Freigeben über


Installieren von Active Directory Domain Services

In diesem Thema wird erläutert, wie Active Directory Domain Services (AD DS) in Windows Server mithilfe einer der folgenden Methoden installiert wird:

  • Windows PowerShell

  • Server-Manager

  • RODC-Installation mit der GUI

Voraussetzungen

Zum Ausführen von %%amp;quot;Adprep.exe%%amp;quot; und Installieren von AD DS sind die folgenden Anmeldeinformationen erforderlich.

  • Zum Installieren einer neuen Gesamtstruktur müssen Sie als lokaler Administrator für den Computer angemeldet sein.

  • Zum Installieren einer neuen untergeordneten Domäne oder einer neuen Domänenstruktur müssen Sie als Mitglied der Gruppe %%amp;quot;Organisations-Admins%%amp;quot; angemeldet sein.

  • Zum Installieren eines zusätzlichen Domänencontrollers in einer vorhandenen Domäne müssen Sie ein Mitglied der Gruppe %%amp;quot;Domänen-Admins%%amp;quot; sein.

    Hinweis

    Wenn Sie den Befehl „adprep.exe“ nicht separat ausführen und Sie den ersten Domänencontroller unter Windows Server in einer vorhandenen Domäne oder Gesamtstruktur installieren, werden Sie zum Angeben von Anmeldeinformationen für die Ausführung von „adprep“-Befehlen aufgefordert. Die Anforderungen an die Anmeldeinformationen lauten wie folgt:

    Zum Einfügen des ersten Windows Server-Domänencontrollers in die Gesamtstruktur müssen Sie Anmeldeinformationen für ein Mitglied der Gruppen „Unternehmensadministratoren“, „Schema-Admins“ und „Domänenadministratoren“ in der Domäne angeben, die den Schemamaster hostet. Um den ersten Windows Server-Domänencontroller in einer Domäne einzuführen, müssen Sie Anmeldeinformationen für ein Mitglied der Gruppe "Domänenadministratoren" angeben. Zum Einfügen des ersten schreibgeschützten Domänencontrollers (Read-Only Domain Controller, RODC) in die Gesamtstruktur müssen Sie Anmeldeinformationen für ein Mitglied der Gruppe %%amp;quot;Organisations-Admins%%amp;quot; angeben.

Installieren von AD DS mithilfe von Windows PowerShell

Beginnen Sie mit dem Hinzufügen der Rolle mithilfe von Windows PowerShell. Dieser Befehl installiert die AD DS-Serverrolle und installiert die AD DS- und Active Directory Lightweight Directory Services (AD LDS)-Serververwaltungstools, einschließlich GUI-basierten Tools wie Active Directory-Benutzer und -Computer und Befehlszeilentools wie dcdia.exe. Serververwaltungstools werden nicht standardmäßig installiert, wenn Sie Windows PowerShell verwenden. Sie müssen "IncludeManagementTools angeben, um den lokalen Server zu verwalten oder Remoteserver-Verwaltungstools zum Verwalten eines Remoteservers zu installieren.

Install-WindowsFeature -name AD-Domain-Services -IncludeManagementTools

Es ist kein Neustart erforderlich, bis die AD DS-Installation abgeschlossen ist.

Anschließend können Sie diesen Befehl ausführen, um die verfügbaren Cmdlets im Modul %%amp;quot;ADDSDeployment%%amp;quot; anzuzeigen.

Get-Command -Module ADDSDeployment

So zeigen Sie die Liste der Argumente an, die für Cmdlets und eine Syntax angegeben werden kann

Get-Help <cmdlet name>

Wenn Sie beispielsweise die Argumente zum Erstellen eines nicht belegten, schreibgeschützten RODC-Kontos anzeigen möchten, geben Sie Folgendes ein:

Get-Help Add-ADDSReadOnlyDomainControllerAccount

Sie können auch die neuesten Hilfebeispiele und Konzepte für Windows PowerShell-Cmdlets herunterladen. Weitere Informationen finden Sie unter about_Updatable_Help.

Sie können Windows PowerShell-Cmdlets für Remoteserver ausführen:

  • Verwenden Sie in Windows PowerShell „Invoke-Command“ zusammen mit dem Cmdlet „ADDSDeployment“. Wenn Sie beispielsweise AD DS auf einem Remoteserver mit der Bezeichnung %%amp;quot;ConDC3%%amp;quot; in der Domäne %%amp;quot;contoso.com%%amp;quot; installieren möchten, geben Sie Folgendes ein:

    Invoke-Command { Install-ADDSDomainController -DomainName contoso.com -Credential (Get-Credential) } -ComputerName ConDC3
    

Oder

  • Erstellen Sie in Server-Manager eine Servergruppe, die den Remoteserver beinhaltet. Wählen Sie den Namen des Remoteservers mit der rechten Maustaste aus, und wählen Sie Windows PowerShell aus.

Die vollständige Liste der ADDSDeployment-Cmdlets in Windows PowerShell finden Sie in der ADDSDeployment-Referenz.

