canjoena - stock.adobe.com

Das Active Directory für Windows Server 2019 vorbereiten

Werden in der eigenen Umgebung neue Server mit Windows Server 2019 betrieben und das Active Directory zur neuen Version migriert, muss das AD entsprechend vorbereitet werden.

Im Bereich des Active Directory gibt es in Windows Server 2019 keine großartigen Neuerungen. Wer Domänencontroller mit Windows Server 2019 in Active Directory integriert, muss weder den Modus der Domäne, noch den Modus der Gesamtstruktur anpassen.

Neu in Windows Server 2019 ist das Attribut msDS-preferredDataLocation, das von Azure Active Directory (Azure AD) übernommen wurde. Dieses wird für die Zuordnung an bestimmte Regionen für Office 365 und andere Cloud-Dienste verwendet.

Neue Version der Active-Directory-Datenbank in Windows Server 2019

Dazu kommt eine neue Version der Active-Directory-Datenbank ESE, die bei der Speicherung von Daten eine andere Vorgehensweise hat, als noch unter Windows Server 2016. Active Directory verwendet die ESE-Technologie (Extensible Storage Engine) als Datenbank.

Eine Komponente der ESE-Datenbankinstanz ist der Versionsspeicher. Dabei handelt es sich um einen Zwischenspeicher, in dem ESE bei offenen Transaktionen Schnappschüsse der Datenbank speichert. Das ermöglicht es der Datenbank, Transaktionen zurückzusetzen und in einen früheren Zustand zurückzukehren.

Beim ersten Start von NTDS wird die Speichergröße der ESE in Windows Server 2019 mit 10 Prozent des physischen Arbeitsspeichers berechnet, mit einem Minimum von 400 MByte und einem Maximum von 4 GByte. Auch diese neue Funktion erfordert eine Vorbereitung des Active Directory. Microsoft geht im Beitrag Deep Dive: Active Directory ESE Version Store Changes in Server 2019 ausführlicher auf das Thema ein.

Funktionsebenen beachten

Es gibt keine neuen Funktionsebenen für Windows Server 2019. Dennoch sollte das Active-Directory-Schema zur neuen Version 88 für Windows Server 2019 aktualisiert werden, bevor Domänencontroller mit Windows Server 2019 in vorhandene Umgebungen installiert werden.

Das Schema in Windows Server 2016 hat noch die Version 87, Windows Server 2012 R2 69 und Windows Server 2008 R2 hat die Version 47. Die Schema-Aktualisierung wird auf die einzelnen Domänencontroller repliziert. Das kann in größeren Umgebungen etwas dauern. Daher sollte vor der Neuinstallation oder der Aktualisierung zu Windows Server 2019 das Schema aktualisiert werden.

Wer von Windows Server 2008/2008 R2 oder Windows Server 2012/2012 R2 zu Windows Server 2019 aktualisiert, kann die Funktionsebenen nach der Aktualisierung zu Windows Server 2016 aktualisieren.  Auf Ebene der Gesamtstruktur bietet die Funktionsebene für Windows Server 2016 Funktionen für Privileged Access Management (PAM) auch in Zusammenarbeit mit Microsoft Identity Manager (MIM).

Auf Ebene der Domäne bietet die Funktionsebene für Windows Server 2016 vor allem drei neue Funktionen:

  • DCs unterstützen PKI-Authentifizierung und „Smart Card für die interaktive Anmeldung erforderlich“
  • DCs können die Zulassung von NTLM unterstützen, wenn ein Benutzer auf bestimmte, domänengebundene Geräte beschränkt ist.
  • Kerberos-Clients, die sich erfolgreich mit der PKInit Freshness Extension authentifizieren, erhalten die neue Public Key Identity SID.

Mehr zu den Funktionsebenen zeigt Microsoft auf der Seite Forest and Domain Functional Levels.

