Andrew Warren betreibt sein eigenes Schulungs- und Beratungsunternehmen in Großbritannien. Er hat als Fachmann für Kurse zu Windows Server 2016, als technischer Leiter für Kurse zu Windows 10 und als Mitentwickler von TechNet-Sitzungen zu Microsoft Exchange Server gearbeitet und verfügt über mehr als 30 Jahre Erfahrung in der IT-Branche. Zu Hause ist er im ländlichen Somerset.
Zu diesem Buch – sowie zu vielen weiteren dpunkt.büchern – können Sie auch das entsprechende E-Book im PDF-Format herunterladen. Werden Sie dazu einfach Mitglied bei dpunkt.plus+: www.dpunkt.plus |
Original Microsoft Prüfungstraining 70-742
Andrew James Warren
Lektorat: Sandra Bollenbacher
Übersetzung & Satz: G&U Language & Publishing Services GmbH, www.gundu.com
Copy-Editing: Petra Heubach-Erdmann, Düsseldorf
Herstellung: Susanne Bröckelmann
Umschlaggestaltung: Helmut Kraus, www.exclam.de
Druck und Bindung: M.P. Media-Print Informationstechnologie GmbH, 33100 Paderborn
Bibliografische Information der Deutschen Nationalbibliothek
Die Deutsche Nationalbibliothek verzeichnet diese Publikation in der Deutschen Nationalbibliografie; detaillierte bibliografische Daten sind im Internet über http://dnb.d-nb.de abrufbar.
ISBN:
Print 978-3-86490-443-1
PDF 978-3-96088-235-0
ePub 978-3-96088-236-7
mobi 978-3-96088-237-4
Translation Copyright für die deutschsprachige Ausgabe © 2017 dpunkt.verlag GmbH Wieblinger Weg 17
69123 Heidelberg
Authorized translation from the English language edition, entitled EXAM REF 70-742 IDENTITY WITH WINDOWS SERVER 2016, 1st Edition by ANDREW WARREN, published by Pearson Education, Inc, publishing as Microsoft Press, Copyright © 2017 by Pearson Education Inc.
All rights reserved. No part of this book may be reproduced or transmitted in any form or by any means, electronic or mechanical, including photocopying, recording or by any information storage retrieval system, without permission from Pearson Education, Inc.
German language edition published by DPUNKT.VERLAG GMBH, Copyright © 2017
ISBN of the English language edition: 978-0-7356-9881-9
Die vorliegende Publikation ist urheberrechtlich geschützt. Alle Rechte vorbehalten. Die Verwendung der Texte und Abbildungen, auch auszugsweise, ist ohne die schriftliche Zustimmung des Verlags urheberrechtswidrig und daher strafbar. Dies gilt insbesondere für die Vervielfältigung, Übersetzung oder die Verwendung in elektronischen Systemen.
Es wird darauf hingewiesen, dass die im Buch verwendeten Soft- und Hardware-Bezeichnungen sowie Markennamen und Produktbezeichnungen der jeweiligen Firmen im Allgemeinen warenzeichen-, marken- oder patentrechtlichem Schutz unterliegen.
Alle Angaben und Programme in diesem Buch wurden mit größter Sorgfalt kontrolliert. Weder Autor noch Verlag können jedoch für Schäden haftbar gemacht werden, die in Zusammenhang mit der Verwendung dieses Buchs stehen.
