Een Active Directory (AD) is een 'directory service' voor Windows-netwerken (ook bekend als 'Windows domein'). Hiermee beheer je bijvoorbeeld wie er toegang hebben tot bepaalde bronnen binnen het domein van een Windows-netwerk, zoals gedeelde mappen of Remote Desktop servers. De server die een Active Directory aanbiedt binnen een Windows-netwerk heet de 'Domain Controller' (DC). De DC authentiseert en autoriseert alle gebruikers en computers binnen een Windows-netwerk.
Om een server als Domain Controller te kunnen aanwijzen, moet de Active Directory Domain Services (AD DS) role geïnstalleerd zijn op die server. In deze handleiding laten we zien hoe de installatie van de Active Directory Domain Services verloopt en hoe je vervolgens een server aanwijst als Domain Controller.
De installatie van een Active Directory
Stap 1
Verbind met je Windows Server via Remote Desktop of de VPS-console.
Stap 2
Klik op de Windows Start-knop en vervolgens op 'Server Manager'.
Stap 3
Klik op 'Add roles and features'.
Stap 4
Je krijgt nu de 'Before You Begin' pagina te zien. Neem deze door en vink optioneel 'Skip this page by default' aan om deze pagina niet nogmaals ziet wanneer je in de toekomst roles & features toevoegt. Klik op 'Next' nadat je de punten onder 'before you continue' hebt doorgenomen.
Stap 5
Onder 'Installation Type' kun je kiezen uit 'Role-based or feature-based' en 'Remote Desktop Services installation'. Kies voor 'Role-based or feature-based' en ga verder naar de volgende stap.
Rollen voegen software gericht op specifieke taken zoals het hosten van websites toe aan Windows Servers, features voegen extra functionaliteit toe aan die software.
Stap 6
Kies vervolgens op welke VPS je de installatie wil uitvoeren en klik op volgende om door te gaan.
- We raden aan de gekozen server niet voor andere roles te gebruiken, behalve als RD Connection Broker.
- Standaard zal hier de VPS geselecteerd zijn waarop je de installatie doorloopt. Als je een server pool beheert, selecteer dan de server die je als Domain Controller wil gebruiken.
Stap 7
Vink het blokje aan naast 'Active Directory Domain Services'. Er verschijnt een venster met de vraag om vereiste features te installeren. Controleer of de optie 'Include management tools' is aangevinkt en klik daarna op 'Add Features'.
De optie 'Active Directory Domain Services' is nu geselecteerd. Klik op 'Next' om verder te gaan.
Stap 8
Er zijn geen extra features vereist voor de normale werking van een Domain Controller. Selecteer daarom geen optionele features en klik op 'Next'.
Stap 9
Je krijgt een scherm te zien met enkele adviezen en de optie om een Azure Active Directory dienst af te nemen. Klik op 'Next' om verder te gaan.
Stap 10
Je krijgt een overzicht van de opties die je in de vorige stappen hebt geselecteerd te zien. Klik op 'Install' om de installatie te starten.
Je hoeft de optie 'Restart the destination server automatically if required' niet aan te vinken. Voor de installatie van een Active Directory is geen herstart nodig.
Stap 11
Na de installatie krijg je een scherm zoals hieronder te zien. Zoals het bericht aangeeft is er verdere configuratie vereist. Klik voor nu op 'Close'.
Stap 12
Je keert nu terug in de Server Manager. Bovenin rechts vind je een vlag waar meldingen onder verschijnen. Daar staat nu een uitroepteken omdat er aanvullende actie vereist is. Als je hierop klikt, krijg je een melding te zien 'Configuration required for Active Directory Domain Services'. Klik bij deze melding op 'Promote Server to Domain Controller'.
Daaronder zie je ook dat er een Feature installatie voltooid is (die van de Active Directory) en er aanvullende configuratie vereist is. Deze melding kun je negeren.
Stap 13
Selecteer de optie 'Add a new Forest'. In het vakje achter 'Root domain name' vul je de naam van je domein in. Om veiligheidsredenen raden we aan om een lokaal domein te gebruiken (een lokaal domein is alleen via een private network benaderbaar), bijvoorbeeld 'transip.local'. Zo kan een kwaadwillende bijvoorbeeld geen geen informatie over je private netwerk achterhalen omdat de dns-instellingen niet publiek inzichtelijk zijn.
