0RGXOH,QWURGXFWLRQWR$FWLYH'LUHFWRU\'RPDLQ6HUYLFHV

Module 2: Introduction to Active Directory
Domain Services

&RQWHQWV

Module Overview

Lesson Overview of AD DS
1:

Lesson Overview of Domain Controllers
2:

Lesson Installing a Domain Controller
3:

Lab: Installing Domain Controllers

Module Review and Takeaways

0RGXOH2YHUYLHZ

Active Directory® Domain Services (AD DS) and its related services form
the foundation for enterprise networks that run Windows® operating
systems. The AD DS database is the central store of all the domain
objects, such as user accounts, computer accounts, and groups. AD DS
provides a searchable hierarchical directory, and provides a method for
applying configuration and security settings for objects in the enterprise.
This module covers the structure of AD DS and its various components,
such as forest, domain, and organizational units (OUs).

The process of installing AD DS on a server has been refined and
improved with Windows Server®  2012 compared to the process of

KWWSVVNLOOSLSHFRPUHDGHUSW%5%RRN%RRN3ULQW9LHZIFHFEDDHDF"&KDSWHU1XPEHU  )RQW6L]H  )RQW7\SH YHUGDQD « 

 0RGXOH,QWURGXFWLRQWR$FWLYH'LUHFWRU\'RPDLQ6HUYLFHV

installing AD DS with earlier Windows server operating systems. This
module examines some of the choices that are available with Windows
Server 2012 for installing AD DS on a server. It also gives an overview of
domain controllers, in addition to choices that are available with Windows
Server 2012 for installing AD DS on a server.

2EMHFWLYHV
After completing this module, you should be able to:

• Describe the structure of AD DS.

• Describe the purpose of domain controllers.

• Install a domain controller.

/HVVRQ2YHUYLHZRI$''6

The AD DS database stores information on user identity, computers,
groups, services, and resources. AD DS domain controllers also host the
service that authenticates user and computer accounts when they sign in
to the domain. Because AD DS stores information about all of the objects
in the domain, and all users and computers must connect to AD DS
domain controllers when they sign into the network, AD DS is the primary
means by which you can configure and manage user and computer
accounts on your network.

This lesson covers the core logical components and physical components
that make up an AD DS deployment.

/HVVRQ2EMHFWLYHV
After completing this lesson you should be able to:

• Describe the components of AD DS.
KWWSVVNLOOSLSHFRPUHDGHUSW%5%RRN%RRN3ULQW9LHZIFHFEDDHDF"&KDSWHU1XPEHU  )RQW6L]H  )RQW7\SH YHUGDQD « 
 0RGXOH,QWURGXFWLRQWR$FWLYH'LUHFWRU\'RPDLQ6HUYLFHV

• Describe AD DS domains.

• Describe OUs and their purpose.

• Describe AD DS forests and trees, and explain how you can deploy them
in a network.

• Explain how an AD DS schema provides a set of rules that manage the
objects and attributes that are stored in the AD DS domain database.

• Describe what is new for Active Directory in Windows Server 2012.

• Describe what is new for Active Directory in Windows Server 2012 R2.

2YHUYLHZRI$''6

AD DS is composed of both logical and physical components. You need to
understand the way the components of AD DS work together so that you
can manage your infrastructure efficiently. In addition, you can use many
other AD DS options to perform actions such as installing, configuring, and
updating apps; managing the security infrastructure; enabling Remote
Access and DirectAccess; and issuing and managing digital certificates.

One of the most used AD DS features is Group Policy, which enables you
to configure centralized policies that you can use to manage most objects
in AD DS. Understanding the various AD DS components is important to
using Group Policy successfully.

KWWSVVNLOOSLSHFRPUHDGHUSW%5%RRN%RRN3ULQW9LHZIFHFEDDHDF"&KDSWHU1XPEHU  )RQW6L]H  )RQW7\SH YHUGDQD « 

 0RGXOH,QWURGXFWLRQWR$FWLYH'LUHFWRU\'RPDLQ6HUYLFHV

/RJLFDO&RPSRQHQWV

AD DS logical components are structures that you use to implement an
Active Directory design that is appropriate for an organization. The
following table describes the types of logical structures that an Active
Directory database contain.

Logical Description
component

Partition This is a section of the AD DS database. Although the database is one file
named Ndts.dit, you view it, manage it, and replicate it as if it consists of
distinct sections or instances. These are called partitions, which are also
called naming contexts.

Schema This is the set of definitions of the object types and attributes that you
use to create objects in AD DS.

Domain This is a logical, administrative container for users and computers.

Domain tree This is a collection of domains that share a common root domain and a
contiguous Domain Name System (DNS) namespace.

Forest This is a collection of domains that share a common AD DS.

Site This is a collection of users, groups, and computers that are defined by
their physical location. You can use sites to plan administrative tasks such
as replication of changes to the AD DS database.

Organizational An organizational unit is a container object that provides a framework for
unit (OU) delegating administrative rights and for linking Group Policy Objects
(GPOs).

Container A container is an object that provides an organizational framework for use
in AD DS. Containers cannot have GPOs linked to them.

3K\VLFDO&RPSRQHQWV
The following table describes some of the physical components of AD DS.

Physical Description
component

Domain controller This contains a copy of the AD DS database. For most operations, each
KWWSVVNLOOSLSHFRPUHDGHUSW%5%RRN%RRN3ULQW9LHZIFHFEDDHDF"&KDSWHU1XPEHU  )RQW6L]H  )RQW7\SH YHUGDQD « 
 0RGXOH,QWURGXFWLRQWR$FWLYH'LUHFWRU\'RPDLQ6HUYLFHV
Domain controller This contains a copy of the AD DS database. For most operations, each
domain controller can process changes and replicate the changes to all
the other domain controllers in the domain.

Data store There is a data store on each domain controller; it holds the AD DS
database. The AD DS database uses Microsoft Jet database technology,
and stores the directory information in the Ntds.dit file and associated
log files. Those files are stored in the C:\Windows\NTDS folder by
default.

Global catalog This is a domain controller that hosts the global catalog, which is a
server partial, read­only copy of all the objects in the forest. A global catalog
speeds up searches for objects that might be stored on domain
controllers in a different domain in the forest.

Read­only domain This is a special read­only installation of AD DS. RODCs are often used
controller (RODC) in branch offices where security and IT support are less advanced than
in the main corporate centers.

Additional Reading: For more information about domains and
forests, refer to "Active Directory Domain Services Overview" at
http://go.microsoft.com/fwlink/?LinkID=331086.

:KDW$UH$''6'RPDLQV"

7KH$''6'RPDLQ&RQWDLQV8VHU&RPSXWHUV*URXSV
An AD DS domain is a logical container used to manage user, computer,
group, and other objects.

All of the domain objects are stored in the AD DS database, a copy of
which is stored on each domain controller.
KWWSVVNLOOSLSHFRPUHDGHUSW%5%RRN%RRN3ULQW9LHZIFHFEDDHDF"&KDSWHU1XPEHU  )RQW6L]H  )RQW7\SH YHUGDQD « 
 0RGXOH,QWURGXFWLRQWR$FWLYH'LUHFWRU\'RPDLQ6HUYLFHV

There are many types of objects in the AD DS database, including user
accounts, computer accounts, and groups. The following list briefly
describes these three object types:

• User accounts. User accounts contain the information required to
authenticate a user during the sign­in process and build the user's
access token.

• Computer accounts. Each domain­joined computer has an account in AD
DS. Computer accounts are used for domain­joined computers in the
same ways that user accounts are used for users.

• Groups. Groups are used to organize users or computers to make it
easier to manage permissions and group policy in the domain.

7KH$''6'RPDLQ,VD5HSOLFDWLRQ%RXQGDU\
When changes are made to any object in the domain, the domain
controller where the change occurred replicates that change to all the
other domain controllers in the domain. If there are multiple domains in
the forest, only subsets of the changes are replicated to other domains.
AD DS uses a multimaster replication model that allows every domain
controller to make changes to objects in the domain. Changes to relative
identifier (RID) management in the Windows Server 2012 version of
Active Directory Domain Services (Windows Server 2012 Active Directory)
now allow a single domain to contain nearly 2 billion objects.

With this much capacity, most organizations could deploy only a single
domain and ensure that all domain controllers contain all the domain
information. However, organizations that have decentralized
administrative structures, or that are distributed across multiple locations,
might consider implementing multiple domains in the same forest to
accommodate the administrative needs of their environment.

7KH$''6'RPDLQ,VDQ$GPLQLVWUDWLYH&HQWHU
KWWSVVNLOOSLSHFRPUHDGHUSW%5%RRN%RRN3ULQW9LHZIFHFEDDHDF"&KDSWHU1XPEHU  )RQW6L]H  )RQW7\SH YHUGDQD « 
 0RGXOH,QWURGXFWLRQWR$FWLYH'LUHFWRU\'RPDLQ6HUYLFHV

The domain contains an Administrator account and a Domain Admins
group. By default the Administrator account is a member of the Domain
Admins group, and the Domain Admins group is a member of every local
Administrators group of domain­joined computers. Also, by default, the
Domain Admins group members have full control over every object in the
domain. The Administrator account in the forest root domain has
additional rights, as detailed in the “What Is an AD DS Forest?” topic.

7KH$''6'RPDLQ3URYLGHV$XWKHQWLFDWLRQ
Whenever a domain­joined computer starts, or a user signs in to a
domain­joined computer, AD DS authenticates them. Authentication
verifies that the computer or user has the proper credentials for an AD DS
account.

7KH$''6'RPDLQ3URYLGHV$XWKRUL]DWLRQ

Windows operating systems use authorization and access control
technologies to allow authenticated users to access resources. Typically,
the authorization process is performed locally at the resource. Windows
Server 2012 introduced domain­based Dynamic Access Control to enable
central access rules to control access to resources. Central access rules do
not replace the current access control technology, but rather provide an
additional level of control.

:KDW$UH28V"

An organizational unit (OU) is a container object within a domain that you
KWWSVVNLOOSLSHFRPUHDGHUSW%5%RRN%RRN3ULQW9LHZIFHFEDDHDF"&KDSWHU1XPEHU  )RQW6L]H  )RQW7\SH YHUGDQD « 
 0RGXOH,QWURGXFWLRQWR$FWLYH'LUHFWRU\'RPDLQ6HUYLFHV

can use to consolidate users, computers, groups, and other objects. OUs
should not be confused with the generic container objects in AD DS. The
primary difference between OUs and containers are the management
capabilities. Containers have limited management capabilities; for
instance, you cannot apply a GPO directly to a container. You usually use
containers for system objects and as the default locations for new objects.
With OUs, you have more management options; you can link GPOs
directly, assign an OU manager, and associate a COM+ partition with an
OU.