5 4 3 2 1 0
Einführung
Der Aufbau dieses Buches
Microsoft-Zertifizierungen
Danksagungen
Kostenlose E-Books von Microsoft Press
Microsoft Virtual Academy
Schnellzugriff auf Onlinequellen
Errata, Aktualisierungen und Unterstützung
Sagen Sie uns Ihre Meinung
Bleiben Sie in Verbindung
Wichtig: Wie Sie sich mit diesem Buch auf die Prüfung vorbereiten
Kapitel 1
Active Directory-Domänendienste installieren und konfigurieren
Prüfungsziel 1.1:
Installieren und Konfigurieren von Domänencontrollern
Grundlagen von AD DS
Installieren einer neuen Gesamtstruktur
Hinzufügen und Entfernen von Domänencontrollern
Installieren von AD DS auf einer Server Core-Installation
Installieren eines Domänencontrollers mit der Option »Installieren von Medium«
Installieren und Konfigurieren eines schreibgeschützten Domänencontrollers
Konfigurieren eines globalen Katalogservers
Klonen von Domänencontrollern
Aktualisieren von Domänencontrollern
Übertragen und Übernehmen von Betriebsmasterrollen
Lösen von Problemen bei der Registrierung von DNS-SRV-Einträgen
Prüfungsziel 1.2:
Erstellen und Verwalten von Active Directory-Benutzern und -Computern
Erstellen, Kopieren, Konfigurieren und Löschen von Benutzern und Computern
Durchführen eines Offline-Domänenbeitritts
Einrichten von Benutzerrechten
Durchführen von Active Directory-Massenoperationen
Prüfungsziel 1.3:
Erstellen und Verwalten von Active Directory-Gruppen und -Organisationseinheiten
Erstellen und Verwalten von Gruppen
Erstellen und Verwalten von Organisationseinheiten
Delegieren der Verwaltung von Active Directory-Objekten
Kapitel 2
Verwaltung und Wartung von AD DS
Prüfungsziel 2.1:
Einrichten der Dienstauthentifizierung und von Kontorichtlinien
Erstellen und Konfigurieren von MSAs und gMSAs
Verwalten von SPNs
Einrichten der eingeschränkten Kerberos-Delegierung
Einrichten von virtuellen Konten
Einrichten von Kontorichtlinien
Einrichten und Anwenden von Kennworteinstellungsobjekten
Delegieren der Verwaltung von Kennworteinstellungen
Prüfungsziel 2.2:
Warten von Active Directory
Offline-Verwaltung von Active Directory
Sichern und Wiederherstellen von Active Directory
Verwalten von schreibgeschützten Domänencontrollern
Verwalten der AD DS-Replikation
Prüfungsziel 2.3:
Konfigurieren von Active Directory in einer komplexen Unternehmensumgebung
Einrichten einer AD DS-Infrastruktur mit mehreren Domänen und Gesamtstrukturen
Bereitstellen von Windows Server 2016-Domänencontrollern in einer vorhandenen AD DS-Umgebung
Aktualisieren von vorhanden Domänen und Gesamtstrukturen
Einrichten der Domänen- und Gesamtstrukturfunktionsebenen
Einrichten mehrerer Suffixe für Benutzerprinzipalnamen
Einrichten von Vertrauensstellungen
Einrichten von AD DS-Standorten und -Subnetzen
Kapitel 3
Erstellen und Verwalten von Gruppenrichtlinien
Prüfungsziel 3.1:
Erstellen und Verwalten von Gruppenrichtlinienobjekten
Einrichten mehrerer lokaler Gruppenrichtlinien
Überblick über Domänengruppenrichtlinienobjekte
Verwalten von Starter-Gruppenrichtlinienobjekten
Verknüpfen von Gruppenrichtlinienobjekten
Sichern, Wiederherstellen, Importieren und Kopieren von Gruppenrichtlinienobjekten
Erstellen und Einrichten einer Migrationstabelle
Zurücksetzen von Standard-Gruppenrichtlinienobjekten
Delegieren der Verwaltung von Gruppenrichtlinien
Erkennen von Integritätsproblemen mithilfe des Gruppenrichtlinien-Infrastrukturstatus
Prüfungsziel 3.2:
Einrichten der Verarbeitung von Gruppenrichtlinien
Festlegen der Verarbeitungsreihenfolge und des Vorrangs
Einrichten der Vererbung
Einrichten der Sicherheits- und WMI-Filterung
Einrichten der Loopbackverarbeitung
Einrichten und Verwalten der Verarbeitung über langsame Verbindungen und der Zwischenspeicherung
Einrichten des Verhaltens clientseitiger Erweiterungen
Erzwingen der Aktualisierung von Gruppenrichtlinien
Prüfungsziel 3.3:
Einrichten von Gruppenrichtlinieneinstellungen
