen/lernen einrichtest. Unabhängig davon, ob du VMs dafür nutzt oder physische Kisten. Zu Hause übernimmt idR. der Router die DHCP/DNS-Aufgaben. In einem Netz darf es aber keine zwei DHCP-Server geben. Das funktioniert nicht. In diesem Tutorial zeige ich dir die Alternativwege, wie du die DNS-Einstellungen deiner Clients anpassen mußt, damit dein Router DHCP bleiben darf, du aber trotzdem eine funktionierende Domäne innerhalb deines "normalen" zu-Hause-Netzes betreiben kannst.

 

Voraussetzungen

Wie geschrieben, setzen wir nichts voraus ... was die Domäne angeht. Für das konkrete Tutorial aber dann doch eine Kleinigkeit: der Server 2012 R2 ansich muß schon bestehen. Er soll schon vorhanden und grundeingerichtet sein. Hintergrund ist eigentlich nur der, daß ich die ersten paar Schritte, die bei zig Tutorials gleich sind, nicht in jedem Tutorial aufs neue wiederholen möchte. Heißt: du hast bereits eine entspr. VM erstellt und eingerichtet. Den Server 2012 R2 darin installiert, alle Updates durchlaufen, grundeingerichtet, ihm auch schon einen Hostnamen/Servernamen gegeben, usw.

TODO: Link zum "Erstellen VM" (4GB Ram).

TODO: Link zum "Server 2012 R2 installieren und grundeinrichten" (Hostname SERVER01, Szenario: tmpuser4install und lokaler Administrator, beachte: Passwort lokaler Admin ungleich gewünschtes Passwort für den zukünftigen Domänenadmin).

 

Wir fangen an

Starte die VM. Wenn der Server gebootet hat, logge dich als lokaler Admin ein.

 

Vorarbeiten / Grundsatzentscheidungen

Passwort, lokaler Administrator

Wenn du oben im Punkt "Server 2012 R2 installieren und grundeinrichten" dem lokalen Admin bereits das Passwort so eingestellt hast, daß es nicht das Passwort ist, das du dem Domänenadmin geben willst, kannst du den nachfolgenden Absatz bzgl. Passwortändern überspringen.

Wenn nicht und das Passwort des lokalen Administrators ist bereits das Passwort, das du später für den Domänenadmin haben willst, so ändere das jetzt. Beim Herausstufen des Servers zum Domaincontroller bekommt der Domänenadmin als Ersteinrichtung auch das Passwort des lokalen Admins eingetraten. Wenn du dich dann das aller erste Mal als Domänenadmin anmeldest, mußt du dir ein Passwort geben. Das geschieht automatisch, läßt sich nicht umgehen. Da du das selbe Passwort nicht wieder eintragen kannst, kannst du dein gewünschtes Passwort nicht behalten. Du mußt ja ein neues eingeben, das ungleich des bestehenden sein muß. Dh. ändere das Passwort des lokalen Admins jetzt so ab, daß du später dem Domänenadmin dein gewünschtes Kennwort eintragen kannst.

Hostname

Der Server soll einen guten Namen haben. Das hast du bereits oben im Punkt "Voraussetzungen" erledigt. Wenn nicht, hole das nun nach. Hier im Tutorial heißt unser Server "SERVER01". Den Hostnamen nachträglich zu ändern, nachdem die Domäne bereits steht und läuft, willst du dir unter keinen Umständen antun.

 

IP-Adresse

Unser SERVER01 braucht eine statische IP-Adresse. Bei den anderen Servern und Clients tragen wir ihn als zuständigen DNS-Server ein. Das funktioniert letztlich nur, wenn unser SERVER01 eine statische IP-Adresse hat.

Windows Server 2012 r2 Netzwerk- und Freigabecenter aufrufen

Wir rufen das Netzwerk- und Freigabecenter auf. Klicke dazu rechts unten in der Taskleiste mit der rechten Maustaste auf das Netzwerksymbol und wähle im Kontextmenü den Punkt "Netzwerk- und Freigabecenter öffnen".

Im Netzwerk- und Freigabecenter klicke auf der linken Seite auf "Adaptereinstellungen ändern".

Im Fenster "Netzwerkverbindungen" klickst du mit der rechten Maustaste auf den betreffenden Netzwerk-Adapter und im Kontextmenü auf "Eigenschaften".

