Windows Server 2022: Installazione ruolo Servizi di dominio Active Directory

Per creare un controller di dominio Windows, è necessario installare e configurare il ruolo Servizi di dominio Active Directory (Active Directory Domain Services o, abbreviato, AD DS). AD DS installa Active Directory e il suo database, creando una fonte centrale di autenticazione e semplificando notevolmente la gestione degli utenti e delle risorse IT. 

Servizi di dominio Active Directory archivia le informazioni su utenti, computer e altri dispositivi di rete, agevolando gli amministratori nella gestione delle informazioni in modo sicuro e facilitando la condivisione delle risorse e la collaborazione tra gli utenti.

In un'infrastruttura è consigliabile installare almeno due Domain Controller per ciascun dominio in modo da garantire l'accesso degli utenti alla rete anche in caso di guasto di uno dei server.

Servizi di dominio Active Directory richiede la presenza di un server DNS all'interno della rete. Se non è presente alcun server DNS, durante l'installazione del ruolo Servizi di dominio Active Directory verrà chiesto di installare anche il ruolo Server DNS.

Nel caso di creazione di un nuovo dominio, conviene procedere prima all'installazione del ruolo Servizi di dominio Active Directory e successivamente dei ruoli di Server DNS e Server DHCP (come visto negli articoli riguardanti Windows Server 2019). In questa serie di articoli relativi a Windows Server 2022 ho voluto adottare un approccio diverso per coprire anche il caso in cui il controller di dominio venga installato successivamente.

Il ruolo Servizi di dominio Active Directory, come visto per gli altri ruoli,  può essere installato sia tramite GUI sia tramite PowerShell. In questo articolo verrà mostrato anche come generare un file XML per utilizzarlo nella creazione di altri controller di dominio.

Installazione Servizi di dominio Active Directory tramite GUI

Da Server Manager, nella sezione Dashboard, cliccare sul link Aggiungi ruoli e funzionalità (o in alternativa, dal menu Gestione selezionare Aggiungi ruoli e funzionalità).

FIG 1 - Server Manager

Verrà avviato il Wizard Aggiunta guidata ruoli e funzionalità che ci guiderà nell'installazione del ruolo. Nella finestra Prima di iniziare vengono fornite alcune informazioni preliminari sull'installazione/rimozione dei ruoli e funzionalità. Cliccare su Avanti.

FIG 2 - Aggiunta guidata ruoli e funzionalità

Nel passaggio successivo, Selezione tipo di installazione, viene chiesto di selezionare il tipo di installazione desiderato: è possibile installare ruoli e funzionalità in un computer fisico o una macchina virtuale in esecuzione oppure in un disco rigido virtuale offline. In questa fase possiamo scegliere tra installare ruoli e funzionalità su un server oppure installare una specifica risorsa sull'infrastruttura VDI. Selezionare l'opzione Installazione basata su ruoli o basata su funzionalità e cliccare su Avanti per proseguire.

FIG 3 - Selezione tipo di installazione

Nella schermata successiva, Selezione server di destinazione, selezionare il server in cui andrà installato il ruolo (in questo caso è disponibile un solo server) quindi proseguire cliccando su Avanti.

FIG 4 - Selezione server di destinazione

Nella schermata Selezione ruoli server, selezionate Servizi di dominio Active Directory.

FIG 5 - Selezione ruoli server

Una finestra di dialogo avvisa l'utente della necessità di installare, se non presenti, ulteriori funzionalità per il corretto funzionamento del ruolo selezionato. Cliccare su Aggiungi funzionalità.

FIG 6 - Aggiungere le funzionalità necessarie per Servizi di dominio Active Directory

Si ritorna alla schermata precedente. Cliccare su Avanti per proseguire.

FIG 7 - Selezione ruoli server

Nella finestra Selezione funzionalità è possibile selezionare ulteriori funzionalità da installare. Proseguire cliccando su Avanti.

FIG 8 - Selezione funzionalità

Nella schermata Servizi di dominio Active Directory vengono visualizzate alcune informazioni e note relative al ruolo che si sta installando. Cliccare su Avanti.

FIG 9 - Servizio di dominio Active Directory

In Conferma selezioni per l'installazione viene mostrato un resoconto di tutte le funzionalità che verranno installate. É possibile selezionare la casella Riavvia automaticamente il server di destinazione se necessario. In questo modo se dopo l'installazione del ruolo e delle funzionalità dovesse essere necessario un riavvio del sistema, questo verrà eseguito automaticamente. Cliccare sul pulsante Installa per proseguire e attendere che l'installazione venga portata a termine.

FIG 10 - Conferma selezioni per l'installazione

Al termine dell'installazione di AD DS, la schermata presenta un link Esporta impostazioni di configurazione nella parte inferiore. Se dobbiamo installare altri controller di dominio, è possibile cliccare su tale link ed esportare il file contenente le impostazioni di configurazione in formato XML (FIG 12).

FIG 11 - Stato installazione

FIG 12 - Esporta impostazioni di configurazione

Come visibile in FIG 13 il file XML contiene le impostazioni di configurazione del controller di dominio. Per utilizzare tale file per la creazione di un nuovo controller di dominio basterà richiamarlo tramite il seguente comando PowerShell

 Install-WindowsFeature -ConfigurationFilePath <percorso e nome del file XML>  

FIG 13  - File XML contenente impostazioni di configurazione

Terminata l'installazione è possibile promuovere il server a controller di dominio cliccando sul link Alza di livello il server a controller di dominio. Tale operazione verrà illustrata in dettaglio in un prossimo articolo.

