Zusätzlichen DC in eine bestehende Domäne integrieren

Aus ITwiki
Version vom 9. Februar 2010, 10:36 Uhr von Flo84 (Diskussion | Beiträge)

Wechseln zu: Navigation, Suche

Vorgehensweise am bereits existierenden DC

  1. Zusätzlichen AD-Standort am existierenden DC einrichten
  2. Subnetz mit diesem Standort verknüpfen
  3. Unter Inter Site-Transports\IP den Standardeintrag (falls noch vorhanden) DEFAULTIPSITELINK löschen und neue Standortverknüpfung(en) anlegen, um sicherzustellen, dass nur Domänencontroller bzw. deren Standorte replizieren, die untereinander auch eine Verbindung haben. Beispiel: es gibt 3 Standort A, B und C. Standort A hat eine Verbindung zu den Standorten B und C. Die Standorte B und C haben allerdings unereinander keine Verbindung. Auf Grund des DEFAULTIPSITELINK würde jedoch ein automatischer Replikationseintrag für beide Standorte generiert werden, was dazu führt, dass in den Eventlogs der Server an Standort B und C Replikationsfehler auftauchen (Standort B konnte nicht mit Standort C replizieren). Um diesem Problem entgegenzuwirken, müssen Standortverknüpfungen so eingerichtet werden, dass nur Standorte replizieren, die auch untereinander eine Verbindung haben. Im Beispiel müssten zwei Standortverknüpfungen eingerichtet werden: B-zu-A (Standorte in dieser Standortverknüfpung: A und B) und C-zu-A (Standorte in dieser Standortverknüpfung: A und C). Dadurch kann A mit B und A mit C replizieren, C und B jedoch nicht.
  4. Reverse Lookup Zone für den neuen Standort bzw. das Subnetz im DNS einrichten – ist für eine problemlose Replikation notwendig, sonst treten Fehler auf! Achtung bei Subnetzen <> 255.255.255.0!

Thema: Schema-Updates Wenn etwa ein Windows Server 2008 (R2) Server als DC in eine Windows Server 2003 (R2) Domäne integriert wird, muss vorher ein Schema-Update durchgeführt werden. Das Programm adprep bzw. adprep32 befindet sich auf der Windows Server 2008 (R2) DVD und muss am Windows Server 2003 Rechner (Schema-Master!) ausgeführt werden. Hier folgende Befehle eingeben:

  1. adprep32 /forestprep
  2. adprep32 /domainprep
  3. adprep32 /domainprep /gpprep
  4. adprep32 /rodcprep

Es wurde davon ausgegangen, dass es sich bei dem W2k3-Server um ein 32 Bit Betriebssystem handelt, deshalb der Befehl adprep32. Bei 64 Bit Servern muss der Befehl adprep verwendet werden! Genauestens prüfen, ob das Schema-Update erfolgreich durchgeführt wurde, erst dann fortfahren!

Vorgehensweise am neuen, zusätzlichen DC

  1. Server die entsprechende, ihm zugedachte IP und Hostnamen vergeben und als DNS-Server den existierenden DC angeben (WICHTIG!)
  2. Verbindung zum existierenden DC prüfen (Ping, Traceroute etc.); Traceroute funktioniert evtl. erst fehlerfrei, nachdem der Server Domänenmitglied ist!
  3. Server in die Domäne aufnehmen
  4. DNS installieren, aber KEINE KONFIGURATION vornehmen (wird ja später repliziert!); Schritt einfach abbrechen
  5. DCPROMO ausführen und als Domain-Memberserver einrichten; anschließend prüfen, ob am existierenden DNS ein Pointer-Eintrag erstellt wurde, da sonst die DNS-Replikation Fehler im Eventlog einträgt!
  6. Während der Replikation das Eventlog auf mögliche Fehler prüfen und mitnotieren!!!
  7. Neu starten und Eventlog aufrufen – auf Replikationsfehler prüfen
  8. Server mal 1/2 Std. in Ruhe lassen und dann nochmals die Replikation (AD und DNS) prüfen. Auch immer wieder mal über „Active Directory-Standorte

und –Dienste“ die Replikation per Hand anstoßen

  1. Wenn die Replikation abgeschlossen ist, am neuen Server in „AD Standorte und Dienste“ den „Globalen Katalog“ aktivieren
  2. Nochmals warten bis im Eventlog in „Verzeichnisdienst“ ein Eintrag ist „Der Domänencontroller ist jetzt ein Globaler Katalog“.
  3. Zum Schluss das AD und den AD Standort etc. prüfen – evtl. ein Test-Objekt anlegen und die Replikationsfunktion prüfen. Sollte bei der Standortreplikation Fehler auftreten, prüfen, ob in der Reverse-Lookupzone die entsprechenden Zeiger/Pointer-Einträge existieren; ggf. anlegen und mittels nslookup prüfen, ob der Reverse-Lookup auch funktioniert
  4. Fertig

Anmerkung: ich habe den Globalen Katalog aktiviert, sowie der DNS repliziert war… Ehrlich gesagt glaube ich, dass der Globale Katalog zu jeder Zeit aktiviert werden kann – wann der GK aktiviert wird, entscheidet scheinbar eh die Replikationsstufe.

Natürlich kann man einen DC, der in einer Aussenstelle installiert werden soll, erst in der „Zentrale“ einrichten (Domäne aufnehmen, replizieren etc.), jedoch muss man dann beachten, den Standort noch anzulegen, den Server in den Standort zu verschieben, die DNS-Einträge zu korrigieren etc. Umständlich!

Beim Einrichten eines Servers in einer Aussenstelle muss man natürlich den DNS am existierenden DC richtig konfiguriert haben, das Routing muss passen etc. Aber das muss früher oder später sowieso passen...