Although there is not a menu option for creating new containers in Active
Directory Users and Computers, you can create new OUs in AD DS at any
time. There are two reasons to create OUs:

• To group objects together to make it easier to manage them by applying
group policy objects (GPOs) to the whole group. You can assign GPOs to
the OU, and the settings apply to all objects within the OU. GPOs are
policies that administrators create to manage and configure settings for
computers and/or users. The GPOs are deployed by linking them to OUs,
domains, or sites.

• To delegate administrative control of objects within the OU. You can
assign management permissions on an OU, thereby delegating control
of that OU to a user or group within AD DS in addition to the
administrators group.

You can use OUs to represent the hierarchical, logical structures within
your organization. For example, you can create OUs that represent the
departments within your organization, the geographic regions within your
organization, or a combination of both departmental and geographic
regions. You can use OUs to manage the configuration and use of user,
group, and computer accounts based on your organizational model.

Every AD DS domain has a standard set of containers and OUs that are

KWWSVVNLOOSLSHFRPUHDGHUSW%5%RRN%RRN3ULQW9LHZIFHFEDDHDF"&KDSWHU1XPEHU  )RQW6L]H  )RQW7\SH YHUGDQD « 

 0RGXOH,QWURGXFWLRQWR$FWLYH'LUHFWRU\'RPDLQ6HUYLFHV

created when you install AD DS. Some of the default objects are used
primarily by AD DS and are hidden from view by default. The following
objects are visible by default:

• Domain. Serves as the top level of the domain organizational hierarchy.

• Built­in container. Stores a number of default groups.

• Computers container. The default location for new computer accounts
that you create in the domain.

• Domain Controllers OU. The default location for domain controllers'
computer accounts. This is the only OU that is present in a new
installation of AD DS.

• Foreign Security Principals container. The default location for trusted
objects from domains outside the AD DS forest. Typically, these are
created when an object from an external domain is added to a group in
the AD DS domain.

• Managed Service Accounts. The default location for managed service
accounts. AD DS provides automatic password management in managed
service accounts.

• Users container. The default location for new user accounts and groups
that you create in the domain. The users container also holds the
administrator and guest accounts for the domain, and some default
groups.

There are several containers that you can see only when you select
Advanced Features on the View menu. The following objects are hidden by
default:

• LostAndFound. This container holds orphaned objects.

• Program Data. This container holds Active Directory data for Microsoft
applications, such as Active Directory Federation Services (AD FS).

KWWSVVNLOOSLSHFRPUHDGHUSW%5%RRN%RRN3ULQW9LHZIFHFEDDHDF"&KDSWHU1XPEHU  )RQW6L]H  )RQW7\SH YHUGDQD « 

 0RGXOH,QWURGXFWLRQWR$FWLYH'LUHFWRU\'RPDLQ6HUYLFHV

• System. This container holds the built­in system settings.

• NTDS Quotas. This container holds directory service quota data.

• TPM Devices. This container is new with Windows Server 2012. It stores
the recovery information for Trusted Platform Module (TPM) devices.

Note: Containers in an AD DS domain cannot have GPOs linked to
them. To link GPOs to apply configurations and restrictions, create
a hierarchy of OUs, and then link GPOs to them.

+LHUDUFK\'HVLJQ
The design of an OU hierarchy is dictated by the administrative needs of
the organization. The design could be based on geographic, functional,
resource, or user classifications. Whatever the order, the hierarchy should
make it possible to administer AD DS resources as effectively and with as
much flexibility as possible. For example, if all computers that IT
administrators use must be configured in a certain way, you can group all
the computers in an OU, and then assign a GPO to manage those
computers.

You also can create OUs within other OUs. For example, your organization
might have multiple offices, and each office might have a team of IT
administrators who are responsible for managing user and computer
accounts in their office. In addition, each office might have different
departments with different computer configuration requirements. In this
situation, you could create an OU for each office, and then within each of
those OUs, create an OU for the IT administrators and OUs for each of the
other departments.

Although there is no technical limit to the number of levels in your OU
structure, to ensure manageability, limit your OU structure to a depth of
no more than 10 levels. Most organizations use five levels or fewer to
KWWSVVNLOOSLSHFRPUHDGHUSW%5%RRN%RRN3ULQW9LHZIFHFEDDHDF"&KDSWHU1XPEHU  )RQW6L]H  )RQW7\SH YHUGDQD « 
 0RGXOH,QWURGXFWLRQWR$FWLYH'LUHFWRU\'RPDLQ6HUYLFHV

simplify administration. Note that Active Directory­enabled applications
can impose restrictions on the OU depth within the hierarchy for the parts
of the hierarchy they use.

:KDW,VDQ$''6)RUHVW"

A domain tree is a collection of one or more domains that share a
contiguous name space. A forest is a collection of one or more domain
trees that share a common directory schema and global catalog. The first
domain that is created in the forest is called the forest root domain. The
forest root domain contains a few objects that do not exist in other
domains in the forest. Because these objects are always created on the
first domain controller created, a forest can consist of as little as one
domain with a single domain controller, or it can consist of hundreds of
domains across multiple trees. The following objects exist only in the
forest root domain:

• The schema master role. This is a special forest­wide domain controller
role. There is only one schema master in any forest. The schema can be
changed only on the domain controller that holds the schema master.

• The domain naming master role. This is also special forest­wide domain
controller role. There is only one domain naming master in any forest.
New domain names can be added to the directory only by the domain
naming master.

• The Enterprise Admins group. By default, the Enterprise Admins group
has the Administrator account for the forest root domain as a member.
KWWSVVNLOOSLSHFRPUHDGHUSW%5%RRN%RRN3ULQW9LHZIFHFEDDHDF"&KDSWHU1XPEHU  )RQW6L]H  )RQW7\SH YHUGDQD « 
 0RGXOH,QWURGXFWLRQWR$FWLYH'LUHFWRU\'RPDLQ6HUYLFHV

The Enterprise Admins group is a member of the local Administrators
group in every domain in the forest. This allows members of the
Enterprise Admins group to have full control administrative rights to
every domain throughout the forest.

• The Schema Admins group. By default, the Schema Admins group has
no members. Only members of the Enterprise Admins group, or Domain
Admins group (in the forest root domain), can add members to the
Schema Admins group. Only Members of the Schema Admins group can
make changes to the Schema.

6HFXULW\%RXQGDU\

An AD DS forest is a security boundary. By default, no users from outside
the forest can access any resources inside the forest. Typically an
organization creates only one forest, although you can create multiple
forests to isolate administrative permissions between different parts of the
organization.

By default, all the domains in a forest trust the other domains in the forest
automatically. This makes it easy to enable access to resources such as
file shares and websites for all users in a forest, regardless of the domain
in which the user account is located.

5HSOLFDWLRQ%RXQGDU\

An AD DS forest is the replication boundary for the configuration and
schema partitions in the AD DS database. This means that all domain
controllers in the forest must share the same schema. Because of this,
organizations that want to deploy applications with incompatible schemas
need to deploy additional forests.

The AD DS forest is also the replication boundary for the global catalog.
The global catalog makes it possible to find objects from any domain in
the forest. The global catalog is used whenever universal principal name

KWWSVVNLOOSLSHFRPUHDGHUSW%5%RRN%RRN3ULQW9LHZIFHFEDDHDF"&KDSWHU1XPEHU  )RQW6L]H  )RQW7\SH YHUGDQD « 

 0RGXOH,QWURGXFWLRQWR$FWLYH'LUHFWRU\'RPDLQ6HUYLFHV

(UPN) sign­in credentials are used, or when Microsoft Exchange Server
address books are used to find users.

:KDW,VWKH$''66FKHPD"

The AD DS schema is the component that defines all object classes and
attributes that AD DS uses to store data. It is sometimes referred to as
the blueprint for AD DS. The schema is replicated among all domain
controllers in the forest. Any change that is made to the schema is
replicated to every domain controller in the forest from the schema master
holder, which is typically the first domain controller in the forest.

AD DS stores and retrieves information from a wide variety of applications
and services. It does this, in part, by standardizing how data is stored in
the AD DS directory. By standardizing data storage, AD DS can retrieve,
update, and replicate data, while ensuring that the data’s integrity is
maintained.

2EMHFWV

AD DS uses objects as units of storage. All object types are defined in the
schema. Each time the directory handles data, the directory queries the
schema for an appropriate object definition. Based on the object definition
in the schema, the directory creates the object and stores the data.

Object definitions specify both the types of data that the objects can store
and the syntax of the data. You can create only objects that are defined

KWWSVVNLOOSLSHFRPUHDGHUSW%5%RRN%RRN3ULQW9LHZIFHFEDDHDF"&KDSWHU1XPEHU  )RQW6L]H  )RQW7\SH YHUGDQD « 

 0RGXOH,QWURGXFWLRQWR$FWLYH'LUHFWRU\'RPDLQ6HUYLFHV

by the schema. Because the data is stored in a rigidly defined format, AD
DS can store, retrieve, and validate the data that it manages, regardless
of which application supplies it.

5HODWLRQVKLSVEHWZHHQ2EMHFWV5XOHV$WWULEXWHVDQG&ODVVHV

In AD DS, the schema defines the following:

• Objects that store data in the directory

• Rules that define the structure of the objects

• The structure and content of the directory itself

AD DS schema objects consist of attributes, which are grouped together
into classes. Each class has rules that define which attributes are required
and which are optional. For example, the user class consists of more than
400 possible attributes, including cn (the common name attribute),
givenName, displayName, objectSID and manager. Of these
attributes, the cn and objectSID attributes are mandatory. The cn
attribute is defined as a single­value Unicode String from 1 to 64
characters long and is replicated to the global catalog.

0DNLQJ&KDQJHVWRWKH6FKHPD

Only members of the Schema Administrators can modify the AD DS
schema. You cannot remove anything from the AD DS schema; you can
only extend the AD DS schema by using AD DS schema extensions, or by
modifying the attributes of existing objects. For example, when you are
preparing to install Exchange Server 2013 you must apply the Exchange
Server 2013 Schema Extensions. This extension adds or modifies more
than 200 classes and more than 100 different attributes.

