Wenn Sie Active Directory-Domänendienste (Active Directory Domain Services, AD DS) installieren, können Sie eine der folgenden möglichen Bereitstellungskonfigurationen auswählen:
-
Hinzufügen eines neuen Domänencontrollers zu einer Domäne
-
Hinzufügen einer neuen untergeordneten Domäne zu einer Gesamtstruktur oder Hinzufügen einer neuen Domänenstruktur (optional)
Hinweis Die Option zur Installation einer neuen Domänenstruktur ist nur verfügbar, wenn auf der Seite Willkommen des Assistenten zum Installieren von Active Directory-Domänendiensten das Kontrollkästchen Installation im erweiterten Modus verwenden aktiviert ist.
-
Erstellen einer neuen Gesamtstruktur
In den folgenden Abschnitten werden die einzelnen Bereitstellungskonfigurationen detailliert beschrieben.
Hinzufügen eines neuen Domänencontrollers zu einer Domäne
Wenn sich bereits ein Domänencontroller in einer Domäne befindet, können Sie der Domäne weitere Domänencontroller hinzufügen, um die Verfügbarkeit und Zuverlässigkeit von Netzwerkdiensten zu verbessern. Durch das Hinzufügen zusätzlicher Domänencontroller können Sie Fehlertoleranz bereitstellen, die Last bestehender Domänencontroller ausgleichen sowie zusätzliche Infrastrukturunterstützung für Standorte bereitstellen.
Befinden sich mehrere Domänencontroller in einer Domäne, kann die Funktion der Domäne selbst dann aufrecht erhalten werden, wenn ein Domänencontroller ausfällt oder vom Netzwerk getrennt werden muss. Durch die Verwendung mehrerer Domänencontroller kann auch die Leistung verbessert werden, indem das Aufbauen einer Verbindung mit einem Domänencontroller bei der Netzwerkanmeldung für Clients vereinfacht wird.
Vorbereiten einer bestehenden Domäne
Bevor Sie einer bestehenden Active Directory-Domäne einen Domänencontroller unter Windows Server 2008 R2 hinzufügen, müssen Sie die Gesamtstruktur und die Domäne vorbereiten, indem Sie Adprep.exe ausführen. Stellen Sie sicher, dass Sie die Version von Adprep verwenden, die sich auf Ihrem Windows Server 2008 R2-Installationsmedium befindet. Diese Version von Adprep fügt Schemaobjekte und Attribute hinzu, die von Domänencontrollern unter Windows Server 2008 R2 benötigt werden, und ändert die Berechtigungen für neue und bereits vorhandene Objekte.
Führen Sie für Ihre Umgebung die folgenden adprep-Parameter nach Bedarf aus:
-
Führen Sie adprep /forestprep einmal auf dem Domänencontroller in der Gesamtstruktur aus, der die Rolle des Betriebsschemamasters aufweist (der Schemamaster), bevor Sie einen Domänencontroller unter Windows Server 2008 R2 hinzufügen. Zur Ausführung dieses Befehls müssen Sie Mitglied der Gruppen Organisations-Admins, Schema-Admins und Domänen-Admins in der Domäne sein, die den Schemamaster enthält.
-
Führen Sie zudem adprep /domainprep /gpprep einmal auf dem Domänencontroller, der die Rolle des Infrastrukturbetriebsmasters aufweist (der Infrastrukturmaster), in jeder Domäne aus, der Sie einen Domänencontroller unter Windows Server 2008 R2 hinzufügen möchten. Zur Ausführung dieses Befehls müssen Sie ein Mitglied der Gruppe Domänen-Admins sein.
