Teil 3 - Konfiguration von DNS-/WINS- und DHCP-Serverdienst, Einstellungen auf den Clients + Hineinheben der Clients in die Domäne
Nach der erfolgreichen Installation des W2k3-Servers und der Hochstufung zum Domänencontroller, richten wir nun den DNS/WINS und DHCP-Dienst ein. Danach heben wir die Clients in die Domäne.
Nachdem die Promotion zum DC erfolgreich war, gilt es nun, den Server so zu konfigurieren, dass die Clients problemlos Zugriff haben - die wichtigsten drei Dienste sind DNS (Domain Name Services), WINS (Windows Internet Name Services) und DHCP (Dynamic Host Protocol Configuration).
Doch zuallererst ergänzen wir unsere Installation, also bitte die Server-CD ins Laufwerk legen und über Start => Systemsteuerung => Software => Komponenten hinzufügen oder entfernen => Netzwerkdienste die Dienste DHCP und WINS nachinstallieren.
DHCP und WINS installieren |
Einfach die Haken vor den Dienstnamen setzen und dann mit OK die Installation durchführen.
Danach müssen wir bei den TCP/IP-Einstellungen des Servers noch etwas nacharbeiten, d.h. wir ergänzen zuerst den Eintrag DNS-Server und tragen hier die IP-Adresse unseres Servers ein.
Anpassen der TCP/IP-Einstellungen am Server |
Dann bitte auf "Erweitert" klicken, auf der Registerkarte WINS ebenfalls die IP-Adresse des Servers eintragen und "NetBIOS über TCP/IP aktivieren" anschalten.
Anpassen der TCP/IP-Einstellungen am Server - WINS |
Somit ist sichergestellt, dass später die Namensauflösung sowohl DNS- als auch NetBIOS-technisch problemlos funktioniert. Theoretisch würden XP-Clients und Windows 2003 Server sich zwar auch rein mittels DNS verständigen können, spätestens bei der Einbindung eines Printservers würde das allerdings zu Problemen führen, da diese meist nur NetBIOS beherrschen.
Die Einstellungen bitte alle mit OK bestätigen, damit ist die TCP/IP-Konfiguration des Servers soweit erledigt. Bitte einmal rebooten, bevor es weitergeht.
Der nächste Schritt ist das Überprüfen und Nachbessern des DNS-Serverdienstes: Bei der Promotion zum DC wurde zwar die korrekte Forward-Lookupzone für unsere Domäne erstellt, die Reverse-Lookupzone müssen wir aber selbst erstellen. Dazu öffnen wir via Start => Verwaltung => DNS die DNS-Serverkonsole, die dann in etwa so aussehen sollte:
Wie unschwer zu erkennen ist, fehlt die Reverse-Lookupzone für unsere Domäne, also ergänzen wir diese durch einen Rechtsklick auf "Reverse-Lookupzonen" und Auswahl von "Neue Zone" aus dem Kontextmenü. Damit wird der Assistent zum Hinzufügen von DNS-Zonen gestartet.
DNS-Zone hinzufügen |
Wir erstellen eine primäre, Active-Directory-integrierte Zone, die auf allen Domänencontrollern unserer Domäne verfügbar sein soll (also automatisch repliziert werden würde).
DNS-Zone hinzufügen |
Im nächsten Schritt muss die Netzwerkkennung angegeben werden. Achtung: Auch wenn es sich um eine Reverse-Lookupzone handelt, die Netzwerkkennung muss vorwärts eingegeben werden und nicht, wie oftmals zu lesen ist, rückwärts. Die Abbildung ist also richtig!
DNS-Zone hinzufügen |
Nach Klick auf "Weiter" wählen wir "Nur sichere dynamische Updates zulassen". Dies bewirkt, dass DNS-Einträge zwar dynamisch geändert werden können, allerdings nur von Rechnern, die der Domäne angehören.
DNS-Zone hinzufügen |
Damit ist die Reverse-Lookupzone für unsere Domäne angelegt. Nun muss noch ein Zeiger-Eintrag (PTR) für unseren Server gesetzt werden, dazu Rechtsklick auf die eben angelegte Zone und aus dem Kontextmenü "Neuer Zeiger-Eintrag (PTR)" auswählen.
Zeiger angeben |
Damit ist die lokale DNS-Auflösung soweit eingerichtet, nun muss der Server noch für die Weiterleitung von DNS-Anfragen, die er selbst nicht auflösen kann, konfiguriert werden - z.B. wenn die Clients später im Netz surfen oder Mails holen/senden wollen.
Dazu bitte in der DNS-Serverkonsole einen Rechtsklick auf den Servernamen ausführen und aus dem Kontextmenü "Eigenschaften" wählen, im Dialogfeld auf die Registerkarte "Weiterleitungen" wechseln und dort den DNS-Server eintragen, an den die Anfragen weitergeleitet werden sollen.
