Active Directory im eigenen Homelab einrichten

Was ist das Active Directory?

Das Active Directory (AD) ist ein Verzeichnisdienst von Microsoft, welcher auf dem Betriebssystem Windows Server konfiguriert werden kann. Durch das AD lassen sich die Strukturen des Netzwerks mit den angeschlossenen Geräten der Struktur einer Organisation (oder in dem Fall Homelab) nachbilden. Das Unternehmen doer einzelne Teile davon sind in Domänen aufgeteilt.

Des Weiteren können über das AD Zugriffsberechtigungen durch sogenannte Gruppenrichtlinien für einzelne Benutzer definiert werden. So kann das Unternehmen VMHOMELAB beispielsweise in verschiedene Domänen aufgeteilt sein, beispielsweise IT, Verwaltung und Support. Nun können für die einzelnen Domänen (Abteilungen) unabhängig voneinander eigene Benutzer und Gruppenrichtlinien definiert werden, sodass die Abteilung Support keinen Zugriff auf die Domäne Verwaltung hat.

Was brauche ich für ein Active Directory?

Wie bereits erwähnt wird das AD auf einem Windows Server installiert. Dabei spielt es keine Rolle, ob der Server bare-metal oder als virtuelle Maschine (VM) installiert wird. Meistens findet zweiteres anwendung. Um eine Domäne mit einem AD zu verwalten muss dieser Server als ein Domaincontroller (DC) konfiguriert werden.

Ein Active Directory einrichten

1. Windows Server installieren

Zunächst müsst ihr ein System mit Windows Server installieren. Hierbei kann es sich wie gesagt entweder um einen physischen Server handeln, zum Beispiel ein alter PC von euch, oder um eine VM. Ich installiere Windows Server 2022 in diesem Fall als eine VM. Solltet ihr nicht wissen, wie ihr Windows Server installiert, klickt gerne hier um meinen Beitrag zur Windows Installation zu lesen.

2. Active Directory Service konfigurieren

Nachdem ihr Windows Server installiert habt und euch mit dem während der Installation erstellten Administratorkonto anmeldet startet automatisch der Server Manager. Über den Server Manager könnt ihr Services für den Server installieren und verwalten.

Um mit der einrichtung des AD zu beginnen klickt ihr oben rechts auf Manage und dann auf Add Roles and Features

Danach startet der Wizard durch den ihr euch durchklicken müsst.

Hier werdet ihr gewarnt, dass für eueren Server keine statische IP-Adresse eingerichtet ist. Das ist für meinen Test-Server nicht weiter schlimm. Ihr solltet aber aufjeden Fall eine statische IP-Adresse setzen, entweder direkt auf dem Windows Server in dem dazugehörigen Netzwerkadapter oder auf eurem Router.

Jetzt werden die ausgewählten Server Rollen installiert. Jetzt ist es an der Zeit den Server zu einem Domaincontroller umzuwandeln. Dafür geht ihr wie folgt vor.

Hier wählt ihr nun euren Domainnamen. Ich nehme einfach test.local. Ihr könnt aber auch euren Namen.local oder sonstwas nehmen. Ambesten nehmt ihr aber keine Domain mit .de, .com, .org oder sonstigen Top-Level-Domains (TLD) die es im Internet gibt, da es sonst zu Problemen kommen kann. Es sei denn natürlich ihr habt eine Domain gekauft, dann könnt ihr natürlich auch diese nutzen.

Um die Installation abzuschließen wird der Server automatisch neugestartet. Danach meldet ihr euch mit dem Administratorkonto an eurer Domäne an.

Sehr schön! Wir haben erfolgreich den AD Service konfiguriert und unseren ersten Domaincontroller erstellt. Der nächste Schritt bevor wir andere Systeme in die Domäne heben können, bzw. mit der Domäne zu verbinden um diese zentral zu verwalten, müssen wir noch den DNS Service konfigurieren. Alle Services können wir unter dem Tab Tools erreichen.

3. DNS konfigurieren

Als erstes konfigurieren wir die Reverse Look Up Zone damit andere Systeme den Domaincontroller finden und der Domäne beitreten können.

Hier gebt ihr die ersten drei Oktette euerer IP-Adresse ein, welche euer Server erhalten hat. Diese könnt ihr über die CMD mit dem Befehl ipconfig nachschauen.

Jetzt haben wir erfolgreich die Reverse Look Up Zone eingerichtet. Nun können wir auch nachschauen, ob der DNS-Eintrag funktioniert. Dafür machen wir eine Rechtsklick auf unseren Domain Namen und klicken auf Launch nslookup. Hier geben wir den Hostnamen unseres Domaincontrollers ein. Diesen könnt ihr auch über die CMD mit dem Befehl hostname herausfinden. Wenn alles funktioniert sollte der Hostname zu der IP-Adresse eures Domaincontrollers aufgelöst werden.

Als letztes müssen wir noch die Forward Look Up Zone konfigurieren. Dies ist nötig, damit die Anfragen der anderen Systeme wie zum Beispiel der Aufruf von www.google.de von unserem Domaincontroller an einen DNS-Server weitergegeben wird, der diese Anfrage verarbeiten kann. Denn der Domaincontroller kann diese Anfrage nicht auflösen.

Hier könnt ihr entweder öffentliche DNS-Server nutzen, wie Google oder Cloudflare oder euren eigenen DNS-Server wie zum Beispiel Pi-Hole oder AdGuard.

Herzlichen Glückwunsch! Ihr habt jetzt euren ersten eigenen Domaincontroller eingerichtet und konfiguriert, sodass andere System der Domäne beitreten können und auch Internetanfragen verarbeitet werden können. Der nächste Schritt ist ein System aufzusetzen oder vorhandenes System in die Domäne einzubinden. Wie das geht, seht ihr in in einem anderen Post von mir.