Angeben von Windows PowerShell-Anmeldeinformationen

Sie können Anmeldeinformationen angeben, ohne sie im Nur-Text-Bildschirm anzuzeigen, indem Sie Get-credential verwenden.

Die Argumente %%amp;quot;SafeModeAdministratorPassword%%amp;quot; und %%amp;quot;LocalAdministratorPassword%%amp;quot; haben eine spezielle Funktionsweise:

  • Wenn sie nicht als Argument angegeben werden, fordert Sie das Cmdlet zur Eingabe und Bestätigung eines maskierten Kennworts auf. Dies ist die bevorzugte Verwendung bei einer interaktiven Cmdlet-Ausführung.

  • Bei Angabe mit einem Wert muss der Wert eine sichere Zeichenfolge sein. Dies ist nicht die bevorzugte Verwendung beim interaktiven Ausführen des Cmdlets.

Sie können beispielsweise manuell zur Eingabe eines Kennworts auffordern, indem Sie das Read-Host-Cmdlet verwenden, um den Benutzer zur Eingabe einer sicheren Zeichenfolge aufzufordern.

-SafeModeAdministratorPassword (Read-Host -Prompt "DSRM Password:" -AsSecureString)

Warnung

Die vorherige Option bestätigt das Kennwort nicht, verwenden Sie äußerste Vorsicht. Das Kennwort ist nicht sichtbar.

Sie können eine sichere Zeichenfolge auch als konvertierte Klartextvariable angeben, obwohl davon dringend abgeraten wird:

-SafeModeAdministratorPassword (ConvertTo-SecureString "Password1" -AsPlainText -Force)

Warnung

Das Bereitstellen oder Speichern eines Klartextkennworts wird nicht empfohlen. Jeder, der diesen Befehl in einem Skript ausführt oder über Ihre Schulter schaut, kennt das Kennwort für den Verzeichnisdienste-Wiederherstellungsmodus (DsRM) dieses Domänencontrollers. Mit diesem Wissen können sie einen Identitätswechsel für den Domänencontroller selbst ausführen und ihre Rechte in einer Active Directory-Gesamtstruktur auf die höchste Stufe heraufstufen.

Verwenden von Test-Cmdlets

Für jedes Cmdlet %%amp;quot;ADDSDeployment%%amp;quot; ist ein entsprechendes Test-Cmdlet vorhanden. Mithilfe des Test-Cmdlets werden lediglich die Voraussetzungsüberprüfungen für den Installationsvorgang ausgeführt. Es werden keine Installationseinstellungen konfiguriert. Die Argumente für jedes Test-Cmdlet sind identisch mit dem entsprechenden Installations-Cmdlet, aber "SkipPreChecks ist für Test-Cmdlets nicht verfügbar.

Test-Cmdlet Beschreibung
Test-ADDSForestInstallation Führt die Voraussetzungen zum Installieren einer neuen Active Directory-Gesamtstruktur aus.
Test-ADDSDomainInstallation Führt die Voraussetzungen zum Installieren einer neuen Domäne in Active Directory aus.
Test-ADDSDomainControllerInstallation Führt die Voraussetzungen zum Installieren eines neuen Domänencontrollers in Active Directory aus.
Test-ADDSReadOnlyDomainControllerAccountCreation Führt die Voraussetzungen zum Hinzufügen eines RODC-Kontos aus.

Installieren einer neuen Gesamtstruktur-Stammdomäne mithilfe von Windows PowerShell

Das Cmdlet Install-ADDSForest installiert eine neue Gesamtstruktur.

Wenn Sie beispielsweise eine neue Gesamtstruktur mit der Bezeichnung %%amp;quot;corp.contoso.com%%amp;quot; installieren möchten und eine sichere Aufforderung zur Angabe des DSRM-Kennworts erfolgen soll, geben Sie Folgendes ein:

Install-ADDSForest -DomainName "corp.contoso.com"

Hinweis

Der DNS-Server wird standardmäßig installiert, wenn Sie Install-ADDSForest ausführen.

Wenn Sie eine neue Gesamtstruktur mit der Bezeichnung corp.contoso.com installieren möchten, erstellen Sie eine DNS-Delegierung in der Domäne „contoso.com“, legen Sie die Funktionsebene der Domäne auf Windows Server fest, und legen Sie die Funktionsebene der Gesamtstruktur auf Windows Server 2025 fest. Installieren Sie die Active Directory-Datenbank und SYSVOL auf dem Laufwerk „D:\“, und installieren Sie die Protokolldateien auf dem Laufwerk „E:\“. Wenn Sie möchten, dass eine Aufforderung zur Angabe des Kennworts für den Verzeichnisdienst-Wiederherstellungsmodus erfolgt, geben Sie Folgendes ein:

Install-ADDSForest -DomainName corp.contoso.com -CreateDNSDelegation -DomainMode Win2008 -ForestMode Win2025 -DatabasePath "d:\NTDS" -SYSVOLPath "d:\SYSVOL" -LogPath "e:\Logs"

Installieren einer neuen untergeordneten Domäne oder Strukturdomäne mithilfe von Windows PowerShell

Verwenden Sie das Cmdlet Install-ADDSDomain , um eine neue Domäne zu installieren.

