Installation ActiveDirectory in Server2016

By | 10. Mai 2018

In diesem Beispiel installieren wir einen Active Directory Domain Controller für einen neuen Forest. Der Beitrag beschreibt das Vorgehen per Powershell Commands, dies ist in Windows Server 2016 gut unterstützt und erleichtert auch gerade die Dokumentation.

Vorbereitung der Installation

Vor der Installation von ActiveDirectory sind einige Vorbereitungen notwendig, insbesondere Hostname und lokale Netzwerk Einstellungen sind wichtig.

Hostname anpassen:

rename-computer glatt-ad01 -restart

Konfiguration des Netzwerk Interfaces (IP, Netzmaske, Gateway):

New-NetIPAddress -InterfaceAlias Ethernet -IPAddress 10.12.41.10 -PrefixLength 24 -DefaultGateway 10.12.41.1

Konfiguration des DNS Servers im lokalen Netzwerkinterface (inkl Loopback IP für lokale Namensauflösung):

Set-DnsClientServerAddress -InterfaceAlias Ethernet -ServerAddress {10.12.41.10,127.0.0.1}

Überprüfen der Netzwerk Einstellungen:

Get-NetIPConfiguration -InterfaceAlias Ethernet

InterfaceAlias : Ethernet
InterfaceIndex : 4
InterfaceDescription : Microsoft Hyper-V Network Adapter
NetProfile.Name : Network
IPv4Address : 10.12.41.10
IPv6DefaultGateway :
IPv4DefaultGateway : 10.12.41.1
DNSServer : 10.12.41.10
            127.0.0.1

ADDS und DNS Features installieren

Anschliessend werden die Features für Active Directory Domain Services und dazugehörige Management-Tools installiert (inkl. DNS Konsole und GroupPolicy Management)

Install-WindowsFeature AD-Domain-Services, DNS, RSAT-AD-AdminCenter, RSAT-ADDS-Tools, RSAT-DNS-Server, GPMC

Die Feature sind nun wie geplant installiert:

Get-WindowsFeature | where installstate -eq installed
Display Name Name Install State
------------ ---- -------------
[X] Active Directory Domain Services AD-Domain-Services Installed
[X] DNS Server DNS Installed
[X] File and Storage Services FileAndStorage-Services Installed
 [X] Storage Services Storage-Services Installed
[X] .NET Framework 4.6 Features NET-Framework-45-Fea... Installed
 [X] .NET Framework 4.6 NET-Framework-45-Core Installed
 [X] WCF Services NET-WCF-Services45 Installed
 [X] TCP Port Sharing NET-WCF-TCP-PortShar... Installed
[X] Group Policy Management GPMC Installed
[X] Remote Server Administration Tools RSAT Installed
 [X] Role Administration Tools RSAT-Role-Tools Installed
 [X] AD DS and AD LDS Tools RSAT-AD-Tools Installed
 [X] Active Directory module for Windows ... RSAT-AD-PowerShell Installed
 [X] AD DS Tools RSAT-ADDS Installed
 [X] Active Directory Administrative ... RSAT-AD-AdminCenter Installed
 [X] AD DS Snap-Ins and Command-Line ... RSAT-ADDS-Tools Installed
 [X] DNS Server Tools RSAT-DNS-Server Installed
[X] SMB 1.0/CIFS File Sharing Support FS-SMB1 Installed
[X] Windows Defender Features Windows-Defender-Fea... Installed
 [X] Windows Defender Windows-Defender Installed
 [X] GUI for Windows Defender Windows-Defender-Gui Installed
[X] Windows PowerShell PowerShellRoot Installed
 [X] Windows PowerShell 5.1 PowerShell Installed
 [X] Windows PowerShell ISE PowerShell-ISE Installed
[X] WoW64 Support WoW64-Support Installed

Deployment von ADDS (ex DCpromo)

Nachdem nun die benötigten Rollen und Windows Features auf dem Server installiert sind starten wir das Deployment des AD DS Dienstes. Vorgehen und Syntax sind ähnlich wie früher DCpromo, doch nun alles in Powershell.

Install-ADDSForest –DomainName "glattlab.net" -DomainNetBIOSName "GLATTLAB" -SafeModeAdministratorPassword (read-host -prompt "DSRM Password:" -assecurestring) -DatabasePath "C:\Windows\NTDS" -LogPath "C:\Windows\NTDS" -SysvolPath "C:\Windows\SYSVOL" -InstallDNS:$true -NoRebootOnCompletion

Das Beispiel beschreibt eine simple Installation, je nach geplanter Umgebung sollten diese Parameter angepasst und ev weitere angeben werden (z.B. DomainMode und ForestMode)

Install-ADDSForest –DomainName "glattlab.net" -DomainNetBIOSName "GLATTLAB" -SafeModeAdministratorPassword (read-host -prompt "DSRM Password:" -assecurestring) -DatabasePath "C:\Windows\NTDS" -LogPath "C:\Windows\NTDS" -SysvolPath "C:\Windows\SYSVOL" -InstallDNS:$true -NoRebootOnCompletion
DSRM Password:: ********

