Getty Images
Wie richten Sie einen Domänencontroller für Windows Server 2022 ein?
Die Migration von einem älteren Domänencontroller ist zwar nicht schwierig, erfordert jedoch eine gründliche Vorbereitung, um beispielsweise Verbindungsprobleme zu vermeiden.
In vielen Unternehmen gibt es immer noch Widerstände in Form von veralteten Legacy-Konfigurationen, die sich oft in Schlüsselbereichen der lokalen Infrastruktur befinden, wie zum Beispiel Domänencontrollern.
Mit dem End of Life von Windows Server 2012 und 2012 R2 sollten Unternehmen, die ihre Domänencontroller auf diesen Betriebssystemen noch nicht migriert haben, mit diesem Prozess beginnen, bevor das Extended-Security-Update-Programm für diese Betriebssysteme im Jahr 2026 endet. Ein Domänencontroller ist ein wichtiger Bestandteil der Netzwerksicherheit, und die Verlagerung dieser Arbeitslast auf Windows Server 2022 bietet der Organisation Vorteile aus der Verwaltungsperspektive mit einem verbesserten Active Directory Administrative Center und erweiterten Sicherheitsfunktionen.
Die Migration von Domänencontrollern auf Windows Server 2022 ist nicht schwierig, aber es ist wichtig, die richtigen Schritte genau zu befolgen, um Fehler oder die Einführung von Sicherheitsschwachstellen während des Upgrade-Prozesses zu vermeiden.
Vorbereitung von Backups und Dokumentationen
Bei der Vorbereitung eines Upgrades auf einen Windows-Server-2022-Domänencontroller sollten Sie alle mit der AD-Umgebung verbundenen Einstellungen dokumentieren. Sammeln Sie zum Beispiel alle Namen und IP-Adressen Ihrer Legacy-Domänencontroller. Sie sollten auch die Domänencontroller notieren, die als globale Katalogserver fungieren, die Domänencontroller, die als schreibgeschützt konfiguriert sind, und die Domänencontroller, die als DNS-Server fungieren.
Es empfiehlt sich auch, die übrigen Einstellungen zu notieren, einschließlich der Domänenhierarchie, der Gruppenrichtlinieneinstellungen und anderer relevanter Elemente.
Erstellen Sie kurz vor dem Upgrade ein Backup von mindestens einem Domänencontroller in jeder Domäne, um eine möglichst aktuelle Version zu erhalten. Am besten ist es, einen Domänencontroller zu sichern, der auch als DNS-Server fungiert und FSMO-Rollen (Flexible Single Master Operation) für die Domäne hostet.
Was sind die Systemanforderungen für Windows Server 2022-Domänencontroller?
Bevor Sie mit dem Upgrade fortfahren, sollten Sie die Systemanforderungen für Windows Server 2022 überprüfen.
Sie benötigen mindestens eine 64-Bit-CPU mit 1,4 GHz, die Second Level Address Translation unterstützt, 512 MByte RAM (oder 2 GByte RAM bei Verwendung von Desktop Experience) und 32 GByte Festplattenspeicher. Für eine bessere Leistung, insbesondere bei größeren Domänen, sollten Sie eine schnellere CPU und 4 GByte RAM in Betracht ziehen.
So erstellen Sie einen Windows-Server-2022-Domänencontroller
Die gängigste Methode zum Upgrade einer AD-Domäne auf Windows Server 2022 besteht darin, eine Windows Server 2022 VM online zu bringen, sie als Domänencontroller zu aktivieren und einen Legacy-Domänencontroller auslaufen zu lassen.
Sie können den Prozess wiederholen, bis Sie alle Legacy-Domänencontroller aktualisiert haben. Die folgenden Abschnitte geben einen Überblick über diesen Prozess.
So richten Sie die Netzwerkkonfiguration des Servers ein
Beginnen Sie mit der Installation von Windows Server 2022 auf einem physischen Server oder einer VM. Melden Sie sich anschließend am Server an und weisen Sie ihm eine statische IP-Adresse innerhalb desselben Subnetzes zu, indem auch Ihre vorhandenen Legacy-Domänencontroller liegen. Konfigurieren Sie den Server so, dass er die vorhandenen DNS-Server der Domäne verwendet.
Legen Sie den Servernamen fest
Der nächste Schritt besteht darin, dem Server einen geeigneten Namen zuzuweisen. Öffnen Sie dazu ein erweitertes PowerShell-Fenster, und geben Sie den folgenden Befehl ein:
Rename-Computer -NewName "<new name>"Nach der Umbenennung müssen Sie den Computer neu starten.
So verbinden Sie den Windows-Server-2022-Domänencontroller mit der Domäne
Installieren Sie anschließend alle verfügbaren Updates und verbinden Sie den Server mit Ihrer AD-Domäne. Vergewissern Sie sich, dass die Zeit des neuen Servers korrekt ist, da Zeitverschiebungen zu Problemen beim Beitritt zur Domäne führen können.