Hinweis

Das Argument "-Anmeldeinformationen " ist nur erforderlich, wenn Sie zurzeit nicht als Mitglied der Gruppe "Unternehmensadministratoren" angemeldet sind.

Das Argument "-NewDomainNetBIOSName" ist erforderlich, wenn Sie den automatisch generierten 15-stelligen Namen basierend auf dem DNS-Domänennamenpräfix ändern möchten oder wenn der Name 15 Zeichen überschreitet.

Wenn Sie beispielsweise Anmeldeinformationen von corp\EnterpriseAdmin1 verwenden möchten, um eine neue untergeordnete Domäne mit dem Namen "child" zu erstellen, mit der übergeordneten Domäne namens corp.contoso.com, installieren Sie DNS-Server, erstellen Sie eine DNS-Delegierung in der corp.contoso.com Domäne, legen Sie die Domänenfunktionsebene auf Windows Server 2025 fest, machen Sie den Domänencontroller zu einem globalen Katalogserver an einem Standort namens Houston, verwenden Sie DC1.corp.contoso.com installieren Sie als Replikationsquelldomänencontroller die Active Directory-Datenbank und SYSVOL auf dem D:\-Laufwerk, installieren Sie die Protokolldateien auf dem E:\-Laufwerk, und werden Sie aufgefordert, das Kennwort für den Wiederherstellungsmodus für Verzeichnisdienste bereitzustellen, aber nicht aufgefordert, den Befehl zu bestätigen, geben Sie Folgendes ein:

Install-ADDSDomain -SafeModeAdministratorPassword -Credential (get-credential corp\EnterpriseAdmin1) -NewDomainName child -ParentDomainName corp.contoso.com -InstallDNS -CreateDNSDelegation -DomainMode Win2025 -ReplicationSourceDC DC1.corp.contoso.com -SiteName Houston -DatabasePath "d:\NTDS" "SYSVOLPath "d:\SYSVOL" -LogPath "e:\Logs" -Confirm:$False

Installieren eines zusätzlichen Domänencontrollers (Replikats) mit Windows PowerShell

Verwenden Sie Install-ADDSDomainController , um einen zusätzlichen Domänencontroller zu installieren.

Wenn Sie einen Domänencontroller und DNS-Server in der Domäne %%amp;quot;corp.contoso.com%%amp;quot; installieren möchten und eine Aufforderung zur Angabe der Anmeldeinformationen des Domänenadministrators und des DSRM-Kennworts erfolgen soll, geben Sie Folgendes ein:

Install-ADDSDomainController -Credential (Get-Credential CORP\Administrator) -DomainName "corp.contoso.com"

Wenn der Computer bereits einer Domäne beigetreten ist und Sie Mitglied der Gruppe "Domänenadministratoren" sind, können Sie Folgendes verwenden:

Install-ADDSDomainController -DomainName "corp.contoso.com"

Wenn eine Aufforderung zur Angabe des Domänennamens erfolgen soll, geben Sie Folgendes ein:

Install-ADDSDomainController -Credential (Get-Credential) -DomainName (Read-Host "Domain to promote into")

Für den folgenden Befehl werden Anmeldeinformationen von %%amp;quot;Contoso\EnterpriseAdmin1%%amp;quot; für Folgendes verwendet: Installieren eines beschreibbaren Domänencontrollers und eines globalen Katalogservers an einem Standort mit der Bezeichnung %%amp;quot;Boston%%amp;quot;, Installieren von DNS-Server, Erstellen einer DNS-Delegierung in der Domäne %%amp;quot;contoso.com%%amp;quot;, Installieren von im Ordner %%amp;quot;c:\ADDS IFM%%amp;quot; gespeicherten Medien, Installieren von der Active Directory-Datenbank und von SYSVOL auf dem Laufwerk %%amp;quot;D:\%%amp;quot;, Installieren der Protokolldateien auf dem Laufwerk %%amp;quot;E:\%%amp;quot;, automatischer Neustart des Servers nach Abschluss der AD DS-Installation und Aufforderung zur Angabe des Kennworts für den Verzeichnisdienst-Wiederherstellungsmodus:

Install-ADDSDomainController -Credential (Get-Credential CONTOSO\EnterpriseAdmin1) -CreateDNSDelegation -DomainName corp.contoso.com -SiteName Boston -InstallationMediaPath "c:\ADDS IFM" -DatabasePath "d:\NTDS" -SYSVOLPath "d:\SYSVOL" -LogPath "e:\Logs"

Durchführen einer mehrstufigen RODC-Installation mit Windows PowerShell

Verwenden Sie das Cmdlet Add-ADDSReadOnlyDomainControllerAccount , um ein RODC-Konto zu erstellen.