You should change the schema only when necessary, because the schema
dictates how information is stored and any changes made to the schema
affect every domain controller. Before you change the schema, you should
KWWSVVNLOOSLSHFRPUHDGHUSW%5%RRN%RRN3ULQW9LHZIFHFEDDHDF"&KDSWHU1XPEHU  )RQW6L]H  )RQW7\SH YHUGDQD « 
 0RGXOH,QWURGXFWLRQWR$FWLYH'LUHFWRU\'RPDLQ6HUYLFHV

review the changes through a tightly controlled process, and implement
them only after you have performed testing to ensure that the changes
will not adversely affect the rest of the forest or any applications that use
AD DS.

The schema master is one of the operations master roles that are hosted
on a single domain controller in AD DS. Because it is a single master, you
must make changes to the schema by targeting the domain controller that
holds the schema master.

:KDW,V1HZIRU:LQGRZV6HUYHU$FWLYH'LUHFWRU\"

In addition to the changes that were implemented in Windows Server
2012, there were many changes introduced in Windows Server 2012
Active Directory. These improvements focused on four key areas:
virtualization, deployment, management, and the platform. The following
list describes a few of the most important ones.

9LUWXDOL]DWLRQ,PSURYHPHQWV

• The new GenerationID property, when used with a newer generation
hypervisor (such as the Windows 2012 R2 Hyper­V®), allows a virtual
machine to detect events such as a

snapshot rollback. This helps prevent problems that can occur when an
out­of­date domain controller is started.

• A new cloning process has been developed for Domain Controllers that
KWWSVVNLOOSLSHFRPUHDGHUSW%5%RRN%RRN3ULQW9LHZIFHFEDDHDF"&KDSWHU1XPEHU  )RQW6L]H  )RQW7\SH YHUGDQD « 
 0RGXOH,QWURGXFWLRQWR$FWLYH'LUHFWRU\'RPDLQ6HUYLFHV

uses the GenerationID property to allow a newly cloned virtual machine
to determine that it is a clone. The newly cloned machine then uses the
DCCloneConfig.xml, which you create as part of the cloning process, to
reconfigure the new domain controller.

'HSOR\PHQWDQG8SJUDGH,PSURYHPHQWV

• In earlier versions of the Windows Server operating system, you had to
run the adprep command­line tool manually to prepare your system
before you installed domain controllers. These processes now run
automatically as part of the domain controller installation procedure.

• Before completing the AD DS Configuration Wizard, you can copy the
Windows PowerShell® script the wizard creates and use it to automate
additional AD DS installations.

0DQDJHPHQW,PSURYHPHQWV

• Dynamic Access Control is a new feature that makes it easier to control
who can access resources and audit who has accessed them. Claims­
based authorization has been implemented to enhance the current
authorization model. For example, a user can be required to access
certain resources from a specific device, in addition to being a member
of a specific group.

• A new user interface for the Active Directory Recycle Bin makes it easier
and faster to recover objects. Windows Server® 2008 introduced the AD
recycle bin, but it did not include a GUI­based user interface and was
therefore cumbersome to use.

3ODWIRUP,PSURYHPHQWV

• The RID pool has been enlarged, management options have been
KWWSVVNLOOSLSHFRPUHDGHUSW%5%RRN%RRN3ULQW9LHZIFHFEDDHDF"&KDSWHU1XPEHU  )RQW6L]H  )RQW7\SH YHUGDQD « 
 0RGXOH,QWURGXFWLRQWR$FWLYH'LUHFWRU\'RPDLQ6HUYLFHV

added, and monitoring has been improved. The RID pool improvements
should prevent situations in which all of the RID numbers are used and
allow more time to react for organizations that run the risk of using the
entire RID pool.

• Creating an index can use a lot of system resources and slow down
other processes. In Windows Server 2012 Active Directory you can
specify when you want the index created so that it is done when few
other processes are occurring on the system. You can defer index
creation until an UpdateSchemaNow command is received or the
system is rebooted.

Additional Reading: For more information about new features in
AD DS, refer to "What's New in Active Directory Domain Services
(AD DS)" at http://go.microsoft.com/fwlink/?
LinkID=392102.

:KDW,V1HZIRU:LQGRZV6HUYHU5$FWLYH'LUHFWRU\"

Windows Server 2012 R2 Active Directory includes many enhancements
and improvements from previous versions. Some of these improvements
help manage the proliferation of consumer devices in the workplace. For
example, the new features Workplace Join and Web Application Proxy
provide users an easier way to integrate their consumer devices into the
workplace. In addition, the security associated with the use of consumer
devices in the workplace has been improved; multi­factor access control

KWWSVVNLOOSLSHFRPUHDGHUSW%5%RRN%RRN3ULQW9LHZIFHFEDDHDF"&KDSWHU1XPEHU  )RQW6L]H  )RQW7\SH YHUGDQD « 

 0RGXOH,QWURGXFWLRQWR$FWLYH'LUHFWRU\'RPDLQ6HUYLFHV

and multi­factor authentication were implemented to manage the risk
associated with allowing consumer devices to participate in the domain.

:RUNSODFH-RLQ
Windows Server 2012 R2 allows users' personal devices to participate in
the domain. Both Windows­based devices and iOS®­based devices can be
registered in a Windows Server 2012 R2­based domain. A user’s personal
device can be registered in AD DS by using the Device Registration
Service (DRS) feature, which is part of AD FS. The DRS creates an AD DS
object for the device and issues a certificate to the device that
authenticates it. If both DRS and the Web Application Proxy are used, any
device with a working Internet connection can be workplace joined.

When a personal device is workplace joined, administrators can:

• Use the information about the device that is stored in AD DS and
configure conditional access.

• Provide a seamless experience to users who access company resources
from workplace joined devices.

• Provide a single sign­on (SSO) experience for accessing resources.

:HE$SSOLFDWLRQ3UR[\

Web Application Proxy is a new Remote Access role service that you can
use to give external users access to applications running on internal
servers from anywhere, at any time. Web Application Proxy can be used
with personal devices that are workplace joined, and with company­owned
laptops, smartphones, and other devices. Web Application Proxy gives
administrators more detailed control than a traditional virtual private
network (VPN), because users can access only applications that are
published to them through Web Application Proxy. You can apply
additional security by using Web Application Proxy to add more control on
the applications that the user can access. Web Application Proxy requires
KWWSVVNLOOSLSHFRPUHDGHUSW%5%RRN%RRN3ULQW9LHZIFHFEDDHDF"&KDSWHU1XPEHU  )RQW6L]H  )RQW7\SH YHUGDQD « 
 0RGXOH,QWURGXFWLRQWR$FWLYH'LUHFWRU\'RPDLQ6HUYLFHV

the use of AD FS and uses AD FS features such as SSO.

0XOWL)DFWRU$FFHVV&RQWURO
Workplace Join and Web Application Proxy both use AD FS, whose primary
function is to issue access tokens that contain claims. Claims­based
authentication is used extensively in cloud­based applications and
services. Claims­based authentication is similar to the traditional
authentication process used in a Windows domain; the primary functional
difference is that the claims­based security token includes only the user
identity and does not define what users can do. AD FS evaluates claims
requests that can be based on one or more factors. An application that
uses claims­based authentication is also known as relying party
application. AD FS can use more than 50 factors to authenticate a claim
request; the following table lists some of them.

Claim type Description

Email Address The user’s email address.

Name The user’s name, which must be unique.

Role A role assigned to the user.

Primary group security The primary group SID of the user.
identifier (SID)

Issuer The name of the certificate authority that issued the X.509
certificate.

The relying party application defines what the user is able to do based on
the information in the claim.

Multi­factor access control in AD FS provides several benefits, including:

• You can permit or deny access based on the user, device, location,
authentication state, or other factors by using the flexible and granular
per­application authorization policies.

KWWSVVNLOOSLSHFRPUHDGHUSW%5%RRN%RRN3ULQW9LHZIFHFEDDHDF"&KDSWHU1XPEHU  )RQW6L]H  )RQW7\SH YHUGDQD « 

 0RGXOH,QWURGXFWLRQWR$FWLYH'LUHFWRU\'RPDLQ6HUYLFHV

• You can create different rules for each application by using the
individual issuance authorization rules for relying party applications.

• You can deliver a rich UI experience for the common multi­factor
scenarios to users by using AD FS's web­based authentication with
customizable forms for some common scenarios.

• For more complex scenarios, you can use Windows PowerShell to
develop your rules by using the rich claims language and Windows
PowerShell support.

• You can tell the users why their request was denied, and not just display
a generic access denied message by using individual, customized
messages for relying party applications.

Additional Reading: For more information about how to manage
risk with multi­factor access control, refer to "Overview: Manage
Risk with Multi­Factor Access Control" at
http://go.microsoft.com/fwlink/?LinkID=331088.

0XOWL)DFWRU$XWKHQWLFDWLRQ

AD FS has multiple authentication methods that you can use to create
flexible authentication scenarios; these flexible authentication scenarios
allow your users to access company resources in multiple ways. You can
create a global authentication policy that applies to all access attempts or
you can create custom authentication rules for individual, AD FS­secured
resources. Custom, per­relying party application authentication rules do
not override global authentication rules. You can configure the
authentication rules to require only a primary authentication method, or to
use multi­factor authentication. When creating both global and per­relying
party application authentication rules, if either the global rule or
application­specific rule requires the use of multi­factor authentication,
then the user is required to use multi­factor authentication.

KWWSVVNLOOSLSHFRPUHDGHUSW%5%RRN%RRN3ULQW9LHZIFHFEDDHDF"&KDSWHU1XPEHU  )RQW6L]H  )RQW7\SH YHUGDQD « 

 0RGXOH,QWURGXFWLRQWR$FWLYH'LUHFWRU\'RPDLQ6HUYLFHV

When you create a global authentication policy you can configure the
following settings:

• Primary authentication method. By default, external connections use
Forms Authentication and internal connections use Windows
Authentication.

• Settings and methods for multi­factor authentication. You can configure
the conditions under which multi­factor authentication, and any
additional authentication method are used. You can use Certificate
Authentication, such as with a smart card, or other third­party
authentication methods.

• Whether device authentication is enabled. You can use this option with
Workplace Join. It allows you to configure the device as a secondary
authentication factor.