-
Wenn Sie beabsichtigen, einen schreibgeschützten Domänencontroller (Read-Only Domain Controller, RODC) in einer Domäne der Gesamtstruktur bereitzustellen, müssen Sie auch adprep /rodcprep einmal in der Gesamtstruktur ausführen. Sie können diesen Befehl auf jedem beliebigen Computer in der Gesamtstruktur ausführen. Zur Ausführung dieses Befehls müssen Sie ein Mitglied der Gruppe Organisations-Admins sein. Weitere Informationen (möglicherweise in englischer Sprache) hierzu finden Sie im Abschnitt zur Vorbereitung einer Gesamtstruktur für einen schreibgeschützten Domänencontroller (
https://go.microsoft.com/fwlink/?LinkId=93244 ).
Installieren von einem Medium
Wenn Sie einen neuen Domänencontroller in einer bestehenden Domäne installieren, können Sie die Installation von einem Medium vornehmen (IFM-Installation). Hierbei wird die Domänendatenbank von einem Medium anstatt über das Netzwerk kopiert. Diese Option ist im Assistenten zum Installieren von Active Directory-Domänendiensten nur verfügbar, wenn das Kontrollkästchen Installation im erweiterten Modus verwenden auf der Seite Willkommen aktiviert ist. Das empfohlene Tool zum Erstellen des Installationsmediums ist der Unterbefehl ntdsutil ifm. Weitere Informationen zur Verwendung einer IFM-Installation finden Sie unter Installieren von einem Datenträger.
Hinzufügen einer neuen Domäne zu einer Gesamtstruktur
Standardmäßig enthält die neue Gesamtstruktur, die Sie erstellen, eine einzelne Domäne, die als Stammdomäne der Gesamtstruktur bezeichnet wird. Diese einzelne Domäne kann Tausende Benutzer enthalten, selbst wenn nur eine geringe Netzwerkbandbreite für die Active Directory-Replikation zur Verfügung steht. Daher ist in der Regel für die meisten kleinen und mittelgroßen Unternehmen eine einzelne Domäne ausreichend. Durch das Hinzufügen weiterer Domänen zur Gesamtstruktur wird der Verwaltungsaufwand für die Gesamtstruktur stark erhöht.
Größere Unternehmen können sich jedoch für das Hinzufügen untergeordneter Domänen zur Gesamtstruktur entscheiden, damit die Domänendaten nur repliziert werden, wenn dies erforderlich ist. Eine untergeordnete Domäne teilt sich einen fortlaufenden Namespace mit ihrer übergeordneten Domäne. Beispielsweise ist sales.contoso.com eine untergeordnete Domäne von contoso.com. Zwischen einer untergeordneten Domäne und ihrer übergeordneten Domäne besteht automatisch eine bidirektionale, transitive Vertrauensstellung.
Eine neue Domäne, die sich keinen fortlaufenden Namespace mit ihrer übergeordneten Domäne teilt, wird als neue Domänenstruktur bezeichnet. Weitere Informationen zur Erstellung einer neuen Domänenstruktur finden Sie unter Erstellen einer neuen Domänenstruktur weiter unten in diesem Thema.
Wenn Sie der Gesamtstruktur Domänen hinzufügen, partitionieren Sie AD DS, wodurch Daten nur bei Bedarf repliziert werden. Auf diese Weise kann eine einzelne Active Directory-Gesamtstruktur global skaliert werden, um Hunderte oder Tausende – oder gar Millionen – von Benutzern in ein Netzwerk mit begrenzter Bandbreite aufzunehmen.
Anforderungen für die Erstellung einer neuen Domäne
Wenn Sie eine neue untergeordnete Domäne erstellen, müssen Sie ein Mitglied der Gruppe Domänen-Admins in der übergeordneten Domäne oder der Gruppe Organisations-Admins sein, um den Vorgang fortsetzen zu können. Wenn Sie eine neue Domänenstruktur erstellen, müssen Sie ein Mitglied der Gruppe Organisations-Admins sein.
Der Assistent zum Installieren von Active Directory-Domänendiensten gestattet Active Directory-Domänennamen mit bis zu 64 Zeichen oder bis zu 155 Bytes. Obwohl die 64-Zeichen-Grenze in der Regel vor der 155-Bytes-Grenze erreicht wird, kann das Gegenteil der Fall sein, wenn der Name Unicodezeichen enthält, die drei Bytes erfordern. Diese Grenzen gelten nicht für Computernamen.
