Windows Server – Testversion zu Vollversion machen

Wenn sich der Server zuverlässig alle 60 Minuten herunterfährt, so kann dies an einer abgelaufenen Testphase liegen.

Meist funktioniert dann die Eingabe eines Aktivierungs-Keys auch nicht mehr, da der Server in einem speziellen Modus (ServerStandardEval) ist. Mit einem PowerShell-Command kann dies behoben werden.

DISM /Online /Set-Edition:ServerStandard /ProductKey:XXXXX-XXXXX-XXXXX-XXXXX-XXXXX /AcceptEula

Server-Neustart und fertig

FSMO Rollen auf Server 2012 oder Server 2016 übertragen

Übertragung der FSMO Rollen

übernommener Text von http://blog.alekel.de/uebertragung-der-fsmo-rollen/

Ich persönlich habe mir angewöhnt die FSMO Rollen gleich mit der Installation neuer Serverversionen von den alten DCs auf die neuen zu übertragen. Die notwendigen Schritte werden nachfolgend beschrieben.

Alle Rollen (Schema-Master, RID-Master, PDC-Emulator und Domain Infrastructure Master) befinden sich in diesem Beispiel auf dem Server DC.lab.dom (Windows Server 2008 R2) und sollen auf den Domänencontroller DC02.lab.dom (Windows Server 2012) übertragen werden.

Blog_NetdomQueryFSMO

 Ergänzend hierzu besteht die Möglichkeit die Rollen mit NTDSUTIL und mit Powershell zu übertragen.

näheres hierzu auf Yusufs Directory Blog unter http://blog.dikmenoglu.de/Die+FSMORollen+Mit+Der+ADPowershell+Verschieben.aspx. Den Weg über NTDSUTIL kann auf den Seiten von IT-Diensleistungen.de nachgelesen werden (http://www.it-dienstleistungen.de/ad-fsmo-rollen-umziehen/)

Schemabetriebsmaster Rolle übertragen

Das notwendige Snap-In für das Schema muss vor der Verwendung registriert werden. Der Befehl hierfür, der auf einer administrativen Konsole auf dem noch gültigen Betriebsmaster (hier: dc.lab.dom) eingegeben wird, lautet:

regsvr32 schmmgmt.dll

In der Managementkonsole (mmc.exe) wird das entsprechende Snap-in angewählt.

Blog_FSMOtransfer-001

Über das Kontextmenü stellt man eine Verbindung zum Schemabetriebsmaster her.

Blog_FSMOtransfer-002

Durch die erneute Anwahl des Kontextmenüs, wird diesmal über den Punkt “Active Directory-Domänencontroller ändern…” der Verzeichnisserver geändert.

 Blog_FSMOtransfer-003

Die darauf erscheinende Hinweis, schließt den Umzug ab.

Blog_FSMOtransfer-004

Nun wird über das Kontextmenü der Eintrag “Betriebsmaster” angewählt, über das wir den Betriebsmaster ändern.

Blog_FSMOtransfer-005

Zum Abschluss sollte folgende Meldung erscheinen:

Blog_FSMOtransfer-006

RID/PDC/Infrastruktur Master übertragen

Die anderen Master Rollen  können über Active Directory-Benutzer und –Computer verschoben werden. Hierfür wählt man den Betriebsmaster im Kontextmenü aus und führt die ändern Funktion für jeden Reiter (RID, PDC und Infrastruktur) aus.

Blog_FSMOtransfer-007

Blog_FSMOtransfer-008

Mit jeder Änderung sollte nachfolgende Meldung erscheinen.

Blog_FSMOtransfer-009

Domänennamen-Betriebsmaster übertragen (Update 19.11.2012)

Den Domänennamen-Betriebsmaster wird über das Snap/In „Active Directory-Domänen und Vertrauensstellung“ verschoben. Zuerst wird über das Taskmenü „Domänencontroller“ der Server ausgewählt der die Rolle erhalten soll.