Steuern der Softwareinstallation
Einrichten von Skripts
Importieren von Sicherheitsvorlagen
Einrichten der Ordnerumleitung
Verwenden von administrativen Vorlagen
Prüfungsziel 3.4:
Einrichten von Gruppenrichtlinienpräferenzen
Einrichten von Gruppenrichtlinienpräferenzen
Anwendung auf spezifische Elemente
Kapitel 4
Einrichten von Active Directory-Zertifikatdiensten
Prüfungsziel 4.1:
Installieren und Einrichten von Active Directory-Zertifikatdiensten
Entscheidung zwischen eigenständigen und Unternehmenszertifizierungsstellen
Installieren von eigenständigen Zertifizierungsstellen
Installieren von Unternehmenszertifizierungsstellen
Installieren von Offlinezertifizierungsstellen
Installieren und Einrichten eines Online-Responders
Trennung der Verwaltungsrollen
Sichern und Wiederherstellen von Zertifizierungsstellen
Prüfungsziel 4.2:
Verwalten von Zertifikaten
Verwalten von Zertifikatvorlagen
Bereitstellen, Validieren und Sperren von Zertifikaten
Archivieren und Wiederherstellen von Schlüsseln
Kapitel 5
Identitätsverbund und Zugriffslösungen
Prüfungsziel 5.1:
Installieren und Einrichten der Active Directory-Verbunddienste
Überprüfen der Voraussetzungen für Verbunddienste
Installieren der Verbunddienste
Einrichten der Verbunddienste
Einrichten der anspruchsgestützten Authentifizierung
Einrichten von Authentifizierungsrichtlinien
Einrichten der Geräteregistrierung
Einrichtung zur Verwendung von Microsoft Azure und Microsoft Office 365
Einrichten der Verbunddienste zur Authentifizierung von Benutzern in LDAP-Verzeichnissen
Aktualisieren und Migrieren von früheren Verbunddienst-Bereitstellungen auf Windows Server 2016
Prüfungsziel 5.2:
Verwenden des Webanwendungsproxys
Installieren und Einrichten des Webanwendungsproxys
Einbinden des Webanwendungsproxys in Active Directory-Verbunddienste
Einrichten des Webanwendungsproxys im Pass-through-Modus
Veröffentlichen von Remotedesktopgateway-Anwendungen
Prüfungsziel 5.3:
Installieren und Einrichten der Active Directory-Rechteverwaltungsdienste
Überblick über AD RMS
Bereitstellen eines AD RMS-Servers
Verwalten von Vorlagen für Benutzerrechterichtlinien
Einrichten von Ausschlussrichtlinien
Sichern und Wiederherstellen von AD RMS
Index
Bei der Prüfung 70-742 geht es um die Identitätsfunktionen von Windows Server 2016. Sie deckt die Installation und Konfiguration der Active Directory-Domänendienste (AD DS) sowie die Verwaltung und Wartung von AD DS einschließlich der Konfiguration für komplexe Unternehmensumgebungen ab. Einen wichtigen Bestandteil der Prüfung bildet das Erstellen und Verwalten von Gruppenrichtlinien. Des Weiteren werden die Implementierung der Active Directory-Zertifikatdienste (AD CS) sowie Identitätsverbund- und Zugriffslösungen wie die Active Directory-Verbunddienste (AD FS), der Webanwendungsproxies und die Active Directory-Rechteverwaltungsdienste (AD RMS) behandelt.
Dieses Buch richtet sich an AD DS-Administratoren, die eine Schulung in den Identitätsund Zugriffstechnologien für Windows Server 2016 benötigen. Es erklärt, wie Sie AD DS in einer verteilten Umgebung bereitstellen und einrichten und wie Sie Gruppenrichtlinien einsetzen. Außerdem wird die Bereitstellung von AD FS, AD RMS und AD CS erklärt.
Zwar deckt dieses Buch alle wichtigen Themenbereiche der Prüfung ab, aber nicht jede einzelne Prüfungsfrage. Nur das Microsoft-Prüfungsteam hat Zugang zu den Prüfungsfragen, und Microsoft fügt regelmäßig neue Fragen hinzu, sodass es nicht möglich ist, sämtliche Fragen zu behandeln. Betrachten Sie dieses Buch als Ergänzung zu Ihren praktischen Erfahrungen mit unserem Lernmaterial. Wenn Sie in diesem Buch auf ein Thema stoßen, in dem Sie sich nicht richtig firm fühlen, nehmen Sie sich die Zeit, es anhand der Links zu weiteren Informationsquellen genauer zu studieren. Auf MSDN und TechNet sowie in Blogs und Foren sind hervorragende Informationen zu finden.
