Server vorbereiten

Genauso wie man Dateien auf Datenträgern verschlüsseln kann, lassen sich natürlich auch Übertragungswege verschlüsseln. Windows Server 2008 R2 unterstützt für diese Zwecke über seine Firewall nativ das IPSec Protokoll. Im Gegensatz zu vielen anderen Verschlüsselungen arbeitet IPSec auf der Vermittlungsschicht des OSI Modells und nicht auf den Anwendungsorientierten Schichten. Der Vorteil davon ist, dass die kommunizierenden Anwendungen auf den teilnehmenden Computern gar nichts von der Verschlüsselung oder IPSec wissen müssen. Dementsprechend findet auch die gesamte Konfiguration in den Systemeinstellungen und nicht in den Anwendungen statt.

Webregistrierung ist ein schöner Kompromiss zwischen der manuellen und der automatischen Registrierung. Es ist deutlich komfortabler für einen Client, ein Zertifikat über eine Webseite zu beantragen als die Schritte über die Microsoft Management Konsole auszuführen, aber es passiert auch nicht vollautomatisch wie über Gruppenrichtlinien.

Es liegt auf der Hand, dass dieser Vorgang in Multiuser Umgebungen sehr mühselig und aufwendig ist. Zudem kann man auch nicht jedem Client zumuten nach seinem ersten Login zuerst über die MMC einen Snap-in hinzuzufügen und anschließend ein Zertifikat zu beantragen (und das dann nach Ablauf auch noch neu zu beantragen, etc.). Für diesen Zweck gibt es die Automatische Registrierung (Auto-Enrollment). Klingt kompliziert, ist aber eigentlich nur eine Gruppenrichtlinie, mit der ein Client seine Zertifikate automatisch beziehen kann.

Zertifikate sind ein Mittel um die Echtheit und Glaubwürdigkeit von miteinander kommunizierenden Computern zu verifizieren. Ohne zuverlässig sicherstellen zu können, dass Computer in internen oder externen Netzwerken vertrauenswürdige Teilnehmer eines Datenaustauschs sind, wäre zum Beispiel auch keine sichere Kommunikation im Internet möglich. Um diese Sicherheit herzustellen, werden Public-Key-Infrastrukturen (PKIs) verwendet.

Mit Gruppenrichtlinien kann ein zentraler Server Regeln und Standards für unterschiedliche Domänen, Gruppen und User bereitstellen. Das lässt sich sehr gut an einem Beispiel demonstrieren, in dem ein zentrales Desktop-Hintergrundbild für alle Nutzer einer Domäne eingerichtet wird.

Bevor du einen neuen Computer der Domäne hinzufügst, kannst du einen DHCP Server konfigurieren. In normalen Hausnetzwerken hat man meistens einen Router der die DHCP Aufgaben übernimmt, also dynamische IP-Adressen verteilt, so dass alle Rechner automatisch Teil des gleichen Netzwerks sind. In einer Server-Umgebung muss man sich selbst darum kümmern, d.h. entweder allen Rechnern statische IP-Adressen geben, oder auf dem Domain Controller einen DHCP Server einrichten, der neuen Rechnern dynamisch IPs zuweist.

Um aus dem Server einen Domain Controller zu machen, benötigst du die Rolle Active Directory Domänendienste. Diese kannst du hinzufügen, indem du entweder über den Server-Manager oder über den Erste-Schritte-Dialog auf Rollen hinzufügen klickst und diese dann in der angezeigten Auswahlliste abhakst. Du wirst vermutlich noch gefragt ob du auch das erforderliche .NET Framework 3.5.1 installieren möchtest, was du natürlich tun solltest. Damit lassen sich später Benutzerkonten, Gruppen, Richtlinien, etc. erstellen.