When configuring per­relying party application authentication rules, you
can configure the following settings:

• Whether the users need to provide credentials each time they sign in

• Multi­factor authentication settings for the relying party application

The parameters on which multi­factor authentication rules can be based
include the following:

• Users or groups in the AD DS directory

• The workplace joined status of devices

• The connection is from the intranet or the Internet

$:RUNIURP+RPH6FHQDULR
KWWSVVNLOOSLSHFRPUHDGHUSW%5%RRN%RRN3ULQW9LHZIFHFEDDHDF"&KDSWHU1XPEHU  )RQW6L]H  )RQW7\SH YHUGDQD « 
 0RGXOH,QWURGXFWLRQWR$FWLYH'LUHFWRU\'RPDLQ6HUYLFHV

These features work together to greatly enhance a work­from­home
scenario. In a typical work­from­home scenario that does not use the new
features described above, users are connected through a VPN to the
corporate network. They may be required to use two­factor
authentication, such as a smart card, but that protects only the
connection. Once users are connected, they can access anything they
could access from within the corporate network.

Security departments generally have several concerns about work­from­
home programs:

• Are the users accessing the corporate network from a secure system, or
are they on a less secure system such as a public library?

• Do the users have access to sensitive files, and are they downloading
them to their local system?

• How are users accessing line­of­business (LOB) apps?

• What are their screen saver settings? If they walk away from their
computer, how easily can someone else walk up and use it?

When you use the new Windows Server 2012 R2 features, you can allow
the users to work from home and still maintain secure control over what
they can access. The users use Workplace Join to add their personal
systems to the domain; then security settings can be configured for
several different scenarios. For example, certain files might be configured
to be accessible only from the users’ workplace joined computer, or
sensitive files might be configured to be accessible only from domain­
joined systems.

Similarly, LOB applications can be published through the Web Application
Proxy, by using the claims defined through multi­factor access control to
specify what the users are allowed to do in the applications. Additionally,
multi­factor authentication can be specified for certain applications to help

KWWSVVNLOOSLSHFRPUHDGHUSW%5%RRN%RRN3ULQW9LHZIFHFEDDHDF"&KDSWHU1XPEHU  )RQW6L]H  )RQW7\SH YHUGDQD « 

 0RGXOH,QWURGXFWLRQWR$FWLYH'LUHFWRU\'RPDLQ6HUYLFHV

ensure that the appropriate user is running the applications.

/HVVRQ2YHUYLHZRI'RPDLQ&RQWUROOHUV

Because domain controllers authenticate all users and computers in the
domain, domain controller deployment is critical for the network to
function correctly.

This lesson examines domain controllers, the sign­in process, and the
importance of DNS in that process. In addition, this lesson discusses the
purpose of the global catalog.

All domain controllers are essentially the same, with two exceptions:
RODCs contain a read­only copy of the AD DS database, while other
domain controllers have a read/write copy. There are also certain
operations that can be performed only on specific domain controllers
called operations masters, which are discussed at the end of this lesson.

/HVVRQ2EMHFWLYHV
After completing this lesson, you should be able to:

• Describe the purpose of domain controllers.

• Describe the purpose of the global catalog.

• Describe the AD DS sign­in process, and the importance of DNS and
SRV records in the sign­in process.

• Describe the functionality of SRV records.

• Explain the functions of operations masters.

:KDW,VD'RPDLQ&RQWUROOHU"

KWWSVVNLOOSLSHFRPUHDGHUSW%5%RRN%RRN3ULQW9LHZIFHFEDDHDF"&KDSWHU1XPEHU  )RQW6L]H  )RQW7\SH YHUGDQD « 

 0RGXOH,QWURGXFWLRQWR$FWLYH'LUHFWRU\'RPDLQ6HUYLFHV

A domain controller is a server that is configured to store a copy of the AD
DS directory database (Ntds.dit) and a copy of the SYSVOL folder. All
domain controllers except RODCs store a read/write copy of both Ntds.dit
and the SYSVOL folder. Ntds.dit is the database itself, and the SYSVOL
folder contains all the template settings and files for GPOs.

Domain controllers use a multimaster replication process; for most
operations, data can be modified on any domain controller, except on
RODCs. The AD DS replication service then synchronizes the changes that
have been made to the AD DS database to all other domain controllers in
the domain. In the original release of Windows Server 2012, you can use
the File Replication Service (FRS) or the newer Distributed File System
(DFS) Replication to replicate the SYSVOL folders. In Windows Server
2012 R2, you can use only DFS Replication.

Domain controllers host several other Active Directory­related services,
including the Kerberos authentication service, which User and Computer
accounts use for sign­in authentication; and the Key Distribution Center
(KDC), which issues the ticket­granting tickets (TGTs) to an account that
signs in to the AD DS domain. Optionally, you can configure domain
controllers to host a copy of the global catalog.

All users in an AD DS domain exist in the AD DS database, if the database
is unavailable for any reason all operations depending on domain­based
authentication will fail. As a best practice, an AD DS domain should have
at least two domain controllers. This makes the AD DS database more

KWWSVVNLOOSLSHFRPUHDGHUSW%5%RRN%RRN3ULQW9LHZIFHFEDDHDF"&KDSWHU1XPEHU  )RQW6L]H  )RQW7\SH YHUGDQD « 

 0RGXOH,QWURGXFWLRQWR$FWLYH'LUHFWRU\'RPDLQ6HUYLFHV

available, and spreads the authentication load during peak sign­in times.

Note: Two domain controllers should be considered an absolute
minimum.

When you deploy a domain controller in a branch office where physical
security is less than optimal, you can use additional measures to reduce
the impact of a breach of security. One option is to deploy an RODC.

The RODC contains a read­only copy of the AD DS database, and by
default, it does not cache any user passwords. You can configure the
RODC to cache the passwords for users in the branch office. If an RODC is
compromised, the potential loss of information is much lower than with a
full read/write domain controller. Another option is to use Windows
BitLocker® Drive Encryption to encrypt the domain controller hard drive.
If the hard drive is stolen, BitLocker encryption ensures that a malicious
user would have difficulty getting any useful information from it.

Note: BitLocker is a drive encryption system that is available for
Windows Server operating systems, and for certain Windows client
operating system versions. BitLocker securely encrypts the entire
operating system so that the computer cannot start without being
supplied a private key and (optionally) passing an integrity check. A
disk remains encrypted even if you transfer it to another computer.

:KDW,VWKH*OREDO&DWDORJ"

KWWSVVNLOOSLSHFRPUHDGHUSW%5%RRN%RRN3ULQW9LHZIFHFEDDHDF"&KDSWHU1XPEHU  )RQW6L]H  )RQW7\SH YHUGDQD « 

 0RGXOH,QWURGXFWLRQWR$FWLYH'LUHFWRU\'RPDLQ6HUYLFHV

The global catalog is a partial, read­only, searchable copy of all the
objects in the forest. It speeds up searches for objects that might be
stored on domain controllers in a different domain in the forest.

Within a single domain, the AD DS database on each domain controller
contains all the information about every object in that domain, but only a
subset of this information is replicated to global catalog servers in other
domains in the forest. Within a given domain, a query for an object is
directed to one of the domain controllers in that domain, but that query
does not include results about objects in other domains in the forest. For a
query to include results from other domains in the forest, you must query
a domain controller that is a global catalog server. By default, the first
domain controller in the forest root domain is the only hosted global
catalog server. To enhance searching across domains in a forest, you
should configure additional domain controllers to store a copy of the global
catalog.

The global catalog does not contain all attributes for each object. Instead,
the global catalog maintains the subset of attributes that are most likely to
be useful in cross­domain searches. These attributes include givenName,
displayName, and mail.

There are various reasons why you might perform a search against a
global catalog rather than a domain controller that is not a global catalog.
For example, when a server that is running Exchange Server receives an
incoming email, it needs to search for the recipient’s account so that it can
decide how to route the message. By automatically querying a global
catalog, the server that is running Exchange Server is able to locate the
recipient in a multiple domain environment. In another example, when a
user signs in to his or her Active Directory account, the domain controller
that performs the authentication must contact a global catalog to check
for universal group memberships before the user is authenticated.

In a single domain, all domain controllers should be configured to hold a
copy of the global catalog; however, in a multiple domain environment,
KWWSVVNLOOSLSHFRPUHDGHUSW%5%RRN%RRN3ULQW9LHZIFHFEDDHDF"&KDSWHU1XPEHU  )RQW6L]H  )RQW7\SH YHUGDQD « 
 0RGXOH,QWURGXFWLRQWR$FWLYH'LUHFWRU\'RPDLQ6HUYLFHV

the infrastructure master should not be a global catalog server unless all
the domain controllers in the domain are also global catalog servers.
Deciding which domain controllers should be configured to hold a copy of
the global catalog depends on replication traffic and network bandwidth.
Many organizations opt to make every domain controller a global catalog
server.

Question: Should a domain controller be a global catalog?

7KH$''66LJQLQ3URFHVV

When users sign in to AD DS, their system looks in DNS for service
resource (SRV) records to locate the nearest suitable domain controller.
SRV records specify information about available services, and are recorded
in DNS for all domain controllers. Clients can locate a suitable domain
controller to service their sign­in requests by using DNS lookups. If the
sign­in is successful, the local security authority (LSA) builds an access
token for the user that contains the SIDs for the user and any groups in
which the user is a member. The token provides the access credentials for
any process initiated by that user. For example, after signing in to AD DS,
a user runs Microsoft® Word and attempts to open a file. Word uses the
credentials in the user’s access token to verify the level of the user’s
permissions for that file.

Note: A SID is a unique string in the form of S­R­X­Y1­Y2­Yn­1­Yn.
For example, a user SID could be: S­1­5­21­322346712­
1256085132­1900709958­500.
KWWSVVNLOOSLSHFRPUHDGHUSW%5%RRN%RRN3ULQW9LHZIFHFEDDHDF"&KDSWHU1XPEHU  )RQW6L]H  )RQW7\SH YHUGDQD « 
 0RGXOH,QWURGXFWLRQWR$FWLYH'LUHFWRU\'RPDLQ6HUYLFHV

The parts of this SID are explained in this table.

Component Definition In the example

S Indicates that the string is S
a SID

R Revision level 1

X Identifier authority value 5 (NT Authority)

Y1­Y2­Yn­1 Domain identifier 21­322346712­1256085132­1900709958

Yn RID 500

Every user and computer account, and every group that you create has a
unique SID. They differ from each other only by virtue of the unique RID.
The SID in the example is a well­known SID for the domain administrator
account. Default accounts and groups use well­known SIDs. The Domain
Administrator account’s SID always ends with 500.