Um Windows Server 2022 der Domäne hinzuzufügen, öffnen Sie eine erweiterte PowerShell-Sitzung, und geben Sie den folgenden Befehl ein:
$Cred=Get-CredentialWindows fordert Sie auf, eine Reihe von Anmeldeinformationen für ein Konto mit der Berechtigung zum Beitritt zur Domäne einzugeben.
Geben Sie anschließend den folgenden Befehl ein:
Add-Computer -DomainName <your domain name> -Credential $Cred -Restart -ForceDadurch wird der Server der Domäne hinzugefügt und der Computer wird gezwungen, neu zu starten, sobald der Domänenbeitritt abgeschlossen ist. Der Prozess des Domänenbeitritt ist in Abbildung 2 zu sehen.
Heraufstufen des Windows-Server-2022-Domänencontrollers
Sobald der Server neu gestartet ist, melden Sie sich mit einem Domänenkonto an.
Nun ist es an der Zeit, den Server zu einem Domänencontroller zu ernennen. Für die Zwecke dieses Artikels gehen wir davon aus, dass Sie den neuen Domänencontrollers auch zu einem DNS-Server machen möchten. Öffnen Sie eine erweiterte PowerShell-Sitzung und geben Sie die folgenden Befehle ein:
Install-WindowsFeature AD-DomainServices -IncludeManagementTools
Install-WindowsFeature DNS
Import-Module ActiveDirectory
Install-ADDSDomainController -InstallDNS -DomainName "<domain name>"Das System fordert Sie auf, ein Kennwort für den sicheren Modus einzugeben und anschließend zu bestätigen. Nach Abschluss des Vorgangs wird der Server zu einem Domänencontroller befördert und automatisch neu gestartet.
So übertragen Sie die FSMO-Rollen
Da das Ziel darin besteht, eine alte AD-Domäne zu aktualisieren, möchten Sie normalerweise die FSMO-Rollen von Ihren alten Domänencontrollern auf Ihren Windows-Server-2022-Domänencontroller übertragen.
Dieser Vorgang erfordert in der Regel ein wenig Planung, aber wenn Sie die vorhandenen Rollen auf den neuen Domänencontroller übertragen möchten, geben Sie den folgenden Befehl ein:
Move-ADDirectoryServerOperationMasterRole -Identity "<new domain controller name>" –OperationMasterRole DomainNamingMaster,PDCEmulator,RIDMaster,SchemaMaster,InfrastructureMaster
So aktualisieren Sie den DHCP-Server
Zu diesem Zeitpunkt ist der neue Domänencontroller voll funktionsfähig und fungiert auch als DNS-Server. Bevor Sie einen Domänencontroller außer Betrieb nehmen, sollten Sie Ihren DHCP-Server (Dynamic Host Configuration Protocol) aktualisieren. Dadurch werden mögliche Probleme vermieden, wenn der DHCP-Server den Geräten IP-Adressen zuweist oder ihre Leases erneuert und diese auf den neuen DNS-Server verweist und nicht auf den, der außer Betrieb genommen werden soll.
Bei der Durchführung dieses Prozesses sind einige Dinge zu beachten. Erstens haben Sie möglicherweise einige Server, insbesondere Infrastruktur-Server, mit statischen IP-Adresszuweisungen, die eine manuelle Aktualisierung zur Anpassung der DNS-Serverzuweisungen erfordern.
Zweitens verwenden die meisten Domänen mindestens zwei DNS-Server, so dass Sie möglicherweise einige zusätzliche Windows-Server-2022-Domänencontroller online hinzufügen und sie so konfigurieren sollten, dass sie als DNS-Server fungieren, bevor Sie Ihren DHCP-Bereich aktualisieren.
Drittens werden DHCP-Leases nicht sofort aktualisiert. Es ist üblich, dass IP-Adressen-Leases eine Woche oder länger in Kraft bleiben. Nachdem Sie Ihren DHCP-Server mit den neuen DNS-IP-Adressen aktualisiert haben, müssen Sie warten, bis alle bestehenden Leases abgelaufen sind, bevor Sie die alten DNS-Server außer Betrieb nehmen.
Wie man den alten Domänencontroller außer Dienst stellt
Der letzte Schritt ist in der Regel die Außerbetriebnahme der alten Domänencontroller, aber möglicherweise sind vor der Entfernung dieser alten Infrastrukturkomponenten noch weitere Aufgaben zu erledigen.
Nach dem Upgrade der Domäne müssen Sie möglicherweise zusätzliche Arbeiten durchführen, wie zum Beispiel die Anhebung der funktionalen Ebenen der Gesamtstruktur und der Domäne. Zur Deaktivierung eines alten Domänencontrollers wird das Cmdlet Uninstall-ADDSDomainController verwendet.
Die Microsoft-Dokumentation für den Deaktivierungsprozess finden Sie hier.