Während der Installation wird von Dcpromo.exe eine DNS-Zonendelegierung (Domain Name System) erstellt. Wenn keine DNS-Zonendelegierung erstellt werden kann oder Sie sich gegen die Erstellung entscheiden (nicht empfohlen), müssen Sie manuell eine Zonendelegierung erstellen. Weitere Informationen zur Erstellung einer Zonendelegierung finden Sie unter Erstellen oder Aktualisieren einer DNS-Delegierung.
Bevor Sie einer Gesamtstruktur eine Domäne hinzufügen können, muss eine DNS-Delegierung für die DNS-Zone erstellt werden, die dem Namen der Active Directory-Domäne entspricht, die Sie hinzufügen. Mit dem Assistenten zum Installieren von Active Directory-Domänendiensten wird überprüft, ob die DNS-Delegierung vorhanden ist. Ist dies nicht der Fall, stellt der Assistent während der Erstellung der neuen Domäne eine Option zur automatischen Erstellung der DNS-Delegierung bereit.
Erstellen einer neuen Domänenstruktur
Sie sollten nur dann eine neue Domänenstruktur erstellen, wenn Sie eine Domäne erstellen müssen, deren DNS-Namespace nicht mit den anderen Domänen in der Gesamtstruktur verwandt ist. Dies bedeutet, dass der Name der Stammdomäne dieser Struktur (und aller untergeordneten Domänen) nicht den vollständigen Namen der übergeordneten Domäne enthält.
Beispielsweise kann treyresearch.net eine Domänenstruktur in der Gesamtstruktur contoso.com sein. Neue Domänenstrukturen werden meist im Rahmen einer Geschäftsübernahme oder einer Fusion mehrerer Unternehmen erstellt. Eine Gesamtstruktur kann aus einer oder mehreren Domänenstrukturen bestehen.
Bevor Sie eine neue Domänenstruktur erstellen, sollten Sie die Erstellung einer zusätzlichen Gesamtstruktur in Betracht ziehen, wenn Sie einen anderen DNS-Namespace verwenden möchten. Die Verwendung mehrerer Gesamtstrukturen ermöglicht Ihnen eine eigenständige Verwaltung, eine Isolation der Schema- und Konfigurationsverzeichnispartitionen, separate Sicherheitsgrenzen sowie die Flexibilität zur Verwendung eines unabhängigen Namespaceentwurfs für jede Gesamtstruktur.
Erstellen einer neuen Gesamtstruktur
Zum Erstellen einer neuen Gesamtstruktur müssen Sie Mitglied der lokalen Gruppe Administratoren auf dem Server sein, auf dem Sie AD DS installieren.
DNS- und NetBIOS-Namen
Bevor Sie eine neue Gesamtstruktur erstellen, sollten Sie Ihre DNS-Infrastruktur vollständig planen. Damit Sie eine neue Gesamtstruktur erstellen können, müssen Sie ihren vollständigen DNS-Namen kennen. Sie können den DNS-Serverdienst vor der Installation von AD DS installieren. Am besten lassen Sie den DNS-Serverdienst jedoch durch den Assistenten zum Installieren von Active Directory-Domänendiensten installieren.
Wenn Sie den DNS-Serverdienst durch den Assistenten installieren lassen, wird der angegebene DNS-Name automatisch zur Erstellung eines NetBIOS-Namens für die erste Domäne in der Gesamtstruktur verwendet. Der Assistent überprüft hierbei, ob der DNS-Name und der NetBIOS-Name im Netzwerk eindeutig sind, bevor der Vorgang fortgesetzt wird. Sie müssen das Kontrollkästchen Installation im erweiterten Modus verwenden auf der Seite Willkommen aktivieren, um einen anderen NetBIOS-Namen zu verwenden als jenen, der vom Assistenten automatisch erstellt wird.