So erstellen Sie beispielsweise ein RODC-Konto mit der Bezeichnung %%amp;quot;RODC1%%amp;quot;:

Add-ADDSReadOnlyDomainControllerAccount -DomainControllerAccountName RODC1 -DomainName corp.contoso.com -SiteName Boston DelegatedAdministratoraccountName AdminUser

Führen Sie dann die folgenden Befehle auf dem Server aus, den Sie an das RODC1-Konto binden möchten. Der Server kann nicht mit der Domäne verknüpft werden. Installieren Sie zunächst die AD DS-Serverrolle und Verwaltungstools:

Install-WindowsFeature -Name AD-Domain-Services -IncludeManagementTools

Führen Sie anschließend den folgenden Befehl aus, um den RODC zu erstellen:

Install-ADDSDomainController -DomainName corp.contoso.com -SafeModeAdministratorPassword (Read-Host -Prompt "DSRM Password:" -AsSecureString) -Credential (Get-Credential Corp\AdminUser) -UseExistingAccount

Drücken Sie Y , um das Argument "Bestätigen " zu bestätigen oder einzuschließen, um die Bestätigungsaufforderung zu verhindern.

Installieren von AD DS mithilfe des Server-Managers

AD DS kann in Windows Server mithilfe des Assistenten zum Hinzufügen von Rollen im Server-Manager installiert werden, gefolgt vom Konfigurations-Assistenten für Active Directory-Domänendienste, der neu ab Windows Server 2012 ist. Der Assistent zum Installieren von Active Directory Domain Services („dcpromo.exe“) ist ab Windows Server 2012 veraltet.

In den folgenden Abschnitten wird das Erstellen von Serverpools zum Installieren und Verwalten von AD DS auf mehreren Servern sowie die Verwendung der Assistenten zum Installieren von AD DS erläutert.

Erstellen von Serverpools

Der Server-Manager kann andere Server im Netzwerk poolen, solange auf den Computer mit dem Server-Manager zugegriffen werden kann. Nach der Zusammenfassung in einem Pool wählen Sie diese Server für die Remoteinstallation von AD DS oder eine andere mögliche Konfigurationsoption in Server-Manager aus. Der Computer, auf dem Server-Manager ausgeführt wird, fügt sich selbst automatisch einem Pool hinzu. Weitere Informationen zu Serverpools finden Sie unter Hinzufügen von Servern zum Server-Manager.

Hinweis

Wenn Sie einen Computer, der einer Domäne angehört, mithilfe von Server-Manager auf einem Arbeitsgruppenserver verwalten möchten (oder umgekehrt), sind zusätzliche Konfigurationsschritte erforderlich. Weitere Informationen finden Sie unter "Hinzufügen und Verwalten von Servern in Arbeitsgruppen" in "Hinzufügen von Servern zum Server-Manager".

Installieren von AD DS

Wenden Sie die folgenden Verfahren zum Installieren von AD DS mithilfe der GUI-Methode an. Die Schritte können lokal oder per Remoteverbindung ausgeführt werden.

Installieren von AD DS mithilfe des Server-Managers

  1. Wählen Sie im Server-Manager "Verwalten" und dann " Rollen und Features hinzufügen " aus, um den Assistenten zum Hinzufügen von Rollen zu starten.

  2. Wählen Sie auf der Seite "Vor Beginn " die Option "Weiter" aus.

  3. Wählen Sie auf der Seite " Installationstyp auswählen" die Option "Rollenbasierte oder featurebasierte Installation" und dann " Weiter" aus.

  4. Wählen Sie auf der Seite "Zielserver auswählen" die Option " Server aus dem Serverpool auswählen" aus, wählen Sie den Namen des Servers aus, auf dem Sie AD DS installieren möchten, und wählen Sie dann "Weiter" aus.

    Wenn Sie Remoteserver auswählen möchten, erstellen Sie zunächst einen Serverpool, und fügen Sie ihm die Remoteserver hinzu. Weitere Informationen zum Erstellen von Serverpools finden Sie unter Hinzufügen von Servern zum Server-Manager.

  5. Wählen Sie auf der Seite " Serverrollen auswählen " die Option "Active Directory-Domänendienste" und dann im Dialogfeld " Rollen und Features hinzufügen " die Option "Features hinzufügen" und dann " Weiter" aus.

  6. Wählen Sie auf der Seite "Features auswählen " alle zusätzlichen Features aus, die Sie installieren möchten, und wählen Sie "Weiter" aus.

  7. Überprüfen Sie auf der Seite "Active Directory Domain Services " die Informationen, und wählen Sie dann "Weiter" aus.

  8. Wählen Sie auf der Seite " Installationsauswahl bestätigen " die Option "Installieren" aus.

  9. Überprüfen Sie auf der Seite "Ergebnisse ", ob die Installation erfolgreich war, und wählen Sie "Diesen Server auf einen Domänencontroller heraufstufen " aus, um den Konfigurations-Assistenten für Active Directory-Domänendienste zu starten.

    Screenshot der Seite „Installationsstatus“ des Assistenten zum Hinzufügen von Rollen und Features mit hervorgehobener Option „Server zu einem Domänencontroller heraufstufen“.

    Wichtig

    Wenn Sie an diesem Punkt den Assistenten zum Hinzufügen von Rollen schließen, ohne den Konfigurations-Assistenten für Active Directory-Domänendienste zu starten, können Sie ihn neu starten, indem Sie "Aufgaben" im Server-Manager auswählen.