Über die erneute Anwahl des Taskmenüs und des Punktes „Betriebsmaster“ kann nach der Bestätigung die Rolle übertragen werden. Der Erfolg wird über eine Meldung angezeigt.

Nun besteht die Möglichkeit mit dem Befehl “dcpromo” den alten Server (Windows 2008 R2) als Domänencontroller herabzustufen.

Schutz vor Ransomware

1. Backup, Backup, Backup (offline-Backup!)

2. Kontrolle der Backup-Ereignisse

3. Sensibilisierung der Mitarbeiter (Phishing, etc)

4. keine unbekannten Links öffnen – unsichere Websites vermeiden

5. Anzeige der DAteierweiterungen einschalten um Script-Dateien zu erkennen (.vbs, .scr, …)

6. Patches/Updates von Windows / Browser / Virenschutz / Java / Adobe automatisieren

7. zuverlässige Antiviren-Software verwenden

8. keine unbekannten Programme ausführen

9. Java Script im Internet Explorer deaktivieren

Während ich diesen Artikel schreibe, habe ich gelesen, dass sich die Ransomware Teslacrypt auch über infizierte Webseiten (Hauptsächlich wohl auf Joomla basierend) verbreitet. Dies geschieht via JavaScript:

Um Java Script zu deaktivieren, kann eine weitere GPO erzeugt werden, diesmal mit deaktivierten Benutzerkonfigurationseinstellungen:

Java Script

Jetzt kann die GPO bearbeitet und zu folgendem Punkt navigiert werden:

  • Computerkonfiguration
  • Richtlinien
  • Administrative Vorlagen
  • Windows-Komponenten
  • Internet Explorer
  • Internetsystemsteuerung
  • Sicherheitsseite
  • Internetzone

In der Zone “Internet” lässt sich jetzt “Active Scripting” deaktivieren:

Java Script

Jetzt kann die GPO wieder getestet werden, und danach mit der Domain verknüpft werden:

Java Script

10. Softwareeinschränkung konfigurieren

Viren und Trojaner gehen oft nach dem gleichen Muster vor, irgendeine Schwachstelle wird ausgenutzt, der Virus/Trojaner wird nachgeladen und ausgeführt, häufig geschieht das Ausführen aus einem temporären Ordner oder aus den APPDATA Ordern, daher kann man auch hier ansetzen.

Wieder eine neue GPO erzeugen, Benutzerkonfigurationseinstellungen deaktiviert

Softwareeinschränkung

Die GPO kann jetzt editiert werden und die Softwareeinschränkung aktiviert werden:

Softwareeinschränkung

Jetzt können unter zusätzliche Rgelen die Einschränkungen aktiviert werden:

Softwareeinschränkung

Wie oben werden nun die folgenden Pfadregeln konfiguriert:

  • %appdata%\*.exe
  • %appdata%\*\*.exe
  • %localappdata%\*.exe
  • %localappdata%\*\*.exe
  • %temp%\*exe
  • %temp\*\*.exe

Softwareeinschränkung

Anwendungen aus den Verzeichnissen werden nun nicht mehr ausgeführt:

Softwareeinschränkung

Auch hier gilt wieder, GPO testen und erst dann an die Domain oder OU zuweisen.

Hier sind 3 GPOs die Windows Clients vor Infektionen mit Ransomware schützen können. Natürlich gelten die folgenden Grundsätze:

  • Der Benutzer ist KEIN lokaler Administrator
  • Die Windows Firewall ist aktiviert
  • Der Virenschutz ist aktuell (Aktuell heißt in diesem Fall, die Signaturen sind nicht älter als 12 Stunden)
  • Die Windows UAC ist aktiviert

11. Makros deaktivieren

Derzeit verbreitet sich Locky hauptsächlich über Word Dokumente die via E-Mail zugeschickt werden, Das Word Dokument enthält dann ein Makro, welches den eigentlichen Schadcode nachlädt. Mittels GPOs lassen sich Makros deaktivieren. Dazu müssen die entsprechenden Vorlagen für Office runtergeladen werden:

Hier mal das Beispiel für Office 2016:

Die EXE-Datei entpackt nur die Vorlagen, diese müssen jetzt noch an den entsprechenden Ort kopiert werden. Also entweder in dem lokalen Policy Store auf dem DC oder dem Central Store.