FIG 14 - Alza di livello il server a controller di dominio

Cliccare su Chiudi per chiudere la finestra della procedura guidata.

FIG 15 - Installazione terminata

Installazione Servizi di dominio Active Directory tramite PowerShell

Per installare il ruolo Servizi di dominio Active Directory tramite PowerShell basta eseguire il comando

 Install-WindowsFeature –Name AD-Domain-Services   

FIG 16 - Installazione Servizi di dominio Active Directory tramite PowerShell

Windows Server 2022: Configurazione Server DHCP

Terminata l'installazione del ruolo Server DHCP è necessario procedere alla sua configurazione. Dopo l'installazione, accanto al link delle notifiche (l'icona della bandierina) di Server Manager apparirà un triangolo giallo con un punto esclamativo ad indicare che c'è un'operazione da portare a termine.

Cliccare sulla bandierina delle notifiche quindi sul link Completa configurazione DHCP.

FIG 1 - Server Manager

Verrà avviata la configurazione guidata post-installazione DHCP con una breve descrizione delle operazioni da eseguire. Cliccare su Avanti.

FIG 2- Configurazione guidata post-installazione DHCP

Dato che al momento non è ancora disponibile il servizio di Dominio Active Directory, selezionare l'opzione Ignora Autorizzazione Active Directory e cliccare su Commit.

FIG 3 - Autorizzazione

Nel caso compaia una finestra di errore ignorarla e chiuderla. Dato che non è ancora installato il ruolo di Active Directory, il server DHCP non potrà distribuire alcun indirizzo. Al termine dell'installazione cliccare sul pulsante Chiudi.

FIG 4 - Riepilogo

Dal menu Strumenti di Server Manager cliccare su DHCP.

FIG 5 - Server Manager, Strumenti

Fare clic sulla freccia accanto al nome del server e poi sulla freccia accanto a IPv4.

FIG 6 - DHCP

Fare clic con il pulsante destro del mouse su IPv4 e scegliere Nuovo ambito. Un ambito DHCP definisce gli indirizzi IP disponibili per il leasing ("l'affitto") ai sistemi che si trovano sulla sottorete definita. Per ogni sottorete della rete è necessario definire un ambito DHCP separato prima di poter assegnare indirizzi IP ai sistemi che si trovano in quella sottorete.

FIG 7 - Creazione Nuovo ambito

Nella finestra di benvenuto alla procedura guidata del nuovo ambito, scegliere Avanti.

FIG 8 - Creazione guidata ambito

Nella schermata Nome dell'ambito, è possibile lasciare vuota la descrizione e fare clic su Avanti. Per questo esempio, all'ambito verrà assegnato il nome Skyscraper1.

FIG 9 - Nome ambito

Nella finestra successiva, Intervallo indirizzi IP, inserire il pool di indirizzi che si intende far gestire al server DHCP e la maschera di sottorete, quindi cliccare su Avanti per proseguire. Per questo esempio è stato creato un ambito molto piccolo. Normalmente l'ambito sarebbe molto più ampio, potenzialmente un'intera subnet.

FIG 10 - Intervallo indirizzi IP

Nella schermata Aggiungi esclusioni e ritardo, digitare gli indirizzi (o intervalli di indirizzi) che non dovranno essere distribuiti dal server. È possibile inserire un indirizzo di router o altri indirizzi di dispositivi che esistono nell'ambito ma che non devono essere assegnati da questo server. Inserito l'indirizzo o l'intervallo di indirizzi da escludere cliccare su Aggiungi. Una volta specificati e aggiunti tutti gli indirizzi/intervalli di indirizzi desiderati, cliccare su Avanti per proseguire.

FIG 11 - Aggiungi esclusioni e ritardo

Nel passo successivo bisogna procedere alla configurazione della durata del leasing. Nella schermata Durata lease, si può notare che l'impostazione predefinita è di otto giorni. Nella maggior parte dei casi, questo valore andrà bene. Fare click su Avanti.

FIG 12 - Durata lease

In Configura opzioni DHCP, lasciare l'opzione Sì, configurare le opzioni adesso e cliccare su Avanti.

FIG 13 - Configura opzioni DHCP

Nella schermata Router (Gateway predefinito), digitare l'indirizzo IP del gateway che verrà assegnato ai client, quindi cliccare su Aggiungi. É possibile aggiungere più indirizzi IP. Terminata la configurazione, cliccare su Avanti per proseguire.

FIG 14 - Router (gateway predefinito)

In Nome dominio e server DNS, specificare, se non presente, il nome di dominio padre creato in precedenza sul server DNS e indicare gli indirizzi IP di eventuali altri server DNS presenti all'interno dell'infrastruttura. Cliccare su Avanti.

FIG 15 - Nome dominio e server DNS

Nella schermata Server WINS, è possibile inserire il nome o l'indirizzo IP di un server WINS sulla rete. I server WINS possono essere utilizzati daci computer che eseguono Windows per convertire i nomi computer NetBIOS in indirizzi IP. Cliccare su Avanti.

FIG 16 - Server WINS

Nella finestra successiva, Attiva ambito, lasciare selezionata l'opzione Si, attiva l'ambito adesso e cliccare su Avanti.

FIG 17 - Attiva ambito

La configurazione è terminata. Cliccare su Fine per chiudere la finestra della creazione guidata ambito.

