Zusätzlichen DC in eine bestehende Domäne integrieren

Aus ITwiki
Wechseln zu: Navigation, Suche

Vorgehensweise am bereits existierenden DC[Bearbeiten]

  1. Zusätzlichen AD-Standort am existierenden DC einrichten
  2. Subnetz mit diesem Standort verknüpfen
  3. Unter Inter Site-Transports\IP den Standardeintrag (falls noch vorhanden) DEFAULTIPSITELINK löschen und neue Standortverknüpfung(en) anlegen, um sicherzustellen, dass nur Domänencontroller bzw. deren Standorte replizieren, die untereinander auch eine Verbindung haben. Beispiel: es gibt 3 Standort A, B und C. Standort A hat eine Verbindung zu den Standorten B und C. Die Standorte B und C haben allerdings unereinander keine Verbindung. Auf Grund des DEFAULTIPSITELINK würde jedoch ein automatischer Replikationseintrag für beide Standorte generiert werden, was dazu führt, dass in den Eventlogs der Server an Standort B und C Replikationsfehler auftauchen (Standort B konnte nicht mit Standort C replizieren). Um diesem Problem entgegenzuwirken, müssen Standortverknüpfungen so eingerichtet werden, dass nur Standorte replizieren, die auch untereinander eine Verbindung haben. Im Beispiel müssten zwei Standortverknüpfungen eingerichtet werden: B-zu-A (Standorte in dieser Standortverknüfpung: A und B) und C-zu-A (Standorte in dieser Standortverknüpfung: A und C). Dadurch kann A mit B und A mit C replizieren, C und B jedoch nicht.
  4. Reverse Lookup Zone für den neuen Standort bzw. das Subnetz im DNS einrichten – ist für eine problemlose Replikation notwendig, sonst treten Fehler auf! Achtung bei Subnetzen <> 255.255.255.0!

Thema: Schema-Updates[Bearbeiten]

Wenn etwa ein Windows Server 2008 (R2) Server als DC in eine Windows Server 2003 (R2) Domäne integriert wird, muss vorher ein Schema-Update durchgeführt werden. Das Programm adprep bzw. adprep32 befindet sich auf der Windows Server 2008 (R2) DVD und muss am Windows Server 2003 Rechner (Schema-Master!) ausgeführt werden. Hier folgende Befehle eingeben:

  1. adprep32 /forestprep
  2. adprep32 /domainprep
  3. adprep32 /domainprep /gpprep
  4. adprep32 /rodcprep

Es wurde davon ausgegangen, dass es sich bei dem W2k3-Server um ein 32 Bit Betriebssystem handelt, deshalb der Befehl adprep32. Bei 64 Bit Servern muss der Befehl adprep verwendet werden! Genauestens prüfen, ob das Schema-Update erfolgreich durchgeführt wurde, erst dann fortfahren!

Vorgehensweise am neuen, zusätzlichen DC[Bearbeiten]

  1. Server die entsprechende, ihm zugedachte IP und Hostnamen vergeben und als DNS-Server den existierenden DC angeben (WICHTIG!)
  2. Verbindung zum existierenden DC prüfen (Ping, Traceroute etc.); Traceroute funktioniert evtl. erst fehlerfrei, nachdem der Server Domänenmitglied ist!
  3. Server in die Domäne aufnehmen
  4. DNS installieren, aber KEINE KONFIGURATION vornehmen (wird ja später repliziert!); Schritt einfach abbrechen
  5. DCPROMO ausführen und als Domain-Memberserver einrichten; anschließend prüfen, ob am existierenden DNS ein Pointer-Eintrag erstellt wurde, da sonst die DNS-Replikation Fehler im Eventlog einträgt!
  6. Während der Replikation das Eventlog auf mögliche Fehler prüfen und mitnotieren!!!
  7. Neu starten und Eventlog aufrufen – auf Replikationsfehler prüfen
  8. Server mal 1/2 Std. in Ruhe lassen und dann nochmals die Replikation (AD und DNS) prüfen. Auch immer wieder mal über „Active Directory-Standorte und –Dienste“ die Replikation per Hand anstoßen
  9. Wenn die Replikation abgeschlossen ist, am neuen Server in „AD Standorte und Dienste“ den „Globalen Katalog“ aktivieren
  10. Nochmals warten bis im Eventlog in „Verzeichnisdienst“ ein Eintrag ist „Der Domänencontroller ist jetzt ein Globaler Katalog“.
  11. Zum Schluss das AD und den AD Standort etc. prüfen – evtl. ein Test-Objekt anlegen und die Replikationsfunktion prüfen. Sollte bei der Standortreplikation Fehler auftreten, prüfen, ob in der Reverse-Lookupzone die entsprechenden Zeiger/Pointer-Einträge existieren; ggf. anlegen und mittels nslookup prüfen, ob der Reverse-Lookup auch funktioniert. Sollte in Active Directory-Standorte und -Dienste noch kein Replikationszeitplan automatisch generiert worden sein, rechte Maustaste auf NTDS Settings, Alle Aufgaben und Replikationstopologie prüfen wählen. Dies hat zur folge, dass der KCC automatisch die Standortreplikationseinstellungen vornimmt, den Zeitplan erstellt und somit verwaltet (siehe hierzu http://blog.dikmenoglu.de/Die+Active+Directory+Verbindungsobjekte.aspx). Sollte dies nicht der Fall sein, bitte nochmals die Voreinstellungen am existierenden DC prüfen!
  12. Fertig