The target server will be configured as a domain controller. The server needs to be restarted manually when this operation is complete.
Do you want to continue with this operation?
[Y] Yes [A] Yes to All [N] No [L] No to All [S] Suspend [?] Help (default is "Y"): A

Message Context RebootRequired Status
------- ------- -------------- ------
You must restart this computer to complete the operation... DCPromo.General.4 True Success

 

Beim Deployment wird nach dem „DSRM Password“ gefragt. Dieses Passwort wird benötigt, wenn man einen Domaincontroller restoren will. In der Regel also nur in einem Desaster Fall wenn die Nerven sowieso schon blank liegen. Es empfiehlt sich also dieses Passwort sehr gut zu dokumentieren um es im Notfall rasch zu finden. DSRM heisst der Active Directory Restore Mode, welcher beim Booten z.B. mit F8 angewählt werden kann.

Nach einiger Zeit ist die Installation abgeschlossen und der Server muss nun noch kontrolliert rebooted werden.

restart-computer

Darauf erscheint im Logon-Screen die neue Domäne in der Eingabemaske. Anschliessend muss natürlich Active Directory noch wie gewünscht konfiguriert werden.

 

DNS konfigurieren

Siehe auch http://www.nt-ag.de/default.aspx?pid=132&news=1246

Reverse Zone einrichten und PTR Records für Domaincontroller prüfen / einrichten

Damit der DNS Lookup auch für IP Adressen funktioniert und die Hostnamen dazu ausgibt, muss die Reverse Zone eingerichtet werden. Zudem wird der Pointer für den Domänencontroller gleich manuell angelegt. dieser Würde sonst auch beim nächsten Reboot des AD Servers in DNS registriert.

Add-DnsServerPrimaryZone -Name 41.12.10.in-addr.arpa -ReplicationScope Forest -DynamicUpdate Secure -PassThru
Add-DnsServerResourceRecordPtr -Name 2 -ZoneName 41.12.10.in-addr.arpa -PtrDomainName glattlab.net

 

DNS Root Zone einrichten

DNS Scavenging konfigurieren

Veraltete DNS Einträge sollen später automatisch aufgeräumt werden. Dazu wird das DNS Scavenging eingeschaltet und konfiguriert.

Set-DnsServerScavenging -RefreshInterval 20.00:00:00 -ApplyOnAllZones
Set-DnsServerZoneAging glattlab.net -Aging $true
Set-DnsServerZoneAging 41.12.10.in-addr.arpa -Aging $true

IP v6 Einstellungen

… zu klären

 

AD Struktur und Inhalt konfigurieren

OU Struktur anlegen

Die AD OU Grundstruktur kann per Powershell angelegt werden. Als Vorschlag wird eine OU mit der Projekt oder Kundennamen erstellt und darunter jeweils Sub OUs für verschiedene Konfigurations Zwecke wie Computer, Services, Benutzer, Admins, Gruppen etc, die möglicherweise unterschiedliche GPOs benötigen werden.

New-ADOrganizationalUnit -Name INFRA01 -Path "DC=glattlab,DC=net"
New-ADOrganizationalUnit -Name Admins -Path "OU=INFRA01,DC=glattlab,DC=net"
New-ADOrganizationalUnit -Name Clients -Path "OU=INFRA01,DC=glattlab,DC=net"
New-ADOrganizationalUnit -Name Groups -Path "OU=INFRA01,DC=glattlab,DC=net"
New-ADOrganizationalUnit -Name Servers -Path "OU=INFRA01,DC=glattlab,DC=net"
New-ADOrganizationalUnit -Name Services -Path "OU=INFRA01,DC=glattlab,DC=net"
New-ADOrganizationalUnit -Name Users -Path "OU=INFRA01,DC=glattlab,DC=net"
Get-ADOrganizationalUnit -Filter "*" | fl DistinguishedName

Default Computer und User OU konfigurieren

Damit neue Kennungen und Computer Objekte gleich in der eigenen OU Struktur angelegt werden kann der Default OU Wert angepasst werden:

redircmp "OU=INFRA01,DC=glattlab,DC=net"

redirusr "OU=INFRA01,DC=glattlab,DC=net"

Gruppen anlegen

 

Adminitrator Benutzer anlegen (persönliche Kennungen für Domain Admins)

Generell sollte nicht mit der internen Administrator Kennung gearbeitet werden, sondern mit jeweils einem persönlichen Admin Account. Dazu werden pro Administrator Kennungen angelegt.

