Wer einige Fallstricke umgeht, kann Windows Server 2012 problemlos in bestehende Infrastrukturen integrieren. Der folgende Praxisbeitrag fasst Empfehlungen zusammen.
Thomas Joos ist selbständiger IT-Consultant, Fachbuchautor und freiberuflicher Mitarbeiter unserer Schwesterpublikation TecChannel. Windows Server 2012 bringt einen ganzen Schwung an Neuerungen mit sich, nicht nur Tools, sondern Funktionalität. Mit den folgenden Tipps können sich Administratoren bei der Migration auf Windows Server 2012 das Leben leichter machen. Sie können Domänencontroller mit Windows Server 2012 auch in Netzwerken mit Windows Server 2003/2008/2008 R2 integrieren. Damit Sie Domänencontroller mit Windows Server 2012 erfolgreich aufnehmen können, müssen die Gesamtstrukturfunktionsebene und die Domänenfunktionsebene auf Windows Server 2003 oder höher gesetzt sein. Zusätzlich muss das Schema vorbereitet werden. Dazu verwenden Sie das Tool adprep.exe von der Installations-DVD. Sie finden das Tool im Verzeichnis support\adprep. Die Syntax dazu lautet:
! KASTEN !
Mit der zusätzlichen Option «/logdsid» aktivieren Sie eine detailliertere Protokollierung mit adprep.exe. Die Datei adprep.log befindet sich im Verzeichnis %windir%\System32\Debug\Adprep\Logs.
Domänencontroller aktualisieren und installieren
Nach der Aktualisierung des Schemas der Gesamtstruktur und der Domäne können Sie neue Domänencontroller mit Windows Server 2012 in das Netzwerk integrieren. Alternativ aktualisieren Sie die bestehenden Domänencontroller direkt zu Windows Server 2012. Das klappt indes nur mit Windows Server 2008 x64 und 2008 R2. Von Windows Server 2003 können Sie nicht direkt updaten. Um einen neuen Domänencontroller zu installieren, verwenden Sie das CMDlet «Install-ADDSDomainController». Damit der Befehl funktioniert, geben Sie den Namen der Domäne ein und konfigurieren das Kennwort für den Verzeichnisdienstwiederherstellungsmodus als SecureString. Dazu verwenden Sie folgenden Befehl:
! KASTEN !
Der Befehl fragt nach dem Kennwort für den Verzeichnisdienstwiederherstellungsmodus und speichert dieses als sichere Zeichenfolge ab. Sie können natürlich alle notwendigen Optionen für die Installation im CMDlet angeben, zum Beispiel die Installation von DNS oder die Funktionsebene von Domäne und Gesamtstruktur. Nächste Seite: DNS überprüfen
Bevor Sie Active Directory auf dem Server installieren, sollten Sie sicherstellen, dass alle DNS-Einstellungen korrekt sind. Prüfen Sie, ob sich der Server sowohl in der Forward- als auch in der Reverse-Lookup-Zone korrekt eingetragen hat. Dafür öffnen Sie die Befehlszeile und geben den Befehl «nslookup» ein. Das Ausführen des Befehls darf keine Fehlermeldung liefern. Vielmehr müssen der richtige FQDN des DNS-Servers und seine IP-Adresse angezeigt werden. Wenn Sie in nslookup noch nach der IP-Adresse suchen, muss diese nach dem Servernamen aufgelöst werden. Sollte das nicht der Fall sein, gehen Sie Schritt für Schritt vor, um den Fehler einzugrenzen: 1. Falls ein Fehler angezeigt wird, versuchen Sie es mit dem Befehl «ipconfig /registerdns» an der Befehlszeile. Prüfen Sie, ob sich der Server in die Zone eingetragen hat. 2. Tritt der Fehler weiterhin auf, prüfen Sie, ob das primäre DNS-Suffix auf dem Server mit dem Zonennamen übereinstimmt. 3. Stellen Sie als Nächstes fest, ob die IP-Adresse des Servers stimmt und der Eintrag des bevorzugten DNS-Servers auf die IP-Adresse des Servers zeigt. 