6LWHV

A client uses sites when it needs to contact a domain controller. It starts
by looking up SRV records in DNS. The response to the DNS query
includes:

• A list of the domain controllers in the same site as the client.

• A list of the domain controllers from the next closest site that does not
include an RODC, if there are no domain controllers available in the
same site, and the Try Next Closest Site Group Policy setting is enabled.

• A random list of available domain controllers in the domain, if no
domain controller is found in the next closest site.

Administrators can define sites in AD DS. When you are defining sites, you
should consider which parts of the network have good connectivity and
KWWSVVNLOOSLSHFRPUHDGHUSW%5%RRN%RRN3ULQW9LHZIFHFEDDHDF"&KDSWHU1XPEHU  )RQW6L]H  )RQW7\SH YHUGDQD « 
 0RGXOH,QWURGXFWLRQWR$FWLYH'LUHFWRU\'RPDLQ6HUYLFHV

bandwidth. For example, if a branch office is connected to the main data
center by an unreliable WAN link, you should define the branch office and
the data center as separate sites.

SRV records are registered in DNS by the Net Logon service that runs on
each domain controller. If the SRV records are not entered in DNS
correctly, you can trigger the domain controller to reregister those records
by restarting the Net Logon service on that domain controller. This process
reregisters only the SRV records; if you want to reregister the host (A)
record information in DNS, you must run ipconfig /registerdns from a
command prompt, just as you would for any other computer.

Although the sign­in process appears to the user as a single event, it is
actually made up of two parts:

• The user provides credentials, usually a user account name and
password, which are checked against the AD DS database. If the user
account name and password match the information that is stored in the
AD DS database, the user becomes an authenticated user and is issued
a TGT by the domain controller. At this point, the user does not have
access to any resources on the network.

• A secondary process in the background submits the TGT to the domain
controller and requests access to the local machine. The domain
controller issues a service ticket to the user, who then can interact with
the local computer. At this point in the process, the user is
authenticated to AD DS and signed in to the local machine.

When a user attempts to connect to another computer on the network
subsequently, the secondary process runs again, and the TGT is submitted
to the nearest domain controller. When the domain controller returns a
service ticket, the user can access the computer on the network, which
generates a logon event at that computer.

KWWSVVNLOOSLSHFRPUHDGHUSW%5%RRN%RRN3ULQW9LHZIFHFEDDHDF"&KDSWHU1XPEHU  )RQW6L]H  )RQW7\SH YHUGDQD « 

 0RGXOH,QWURGXFWLRQWR$FWLYH'LUHFWRU\'RPDLQ6HUYLFHV

Note: A domain­joined computer also logs on to AD DS when it
starts—a fact that often is overlooked. You do not see the
transaction when the computer uses its computer account name and
a password to log on to AD DS. Once authenticated, the computer
becomes a member of the Authenticated Users group. Although the
computer log­on event does not have visual confirmation in a GUI,
it is recorded in the event log. Also, if auditing is enabled, additional
events are recorded in the Security Log of the Event Viewer.

'HPRQVWUDWLRQ9LHZLQJWKH6595HFRUGVLQ'16
The demonstration shows you how to display the various types of SRV
records that the domain controllers register in DNS. These records are
crucial to how AD DS operates because they are used to find domain
controllers for signing in, changing passwords, and editing GPOs. Domain
controllers also use SRV records to find replication partners.

'HPRQVWUDWLRQ6WHSV9LHZWKH659UHFRUGVE\XVLQJ'160DQDJHU

1. On LON­DC1, sign in with the user account Adatum\Administrator
and the password Pa$$w0rd.

2. Open the DNS Manager window, and explore the underscore DNS
domains.

3. View the SRV records that are registered by domain controllers.

These records provide alternate paths so that clients can discover
them.

:KDW$UH2SHUDWLRQV0DVWHUV"

KWWSVVNLOOSLSHFRPUHDGHUSW%5%RRN%RRN3ULQW9LHZIFHFEDDHDF"&KDSWHU1XPEHU  )RQW6L]H  )RQW7\SH YHUGDQD « 

 0RGXOH,QWURGXFWLRQWR$FWLYH'LUHFWRU\'RPDLQ6HUYLFHV

Certain operations can be performed only by a specific role, on a specific
domain controller. A domain controller that holds one of these roles is
called an operations master (also known as a flexible single master
operations (FSMO) role).

There are five operations master roles, and all five can be located on a
single domain controller or they can be spread across several domain
controllers. By default the first domain control installed in a forest contains
all five roles; however, these roles can be moved once more domain
controllers are built. By allowing changes only on a single domain
controller the operations master roles help prevent conflicts in AD DS
caused by replication latency. When making changes to data held on one
of the operations master roles you must connect to the domain controller
that holds the role.

The five operations master roles are distributed as follows:

• Each forest has one schema master and one domain naming master.

• Each AD DS domain has one RID master, one infrastructure master, and
one primary domain controller (PDC) emulator.

)RUHVW2SHUDWLRQV0DVWHUV

The following are single master roles found in a forest:

KWWSVVNLOOSLSHFRPUHDGHUSW%5%RRN%RRN3ULQW9LHZIFHFEDDHDF"&KDSWHU1XPEHU  )RQW6L]H  )RQW7\SH YHUGDQD « 

 0RGXOH,QWURGXFWLRQWR$FWLYH'LUHFWRU\'RPDLQ6HUYLFHV

• Domain naming master. This is the domain controller that must be
contacted when you add or remove a domain, or when you make
domain name changes.

If the domain naming master is unavailable, you will not be able to add
additional domains to the forest.

• Schema master. This is the domain controller in which you make all
schema changes. To make changes you typically sign in to the schema
master as a member of both the Schema Admins and Enterprise Admins
groups. A user who is a member of both of these groups and who has
the appropriate permissions can also edit the schema by using a script.

If the schema master is unavailable, you will be unable to make changes
to the schema; this prevents installation of applications that require
schema changes, such as Microsoft® Exchange Server.

Note: The Windows PowerShell command Get­ADForest, from
the Active Directory module for Windows PowerShell, shows the
forest properties, including the current domain naming master
and schema master.

'RPDLQ2SHUDWLRQV0DVWHUV
The following are single master roles found in a domain:

• Relative ID (RID) master. Whenever an object is created in AD DS, the
domain controller where the object is created assigns the object a
unique identifying number known as a SID. To ensure that no two
domain controllers assign the same SID to two different objects, the RID
master allocates blocks of RIDs to each domain controller within the
domain to use when building the SID.

If the RID master is unavailable, you can experience difficulties adding
new objects to the domain. As domain controllers use their existing

KWWSVVNLOOSLSHFRPUHDGHUSW%5%RRN%RRN3ULQW9LHZIFHFEDDHDF"&KDSWHU1XPEHU  )RQW6L]H  )RQW7\SH YHUGDQD « 

 0RGXOH,QWURGXFWLRQWR$FWLYH'LUHFWRU\'RPDLQ6HUYLFHV

RID’s they will eventually run out of RID’s and be unable to create new
objects.

• Infrastructure master. This role maintains inter­domain object
references, such as when a group in one domain contains a member
from another domain. In this situation, the infrastructure master is
responsible for maintaining the integrity of this reference. For example,
when you look at the security tab of an object, the system looks up the
SIDs that are listed and translates them into names. In a multi­domain
forest, the infrastructure master looks up SIDs from other domains.

If the infrastructure master is unavailable, domain controllers that are
not global catalogs are unable to check universal group memberships
and are unable to authenticate users.

The infrastructure role should not reside on a global catalog server,
unless you have a single­domain forest. The exception is when you
follow best practices and make every domain controller a global catalog.
In that case, the infrastructure role is not required because every
domain controller knows about every object in the forest.

• PDC emulator master. The domain controller that holds the PDC
emulator is the time source for the domain. The PDC emulators in each
domain in a forest synchronize their time with the PDC emulator in the
forest root domain. You set the PDC emulator in the forest root domain
to synchronize with a reliable external time source.

The PDC emulator is also the domain controller that receives urgent
password changes. If a user’s password is changed, the information is
sent immediately to the domain controller holding the PDC emulator.
This means that if the user tries to sign in, even if the user had been
authenticated by a domain controller in a different location that had not
yet received the new password information, the domain controller in the
user’s current location will contact the domain controller holding the
PDC emulator to check for recent changes.

If the PDC emulator is unavailable, users may have trouble signing in
until their password change has replicated to all the domain controllers.
KWWSVVNLOOSLSHFRPUHDGHUSW%5%RRN%RRN3ULQW9LHZIFHFEDDHDF"&KDSWHU1XPEHU  )RQW6L]H  )RQW7\SH YHUGDQD « 
 0RGXOH,QWURGXFWLRQWR$FWLYH'LUHFWRU\'RPDLQ6HUYLFHV

The PDC emulator also is used when editing GPOs. When a GPO other
than a local GPO is opened for editing, the edited copy is stored on the
PDC emulator. This is done to prevent conflicts if two administrators
attempt to edit the same GPO at the same time on different domain
controllers. However, you can choose to use a specific domain controller
to edit GPOs. This is especially useful when editing GPOs in a remote
office with a slow connection to the PDC emulator.

Note: The Windows PowerShell command Get­ADDomain, from
the Active Directory module for Windows PowerShell, shows the
domain properties, including the current RID master, infrastructure
master and PDC emulator master.

Note: The global catalog is not one of the operations master roles.

Note: The five operations master roles are also known as:
• Schema operations master

• Domain naming operations master

• Infrastructure operations master

• RID operations master

• PDC emulator operations master

/HVVRQ,QVWDOOLQJD'RPDLQ&RQWUROOHU

Sometimes you need to install additional domain controllers in your
Windows Server 2012 domain. There are several reasons you might do
this:

KWWSVVNLOOSLSHFRPUHDGHUSW%5%RRN%RRN3ULQW9LHZIFHFEDDHDF"&KDSWHU1XPEHU  )RQW6L]H  )RQW7\SH YHUGDQD « 

 0RGXOH,QWURGXFWLRQWR$FWLYH'LUHFWRU\'RPDLQ6HUYLFHV

• You need additional resources at a site because existing domain
controllers are overworked.

• You are opening a new remote office that requires you to deploy one or
more domain controllers.

• You are creating an off­site disaster recovery location.

The installation method that you use varies with the circumstances.

