De wizard Active Directory instellen gebruiken

De wizard Active Directory installeren installeert en configureert domeincontrollers, waarmee netwerkgebruikers en computers toegang kunnen krijgen tot de directory-service Active Directory. U kunt Active Directory installeren op elke willekeurige lidserver (behalve lidservers met beperkte gebruiksrechtovereenkomsten) met behulp van de wizard Active Directory installeren. Met deze wizard definieert u een van de volgende functies voor de nieuwe domeincontroller:

• Nieuw forest (tevens een nieuw domein)
  Voor een controlelijst bij het maken van een nieuw forest raadpleegt u Controlelijst: Een nieuw forest maken voor meer informatie.
  
• Nieuw onderliggend domein
  Voor een controlelijst bij het maken van een onderliggend domein raadpleegt u Controlelijst: Een nieuw onderliggend domein maken.
  
• Nieuwe domeinstructuur in een bestaand forest
  Voor een controlelijst bij het maken van een nieuwe domeinstructuur raadpleegt u Controlelijst: Een nieuwe domeinstructuur maken.
  
• Een extra domeincontroller in een bestaand domein.
  Voor een controlelijst bij het maken van een extra domeincontroller raadpleegt u Controlelijst: Een extra domeincontroller aan een bestaand domein toevoegen.
  

Voordat u de wizard Active Directory installeren gaat gebruiken, neemt u de DNS-configuratie en de ondersteuning voor bestaande toepassingen in overweging.

De wizard Active Directory installeren probeert standaard in de lijst met geconfigureerde DNS-servers een DNS-server met de juiste machtigingen te vinden voor het nieuwe domein die een dynamische update accepteert van een SRV-bronrecord. Als deze wordt gevonden, worden alle geschikte records voor de domeincontroller automatisch bij de DNS-server geregistreerd nadat de domeincontroller opnieuw is opgestart.

Als geen DNS-server wordt gevonden die accepteert dat gegevens dynamisch worden bijgewerkt, omdat de DNS-server dynamisch bijwerken niet ondersteunt of omdat dynamisch bijwerken niet is geactiveerd voor het domein, voert de wizard Active Directory installeren de volgende stappen uit om ervoor te zorgen dat het installatieproces wordt voltooid met de noodzakelijke registratie van de SRV-bronrecords:

1. De DNS-service wordt geïnstalleerd op de domeincontroller en wordt automatisch geconfigureerd met een zone die is gebaseerd op het Active Directory-domein.
   Als bijvoorbeeld het domein dat u als eerste domein in het forest hebt gekozen voorbeeld.microsoft.com is, wordt een zone toegevoegd aan de DNS-domeinnaam voorbeeld.microsoft.com en wordt de zone zo geconfigureerd dat deze de DNS Server-service op de nieuwe domeincontroller gebruikt.
   
2. Er wordt een tekstbestand gemaakt met de juiste DNS-bronrecords voor de domeincontroller.
   Het bestand, genaamd Netlogon.dns, wordt gemaakt in de map hoofdmap van systeem\System32\Config en bevat alle records die nodig zijn om de bronrecords van de domeincontroller te registreren. Netlogon.dns wordt door de Net Logon-service gebruikt en wordt ook gebruikt om Active Directory te ondersteunen voor DNS-servers zonder Windows Server 2003.
   Als u een DNS-server gebruikt die wel SRV-bronrecords ondersteunt, maar dynamisch bijwerken niet (bijvoorbeeld een op UNIX gebaseerde DNS-server of een Windows NT DNS-server), kunt u de records uit Netlogon.dns in het juiste primaire-zonebestand importeren om de primaire zone op die server handmatig te configureren voor ondersteuning van Active Directory.
   

Als er geen DNS-servers beschikbaar zijn in het netwerk, kunt u de optie kiezen voor het automatisch installeren en configureren van een lokale DNS-server als u Active Directory installeert met behulp van de wizard Active Directory installeren. De DNS-server wordt geïnstalleerd op de server waarop u de wizard uitvoert en de DNS-voorkeursserver van de server wordt zodanig geconfigureerd dat de nieuwe lokale DNS-server wordt gebruikt.

Controleer, voordat u de wizard Active Directory installeren uitvoert, of de bevoegde DNS-zone dynamische updates toestaat en of de DNS-server die als host voor de zone fungeert, de DNS SRV-bronrecord ondersteunt. Zie Controlelijst: DNS controleren voor de installatie van Active Directory voor meer informatie.

Zie Een DNS-server configureren voor gebruik met Active Directory voor meer informatie. Zie DNS-integratie voor algemene informatie over DNS-integratie met Active Directory.

Op servers met Windows NT 4.0 en eerdere versies wordt leestoegang voor gebruikers- en groepsgegevens toegewezen aan anonieme gebruikers, zodat bestaande toepassingen en sommige niet-Microsoft-toepassingen, juist werken.

Op servers met Windows 2000 en Windows Server 2003 hebben leden van de groep Anonieme aanmelding alleen leestoegang tot deze gegevens als de groep wordt toegevoegd aan de groep Pre-Windows 2000-compatibele toegang.

Met de wizard Active Directory installeren kunt u kiezen of u wilt dat de groep Anonieme aanmelding en de beveiligingsgroepen Iedereen worden toegevoegd aan de groep Pre-Windows 2000-compatibele toegang door de optie Machtigingen die compatibel zijn met pre-Windows 2000 Server-besturingssystemen in te schakelen. U kunt voorkomen dat leden van de groep Anonieme aanmelding leestoegang krijgen tot gebruikers- en groepsgegevens door de optie Machtigingen die alleen compatibel zijn met Windows Server 2003-besturingssystemen te kiezen.

Wanneer u een domeincontroller opwaardeert van Windows 2000 naar een Windows Server 2003-besturingssysteem en de beveiligingsgroep Iedereen reeds lid is van de groep Pre-Windows 2000-compatibele toegang (waarmee instellingen voor neerwaartse compatibiliteit worden aangegeven), wordt de beveiligingsgroep Anonieme aanmelding tijdens de upgrade toegevoegd als lid van de beveiligingsgroep Pre-Windows 2000-compatibele toegang.

U kunt handmatig overschakelen tussen de neerwaarts compatibele en de zwaarbeveiligde instellingen op Active Directory-objecten door de beveiligingsgroep Anonieme aanmelding met Active Directory: gebruikers en computers toe te voegen aan de beveiligingsgroep Pre-Windows 2000-compatibele toegang. Zie Leden toevoegen aan een groep voor meer informatie over het toevoegen van leden aan een groep. Zie Standaardgroepen en Speciale identiteiten voor meer informatie over standaardgroepen.

Opmerking

• Als u het selectievakje Machtigingen die alleen compatibel zijn met Windows Server 2003-besturingssystemen inschakelt tijdens de installatie van Active Directory en later tot de ontdekking komt dat sommige toepassingen niet correct functioneren, kunt u dit probleem eventueel oplossen door de speciale groep Iedereen handmatig toe te voegen aan de beveiligingsgroep Pre-Windows 2000-compatibele toegang en vervolgens de domeincontrollers in het domein opnieuw te starten. Als u een upgrade naar toepassingen hebt uitgevoerd die compatibel zijn met de Windows Server 2003-familie, kunt u het best meteen de veiligere Windows Server 2003-besturingssysteemconfiguratie weer inschakelen. Dit doet u door de groep Iedereen te verwijderen uit de beveiligingsgroep Pre-Windows 2000-compatibele toegang en de domeincontrollers in het domein in kwestie opnieuw op te starten.