4. Prüfen Sie in den Eigenschaften der Zone, ob die dynamische Aktualisierung zugelassen wird, und ändern Sie gegebenenfalls die Einstellung, damit die Aktualisierung stattfinden kann. Die Eigenschaften der Zonen erreichen Sie, wenn Sie mit der rechten Maustaste auf die Zone klicken und «Eigenschaften» auswählen. Treten keine Fehler auf, können Sie mit der Erstellung von Active Directory auf dem Server beginnen. Haben Sie Active Directory installiert, stehen auch in Windows Server 2012 die bekannten Tools dcdiag.exe, repadmin.exe & Co. zur Verfügung. Für die Namensauflösung können Sie weiterhin nslookup oder die neuen CMDlets zur Verwaltung von DNS verwenden, zum Beispiel «resolve-dnsname». Nächste Seite: Active Directory installieren Per Server-Manager und auch per PowerShell können Sie die Binärdateien von Active Directory inklusive der Verwaltungs-Tools installieren. Dazu verwenden Sie den Befehl:
! KASTEN !
Alle Befehle, die für Active Directory zur Verfügung stehen, erhalten Sie über «Get-command -module ADDSDeployment», Hilfen mit «Get-help ».
Mit «Test-ADDSDomainInstallation» testen Sie die Voraussetzungen für die Installation einer neuen Domäne in Active Directory, «Test-ADDSForestInstallation» überprüft das Gleiche für eine neue Gesamtstruktur von Windows Server 2012. Damit Sie die Tests ausführen können, müssen Sie an verschiedenen Stellen noch Kennwörter eingeben. Diese akzeptiert das entsprechende CMDlet aber nur als sichere Eingabe. Ein Beispiel für den Befehl ist:
! KASTEN !
Sie können die Einrichtung von Active Directory auch in der PowerShell auf einem Computer im Netzwerk durchführen. Dazu verwenden Sie den Befehl:
! KASTEN !
Active Directory von DVD installieren
Für die Installation eines Domänencontrollers in Niederlassungen oder bereits ausgelasteten Netzwerken bietet es sich an, auf einem Quell-Domänencontroller zunächst Daten aus Active Directory zu exportieren, auf einen Datenträger zu kopieren und zur Niederlassung zu senden. Beim Heraufstufen eines Domänencontrollers kann dieses Medium verwendet werden. So muss der Domänencontroller in der Niederlassung nur noch das Delta zwischen Medium und aktuellen Daten mit seinen Replikationspartnern synchronisieren, was die Netzwerklast deutlich reduziert. Um ein Installationsmedium vorzubereiten, melden Sie sich an einem Domänencontroller mit Administrator-Rechten an. Das Vorgehen ist dann Folgendes: 1. Öffnen Sie eine Befehlszeile, und geben Sie «ntdsutil» ein. 2. Geben Sie als Nächstes «activate instance ntds» ein und bestätigen Sie. 3. Geben Sie «ifm» ein und bestätigen Sie. 4. Geben Sie «create rodc c:\temp» ein, um ein Installationsmedium für einen RODC (schreibgeschützter Domänencontroller) zu erstellen. Um einen vollwertigen DC mit dem Installationsmedium zu erstellen, geben Sie «create full c:\temp» ein. Soll das SYSVOL-Verzeichnis nicht mit eingeschlossen werden, verwenden Sie einen der beiden Befehle «create nosysvol rodc c:\temp» oder «create nosysvol full c:\temp». Das Zielverzeichnis können Sie beliebig ändern. 5. Verlassen Sie ntdsutil mit der wiederholten Eingabe von «quit». 6. Prüfen Sie, ob das Verzeichnis erstellt wurde und die Daten darin enthalten sind. Kopieren Sie die Daten auf ein Medium und legen es in den Server ein, den Sie mit diesem Medium installieren wollen. Soll die Installation unbeaufsichtigt ablaufen, verwenden Sie die Variable «/ReplicationSourcePath». Nutzen Sie den Assistenten auf der grafischen Oberfläche, aktivieren Sie auf der Seite «Installieren von Medium» die Option «Daten von Medien an folgendem Speicherort replizieren» und wählen das lokale Verzeichnis aus, in dem die Daten abgelegt wurden. Das Fenster wird angezeigt, wenn Sie über den Installationsassistenten von Active Directory einen zusätzlichen Domänencontroller installieren. Nächste Seite: Funktionsebenen anpassen Ein Active Directory kann unter verschiedenen Funktionsebenen betrieben werden:
Funktionsebene der einzelnen Domänen in der Gesamtstruktur
Funktionsebene der Gesamtstruktur, die dann für alle Domänen gültig ist
Sie können die Funktionsebene für die Domänen im Snap-In Active Directory-Benutzer und -Computer über das Kontextmenü der Domäne einstellen. Die Funktionsebene für die Gesamtstruktur stellen Sie ebenfalls über das Kontextmenü via dem Snap-In «Active Directory-Domänen und -Vertrauensstellungen» ein. Das Ändern der Funktionsebene lässt sich nicht rückgängig machen.
Eine Ausnahme ist die mögliche Herabstufung von Windows Server 2012 auf Windows Server 2008 R2. Das funktioniert allerdings nur, wenn Sie den Active-Directory-Papierkorb noch nicht aktiviert haben. Während die Funktionsebene der Gesamtstruktur nur einmal zu verändern ist, müssen Sie für jede Domäne der Gesamtstruktur deren eigene Funktionsebene anpassen. Diese Funktionsebenen haben keine Kompatibilitätsunterschiede für Mitgliedsserver oder -Clients. Wichtig ist der Modus nur für die integrierten Domänencontroller. Dies bedeutet: Auch im Betriebsmodus Windows Server 2012 dürfen Sie Server mit Windows Server 2003/2008/2008 R2 als Mitgliedsserver betreiben, nur eben nicht als Domänencontroller. Diese Funktionsebene Windows Server 2012 ist notwendig, wenn Sie die neuen Active-Directory-Funktionen von Version 2012 nutzen wollen. Dazu gehört die Option, Domänencontroller zu klonen oder verwaltete Dienstkonten auf mehreren Servern einzusetzen. Auf der Windows-Server-2012-Domänenfunktionsebene ist die Kerberos-Domänencontrollerrichtlinie für die Unterstützung der dynamischen Zugriffssteuerung und Kerberos Armoring aktiv. Die Windows-Server-2012-Gesamtstrukturfunktionsebene bietet keine neuen Features, stellt aber sicher, dass alle in der Gesamtstruktur erstellten neuen Domänen automatisch auf die Windows-Server-2012-Domänenfunktionsebene gestellt werden. Nächste Seite: Virtualisierung von Domänencontrollern Mit Windows Server 2012 haben Sie zum Beispiel die Möglichkeit, einen virtuellen Domänencontroller zu installieren, diesen mit Sysprep vorzubereiten und dieses Image für das Klonen zu verwenden. Um einen Domänencontroller zu klonen, ist die Datei DcCloneConfig.xml entscheidend. Sie muss sich im Verzeichnis mit der Active-Directory-Datenbank befinden (standardmässig C:\Windows\NTDS). Wenn Sie die virtuelle Festplatte des virtuellen Domänencontrollers kopieren oder den virtuellen Server zu einem neuen Server exportieren oder importieren, erkennt dies Windows Server 2012. Das Betriebssystem stuft den neuen Server automatisch zum Domänencontroller hoch, erstellt eine neue lokale Active-Directory-Datenbank und verwendet als Replikationsquelle die geklonte lokale Datenbank. Bevor Sie einen virtuellen Domänencontroller klonen, müssen Sie auf dem Server das CMDlet «Get-ADDCCloningExcludedApplicationList» ausführen. Es prüft, ob es auf dem virtuellen Server allenfalls Anwendungen gibt, die das Klonen nicht unterstützen. Entdeckt das CMDlet nicht kompatible Dienste, zum Beispiel den DHCP-Dienst oder einen installierten Virenscanner, erhalten Sie eine Rückmeldung. Dann entfernen Sie den inkompatiblen Dienst vom Server. Alternativ tragen Sie den Dienst später in die Datei CustomDCCloneAllowList.xml ein.