In einer VM wirst du idR. nur einen Adapter haben. Selbst wenn dein darunterliegender Physischer PC/Server mehrere Lan-Ports hat, ist für gewöhnlich nur einer davon mit der VM verknüpft. Fürs Tutorial habe ich eine VM mit dem VMWare Player erstellt. Mein PC hat tatsächlich mehrere LAN-Buchsen - wovon ich nur eine der VM zugewiesen habe. Deshalb zeigt der Screenshot oben den Ethernet0. Du könntest einen Ethernet (ohne Zahl dahinter) haben, wenn du nur einen Lan-Port am Rechner hast. Also: Du wirst höchstwahrscheinlich ebenfalls nur einen Netzwerk-Adapter zur Auswahl haben. Wenn du doch mehrere hast, wirst du einen Grund dafür haben, weshalb du mehrere zugewiesen hast und wissen, welchen von denen du zu wählen hast.

Netzwerk Adapter Eigenschaften

Entferne den Haken bei Internetprotokoll Version 6. Es kann durchaus sein, daß das in Zukunft irgendwann nicht mehr nötig ist. Doch ich konnte bspw. noch anfang 2018 keine Windows Updates durchführen; hatte da immer einen Fehler. Mit ausgeschaltetem ipv6 ging dann plötzlich alles.

Selekiere "Internetprotokoll Version 4 (TCP/IPv4)" und klicke auf den Button "Eigenschaften" rechts unterhalb der Liste.

Nachfolgend mehrere Alternativen, wie du die IP-Adresse(n) einstellen, festlegen kannst - jeweils mit einem Screenshot. Zu jedem der Screenshots schreibe ich eine kleine Erklärung. Du wirst für dich eine Grundsatzentscheidung fällen, kannst dich nur für eine der Alternativen entscheiden.

Allgemein. a) Standardgateway ist dein Router. b) DNS - bzw. erster DNS, wenn wir mehrere eintragen - ist unser SERVER01 selbst. Auf SERVER01 installieren wir ja auch die DNS-Server-Rolle. c) Ob du dem Router die x.y.z.1 gibst und dem DC (also SERVER01) die x.y.z.254 oder umgekehrt dem Router die ...254 und dem DC die ...1 ist völlig egal. Ich halte mich aus dieser Diskussion komplett raus, da es keine zwingenden Gründe weder für das eine noch für das andere gibt. Im Laufe der Zeit ist es sogar so, daß die IP - und damit die DNS-Adresse - deines "Domänenhauptservers" sich immer mal wieder ändern wird. Hast du heute die ...1, wirst du in ein paar Jahren die ...2 oder ...14 usw. haben. Du wirst vom SBS irgendwann auf einen "einfachen" Server wechseln oder von bspw. Server 2012 auf Server 2016, usw. Dh. das einzig sichere ist, daß es sich ändern wird. Du bist noch nicht einmal dazu gezwungen, den Router an ein Ende und den SERVER01 ans andere zu legen. Dem Router die ...1 zu geben und dem SERVER01 die ...2 wäre völlig legitim. Wenn du sagen kannst "Ich mache das so und so und zwar aus dem und dem Grund" und der Grund ein guter Grund ist ... ist es ein guter Grund - Punkt.

IP-Adresse einstellen ipv4

Das wäre so mein Favorit. Es gibt IP-Adressen, von denen der Standard sagt, daß sie für interne Zwecke zu nutzen sind. Die werden nicht als "öffentliche" IP-Adressen vergeben. Du kannst damit also nicht "versehentlich" deinem SERVER01 eine IP-Adresse geben, die es im Internet bereits geben könnte. Der 10er-Bereich ist solch ein für interne Zwecke vorgesehener Bereich. Um nicht abzuschweifen und das Tutorial unnötig aufzublähen, verweise ich dich auf die Wikipedia, Stichwort Private IP-Adresse.

IP-Adresse, das sind wir, dh. SERVER01: 10.10.10.254

Standardgateway ist unser Router: 10.10.10.1

Bervorzugter DNS (auch Erster DNS genannt), sind wieder wir, dh. SERVER01. Hier installieren wir ja neben dem DC auch unsere DNS-Server-Rolle: 10.10.10.254

So könnte es aussehen, wenn man sich nicht die Mühe macht, die IP-Adresse des Routers anzupassen. Auch der 192.168er-Bereich ist ein privater Adressbereich. Er wird sehr gerne von Router-Herstellern für die "Werkseinstellung" des Routers verwendet.

Wenn du eine Domäne neu aufbaust, dh. nicht das Netz vorfindest, das bereits ein anderer irgendwann in der Vergangenheit aufgesetzt hat, so spricht nichts dagegen, daß du dir echte Gedanken darüber machst, welchen Adressbereich du deinem Netz geben willst. Das ist eine solch grundsätzliche Entscheidung, daß du ohne Gewissensbisse gerne etwas mehr Gehirnschmalz dafür aufwenden darfst.