Klik na het invullen van je domeinnaam op 'Next'.
Een Active Directory kan meerdere domeinen bevatten. Deze verzameling van domeinen heet een 'forest'.
Het gebruik van domeinen door een Active Directory is de reden dat men bijvoorbeeld spreekt over een Domain Controller, Active Directory Domain Services en Windows Domain.
Stap 14
Geef in het scherm 'Domain Controller Options' een wachtwoord op en klik op 'Next'. Dit wachtwoord is bedoeld voor de 'Directory Services Restore Mode'. DSRM is een onderhoudsmodus waarmee back-ups van Active Directory objecten hersteld kunnen worden.
Het Domain- en Forest functional level hoef je niet aan te passen en zal (bij Server 2016, 2019 en 2022) op 'Windows Server 2016' staan. Voer een DSRM-wachtwoord in en herhaal het (dit wachtwoord wordt gebruikt wanneer je het hele proces wilt terugdraaien).
Stap 15
Je krijgt nu in het scherm 'DNS Options' een DNS-waarschuwing te zien. Deze waarschuwing is het gevolg van dat het om de eerste Domain Controller van je nieuwe Windows Domein gaat en mag je negeren.
Klik op 'Next' om verder te gaan.
Stap 16
De NetBIOS-naam zoals die ingevuld is hoef je niet aan te passen. Optioneel kun je de naam veranderen naar een andere naam van maximaal 15 karakters (in hoofdletters).
Stap 17
Klik in het 'Paths' scherm op 'Next'. Het is niet nodig om de database, log file of SYSVOL directories aan te passen.
Stap 18
Je krijgt nu een overzicht te zien van de opties die je in de vorige stappen hebt geselecteerd. Klik op 'Install' om de installatie te starten.
Stap 19
Het systeem controleert of alle vereiste onderdelen voor de installatie (prerequisites) zijn geïnstalleerd op je server. Je zal hier enkele waarschuwingen te zien krijgen die je kunt negeren (geel uitroepteken) en een melding dat de controles goedgekeurd zijn.
Klik op 'Install' om de installatie te starten.
Tijdens de installatie krijg je dezelfde aandachtspunten te zien als in het vorige scherm. Na de installatie zal je server automatisch herstarten.
Firewall
Tijdens de configuratie van je Active Directory worden automatisch de juiste poorten opengezet. Een van de poorten wordt gebruikt voor de LDAP-service. Simpel gezegd zorgt deze service ervoor dat je toegang kunt krijgen tot een Active Directory / Service. De LDAP-service kan echter misbruikt worden voor DDoS-aanvallen. Het is daarom belangrijk om toegang tot de LDAP-service te beperken tot je private network (als je alleen VPS'en bij TransIP gebruikt) of VPN-verbinding (als bijvoorbeeld ook je laptop toegang moet krijgen tot het Active Directory). Je beperkt de toegang als volgt:
Stap 1
Klik op de startknop en gebruik de zoekterm 'Firewall'. Je kunt als alternatief ook in de Server Manager onder 'Tools' de firewall terugvinden.
Klik in de zoekresultaten op 'Windows Firewall with Advanced Security'.
Stap 2
Dubbelklik op de regel 'Active Directory Domain Controller - LDAP (UDP-In)'.
Stap 3
Klik op het tabblad 'Scope' en klik op 'Add' om de IP-range van je private network of VPN toe te voegen, gevolgd door 'Apply' en 'OK'.
De installatie van je Active Directory is nu voltooid! Let op: bij het inloggen gebruik je nu niet langer je gebruikersnaam, bijvoorbeeld Administrator, maar de domein- of Netbios-naam uit stap 16 met de toevoeging \gebruikersnaam, bijvoorbeeld: transip.local\Administrator of WINDOWS\Administrator.
Mocht je aan de hand van dit artikel nog vragen hebben, aarzel dan niet om onze supportafdeling te benaderen. Je kunt hen bereiken via de knop 'Neem contact op' onderaan deze pagina.