New-ADUser -DisplayName "Erich Meier (Admin)" -GivenName "Erich" -Surname "Meier" -SamAccountName "adm.meer" -Name "Erich Meier (Admin)" -Path "OU=Admins,OU=INFRA01,DC=glattlab,DC=net" -UserPrincipalName "adm.mee@glattlab.net" -Description "Admin User"
Set-ADAccountPassword -Identity adm.mee -Reset:$null
Please enter the desired password for 'CN=adm.mee,OU=Admins,OU=INFRA01,DC=glattlab,DC=net'
Password: ********
Repeat Password: ********
Enable-ADAccount -Identity adm.mee
Set-ADAccountControl -Identity adm.mee -CannotChangePassword:$false -PasswordNeverExpires:$true
Set-ADUser -Identity adm.mee -ChangePasswordAtLogon:$false -SmartcardLogonRequired:$false
Add-ADGroupMember Administrators adm.mee

Get-ADUser -Identity adm.mee

 

Weitere Domänen Controller hinzufügen

DC2 für die Installation vorbereiten und in Domäne joinen

  • Computername
  • Netzwerk Ip Adresse etc
  • Netzwerk DNS Client Einstellung: 1. DNS Controller = 1. DC
  • DNS Lookup prüfen : nslookup <domäne> zeigt 1. Domänencontroller (nslookup glattlab.net …)
  • Computer joinen in Domäne
Add-Computer -Credential glattlab\Administrator -DomainName glattlab.net -NewName ad02 -Restart -Force

DC2 WindowsFeatures installieren

  • Wie bei 1. DC:
Install-WindowsFeature AD-Domain-Services, DNS, RSAT-AD-AdminCenter, RSAT-ADDS-Tools, RSAT-DNS-Server, GPMC

 

DC2 als Domänencontroller einbinden

Der zweite DC wird installiert:

Install-ADDSDomainController –DomainName "glattlab.net" -InstallDns:$true -CreateDnsDelegation:$false -SiteName 'Default-First-Site-Name' -NoGlobalCatalog:$false -SafeModeAdministratorPassword (read-host -prompt "DSRM Password:" -assecurestring) -DatabasePath "C:\Windows\NTDS" -LogPath "C:\Windows\NTDS" -SysvolPath "C:\Windows\SYSVOL" -NoRebootOnCompletion -Force:$true

 

DNS Client Settings anpassen auf allen DC

Falls nur 1 DC vorhanden:

  • Primary DNS: eigene IP, Alternate DNS: 127.0.0.1

Falls mehrere DC vorhanden:

  • Primary DNS: anderer DC IP, Alternate DNS: eigene IP, Advanced DNS: 3. DNS eintragen 127.0.0.

 

AD Sites und Replikation konfigurieren

AD Sites anlegen

  • IP Subnetze
  • Site Struktur
  • Replikations Parameter zwischen den Sites

 

Zeit Konfiguration für externe Synchronisation

  • DC1 soll auf externen NTP synchen
  • DC2 und weitere sollen via W32time synchronisieren
  • VMware Hosta Synchronisation abschalten?
auf dem PDC:
cmd> w32tm /config /computer:ad01.glattlab.net /manualpeerlist:10.95.161.179 /syncfromflags:manual /update

 

AD Recycle Bin einschalten

Zumindest bei W2012 Server war der Recycle Bin ein optionales Feature und musste manuell angelegt/aktiviert werden. Es ist zu prüfen, ob das in  W2016 ev. einfacher per Powershell gemacht werden kann.

Enable-ADOptionalFeature –Identity ‘CN=Recycle Bin Feature,CN=Optional Features,CN=Directory Service,CN=Windows NT,CN=Services,CN=Configuration,DC=glattlab,DC=net’ –Scope ForestOrConfigurationSet –Target ‘glattlab.net’
Set-ADObject -Identity “CN=Directory Service,CN=Windows NT,CN=Services,CN=Configuration,DC=glattlab,DC=net" –Partition “CN=Configuration,DC=glattlab,DC=net" –Replace:@{“tombstoneLifetime” = 365}
Set-ADObject -Identity “CN=Directory Service,CN=Windows NT,CN=Services,CN=Configuration,DC=glattlab,DC=net" –Partition “CN=Configuration,DC=glattlab,DC=net" –Replace:@{“msDS-DeletedObjectLifetime” = 365}

 

AD Konfiguration prüfen

  • Best Practise Analyser
Invoke-BpaModel -ModelId Microsoft/Windows/DirectoryServices 
Get-BpaResult Microsoft/Windows/DirectoryServices (lange Ausgabe..)
Get-BpaResult Microsoft/Windows/DirectoryServices | where Severity -eq Error
Get-BpaResult Microsoft/Windows/DirectoryServices | where Severity -eq Warning
  • dcdiag /v
  • repadmin
  • nltest /dclist:domäne

 

AD GPOs einrichten

(Eigenes Post für GPO Einstellungen )

AD GPO Policy Store einrichten

Siehe auch: http://technet.microsoft.com/de-de/library/cc748955(v=ws.10).aspx

  • Auf den DC einloggen als administrator
  • Folderstruktur in sysvol anlegen
mkdir C:\Windows\SYSVOL\domain\Policies\PolicyDefinitions
mkdir C:\Windows\SYSVOL\domain\Policies\PolicyDefinitions\EN-US
  • Bestehende lokale Policies zentral ablegen
  • Copy bestehende lokale Policies auf den PolicyStore
xcopy /E /V C:\Windows\PolicyDefinitions\* C:\Windows\SYSVOL\domain\Policies\PolicyDefinitions
  • Eventuell zusätzliche ADMX/ADML installieren (für Office, für Adobe Reader, für Chrome etc)

AD GPO Basis Einstellungen vornehmen

Z.B. folgende

– Automatic Updates
– BGinfo
– UAC