Fagstoff

Promotere domenekontroller

Med Active Directory og DNS-server installert på Windows Server så er neste steg å promotere domenekontrolleren og konfigurere domenet som skal brukes i nettverket.

Start konfigurasjonsveileder for domenekontroller

Utklipp fra Server Manager. I toppmenyen på dashbordet vises det et flagg med varseltrekant ved siden av. Dette ligger til venstre for nedtrekksmenyen «Manage». «Flag»-menyen er åpnet, og musepekeren henger over lenken «Promote this server to domain controller». Skjermbilde.

Gå til «Server Manager». Et stykke oppe til høyre i toppmenyen vises det et flagg med en varseltrekant. Trykk på flagget med musepekeren. I menyen som vises, velger du «Promote this server to a domain controller».

Konfigurasjonsveilederen vil nå starte opp.

Valg av kontrollermodus

På den første siden av veilederen velges modusen kontrolleren skal arbeide under.

Hvor vi bruker de forskjellige modusene

«Add a domain controller to an existing domain» innebærer at kontrolleren skal arbeide sammen med eksisterende kontroller og et eksisterende domene. Flere kontrollere som samarbeider, er vanlig i driftsmiljøer for å sikre redundans.
«Add a new domain to an existing forest» innebærer at kontrolleren skal håndtere et nytt domene, men at dette skal være del av en eksisterende domene-skog (forest). Dette kan være relevant for utvidelser av driftsmiljøer, for eksempel når en ny avdeling eller et nytt kontorsted skal settes opp.
«Add a new forest» betyr at domenekontrolleren skal lage en ny domene-skog (forest). En domene-skog er det høyeste nivået i Active Directory og kan inneholde ett eller flere domener.

I denne omgang velger vi «Add a new forest».

Valg av domenenavn

Lenger ned på siden er det et tekstfelt for å legge inn domenenavnet som kontrolleren skal bruke.

I driftsmiljøer er det vanlig å bruke domener som bedriften eier, og som er rutbare/gyldige på internett.

For testoppsett er det anbefalt å bruke et toppdomene som ikke er rutbart/gyldig på internett. Internet Engineering Task Force (IETF) har i et notat foreslått at følgende topp-domener brukes.

.intranet
.internal
.private
.corp
.home
.lan

Velg deg et domene du ønsker å bruke i testlab. Dette må bestå av et domene og et toppdomene – for eksempel lab.lan.

Domenenavnet er vilkårlig, men det er viktig at du ikke bruker et rutbart topp-domene som .no, .com, .net osv. Trykk på «Next» for å gå videre.

Utklipp fra «Deploy Configuration». «Add a new forest» er valgt, og domenet «lab.lan» er skrevet inn i «Root domain name»-feltet. Skjermbilde.

Velge funksjonsnivå på domenekontroller

Active Directory ble først utgitt med Windows Server 2000. I nyere versjoner av Windows Server har domenekontrolleren fått ny funksjonalitet. I driftsmiljøer er det ikke uvanlig at det brukes flere versjoner av Windows Server og dermed forskjellige versjoner av Active Directory. For å sikre kompatibilitet er det mulig å redusere funksjonsnivået på nye servere, slik at de kan fungere med eldre eksisterende servere.

For nye oppsett og testoppsett er ikke dette aktuelt. Siste gang nytt funksjonsnivå ble laget, var i Windows 2016. Dette er derfor nyeste versjon (selv om du installerer på en Windows Server 2019)

Lenger ned på siden er det mulig å avgrense hvilke funksjoner domenekontrolleren skal gjøre. La dem stå som foreslått.

«Directory Services Restore Mode password» er et passord som gir mulighet for feilsøking og feilretting i Active Directory-databasen. Lag et passord. Når du er ferdig, trykker du på «Next» for å gå videre.

Utklipp fra promoteringsveilederen. Viser justeringsmulighet for funksjonsnivå, kontrollerfunksjoner og domenekontroller av passord. Skjermbilde. — Justere domenekontroller

Velge og sjekke diverse innstillinger

På neste side, «DNS Options», vil du sannsynligvis få opp varsel om at «DNS Delegation» ikke kan opprettes fordi «Authoritative parent zone» ikke kan nås. Dette er en forventet feil og ikke et problem. Trykk på «Next» for å gå videre.

Siden «Additional Options» kan ta noen sekunder å laste. Denne vil foreslå et «NetBIOS Domain name». Velg «Next» for å gå videre.

På «Paths»-siden er det mulig å overstyre lokal plassering av AD-database, loggfiler og System Volume (Sysvol). Med mindre du har spesielle behov i ditt oppsett, kan du gå direkte videre ved å trykke «Next».

På siden «Review Options» får du listet opp konfigurasjonen du har valgt. Sjekk denne og trykk på «Next» for å fortsette.

Automatisk sjekk før installasjon

På siden «Prerequisites Check» vil veilederen gjøre en automatisk sjekk for å se om domenekontrolleren kan iverksettes/promoteres. Det er vanlig og forventet å få opp noen advarsler.

Se etter tekstfelt som sier «All prerequisite checks passed successfully…» Dette vil si at eventuelle feil ikke er til hinder for promotering/oppstart av domenekontrolleren.

Ta gjerne et skjermbilde av feilmeldingene du får opp; noen er kanskje irrelevante, mens andre vil du kanskje ønske å rette opp senere. Når du er klar, trykker du på «Install».

Utklipp fra «Prerequisites Check». Viser en lang liste med advarsler, men ingen som hindrer installasjon. Skjermbilde.

Installasjonen kan ta noen minutter, og serveren vil måtte starte på nytt som del av promoteringsprosessen.

Når maskinen starter opp igjen, vil påloggingsskjermen inkludere domenet ditt.

Du logger ikke lenger på med maskinens lokale administratorbruker (den er faktisk blitt slettet fra serveren under promoteringen). Du logger nå på med en domene-brukerkonto med samme brukernavn og passord som den gamle lokale brukeren.

Utklipp fra påloggingsvindu Windows Server. Brukeren som logges på, heter nå LAB\Administrator. LAB kommer fra domenet, som er satt opp i AD. Skjermbilde. — Når Active Directory er aktivt, vil påloggingsnavnet inkludere domenet.

CC BY-SASkrevet av Tron Bårdgård.

Sist faglig oppdatert 10.03.2021