En domänkontrollant (DC) är en AD-server som är värd för Active Directory Domain Services (AD DS). Domänkontrollanter ansvarar för att hantera säkerheten för AD-objekt, eftersom de svarar på autentiseringsförfrågningar och verifierar användare i nätverket. De ger också behörighet till olika domänresurser.
Domänkontrollanter är en integrerad del av all AD-infrastruktur och kan betraktas som portvakter som har nycklar till domänens resurser. De ansvarar också för domänens säkerhet.
Medlemsserver kontra domänkontrollant
Även om en DC är en server, bör den inte förväxlas med en medlemsserver i AD-miljön. En medlemsserver är en dator i en domän som kan utföra funktionerna för en fil-, program-, webb- och utskriftsserver. DC:n, å andra sidan, är ansvarig för autentisering och auktorisering. Dessutom bör endast domänadministratörer ha behörighet att logga in på DC:er.
Varför ska man uppgradera en server till en domänkontrollant?
En vanlig server kan inte utföra autentiserings- och auktoriseringsfunktioner. Administratörer måste uppgradera en server till en domänkontrollant för att uppnå denna funktionalitet. Om en organisation behöver flera domänkontrollanter avgörs av hur stor och komplex deras IT-miljö är. Som en allmän bästa praxis bör organisationer ha mer än en domänkontrollant i sin AD-miljö. Här är några viktiga skäl till varför:
Fördelning av belastning: Administratörer kan ofta hamna i situationer där det är mycket belastning på en DC. En extra DC gör det möjligt för administratörer att fördela nätverkets belastning jämnare.
Färre och kortare avbrott: Att ha mer än en domänkontrollant ger färre och kortare avbrott i driften. Om en av domänkontrollanterna är otillgänglig eller går offline kan autentiseringstjänsterna enkelt ansluta till nästa tillgängliga domänkontrollant.
Pålitlighet: Att ha mer än en domänkontrollant säkerställer ökad tillförlitlighet, tillgänglighet och minskar driftstopp.
Nu när vi har en grundläggande förståelse för domänkontrollanter och deras roll i AD DS kan vi ta nästa steg i denna lärandeprocess.
I den här bloggen ger vi detaljerade steg-för-steg-instruktioner om hur du kan flytta en server till en DC. En uppgradering säkerställer att serverns status ändras till en domänkontrollant med alla dess autentiserings- och auktoriseringsfunktioner.
Steg 1: Installera AD DS
Börja med att installera AD DS, om du inte redan har gjort det.
Logga in på AD-servern med administratörsautentiseringsuppgifter (användarnamn och lösenord).
Öppna Serverhanteraren och klicka sedan på Instrumentpanel > Lägg till roller och funktioner för att starta guiden Lägg till roller och funktioner.
På sidan Innan du börjar klickar du på Nästa.
På sidan Välj installationstyp väljer du Rollbaserad eller funktionsbaserad installation, eller om det är en virtuell maskinbaserad distribution väljer du Installation av fjärrskrivbordstjänster. Klicka på Nästa.
Välj den destinationsserver som rollen nu ska tilldelas på. Klicka på Välj en server från servergruppen, och välj namnet på den server där du vill installera AD DS. Klicka därefter på Nästa.
På sidan Välj serverroller väljer du nu de roller som du vill installera på servern, t.ex. Active Directory Domain Services, Active Directory Federation Services, Active Directory Rights Management Services med mera. I vårt fall är det grundläggande kravet Active Directory Domain Services.
När du har valt AD DS måste du lägga till funktioner för den valda rollen i guiden Lägg till roller och klicka på Nästa. De grundläggande rollerna och funktionerna för AD DS är redan valda som standard. Du kan välja fler efter dina behov.
Granska informationen och klicka på Installera på sidan Bekräfta installationsvalen.
Steg 2: Flytta upp servern till en domänkontrollant
När du är klar med installationen av AD DS-rollen på servern klickar du på meddelandeflaggan. Välj "Uppgradera servern till en domänkontrollant".
Därefter uppmanas du att öppna konfigurationsguiden för AD DS. Här, på sidan Distributionskonfiguration, väljer du det första alternativet ”Lägg till en domänkontrollant till en befintlig domän”. Ange också namnet på den domän där den nya DC:n ska läggas till (t.ex. abc.testcorp.com) och klicka på Nästa.
Klicka sedan på Alternativ för domänkontrollant i vänstra panelen och utför dessa steg:
- Välj önskad funktionsnivå för domän och skog.
- Ange domänkontrollantens funktioner. Som standard är alternativen för att göra DC till en Domännamnserver (DNS) och en Global katalog (GC) redan valda.
- Välj Platsnamn för domänkontrollanten.
- Ange lösenordet till Directory Services Restore Mode (DSRM). DSRM-lösenordet är viktigt i de fall du behöver återställa en säkerhetskopia av servern eller vid ett DC-fel.
På sidan DNS-alternativ page, får du sedan en varning som säger ”DNS-delegering skapas inte”. Eftersom vi redan har konfigurerat DNS-servern som en del av våra inledande åtgärder (steg 3) kan detta ignoreras. Klicka på Nästa.
På sidan Ytterligare alternativ anger du den DC som du vill replikera AD DS-data till, eller så väljer du alternativet Vilken domänkontrollant som helst och klickar sedan på Nästa.
Nästa sida är Sökvägar, där du kan ange platsen för AD DS-databasen, loggfiler och SYSVOL-mappen, eller acceptera standardplatserna/mapparna. Klicka på Nästa.
På nästa sida, Granska alternativ, har du möjlighet att granska och bekräfta dina val. Alternativt kan du klicka på Visa PowerShell-skriptet, och klicka på Nästa.
På sidan Förhandskontroll kommer Windows att utföra en kontroll av förutsättningarna. Bekräfta kontrollen och klicka sedan på Installera.
Systemet startas om automatiskt efter replikeringen för att slutföra installationen av AD DS. När det är klart omdirigeras till inloggningsskärmen.
Det är så man uppgraderar en server till en DC!
Som tidigare nämnts är DC:er några av de mest kritiska komponenterna i alla organisationers AD-infrastruktur.
IT-administratörer bör kontinuerligt övervaka DC-händelserna så att de kan upptäcka avvikande aktivitet, identifiera missbruk av behörigheter och påskynda den forensiska analysen i händelse av en hotsituation.