In diesem Fall werden die Verzeichnisse und Dateien aus der entpackten EXE nach C:\Windows\PolicyDefinitions (lokaler Speicher) kopiert:

image

In der Gruppenrichtlinienverwaltung kann jetzt eine neue GPO angelegt werden und die Computerkonfigurationseinstellungen deaktiviert werden:

Markos

Innerhalb der GPO können nun die Makros abgeschaltet werden:

Markos

Sobald die GPO mit einer gewissen Anzahl an Benutzern getestet wurde, kann die GPO an alle Benutzer zugewiesen werden.

Markos

Hier gilt es die GPO vorher zu testen, vieleicht brauchen ja bestimmte Benutzer oder Abteilungen Makros für Ihre tägliche Arbeit. Das lässt sich dann entsprechend filtern.

 

Der oben angeführte Text sowie die Screenshots sind ein Auszug aus einem Blog von Franky’s Web (https://www.frankysweb.de/clients-vor-infektion-mit-ransomware-schuetzen-locky-cryptolocker/)

Script Windows Server – Protokollierung Logon/Logoff

Folgende zwei Dateien erstellen und im Verzeichnis C:\log ablegen

logon.bat

echo %username% hat sich am %date% um %time% an Rechner %computername% angemeldet >> c:\log\login.txt

logoff.bat

echo %username% hat sich am %date% um %time% an Rechner %computername% abgemeldet >> c:\log\login.txt

GPO erstellen

Computerkonfiguration/Richtlinien/Windows-Einstellungen/Sicherheitseinstellungen/lokale Richtlinien/Überwachungsrichtlinien

nachfolgende Punkte aktivieren:

  • Anmeldeergebnisse überwachen
  • Anmeldeversuche überwachen
  • Kontenverwaltung überwachen
  • Richtlinienänderungen überwachen

Benutzerkonfiguration/Richtlinien/Windows-Einstellungen/Skripts

Anmelden:
Name > C:\log\logon.bat

Abmelden
Name > C:\log\logoff.bat

 

IP-Range Scan in Powershell

Wenn man auf einem System unterwegs ist, auf dem kein IP-Scanner installiert ist, so genügt folgender Powershell-Befehl, um sich eine Übersicht der aktiven Hosts zu machen:

1..254 | % { $ping.send(„192.168.0.$_“) | select address, status } > file.txt

Dies Scant den IP-Bereich von 192.168.0.1 – 192.168.0.254 und speichert die Ausgabe in der Date file.txt.

Also Information sei noch gesagt, dass dieser Durchlauf nur eine IP-Adresse nach der anderen überprüft und somit im Vergleich zu anderen IP-Scannern sehr langsam ist.

 

Authentifikation LDAP / AD

Standard-Port: 389

Aufbau Base DN:

DC=muster,DC=local (für die Domäne muster.local)

DC=support,DC=muster,DC=local (für die Domäne support.muster.local)

DC=muster,DC=at (für die Domäne muster.at)

Aufbau Bind DN:

CN=Administrator,CN=Users,DC=muster,DC=local (Administrator-Account im Users-Ordner des AD für die angegebene Domäne)

Sollten Informationen in einer Organisationseinheit (Organizational Unit) abgelegt sein, so ist CN durch OU zu ersetzen.

Server 2008/2012 – NAS als Festplatte einbinden

In der Datenträgerverwaltung (Computerverwaltung) auf Datenträgerverwaltung mit der rechten Maustaste klicken und „virtuelle Festplatte erstellen“ anklicken.

Auf der NAS dazu ein Verzeichnis auswählen und einen Dateinamen für die virtuelle Festplatte angeben.

Als Typ VHDX auswählen.

