So fügen Sie einer bestehenden Active Directory-Domäne einen zusätzlichen Domänencontroller hinzu

Das Einrichten zusätzlicher Domänencontroller ist nicht nur wünschenswert, sondern für eine ausfallsichere Active Directory-Umgebung unerlässlich. Wenn Sie Lastverteilung planen oder ein Backup einrichten möchten, erleichtern Ihnen mindestens zwei Domänencontroller – idealerweise mehr bei mehreren Standorten – die Arbeit erheblich. Doch seien wir ehrlich: Das Hinzufügen eines neuen Domänencontrollers ist in der Regel kein einfacher Vorgang. Es bedarf einiger Vorbereitungen, Konfigurationen und Validierungen. Dieser Leitfaden führt Sie durch die praktischen Schritte – von der Vorbereitung Ihres Windows Servers über die Heraufstufung zum vollwertigen Domänencontroller bis hin zur Überprüfung der korrekten Funktion. Sie erhalten am Ende einen stabilen, funktionsfähigen sekundären (oder tertiären…) Domänencontroller, der Anfragen bearbeiten kann, falls der primäre Domänencontroller ausfällt oder für standortspezifische Lastverteilung.

So fügen Sie einen neuen Domänencontroller in Windows Server hinzu

Server vorbereiten: Sicherstellen, dass er einsatzbereit ist

Als Erstes sollten Sie einen neuen Windows Server bereitstellen (2016, 2019 oder 2022 – je nachdem, welche Version zu Ihrer bestehenden Umgebung passt).Es empfiehlt sich, dieselbe Version wie Ihre aktuellen Domänencontroller zu verwenden, um lästige Kompatibilitätsprobleme zu vermeiden. Sobald der Server eingerichtet und betriebsbereit ist, geben Sie ihm einen passenden Hostnamen. Beispielsweise könnten Sie ihn „mun-dc02“ nennen. Dies können Sie über PowerShell erledigen.

Rename-Computer -NewName mun-dc02

Vergessen Sie nicht, anschließend neu zu starten. Weisen Sie dem System eine statische IP-Adresse zu und konfigurieren Sie die DNS-Einstellungen entsprechend. Für optimale Leistung sollte der bevorzugte DNS-Server auf 192.168.10.14 verweisen, 127.0.0.1damit Anfragen lokal aufgelöst werden. Fügen Sie außerdem einen alternativen DNS-Server hinzu, der auf die IP-Adresse eines vorhandenen Domänencontrollers (z. B.192.168.10.14) verweist. Hier ist ein kurzes PowerShell-Skript zum Festlegen der IP-Adresse und des DNS-Servers:

Get-NetAdapter | ? { $_. Status -eq "Up" } | ForEach-Object { New-NetIPAddress -InterfaceAlias $_. Name -IPAddress 192.168.13.14 -PrefixLength 24 -DefaultGateway 192.168.13.1 Set-DnsClientServerAddress -InterfaceAlias $_. Name -ServerAddresses ("127.0.0.1", "192.168.10.14") }

Stellen Sie sicher, dass die Zeitzone korrekt eingestellt ist und mit Ihren Domänencontrollern synchronisiert ist – andernfalls kann es zu unerwarteten Problemen kommen. Installieren Sie die neuesten Updates (über Windows Update oder Ihren WSUS).Manche verwenden gerne das PowerShell-Modul Winhance, um alles übersichtlich zu halten, aber Windows Update allein reicht auf neu installierten Servern ebenfalls aus.

Aktivieren Sie anschließend die Remotedesktopverbindung unter Einstellungen > System > Remotedesktop, um remote darauf zugreifen zu können. Fügen Sie den Server Ihrer Domäne hinzu (z. B.woshub.loc ) mit folgendem Befehl:

Add-Computer -DomainName woshub.loc -Restart

Handelt es sich um einen Remote-Standort, denken Sie daran, diesen in Active Directory-Standorte und -Dienste einzurichten und dssite.mscdie Subnetze zuzuordnen. Andernfalls können Replikationsprobleme später zu erheblichen Schwierigkeiten führen.

Installation der AD DS-Rolle – Der Spaß beginnt

Sobald der Server konfiguriert ist, starten Sie den Server-Manager, klicken Sie auf „Verwalten“ und anschließend auf „Rollen und Features hinzufügen“. Aktivieren Sie das Kontrollkästchen für „Active Directory-Domänendienste“. Bestätigen Sie die Installation. Alternativ können Sie dies auch mithilfe von PowerShell für eine automatisierte Vorgehensweise durchführen.

Install-WindowsFeature AD-Domain-Services -IncludeManagementTools -Verbose

Stellen Sie nach der Installation sicher, dass es ordnungsgemäß installiert wurde mit:

Get-WindowsFeature -Name *AD-Domain*

Wenn es als installiert angezeigt wird, können Sie fortfahren. Andernfalls beheben Sie die Probleme, bevor Sie fortfahren.