Schema-Update für Windows Server 2019

Auch wenn keine neuen Funktionsebenen für Windows Server 2019 eingeführt werden, und die neue Serverversion auf die Funktionsebene für Windows Server 2016 setzt, muss das Schema vor der Inbetriebnahme eines Domänencontrollers mit Windows Server 2019 aktualisiert werden. Ohne eine Schema-Aktualisierung kann ein Domänencontroller nicht direkt auf Windows Server 2019 aktualisiert werden.

Das Schema-Update wird mit dem Tool adprep.exe vorgenommen. Dieses befindet sich im Verzeichnis support\adprep der Windows-Server-2019-Installations-DVD. Die Aktualisierung sollte am besten auf dem Schema-Master der Active-Directory-Umgebung durchgeführt werden.

Damit der Schema-Master angezeigt werden kann, muss das Snap-in registriert werden, welches das Schema anzeigt. Aus Sicherheitsgründen wird dieses Snap-in zwar installiert, jedoch nicht angezeigt. Durch Eingabe des Befehls regsvr32 schmmgmt.dll in der Eingabeaufforderung, wird die Konsole verfügbar gemacht.

Abbildung 1: Der Schema-Master lässt sich im Active Directory anzeigen.
Abbildung 1: Der Schema-Master lässt sich im Active Directory anzeigen.

Im Anschluss kann das Snap-in Active Directory-Schema in eine MMC über Datei/Snap-In hinzufügen integriert werden. Mit einem Klick mit der rechten Maustaste auf das Menü Active Directory-Schema und der Auswahl von Betriebsmaster öffnet sich ein neues Fenster, in dem der Betriebsmaster angezeigt wird. Der Schema-Master kann in der Eingabeaufforderung angezeigt werden: dsquery server -hasfsmo schema.

Die Aktualisierung des Schemas wird mit dem folgenden Befehl durchgeführt:

adprep /forestprep 

Um die einzelnen Domänen vorzubereiten, wird der folgende Befehl verwendet:

adprep /domainprep

Die Vorbereitung für die Unterstützung von schreibgeschützten Domänencontrollern erfolgt mit:

adprep /rodcprep

Überprüfung der Aktualisierung des Active Directory

Die Überprüfung der Aktualisierung kann über ADSI-Edit vorgenommen werden und zusätzlich in der Ereignisanzeige. Hier werden die Ereignisse mit der ID 1898 und 1899 bei Directory Services protokolliert. Diese zeigen an, dass die Aktualisierung durchgeführt wurde.

Abbildung 2: Mit ADSI-Edit können Administratoren die Aktualisierung des Active Directory nachvollziehen und überprüfen.
Abbildung 2: Mit ADSI-Edit können Administratoren die Aktualisierung des Active Directory nachvollziehen und überprüfen.

Zusätzlich kann in ADSI-Edit an drei verschiedenen Stellen überprüft werden, ob die Aktualisierung durchgeführt wurde. Dazu wird eine Verbindung zum Konfigurationscontainer hergestellt:

  • CN=ActiveDirectoryUpdate,CN=ForestUpdates. In den Eigenschaften von ActiveDirectoryUpdate muss der Wert von „revision“ 16 lauten.
  • CN=ActiveDirectoryRodcUpdate,CN=ForestUpdates. In den Eigenschaften von ActiveDirectoryUpdate muss der Wert von „revision“ 2 lauten.

Danach wird eine Verbindung zum Namenskontext hergestellt:

  • CN=ActiveDirectoryUpdate,CN=DomainUpdates,CN=System. In den Eigenschaften von ActiveDirectoryUpdate muss der Wert von „revision“ 16 lauten. Bei Windows Server 2016 ist der Wert noch 15.

Nächste Schritte

Gratis-eBook: Security-Tools für das Active Directory

Probleme im Active Directory mit einfachen Tools lösen

Kostenlose Tools für die Überwachung des Active Directory

Erfahren Sie mehr über Serverbetriebssysteme

ComputerWeekly.de
Close