Dieses Buch ist nach den Prüfungszielen gegliedert, die für die Prüfung veröffentlicht wurden. Diese Liste können Sie für jede Prüfung von der Microsoft Learning-Website unter https://aka.ms/exam-list abrufen. Jedes Kapitel in diesem Buch entspricht einem größeren Themengebiet der Liste, und die einzelnen technischen Aufgaben innerhalb des Themengebiets bestimmen den Aufbau des Kapitels.
Durch Microsoft-Zertifizierungen können Sie sich auszeichnen. Diese Urkunden beweisen, dass Sie eine breite Palette von Fähigkeiten und Erfahrungen mit aktuellen Produkten und Technologien von Microsoft haben. Die Prüfungen und zugehörigen Zertifizierungen wurden entwickelt, um Ihre Beherrschung entscheidender Fertigkeiten für Entwurf und Bereitstellung, Implementierung oder Unterstützung von Lösungen mit Microsoft-Produkten und -Technologien am Firmensitz und in der Cloud zu messen. Eine Zertifizierung bietet eine Reihe von Vorteilen für Einzelpersonen sowie für Arbeitgeber und Organisationen.
WEITERE INFORMATIONEN Alle Microsoft-Zertifizierungen
Weitere Informationen über Microsoft-Zertifizierungen einschließlich einer kompletten Liste aller verfügbaren Zertifizierungen finden Sie unter:
https://www.microsoft.com/learning
Andrew Warren Wenn man beginnt, ein Buch zu schreiben, sitzt man erst einmal eine Weile da und starrt den blinkenden Cursor auf dem Computerbildschirm an. Schließlich dämmert es einem, dass sich das Buch nicht von selbst schreibt, sodass man schließlich anfängt. Der Autor ist jedoch nur das erste Glied der Kette. Ohne meine Lektoren Trina MacDonald und das Pearson-Team würde mein Cursor immer noch blinken. Ich möchte auch meiner Frau und meiner Tochter dafür danken, dass sie die Espressomaschine immer betriebsbereit und mit Kaffeebohnen gefüllt gehalten haben.
Die kostenlosen E-Books von Microsoft Press decken eine breite Palette von Themen ab und bieten sowohl einen technischen Überblick als auch ausführliche Informationen zu besonderen Themen (in englischer Sprache). Verfügbar sind sie als PDF EPUB und im Mobi-Format für den Kindle. Herunterladen können Sie sie von folgender Adresse:
https://aka.ms/mspressfree
Schauen Sie ruhig häufiger dort vorbei, um sich anzusehen, was es Neues gibt!
Erweitern Sie Ihre Kenntnisse über Microsoft-Technologien mit kostenlosen, expertengeführten Online-Schulungen an der Microsoft Virtual Academy (MVA). Sie bietet eine umfassende Sammlung von Videos sowie Live-Veranstaltungen und mehr, um Ihnen zu helfen, die jüngsten Technologien zu erlernen und sich auf die Zertifizierungsprüfungen vorzubereiten. Weitere Informationen erhalten Sie unter folgender Adresse:
https://www.microsoftvirtualacademy.com
In diesem Buch finden Sie sehr viele Verweise auf empfehlenswerte Webseiten, auf denen Sie weitere Informationen erhalten können. Es kann manchmal mühselig sein, diese Webadressen (oder URLs) in den Browser einzugeben. Daher haben wir eine Gesamtliste zusammengestellt, die Sie als Leser der gedruckten Ausgabe dieses Buches während der Lektüre nutzen können. Diese Liste können Sie herunterladen von:
https://www.dpunkt.de/70-742
Die URLs sind nach Kapitel und Überschrift geordnet. Wenn Sie in diesem Buch auf einen URL stoßen, finden Sie in der Liste den zugehörigen Hyperlink, über den Sie die Webseite direkt aufsuchen können.
Wir haben jede erdenkliche Anstrengung unternommen, um die Genauigkeit dieses Buches und der begleitenden Inhalte zu gewährleisten. Aktualisierungen zu diesem Buch, etwa eine Liste eingereichter Errata (zum Originalbuch) und zugehöriger Korrekturen, finden Sie unter folgender Adresse:
https://aka.ms/examref742/errata
Wenn Sie zusätzliche Unterstützung benötigen, wenden Sie sich per E-Mail an den Microsoft Press Book Support unter mspinput@microsoft.com (bitte in englischer Sprache) oder in Deutsch an den dpunkt.verlag unter hallo@dpunkt.de.
