Als u Active Directory Domain Services (AD DS) installeert, moet u een van de volgende implementatieconfiguraties kiezen:

  • Een nieuwe domeincontroller aan een domein toevoegen

  • Een nieuw onderliggend domein aan een forest toevoegen of eventueel een nieuwe domeinstructuur toevoegen

    Opmerking

    De optie voor het installeren van een nieuwe domeinstructuur wordt alleen weergegeven als u het selectievakje Installatie in de geavanceerde modus gebruiken selecteert op de welkomstpagina van de wizard Active Directory Domain Services installeren.

  • Een nieuw forest maken

In de volgende gedeelten wordt elk van de implementatieconfiguraties uitvoerig uitgelegd.

Een nieuwe domeincontroller aan een domein toevoegen

Als er zich al een domeincontroller in uw domein bevindt, kunt u nog meer domeincontrollers toevoegen om de beschikbaarheid en betrouwbaarheid van netwerkservices te verbeteren. Het toevoegen van extra domeincontrollers kan helpen bij het verbeteren van de fouttolerantie, het gelijkmatiger verdelen van taken onder bestaande domeincontrollers en het bieden van een betere infrastructuurondersteuning aan sites.

Als er zich meerdere domeincontrollers in een domein bevinden, kan het domein blijven functioneren als er een fout optreedt bij een domeincontroller of als de verbinding met een domeincontroller moet worden verbroken. Het hebben van meerdere domeincontrollers kan ook de netwerkprestaties positief beïnvloeden doordat clients bij het aanmelden gemakkelijker verbinding kunnen maken met een domeincontroller.

Een bestaand domein voorbereiden

Voordat u een Windows Server 2008 R2-domeincontroller aan een bestaand Active Directory-domein kunt toevoegen, moet u het forest en het domein voorbereiden door Adprep.exe uit te voeren. Zorg ervoor dat u de versie van Adprep uitvoert die zich op de installatieschijf van Windows Server 2008 R2 bevindt. Deze versie van Adprep voegt schemaobjecten en kenmerken toe die zijn vereist voor Windows Server 2008 R2-domeincontrollers en wijzigt machtigingen voor nieuwe en bestaande objecten.

Voer indien nodig de volgende adprep-parameters uit voor uw omgeving:

  • Voer adprep /forestprep eenmaal uit op de domeincontroller in het forest waarin zich de functie van schema-operations-master (de schema-master) bevindt, voordat u een domeincontroller toevoegt waarop Windows Server 2008 R2 wordt uitgevoerd. Als u deze opdracht wilt uitvoeren, moet u in het domein waarin de schema-master zich bevindt lid zijn van de groep Ondernemingsadministrators, de groep Schema-administrators en de groep Domeinadministrators.

  • Voer bovendien in elk domein waaraan u een domeincontroller met Windows Server 2008 R2 wilt toevoegen adprep /domainprep /gpprep eenmaal uit op de domeincontroller waarop zich de functie van operations-master voor de infrastructuur (de infrastructuurmaster) bevindt. Als u deze opdracht wilt uitvoeren, moet u lid zijn van de groep Domeinadministrators.

  • Als u van plan bent een alleen-lezen domeincontroller te implementeren in een of meer domeinen in het forest, moet u tevens adprep /rodcprep eenmaal uitvoeren in het forest. U kunt deze opdracht op elke computer in het forest uitvoeren. Als u deze opdracht wilt uitvoeren, moet u lid zijn van de groep Ondernemingsadministrators. Raadpleeg Een forest voorbereiden op een alleen-lezen domeincontroller (https://go.microsoft.com/fwlink/?LinkId=93244) voor meer informatie (deze pagina is mogelijk in het Engels).

Installatie vanaf een medium

Als u een nieuwe domeincontroller in een bestaand domein installeert, kunt u ervoor kiezen de installatie uit te voeren vanaf een medium (ook wel Install From Media of IFM genoemd). Dit houdt in dat de domeindatabase vanaf een medium wordt gekopieerd in plaats van via een netwerk. Deze optie is alleen beschikbaar in de wizard Active Directory Domain Services installeren als u het selectievakje Installatie in de geavanceerde modus gebruiken hebt geselecteerd op de welkomstpagina. Het aanbevolen hulpmiddel voor het maken van het installatiemedium is de subopdracht ntdsutil ifm. Raadpleeg Installatie vanaf een medium voor meer informatie over de installatie vanaf een medium.