Vorgehensweise an einem Windows Server 2008 R2 Computer[Bearbeiten]

Hier hat sich das Ganze ziemlich vereinfacht - es sind nur noch wenig Schritte notwendig, um den W2k8 R2 einzubinden:

  1. Zunächst wie unter Vorgehensweise am bereits existierenden DC beschrieben, die Einstellungen am vorhandenen DC vornehmen
  2. Server die entsprechende, ihm zugedachte IP und Hostnamen vergeben und als DNS-Server den existierenden DC angeben (WICHTIG!)
  3. Verbindung zum existierenden DC prüfen (Ping, Traceroute etc.); Traceroute funktioniert evtl. erst fehlerfrei, nachdem der Server Domänenmitglied ist!
  4. Über den Servermanager Active Directory Domänendienste installieren
  5. DCPROMO ausführen und mit Hilfe des Assistenten DNS installieren und auch gleich den Server als Globalen Katalog aktivieren
  6. Den Assistenten einfach befolgen; wenn am alten DC alles richtig eingetragen wurde (Standort etc. pp.), sollte der Assistent für die Installation alles richtig erkennen. Die Installation und Replikation durchführen lassen und nach Abschluss den Server neu starten
  7. Zum Schluss das AD und den AD Standort etc. prüfen – evtl. ein Test-Objekt anlegen und die Replikationsfunktion prüfen. Sollte bei der Standortreplikation Fehler auftreten, prüfen, ob in der Reverse-Lookupzone die entsprechenden Zeiger/Pointer-Einträge existieren; ggf. anlegen und mittels nslookup prüfen, ob der Reverse-Lookup auch funktioniert. Eventuell ist es noch notwendig, den Dienst Kerberos-Schlüsselverteilungscenter neu zu starten, bevor in Active Directory Standorte und Dienste der Replikationszeitplan korrekt erstellt wurde. Sollte in Active Directory-Standorte und -Dienste noch kein Replikationszeitplan automatisch generiert worden sein, rechte Maustaste auf NTDS Settings, Alle Aufgaben und Replikationstopologie prüfen wählen. Dies hat zur folge, dass der KCC automatisch die Standortreplikationseinstellungen vornimmt, den Zeitplan erstellt und somit verwaltet (siehe hierzu http://blog.dikmenoglu.de/Die+Active+Directory+Verbindungsobjekte.aspx). Sollte dies nicht der Fall sein, bitte nochmals die Voreinstellungen am existierenden DC prüfen!

Anmerkungen[Bearbeiten]

Ich habe den Globalen Katalog aktiviert, sowie der DNS repliziert war… Ehrlich gesagt glaube ich, dass der Globale Katalog zu jeder Zeit aktiviert werden kann – wann der GK aktiviert wird, entscheidet scheinbar eh die Replikationsstufe.

Natürlich kann man einen DC, der in einer Aussenstelle installiert werden soll, erst in der „Zentrale“ einrichten (Domäne aufnehmen, replizieren etc.), jedoch muss man dann beachten, den Standort noch anzulegen, den Server in den Standort zu verschieben, die DNS-Einträge zu korrigieren etc. Umständlich!

Beim Einrichten eines Servers in einer Aussenstelle muss man natürlich den DNS am existierenden DC richtig konfiguriert haben, das Routing muss passen etc. Aber das muss früher oder später sowieso passen...


Nützliche Links[Bearbeiten]

Abgerufen von „http://wiki.butzhammer.de/index.php?title=Zusätzlichen_DC_in_eine_bestehende_Domäne_integrieren&oldid=1540