FIG 18 - Completamento della Creazione guidata ambito

Come visibile, il servizio DHCP non è attivo in quando, per questioni di sicurezza, il server deve essere autorizzato all'interno di Active Directory. L'autorizzazione è una precauzione di sicurezza che assicura l'esecuzione sulla rete soltanto dei server DHCP autorizzati.

FIG 19 - DHCP

PowerShell: Individuare gli account AD senza un corretto tipo di crittografia

Gli aggiornamenti di Windows rilasciati a partire dall'8 novembre 2022 risolvono una vulnerabilità di bypass e elevazione dei privilegi con negoziazione di autenticazione mediante la negoziazione RC4-HMAC debole.

L'aggiornamento imposta AES come tipo di crittografia predefinito per le chiavi di sessione in account che non sono già contrassegnati con un tipo di crittografia predefinito. 

Per proteggere l'intero ambiente, bisogna procedere all'installazione degli aggiornamenti di Windows rilasciati a partire dall'8 novembre 2022 su tutti i dispositivi, inclusi i controller di dominio. 

È possibile che siano stati definiti in modo esplicito i tipi di crittografia degli account utente vulnerabili a CVE-2022-37966. Per cercare gli account in cui DES/RC4 è abilitato in modo esplicito o gli account che hanno un valore nullo di msds-SupportedEncryptionTypes è possibile utilizzare il seguente comando:

Get-ADObject -Filter "msDS-supportedEncryptionTypes -bor 0x7 -and -not msDS-supportedEncryptionTypes -bor 0x18"

Dopo l'installazione degli aggiornamenti di Windows con data 8 novembre 2022 o successiva, per il protocollo Kerberos è disponibile la chiave del Registro di sistema seguente:

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\KDC]

"DefaultDomainSupportedEncTypes"=dword:00000027

Se è necessario modificare il tipo di crittografia supportato predefinito per un utente o un computer di Active Directory, aggiungere e configurare manualmente la chiave del Registro di sistema per impostare il nuovo tipo di crittografia supportata.

I controller di dominio Windows usano questo valore per determinare i tipi di crittografia supportati negli account in Active Directory il cui valore msds-SupportedEncryptionType è vuoto o non impostato. Un computer che esegue una versione supportata del sistema operativo Windows imposta automaticamente gli msds-SupportedEncryptionTypes per tale account di computer in Active Directory. Si basa sul valore configurato dei tipi di crittografia consentiti per il protocollo Kerberos.

Gli account utente, gli account del servizio gestito del gruppo e altri account in Active Directory non hanno il valore msds-SupportedEncryptionTypes impostato automaticamente. 

Il valore predefinito 0x27 (DES, RC4, Chiavi di sessione AES) è stato scelto come modifica minima necessaria per questo aggiornamento della sicurezza. Per una maggiore sicurezza è consigliabile impostare il valore di DefaultDomainSupportedEncTypes su 0x3C (in questo modo  sia per i ticket crittografati con AES che per le chiavi di sessione AES). Se si passa ad un ambiente solo AES in cui RC4 non viene utilizzato per il protocollo Kerberos, è consigliabile impostare il valore su 0x38.

Windows Server 2022: Ruoli server

I ruoli di Windows Server sono una raccolta di funzionalità e servizi correlati che consentono di gestire e fornire specifici servizi di rete e applicazioni. Essi forniscono un modo per configurare il server per un determinato scopo o scenario di utilizzo, semplificando la gestione e l'amministrazione del sistema. Di seguito daremo un'occhiata da vicino ai ruoli di Windows Server 2022.

FIG 1 - Ruoli server

Accesso remoto

Accesso remoto assicura una connettività semplice tramite DirectAccess, VPN e il proxy dell'applicazione Web. DirectAccess offre un'esperienza sempre attiva e gestita. RAS offre servizi VPN tradizionali tra cui connettività da sito a sito (a livello di filiale o basata su cloud). Il proxy dell'applicazione Web consente la pubblicazione di applicazioni selezionate basate su HTTP e HTTPS nella rete aziendale e nei dispositivi client all'esterno della rete aziendale. Il routing include funzionalità tradizionali tra cui NAT e altre opzioni di connettività. Accesso remoto e il routing possono essere distribuiti in un singolo tenant o in modalità multi-tenant.

Active Directory Lightweight Directory Services

Active Directory Lightweight Directory Services (AD LDS) fornisce un archivio per i dati specifici delle applicazioni, per le applicazioni abilitate all'uso di directory che non richiedono l'infrastruttura di Servizi di dominio Active Directory. Su un server possono essere presenti più istanze di AD LDS ognuna con il proprio schema.

Si tratta di un servizio di directory basato su Lightweight Directory Access Protocol (LDAP) simile ad AD DS. È progettato per essere utilizzato con applicazioni abilitate alle directory ed è particolarmente utile per le organizzazioni che desiderano creare una directory di account dei clienti, ma mantenerla separata dall'infrastruttura AD DS dell'organizzazione. Può essere usato come identity provider con AD FS sia per l'autenticazione che per la generazione di richieste alle applicazioni web che sono configurate per comprendere la federazione.

Active Directory Rights Management Services

Active Directory Rights Management Services (AD RMS) consente di proteggere le informazioni dall'utilizzo non autorizzato. AD RMS stabilisce l'identità degli utenti e fornisce licenze per le informazioni protette agli utenti autorizzati.