Die erstellte virtuelle Festplatte einbinden und formatieren. Danach kann sie in der Windows-Server-Sicherung als Sicherungsfestplatte ausgewählt werden.

WSUS auf Windows Server 2008 installieren und konfigurieren

windows-server-2008_8x6

 

 

 

WSUS ist die Abkürzung für Windows Server Update Services. Bei WSUS handelt es sich um eine Rolle für den Windows Server. WSUS bietet die Möglichkeit den Updatestatus der Computer einzusehen und neue Updates zur Installation zu genehmigen.

Durch eine Gruppenrichtlinie werden die Computer angewiesen ihre Updates nicht von den Microsoft Update Servern zu beziehen sondern vom lokalen WSUS. Die Clients melden sich beim WSUS und übermitteln ihren Updatestatus. Die Berichte werden übersichtlich angezeigt, der Updatestatus jedes einzelnen Clients lässt sich so leicht überwachen.

Funktionsweise

WSUS synchronisiert sich regelmäßig mit den Microsoft Update Servern und zeigt neue Updates an. Erst wenn diese Updates genehmigt werden, beginnt der einmalige Download der Updates von den Microsoft Update Servern auf den WSUS. Sobald ein Computer sein Status an den WSUS übermittelt und neue Updates zur Verfügung stehen, lädt der Computer die Updates vom WSUS. Der Benutzer wird über neue Updates benachrichtigt.

Installation und Konfiguration

In drei Schritten wird die Installation von WSUS auf einem Windows Server 2008 R2 beschrieben. Dabei muss es sich nicht um einen eigenständigen Server für WSUS handeln. Der Server kann gleichzeitig als Domänencontroller, Dateiserver, etc. dienen. In dieser Anleitung wird der WSUS auf dem Server “s1″ installiert.

WSUS installieren

Die Windows Server Update Services (WSUS) verteilen Microsoft Updates im lokalen Netzwerk. Der WSUS-Server lädt die Updates einmalig von den Microsoft Update-Servern herunter und stellt diese allen Clients im Netzwerk zur Verfügung. Die Clients laden die Updates direkt vom lokalem Server im Netzwerk. Dadurch wird u.a. die Internetverbindung geschont, da nicht jeder Client einzeln die Updates von den Microsoft-Servern lädt.

Um WSUS zu installieren im Server-Manager den Punkt Rollen hinzufügen auswählen. In der Liste die neue Rolle Windows Server Update Services (WSUS) auswählen.

clip_image001

WSUS benötigt den Webserver (IIS). Dies mit einem Klick auf Erforderliche Features hinzufügen bestätigen.

clip_image002

Mit einem Klick auf Weiter zum nächsten Schritt.

clip_image003

Der Assistent gibt einen Einblick in den Ablauf der Installation und Konfiguration des Webserver (IIS).

clip_image004

Die benötigten Dienste sind bereits Ausgewählt. Dies mit einem Klick auf Weiter übernehmen.

clip_image005

Der Assistent gibt einen Einblick in den Ablauf der Installation und Konfiguration von WSUS.

clip_image006

Die zu installierenden Programme werden aufgelistet. Mit einem Klick auf Installieren wird die Installation gestartet.

clip_image007

Die Willkommensmeldung des Assistent zum Installieren des WSUS-Servers mit einem Klick auf Weiter zur Kenntnis nehmen.

clip_image008

Die Lizenzbedingungen müssen bestätigt werden.

clip_image009

WSUS speichert die heruntergeladenen Updates auf der Festplatte. Verfügt der Server über eine weitere Festplatte oder Partition, ist es empfehlenswert diese auszuwählen.

clip_image010

WSUS benötigt eine Datenbank um die Updates und Computerberichte verwalten zu können.

clip_image011

Es empfiehlt sich nicht die Standardwebsite zu verwenden. Möchte man später auf dem Server eine Website betreiben, wäre dies nicht möglich. Daher die Option Neue Windows Server Update Services 3.0 SP2-Website erstellen auswählen.