Server-Upgrade: Umwandlung in einen Domänencontroller

Hier geschieht die Magie.Öffnen Sie den Server-Manager und wählen Sie „Verwalten“ > „Diesen Server zu einem Domänencontroller hochstufen“. Wählen Sie anschließend „Domänencontroller zu einer vorhandenen Domäne hinzufügen“. Ein Assistent wird angezeigt – so gehen Sie vor:

  • Wählen Sie die Installation von DNS und die Aktivierung des globalen Katalogs. Warum? Weil dieser Domänencontroller DNS-Anfragen verarbeiten und als AD-Hub fungieren soll.
  • Legen Sie ein Kennwort für den Verzeichnisdienst-Wiederherstellungsmodus (DSRM) fest. Sie wissen nicht genau, wofür es benötigt wird? Es dient der Wiederherstellung, wählen Sie also einfach ein sicheres Administratorkennwort – aber vergessen Sie es nicht!
  • Entscheiden Sie, ob Sie einen schreibgeschützten Domänencontroller (RODC) benötigen – überspringen Sie diesen Schritt, es sei denn, Sie implementieren in einer entfernten Umgebung mit geringem Vertrauen.
  • Wählen Sie Ihren AD-Standort (z. B.MUN).Das kann etwas kompliziert sein, aber im Grunde teilen Sie AD damit mit, wo sich dieses Rechenzentrum physisch und logisch befinden soll.
  • Verzichten Sie auf die DNS-Delegierung, es sei denn, Sie wissen genau, was Sie tun. Normalerweise ist sie nicht erforderlich, wenn sich DNS auf demselben Server befindet oder bereits konfiguriert ist.

Geben Sie als Nächstes die Pfade für Ihre NTDS- und SYSVOL -Ordner an – Standardpfade wie C:\Windows\NTDSz C:\Windows\SYSVOL. B.„/ttds/“ und „/sysvol/“ funktionieren in der Regel. Führen Sie die Voraussetzungensprüfung durch; wenn alles in Ordnung ist, klicken Sie auf „Installieren“. Der Server wird anschließend neu gestartet – rechnen Sie mit einigen Minuten Wartezeit, möglicherweise länger, wenn Ihre AD-Datenbank groß ist.

Profi-Tipp: Das alles lässt sich mit PowerShell erledigen, was unnötiges Klicken erspart. Zum Beispiel:

Import-Module ADDSDeployment Install-ADDSDomainController -NoGlobalCatalog:$false -CreateDnsDelegation:$false -DatabasePath "C:\Windows\NTDS" -DomainName "woshub.loc" -InstallDns:$true -LogPath "C:\Windows\NTDS" -SiteName "MUN" -SysvolPath "C:\Windows\SYSVOL" -Force:$true

Denken Sie daran, PowerShell als Administrator auszuführen und darauf vorbereitet zu sein, dass der Server nach Abschluss des Vorgangs automatisch neu startet.

Überprüfung: Sicherstellen, dass alles funktioniert

Nach all dem reicht es nicht, nur einen neuen Server online zu haben. Sie müssen überprüfen, ob er funktioniert und die Replikation ordnungsgemäß durchführt. Prüfen Sie, ob der neue Domänencontroller in „ Active Directory-Benutzer und -Computer“ unter „Domänencontroller“ angezeigt wird. Sie können auch folgenden Befehl ausführen:

Get-ADDomainController -Identity mun-dc02

Zur Fehlerbehebung bei der Replikation verwenden Sie Befehle wie:

repadmin /showrepl * repadmin /replsummary

Sollten Fehler auftreten, insbesondere bei großen Deltawerten oder dem Status „unbekannt“, geraten Sie nicht in Panik – manchmal benötigt die Replikation lediglich einen Anstoß. Sie können die Synchronisierung erzwingen mit:

repadmin /syncall

Alternativ können Sie in der grafischen Benutzeroberfläche unter „Active Directory-Standorte und -Dienste“ Ihren Standort erweitern, mit der rechten Maustaste auf Ihren Server klicken und dann „ Alle replizieren“ auswählen. Beachten Sie jedoch, dass dies bei langsamen Verbindungen oder instabilen Netzwerken einige Zeit dauern kann oder Sie Netzwerkprobleme möglicherweise manuell beheben müssen.

Sobald die Replikation erfolgreich ist, ist Ihr neuer Domänencontroller im Prinzip bereit, Clients zu bedienen und Anmeldungen zu verarbeiten.

Und da Windows die Sache natürlich unnötig verkomplizieren kann, sollten Sie bei Unstimmigkeiten unbedingt zusätzliche Tools oder Protokolle hinzuziehen. Beispielsweise können Sie in der Microsoft-Dokumentation zur Remote-Serververwaltung oder in den dortigen Richtlinien zur Fehlerbehebung bei AD-Replikationsproblemen nachlesen.