Active Directory Rights Management Services (AD RMS) consente alle aziende di creare e applicare criteri per la protezione dei dati. Le regole vengono create sul server AD RMS, ma continuano a proteggere i documenti anche se lasciano l'infrastrutura dell'azienda. Ad esempio, è possibile impostare un criterio che consenta l'accesso ai documenti solo per un breve periodo di tempo, dopo il quale il destinatario non potrà più aprirli. Si può togliere la possibilità di stampare il documento o di copiarne il testo con il copia/incolla. Ovviamente tale sistema non è perfetto e non impedirà a qualcuno di fare uno screenshot dei dati contenuti in un documento sensibile inoltre, le applicazioni sul lato client devono supportare RMS. La funzionalità esiste nella suite di applicazioni Microsoft Office, in SharePoint e in Exchange Server. È anche possibile rendere compatibile Internet Explorer con un componente aggiuntivo.

ADFS (Active Directory Federation Services)

AD FS (Active Directory Federation Services) fornisce le funzionalità di federazione delle identità semplificata e protetta e Single Sign-On (SSO) Web. AD FS include un servizio federativo che abilita SSO Web basato su browser.

Active Directory Federation Services consente a coloro che possiedono un account Active Directory di utilizzarlo su applicazioni che non rientrano nei confini della propria Active Directory (ad esempio, un'applicazione web ospitata da un partner commerciale) o su applicazioni che non si basano affatto su account Active Directory per l'autenticazione. Creando una federazione (la condivisione di informazioni sull'identità), l'utente può essere autenticato tramite l'Active Directory della sua azienda e può quindi essere autenticato all'applicazione web del partner commerciale con una richiesta. Il partner commerciale deve semplicemente configurare la propria applicazione web in modo da fidarsi delle richieste in arrivo.

Attestazione dell'integrità del dispositivo

Attestazione dell'integrità del dispositivo consente di valutare l'integrità dei dispositivi gestiti.

Il ruolo è stato aggiunto a partire da Windows Server 2016 e offre agli amministratori un modo per verificare che un dispositivo sia integro all'avvio. Può misurare diverse impostazioni e viene configurato con le impostazioni che l'amministratore di sistema o di rete desidera monitorare. Questo ruolo viene spesso utilizzato per convalidare la sicurezza dei sistemi prima di consentire la connessione tramite servizi di accesso remoto come DirectAccess o altri servizi di rete privata virtuale (VPN).

Le impostazioni che il ruolo può convalidare includono le seguenti:

• Abilitazione di BitLocker
• Abilitazione Early Launch Anti-Malware (ELAM)
• Abilitazione Secure Boot
• Abilitazione verifica dell'integrità del codice.

Controller di rete

Controller di rete fornisce il punto di automazione necessario per eseguire in modo continuo la configurazione, il monitoraggio e la diagnostica di reti virtuali, reti fisiche, servizi di rete, topologia di rete, gestione degli indirizzi e così via all'interno di un centro dati.

Si tratta di un ruolo recente, introdotto in Windows Server 2016, ed è disponibile solo nell'edizione Datacenter. Tale ruolo consente di configurare, monitorare, programmare e risolvere i problemi dell'infrastruttura di rete fisica e virtuale e, per svolgere questo lavoro, può sfruttare Windows PowerShell o l'interfaccia di programmazione applicativa (API) Representational State Transfer (REST) per comunicare con i dispositivi. Se la propria organizzazione vuole iniziare a esplorare il Software-Defined Networking (SDN), questo è un ottimo modo per iniziare. L'API REST consente di creare integrazioni con altri prodotti compresi quelli che non "comprendono" PowerShell. La comunicazione avviene tramite HTTP/HTTPS, quindi non ci si deve preoccupare di aprire porte di rete non comuni per supportare le API REST. 

Hyper-V

Hyper-V offre servizi utilizzabili per creare e gestire macchine virtuali e relative risorse. Ogni macchina virtuale è un sistema virtualizzato che opera in un ambiente di esecuzione isolato. Ciò consente di eseguire più sistemi operativi contemporaneamente.

Installando il ruolo Hyper-V si installa un hypervisor sul sistema operativo Windows Server. Nell'edizione Server Standard, il numero di macchine virtuali è limitato a due; nell'edizione Server Datacenter è possibile eseguire un numero illimitato di macchine virtuali. L'edizione Datacenter include anche la possibilità di lavorare con macchine virtuali schermate.

 

Server DHCP

Il server DHCP (Dynamic Host Configuration Protocol) consente di eseguire da una posizione centralizzata tutte le attività di configurazione, gestione e assegnazione di indirizzi IP temporanei e delle informazioni correlate per i computer client.

Tale ruolo rappresenta un grande alleato per l'amministratore del sistema permettendo di automatizzare e tenere traccia degli indirizzi IP assegnati. L'indirizzo IP viene assegnato per un tempo predefinito. Quando il tempo di lease raggiunge il 50% della durata configurata, il client richiederà il rinnovo dell'indirizzo IP. Se un sistema ha bisogno di mantenere lo stesso indirizzo IP, è possibile impostare una prenotazione (reservation) per quell'indirizzo. Finché il sistema in questione avrà la stessa scheda di interfaccia di rete, otterrà lo stesso indirizzo IP. Come ulteriore vantaggio, è possibile impostare opzioni DHCP per ogni ambito definito. Queste opzioni possono indicare ai sistemi dell'ambito dove possono trovare il loro server gateway, i loro server DNS, dove può risiedere un server di imaging e così via.