    Screenshot des Server-Managers mit dem Symbol

  10. Wählen Sie auf der Seite "Bereitstellungskonfiguration " eine der folgenden Optionen aus:

    • Wenn Sie einen zusätzlichen Domänencontroller in einer vorhandenen Domäne installieren, wählen Sie einen Domänencontroller zu einer vorhandenen Domäne hinzufügen aus, geben Sie den Namen der Domäne (z. B. emea.corp.contoso.com) ein, oder wählen Sie "Auswählen... aus" aus, um eine Domäne und Anmeldeinformationen auszuwählen (z. B. ein Konto, das Mitglied der Gruppe "Domänenadministratoren" ist), und wählen Sie dann "Weiter" aus.

      Hinweis

      Der Name der Domäne und der aktuellen Benutzeranmeldeinformationen wird standardmäßig nur angegeben, wenn der Computer einer Domäne beigetreten ist und Sie eine lokale Installation durchführen. Wenn Sie AD DS auf einem Remoteserver installieren, müssen Sie die Anmeldeinformationen standardmäßig angeben. Wenn die aktuellen Benutzeranmeldeinformationen nicht ausreichen, um die Installation durchzuführen, wählen Sie "Ändern" aus, um unterschiedliche Anmeldeinformationen anzugeben.

    • Wenn Sie eine neue untergeordnete Domäne installieren, klicken Sie auf Neue Domäne zu einer vorhandenen Gesamtstruktur hinzufügen, wählen Sie unter Domänentyp auswählen den Eintrag Untergeordnete Domäne aus, geben Sie den DNS-Namen der übergeordneten Domäne ein (z. B. „corp.contoso.com“), oder navigieren Sie zu diesem Namen. Geben Sie den relativen Namen der neuen untergeordneten Domäne ein (z. B. „emea“), geben Sie die zum Erstellen der neuen Domäne zu verwendenden Anmeldeinformationen ein, und klicken Sie dann auf Weiter.

    • Wenn Sie eine neue Domänenstruktur installieren, wählen Sie "Neue Domäne zu einer vorhandenen Gesamtstruktur hinzufügen" aus, wählen Sie für "Domänentyp auswählen" die Option "Strukturdomäne" aus, geben Sie den Namen der Stammdomäne ein (z. B. corp.contoso.com), geben Sie den DNS-Namen der neuen Domäne ein (z. B. fabrikam.com), geben Sie Anmeldeinformationen ein, die zum Erstellen der neuen Domäne verwendet werden sollen, und wählen Sie dann "Weiter" aus.

    • Wenn Sie eine neue Gesamtstruktur installieren, wählen Sie "Neue Gesamtstruktur hinzufügen" aus und geben Sie dann den Namen der Stammdomäne ein (z. B. corp.contoso.com).

  11. Wählen Sie auf der Seite " Domänencontrolleroptionen" eine der folgenden Optionen aus:

    • Wenn Sie eine neue Gesamtstruktur oder Domäne erstellen, wählen Sie die Domänen- und Gesamtstrukturfunktionsebenen aus, wählen Sie den DNS-Server (Domain Name System) aus, geben Sie das DSRM-Kennwort an, und wählen Sie dann "Weiter" aus.

    • Wenn Sie einen Domänencontroller zu einer vorhandenen Domäne hinzufügen, wählen Sie den DNS-Server (Domain Name System),den globalen Katalog (GC) oder den schreibgeschützten Domänencontroller (RODC) nach Bedarf aus, wählen Sie den Websitenamen aus, und geben Sie das DSRM-Kennwort ein, und wählen Sie dann "Weiter" aus.

    Weitere Informationen dazu, welche Optionen auf dieser Seite unter verschiedenen Bedingungen verfügbar oder nicht verfügbar sind, finden Sie unter Domänencontrolleroptionen.

  12. Wählen Sie auf der Seite "DNS-Optionen " (die nur angezeigt wird, wenn Sie einen DNS-Server installieren) die Option "DNS-Delegierung aktualisieren" nach Bedarf aus. Geben Sie in diesem Fall Anmeldeinformationen mit der Berechtigung zum Erstellen von DNS-Delegierungseinträgen in der übergeordneten DNS-Zone an.

    Wenn ein DNS-Server, der die übergeordnete Zone hostet, nicht kontaktiert werden kann, ist die Option "DNS-Delegierung aktualisieren" nicht verfügbar.

    Weitere Informationen dazu, ob Sie die DNS-Delegierung aktualisieren müssen, finden Sie unter Understanding Zone Delegation. Wenn Sie versuchen, die DNS-Delegierung zu aktualisieren und auf einen Fehler stoßen, lesen Sie DNS-Optionen.

  13. Geben Sie auf der Seite "RODC-Optionen" (die nur angezeigt wird, wenn Sie rodc installieren), den Namen einer Gruppe oder eines Benutzers an, der rodc verwaltet, Konten zu den Zulässigen oder verweigerten Kennwortreplikationsgruppen hinzu oder entfernt, und wählen Sie dann "Weiter" aus.

