ADDS: Forests/Domains erstellen & konfigurieren
Im folgenden Artikel schauen wir uns an, wie ADDS Forests & (Child-) Domains mit der PowerShell erstellt und initial konfiguriert werden können.
In meinem Szenario gehe ich von folgenden Voraussetzungen aus:
- Basis für das Deployment ist Windows Server 2016 als Betriebssystem auf allen DCs.
- Den Forest und die Root-Domain benennen wir einfallsreich als lab.local.
- Die Child-Domain benennen wir genaus einfallsreich als child.lab.local.
- Der erste DC der Root-Domain lab.local heißt DC01 und hat die IPv4 Adresse 192.168.1.11 aus unserem 192.168.1.0/24 Subnetz.
- Der zweite DC der Root-Domain lab.local heißt DC02 und hat die IPv4 Adresse 192.168.1.12 aus unserem 192.168.1.0/24 Subnetz.
- Der erste DC der Child-Domain child.lab.local heißt DCC01 und hat die IPv4 Adresse 192.168.2.11 aus unserem 192.168.2.0/24 Subnetz
- IPv6 haben wir überall deaktiviert.
Root-Domain / Forest
Root-Domain / Forest neu erstellen
Der erste Schritt eines neuen Deployments ist die Erstellung einer neuen Root Domain in einem neuen Forest. Hierzu installieren wir die Active Directory Domain Services und die DNS Rolle, definieren die beim Deployment benötigten Properties und promoten den Server als DC. Das Safe Mode Administrator Passwort muss während des Deployments manuell eingegeben werden.
Install-WindowsFeature -Name AD-Domain-Services -IncludeManagementTools
Install-WindowsFeature -Name DNS -IncludeManagementTools
Import-Module ADDSDeployment
$ForestProperties = @{
DomainName = "lab.local"
DomainNetbiosName = "LAB"
ForestMode = "7"
DomainMode = "7"
InstallDNS = $true
CreateDNSDelegation = $false
DatabasePath = "C:\Windows\NTDS"
LogPath = "C:\Windows\NTDS"
SysvolPath = "C:\Windows\SYSVOL"
NoRebootOnCompletion = $false
Force = $true
}
Install-ADDSForest @ForestProperties
Forest-/DomainModes
7 = Windows Server 2016
6 = Windows Server 2012 R2
5 = Windows Server 2012
4 = Windows Server 2008 R2
3 = Windows Server 2008
2 = Windows Server 2003 R2
1 = Windows Server 2003
Recycle Bin aktivieren
Nach Abschluss des Deployments aktivieren wir zusätzlich noch den Recycle Bin. Das Ganze muss am Schema-Master erfolgen, da wir aber zu diesem Zeitpunkt nur einen DC haben, befinden sich alle FSMO Rollen auf DC01.
$Forest = "lab.local" $SchemaMaster = "DC01.lab.local" Enable-ADOptionalFeature -Identity 'Recycle Bin Feature' -Scope ForestOrConfigurationSet -Target $Forest -Server $SchemaMaster -confirm:$false
DNS Reverse Lookup Zone erstellen
Beim Deployment der Root-Domain wurde durch unsere Parameter automatisch eine AD-integrierte Forward-Lookup Zone erstellt. Eine Reverse-Lookup Zone jedoch nicht. Diese muss manuell nachgezogen werden.
$IPv4Subnet = "192.168.1.0/24" Add-DNSServerPrimaryZone -NetworkID $IPv4Subnet -ReplicationScope 'Forest' -DynamicUpdate 'Secure'
Default Site umbenennen
Standarmäßig wird beim Deployment der Root-Domain eine Site angelegt mit dem unschönen Namen DEFAULT-FIRST-SITE-CONFIGURATION. Dieser Site möchten wir einen aussagekräftigeren Namen geben.
$siteNameNew = "Lab-Site"
$configNCDN = (Get-ADRootDSE).ConfigurationNamingContext
$siteContainerDN = ("CN=Sites," + $configNCDN)
$siteDN = "CN=Default-First-Site-Name," + $siteContainerDN
Get-ADObject -Identity $siteDN | Rename-ADObject -NewName $siteNameNew
OU-Struktur anlegen
Im nächsten Schritt legen wir eine beispielhafte OU-Struktur für Benutzer, Computer & Gruppen an.
Import-Module ActiveDirectory New-ADOrganizationalUnit "Resources" -path "DC=lab,DC=local" New-ADOrganizationalUnit "Users" -path "OU=Resources,DC=lab,DC=local" New-ADOrganizationalUnit "Computers" -path "OU=Resources,DC=lab,DC=local" New-ADOrganizationalUnit "Groups" -path "OU=Resources,DC=lab,DC=local"
Standard Domain Admin Account umbenennen
Aus Sicherheitsgründen ist es ratsam, den Standard-Domain-Admin umzubennen.
Import-Module ActiveDirectory $sAMAccountOld = "Administrator" $sAMAccountNew = "admin.domain" $Server = "DC01.lab.local" $Admin = Get-ADUser -Identity $sAMAccountOld Rename-ADObject -Identity $Admin -NewName $sAMAccountNew -Server $Server
Weiteren Domain Controller in die bestehende Root-Domain integrieren
Aus Redundanzgründen empfiehlt es sich, mehr als einen DC pro Domain zu betreiben. Daher machen wir den Server DC02 zum zweiten DC der domain.com Root-Domain. Auch hier installieren wir zuerst die Active Directory Domain Services und die DNS Rolle und fügen danach den Server als weiteren DC zur bestehenden Domain hinzu.
Install-WindowsFeature -Name AD-Domain-Services -IncludeManagementTools
Install-WindowsFeature -Name DNS -IncludeManagementTools
Import-Module ADDSDeployment
$DCProperties = @{
DomainName = "lab.local"
InstallDNS = $true
CreateDNSDelegation = $false
DatabasePath = "C:\Windows\NTDS"
LogPath = "C:\Windows\NTDS"
SysvolPath = "C:\Windows\SYSVOL
NoRebootOnCompletion = $false
Force = $true
}
Install-ADDSDomainController @DCProperties
Im Anschluss an das Deployment des Servers warten wir die initiale Replikation ab und aktivieren danach auch auf DC02 den Global Catalog. Auf DC01 ist dies nicht erforderlich, da der erste DC der Gesamtstruktur automatisch Global Catalog ist.
$MakeGC = "DC02"
Set-ADObject -Identity (Get-ADDomainController -Identity $MakeGC).NTDSSettingsObjectDN -Replace @{options='1'}
Child-Domain
Neue Domain in einer bestehenden Gesamtstruktur (Child-/Tree-Domain)
Wir installieren zuerst auf einem neuen Server die Active Directory Services und die DNS Rolle. Danach installieren wir den DC in einer neuen Child-Domain.
Install-WindowsFeature -Name AD-Domain-Services -IncludeManagementTools
Install-WindowsFeature -Name DNS -IncludeManagementTools
Import-Module ADDSDeployment
$ChildDomainProperties = @{
NewDomainName = "child"
ParentDomainName = "lab.local"
DomainType = "ChildDomain"
InstallDNS = $true
CreateDNSDelegation = $true
DatabasePath = "C:\Windows\NTDS"
LogPath = "C:\Windows\NTDS"
SysvolPath = "C:\Windows\SYSVOL
NoRebootOnCompletion = $false
Force = $true
}
Install-ADDSDomain @ChildDomainProperties
Die restliche Konfiguration wie OU-Struktur, Domain-Admin, DNS, etc. erfolgt analog zur Root-Domain.
