Win Server 2012 R2: DHCP-Server authorisieren

[jk86]

Moin,

ich soll im Betrieb eine Azubidomäne errichten. Ist das erste Mal dass ich sowas mache, leider stehe ich da völlig alleine da und habe keinen Ansprechpartner, darum bitte ich euch um Hilfe.

Aufbau:

A: ein Domänencontroller mit DNS-Server (Win 2012 R2)

B: ein Server mit DHCP und Routing, später sollen noch Fileserver, WSUS, Printserver und Mailserver hinzukommen (Win 2012 R2)

C, D, E: Clients (Win 10)

Außerdem ein Switch.

 

Bisherige Schritte:

Ich hab den DNS-Server installiert und A zum Domänencontroller gemacht.

Auf B habe ich Routing und DHCP aktiviert. DHCP läuft, zumindest bekommen die Clients IP-Adressen zugewiesen. Wenn die Firewall aus ist, kann man bei allem auch schön hin- und herpingen.

Problem: Ich schaffe es um's verrecken einfach nicht, den DHCP-Server in die AD einzubinden, bzw. zu authorisieren.

 

Bereits ausprobiert habe ich folgendes:

* Über den Wizard: Ich bekomme die Meldung, dass die Zugriffsrechte fehlen -> sollten aber klappen

* mit Netsh: "add server" klappt nicht

* mit PowerShell: Add-DhcpServerInDC geht nicht (PowerShell findet das CMDlet gar nicht)

* Remotezugriff sowohl auf dem DC als auch auf dem DHCP-Server einrichten: No way

* Zugriffsberechtigt in der AD sind Administratoren, Es gibt auf jedem Gerät einen lokal angelegten Admin, desselben Names, ist das vielleicht ein Problem?

 

Was mache ich falsch? Wo liegt der Fehler? Wie mache ich es richtig?

 

[Maniska]

Also hast du ein Objekt Computerkonto in deinem AD angelegt? Schau mal bitte auf deinem DHCP was der Powershellbefehl " Get-ComputerInfo -Property CSDomain" ausspuckt. Ist das deine Domäne? Wenn nein, ist er noch nicht drin, weil woher weiß dein Server, dass er mit dem AD Konto gemeint ist? Entweder machst du es so, oder du gehst "klassisch" den Weg über den Servermanager --> Arbeitsgruppe --> Betritt zur Domäne (heißt ein bisschen anders, wirst du aber schon finden).

Genau so nimmst du auch deine Clients in die Domäne auf.

Anlegen in AD direkt kenn ich eigentlich nur dann, wenn man einen Helpdesk Mitarbeiter hat, der zwar Computer zur Domäne hinzufügen, diese aber nicht in OUs verschieben darf.

Ansonsten Rechtsklick auf "Computer" bzw "dieser PC", Einstellungen, Einstellungen für Computername... ändern" und dann später in die richtige OU verschieben.

[Maniska]

Ganz blöde Frage, aber dein DHCP Server ist Mitglied deiner Domäne?

[jk86]

vor 1 Minute schrieb Maniska:

Ganz blöde Frage, aber dein DHCP Server ist Mitglied deiner Domäne?

Ja, ich hatte ihn einmal direkt unter der Domäne hinzugefügt (im AD-Manager) und einmal in einem Unterordner "Server", klappt beides nicht.

[jk86]

Am 23.7.2018 um 16:26 schrieb Maniska:

Schau mal bitte auf deinem DHCP was der Powershellbefehl " Get-ComputerInfo -Property CSDomain" ausspuckt. Ist das deine Domäne?

Leider gar nichts - Powershell-Version ist 4. Auf den Clients (Version 5 punkt schlagmichtot) geht es.

Ich hab die AD und DHCP nochmal komplett neu aufgesetzt und den Domänenbeitritt händisch gemacht, wie du es beschrieben hast. Das hat geklappt. Dankeschön

[Maniska]

Also war er wohl noch nicht in der Domäne aufgenommen.

Wenn du ein Computerkonto direkt im AD anlegst, hat das erst mal noch keine Auswirkungen auf den "noch nicht Domänen Member".

Den eigentlichen Beitritt muss man trotzdem "händisch" machen, sonst sind Computerkonto und Computer (hier Server) nicht miteinander verknüpft. Der einzige (mit bekannte) Vorteil des Prestagings (also das was du gemacht hast) ist, dass der Domainadministrator das Hinzufügen delegieren kann.

Beispielsweise werden 20 neue Rechner für den Einkauf angeschafft, im Einkauf hat jemand die Berechtigung diese Rechner der Domäne hinzuzufügen (nur hinzufügen, nichts anderes). Domainadmin geht her, legt in der OU 20 Computerkonten Einkauf001 - Einkauf020 an und ist fertig.

Der Mitarbeiter im Einkauf (oder Helpdesk, wer auch immer der kastrierte Admin auch ist) benennt die neuen Rechner nun Einkauf0xx und fügt diese händisch der Domäne hinzu. Jetzt erst kommt der Unterschied: normalerweise würde sich der neu hinzugefügte Rechner ein neues Computerkonto in der OU "Computers" anlegen. Da es aber schon ein Konto mit dem Namen gibt, schnappt er sich das und ist ab jetzt sowohl der Computer mit dem Namen Einkauf001 als auch mit dem AD-Computerkonto Einkauf001.

Das selbe passiert auch, wenn du einen Rechner neu aufsetzt und das Konto nicht gelöscht wurde. Leider auch wenn aus versehen ein Name doppelt vergeben wurde.

Vorteil daran ist, dass die Rechner von Anfang an in der richtigen OU sind, also auch definitiv die richtigen GPO etc. zugewiesen bekommen. Und dass derjenige der die Geräte hinzufügt nur minimale Berechtigen braucht.

 

Nur aus Neugierde, wie hast du die Clients hinzugefügt? Händisch oder auf die selbe Art?

[jk86]

vor 2 Stunden schrieb Maniska:

Nur aus Neugierde, wie hast du die Clients hinzugefügt? Händisch oder auf die selbe Art?

Händisch, über Systemsteuerung -> System -> Einstellungen ändern.

Vielleicht probier ich's beim nächsten mal mit PS...