    Weitere Informationen finden Sie unter Kennwortreplikationsrichtlinie.

  14. Wählen Sie auf der Seite "Zusätzliche Optionen " eine der folgenden Optionen aus:

    • Wenn Sie eine neue Domäne erstellen, geben Sie einen neuen NetBIOS-Namen ein, oder überprüfen Sie den Standardmäßigen NetBIOS-Namen der Domäne, und wählen Sie dann "Weiter" aus.

    • Wenn Sie einen Domänencontroller zu einer vorhandenen Domäne hinzufügen, wählen Sie den Domänencontroller aus, aus dem Sie die AD DS-Installationsdaten replizieren möchten (oder dem Assistenten erlauben, einen beliebigen Domänencontroller auszuwählen). Wenn Sie aus Medien installieren, wählen Sie "Aus Medienpfadtyp installieren " aus, und überprüfen Sie den Pfad zu den Installationsquelldateien, und wählen Sie dann "Weiter" aus.

      Sie können "Install from Media" (IFM) nicht verwenden, um den ersten Domänencontroller in einer Domäne zu installieren. IFM funktioniert nicht über verschiedene Betriebssystemversionen hinweg. Anders ausgedrückt: Um einen zusätzlichen Domänencontroller zu installieren, der Windows Server unter Verwendung von IFM ausführt, müssen Sie das Sicherungsmedium auf einem Windows Server-Domänencontroller erstellen. Weitere Informationen zu IFM finden Sie unter Installieren eines zusätzlichen Domänencontrollers mithilfe von IFM.

  15. Geben Sie auf der Seite "Pfade " die Speicherorte für die Active Directory-Datenbank, Protokolldateien und den SYSVOL-Ordner ein (oder akzeptieren Sie Standardspeicherorte), und wählen Sie "Weiter" aus.

    Wichtig

    Speichern Sie die Active Directory-Datenbank, Protokolldateien oder SYSVOL-Ordner nicht auf einem Datenvolume, das mit Resilient File System (ReFS) formatiert ist.

  16. Geben Sie auf der Seite "Vorbereitungsoptionen " Anmeldeinformationen ein, die zum Ausführen von Adprep ausreichen.

  17. Bestätigen Sie auf der Seite " Optionen überprüfen" Ihre Auswahl, wählen Sie "Skript anzeigen " aus, wenn Sie die Einstellungen in ein Windows PowerShell-Skript exportieren möchten, und wählen Sie dann "Weiter" aus.

  18. Vergewissern Sie sich auf der Seite "Voraussetzungen überprüfen ", dass die Überprüfung der Erforderlichen abgeschlossen ist, und wählen Sie dann "Installieren" aus.

  19. Überprüfen Sie auf der Seite "Ergebnisse ", ob der Server erfolgreich als Domänencontroller konfiguriert wurde. Der Server wird automatisch neu gestartet, um die AD DS-Installation abzuschließen.

Durchführen einer mehrstufigen RODC-Installation mithilfe der grafischen Benutzeroberfläche

Mithilfe einer bereitgestellten RODC-Installation können Sie einen RODC in zwei Phasen erstellen. In der ersten Phase erstellt ein Mitglied der Gruppe %%amp;quot;Domänen-Admins%%amp;quot; ein RODC-Konto. In der zweiten Phase wird ein Server an das RODC-Konto gebunden. Die zweite Phase kann von einem Mitglied der Gruppe %%amp;quot;Domänen-Admins%%amp;quot; oder von einem delegierten Domänenbenutzer oder von einer delegierten Domänenbenutzergruppe ausgeführt werden.

Erstellen eines RODC-Kontos mithilfe der Active Directory-Verwaltungstools

  1. Sie können das RODC-Konto über das %%amp;quot;Active Directory-Verwaltungscenter%%amp;quot; oder über %%amp;quot;Active Directory-Benutzer und -Computer%%amp;quot; erstellen.

    1. wählen Sie "Start", dann " Verwaltungstools" und dann "Active Directory-Verwaltungscenter" aus.

    2. Wählen Sie im Navigationsbereich (linker Bereich) den Namen der Domäne aus.

    3. Wählen Sie in der Verwaltungsliste (mittlerer Bereich) die Organisationseinheit Domänencontroller aus.

    4. Wählen Sie im Aufgabenbereich (rechten Bereich) Vorab ein schreibgeschütztes Domänencontrollerkonto erstellen aus.

    -Oder-

    1. wählen Sie "Start", dann " Verwaltungstools" und dann "Active Directory-Benutzer und -Computer" aus.

    2. Wählen Sie entweder die Organisationseinheit Domänencontroller mit der rechten Maustaste aus oder wählen Sie die Domänencontroller-OU aus, und wählen Sie dann Aktion aus.

    3. Klicken Sie auf Konto für schreibgeschützten Domänencontroller vorbereiten.

  2. Auf der Seite "Willkommen bei der Installation von Active Directory Domain Services" wählen Sie die Option "Erweiterten Modus installieren" aus, wenn Sie die Standardrichtlinie für die Kennwortreplikation (Password Replication Policy, PRP) ändern möchten, und wählen Sie dann "Weiter".

