MCSA 70-412 (Teil 5) Windows Server 2012 R2-Active Directory-Infrastruktur konfigurieren

Gesamtstrukturvertrauensstellung konfigurieren

LinkedIn Learning kostenlos und unverbindlich testen!

Jetzt testen Alle Abonnements anzeigen
Machen Sie sich ganz detailliert mit den einzelnen Schritten vertraut, um anschließend selbst eine Gesamtstrukturvertrauensstellung konfigurieren zu können.
12:08

Transkript

Wie Sie eine Gesamtstruktur- Vertrauensstellung konfigurieren können, zeige ich Ihnen in diesem Video. Bevor wir mit der eigentlichen Konfiguration der Gesamtstruktur- Vertrauensstellung starten, müssen wir gewährleisten, dass die Namensauflösung perfekt funktioniert. Wir müssen also sicherstellen, dass die DNS-Server, die zum Beispiel in dieser Domäne hinterlegt sind, die Angaben enthalten müssen, dass die Kommunikation zur Domäne master.int gewährleistet werden kann. Dies kann ich umsetzen, indem ich zum Beispiel eine bedingte Weiterleitung einsetze. In meinem Fall habe ich nicht die Domäne master.int, das ist eine andere Domäne, das spielt aber keine Rolle. Die beiden Gesamtstrukturen sind im gleichen Netzwerk. Ich habe ein Netzwerk: 192.168.1.0. Beide Domänen sind in meinem Fall im gleichen Netzwerk. Wenn Sie aber unterschiedliche Gesamtstrukturen haben, die Sie anbinden müssen, und das ist normalerweise in der produktiven Umgebung der Fall, dann müssen Sie zuvor Vorbereitungen treffen. Sie müssen zum Beispiel gewährleisten, dass Sie die Domäne corp.int und master.int über die IP-Adresse-Konfiguration erreichen können. Was ist damit gemeint? Ich bin hier in einem internen Netzwerk. Da ist die Kommunikation sehr einfach. Müssen Sie aber zwei grundverschiedene Gesamtstrukturen anbinden, ist vielleicht der erste Schritt, dass Sie eine VPN-Verbindung aufbauen müssen zwischen diesen beiden Gesamtstrukturen. Über die VPN-Verbindung können Sie die internen DNS-Server entsprechend erreichen. Das ist eine mögliche Vorbereitung. Es kann aber auch sein, dass zum Beispiel die andere Gesamtstruktur, also zum Beispiel master.int, DNS-Server im Einsatz hat, die zum Beispiel öffentlich erreichbar sind. Dann haben Sie vielleicht die Möglichkeit, dass Sie Ihrem DNS-Server erklären: DNS-Server, wenn du die Domäne master.int erreichen möchtest, kannst du das über diesen DNS-Server tun. Das ist allerdings eher selten der Fall, dass ein DNS-Server, der in einer demilitarisierten Zone DMZ enthalten ist, dann auch die Auflösung direkt für die interne Domäne übernimmt. Das ist wirklich ein seltener Fall. Ich will Ihnen einfach damit erklären, Sie müssen zuvor sicherstellen, dass Sie die Kommunikation aufbauen können zwischen Ihren internen DNS-Servern, damit die Namensauflösung zwischen den beiden Gesamtstrukturen hier bestens umgesetzt werden kann. Damit, wenn jemand, hier zum Beispiel Fred, auf eine Ressource in der Domäne master.int zugreifen möchte, die Ressource zum Beispiel mit dem Namen aufrufen kann. Das ist eine sehr wichtige Vorbereitung, die Sie treffen müssen. Wie bereits erwähnt, meine beiden Gesamtstrukturen sind im gleichen Netzwerk. Ich werde die DNS-Konfiguration trotzdem durchführen. Das wäre aber nicht zwingend notwendig. Ich zeige Ihnen nun, wie Sie eine bedingte Weiterleitung konfigurieren können. Das ist die erste Vorbereitung für die Konfiguration der Gesamtstruktur-Vertrauensstellung. Ich bin hier auf meinem Server dcsvr01. Das ist der Domänencontroller der Domäne corp.int. Ich möchte nun eine bedingte Weiterleitung zur Domäne lab.int einrichten. Ich verwende dazu den DNS-Manager. Und ich konfiguriere eine bedingte Weiterleitung. Rechtsklick Ich bestimme die Domäne. Das ist lab.int. Ich setze hier die IP-Adresse des Domänencontrollers beziehungsweise des DNS-Servers 