Een nieuw domein aan het forest toevoegen

Het nieuwe forest dat u maakt, bevat standaard één domein, ook wel het foresthoofddomein genoemd. Dit domein heeft ruimte voor duizenden gebruikers, zelfs als er maar een beperkte hoeveelheid netwerkbandbreedte beschikbaar is voor Active Directory-replicatie. Eén domein is daarom normaalgesproken voldoende voor de meeste kleine en middelgrote organisaties. Het toevoegen van meer domeinen aan een forest zorgt ervoor dat het forestbeheer vele malen ingewikkelder wordt.

Grotere organisaties kunnen echter beslissen om onderliggende domeinen aan het forest toe te voegen, zodat domeingegevens alleen waar nodig worden gerepliceerd. Een onderliggend domein deelt een aaneengesloten naamruimte met het bijbehorende bovenliggende domein. Het domein sales.contoso.com is bijvoorbeeld een onderliggend domein van contoso.com. Een onderliggend domein heeft automatisch een transitieve tweerichtingsvertrouwensrelatie met het bijbehorende bovenliggende domein.

Een nieuw domein dat geen aaneengesloten naamruimte deelt met het bijbehorende bovenliggende domein staat bekend als een nieuwe domeinstructuur. Raadpleeg Een nieuwe domeinstructuur maken verderop in dit onderwerp voor meer informatie over het maken van een nieuwe domeinstructuur.

Als u domeinen toevoegt aan het forest, verdeelt u AD DS in partities zodat gegevens alleen waar nodig worden gerepliceerd. Op deze manier kan een enkel Active Directory-forest ruimte bieden aan honderdduizenden of zelfs miljoenen gebruikers in een netwerk met beperkte bandbreedte.

Vereisten voor het maken van een nieuw domein

Als u een nieuw onderliggend domein maakt, moet u lid zijn van de groep Domeinadministrators in het bovenliggende domein of van de groep Ondernemingsadministrators om door te gaan. Als u een nieuwe domeinstructuur maakt, moet u lid zijn van de groep Ondernemingsadministrators.

De Active Directory-domeinnamen die u opgeeft in de wizard Active Directory Domain Services installeren, mogen maximaal 64 tekens of 155 bytes bevatten. Hoewel de limiet van 64 tekens vaak eerder wordt bereikt dan de limiet van 155 bytes, kan het tegendeel ook voorkomen als de naam Unicode-tekens bevat die elk 3 bytes in beslag nemen. Deze limieten zijn niet van toepassing op computernamen.

Tijdens de installatie wordt een Domain Name System-zonedelegering (DNS) gemaakt door Dcpromo.exe. Als de DNS-zonedelegering mislukt of als u ervoor kiest geen delegering te maken (dit is niet aanbevolen), moet u handmatig een zonedelegering maken. Raadpleeg Een DNS-delegering maken of bijwerken voor meer informatie over het maken van een zonedelegering.

Voordat u een domein aan een forest kunt toevoegen, moet u voor de DNS-zone een DNS-delegering maken die overeenkomt met de naam van het Active Directory-domein dat u wilt toevoegen. De wizard Active Directory Domain Services installeren controleert of de DNS-delegering bestaat. Als de delegering niet bestaat, kunt u in de wizard aangeven of de DNS-delegering tijdens het maken van het nieuwe domein automatisch moet worden gemaakt.

Een nieuwe domeinstructuur maken

U kunt het beste alleen een nieuwe domeinstructuur maken als u een domein moet maken waarvan de DNS-naamruimte niet gerelateerd is aan de andere domeinen in het forest. Dit betekent dat de naam van de hoofddomeinstructuur (en van alle onderliggende domeinen) niet de volledige naam van het bovenliggende domein hoeft te bevatten.

Het domein treyresearch.net kan bijvoorbeeld een domeinstructuur zijn in het forest contoso.com. Nieuwe domeinstructuren worden meestal gemaakt bij een bedrijfsovername of een fusie van meerdere organisaties. Een forest kan een of meer domeinstructuren bevatten.

Als u een andere DNS-naamruimte wilt, kunt u in plaats van een nieuwe domeinstructuur ook een nieuw forest maken. Meerdere forests bieden administratieve autonomie, isolatie van de schema- en configuratiemappartities, gescheiden beveiligingsbegrenzingen en de flexibiliteit om voor elk forest een andere naamruimte te gebruiken.

Een nieuw forest maken

Als u een nieuw forest wilt maken, moet u lid zijn van de lokale groep Administrators op de server waarop u AD DS installeert.