IP-Adresse einstellen im zu Hause Netzwerk

Als drittes Beispiel möchte ich dir noch die Variante fürs Lernen/Tutorial-Durcharbeiten im zu-Hause-Netz zeigen. Gegeben: Dein Router sei 192.168.2.1. Unser SERVER01 soll (muß) auch die DNS-Rolle bekommen. Wir wollen aber den Router nicht ändern, da alles andere in unserem Netzwerk weiter wie gehabt funktonieren soll. Wir wollen zwar das Tutorial durcharbeiten, aber dafür weder unser Netzwerk daheim komplett auf den Kopf stellen müssen, noch extra ein zweites Netz neben unserem "echten" aufbauen müssen. Der Router muß also auch DHCP bleiben. Sonst funktioniert unser bestehendes Netz nicht mehr richtig.

Problem, wenn wir es so nennen dürfen. Beim DNS-Server, also dort in der Liste, wenn du nachsiehst, wirst du nur die Clients eingetragen sehen, die Mitglied der Domäne sind. Die Clients/PCs/Geräte/Laptops/NAS/etc. unseres "normalen" zu Hause Netzwerkes kennt unser SERVER01 nicht, da sich die bei ihm nicht wegen der IP-Vergabe melden. Der DHCP ist ja unser Router. Dh. der Router vergibt die IP-Adressen, nicht der SERVER01. Ein Zugriff auf Hostnamen, die der DNS der Domäne (also SERVER01) nicht kennt, von Clients der Domäne aus, ist so nicht möglich. Der DNS von SERVER01 kann den Hostnamen nicht einer IP zuordnen und meldet lapidar ein "kenn ich nicht" zurück.

Sogar ein Hinzufügen zur Domäne wird nicht möglich sein. Der Client fragt beim DC (also SERVER01) an, daß er beitreten möchte. Der DC wird sehen, daß die Voraussetzungen geben sind (abgefragtes Admin-Passwort war korrekt, sonst keine Ressourcen-Konflikte, etc.), möchte den Client hinzufügen und dem Client rückmelden, daß er beitreten darf ... aber er kann den Hostnamen des Clients nicht zu einer IP-Adresse auflösen und weiß schlicht nicht, wohin er das OK senden soll.

Nun, lassen wir die Vorüberlegungen mal soweit gut sein und kommen zur Lösung. Die Lösung ist eigentlich recht einfach. Unser Router (dh. unser Standardgateway) bleibt wie er ist. In unserem Beispiel behält er seine 192.168.2.1. Er darf auch unverändert DHCP und DNS sein. Unser SERVER01 bekommt eine IP-Adresse im Bereich des Routers (außerhalb seines DHCP-Vergabepools!!!). Hier im Beispiel die 192.168.2.51. Unseren SERVER01 machen wir auch zum DNS. Aber wir machen SERVER01 nicht zum DHCP. Es kann in einem Netz keine zwei DHCP-Server geben. Das führt zu Komplikationen, über die wir nichtmal theoretisch nachdenken mögen. Unserem SERVER01 tragen wir nun jedoch zwei DNS-Server ein. Als ersten DNS (bevorzugter DNS) tragen wir ihm sich selbst ein, also die 192.168.2.51. Als zweiten DNS (alternativer DNS) bekommt er den Router: 192.168.2.1.

Das führt dazu: a) Alles "normale" in deinem Netz hat die Einstellung 192.168.2.51 nicht. Kontaktiert also immer gleich den Router bei DNS-Fragen. Es hat sich für alles "normale" in deinem Netz also nichts geändert. Alles funktioniert weiter wie gehabt. b) Alle Clients, die du der Domäne hinzufügst, haben die obige Einstellung mit den beiden DNS-Servern. Dh. ein Client in der Domäne kontaktiert zuerst den Domänen-DNS (also SERVER01). Wenn der Hostnamen dort unbekannt ist, erhält er ein "kenn ich nicht" zurückgemeldet. Also kontaktiert er den als zweiten DNS eingetragenen - dh. den Router. Und erhält die richtige Angabe dann vom Router, da der den Hostnamen in seiner Tabelle findet.

 

Ende der Alternativen bzgl. Gedanken zur IP-Adresse. Ab hier gehts wieder normal weiter.

 

Wenn du nicht weißt, was du tun sollst, so empfehle ich dir Variante 1 - oben das mit dem 10.10.10.1.

Wenn du das Tutorial zum lernen durcharbeitest, so kannst du das mit Variante 3 in deinem Netzwerk daheim problemlos tun, ohne dein Netzwerk wegen dem Tutorial komplett umbauen zu müssen.