192.168.1.250. Nun sehen Sie, warum es wichtig ist, dass Sie die Kommunikation zuvor konfigurieren. Damit Sie diese interne Adresse auch entsprechend umsetzen können. Wenn Sie keine VPN-Verbindung zwischen den zwei Gesamtstrukturen haben, können Sie auch nicht direkt hier eine private IP-Adresse einsetzen. Da haben wir eine Fehlermeldung. Wir können sie ignorieren. Der Server ist für diese Zone autorisierend, das können wir ignorieren, und ich wähle OK. Ich habe also die bedingte Weiterleitung von der Domäne lab.int in meiner Domäne corp.int, das sehen wir hier, hinterlegt. Nun wechsle ich auf den Server dc01, das ist der DNS-Server und Domänencontroller der Domäne lab.int. Auch dort konfiguriere ich eine bedingte Weiterleitung. Auf meinem Server dc01 starte ich die DNS-Konsole Sie sehen übrigens, das ist die Domäne lab.int. Auch hier konfiguriere ich eine bedingte Weiterleitung. Rechtsklick Dieses Mal ist die Domäne corp.int und der Domänencontroller hat die IP-Adresse 192.168.1.10. Auch da wieder diese Meldung. Wir können sie ignorieren. Das ist OK so. Bevor wir nun die eigentliche Konfiguration starten, müssen wir die Namensauflösung selbstverständlich kontrollieren. In meiner Umgebung ist das nicht unbedingt zwingend, denn ich bin ja im gleichen IP-Netzwerk-Bereich. Da ist es nicht unbedingt notwendig. Wenn Sie die Gesamtstrukturen über eine VPN-Verbindung angebunden haben, dann empfiehlt es sich, die entsprechenden Tests zu machen. Sie können das Ganze einfach mit einem Ping durchführen und dann auf die entsprechende Domäne. Ich wähle hier corp.int und Sie sehen, diese Domäne kann aufgelöst werden. Sie können auch NSLookup starten und dann entsprechend einen Server aus der anderen Domäne ansteuern. Das wäre zum Beispiel dcsrv01. Sie sehen auch hier, da ist die Information noch nicht enthalten. Ich muss da noch den entsprechenden FQDN hinterlegen: corp.int. Auch da sehen Sie: Ich erhalte hier eine nicht autorisierende Antwort zurück. Das ist aber eine gute Antwort. Wir sehen hier, diese Namensauflösung hat perfekt funktioniert. Der erste Schritt ist also vollzogen. Wir können nun mit der Konfiguration der Gesamtstruktur-Vertrauensstellung starten. Zurück auf meinem Server dcsrv01 möchte ich nun die Gesamtstruktur- Vertrauensstellung konfigurieren. Dazu verwende ich den Server-Manager Tools. Ich navigiere zu Active Directory-Domänen und -Vertrauensstellungen. Ich wähle da die Domäne aus, öffne das Kontextmenü Eigenschaften und habe hier das Register Nun kann ich die Schaltfläche und es startet der Assistent. Ich wähle Weiter und gebe nun den Namen der Domäne an, für die ich eine Vertrauensstellung aufbauen möchte. Das ist lab.int. Dann wähle ich Weiter. Ich kann nun entscheiden, möchte ich eine externe Vertrauensstellung aufbauen oder eine Gesamtstruktur- Vertrauensstellung? Ich möchte die beiden Gesamtstrukturen miteinander verbinden. Sie sehen auch hier: Eine Gesamtstruktur-Vertrauensstellung ist eine transitive Vertrauensstellung. Wunderbar. Ich wähle Weiter. Ich kann nun die Richtung entsprechend definieren. Ist es bidirektional oder möchte ich nur unidirektional eingehend, unidirektional ausgehend? Nein, in meinem Fall bestimme ich bidirektional. Ich wähle Weiter. Nun kann ich entscheiden, möchte ich die Vertrauensstellung-Konfiguration nur für diese Domäne machen? Oder möchte ich die Konfiguration auch für die Partnerdomäne ausführen? Wenn Sie die zweite Option aktivieren, dann brauchen Sie die notwendigen Benutzernamen und Passwörter, oder das notwendige Konto und Passwort, das genügend Rechte hat, um diese Konfiguration abzuschließen. Ich habe von beiden Gesamtstrukturen die entsprechenden Informationen. Darum kann ich mit der zweiten Option