Beachten Sie, dass wir über diese Adressen keine Produktunterstützung für Microsoft-Software und Hardware bieten. Dazu wenden Sie sich bitte an:
https://support.microsoft.com
Ihre Zufriedenheit hat für uns bei Microsoft Press den höchsten Stellenwert, weshalb Ihre Rückmeldung von uns von großem Wert ist. Bitte teilen Sie uns unter folgender Adresse mit, was Sie von diesem Buch halten (bitte in Englisch):
https://aka.ms/tellpress
Da wir wissen, wie kostbar Ihre Zeit ist, haben wir uns kurz gefasst und nur wenige Fragen gestellt. Ihre Antworten werden direkt an die Redakteure bei Microsoft Press weitergeleitet. (Es werden keine persönlichen Daten von Ihnen abgefragt.) Vielen Dank im Voraus für Ihre Mitarbeit!
Wir möchten mit Ihnen im Gespräch bleiben. Sie finden uns auf Twitter unter:
http://twitter.com/MicrosoftPress (Englisch)
https://twitter.com/dpunkt_verlag (Deutsch)
In den Zertifizierungsprüfungen werden Ihre praktischen Erfahrungen und Produktkenntnisse bestimmt. Verwenden Sie dieses Buch, um für sich selbst festzustellen, ob Sie schon zur Prüfung bereit sind, indem Sie Ihr Wissen über die dort abgefragten Themen kontrollieren. Bestimmen Sie, in welchen Themen Sie sich schon gut auskennen und in welchen Sie noch mehr Erfahrung benötigen. Um Ihre Kenntnisse in einzelnen Gebieten aufzufrischen, haben wir Kästen mit dem Titel »Weitere Informationen« hinzugefügt, in denen wir Sie auf ausführlichere Informationen außerhalb dieses Buches aufmerksam machen.
Dieses Buch ist kein Ersatz für praktische Erfahrung und auch nicht geeignet, um sich völlig neue Fähigkeiten anzueignen.
Wir empfehlen Ihnen, Ihre Prüfungsvorbereitung durch eine Kombination der verfügbaren Lernmaterialien und Kurse abzurunden. Mehr über Präsenzschulungen erfahren Sie unter https://www.microsoft.com/learning. Für viele Prüfungen gibt es auch offizielle Übungstests unter https://aka.ms/practicetests. Kostenlose Online-Kurse und Live-Veranstaltungen der Microsoft Virtual Academy finden Sie unter https://www.microsoftvirtualacademy.com.
Dieses Buch ist nach den Prüfungszielen gegliedert, die für die Prüfung veröffentlicht wurden. Diese Liste können Sie für jede Prüfung von der Microsoft Learning-Website unter https://aka.ms/exam-list abrufen.
Beachten Sie, dass dieses Buch auf der Grundlage öffentlich verfügbarer Informationen und der eigenen Erfahrungen des Autors geschrieben wurde. Um Betrug während der Prüfung auszuschließen, haben auch unsere Autoren keinen Zugang zu den Prüfungsfragen.
Die Active Directory-Domänendienste (AD DS) bilden den Grundstein der Identitäts- und Zugriffslösungen in Windows Server 2016. Es ist daher wichtig, sich mit der Einrichtung einer AD DS-Infrastruktur vertraut zu machen, um die Identitätsbedürfnisse Ihrer Organisation erfüllen zu können.
In diesem Kapitel sehen wir uns an, wie Sie Domänencontroller installieren und konfigurieren und wie Sie Benutzer, Gruppen, Computer und Organisationseinheiten erstellen und einrichten. Dies sind grundlegende Aufgaben für die Einrichtung von AD DS.
WICHTIG Haben Sie Seite xiv gelesen?
Auf dieser Seite finden Sie wichtige Informationen über die Kenntnisse, die Sie zum Bestehen der Prüfung benötigen.
Domänencontroller haben die Windows Server 2016-Rolle AD DS inne und stellen Authentifizierungs- und zugehörige Dienste für die Computer und sonstigen Netzwerkgeräte Ihrer Organisation bereit. Bevor Sie sich der Bereitstellung von AD DS-Domänencontrollern widmen können, müssen Sie jedoch zunächst die Grundlagen von AD DS kennen. Dazu gehören auch Grundbegriffe wie Gesamtstrukturen, Strukturen, Domänen, Sites und Organisationseinheiten.