clip_image012

Die Konfigurationsdaten sind wichtig für die spätere Clientkonfiguration. Die Daten sollte man sich notieren oder ein Screenshot anfertigen.

clip_image013

Mit einem klick auf Fertig stellen wird der Installationsvorgang gestartet. Dieser kann mehrere Minuten dauern.

clip_image014

Die Installation des WSUS-Servers ist beendet.

clip_image015

Mit einem Klick auf Fertig stellen wird der Assistent für die Konfiguration des WSUS-Servers gestartet. Die Vorbemerkungen mit einem Klick auf Weiter zur Kenntnis nehmen.

clip_image016

Entscheiden, ob man am Programm zur Verbesserung von Microsoft Update teilnehmen möchte.

clip_image017

Der Updateserver gibt an, von welchem Server WSUS die Updates empfängt. Da es sich um den ersten WSUS handelt, die Option Von Microsoft Update synchronisieren auswählen.

clip_image018

Falls im Netzwerk ein Proxyserver zum Internetzugriff zum Einsatz kommt, diesen hier eingeben.

clip_image019

WSUS muss Informationen über verfügbare Updates, Produkte und Sprachen abrufen. Dies geschieht mit einem Klick auf Verbindung starten. Dieser Vorgang dauert ungefähr 20 Minuten.

clip_image020

Im nächsten Schritt die Sprachen auswählen. Ich empfehle hier nur Deutsch zu wählen. Da sich die Größe der Updates mit jeder Sprache stark zunimmt. Falls Microsoft Produkte mit anderen Sprachen zum Einsatz kommen, kann dies später konfiguriert werden.

clip_image022

Die Produkte auswählen, für Welche Updates bereitgestellt werden sollen. Hier empfehlt es sich nur die im Einsatz befindlichen Produkte zu wählen.

clip_image024

Die Klassifizierungen auswählen. Ich habe gute Erfahrungen gemacht alle Klassifizierung außer Treiber zu wählen.

clip_image026

Auswählen, wann und wie oft WSUS sich mit dem Microsoft Update Server synchronisieren soll, um Informationen über neue Updates zu erhalten. Ein bis Zweimal am Tag sollte dabei absolut ausreichend sein. Schließlich veröffentlicht Microsoft nicht täglich neue Updates.

clip_image027

Erstsynchronisation starten auswählen. Die Konfiguration mit einem Klick auf Weiter beenden.

clip_image028

Der Assistent gibt einen Einblick in die nächsten Konfigurationsschritte.

clip_image029

Die Erstsynchronisation wird nun durchgeführt. Dies dauert ungefähr eine halbe Stunde.Während der Synchronisation nimmt die Systemleistung spürbar zu.

 

WSUS konfigurieren

Nachdem im ersten Teil WSUS installiert wurde,  werden jetzt die Updates für die Verteilung an die Clients genehmigt.

Dazu die WSUS Konfiguration unter Start/Verwaltung/Windows Server Update Services aufrufen. In der linken Spalte auf den Servername (s1) klicken und Updates/Alle Updates auswählen.

In der Filterleiste Status Alle auswählen und Aktualisieren klicken. Es werden alle Updates für die im ersten Teil ausgewählten Sprachen und Produkte angezeigt. Diese Updates müssen genehmigt werden, damit diese heruntergeladen und an die lokalen Clients verteilt werden können. Dazu alle Updates mit Strg+A auswählen und in der linken Spalte im Bereich Update auf Genehmigen… klicken.

Die Updates sollen allen Clients zur Verfügung gestellt werden. Dazu auf das Symbol vor Alle Computer klicken und Für die Installation genehmigt auswählen.

Es erscheinen mehrere Lizenzmeldungen. Diese müssen zur Kenntnis genommen werden.

Die Genehmigung aller Updates kann ein paar Minute dauern.

WSUS beginnt nun mit dem Download der Updates. In diesem Beispiel sind dies 9,9 GB.