  3. Wählen Sie auf der Seite "Netzwerkanmeldeinformationen " unter " Kontoanmeldeinformationen für die Installation angeben", wählen Sie "Meine aktuell angemeldeten Anmeldeinformationen " aus, oder wählen Sie " Alternative Anmeldeinformationen" und dann " Festlegen" aus. Geben Sie im Dialogfeld "Windows-Sicherheit " den Benutzernamen und das Kennwort für ein Konto an, das den zusätzlichen Domänencontroller installieren kann. Zum Installieren eines zusätzlichen Domänencontrollers müssen Sie ein Mitglied der Gruppe Organisations-Admins oder Domänen-Admins sein. Wenn Sie mit der Bereitstellung von Anmeldeinformationen fertig sind, wählen Sie "Weiter" aus.

  4. Geben Sie auf der Seite Namen des Computers angeben den Computernamen des Servers ein, der als RODC verwendet werden soll.

  5. Wählen Sie auf der Seite " Website auswählen " eine Website aus der Liste aus, oder wählen Sie die Option zum Installieren des Domänencontrollers auf dem Standort aus, der der IP-Adresse des Computers entspricht, auf dem Sie den Assistenten ausführen, und wählen Sie dann "Weiter" aus.

  6. Wählen Sie auf der Seite Weitere Domänencontrolleroptionen die folgenden Optionen und dann Weiter aus:

    • DNS-Server: Diese Option ist standardmäßig aktiviert, sodass Ihr Domänencontroller als DNS-Server (Domain Name System) funktionieren kann. Wenn der Domänencontroller kein DNS-Server sein soll, deaktivieren Sie diese Option. Wenn Sie die DNS-Serverrolle jedoch nicht auf dem RODC installieren und der RODC der einzige Domänencontroller in der Zweigstelle ist, können Benutzer in der Zweigstelle keine Namensauflösung ausführen, wenn das WAN (Wide Area Network) zum Hubstandort offline ist.

    • Globaler Katalog: Diese Option ist standardmäßig aktiviert. Damit werden dem Domänencontroller die schreibgeschützten Verzeichnispartitionen des globalen Katalogs hinzugefügt. Außerdem wird die Suchfunktion für den globalen Katalog aktiviert. Wenn der Domänencontroller kein globaler Katalogserver sein soll, deaktivieren Sie diese Option. Wenn Sie jedoch keinen globalen Katalogserver in der Zweigstelle installieren oder universelle Gruppenmitgliedschaftszwischenspeicherung für den Standort aktivieren, der die RODC enthält, können sich Benutzer in der Zweigstelle nicht bei der Domäne anmelden, wenn das WAN am Hubstandort offline ist.

    • Schreibgeschützter Domänencontroller Wenn Sie ein RODC-Konto erstellen, ist diese Option standardmäßig aktiviert, und Sie können es nicht löschen.

  7. Wenn Sie auf der Willkommensseite das Kontrollkästchen "Erweiterten Modus verwenden" aktiviert haben, wird die Seite "Kennwortreplikationsrichtlinie angeben" angezeigt. Standardmäßig werden Kontokennwörter nicht auf den RODC repliziert, und für sicherheitskritische Konten (z. B. Mitglieder der Gruppe Domänen-Admins) wird das Replizieren von Kennwörtern auf dem RODC explizit verweigert.

    Wenn Sie der Richtlinie weitere Konten hinzufügen möchten, wählen Sie "Hinzufügen" und dann "Kennwörter zulassen" für das Konto aus, das auf diesen RODC repliziert werden soll , oder wählen Sie "Kennwörter verweigern" für das Konto aus, das auf dieses RODC repliziert wird, und wählen Sie dann die Konten aus.

    Wenn Sie fertig sind (oder die Standardeinstellung akzeptieren möchten), wählen Sie "Weiter" aus.

  8. Geben Sie auf der Seite " Delegierung der RODC-Installation und -Verwaltung " den Namen des Benutzers oder der Gruppe ein, der den Server an das RODC-Konto anfügt, das Sie erstellen. Es kann nur der Name eines einzelnen Sicherheitsprinzipals eingegeben werden.

    Um das Verzeichnis nach einem bestimmten Benutzer oder einer bestimmten Gruppe zu durchsuchen, wählen Sie "Festlegen" aus. Geben Sie in "Benutzer oder Gruppe auswählen" den Namen des Benutzers oder der Gruppe ein. Es wird empfohlen, die RODC-Installation und -verwaltung an eine Gruppe zu delegieren.

    Dieser Benutzer oder diese Gruppe besitzt nach der Installation auch lokale Administratorrechte auf dem RODC. Wenn Sie keinen Benutzer oder eine Gruppe angeben, können nur Mitglieder der Gruppe "Domänenadministratoren" oder "Unternehmensadministratoren" den Server an das Konto anfügen.

    Wenn Sie fertig sind, wählen Sie "Weiter" aus.

  9. Überprüfen Sie auf der Seite "Zusammenfassung " Ihre Auswahl. wählen Sie "Zurück " aus, um ggf. die Auswahl zu ändern.