Server DNS

Il server DNS (Domain Name System) fornisce funzionalità di risoluzione dei nomi per le reti TCP/IP. La gestione del server DNS è più semplice se viene installato nello stesso server di Servizi di dominio Active Directory.

Selezionando il ruolo Servizi di dominio Active Directory, è possibile installare e configurare il server DNS e Servizi di dominio Active Directory in modo da consentirne l'interazione.

Il DNS è in grado di risolvere i nomi di host in indirizzi IP e può anche eseguire ricerche inverse, che mappano gli indirizzi IP in nomi di host.

Server fax

Server fax consente di inviare e ricevere fax e di gestire le risorse fax, come processi, impostazioni, report e dispositivi fax nel computer in uso o nella rete.

Il ruolo Server fax può dare a un server la capacità di agire come un apparecchio fax. Il server consente agli utenti della rete di inviare e ricevere messaggi fax. Il server gestisce l'effettiva trasmissione dei messaggi e richiede un modem fax con una connessione a una linea telefonica, nonché una connessione di rete per poter comunicare con gli utenti della rete.

Questo tipo di configurazione è molto più efficiente rispetto all'utilizzo di più apparecchi fax fisici in giro per l'ufficio. L'aspetto più interessante di questo ruolo è che può essere configurato in modo da inviare i fax agli utenti tramite e-mail, che possono inviare un'e-mail o un documento Word al server e riceverlo via fax.

Server Web (IIS)

Server Web (IIS) offre un'infrastruttura per applicazioni Web affidabile, gestibile e scalabile.

Il ruolo installa il server web basato su Windows noto come Internet Information Services (IIS). IIS può essere utilizzato per ospitare più siti web e supporta molti dei linguaggi lato server conosciuti e diffusi, come PHP e ASP. Fornisce inoltre il supporto per i servizi FTP. Con il programma di installazione di Microsoft Web Platform, la configurazione di applicazioni come ASP.NET, Microsoft SQL Server e applicazioni non Microsoft come WordPress o Joomla è molto semplice.

Servizi certificati Active Directory

Servizi certificati Active Directory consente di creare autorità di certificazione e servizi ruolo correlati per emettere e gestire certificati utilizzabili in diverse applicazioni.

Active Directory Certificate Services (AD CS) è un ruolo che consente di creare un'infrastruttura a chiave pubblica (PKI) all'interno dell'organizzazione permettendo di emettere i propri certificati interni. Questi possono includere certificati per i controller di dominio in modo che possano supportare il Lightweight Directory Access Protocol (LDAP) su Secure Sockets Layer (SSL), oppure certificati per i server Web interni o ancora certificati di codifica per gli script che verranno eseguiti sui sistemi dell'organizzazione. È possibile installare autorità di certificazione (CA) e fornire servizi aggiuntivi come l'Online Certificate Status Protocol (OCSP), che fornisce informazioni sulla revoca dei certificati, e il Network Device Enrollment Service (NDES), che consente ai dispositivi di rete di registrarsi per i certificati senza credenziali di dominio.

Servizi Desktop remoto

Servizi Desktop remoto consente agli utenti di accedere a desktop virtuali, desktop basati su sessione e programmi RemoteApp. Utilizzare l'installazione di Servizi Desktop remoto per configurare una distribuzione di desktop basati su macchina virtuale o su sessione.

Conosciuto in precedenza come Terminal Services, Remote Desktop Services (Servizi Desktop remoto) consente agli utenti di accedere a desktop virtuali per eseguire software proprio come se si trovassero sul proprio desktop. Questo può essere molto utile quando le licenze delle applicazioni sono limitate e le applicazioni possono essere utilizzate in questo modo. Può essere particolarmente utile per le applicazioni di tipo client/server, per le quali gli aggiornamenti possono essere un impegno eccessivo a causa delle modifiche alla configurazione che devono essere apportate dopo un aggiornamento. È possibile apportare le modifiche a ciascun server RDS una sola volta, invece di doverlo fare su centinaia di desktop.

Servizi di accesso e criteri di rete

Servizi di accesso e criteri di rete consente di utilizzare Server dei criteri di rete per proteggere la sicurezza della rete.

Servizi di accesso e criteri di rete (Network Policy and Access Services) installa il Network Policy Server (NPS). Questo fornisce servizi come RADIUS e offre autenticazione, autorizzazione e accounting (AAA). NPS è molto utilizzato per l'autenticazione dei dispositivi di rete e dei client VPN. Il ruolo può essere installato solo su Server con Desktop Experience. 

Servizi di attivazione contratti multilicenza

Servizi di attivazione contratti multilicenza consente di automatizzare e semplificare la gestione dei codici Product Key host del servizio di gestione delle chiavi, nonché dell'infrastruttura di attivazione dei codici Product Key per i contratti multilicenza per una rete. Tramite questo servizio, è possibile installare e gestire un host del servizio di gestione delle chiavi o configurare l'attivazione basata su Microsoft Active Directory, al fine di gestire l'attivazione dei contratti multilicenza per i sistemi appartenenti al dominio.

Questo ruolo crea un server Key Management Service (KMS), che può gestire tutte le chiavi per i prodotti Windows e occuparsi della digitazione e dell'attivazione automatica per i sistemi, i server e i client collegati al dominio. È anche possibile impostare requisiti come la richiesta ai sistemi di effettuare il check-in con il server KMS ogni 15 giorni, altrimenti la chiave non sarà più valida. In questo modo si può garantire che i portatili si colleghino in sede per le patch e altre operazioni almeno ogni 15 giorni.

