Fagstoff

Promotere ein domenekontroller

Med Active Directory og DNS-server installert på Windows Server er neste steg å promotere domenekontrolleren og konfigurere domenet som skal brukast i nettverket.

Start konfigurasjonsrettleiing for domenekontrollerar

Utklipp frå Server Manager. I toppmenyen på dashbordet ser vi eit flagg med varseltrekant ved sida av. Dette ligg til venstre for nedtrekksmenyen «Manage». «Flag»-menyen er opna, og musepeikaren heng over lenkja «Promote this server to domain controller». Skjermbilete.

Gå til «Server Manager». Eit stykke oppe til høgre i toppmenyen ser du eit flagg med ein varseltrekant. Trykk på flagget med musepeikaren. I menyen som blir vist, vel du «Promote this server to a domain controller».

Konfigurasjonsrettleiinga vil no starte opp.

Val av kontrollermodus

På den første sida av rettleiinga vel du modusen som kontrolleren skal arbeide under.

Kvar vi bruker dei ulike modusane

«Add a domain controller to an existing domain» inneber at kontrolleren skal arbeide saman med eksisterande kontrollar og eit eksisterande domene. Fleire kontrollere som samarbeider, er vanleg i driftsmiljø for å sikre redundans.
«Add a new domain to an existing forest» inneber at kontrolleren skal handtere eit nytt domene, men at dette skal vere del av ein eksisterande domene-skog (forest). Dette kan vere relevant for utvidingar av driftsmiljø, til dømes når ei ny avdeling eller ein ny kontorstad skal setjast opp.
«Add a new forest» betyr at domenekontrolleren skal lage ein ny domene-skog (forest). Ein domene-skog er det høgaste nivået i Active Directory og kan innehalde eitt eller fleire domene.

I denne omgangen vel vi «Add a new forest».

Val av domenenamn

Lenger ned på sida er det eit tekstfelt for å leggje inn domenenamnet som kontrolleren skal bruke.

I driftsmiljø er det vanleg å bruke domene som bedrifta eig, og som er rutbare/gyldige på internett.

For testoppsett er det tilrådd å bruke eit toppdomene som ikkje er rutbart/gyldig på internett. Internet Engineering Task Force (IETF) har i eit notat foreslått at følgjande topp-domene blir brukt.

.intranet
.internal
.private
.corp
.home
.lan

Vel deg eit domene du ønskjer å bruke i testlab. Dette må bestå av eit domene og eit toppdomene – til dømes lab.lan.

Domenenamnet er vilkårleg, men det er viktig at du ikkje bruker eit rutbart topp-domene som .no, .com, .net osb. Trykk på «Next» for å gå vidare.

Utklipp fra «Deploy Configuration». «Add a new forest» er valgt, og domenet «lab.lan» er skrevet inn i «Root domain name»-feltet. Skjermbilde.

Velje funksjonsnivå på domenekontrolleren

Active Directory vart først gitt ut med Windows Server 2000. I nyare versjonar av Windows Server har domenekontrolleren fått ny funksjonalitet. I driftsmiljø er det ikkje uvanleg at det blir brukt fleire versjonar av Windows Server og dermed ulike versjonar av Active Directory. For å sikre kompatibilitet er det mogleg å redusere funksjonsnivået på nye serverar, slik at dei kan fungere med eldre eksisterande serverar.

For nye oppsett og testoppsett er ikkje dette aktuelt. Siste gong nytt funksjonsnivå vart laga, var i Windows 2016. Dette er derfor nyaste versjon (sjølv om du installerer på ein Windows Server 2019)

Lenger ned på sida er det mogleg å avgrense kva funksjonar domenekontrolleren skal gjere. La dei stå som foreslått.

«Directory Services Restore Mode password» er eit passord som gjer det mogleg å feilsøkje og feilrette i Active Directory-databasen. Lag eit passord. Når du er ferdig, trykkjer du på «Next» for å gå vidare.

Utklipp frå promoteringsrettleiinga. Viser justeringsmoglegheit for funksjonsnivå, kontrollerfunksjonar og domenekontrolleren for passord. Skjermbilete. — Justere domenekontroller

Velje og sjekke diverse innstillingar

På neste side, «DNS Options», vil du truleg få opp varsel om at «DNS Delegation» ikkje kan opprettast fordi «Authoritative parent zone» ikkje kan nåast. Dette er ein forventa feil og ikkje eit problem. Trykk på «Next» for å gå vidare.

Sidan «Additional Options» kan ta nokre sekund å laste. Denne vil foreslå eit «NetBIOS Domain name». Vel «Next» for å gå vidare.

På «Paths»-sida er det mogleg å overstyre lokal plassering av AD-database, loggfiler og «System Volume» (Sysvol). Med mindre du har spesielle behov i oppsettet ditt, kan du gå direkte vidare ved å trykkje «Next».

På sidan «Review Options» får du lista opp konfigurasjonen du har valt. Sjekk denne og trykk på «Next» for å halde fram.

Automatisk sjekk før installasjon

På sida «Prerequisites Check» vil rettleiinga gjere ein automatisk sjekk for å sjå om domenekontrolleren kan setjast i verk / promoterast. Det er vanleg og forventa å få opp nokre åtvaringar.

Sjå etter tekstfelt som seier «All prerequisite checks passed successfully…» Dette vil seie at eventuelle feil ikkje er til hinder for promotering/oppstart av domenekontrolleren.

Ta gjerne eit skjermbilete av feilmeldingane du får opp; nokre er kanskje irrelevante, medan andre vil du kanskje ønskje å rette opp seinare. Når du er klar, trykkjer du på «Install».

Utklipp frå «Prerequisites Check». Viser ei lang liste med åtvaringar, men ingen som hindrar installasjon. Skjermbilete.

Installasjonen kan ta nokre minutt, og serveren må starte på nytt som del av promoteringsprosessen.

Når maskina startar opp igjen, vil påloggingsskjermen inkludere domenet ditt.

Du loggar ikkje lenger på med den lokale administratorbrukaren til maskina (han har faktisk blitt sletta frå serveren under promoteringen). Du loggar no på med ein domene-brukarkonto med same brukarnamn og passord som den gamle lokale brukaren.

Utklipp frå påloggingsvindauget til Windows Server. Brukaren som blir logga på, heiter no LAB\Administrator. LAB kjem frå domenet, som er sett opp i AD. Skjermbilete. — Når Active Directory er aktivt, vil påloggingsnamnet inkludere domenet.

CC BY-SASkrive av Tron Bårdgård.

Sist fagleg oppdatert 10.03.2021