Server für die Weiterleitung von DNS-Anfragen einrichten |
Ich habe hier die IP-Adresse eines Telekom-DNS-Servers eingetragen, ihr solltet bestenfalls den/die Nameserver eures Providers eintragen (die ihr entweder in der Admin-Oberfläche eures Routers findet oder per ipconfig /all, wenn ihr eine DFÜ-Verbindung nutzt).
Damit ist die Konfiguration des DNS-Servers abgeschlossen, nun prüfen wir den WINS-Server auf Funktionsfähigkeit: Start => Verwaltung => WINS.
In der WINS-Serverkonsole durch Klick auf das Pluszeichen den Baum erweitern und dann Rechtsklick auf "Aktive Registrierungen".
Aus dem Kontextmenü "Datensätze anzeigen..." wählen und im Dialogfeld "Einträge anzeigen" den Haken bei "Nach Einträgen mit diesem Namensmuster filtern" setzen. Um die Funktion zu überprüfen: die ersten drei, vier Buchstaben des Servernamens eingeben und auf "Suche starten" klicken.
WINS testen |
Das Ergebnis sollte so aussehen:
Damit ist der Funktionstest für den WINS-Server auch schon beendet, es bedarf für unsere Zwecke keiner weiteren Einstellungen.
Wenden wir uns nun der Konfiguration des DHCP-Servers zu: Dieser ist dafür verantwortlich, dass jeder Client vom Server eine passende TCP/IP-Konfiguration verpasst bekommt. Für uns wichtig sind die Einträge IP-Adresse, DNS-Server, WINS-Server und Gateway - mehr braucht es für unser kleines Netz nicht. Wichtig: Andere DHCP-Server, so wie sie meist in Routern implementiert sind, müssen abgeschaltet werden!
Die Konsole des DHCP-Servers starten wir über Start => Verwaltung => DHCP und erweitern die Struktur durch Klick auf das Pluszeichen. Noch ist der Server mit einem roten Pfeil gekennzeichnet, da er noch nicht autorisiert ist. Das ändern wir durch Rechtsklick auf den Servernamen und Auswahl von "Autorisieren" aus dem Kontextmenü.
Nach kurzer Wartezeit (oder dem wiederholten Drücken von [F5] oder "Aktualisieren") springt die Anzeige um und der Server ist nun mit einem grünen Pfeil versehen, d.h. er ist nun autorisiert, in unserer Domäne zu starten.
Zuallererst müssen wir nun einen IP-Bereich definieren, aus dem später die Clients ihre Adressen zugewiesen bekommen. Wählt diesen Bereich sorgfältig, nicht zu groß und nicht zu klein, er lässt sich im Nachhinein nicht mehr ändern; die Anzahl der IP-Adressen sollte also in etwa der Anzahl der Clients in eurem Netz entsprechen.
Zur Einrichtung eines Bereichs Rechtsklick auf den Servernamen und aus dem Kontextmenü "Neuer Bereich" auswählen.
Ich habe in meiner Testumgebung nur zehn Adressen gewählt.
IPs des DHCP angeben |
Nach Klick auf "Weiter" erscheint der Dialog für Ausschlüsse, d.h. hier könnt ihr aus dem eben erstellten Bereich IP-Adressen ausschließen, bspw. wenn eine der IP-Adressen aus dem Bereich fest vergeben ist.
Bereiche ausschließen |
Ich habe keine Ausschlüsse definiert, da dies für mich nicht von Belang ist. Die Empfehlung von Microsoft geht auch dahin, statt mit Ausschlüssen lieber mit Bereichen zu arbeiten, in denen keine Ausschlüsse definiert werden müssen.
Der nächste Dialog betrifft die Leasedauer für die vom DHCP-Server vergebenen Einstellungen. Diese steht in der Standardeinstellung auf 8 Tage und kann für unsere Zwecke durchaus so belassen werden.
Gültigkeit festlegen |
Nun kommen wir zu den interessanten Einstellungen, den DHCP-Optionen - ja, die möchten wir konfigurieren.
DHCP-Optionen festlegen |
Los geht es mit dem Eintrag für den Router (Standardgateway); hier tragt ihr die IP-Adresse eures Routers ein.
Gateway angeben |
Als Nächstes kommt der DNS-Server an die Reihe: Tragt bei "Servername" den voll qualifizierten Domainnamen (FQDN) des Servers (also servername.domain.tld - s. Abb.) ein und klickt auf "Auflösen" - dies sollte die IP-Adresse des Servers als Ergebnis liefern, die wir dann auch übernehmen.