Servizi di dominio Active Directory

Active Directory Domain Services (AD DS) archivia le informazioni relative agli oggetti presenti i rete e le rende disponibili agli utenti e agli amministratori di rete. AD DS utilizza i controller di dominio per permettere agli utenti della rete di accedere alle risorse consentite presenti in qualsiasi punto della rete attraverso un'unica procedura di accesso.

Active Directory Domain Services (AD DS) consente di memorizzare le informazioni sugli utenti e altri oggetti di rete in un servizio di directory. È possibile organizzare questi oggetti in una struttura gerarchica con foreste, domini e unità organizzative (UO). Active Directory contiene un catalogo globale, che contiene informazioni su ogni singolo oggetto della directory e che è necessario per accedere con successo al dominio. Active Directory facilita anche la ricerca e l'individuazione di oggetti specifici.

Servizi di stampa e digitalizzazione

Servizi di stampa e digitalizzazione consente di centralizzare le attività di gestione del server di stampa e della stampante di rete.

Il ruolo trasformare il server in un server di stampa di rete. In questo modo si centralizza la gestione della stampa, dal lavoro con le code all'impostazione delle configurazioni predefinite desiderate per le stampanti di rete (impostazione di stampa in bianco e nero, fronte/retro, ecc).

Servizi file e archiviazione

Servizi file e Archiviazione include servizi sempre installati e funzionalità installabili per migliorare la gestione dei file server e dell'archiviazione.

Il ruolo Servizi file e archiviazione ha diversi componenti che possono essere installati. Per impostazione predefinita, in una nuova installazione di Windows Server 2022, è installato il componente Servizi di archiviazione. Di default non è installato nessuno dei seguenti componenti in Servizi file e iSCSI:

• File Server: Gestisce le condivisioni di cartelle e consente agli utenti di accedere a tali condivisioni dalla rete.
• BranchCache per file di rete: BranchCache per file di rete offre supporto per BranchCache nel file server. BranchCache è una tecnologia di ottimizzazione della larghezza di banda di reti WAN (Wide Area Network) che consente di memorizzare nella cache i contenuti dei server dell'ufficio principale presso le sedi delle succursali. In questo modo, i computer client delle succursali possono accedere al contenuto localmente invece che tramite la rete WAN. Al termine dell'installazione, è necessario condividere le cartelle e abilitare la generazione di hash per le cartelle condivise mediante Criteri di gruppo o Criteri del computer locale.
• Cartelle di lavoro: Sincronizza i file su più computer. Cartelle di lavoro consente di utilizzare file di lavoro da diversi computer, inclusi i dispositivi professionali e personali. É possibile utilizzare Cartelle di lavoro per ospitare i file dell'utente e tenerli sincronizzati, indipendentemente dal fatto che vi si acceda dall'interno della rete o tramite Internet.
• Deduplicazione dei dati: Deduplicazione dati consente di risparmiare spazio su disco archiviando nel volume un'unica copia dei dati identici. I dati duplicati sulle unità vengono eliminati; viene lasciata intatta una singola copia e i collegamenti vengono inseriti al posto del file nelle altre posizioni.
• Gestione risorse file server: Gestione risorse file server (File Server Resource Manager) consente di gestire i file e le cartelle di un file server grazie alla pianificazione delle attività di gestione dei file e a rapporti di archiviazione, alla classificazione di file e cartelle, nonché alla definizione di criteri di screening dei file.
• Provider di archiviazione destinazioni iSCSI: Provider di archiviazione destinazioni iSCSI (iSCSI Target Storage Provider) consente alle applicazioni di un server connesse a una destinazione iSCSI di eseguire copie shadow del volume dei dati nei dischi virtuali iSCSI. Consente inoltre di gestire dischi iSCSI utilizzando applicazioni meno recenti che richiedono provider hardware Servizio dischi virtuali, ad esempio il comando Diskraid.
• Replica DFS: Sincronizza le cartelle su più server. Replica DFS è un motore di replica multimaster che consente di sincronizzare cartelle su più server tramite le connessioni di rete LAN o WAN. Utilizza il protocollo RDC (Remote Differential Compression) per aggiornare solo le parti dei file che sono state modificate dopo l'ultima replica. É possibile utilizzare Replica DFS autonomamente o insieme a Spazi dei nomi DFS.
• Server destinazione iSCSI: Server destinazione iSCSI offre servizi e strumenti di gestione per le destinazioni iSCSI. iSCSI consente di inviare comandi SCSI per l'archiviazione su normali reti TCP/IP e permette alle organizzazioni di disporre di una rete SAN (Storage Area Network) senza costi proibitivi.
• Server per NFS: Server per NFS consente di condividere file con un computer UNIX e con altri computer che utilizzando il protocollo NFS (Network File System).
• Servizio File Server VSS Agent: Servizio File Server VSS Agent consente di eseguire copie shadow del volume di applicazioni che archiviano i file di dati in questo file server.
• Spazi dei nomi DFS: Spazio dei nomi DFS consente di raggruppare le cartelle condivise situate in server diversi in uno o più spazi dei nomi strutturati logicamente. Gli utenti vedono ogni spazio dei nomi come una singola cartella condivisa con una serie di sottocartelle. La struttura sottostante dello spazio dei nomi può essere tuttavia costituita da numerose cartelle condivise situate in server diversi e in più siti.

