Active Directory mit Windows Server 2012 R2
Eine umfangreiche Fortbildung in Sachen Active Directory steht für Administratoren beim Umstieg auf Windows Server 2012 R2 nicht an, denn Microsoft hat hier deutlich weniger Neuerungen im Angebot als beispielweise bei Hyper-V. Dennoch gibt es auch in diesem Bereich einige interessante Änderungen. Dazu kommt, dass Active Directory in Windows Server 2012 R2 mit dem Cloud-Dienst Windows Azure Active Directory zusammenarbeitet. Wie dies funktioniert zeigen wir in diesem Workshop; ebenso wie Sie Domänencontroller zu Windows Server 2012 R2 aktualisieren, das Active Directory für neue Server mit Windows Server 2012 R2 vorbereiten und die verwalteten Dienstkonten in Windows Server 2012 bequem mit einem Tool managen.
Migration der Domänencontroller und Schemaerweiterung
Sie können Domänencontroller mit Windows Server 2012 R2 auch in Netzwerken mit Windows Server 2003/2008/ 2008 R2/2012 integrieren. Um die Active Directory-Funktionen von Windows Server 2012 R2 zu nutzen, müssen Sie daher nicht alle Server umstellen, sondern können die Vorgänge auch nach und nach durchführen.
Dazu muss allerdings das Schema mit dem Tool "Adprep" von der Windows Server 2012 R2-DVD vorbereitet werden. Die Syntax dazu lautet:
adprep /forestprep
/forest {Gesamtstruktur}
/userdomain {Domäne}
/user {Benutzername}
/password *
Mit der zusätzlichen Option "/logdsid" aktivieren Sie eine detailliertere Protokollierung. Die entsprechende Datei "adprep.log" finden Sie im Ordner "%WinDir%\System32\Debug\Adprep\Logs".
Eine direkte Aktualisierung zu Windows Server 2012 R2 ist nur für Domänencontroller mit Windows Server 2008 x64 und Windows Server 2008 R2/2012 möglich. In Domänen mit Windows Server 2003 installieren Sie einen neuen Domänencontroller mit Windows Server 2012 R2 und entfernen die Domänencontroller mit Windows Server 2003. Achten Sie dabei aber auf die Übertragung der Betriebsmaster.
Damit Sie Domänencontroller mit Windows Server 2012 R2 in Domänen integrieren können, müssen die Gesamtstruktur- und die Domänenfunktionsebene auf Windows Server 2003 oder höher gesetzt sein. Wollen Sie Domänencontroller zu Windows Server 2012 R2 aktualisieren, erweitern Sie zunächst das Schema der Gesamtstruktur. Dazu führen Sie den Befehl adprep /forestprep auf einem Domänencontroller aus. Sie finden das Tool im Ordner "support\adprep" auf der Windows Server 2012 R2-DVD. Die Syntax des Befehles lautet wie zuvor beschrieben.
Um das Schema zu erweitern, müssen Sie dies zuvor noch mit der Taste "C" bestätigen. Nach der Aktualisierung des Schemas aktualisieren Sie mit adprep /domainprep noch die einzelnen Domänen. Installieren Sie neue Domänencontroller, lassen sich diese problemlos in das Active Directory aufnehmen. Auch Mitgliedsserver mit Windows Server 2012 R2 können Sie in bestehende Domänen aufnehmen, wenn Domänencontroller mit Windows Server 2003/2003 R2/2008/2008 R2/ 2012 vorhanden sind.
Nach der Aktualisierung der Domäne können Sie neue Domänencontroller mit Windows Server 2012 R2 in das Netzwerk integrieren oder Sie aktualisieren die bestehenden Domänencontroller direkt zu Windows Server 2012 R2. Das funktioniert jedoch nur mit Windows Server 2008 x64 und Windows Server 2008 R2/2012.
Haben Sie Active Directory installiert, stehen auch in Windows Server 2012 R2 die bekannten Tools Dcdiag, Repadmin & Co. zur Analyse zur Verfügung. Für die Namensauflösung können Sie weiterhin Nslookup verwenden oder die neuen Cmdlets zur Verwaltung von DNS, zum Beispiel "Resolve-DnsName".
Verwaltete Dienstkonten für Server-Dienste einsetzen
Die verwalteten Dienstkonten (Managed Service Accounts, MSA) sind eine Neuerung in Windows Server 2008 R2 und wurden in Windows Server 2012 deutlich verbessert. In der neuen Version können Sie zum Beispiel ein verwaltetes Dienstkonto für mehrere Server nutzen. Dazu hat Microsoft zu den bereits bekannten verwalteten Dienstkonten noch die gruppierten verwalteten Dienstkonten (Grouped Managed Service Accounts, gMSA) entwickelt. Die Verwaltung ist etwas komplizierter über die PowerShell und die Befehlszeile möglich, aber auch sehr einfach mit einem kostenlosen Verwaltungstool.
Bild 1: Verwaltete Dienstkonten lassen sich schnell und einfach
mit der Freeware "Managed Service Acountgs GUI" anlegen.
Bevor Sie gruppierte Konten anlegen können, müssen Sie einen neuen Masterschlüssel für die Domäne erstellen. Dazu nutzen Sie das folgende Cmdlet:
Add-KdsRootKey –EffectiveImmediately
Standardmäßig dauert es ab diesem Moment zehn Stunden, bis Sie verwaltete Dienstkonten anlegen können. Sie können den Zeitraum mit dem folgenden Befehl umgehen:
Add-KdsRootKey -EffectiveTime ((Get-Date).addhours(-10))
Die Verwaltung der Managed Service Accounts findet vor allem in der PowerShell statt. Es gibt aber für die Verwaltung in der grafischen Oberfläche das Tool "Managed Service Accounts GUI" [1]. Die Freeware kann verwaltete Dienstkonten in Windows Server 2008 R2 ebenso managen wie die neuen Funktionen in Windows Server 2012/2012 R2.
Seite 1: Migration der Domänencontroller und Schemaerweiterung
Seite 2: Active Directory und die PowerShell
Seite 3: Authentifizierung mit Azure Active Directory
| Seite 1 von 3 | Nächste Seite >> |
jp/ln/Thomas Joos
[1] www.cjwdev.co.uk/Software/MSAGUI/Info.html