This lesson examines several ways to install additional domain controllers.
These include installing AD DS on a local machine and on a remote server
by using Server Manager, installing AD DS on a Server Core installation,
and installing AD DS by using a snapshot of the AD DS database that is
stored on removable media. This lesson also examines how to upgrade a
domain controller from an older Windows operating system to Windows
Server 2012. Finally, the lesson discusses Windows Azure® Active
Directory (Windows Azure AD) and how to install a domain controller in
Windows Azure.

/HVVRQ2EMHFWLYHV
After completing this lesson, you should be able to:

• Explain how to install a domain controller by using the GUI.

• Explain how to install a domain controller on a Server Core installation
of Windows Server 2012.

• Explain how to upgrade a domain controller by using Install from Media.

• Explain how to install a domain controller by using Install from Media.

• Describe Windows Azure AD.

• Understand how to deploy domain controllers in Windows Azure.

KWWSVVNLOOSLSHFRPUHDGHUSW%5%RRN%RRN3ULQW9LHZIFHFEDDHDF"&KDSWHU1XPEHU  )RQW6L]H  )RQW7\SH YHUGDQD « 

 0RGXOH,QWURGXFWLRQWR$FWLYH'LUHFWRU\'RPDLQ6HUYLFHV

,QVWDOOLQJD'RPDLQ&RQWUROOHUIURP6HUYHU0DQDJHU

With Windows Server 2008 and earlier versions, it was common practice
to start the Active Directory Domain Services Installation Wizard with the
dcpromo tool to install domain controllers. But, beginning with Windows
Server 2012, the Active Directory Domain Services Installation Wizard is
part of Server Manager and dcpromo use is supported only for legacy
automation.

The domain controller promotion process is a two­step process. First, you
need to install the files that the domain controller role uses, and then you
install the domain controller role itself.

Note: The Active Directory Domain Services Installation Wizard
(which can be opened from the command line by typing
dcpromo.exe) is deprecated beginning with Windows Server 2012.

Before installing a new domain controller you need to have the answers to
the following questions.

Question Comments

Are you installing a new forest, a Answering this question determines what additional
new tree, or an additional domain information you might need, such as the parent domain
controller for an existing domain? name.

What is the DNS name for the AD When you create the first domain controller for a
DS domain? domain, you must specify the fully qualified domain
KWWSVVNLOOSLSHFRPUHDGHUSW%5%RRN%RRN3ULQW9LHZIFHFEDDHDF"&KDSWHU1XPEHU  )RQW6L]H  )RQW7\SH YHUGDQD « 
 0RGXOH,QWURGXFWLRQWR$FWLYH'LUHFWRU\'RPDLQ6HUYLFHV

name (FQDN). When you add a domain controller to an
existing domain or forest, the existing domain
information is provided in the wizard.

What will the forest functional level The forest functional level determines the forest
be set at? features that will be available and the supported domain
controller operating system. This also sets the minimum
domain functional level for the domains in the forest.

What will the domain functional The domain functional level determines the domain
level be set at? features that will be available and the supported domain
controller operating system.

Will the domain controller be a Your DNS must be functioning well to support AD DS.
DNS server?

Will the domain controller host the This option is selected by default for the first domain
global catalog? controller in a forest, and it cannot be changed.

Will the domain controller be a This option is not available for the first domain
RODC? controller in a forest.

What will the Directory Services This is required to be able to recovery the active
Restore Mode (DSRM) password directory database from a backup.
be?

What is the NetBIOS name for the When you create the first domain controller for a
AD DS domain? domain you must specify the NetBIOS name for the
domain.

Where will the database, log files, By default, the database and log files folder is
and SYSVOL folders be created? C:\Windows\NTDS. By default, the SYSVOL folder is
C:\Windows\SYSVOL.

When you run Server Manager on the local system, you install the AD DS
role. At the end of the initial installation process, the AD DS files are
installed but AD DS is not yet configured on that server.

To configure AD DS, you use the Active Directory Domain Services
Configuration Wizard. You start the wizard by clicking the AD DS link in
Server Manager. The wizard allows you to do one of the following:

• Add a domain controller to an existing domain

KWWSVVNLOOSLSHFRPUHDGHUSW%5%RRN%RRN3ULQW9LHZIFHFEDDHDF"&KDSWHU1XPEHU  )RQW6L]H  )RQW7\SH YHUGDQD « 

 0RGXOH,QWURGXFWLRQWR$FWLYH'LUHFWRU\'RPDLQ6HUYLFHV

• Add a new domain to an existing forest

• Add a new forest

Note: If you need to restore the AD DS database from a backup,
restart the domain controller in DSRM. The typical process to
enter DSRM is to restart the domain controller and press F8
during the initial boot process. When the domain controller starts
it is not running the AD DS services, instead, it is running as a
member server in the domain. To sign in to that server in the
absence of AD DS, use the Directory Services Recovery Mode
password.

Note: Windows Server 2012 supports cloning AD DS servers.
Before it is cloned, an AD DS sever must be a member of the
Cloneable Domain Controllers group. Additionally, the PDC emulator
must be online and available to the cloned DC, and must be running
Windows Server 2012.

,QVWDOOLQJD'RPDLQ&RQWUROOHURQD6HUYHU&RUH,QVWDOODWLRQ
RI:LQGRZV6HUYHU

A Windows Server 2012 server that is running Server Core does not have
the Server Manager GUI interface, so you need to use alternate methods
to install the files for the domain controller role and to install the domain
controller role itself. You can use Server Manager, Windows PowerShell, or
KWWSVVNLOOSLSHFRPUHDGHUSW%5%RRN%RRN3ULQW9LHZIFHFEDDHDF"&KDSWHU1XPEHU  )RQW6L]H  )RQW7\SH YHUGDQD « 
 0RGXOH,QWURGXFWLRQWR$FWLYH'LUHFWRU\'RPDLQ6HUYLFHV

Remote Server Administration Tools (RSAT) installed on a Windows 8.1
client.

To install the AD DS files on the server, you can do one of the following:

• Use Server Manager to connect remotely to the Server Core server and
install the AD DS

role as described in the previous topic.

• Use the Windows PowerShell command Install­WindowsFeature AD­
Domain­Services to install the files.

Once you install the AD DS files, you can complete everything except the
hardware installation and configuration in one of the following ways:

• Use Server Manager to start the Active Directory Domain Services
Configuration Wizard as described in the previous topic.

• Run the Windows PowerShell cmdlet Install­ADDSDomainController
and supply the required information on the command line.

Note: In Windows Server 2012 and Windows Server 2012 R2,
which have Windows PowerShell versions v3.0 and 4.0
respectively, running a cmdlet loads the cmdlets’ module
automatically if it is available. For example running the Install­
ADDSDomainController cmdlet loads the ADDSDeployment
module automatically into your current Windows PowerShell
session. If a module is not loaded or available you will receive an
error when you run the cmdlet, saying it is not a valid cmdlet.

You can still import the module that you need manually. However, you do
not need to do this in Windows Server 2012 and Windows Server 2012 R2,
unless there is an explicit need to do so, such as pointing to a particular
KWWSVVNLOOSLSHFRPUHDGHUSW%5%RRN%RRN3ULQW9LHZIFHFEDDHDF"&KDSWHU1XPEHU  )RQW6L]H  )RQW7\SH YHUGDQD « 
 0RGXOH,QWURGXFWLRQWR$FWLYH'LUHFWRU\'RPDLQ6HUYLFHV

source to install the module.

Additional Reading:
• For complete details about using the Windows PowerShell cmdlet
Install­ADDSDomainController refer to "Install Active Directory
Domain Services (Level 100)" at
http://go.microsoft.com/fwlink/?LinkID=331087.

• Refer to the links on the following webpage for more information:
AD DS Deployment Cmdlets in Windows PowerShell, at
http://go.microsoft.com/fwlink/?LinkID=331089.

8SJUDGLQJD'RPDLQ&RQWUROOHU

Note: The process for upgrading a domain controller is the same
whether you are upgrading the domain controller from Windows
Server 2008 or Windows Server 2008 R2 to Windows Server 2012
or Windows Server 2012 R2.

The process is also the same when you are upgrading the domain
controller from Windows Server 2012 to Windows Server 2012 R2.

You can upgrade to a Windows Server 2012 domain in one of two ways.

• You can upgrade the operating system on existing domain controllers
that are running Windows Server 2008.

KWWSVVNLOOSLSHFRPUHDGHUSW%5%RRN%RRN3ULQW9LHZIFHFEDDHDF"&KDSWHU1XPEHU  )RQW6L]H  )RQW7\SH YHUGDQD « 

 0RGXOH,QWURGXFWLRQWR$FWLYH'LUHFWRU\'RPDLQ6HUYLFHV

• You can add Windows Server 2012 servers as domain controllers in a
domain that already has domain controllers running previous versions of
Windows Server.

Of the two methods, the second is preferable because when you finish,
you have a clean installation of the Windows Server 2012 operating
system and the AD DS database. Whenever a new domain controller is
added, the domain DNS records are updated and clients will find and use
this domain controller immediately.

8SJUDGLQJWR:LQGRZV6HUYHU
To upgrade an AD DS domain that is running at an older Windows Server
functional level to an AD DS domain running at Windows Server 2012
functional level, you must first upgrade all the domain controllers to the
Windows Server 2012 operating system. You can perform this upgrade by
upgrading all of the existing domain controllers to Windows Server 2012,
or by introducing new domain controllers that are running Windows Server
2012, and then phasing out the existing domain controllers.

An in­place operating system upgrade does not perform automatic schema
and domain preparation. To perform an in­place upgrade of a computer
that has the AD DS role installed, you must first use the command­line
commands adprep.exe /forestprep and adprep.exe /domainprep to
prepare the forest and domain. The adprep tool is included on the
installation media in the \Support\Adprep folder. There are no additional
configuration steps after that point, and you can continue to run the
Windows Server 2012 operating system upgrade.

When you promote a Windows Server 2012 server to be a domain
controller in an existing domain, and you are signed in as a member of the
Schema Admins and Enterprise Admins groups, the AD DS schema
updates automatically to Windows Server 2012. In this scenario, you do
not need to run the adprep commands before you start the installation.

KWWSVVNLOOSLSHFRPUHDGHUSW%5%RRN%RRN3ULQW9LHZIFHFEDDHDF"&KDSWHU1XPEHU  )RQW6L]H  )RQW7\SH YHUGDQD « 

 0RGXOH,QWURGXFWLRQWR$FWLYH'LUHFWRU\'RPDLQ6HUYLFHV

'HSOR\LQJ:LQGRZV6HUYHU'RPDLQ&RQWUROOHUV
To upgrade the operating system of a Windows Server 2008 domain
controller to Windows Server 2012, perform the following procedure:

1. Insert the installation disk for Windows Server 2012, and then run
Setup.

The Windows Setup Wizard will open.