Die Konfiguration für das Klonen nehmen Sie später in der Datei DcCloneConfig.xml vor. Die Beispieldatei SampleDCCloneConfig.xml finden Sie im Verzeichnis C:\Windows\System32. In der XML-Datei pflegen Sie in den verschiedenen Bereichen die IP-Adresse des neuen Servers ein, ebenso die Subnetzmaske, das Standard-Gateway sowie die DNS-Server, die der neue Server zur Namensauflösung verwenden soll. Sie legen hier auch den neuen Namen des Domänencontrollers fest. Um XML-Dateien zu bearbeiten, können Sie zwar den Editor in Windows verwenden. Microsoft stellt aber zwei Programme kostenlos zur Verfügung, mit denen Sie sich hier leichter tun: Visual Studio 2010 Express und XML Notepad. Nächste Seite: Domänencontroller klonen Nachdem Sie die Datei dccloneconfig.xml erstellt haben, kopieren Sie diese in das Verzeichnis mit der Active-Directory-Datenbank, also typischerweise C:\Windows\NTDS. Das Verzeichnis legen Sie während der Heraufstufung zum Domänencontroller fest. Sie können nur Quell-Domänencontroller klonen, die Mitglied der Gruppe «Klonbare Domänencontroller» in Active Directory sind. Nehmen Sie Domänencontroller dazu am besten im Snap-In «Active Directory-Benutzer und -Computer» auf der Registerkarte «Mitglied von» in dieser Gruppe auf. Nur nicht eingeschaltete Domänencontroller lassen sich klonen. Das heisst, Sie müssen den entsprechenden Domänencontroller herunterfahren, bevor Sie ihn klonen können.
Um die Festplatten eines virtuellen Domänencontrollers zu kopieren, den Sie klonen wollen, haben Sie zwei Möglichkeiten: Sie können die Festplatten mit dem Explorer kopieren und in einen neuen Server einbinden, oder Sie exportieren den virtuellen Computer. Microsoft empfiehlt, immer alle virtuellen Festplatten eines virtuellen Domänencontrollers zu kopieren, nicht nur die Systemfestplatte. Bevor Sie den neuen Domänencontroller in das Active Directory aufnehmen können, müssen Sie die durch den Klonvorgang angepasste Datei dccloneconfig.xml vom Quellcomputer in das Verzeichnis mit der Active, Directory-Datenbank, also normalerweise C:\Windows\NTDS, vom Quell- auf den Zielcomputer kopieren. Windows hat den Namen der Datei angepasst, um zu zeigen, dass ein Klon-Vorgang stattgefunden hat. Ändern Sie den Namen wieder in dccloneconfig.xml. Anschliessend erstellen Sie entweder einen neuen virtuellen Computer und verwenden die kopierte Festplatte, oder Sie importieren den exportieren Server mit dem Hyper-V-Manager oder der PowerShell. Beim Importieren wählen Sie die Option «Virtuellen Computer kopieren» aus. Beim Start des Domänencontrollers liest er die Datei dccloneconfig.xml ein und bereitet sich selbst für das Klonen vor. Während des Windows-Starts erhalten Sie eine entsprechende Meldung.