Servizio Sorveglianza host

Il ruolo del server Servizio Sorveglianza Host offre i servizi di attestazione e di protezione delle chiavi che consentono l'esecuzione di macchine virtuali protette negli host sorvegliati. Il servizio di attestazione convalida l'identità e la configurazione dell'host sorvegliato. Il servizio di protezione delle chiavi consente l'accesso distribuito alle chiavi di trasporto crittografate per consentire lo sblocco degli host sorvegliati e l'esecuzione di macchina virtuali protette in tali host.

Introdotto per la prima volta in Windows Server 2016, questo ruolo gestisce e rilascia le chiavi per gli host Hyper-V considerati affidabili (noti come host protetti). Ciò consente agli host protetti di accendere macchine virtuali (VM) protette e di eseguire migrazioni live. 

Windows Deployment Services

Windows Deployment Services fornisce un mezzo semplificato e sicuro per distribuire in modo rapido e da remoto il sistema operativo Windows ai computer in rete.

Windows Deployment Services (WDS) è in parte un server PXE (Preboot Execution Environment) e in parte un server TFTP (Trivial File Transfer Protocol), con una console di interfaccia grafica (GUI) piacevole e intuitiva per la gestione. PXE consente a un server senza sistema operativo di avviarsi dalla rete in modo che un amministratore di sistema possa configurarlo e scegliere un'immagine del sistema operativo. Per trasferire l'immagine in rete si usa TFTP. Le immagini vengono salvate come file .wim e possono essere aggiornate con gli strumenti già disponibili sul sistema. I sistemi sottoposti a imaging da WDS vengono avviati dalla loro scheda di interfaccia di rete (NIC) e sono in grado di ottenere le impostazioni del server WDS dalle opzioni 66 e 67 del DHCP.

Windows Server Update Services

Windows Server Update Services consente agli amministratori di rete di specificare quali aggiornamenti Microsoft installare, creare gruppi di computer distinti per set di aggiornamenti diversi e ottenere rapporti sui livelli di conformità dei computer e gli aggiornamenti da installare.

È scalabile e può essere distribuito come un singolo server che fa tutto, o come un server upstream che scarica gli aggiornamenti da Microsoft e poi li rende disponibili ad altri server WSUS downstream.

Windows Server: Ruoli FSMO in Active Directory

Qualsiasi controller di dominio autorevole (DC) in Active Directory (AD) può eseguire la creazione, l'aggiornamento e la cancellazione degli oggetti. Questo è possibile perché ogni DC (tranne quelli di sola lettura) mantiene una copia scrivibile della partizione del proprio dominio. Una volta che una modifica viene applicata, essa viene automaticamente comunicata agli altri DC attraverso un processo chiamato replica multi-master. Questo comportamento consente alla maggior parte delle operazioni di essere elaborate in modo affidabile da più controller di dominio fornendo alti livelli di ridondanza, disponibilità e accessibilità in Active Directory.

Tuttavia ci sono alcune operazioni sensibili la cui esecuzione è limitata ad uno specifico controller di dominio, in questi casi Active Directory indirizza tali operazioni a server con una serie speciali di ruoli. Microsoft chiama tali ruoli "ruoli operativi" ma sono più comunemente noti con il loro nome originale: ruoli FSMO (Flexible Single Master Operator).

In Active Directory sono presenti 5 ruoli FSMO assegnati a uno o più controller di dominio:

• Schema Master
• Domain Naming Master
• Infrastructure Master
• Relative ID (RID) Master
• PDC Emulator

Schema Master 

Schema Master (o Master dello schema) è un ruolo FSMO di livello enterprise. In una foresta Active Directory esiste un solo Schema Master. Il Domain Controller in Active Directory che ricopre il ruolo di Schema Master è l'unico DC, all'interno della foresta, che contiene una partizione di schema scrivibile e controlla tutti gli aggiornamenti e le modifiche dello schema. Di conseguenza per aggiornare lo schema di una foresta, è necessario avere accesso allo Schema Master. Esempi di azioni che aggiornano lo schema sono l'innalzamento del livello funzionale della foresta e l'aggiornamento del sistema operativo di un DC a una versione superiore a quella presente nella foresta.

Se il Domain Controller con il ruolo di Schema Master dovesse andare offline, l'impatto immediato sarà minimo o nullo. Infatti, a meno che non siano necessarie modifiche allo schema, il ruolo può rimanere offline senza effetti rilevanti. Se il Domain Controller con il ruolo di Schema Master non può essere riportato online è possibile trasferire il ruolo ad altro Domain Controller.

Domain Naming Master

Domain Naming Master (Master per la denominazione dei domini) è un ruolo FSMO di livello enterprise. Nell'intera foresta può essere presente un solo master per la denominazione dei domini. Il controller di dominio master per la denominazione dei domini è l'unico controller di dominio, in una foresta Active Directory, in grado di aggiungere e rimuovere domini nella foresta. Nel caso in cui il Domain Controller che ricopre tale ruolo dovesse andare offline, l'impatto operativo sarebbe minimo o nullo, poiché l'aggiunta e la rimozione di domini e partizioni sono operazioni eseguite di rado e sono raramente critiche dal punto di vista temporale.

