KVM etabliert sich als Standardlösung zur Virtualisierung unter Linux. Der ADMIN-Schwerpunkt hilft beim Bau virtueller Linux-Maschinen, stellt das ... (mehr)

Migration

Wer einen Domänencontroller zu Windows Server 2012 aktualisieren möchte, muss zunächst das Schema der Gesamtstruktur erweitern. Dazu führt man den Befehl »adprep /forestprep« auf einem Domänencontroller aus. Das Tool ist im Verzeichnis »support\adprep« auf der DVD von Windows Server 2012 zu finden. Um das Schema erweitern zu können, muss man vorher mit [c] die Erweiterung bestätigen. Diese Maßnahmen sollte man allerdings nicht in produktiven Umgebungen durchführen, da sich die Änderungen nicht mehr rückgängig machen lassen.

Nach der Aktualisierung des Schemas aktualisiert »adprep /domainprep« noch die einzelnen Domänen. Neu installierte Domänencontroller lassen sich problemlos in das Active Directory aufnehmen. Auch Mitgliedsserver mit Windows Server 2012 können in bestehende Domänen aufgenommen werden, wenn Domänencontroller mit Windows Server 2003/2003 R2/2008/2008 R2 vorhanden sind. Bei Migrationen lassen sich die Betriebssmasterrollen von Vorgängerversionen auf die neuen Domänencontroller mit Windows 8 Server übernehmen. Die Vorgänge dazu sind identisch mit der Übernahme in Windows Server 2008 R2.

Neues DNS-System

Wegen der engen Verzahnung der Server miteinander ist auch eine Verbesserung des DNS-Systems notwendig, zum Beispiel unter dem Sicherheitaspekt. Bereits mit Windows Server 2008 R2 hat Microsoft DNSSEC eingeführt, um Zonen und Einträge abzusichern. Die Verwaltung von DNS-Servern gestaltet sich im Server Manager von Windows Server 2012 durch die Gruppierung wesentlich effizienter.

In Windows Server 2012 lassen sich Zonen online digital signieren. DNSSEC lässt sich in der neuen Version komplett in das Active Directory integrieren. Das umfasst auch die Möglichkeit, dynamische Updates für geschützte Zonen zu aktivieren. Windows Server 2012 unterstützt offizielle Standards wie NSEC3 und RSA/SHA-2. Neu ist auch die Unterstützung von DNSSEC auf schreibgeschützten Domänencontrollern (RODC). Findet ein RODC mit Windows Server 2012 eine signierte DNS-Zone, legt er automatisch eine sekundäre Kopie der Zone an und überträgt die Daten der DNSEC-geschützten Zone. Das hat den Vorteil, dass auch Niederlassungen mit RODCs gesicherte Daten auflösen können, aber die Signatur und Daten der Zone nicht in Gefahr sind.

DNSSEC lässt sich über das Kontextmenü von Zonen einrichten. Eine komplizierte Konfiguration in der Befehlszeile ist nicht mehr notwendig. Auch das Offline-Setzen von Zonen entfällt. Die Signierung der Zone erfolgt über einen Assistenten, der die manuelle Signierung, eine Aktualisierung der Signierung und eine Signierung auf Basis automatischer Einstellungen erlaubt. Mit Windows Server 2012 lassen sich signierte Zonen auch auf andere DNS-Server im Netzwerk replizieren. Eine weitere Neuerung ist IP-Adressverwaltungsserver (IPAM), der den Serverdienst überwacht und zentral DHCP- und DNS-Server steuert. Die Installation erfolgt als Serverrolle.

comments powered by Disqus
Einmal pro Woche aktuelle News, kostenlose Artikel und nützliche ADMIN-Tipps.
Ich habe die Datenschutzerklärung gelesen und bin einverstanden.

Konfigurationsmanagement

Ich konfiguriere meine Server

  • von Hand
  • mit eigenen Skripts
  • mit Puppet
  • mit Ansible
  • mit Saltstack
  • mit Chef
  • mit CFengine
  • mit dem Nix-System
  • mit Containern
  • mit anderer Konfigurationsmanagement-Software

Ausgabe /2023