Damit die Clients den WSUS-Server für Updates benutzen, muss diesen bekannt sein, das im lokalen Netzwerk ein WSUS-Server vorhanden ist. Dies wird im dritten Teil mit einer Gruppenrichtlinie konfiguriert.
WSUS Gruppenrichtlinie für Clients erstellen

Damit Clients Updates über WSUS beziehen, muss dieser ihnen bekannt sein. Dazu wird eine Gruppenrichtlinie angelegt. Die Gruppenrichtlinienverwaltung unter Start/Verwaltung/Gruppenrichtlinienverwaltung öffnen. Die Domäne (myad.local) wählen. Mit einem Rechtsklick den Punkt Gruppenrichtlinienobjekte hier erstellen und verknüpfen… auswählen.

clip_image001

Dem neuen Gruppenrichtlinienobjekt einen entsprechenden Namen geben. Z.B. WSUS.

clip_image002

Das neue Gruppenrichtlinienobjekt mit der rechten Maustaste auswählen und den Punkt Bearbeiten… wählen.

clip_image003

Der Gruppenrichtlinienverwaltung-Editor wird geöffnet. Im Menü die Einstellungen für Windows Update unter Computerkonfiguration/Richtlinien/Administrative Vorlagen/Windows-Komponenten/Windows Update aufrufen.

clip_image004

Die Einstellung Automatische Updates Konfigurieren auswählen und die Richtlinie Aktivieren. Standardmäßig ist der Punkt 3 Autom. Herunterladen, aber vor Installation benachrichtigen ausgewählt. Dieser ist empfehlenswert, da die Updates auf den lokalen Client heruntergeladen wird und der Benutzer frei entscheiden kann, wann er die Updates einspielen möchte. Da der Hinweis zur Installation beim Herunterfahren des Computers erscheint, werden die meisten Benutzer diese Möglichkeit wahrnehmen.

clip_image005

Die Richtlinie Internen Pfad für den Microsoft Updatedienst angeben anrufen. Die Richtlinie aktivieren und unter Interner Updatedienst zum Ermitteln von Updates und Intranetserver für die Statistik die URL des WSUS (in Schritt 1 konfiguriert) angeben.

clip_image006

Die Richtlinie Keinen automatischen Neustart für geplante Installationen automatischer Updates durchführen, wenn Benutzer angemeldet sind kann Aktiviert werden, damit Benutzer nach der Installation von Updates nicht zum Neustart gezwungen werden.

clip_image007

Die Richtlinie Nichtadministratoren gestatten, Updatebenachrichtigungen zu erhalten aktivieren, damit Benutzer ohne Administratorenrechte Updates installieren können.

clip_image008

Damit ist die Installation und Konfiguration der Windows Update Services abgeschlossen. Die Clients melden ihren Updatestatus an den WSUS-Server und erhalten von diesem ihre Updates.

 

ein Blog von Christian Moritz – mntechblog.de

 

 

Server 2008 R2 in Server 2003 Domäne

Artikel in englisch – übernommen von Krzysztof Pytko (kpytko.pl)

Vorbereitungen

To be able to configure Windows Server 2008 R2 Domain Controller within Windows 2003 network we need to check if Domain Functional Level is set up at least in Windows 2000 native mode. But preferable Domain Functional Level is Windows Server 2003. When it’s set up in Windows Server 2003 mode, and you have only one domain in a forest or each domains have only Windows 2003 Domain Controllers, you are also able to raise Forest Functional Level to Windows Server 2003 to use Read-Only Domain Controller (RODC) within your network.

We can check this in domain, where we want to install first 2008 R2 DC. To verify that, we need to use “Active Directory Users and Computers” or “Active Directory Domains and Trusts” console.

Using “Active Directory Users and Computers” console, select your domain and click right mouse button (RMB) on it. Choose “Raise Domain Functional Level” and check that.

If you see screen like this (mixed mode), it means that you need to raise your Domain Functional Level.