Inhalt dieses Abschnitts:
AD DS besteht sowohl aus logischen als auch aus physischen Komponenten. Physische Komponenten sind Dinge, die Sie anfassen können, also beispielsweise ein Domänencontroller, wohingegen es sich bei einer AD DS-Gesamtstruktur um eine immaterielle, logische Komponente handelt. AD DS umfasst die folgenden logischen Komponenten:
PRÜFUNGSTIPP
Da für alle Domänen in einer Gesamtstruktur derselbe Gesamtstrukturadministrator zuständig ist – nämlich die universelle Sicherheitsgruppe Organisations-Admins –, kann mit Domänen keine administrative Trennung erreicht werden. Um eine vollständige administrative Trennung zu erreichen, müssen Sie mehrere AD DS-Gesamtstrukturen einrichten.
PRÜFUNGSTIPP
Bei der Installation von AD DS wird der Standardstandort Default-First-Site-Name eingerichtet. Solange Sie keine weiteren Standorte erstellen und ihnen Domänencontroller zuweisen, gehören alle Domänencontroller zu diesem Standort. Wollen Sie weitere Standortobjekte anlegen, so sollten Sie den Standardstandort umbenennen.
HINWEIS AD DS-Replikation
Bei Änderungen an AD DS müssen die anderen Instanzen der betroffenen Partition aktualisiert werden. Dieser Vorgang wird als AD DS-Replikation bezeichnet. Durch die Aufteilung der Datenbank in mehrere Elemente wird die Replikationslast verringert.
Es handelt sich dabei um folgende Partitionen:
HINWEIS Schreibgeschützte Domänencontroller
Schreibgeschützte Domänencontroller (Read-Only Domain Controllers, RODC) enthalten eine schreibgeschützte Kopie der Domänenpartition.
HINWEIS Anwendungsverzeichnispartition
Es ist auch möglich, eigene Partitionen für verzeichnisfähige Anwendungen zu erstellen, die Sie in der Gesamtstruktur bereitstellen. Beispielsweise können Sie DNS so einrichten, dass es eine bestimmte Anwendungsverzeichnispartition für die AD-integrierte Zonenreplikation nutzt.
Um eine neue AD DS-Gesamtstruktur zu installieren, müssen Sie den ersten Domänencontroller dieser Gesamtstruktur bereitstellen. Das bedeutet, die AD DS-Serverrolle auf einem Windows Server 2016-Computer einzurichten und diesen Server dann zum Domänencontroller hochzustufen, wobei Sie die Option Neue Gesamtstruktur hinzufügen wählen müssen.
Um eine neue Gesamtstruktur zu erstellen, installieren Sie als Erstes wie folgt die AD DS-Rolle:
PRÜFUNGSTIPP
Sie können die erforderlichen Dateien auch über die Windows PowerShell installieren. Führen Sie dazu den Befehl Install-WindowsFeature AD-Domain-Services an einer Windows PowerShell-Eingabeaufforderung mit erhöhten Rechten aus.
Nach der Installation der Binärdateien für AD DS erstellen Sie die neue Gesamtstruktur, indem Sie den Computer zum ersten Domänencontroller in dieser Gesamtstruktur heraufstufen. Gehen Sie dazu folgendermaßen vor:
PRÜFUNGSTIPP
Zum Heraufstufen können Sie auch das Cmdlet Install-ADDSDomainController der Windows PowerShell verwenden. Um beispielsweise den lokalen Server als zusätzlichen Domänencontroller in der Domäne adatum.com hinzuzufügen und die DNS-Serverrolle zu installieren, führen Sie install-ADDSDomainController -InstallDns-DomainName adatum.com aus.
WEITERE INFORMATIONEN Funktionsebenen in Windows Server 2016
Weitere Informationen über die Domänen- und Gesamtstrukturfunktionsebenen in Windows Server 2016 finden Sie auf der Microsoft TechNet-Website unter:
https://technet.microsoft.com/de-de/windows-server-docs/identity/ad-ds/windows-server-2016-functional-levels
PRÜFUNGSTIPP
Es ist gewöhnlich nicht sinnvoll, verschiedene Pfade zu verwenden. Wenn Ihr Server über mehrere physische Festplatten verfügt, kann es einen kleinen Leistungsvorteil bringen, die SYSVOL-, die Datenbank- und die Protokolldateien getrennt voneinander unterzubringen, da dadurch die Last verteilt wird.