Domäne und DNS |
Nach dem DNS- kommt der WINS-Server an die Reihe, hier funktioniert das ähnlich. Bei "Servername" tragt ihr den NetBIOS-Namen des Servers ein und klickt auf Auflösen, das liefert wieder die IP-Adresse des Servers zurück, die wir übernehmen.
WINS |
Damit sind alle für uns relevanten Einstellungen getätigt, der DHCP-Server ist erstmal funktionstüchtig. Klickt im linken Baum auf den Eintrag "Bereichsoptionen", um die eben gemachten Einstellungen zu kontrollieren.
Nun können wir den ersten Client in die Domäne heben. Ich gehe hier von XP-Clients aus, Win2000 funktioniert aber beinah analog.
Die Clients sollten für die Verwendung von DHCP konfiguriert sein, d.h. in den TCP/IP-Eigenschaften sollte "IP-Adresse automatisch beziehen" und "DNS-Serveradresse automatisch beziehen" angehakt sein.
Die Clients funktionieren natürlich auch mit statischen IP-Adressen innerhalb der Domäne - dazu hätten wir aber den DHCP-Server nicht konfigurieren müssen. 😉
Verbindet also einen Client mit dem Switch/Hub, an dem auch der Server hängt und startet ihn. Nach der - noch lokalen - Anmeldung könnt ihr kontrollieren, ob der DHCP-Server ordentlich seine Arbeit macht: einmal am Server selbst in der DHCP-Serverkonsole und einmal mittels ipconfig /all direkt am Client. Wichtig ist neben der passenden IP-Adresse, dass als primärer DNS-Server die IP-Adresse des DC eingetragen ist.
So sieht das dann bei mir aus:
CMD: ipconfig /all |
Wenn die Einstellungen stimmen, geht am Client wie folgt vor:
Start => Systemsteuerung => System => Registerkarte "Computername" => Ändern
Bei "Mitglied von" aktiviert ihr "Domäne" und tragt dann den Namen eurer Domäne ein - entweder als NetBIOS-Namen in der Form MYDOMAIN oder als FQDN in der Form mydomain.local
Client in die Domäne setzen |
Nun müsst ihr einen Benutzer angeben, der den Rechner in die Domäne heben darf, wählt hier bitte DOMAINAdministrator.
Client in die Domäne setzen |
Das bestätigt ihr mit OK, dann erhaltet ihr den Hinweis "Willkommen in der Domäne DOMAINNAME". Nach Bestätigung aller Dialoge mit OK muss der fällige Neustart erstmal durchgeführt werden.
Hinweis: Ändert niemals Computernamen und Domain-Zugehörigkeit in einem Schritt, das führt zwangsläufig zu Problemen, weil Windows den Client erst mit seinem alten Namen in der Domäne registriert und ihn dann umbenennt. Das führt dann dazu, dass nach dem Reboot keine Anmeldung an der Domäne möglich ist, da es kein passendes Computerkonto gibt. Umbenennen eines Clients also bitte vor dem Hineinheben in die Domäne durchführen oder danach, beides getrennt geht problemlos.
Nach dem Reboot klickt ihr im Anmeldedialog nach [STRG]+[ALT]+[ENTF] bitte unten rechts auf "Optionen" klicken - es erscheint nun ein drittes Feld im Login-Dialog "Anmelden an".
Die erste Domänen-Anmeldung machen wir in diesem Fall mit dem Administrator-Account, da wir ja noch keine User angelegt haben. Gebt also als Benutzername Administrator ein, das entsprechende Kennwort und wählt bei "Anmelden an" euren Domänennamen aus (der hier nur im NetBIOS-Format erscheint).
Anmeldung an der Domäne |
Damit ist dieser Client nun Mitglied eurer Domäne, was ihr natürlich auch kontrollieren könnt: Startet am Server das MMC-SnapIn "Active Directory Benutzer- und Computer" (Start => Verwaltung), erweitert euren Domänenbaum und schaut in den Container "Computers" - hier ist das Computerkonto des Clients zu finden, welches beim Hineinheben in die Domäne automatisch erstellt wurde.
Wenn ihr über Start => Verwaltung => DNS die DNS-Serverkonsole startet und die Zonen für eure Domäne überprüft, werdet ihr dort ebenfalls einen neuen Eintrag mit dem Hostnamen eures Clients finden. Der Client aktualisiert diese DNS-Einträge automatisch, wenn ihr den Client also jetzt umbenennt, wird er nach dem Reboot mit dem neuen Namen automatisch in DNS registriert.
Damit ist Teil 3 des Artikels abgeschlossen. Teil 4 beschreibt dann das Anlegen von Usern, Zuweisen von Berechtigungen, DHCP-Reservierungen, servergespeicherte Profile usw.