Active Directory installieren

Das Active Directory ist das Herzstück jeder Windows-Unternehmensumgebung. Es ist der Dienst, der dafür sorgt, dass sich ein Benutzer mit seinem Passwort an jedem Computer in der Firma anmelden kann – ohne dass sein Konto auf jedem PC einzeln gespeichert sein muss. Stell dir das Active Directory wie das Einwohnermeldeamt einer Stadt vor: Dort sind alle registriert, jeder hat einen eindeutigen Eintrag, und wer einen Ausweis braucht, bekommt einen ausgestellt. Jedes Gerät und jeder Benutzer in der Domäne hat einen solchen „Eintrag" im AD.

AD DS steht für Active Directory Domain Services und ist die Serverrolle, die einen Windows Server zum Domänencontroller (DC) macht. Mindestens ein DC muss im Netzwerk vorhanden sein. In der Praxis sind es immer mindestens zwei – damit bei einem Ausfall der zweite übernimmt. Die Installation besteht aus zwei Schritten: erst die Rolle installieren, dann den Server zum DC hochstufen (Promote).

1) Wichtige AD-Konzepte vor der Installation

Bevor du auf „Installieren" klickst, solltest du drei Konzepte verstehen, weil du während der Installation nach ihnen gefragt wirst. Ein Fehler bei diesen Angaben lässt sich nachträglich schwer korrigieren:

Active Directory Grundkonzepte – vor der Installation verstehen

🏢

Forest (Gesamtstruktur)

Der äußerste Rahmen im AD. Ein Forest enthält alle Domains des Unternehmens. Der erste DC baut den ersten Forest. Der Forest-Name ist dauerhaft – er lässt sich nachträglich nicht umbenennen. Kleine Unternehmen haben meist genau einen Forest mit einer Domain.

🌐

Domain (Domäne)

Eine Domain ist eine Verwaltungseinheit im Forest. Sie hat einen DNS-Namen wie firma.local oder ad.firma.de. Alle Benutzer, Computer und Gruppenrichtlinien leben in einer Domain. Mehrere Domains im selben Forest teilen das globale Schema aber haben eigene Admins.

🔑

DSRM-Passwort

Das Directory Services Restore Mode-Passwort ist ein Notfall-Passwort. Damit kannst du dich lokal am DC anmelden, auch wenn AD ausgefallen ist – z.B. für Reparaturen. Es ist unabhängig vom Administrator-Passwort. Unbedingt sicher aufbewahren – wer es vergisst, hat bei AD-Problemen ein echtes Problem.

📁

SYSVOL und NETLOGON

SYSVOL ist ein Ordner auf jedem DC, der Gruppenrichtlinien-Dateien und Anmeldeskripte speichert. Er wird zwischen allen DCs repliziert. NETLOGON ist die Freigabe, über die Clients ihre Anmeldeskripte abrufen. Wenn SYSVOL nicht repliziert, gelten Gruppenrichtlinien nicht auf allen DCs gleich.

Wahl des Domain-Namens: Für interne Domänen empfiehlt Microsoft seit Server 2016 einen offiziellen DNS-Namen mit Subdomain, z.B. ad.firma.de, statt firma.local. Warum? .local kollidiert mit mDNS/Bonjour. Mit ad.firma.de kann man interne und externe DNS-Zonen sauber trennen.

2) AD DS installieren – Schritt für Schritt

Die Installation läuft in zwei Phasen. Phase 1 installiert nur die Softwarekomponenten (Binaries). Phase 2 konfiguriert den Server tatsächlich als Domänencontroller – das nennt sich „Promote". Erst nach dem Promote ist der Server ein echter DC. Klicke die Schritte durch:

Active Directory installieren und konfigurieren – Schritt für Schritt

AD DS Rolle installieren (nur Binaries, noch kein DC):Install-WindowsFeature AD-Domain-Services -IncludeManagementTools

DNS-Rolle mitinstallieren – AD DS benötigt DNS zwingend:Install-WindowsFeature DNS -IncludeManagementTools

Server zum ersten DC hochstufen (neuer Forest). -InstallDNS richtet gleichzeitig DNS ein. Den Domain-Namen gut überlegen – nachträgliche Änderung sehr aufwändig!Install-ADDSForest ` -DomainName "ad.firma.de" ` -DomainNetbiosName "FIRMA" ` -InstallDNS ` -SafeModeAdministratorPassword (Read-Host -AsSecureString)

Server startet automatisch neu. Nach dem Neustart ist er Domänencontroller. Anmeldung jetzt mit: FIRMA\Administrator oder Administrator@ad.firma.de (UPN)

Zweiten DC hinzufügen (Empfehlung: immer mindestens 2 DCs). -Credential ist das Admin-Konto der bestehenden Domäne:Install-ADDSDomainController ` -DomainName "ad.firma.de" ` -InstallDNS ` -Credential (Get-Credential)

Installation prüfen – läuft der AD-Dienst? Sind Sysvol und Netlogon freigegeben?Get-Service ADWS, NTDS, Netlogon, DFSR net share | findstr -i "sysvol netlogon"

Drücke „Nächster Schritt".

Nach der Installation: Active Directory Users and Computers (ADUC) öffnen mit dsa.msc. Dort siehst du die Default-OUs: Computers, Users, Domain Controllers. Neue Objekte zunächst in die default-Containers, später in eigene OUs verschieben. DNS-Diagnose: dcdiag /test:dns /v prüft alle AD-DNS-Einträge.

3) Diagnose und häufige Fehler

Die AD-Installation geht manchmal schief. Die häufigsten Fehler und ihre Lösungen:

Fehlermeldung / Symptom	Ursache	Lösung
DNS-Auflösung schlägt fehl nach Promote	Server nutzt noch externen DNS-Server statt sich selbst	Netzwerkkarte auf 127.0.0.1 als DNS zeigen lassen
SYSVOL nicht freigegeben	DFSR-Replikation nicht abgeschlossen	`dfsrmig /GetGlobalState` und warten oder manuell starten
Zweiter DC kann Domäne nicht finden	DNS zeigt auf falschen Server	DNS des zweiten Servers auf IP des ersten DC setzen
dcdiag meldet Fehler	Verschiedene AD-Tests schlagen fehl	`dcdiag /fix` für häufige Probleme oder einzelne Tests mit `dcdiag /test:NAME`

Zusammenfassung

AD DS = Domänencontroller-Rolle. Installation zweistufig: Binaries installieren, dann Server promoten. Domain-Name gut wählen (nicht mehr .local, besser ad.firma.de). DSRM-Passwort sicher aufbewahren. Immer mindestens 2 DCs für Ausfallsicherheit. DNS auf jedem DC lokal auf 127.0.0.1 zeigen lassen.

Active Directory installieren

1) Wichtige AD-Konzepte vor der Installation

2) AD DS installieren – Schritt für Schritt

3) Diagnose und häufige Fehler

Zusammenfassung

Anmelden

Account Registrieren und Fortschritt Speichern!

Modal title