Installation & Konfiguration
Die Installation von Active Directory klingt oft kompliziert, läuft aber in klaren Schritten ab. Wichtig ist zu verstehen, welche Voraussetzungen es gibt, wie die eigentliche Installation aussieht und welche Konfiguration im Alltag unverzichtbar ist.
1) Voraussetzungen
Bevor ein Active Directory installiert werden kann, müssen einige Grundlagen erfüllt sein:
| Voraussetzung | Erklärung | Beispiel |
|---|---|---|
| Windows Server | Nur Windows Server kann ein DC werden. | Typisch: Windows Server 2019/2022 |
| Feste IP-Adresse | DC darf nicht über DHCP schwanken. | 192.168.1.10 |
| DNS-Server | AD braucht DNS zwingend. Entweder gleich mitinstallieren oder extern bereitstellen. | DC ist oft auch DNS-Server |
| Rechnername | Vor Installation festlegen. Nachher schwer zu ändern. | SRV-DC01 |
| Zeitsynchronisation | Kerberos verlangt synchrone Zeit (max. 5 Minuten Abweichung). | DC = Zeitquelle für Clients |
| Netzwerkkonzept | OU-Struktur, Namenskonventionen, Gruppenmodell überlegen. | firma.local als Domänenname |
Praxisfehler:
AD mit dynamischer IP eingerichtet → Anmeldung schlägt fehl.
DNS vergessen → Clients finden DC nicht.
Ungeeigneter Name gewählt →
firma.internführt später zu Problemen, besser:firma.localoder gleich eine echte Domain.
2) Installation eines neuen Forests (erste Domäne)
Die typische Ersteinrichtung läuft so ab:
Windows Server installieren
Rollen & Features → „Active Directory Domain Services“ auswählen.
AD DS konfigurieren
Server zu einem Domänencontroller heraufstufen.
Neuen Forest erstellen
Domänenname festlegen:
firma.local.
DNS-Integration aktivieren
AD richtet DNS automatisch ein.
Wiederherstellungskennwort setzen
Für den „Directory Services Restore Mode“ (DSRM).
Neustart
Server ist nun DC, enthält die AD-Datenbank und DNS.
3) Installation weiterer Domänencontroller
In einem produktiven Umfeld braucht man mindestens zwei DCs.
Zweiter Server installieren → „AD DS“ → „Zu bestehender Domäne hinzufügen“.
DC wird automatisch Mitglied der Domäne.
Replikation beginnt: beide DCs haben danach denselben Datenbestand.
Praxis:
Wenn einer der DCs ausfällt, übernimmt der andere.
Last wird verteilt (mehr Benutzer können sich gleichzeitig anmelden).
4) Wichtige Konfiguration nach der Installation
Nach der AD-Installation ist die Arbeit nicht vorbei. Nun beginnt die Konfiguration:
| Bereich | Aufgabe | Beispiel |
|---|---|---|
| OU-Struktur | Objekte organisieren, GPOs zuweisen. | OU=Abteilungen\Vertrieb |
| Benutzer & Gruppen | Anlegen nach Namenskonvention, Gruppenmodell (AGDLP) einführen. | GG_IT_Admins, DL_Fileserver_RW |
| Gruppenrichtlinien (GPOs) | Standardrichtlinien für Sicherheit, Laufwerke, Drucker, Updates. | Passwortregeln, Netzlaufwerk H: |
| DNS prüfen | SRV-Einträge müssen vorhanden sein. | _ldap._tcp.dc._msdcs.firma.local |
| Zeitsynchronisation | DC synchronisiert Zeit mit externer Quelle, Clients mit dem DC. | w32tm /config |
| Backup einrichten | System State sichern → Wiederherstellung des AD möglich. | Windows Server Backup |
5) Konfiguration der Clients
Damit ein PC Mitglied der Domäne wird, müssen bestimmte Einstellungen stimmen:
Client-IP → DNS muss auf den DC zeigen.
Client in Domäne aufnehmen:
Systemsteuerung → „Domäne ändern“ →
firma.local.
Anmeldung mit Domänenkonto möglich.
Praxis:
Azubi-PC „PC-AZ01“ wird in die Domäne aufgenommen. Danach kann sich azubi1@firma.local anmelden, obwohl das Konto nie lokal am PC erstellt wurde.
6) Typische Fehler bei der Installation
Falscher Domänenname gewählt (z. B.
firma.deohne Besitz der Domain → Konflikte mit externer Website).Nur ein DC → kein Ausfallschutz.
DNS-Server extern eingetragen → Clients finden Domäne nicht.
OU-Struktur nicht geplant → Chaos, wenn das Netzwerk wächst.
Rechte direkt vergeben → unübersichtlich, schwer wartbar.
7) Unterschied: Neue Domäne vs. Neue OU
Oft verwechseln Azubis die Begriffe:
| Neue Domäne | Neue OU |
|---|---|
| Eigene Sicherheitsgrenze | Nur Container innerhalb einer Domäne |
| Eigene Admins | Delegation innerhalb der Domäne |
| Eigene Kennwortrichtlinien | Richtlinien über GPO |
| Hoher Verwaltungsaufwand | Einfach und flexibel |
Merksatz:
„Neue Domäne nur, wenn es wirklich nötig ist – sonst OU nutzen.“
8) Praxisbeispiel: Kleine Firma
Firma hat 50 Mitarbeitende.
Installation: 2 DCs (SRV-DC01, SRV-DC02).
Domäne:
firma.local.OU-Struktur:
OU=Benutzer,OU=Computer,OU=Abteilungen.Standardrichtlinien: Passwort min. 12 Zeichen, Sperre nach 5 Fehlversuchen.
Backup des AD (System State) täglich auf externem Speicher.
Ergebnis:
Benutzer melden sich zentral an.
PCs sind Mitglied der Domäne.
Rechte werden per AGDLP über Gruppen geregelt.
Ausfallsicherheit vorhanden.
Merksätze
AD braucht feste IP und funktionierendes DNS.
Immer mindestens 2 DCs einplanen.
OU-Struktur = Ordnung, Domäne = Grenze.
Backups sind Pflicht (System State!).
Ohne richtige DNS- und Zeitsynchronisation funktioniert die Anmeldung nicht.