Windows: Domain Controller installieren

Checkliste Vorarbeiten

Damit wir ein „DCPROMO“ durchführen können, müssen oder sollten folgende Bedingungen erfüllt sein:

Windows Server ist mit allen aktuellen Microsoft Updates versehen
feste IP-Adresse ist vergeben und die Netzwerkkarte konfiguriert (kann nur schwer nachträglich geändert werden)
der entgültige Hostname wurde vergeben? (kann nur schwer nachträglich geändert werden)
Domänen-Name ist festgelegt worden (kann NICHT im Nachgang geändert werden)
eventuell wurde IPv6 bereits auf dem System deaktiviert
Forest-Level auf korrekter Ebene?
Domain-Level auf korrekter Ebene?

Schema erweitern

Wird eine alte Windows Server Version „weg migriert“, ist in der Regel zuvor das AD-Schema an die neue Windows Version anzupassen, damit die Funktionen des neuen Domain Controllers genutzt werden können.

Dazu muss auf dem aktuellen Schema-Master die Installations-CD des neuen Windows Servers eingelegt werden. Auf der Kommandozeile (Admin-Shell) sind dann folgende Befehle auszuführen:

cd D:/Support/adprep
Adprep /forestprep
Adprep /domainprep

Nachfolgender Artikel beschreibt, wie nachvollzogen werden kann, ob das Schema-Update erfoglreich war.

https://learn.microsoft.com/de-de/troubleshoot/windows-server/active-directory/find-current-schema-version

Rolle hinzufügen

Rolle konfigurieren (zusätzlicher DC in vorhandener Domäne)

Der Server startet nach Abschluss des Wizards automatisch neu.

Nacharbeiten

DNS-Weiterleitungen setzen

NTP-Server für PDC hinterlegen

Dies ist nur beim PDC-Emulator erforderlich. Es muss ein externer NTP-Server als valide Quelle angegeben werden:

w32tm /config /manualpeerlist:"ptbtime1.ptb.de,0x1 ptbtime2.ptb.de,0x1 ptbtime3.ptb.de,0x1" /update /reliable:YES

AD-Struktur Schablone

Eine Vorlage für „Active Directory Users & Computers“:

FIRMA
|
| Standort
| |
| | Benutzer
| |
| | | Admins
| | | Dienste
| | | Personen
| | | 
| | Gruppen
| | | 
| | | Mailverteiler
| | | Personen
| | | Ressourcen
| | | 
| | Hardware
| | | 
| | | Notebook
| | | PC
| | | Server

Migration NTFRS auf DFSR - Event 13577 NtFrs

Siehe Windows Server: Migration von NTFRS zu DFSR!

DSRM-Passwort setzen

Als Domänen-Administrator Start → Auführen „ntdsutil“. Es öffnet sich ein Commandpromt des Ntdsutil.

Darin sind folgende Befehle abzusetzen:

set dsrm password
reset password on server null
q

Anstelle des Parameters null kann auch der Servername des Zielsystems angegeben werden. Wird null angegeben, wird das Passwort auf der lokalen Maschine geändert.