fortfahren. Ich wähle Weiter. Sie sehen hier, nun muss ich die entsprechenden Informationen aus der Domäne lab.int eingeben. Geben Sie Benutzernamen und Kennwort eines Kontos mit Admin-Rechten an. Ich verwende dazu lab\administrator. Das Passwort. Und ich wähle Weiter. Ich kann nun entscheiden, möchte ich die gesamtstrukturweite Authentifizierung oder möchte ich die ausgewählte Authentifizierung? In diesem Fall wähle ich einmal die gesamtstrukturweite Authentifizierung. Das bedeutet, sämtliche Objekte in meinem Active Directory können auf andere Informationen in der anderen Gesamtstruktur zugreifen. Ich könnte das auch selektiv auswählen mit der ausgewählten Authentifizierung. Das besprechen wir später. Ich wähle nun Weiter. Sie sehen hier die gesamtstrukturweite Authentifizierung für die andere Domäne. Ich gehe nochmal auf Zurück, damit wir das besser sehen. Sie sehen hier: Vertrauensstellung lokale Gesamtstruktur. Wenn ich auf Weiter klicke, sehen wir hier die angegebene Gesamtstruktur, also die andere. Wir müssen das für beide Gesamtstrukturen bestimmen, wie wir die Authentifizierung hinterlegen möchten. Ich wähle nun Weiter. Ich erhalte noch einmal die Übersicht über die Konfiguration und wähle Weiter. Die Vertrauensstellungen werden nun vorgenommen. Dieses Fenster klicke ich durch, denn diese Thematik über Namenssuffixe werden wir später besprechen. Ich klicke also auf Weiter und ich wähle nochmal Weiter. Nun kann ich noch die Konfiguration tätigen, möchte ich die ausgehende Vertrauensstellung bestätigen? Das kann ich machen. Ich klicke dann auf Weiter. Ich möchte auch die zweite Vertrauensstellung bestätigen. Ich wähle dazu: Ja, eingehende Vertrauensstellung bestätigen. Ich klicke auf Weiter. Ich erhalte nochmal die Übersicht und wähle Fertigstellen. Nun ist diese Vertrauensstellung implementiert. Sie sehen hier lab.int, eine Vertrauensstellung-Gesamtstruktur und sie ist transitiv. Nun wechsle ich zur Domäne lab.int und kontrolliere, ob auch dort die Vertrauensstellung konfiguriert wurde zu corp.int. Zurück auf meinem Server dc01 verwende ich auch hier die Konsole Active Directory-Domänen Mit einem Rechtsklick auf die Domäne wähle ich Eigenschaften, navigiere hier zum Register und Sie sehen in der Tat, hier ist auch die entsprechende Vertrauensstellung hinterlegt zur Domäne corp.int. Es ist eine Vertrauensstellung vom Typ Gesamtstruktur und sie ist transitiv. Sie haben nun gesehen, welche Schritte notwendig sind, damit Sie eine Gesamtstruktur- Vertrauensstellung konfigurieren können. Sie müssen zuerst gewährleisten, dass die Namensauflösung perfekt funktioniert. Anschließend können Sie mit der Konfiguration der Gesamtstruktur- Vertrauensstellung starten.

MCSA 70-412 (Teil 5) Windows Server 2012 R2-Active Directory-Infrastruktur konfigurieren

Bereiten Sie sich mit diesem und fünf weiteren Trainings auf die Microsoft Zertifizierungsprüfung 70-412 vor und erlernen Sie umfassende Kenntnisse zu Windows Server 2012.

2 Std. 56 min (26 Videos)
Derzeit sind keine Feedbacks vorhanden...

Dieser Online-Kurs ist als Download und als Streaming-Video verfügbar. Die gute Nachricht: Sie müssen sich nicht entscheiden - sobald Sie das Training erwerben, erhalten Sie Zugang zu beiden Optionen!

Der Download ermöglicht Ihnen die Offline-Nutzung des Trainings und bietet die Vorteile einer benutzerfreundlichen Abspielumgebung. Wenn Sie an verschiedenen Computern arbeiten, oder nicht den ganzen Kurs auf einmal herunterladen möchten, loggen Sie sich auf dieser Seite ein, um alle Videos des Trainings als Streaming-Video anzusehen.

Wir hoffen, dass Sie viel Freude und Erfolg mit diesem Video-Training haben werden. Falls Sie irgendwelche Fragen haben, zögern Sie nicht uns zu kontaktieren!