Hinweis | |
Die Seite NetBIOS-Domänenname wird auch angezeigt, wenn der automatisch erstellte NetBIOS-Name mit einem bestehenden Namen in Konflikt steht. |
Der DNS-Serverdienst wird standardmäßig auf dem ersten Domänencontroller in einer Gesamtstruktur installiert. Wenn Sie bereits eine DNS-Infrastruktur zur Unterstützung der Namensauflösung für die neue Gesamtstruktur eingerichtet haben, können Sie das Kontrollkästchen DNS-Server auf der Seite Zusätzliche Optionen im Assistenten deaktivieren. Wenn jedoch noch keine DNS-Infrastruktur vorhanden ist, akzeptieren Sie die Standardeinstellung, damit der Assistent den DNS-Serverdienst auf dem ersten Domänencontroller in der Gesamtstruktur installiert.
Wenn auf Weiter klicken, um den Vorgang fortzusetzen, überprüft der Assistent zum Installieren von Active Directory-Domänendiensten Ihre bestehende DNS-Infrastruktur. Wenn Sie das Kontrollkästchen DNS-Server deaktiviert haben, testet der Assistent, ob die DNS-Infrastruktur verfügbar ist. Fallen diese Diagnosetests negativ aus, können Sie den DNS-Serverdienst mithilfe des Assistenten installieren.
Funktionsebenen
Bei einer neuen Gesamtstruktur lautet die Standardfunktionsebene für die Gesamtstruktur Windows 2000 und die Domänenfunktionsebene Windows 2000 pur. Dies sind die niedrigsten möglichen Funktionsebenen. Sie ermöglichen Domänencontrollern die Ausführung von Windows Server 2003, Windows® 2000 Server, Windows Server 2008 oder Windows Server 2008 R2.
Wenn Sie nicht beabsichtigen, Domänencontroller unter diesen älteren Versionen von Windows Server hinzuzufügen, sollten Sie höhere Funktionsebenen auswählen, um erweiterte Features zu aktivieren. Wenn Sie als Gesamtstrukturfunktionsebene Windows Server 2008 R2 auswählen, werden alle Domänen, die der Gesamtstruktur später hinzugefügt werden, auf der Domänenfunktionsebene Windows Server 2008 R2 erstellt. Daher wird die Seite Domänenfunktionsebene festlegen nicht im Assistenten zum Installieren von Active Directory-Domänendiensten angezeigt. Wenn Sie eine andere Gesamtstrukturfunktionsebene auswählen, können Sie die Domänenfunktionsebene für jede Domäne in der Gesamtstruktur einzeln festlegen. Weitere Informationen zu den Funktionsebenen finden Sie unter Festlegen der Domänen- oder Gesamtstrukturfunktionsebene.
Betriebsmasterrollen
Der erste Domänencontroller für diese Domäne dient als Host für alle Betriebsmasterrollen (auch als Flexible Single Master Operations bzw. FSMO bezeichnet) für die Gesamtstruktur.
Das Hinzufügen weiterer Domänencontroller zur Domäne wird empfohlen, um die Verfügbarkeit und Fehlertoleranz von AD DS zu verbessern. Nach Erstellung zusätzlicher Domänencontroller können Sie einige der Betriebsmasterrollen vom ersten Domänencontroller auf diese anderen Domänencontroller verschieben. Wenn Sie beabsichtigen, eine Gesamtstruktur mit mehreren Domänen zu erstellen und mindestens ein Domänencontroller in der Stammdomäne der Gesamtstruktur kein globaler Katalogserver sein wird, sollten Sie zumindest die Infrastrukturmasterrolle in der Stammdomäne der Gesamtstruktur auf einen anderen Domänencontroller in der Domäne verschieben, der keinen globalen Katalogserver darstellt.
Weitere Informationen zur Verwaltung von Betriebsmasterrollen finden Sie unter Sicherstellen von erfolgreichen Active Directory-Vorgängen durch Verwalten von Betriebsmasterrollen.