DNS- en NetBIOS-namen

Zorg ervoor dat u een duidelijke DNS-infrastructuur voor ogen hebt, voordat u een nieuw forest gaat maken. Als u een nieuw forest gaat maken, moet u de volledige DNS-naam van het forest weten. U kunt de DNS Server-service installeren voordat u AD DS installeert of, beter nog, u kunt de wizard Active Directory Domain Services installeren de DNS Server-service voor u laten installeren.

Als u de DNS Server-service laat installeren door de wizard, gebruikt de wizard de door u opgegeven DNS-naam voor het automatisch genereren van een NetBIOS-naam voor het eerste domein in het forest. Voordat de wizard verdergaat, controleert deze eerst of de DNS-naam en de NetBIOS-naam uniek zijn in het netwerk. U moet het selectievakje Installatie in de geavanceerde modus gebruiken selecteren op de welkomstpagina van de wizard Active Directory Domain Services installeren als u een andere NetBIOS-naam wilt gebruiken dan de naam die automatisch door de wizard wordt gegenereerd.

Opmerking

De wizardpagina NetBIOS-naam van het domein wordt ook weergegeven als de automatisch gegenereerde NetBIOS-naam in conflict is met een bestaande naam.

De DNS Server-service wordt standaard geïnstalleerd op de eerste domeincontroller in een forest. Als u al beschikt over een DNS-infrastructuur die naamresolutie voor het nieuwe forest ondersteunt, kunt u het selectievakje DNS-server op de wizardpagina Extra opties uitschakelen. Als u echter nog niet beschikt over een ondersteunende DNS-infrastructuur, accepteert u de standaardinstelling zodat de wizard de DNS Server-service installeert op de eerste domeincontroller in het forest.

Als u op Volgende klikt om door te gaan, onderzoekt de wizard Active Directory Domain Services installeren uw bestaande DNS-infrastructuur. Als u het selectievakje DNS-server hebt uitgeschakeld, voert de wizard diagnostische tests uit om te controleren of u beschikt over de ondersteunende DNS-infrastructuur. Als de diagnostische tests mislukken, krijgt u opnieuw de mogelijkheid om de DNS Server-service te installeren met gebruik van de wizard.

Functionele niveaus

Het forest-functionaliteitsniveau van een nieuw forest is standaard Windows 2000. Het domeinfunctionaliteitsniveau is Windows 2000 (native modus). Dit zijn de laagste functionaliteitsniveaus. Domeincontrollers mogen op deze functionaliteitsniveaus Windows Server 2003, Windows® 2000 Server, Windows Server 2008 of Windows Server 2008 R2 uitvoeren.

Als u geen domeincontroller met deze oudere versies van Windows Server gaat toevoegen, selecteert u hogere functionaliteitsniveaus om zo geavanceerde functies in te schakelen. Als u Windows Server 2008 R2 selecteert als het forest-functionaliteitsniveau, worden alle domeinen die hierna aan het forest worden toegevoegd, gemaakt op het domeinfunctionaliteitsniveau Windows Server 2008 R2. De pagina Domeinfunctionaliteitsniveau instellen wordt daarom niet weergegeven in de wizard Active Directory Domain Services installeren. Als u een ander forest-functionaliteitsniveau selecteert, kunt u het domeinfunctionaliteitsniveau voor elk domein in het forest apart instellen. Raadpleeg Het domein- of forest-functionaliteitsniveau instellen voor meer informatie over functionele niveaus.

Operations-masterrollen

De eerste domeincontroller in dit domein is de host van alle operations-masterrollen (ook wel Flexible Single Master Operations of FSMO genoemd) voor het forest.

Het is aanbevolen extra domeincontrollers aan het domein toe te voegen om de beschikbaarheid en fouttolerantie van AD DS te verbeteren. Nadat u de extra domeincontrollers hebt gemaakt, kunt u een aantal van de operations-masterrollen die worden gehost op de eerste domeincontroller, overdragen aan deze domeincontrollers. Als u een forest met meerdere domeinen wilt maken en een of meerdere domeincontrollers in het foresthoofddomein zijn geen globale-catalogusservers, dan moet u ten minste de rol van infrastructuurmaster in het foresthoofddomein overdragen aan een andere domeincontroller die geen globale-catalogusserver is.

Raadpleeg Geslaagde bewerkingen in Active Directory garanderen door het beheer van operations-masterrollen voor meer informatie over het beheren van operations-masterrollen.


Inhoudsopgave