WEITERE INFORMATIONEN Installieren von Active Directory-Domänendiensten
Weitere Informationen über die Bereitstellung von AD DS finden Sie auf der Microsoft TechNet-Website unter:
https://technet.microsoft.com/de-de/windows-server-docs/identity/ad-ds/deploy/install-active-directory-domain-services--level-100-
Nachdem Sie den ersten Domänencontroller in der AD DS-Gesamtstruktur bereitgestellt haben, können Sie weitere Domänencontroller hinzufügen, um für Ausfallsicherheit zu sorgen und die Leistung zu verbessern. Der Vorgang ist im Großen und Ganzen identisch mit dem für den ersten Domänencontroller: Sie installieren die AD DS-Serverrolle (über den Server-Manager oder die Windows PowerShell) und stufen den Computer dann zum Domänencontroller hoch (ebenfalls entweder mit dem Server-Manager oder der PowerShell).
Welche Optionen Sie zum Heraufstufen wählen sollten, hängt jedoch von der Art der Bereitstellung ab. Es gibt die beiden folgenden grundlegenden Situationen:
Neue Domänen werden meistens hinzugefügt, um Replikationsgrenzen einzurichten. Da die meisten Änderungen an der AD DS-Datenbank in der Domänenpartition stattfinden, ruft diese Partition auch den meisten Replikationsdatenverkehr hervor. Durch die Aufteilung der Gesamtstruktur in mehrere Domänen verteilen Sie den Umfang der Änderungen und verringern dadurch die Replikation zwischen Standorten. Nehmen Sie beispielsweise an, die Firma Adatum unterhält umfassende Bereitstellungen von Computern sowohl in Europa als auch in Kanada. Das Unternehmen kann dann innerhalb der Stammdomäne adatum.com die beiden getrennten Domänen europe.adatum.com und canada.adatum.com erstellen, damit Änderungen in europe.adatum.com nicht auf Domänencontroller in canada.adatum.com repliziert werden müssen und umgekehrt.
Um einen neuen Domänencontroller zu einer vorhandenen Domäne hinzuzufügen, melden Sie sich als Domänenadministrator an und führen den folgenden Vorgang aus:
PRÜFUNGSTIPP
Eine Anmeldung als Mitglied der globalen Sicherheitsgruppe Domänen-Admins setzt voraus, dass der Servercomputer, den Sie heraufstufen möchten, zur Zieldomäne gehört. Ist das nicht der Fall, so ist es einfacher, den Servercomputer erst zu der Zieldomäne hinzuzufügen und den Vorgang danach auszuführen. Wollen Sie den Computer nicht zu der Zieldomäne hinzufügen, müssen Sie sich als lokaler Administrator anmelden und während des Heraufstufungsvorgangs die Anmeldeinformationen eines Domänenadministrators bereitstellen. Eine weitere Voraussetzung besteht darin, dass der Servercomputer, den Sie heraufstufen, Namen mithilfe des DSN-Dienstes in der AD DS-Gesamtstruktur auflösen kann.
Nach dem Abschluss der Heraufstufung melden Sie sich mit einem Domänenadministratorkonto an.
Um einen neuen Domänencontroller in einer neuen Domäne einer vorhandenen Gesamtstruktur hinzuzufügen, müssen Sie sich als Mitglied der universellen Sicherheitsgruppe Organisations-Admins der Gesamtstruktur anmelden und dann den folgenden Vorgang ausführen.
PRÜFUNGSTIPP
Eine Anmeldung als Mitglied der universellen Sicherheitsgruppe Organisations-Admins setzt voraus, dass der Servercomputer, den Sie heraufstufen möchten, zur einer der Domänen Ihrer AD DS-Gesamtstruktur gehört. Ist das nicht der Fall, so ist es einfacher, den Servercomputer erst zur Stammdomäne der Gesamtstruktur hinzuzufügen und den Vorgang danach auszuführen. Wollen Sie den Computer nicht zu der Stammdomäne hinzufügen, müssen Sie sich als lokaler Administrator anmelden und während des Heraufstufungsvorgangs die Anmeldeinformationen eines Unternehmensadministrators bereitstellen. Eine weitere Voraussetzung besteht darin, dass der Servercomputer, den Sie heraufstufen, Namen mithilfe des DSN-Dienstes in der AD DS-Gesamtstruktur auflösen kann.