Gør en server til domænecontroller: En trin-for-trin-guide

En domænecontroller (DC) er en AD-server, der er vært for Active Directory-domæneservices (AD DS). DC'er styrer sikkerheden af AD-objekter, da de svarer på godkendelsesanmodninger og verificerer brugere på netværket. De giver også adgang til forskellige domæneressourcer.

DC'er er en integreret del af enhver AD-infrastruktur og kan betragtes som en gatekeeper, der har nøgler til domæneressourcerne. De er også ansvarlige for domænets sikkerhed.

Medlemsserver vs. domænecontroller

Selvom en DC er en server, bør den ikke forveksles med en medlemsserver i AD-miljøet. En medlemsserver er en computer i et domæne, som kan udføre funktionerne som fil-, program-, web- og printserver. DC'en er på den anden side ansvarlig for godkendelse og autorisation. Det bør også kun være domæneadministratorer, der har tilladelse til at logge ind på DC'er.

Hvorfor skal man gøre en server til DC?

En almindelig server kan ikke udføre godkendelses- og autorisationsfunktioner. Administratorer skal gøre en server til DC for at opnå denne funktionalitet. Beslutningen om at have mere end én DC afhænger af organisationens størrelse og kompleksiteten af dens IT-infrastruktur. Generelt er det bedst for organisationer at have mere end én DC i deres AD-miljø. Her er nogle vigtige grunde til det:

1. Justering af belastning: Administratorer kan ofte have situationer med meget belastning på en DC. En ekstra DC hjælper administratorerne med af justere belastningen af netværkstrafikken.

2. Reduktion af nedetid: At have mere end én DC reducerer nedetid. Hvis en af DC'erne ikke kan nås eller går offline, kan godkendelsestjenesterne nemt oprette forbindelse til den Next tilgængelige DC.

3. Pålidelighed: At have mere end én DC sikrer øget pålidelighed og tilgængelighed og reducerer nedetid.

Med den grundlæggende forståelse af DC'er og den rolle, de spiller i AD DS, kan vi nu tage det Next skridt på denne læringsrejse.

I denne blog giver vi dig detaljerede, trinvise instruktioner til, hvordan du kan gøre en server til DC. Når en server er blevet gjort til DC, har den godkendelses- og autorisationsfunktioner.

Trin 1: Installer AD DS

Start med at installere AD DS, hvis du ikke allerede har gjort det.

1. Log ind på AD-serveren med administrator-legitimationsoplysninger (brugernavn og adgangskode).

2. Åbn server manager, og klik derefter på Dashboard > Add roles and features for at starte guiden Tilføj roller og funktioner.

   

3. Klik på Next på siden before you begin.

4. På siden Select installation step skal du derefter vælge Role-based or feature-based installation eller, hvis det er en installation baseret på en virtuel maskine, Remote Desktop Services installation. Klik på Next.

   

5. Select the destination server, som rollen skal tildeles på. Klik på Select a server from the server pool, og vælg navnet på den server, hvor du vil installere AD DS. Klik derefter på Next.

   

6. På siden select server role skal du nu vælge de roller, du vil installere på serveren, f.eks. Active Directory-domæneservices, Active Directory Federation Services, Active Directory Rights Management-tjenester m.fl. I vores tilfælde er det grundlæggende krav Active Directory-domæneservices.

   

7. Når du har valgt AD DS, skal du føje funktioner til den valgte rolle i Add Roles and Feature Wizard og klikke på Next. De grundlæggende roller og funktioner for AD DS er allerede valgt som standard. Du kan vælge flere efter behov.

   

8. Gennemgå oplysningerne, og klik på Install på siden Confirm installation selections.

   

Trin 2: Gør serveren til domænecontroller

1. Når du er færdig med at installere AD DS-rollen på serveren, skal du klikke på meddelelsesflaget. Her skal du vælge "Promote this server to a domain controller".

   

   

2. Derefter bliver du bedt om at gå ind i AD DS configuration wizard. Her skal du på siden Deployment Configuration vælge den første mulighed, "Add a domain controller to an existing domain". Angiv også navnet på det domæne, hvori den nye DC skal tilføjes (f.eks. abc.testcorp.com), og klik på Next.

   

3. Klik derefter på Domain Controller Options i venstre rude, og udfør disse trin:

   • Vælg det ønskede Domain and Forest functional level.
   • Angiv domænecontrollerens funktioner. Som standard er indstillingerne til at gøre DC'en til Domain Name Server (DNS) and a Global Catalog (GC) allerede valgt.
   • Vælg Site name for DC'en.
   • Angiv Directory Services Restore Mode (DSRM) password. DSRM-adgangskoden er nødvendig, hvis du har brug for at gendanne serveren fra backup, eller i tilfælde af DC-svigt.

   

4. Dernæst vil du på siden DNS Options modtage en advarsel: "DNS-delegering oprettes ikke". Da vi allerede har konfigureret DNS-serveren i de indledende trin (trin 3), kan dette ignoreres. Klik på Next.

5. På siden Additional Options skal du angive den DC, som du vil replikere AD DS-dataene til. Du kan også vælge indstillingen Any domain controller. Klik derefter på Next.

   

6. Den Next side er Paths, hvor du kan angive placeringen af database, log files, and SYSVOL eller acceptere standardplaceringerne/-mapperne. Klik på Next.

   

7. På den Next side, Review Options, kan du gennemgå og bekræfte dine valg. Du kan eventuelt klikke på view the PowerShell script og klikke på Next.

   

8. På siden Prerequisites Check kontrollerer Windows forudsætningerne. Bekræft tjekket, og klik derefter på Installer.

   

9. Systemet genstarter automatisk efter replikering for at afslutte AD DS-installationsprocessen. Når den er færdig, bliver du videredirigeret til loginskærmen.

Sådan gør du en server til DC.

Som tidligere nævnt er DC'er en af de mest kritiske komponenter i enhver organisations AD-infrastruktur.

IT-administratorer bør løbende overvåge DC-hændelser, så de kan detektere enhver unormal aktivitet, identificere ethvert misbrug af privilegier og fremskynde den forensiske analyse i tilfælde af en trusselssituation.