But remember, raising Domain Functional Level is one time action and cannot be reverted. Before you raise it to 2000 native mode, please ensure that all of your Domain Controllers are running at least on Windows 2000 Server.

Windows 2000 native mode do not support DCs based on earlier Microsoft Windows systems like NT4.

If your environment doesn’t have any NT4, 2000 Domain Controllers, you can raise Domain Functional Level to Windows Server 2003 mode.

Now, when you checked that you do not have any pre-2000 OS, select appropriate level and click on “Raise” button

and accept the change. You will be warned that revert changes won’t be possible!

information about successful change will be displayed

After successful change, you should see changed domain operation mode.

Another way for that is using Active Directory Domains and Trusts console. Run this console, select domain for which you want to check Domain Functional Level and choose “Raise Domain Functional Level”

Follow the same steps as in previous console.

In this place, you can also raise your Forest Functional Level if all of your Domain Controllers in entire forest are running on Windows Server 2003. If not, please skip below steps and go to Single Master Operation Roles section.

To raise Forest Functional Level, select “Active Directory Domains and Trusts” node, click on it RMB and choose “Raise Forest Functional Level”. On the list accept “Windows Server 2003” mode by clicking on “Raise” button.

You will be notified that it is also not reversible action. Confirm that you know what you are doing and then verify if your Forest Functional Level is set up to Windows Server 2003

Now, it’s time to determine which Domain Controller(s) hold(s) Single Master Operation Roles. The most important for preparing environment for 2008 R2 DC are

  • Schema Master
  • Infrastructure Master

On that/those DC(s) we have to run Active Directory preparation tool.

To determine which DC(s) hold(s) these roles we need to use:

  • Active Directory Users and Computers and Active Directory Schema consoles

or

  • netdom command from Support Tools (Support Tools have to be installed from Windows 2000 Server CD from Support folder)

Determining which DC holds Schema Master we need to run on one of the DCs or workstation with Administrative Tools installed in command-line

regsvr32 schmmgmt.dll

 to register Schema snap-in within OS.

Now, open MMC console from run box

Within that console add Active Directory Schema snap-in

Click RMB on “Active Directory Schema” node and choose “Operation Master

Write down or remember which DC holds it.

Close MMC without saving changes.

Now we need to identify Infrastructure Master within your network. To do that, open Active Directory Users and Computers console, select your domain and click RMB on it. From pop up menu, choose “Operation Masters”. Select “Infrastructure” tab

In my case, both Operation Masters are located on the same DC.

To verify necessary Operation Masters much faster, we can use netdom command installed from Support Tools. Open command-line and go to default installation directory:

C:\Program Files\Support Tools

then type: netdom query fsmo

and identify DC(s) from an output

We collected almost all necessary information to start AD preparation for the first Windows Server 2008 R2 Domain Controller. The last and the most important part before we start preparation, is checking Forest/Domain condition by running:

  • Dcdiag (from Support Tools)
  • Repadmin (also from Support Tools)

Run in command-line on a DC where you have installed Support Tools

dcdiag /v

and check if there are no errors. If so, please correct them.

An example part of output from dcdiag tool

now run in command-line:

repadmin /showrepl /all /verbose

to check if your DCs are replicating data without errors.

After those checks, you can start with Active Directory preparation.

Active Directory Vorbereitung

Before we start preparing AD for new Windows Server 2008 R2 DC, we need to be sure that we are members of:

  • Enterprise Admins group or
  • Schema Admins group

and we have DVD with Windows Server 2008 R2

Let’s start preparing Active Directory for the first Windows Server 2008 R2 Domain Controller.