2. After the Language Selection page, click Install now.

3. After the Operating System Selection page and the License
Acceptance page, on the Which type of installation do you
want? page, click Upgrade: Install Windows and keep files,
settings, and applications.

Note: With this type of upgrade, you do not need to preserve
users’ settings and reinstall applications; everything is
upgraded in­place. Remember to check for hardware and
software compatibility before you perform an upgrade.

To introduce a clean install of Windows Server 2012 as a domain
controller, perform the following steps:

1. Deploy and configure a new installation of Windows Server 2012 and
join it to the domain.

2. Promote the new server to be a domain controller in the domain by
using Server Manager 2012 or one of the other methods described
previously.

3. Update client DNS settings that refer to the old domain controller(s)
to use the new domain controller.

KWWSVVNLOOSLSHFRPUHDGHUSW%5%RRN%RRN3ULQW9LHZIFHFEDDHDF"&KDSWHU1XPEHU  )RQW6L]H  )RQW7\SH YHUGDQD « 

 0RGXOH,QWURGXFWLRQWR$FWLYH'LUHFWRU\'RPDLQ6HUYLFHV

,QVWDOOLQJD'RPDLQ&RQWUROOHUE\8VLQJ,QVWDOOIURP0HGLD

If you have an intervening network that is slow, unreliable, or costly, you
might find it necessary to add another domain controller at a remote
location or branch office. In this scenario, it is often better to deploy AD
DS to a server by using the Install from Media (IFM) method rather than
deploying it over the network.

For example, if you connect to a server that is in a remote office and use
Server Manager to install AD DS, the entire AD DS database and the
SYSVOL folder will be copied to the new domain controller over a
potentially unreliable WAN connection. As an alternative, and to
significantly reduce the amount of traffic moving over the WAN link, you
can make a backup of AD DS (perhaps to a USB drive) and take this
backup to the remote location. When you are at the remote location and
run Server Manager to install AD DS, you can select the option to Install
From Media. Most of the copying then is done locally, and the WAN link is
used only for security traffic and to ensure that the new domain controller
receives any changes that were made to the central AD DS after you
created the IFM backup.

To install a domain controller by using IFM, browse to a domain controller
that is not an RODC. Use the ntdsutil command­line tool to create a
snapshot of the AD DS database, and then copy the snapshot to the
server that will be promoted to a domain controller. Use Server Manager
to promote the server to a domain controller by selecting the Install From
Media option, and then providing the local path to the IFM directory that
KWWSVVNLOOSLSHFRPUHDGHUSW%5%RRN%RRN3ULQW9LHZIFHFEDDHDF"&KDSWHU1XPEHU  )RQW6L]H  )RQW7\SH YHUGDQD « 
 0RGXOH,QWURGXFWLRQWR$FWLYH'LUHFWRU\'RPDLQ6HUYLFHV

you created previously.

The procedure is as follows:

1. On the full domain controller, at an administrative command prompt,
type the following commands (where C:\IFM is the destination
directory that will contain the snapshot of the AD DS database):

Ntdstil
Activate instance ntds
Ifm
create SYSVOL full C:\IFM

2. On the server that you are promoting to a domain controller, perform
the following steps:

a. Use Server Manager to add the AD DS role.

b. Wait while the AD DS files install.

c. In Server Manager, click the Notification icon and under Post­
Deployment Configuration, click Promote this server to a
domain controller.

The Active Directory Domain Services Configuration Wizard runs.

d. On the appropriate page of the wizard, select the option to install
from IFM, and then provide the local path to the snapshot
directory.

3. AD DS then installs from the snapshot.

4. When the domain controller restarts, it contacts other domain
controllers in the domain and updates AD DS with any changes that
were made since the snapshot was created.

KWWSVVNLOOSLSHFRPUHDGHUSW%5%RRN%RRN3ULQW9LHZIFHFEDDHDF"&KDSWHU1XPEHU  )RQW6L]H  )RQW7\SH YHUGDQD « 

 0RGXOH,QWURGXFWLRQWR$FWLYH'LUHFWRU\'RPDLQ6HUYLFHV

Additional Reading: For more information about the steps
required to install AD DS, refer to "Install Active Directory Domain
Services (Level 100)" at http://go.microsoft.com/fwlink/?
LinkID=266739.

:KDW,V:LQGRZV$]XUH$FWLYH'LUHFWRU\"

Windows Azure Active Directory (Windows Azure AD) is a service that
provides identity management and access control for your cloud­based
applications. You use Windows Azure AD when you subscribe to Microsoft
Office® 365, Exchange Online, Microsoft SharePoint® Online, or Microsoft
Lync® Online. Additionally, you can use Windows Azure AD with Windows
Azure Apps or Internet connected apps that require authentication. You
can synchronize your on­premises AD DS with Windows Azure AD to allow
your users to use the same identity across both internal resources and
cloud­based resources.

Windows Azure AD does not include all the services available with an on­
premises Windows Server 2012 Active Directory solution. Windows Server
2012 Active Directory supports five different services:

• Active Directory Domain Service (AD DS)

• Active Directory Lightweight Directory Service (AD LDS)

• Active Directory Federation Service (AD FS)

• Active Directory Certificate Service (AD CS)
KWWSVVNLOOSLSHFRPUHDGHUSW%5%RRN%RRN3ULQW9LHZIFHFEDDHDF"&KDSWHU1XPEHU  )RQW6L]H  )RQW7\SH YHUGDQD « 
 0RGXOH,QWURGXFWLRQWR$FWLYH'LUHFWRU\'RPDLQ6HUYLFHV

• Active Directory Rights Management Service (AD RMS)

Windows Azure AD includes only:

• Windows Azure AD, which supports identity management in the cloud.

• Windows Azure Access Control Service, which supports federation with
external identity management services, including your on­premises AD
DS.

Windows Azure AD does not support Active Directory Integrated
Applications. For applications to integrate with Windows Azure AD, they
must be written for Windows Azure AD.

Note: You do not create AD DS domain controllers in Windows
Azure AD. You can use it as a stand­alone service or integrate it
with your existing AD infrastructure. However, you are not creating
or managing the Windows Azure AD systems. Instead, you are
managing your users in the Windows Azure AD service.

'HSOR\LQJ'RPDLQ&RQWUROOHUVLQ:LQGRZV$]XUH

Windows Azure also provides Infrastructure as a Service (IaaS), which
allows you to run services and infrastructure on the Windows Azure
platform. Specifically, Windows Azure IaaS provides storage, networking,
KWWSVVNLOOSLSHFRPUHDGHUSW%5%RRN%RRN3ULQW9LHZIFHFEDDHDF"&KDSWHU1XPEHU  )RQW6L]H  )RQW7\SH YHUGDQD « 
 0RGXOH,QWURGXFWLRQWR$FWLYH'LUHFWRU\'RPDLQ6HUYLFHV

database hosting, and virtual machine hosting services. All the
considerations for virtualizing applications and servers in on­premises
infrastructure apply when you deploy the same applications and servers to
Windows Azure.

Note: Windows Server 2012 Active Directory, which has been
deployed in Windows Azure, is not the same as Windows Azure AD.

Windows Server 2012 Active Directory, which has been deployed in
Windows Azure, is your own roles and services (AD DS, AD LDS, AD FS,
AD CS, and AD RMS) that you have deployed into Windows Azure.

When you deploy AD DS in Windows Azure, you are responsible for
maintaining everything except the hardware.

Windows Azure AD is a service that Microsoft has configured in the cloud.
It does not have all of the functions that an on­premises AD DS has; it is
concerned primarily with identity management and access control.

With Windows Azure AD, you are responsible only for managing your data.

Windows Server 2012 is designed to make it easy for you to integrate it
into cloud­based systems. One of the most important decisions that an
administrator must make is whether the organization should use public­
cloud IaaS or private­cloud virtualization technology, or continue to use
physical servers.

When you implement AD DS in Windows Azure consider the following:

• Rollback. While Windows Azure does not provide rollback services to
customers, Windows Azure servers may be rolled back as a regular part
of maintenance. However, when an AD DS system is rolled back,
duplicate Update Sequence Numbers (USNs) could be created, and
because domain controller replication depends on USNs, duplicate
KWWSVVNLOOSLSHFRPUHDGHUSW%5%RRN%RRN3ULQW9LHZIFHFEDDHDF"&KDSWHU1XPEHU  )RQW6L]H  )RQW7\SH YHUGDQD « 
 0RGXOH,QWURGXFWLRQWR$FWLYH'LUHFWRU\'RPDLQ6HUYLFHV

numbers could cause problems. To prevent this, Windows Server 2012
Active Directory introduced a new identifier named VM­Generation ID.
VM­Generation ID can detect a rollback, and it prevents the virtualized
domain controller from replicating changes outbound until the
virtualized AD DS has converged with the other domain controllers in
the domain.

• Virtual machine limitations. Windows Azure virtual machines are limited
to 14 GB of RAM and one network adapter. Also, the checkpoint feature
is not supported.

When you deploy Windows Server 2012 Active Directory on Windows
Azure virtual machines, the deployment is subject to the same guidelines
as running AD DS on­premises in a virtual machine. These guidelines
include the following:

• Time Synchronization. A Windows­based AD DS domain infrastructure
relies loosely on all communicating machines having the correct time.
When domain controller clocks and domain member clocks have a time
difference of more than five minutes, clients cannot sign in or access
network resources. Therefore, Windows has the Windows Time Service
(w32time). This service ensures that the time is synchronized across the
domain in the following manner:

o The PDC emulator of the root domain should be configured with an
external time source, such as an Internet time provider by using the
network time protocol (NTP).

o Domain controllers use the PDC emulator from their own domain or
from their parent domain.

o Domain members obtain the time from their domain controller.