    Wenn Sie die von Ihnen ausgewählten Einstellungen in einer Antwortdatei speichern möchten, die Sie zum Automatisieren nachfolgender AD DS-Vorgänge verwenden können, wählen Sie "Exporteinstellungen" aus. Geben Sie einen Namen für Ihre Antwortdatei ein, und wählen Sie dann "Speichern" aus.

    Wenn Sie sicher sind, dass Ihre Auswahl korrekt ist, wählen Sie "Weiter" aus, um das RODC-Konto zu erstellen.

  10. Wählen Sie auf der Seite "Installations-Assistent für Active Directory-Domänendienste" die Option "Fertig stellen" aus.

Nachdem ein RODC-Konto erstellt wurde, können Sie einen Server an das Konto binden, um die RODC-Installation abzuschließen. Diese zweite Phase kann in der Zweigstelle ausgeführt werden, in der sich der RODC befinden wird. Der Server, auf dem Sie dieses Verfahren ausführen, muss der Domäne nicht hinzugefügt werden. Sie verwenden den Assistenten zum Hinzufügen von Rollen im Server-Manager, um einen Server an ein RODC-Konto anzufügen.

Anfügen eines Servers an ein RODC-Konto mithilfe des Server-Managers

  1. Melden Sie sich als lokaler Administrator an.

  2. Wählen Sie im Server-Manager "Rollen und Features hinzufügen" aus.

  3. Wählen Sie auf der Seite "Vor Beginn " die Option "Weiter" aus.

  4. Wählen Sie auf der Seite " Installationstyp auswählen" die Option "Rollenbasierte oder featurebasierte Installation" und dann " Weiter" aus.

  5. Wählen Sie auf der Seite "Zielserver auswählen" die Option " Server aus dem Serverpool auswählen" aus, wählen Sie den Namen des Servers aus, auf dem Sie AD DS installieren möchten, und wählen Sie dann "Weiter" aus.

  6. Wählen Sie auf der Seite "Serverrollen auswählen " die Option "Active Directory Domain Services" aus, wählen Sie "Features hinzufügen" und dann " Weiter" aus.

  7. Wählen Sie auf der Seite "Features auswählen " alle zusätzlichen Features aus, die Sie installieren möchten, und wählen Sie "Weiter" aus.

  8. Überprüfen Sie auf der Seite "Active Directory Domain Services " die Informationen, und wählen Sie dann "Weiter" aus.

  9. Wählen Sie auf der Seite " Installationsauswahl bestätigen " die Option "Installieren" aus.

  10. Überprüfen Sie auf der Seite "Ergebnisse " die Installation, und wählen Sie "Diesen Server auf einen Domänencontroller heraufstufen " aus, um den Konfigurations-Assistenten für Active Directory-Domänendienste zu starten.

    Wichtig

    Wenn Sie an diesem Punkt den Assistenten zum Hinzufügen von Rollen schließen, ohne den Konfigurations-Assistenten für Active Directory-Domänendienste zu starten, können Sie ihn neu starten, indem Sie "Aufgaben" im Server-Manager auswählen.

    Screenshot des Symbols

  11. Wählen Sie auf der Seite "Bereitstellungskonfiguration " die Option " Domänencontroller zu einer vorhandenen Domäne hinzufügen" aus, geben Sie den Namen der Domäne (z. B. emea.contoso.com) und Anmeldeinformationen ein (z. B. ein Konto, das zum Verwalten und Installieren des RODC delegiert ist), und wählen Sie dann "Weiter" aus.

  12. Wählen Sie auf der Seite " Domänencontrolleroptionen"die Option "Vorhandenes RODC-Konto verwenden" aus, geben Sie das Kennwort für den Wiederherstellungsmodus für Verzeichnisdienste ein, und bestätigen Sie es, und wählen Sie dann "Weiter" aus.

  13. Wenn Sie die Installation von einem Medium aus durchführen, klicken Sie auf der Seite Weitere Optionen auf Vom Medienpfad installieren, geben Sie den Pfad zu den Installationsquelldateien ein, und überprüfen Sie ihn. Wählen Sie den Domänencontroller aus, von dem Sie die AD DS-Installationsdaten replizieren möchten (oder lassen Sie den Assistenten einen beliebigen Domänencontroller auswählen), und dann Weiter.

  14. Geben Sie auf der Seite "Pfade " die Speicherorte für die Active Directory-Datenbank, Protokolldateien und den SYSVOL-Ordner ein, oder akzeptieren Sie Standardspeicherorte, und wählen Sie dann "Weiter" aus.

  15. Bestätigen Sie auf der Seite " Optionen überprüfen" Ihre Auswahl, wählen Sie "Skript anzeigen" aus, um die Einstellungen in ein Windows PowerShell-Skript zu exportieren, und wählen Sie dann "Weiter" aus.

  16. Vergewissern Sie sich auf der Seite "Voraussetzungen überprüfen ", dass die Überprüfung der Erforderlichen abgeschlossen ist, und wählen Sie dann "Installieren" aus.

    Zum Abschließen der AD DS-Installation wird der Server automatisch neu gestartet.