Log on to Schema Master owner (we identified it in previous steps) on a user from one of mentioned above groups and put into DVD-ROM installation media. Run command-line and go to

 <DVD-Drive-Letter>:\support\adprep

example:

d:\support\adprep

Download Server 2008 R2 ADPREP-Files: adprep

You will find there two AD preparation tools:

  • adprep (64-bit application for 64-bit platforms)
  • adprep32 (32-bit application for 32-bit platforms)

We need to use adprep32 on Schema Master (because it is 32-bit OS) In case that you have 64-bit Windows Server 2003 then use adprep. So, type in command-line

adprep32 /forestprep

as you can see, adprep informs you that all of your Windows 2000 Domain Controllers require at least SP4 to start extending schema.

if you followed previous steps of this article, all of your DCs have SP4 installed or you have no 2000 DCs at all. You can continue by pressing C letter on a keyboard and wait until AD preparation tool will finish its actions.

Your schema in a forest is extended.

You may also wish to run adprep32 /rodcprep if you have Windows Server 2003 at Forest Functional Level. If not, you would be able to do that any time in the future.

If everything would go fine, you will see no errors.

The last step before we can introduce 2008 R2 as DC is to prepare domain for it.

Log on to Infrastructure Master owner as Domain Administrator and put DVD installation media into DVD-ROM. Open command-line and as previously go to \support\adprep directory.

Type then adprep32 /domainprep /gpprep

and wait until adprep will finish its actions

Congratulations! Your domain is now ready for the first Windows 2008 R2 Domain Controller.

You can check that by using ADSIEdit console or free ADFind command-line tool which can be downloaded from the Internet.

Open run box and type adsiedit.msc to open ADSI Editor

Expand “Schema” node and select “Schema” container. Click on it RMB and choose “Properties”. You will see schema “Attribute Editor” tab. Check “Show only attributes that have values” and  search for “objectVersion” attribute.

Value 47 tells you that your Schema version is Windows Server 2008 R2

Using adfind tool, run in command-line this syntax

adfind –sc schver

Ersten Server 2008 R2 als Domaincontroller hinzufügen

Install your new box with Windows Server 2008 R2 and configure its IP address correspondingly to your network settings.

Remember that it’s very important to properly configure Network Card settings to be able to promote your new box as domain controller!

 The most important part of configuring NIC is setting up DNS server(s). Point your new box to one of the existing Domain Controllers where you have installed and configured DNS.

Log on as local administrator and in command-line type: dcpromo

Domain Controller promotion will start automatically. If you haven’t installed Active Directory: Directory Services role before, it will be done by wizard at this moment.

When role is installed, you will see DC promotion wizard. I would suggest using advanced mode during promotion process. So, please check “Use advanced mode installation” and let’s start.

We are adding new DC within existing forest to the existing domain, so choose appropriate option and click “Next”

Type DNS Domain name to which you want to add new domain controller and specify Domain Administrator credentials for that process

Choose domain from a list

If you didn’t use previously /rodcprep switch with adprep, you will be notified that you won’t be able to add Read-Only Domain Controllers. To install RODC within network it’s required to have at least Windows 2003 Forest Functional Level and you can advertise this option later (before first RODC installation). Skip this warning and press “yes” to continue.

Select appropriate site for this Domain Controller and continue.

Install on your new DC:

  • DNS
  • Global Catalog

They’re suggested by default. Continue and start AD data replication process from the existing DC within network.

Now, you can select from which Domain Controller data should be replicated or leave choice for the wizard (use the second option)

Leave default folders for Directory Services data (or change path if you need)

Set up Directory Services Restoration Mode password in case that you would need to use this mode. Password should be different that domain administrator’s account and should be also changed periodically.

Now you will see summary screen, click “Next” and Domain Controller promotion wizard will start preparing new DC for you.

To have fully operational DC, you need to reboot it after promotion. So, let’s check “Reboot on completion” checkbox and wait until it will be up and ready.

Your new Windows Server 2008 R2 Domain Controller is not available in your network!

Give DC some time to replicate Directory Services data and you can enjoy with new DC.

Nachbearbeitungsschritte

Now, you need to do small changes within your environment configuration.

On each server/workstation NIC properties configure alternative DNS server IP address pointing to the new Domain Controller.

Open DHCP management console and under server/scope options (it depends on your DHCP configuration) modify option no. 006

Add there IP address of your new Domain Controller as DNS server.

It’s done