 

Active Directory-Domänendienste

Da nun die Vorbereitungen abgeschlossen sind, widmen wir uns jetzt der eigentlichen Domäne.

Starte den Server-Manager. Im Server-Manager klicke oben rechts auf "Verwalten" und im Kontextmenü auf "Rollen und Features hinzufügen".

Windows Server 2012 r2 Assistent zum Hinzufügen von Rollen und Features

Der "Assistent zum Hinzufügen von Rollen und Features" begrüßt dich mit ein paar Vorbemerkungen. Klicke einfach "Weiter".

Als Installationstyp läßt du es bei der Defaulteinstellung "Rollenbasierte oder featurebasierte Installation". Gehe "Weiter".

Auch hier wird per Default bereits alles "richtig" gewählt sein. Wir wollen die Serverrolle auf unserem SERVER01 installieren und wählen den entspr. in der Liste aus. Gehe "Weiter".

Windows Server 2012 R2 Serverrolle Active Directory Domänendienste

Nun kommen wir zu den Serverrollen. Hier wirds endlich interessant - bezogen auf unsere Aufgabenstellung. Um eine Domäne aufzuziehen, brauchts ein Verzeichnis, ein Directory. In Windows Server 2012 R2 (und den meisten anderen Windowsversionen :-) heißt die entsprechende Serverrolle: Active Directory Domänendienste. Thats it. Mal abgesehen von DHCP und DNS wirst du nichts weiter mehr installieren müssen. Diese eine Rolle bringt alles mit, was das Active Directory benötigt.

Also: Setzte den Haken bei "Active Directory Domänendienste".

Es öffnet sich direkt ein neues Fenster, mit ein paar zugehörigen Optionen. Die angebotenen Features dienen dazu, daß die Verwaltungstools um Snap-Ins fürs Active Directory erweitert werden, daß PowerShell-Befehle mit installiert werden, usw. Also Tools und Hilfsmittel. Wir werden das Bejahen. Das wollen wir haben.

Der Haken bei "Verwaltungstools einschließen" sollte bereits gesetzt sein. Wenn nicht: Haken setzen.

Klicke "Features hinzufügen".

Domäne mit Windows Server 2012 R2 Rolle Active Directory

Danach bist du wieder im Assistenten. Gehe "Weiter".

Hier könnten wir weitere Features gleich mit installieren lassen. Wollen wir aber nicht. Alles, was wir für unsere gewählte Serverrolle brauchem, ist bereits autom. ausgewählt. Mehr brauchen wir nicht. Dh. gehe direkt "Weiter".

Als nächstes bekommst du noch ein paar Hinweise angezeigt. Kannst du dir durchlesen, mußt du aber nicht. Das mit dem DNS wird uns noch im Anschluß beschäftigen. Braucht uns aber zum jetzigen Zeitpunkt nicht weiter zu interessieren. Gehe einfach nur "Weiter".

Server 2012 R2 Active Directory Installation

Bevor die Installation losgeht, bekommst du nochmal eine Übersicht dessen angezeigt, was alles installiert wird.

Setze den Haken bei "Zielserver bei Bedarf automatisch neu starten" und starte die Installation mit "Installieren".

Server 2012 R2 Active Directory Domänendienste werden installiert.

Warte bis die Installation abgeschlossen ist. Das dauert eine Minute, vielleicht zwei. Es wird nicht mal neu gebootet.

Wenn die Installtion durch ist, siehst du unterhalb des Fortschittsbalken die Meldung "Die Installation auf ... war erfolgreich." Wir sind aber noch nicht fertig. Das erkennst du auch an dem Satz direkt davor: "Konfiguration erforderlich." Und auch im Kasten darunter siehst du ein "Weitere Schritte sind erforderlich, um den Computer als Domänencontroller festzulegen."

Über den Link darunter "Server zu einem Domänencontroller heraufstufen" kämst du gleich zu der betreffenden Einstellung. Klicke diesen Link aber nicht, sondern klicke unten rechts auf den Button "Schließen".

Im Server-Manager siehst du nun links im Menü einen neuen Eintrag "AD DS" und rechts im Contentbereich eine entspr. neue Kachel "AD DS" - siehe Bild unten.

Server zu einem Domänencontroller heraufstufen

Oben im Header siehst du diese Fahne mit einem gelb hinterlegten Ausrufezeichen. Die Fahne steht für "Nachrichten" und das "Hinweisdreieck" zeigt dir an, daß du etwas zu tun hast.

Klicke auf die Fahne und im dann erscheinenden Kontextmenü in der Zeile für die Nachricht "Konfiguration nach der Bereitstellung" auf den Link "Server zum Domänencontroller heraufstufen".