Synchronizing the time across the domain is not as easy in virtualized
environments as on physical computers. The virtualization engine
regulates the use of the virtualization host's central processing units

KWWSVVNLOOSLSHFRPUHDGHUSW%5%RRN%RRN3ULQW9LHZIFHFEDDHDF"&KDSWHU1XPEHU  )RQW6L]H  )RQW7\SH YHUGDQD « 

 0RGXOH,QWURGXFWLRQWR$FWLYH'LUHFWRU\'RPDLQ6HUYLFHV

(CPUs) and distributes the system's resources among the virtual
machines as needed. The operating system clock relies on stable CPU
cycles, which do not exist in virtual environments. Virtualization engines
perform time synchronization with the guest computers by default.
When virtualization hosts do not participate in time synchronization, the
domain time and the virtualization host time will likely become out of
synchronization. While the physical computers participate in the time
synchronization, virtual machines are reset to the time on the
virtualization host. To avoid this problem, you must configure the
virtualization host to participate in time synchronization or disable the
synchronization to the virtual domain controllers.

• Single Point of Failure. Your AD DS domain controllers are the most
important pieces of your infrastructure. If they fail, users are unable to
sign in, access resources or applications, and certain services may not
run as well as they would normally. So it is very important that your AD
DS domain controllers are set up so that they are not a single point of
failure.

When you virtualize domain controllers on Windows Azure, you do not
control the physical infrastructure, so you cannot use the same strategy
to avoid a single point of failure as for an on­premises installation. To
install multiple domain controllers on Windows Azure and ensure they
do not share any hardware, you can install each domain controller into a
different Windows Azure datacenter.

/DE,QVWDOOLQJ'RPDLQ&RQWUROOHUV

6FHQDULR
Your manager has asked you to install a new domain controller in the
datacenter to improve sign­in performance and to create a new domain
controller for a branch office by using IFM.

2EMHFWLYHV
KWWSVVNLOOSLSHFRPUHDGHUSW%5%RRN%RRN3ULQW9LHZIFHFEDDHDF"&KDSWHU1XPEHU  )RQW6L]H  )RQW7\SH YHUGDQD « 
 0RGXOH,QWURGXFWLRQWR$FWLYH'LUHFWRU\'RPDLQ6HUYLFHV

After performing this lab, you should be able to:

• Install a domain controller.

• Install a domain controller by using IFM.

/DE6HWXS

Estimated Time: 50 minutes

     

Virtual machines 20410D­LON­DC1 
20410D­LON­SVR1 
20410D­LON­RTR 
20410D­LON­SVR2

User name Adatum\Administrator

Password Pa$$w0rd

For this lab, you will use the available virtual machine environment. Before
you begin the lab, you must complete the following steps:

1. On the host computer, start Hyper­V Manager.

2. In Hyper­V Manager, click 20410D­LON­DC1, and then in the
Actions pane, click Start.

3. In the Actions pane, click Connect.

Wait until the virtual machine starts.

4. Sign in by using the following credentials:

o User name: Administrator

o Password: Pa$$w0rd

o Domain: Adatum

KWWSVVNLOOSLSHFRPUHDGHUSW%5%RRN%RRN3ULQW9LHZIFHFEDDHDF"&KDSWHU1XPEHU  )RQW6L]H  )RQW7\SH YHUGDQD « 

 0RGXOH,QWURGXFWLRQWR$FWLYH'LUHFWRU\'RPDLQ6HUYLFHV

5. Repeat steps 2 through 4 for 20410D­LON­SVR1, 20410D­LON­
RTR, and 20410D­LON­SVR2.

([HUFLVH,QVWDOOLQJD'RPDLQ&RQWUROOHU

6FHQDULR

Users are experiencing slow sign­ins in London during peak use times. The
server team has determined that the domain controllers are overwhelmed
when many users authenticate simultaneously. To improve sign­in
performance, you will add a new domain controller in the London data
center.

The main tasks for this exercise are as follows:

1. Add an Active Directory Domain Services (AD DS) role to a member
server.

2. Configure a server as a domain controller.

3. Configure a server as a global catalog server.

7DVN$GGDQ$FWLYH'LUHFWRU\'RPDLQ6HUYLFHV$''6UROHWRDPHPEHU

VHUYHU

1. On LON­DC1, in Server Manager, add LON­SVR1 to the server list.

2. Add the Active Directory Domain Services server role to LON­
SVR1. Add all required features as prompted.

Installation will take several minutes.

3. When the installation completes, click Close to close the Add Roles
and Features Wizard.

KWWSVVNLOOSLSHFRPUHDGHUSW%5%RRN%RRN3ULQW9LHZIFHFEDDHDF"&KDSWHU1XPEHU  )RQW6L]H  )RQW7\SH YHUGDQD « 

 0RGXOH,QWURGXFWLRQWR$FWLYH'LUHFWRU\'RPDLQ6HUYLFHV

7DVN&RQILJXUHDVHUYHUDVDGRPDLQFRQWUROOHU

• On LON­DC1, use Server Manager to promote LON­SVR1 to a domain
controller, and choose the following options:

o Add a domain controller to the existing Adatum.com domain

o Use the credentials Adatum\Administrator with the password
Pa$$w0rd

o For Domain Controller Options, install the Domain Name System,
but remove the selection to install the global catalog

o The DSRM password is Pa$$w0rd

o For all other options, use the default options

7DVN&RQILJXUHDVHUYHUDVDJOREDOFDWDORJVHUYHU

1. Sign in to LON­SVR1 as Adatum\Administrator with the password
Pa$$w0rd.

2. Use Active Directory Sites and Services to make LON­SVR1 a global
catalog server.

Results: After completing this exercise, you will have explored Server
Manager and promoted a member server to be a domain controller.

([HUFLVH,QVWDOOLQJD'RPDLQ&RQWUROOHUE\8VLQJ,)0

6FHQDULR

Your manager has assigned you to manage one of the new branch offices
that are being configured. A faster network connection will be installed in
KWWSVVNLOOSLSHFRPUHDGHUSW%5%RRN%RRN3ULQW9LHZIFHFEDDHDF"&KDSWHU1XPEHU  )RQW6L]H  )RQW7\SH YHUGDQD « 
 0RGXOH,QWURGXFWLRQWR$FWLYH'LUHFWRU\'RPDLQ6HUYLFHV

a few weeks. Until then, network connectivity will be very slow.

The branch office requires a domain controller to support local sign­ins. To
avoid problems with the slow network connection, you will use IFM to
install the domain controller in the branch office.

The main tasks for this exercise are as follows:

1. Use the ntdsutil tool to generate IFM.

2. Add the AD DS role to the member server.

3. Use IFM to configure a member server as a new domain controller.

7DVN8VHWKHQWGVXWLOWRROWRJHQHUDWH,)0

1. On LON­DC1, open an administrative command­line interface, and
then use ntdsutil to create an IFM backup of both the AD DS
database and the SYSVOL folder. The commands to create the backup
are as follows:

Ntdsutil
Activate instance ntds
Ifm
Create sysvol full c:\ifm

2. Wait for the IFM command to complete, and then close the command
prompt.

7DVN$GGWKH$''6UROHWRWKHPHPEHUVHUYHU

1. Switch to LON­SVR2, and sign in as Adatum\Administrator with

KWWSVVNLOOSLSHFRPUHDGHUSW%5%RRN%RRN3ULQW9LHZIFHFEDDHDF"&KDSWHU1XPEHU  )RQW6L]H  )RQW7\SH YHUGDQD « 

 0RGXOH,QWURGXFWLRQWR$FWLYH'LUHFWRU\'RPDLQ6HUYLFHV

the password Pa$$w0rd.

2. Open a command prompt, and then map the drive letter K: to
\\LON­DC1\C$\IFM.

3. Use Server Manager to install the AD DS server role on LON­SVR2.

7DVN8VH,)0WRFRQILJXUHDPHPEHUVHUYHUDVDQHZGRPDLQFRQWUROOHU

1. On LON­SVR2, at the command prompt, copy the IFM backup from K:
to C:\ifm.

2. On LON­SVR2, use Server Manager with the following options to
perform the post­deployment configuration of AD DS:

o Add a domain controller to the existing Adatum.com domain

o Use Adatum\Administrator with the password Pa$$w0rd for
credentials

o Use Pa$$w0rd for the DSRM password

o Use the IFM media to configure and install AD DS. Use the
location C:\IFM for the IFM media

o Accept all other defaults

3. Restart LON­SVR2 to complete the AD DS installation.

Results: After completing this exercise, you will have installed an
additional domain controller for the branch office by using IFM.

/DE5HYLHZ4XHVWLRQV

Question: Why did you use Server Manager and not dcpromo when
you promoted a server to be a domain controller?

KWWSVVNLOOSLSHFRPUHDGHUSW%5%RRN%RRN3ULQW9LHZIFHFEDDHDF"&KDSWHU1XPEHU  )RQW6L]H  )RQW7\SH YHUGDQD « 

 0RGXOH,QWURGXFWLRQWR$FWLYH'LUHFWRU\'RPDLQ6HUYLFHV

Question: What are the three operations masters found in each
domain?

Question: What are the two operations masters that are present in a
forest?

Question: What is the benefit of performing an IFM install of a
domain controller?

3UHSDUHIRUWKHQH[WPRGXOH

When you have completed the lab, revert the virtual machines to their
initial state. To do this, complete the following steps:

1. On the host computer, start Hyper­V Manager.

2. In the Virtual Machines list, right­click 20410D­LON­DC1, and
then click Revert.

3. In the Revert Virtual Machine dialog box, click Revert.

4. Repeat steps 2 and 3 for 20410D­LON­SVR1, 20410D­LON­RTR,
and 20410D­LON­SVR2.

0RGXOH5HYLHZDQG7DNHDZD\V

5HYLHZ4XHVWLRQV
Question: What are the two main purposes of OUs?

Question: Why would you need to deploy an additional tree in the AD
DS forest?

Question: Which deployment method would you use if you had to
KWWSVVNLOOSLSHFRPUHDGHUSW%5%RRN%RRN3ULQW9LHZIFHFEDDHDF"&KDSWHU1XPEHU  )RQW6L]H  )RQW7\SH YHUGDQD « 
 0RGXOH,QWURGXFWLRQWR$FWLYH'LUHFWRU\'RPDLQ6HUYLFHV

install an additional domain controller in a remote location that had a
limited WAN connection?

Question: If you needed to promote a Server Core installation of
Windows Server 2012 to be a domain controller, which tool or tools
could you use?

Question: If you wish to run a Domain Controller in the cloud, which
service should you consider using, Windows Azure AD or Windows
Azure IaaS virtual machines?

KWWSVVNLOOSLSHFRPUHDGHUSW%5%RRN%RRN3ULQW9LHZIFHFEDDHDF"&KDSWHU1XPEHU  )RQW6L]H  )RQW7\SH YHUGDQD «