Infrastructure Master

L'Infrastructure Master (Master dell'infrastruttura) è un ruolo a livello di dominio; in ogni dominio può essere presente un solo controller di dominio che funge da master dell'infrastruttura. Il master dell'infrastruttura sincronizza gli oggetti con i server del catalogo globale (global catalog) ed è responsabile dell'aggiornamento dei riferimenti da oggetti nel relativo dominio a oggetti in altri domini. L'Infrastructure Master confronta i propri dati con quelli di un server del catalogo globale e riceve dal server del catalogo globale tutti i dati non presenti nel proprio database. Se tutti i DC di un dominio sono anche server del catalogo globale, tutti i DC disporranno di informazioni aggiornate (supponendo che la replica sia funzionale). In questo scenario, la posizione del ruolo Infrastructure Master è irrilevante, poiché non ha alcun lavoro da svolgere.

Il ruolo Infrastructure Master è anche responsabile della gestione degli oggetti fantasma. Gli oggetti fantasma sono utilizzati per tracciare e gestire i riferimenti persistenti agli oggetti eliminati e agli attributi con valore di collegamento che si riferiscono a oggetti in un altro dominio della foresta (ad esempio, un gruppo di sicurezza del dominio locale con un utente membro di un altro dominio).

Il ruolo può essere installato su qualsiasi controller di dominio in un dominio. Nel caso in cui la foresta Active Directory includa DC che non siano global catalog allora il ruolo va installato su uno di questi DC. La perdita del DC che possiede il ruolo di Infrastructure Master sarà probabilmente percepita solo dagli amministratori e potrà essere tollerata per un periodo prolungato. Sebbene la sua assenza comporti la mancata risoluzione corretta dei nomi dei collegamenti di oggetti cross-domain, la capacità di utilizzare le appartenenze di gruppo cross-domain non sarà compromessa.

RID Master

Il Relative Identifier Master (RID Master) è un ruolo a livello di dominio; in ogni dominio può essere presente un solo controller di dominio che funge da RID Master. Il RID Master è responsabile dell'elaborazione delle richieste del pool RID da tutti i controller di dominio in un determinato dominio. I pool di RID sono costituiti da un intervallo contiguo univoco di RID, che vengono utilizzati durante la creazione dell'oggetto per generare l'identificativo di sicurezza (SID) unico del nuovo oggetto. Il RID Master è anche responsabile dello spostamento degli oggetti da un dominio all'altro all'interno della foresta.

La perdita del RID Master di un dominio finirà per causare l'impossibilità di creare nuovi oggetti nel dominio, man mano che i pool di RID nei DC rimanenti si esauriscono. Sebbene possa sembrare che l'indisponibilità del DC che detiene il ruolo di RID Master possa causare un'interruzione significativa dell'operatività, negli ambienti maturi l'impatto è solitamente tollerabile per un periodo di tempo considerevole, a causa di un volume relativamente basso di eventi di creazione di oggetti.

PDC Emulator

L'emulatore del controller di dominio primario (PDC Emulator o PDCE) è un ruolo a livello di dominio; può essere presente un solo controller di dominio che funge da master dell'emulatore PDC in ogni dominio della foresta. L'emulatore PDC è un controller di dominio che si annuncia come controller di dominio primario (PDC) per workstation, server membri e controller di dominio che eseguono versioni precedenti di Windows. L'emulatore PDC controlla l'autenticazione all'interno di un dominio, sia Kerberos v5 che NTLM. Quando un utente cambia la password, la modifica viene elaborata dall'emulatore PDC. 

PDC Emulator è responsabile di diverse operazioni cruciali:

Retrocompatibilità. Il PDCE imita il comportamento single-master di un controller di dominio primario di Windows NT. Per risolvere i problemi di retrocompatibilità, il PDCE si registra come DC di destinazione per le applicazioni legacy che eseguono operazioni scrivibili e per alcuni strumenti amministrativi che non conoscono il comportamento multi-master dei DC di Active Directory.

Sincronizzazione dell'ora. Ogni PDCE funge da sorgente temporale master all'interno del proprio dominio. Il PDCE nel dominio radice della foresta funge da server NTP (Network Time Protocol) preferito nella foresta. Il PDCE di ogni altro dominio della foresta sincronizza il suo orologio con il PDCE radice della foresta; i DC non PDCE sincronizzano i loro orologi con il PDCE del loro dominio e gli host collegati al dominio sincronizzano i loro orologi con il DC preferito. Un esempio dell'importanza della sincronizzazione temporale è l'autenticazione Kerberos: l'autenticazione Kerberos fallisce se la differenza tra l'orologio di un host richiedente e l'orologio del DC di autenticazione supera il massimo specificato (5 minuti per impostazione predefinita); questo aiuta a contrastare alcune attività dannose, come gli attacchi replay.

Aggiornamenti delle password. Quando le password di computer e utenti vengono modificate o reimpostate da un controller di dominio non PDCE, l'aggiornamento impegnato viene immediatamente replicato al PDCE del dominio. Se un account tenta di autenticarsi in un DC che non ha ancora ricevuto una modifica recente della password tramite la replica programmata, la richiesta viene passata al PDCE del dominio, che la elabora e indica al DC richiedente di accettarla o rifiutarla. Questo comportamento garantisce che le password possano essere elaborate in modo affidabile anche se le modifiche recenti non si sono propagate completamente attraverso la replica programmata. Il PDCE è anche responsabile dell'elaborazione dei blocchi degli account, poiché tutte le autenticazioni di password fallite vengono passate al PDCE.

Aggiornamenti dei Criteri di gruppo. Tutti gli aggiornamenti degli oggetti Criteri di gruppo (GPO) sono assegnate al PDCE del dominio. In questo modo si evitano i conflitti di versione che potrebbero verificarsi se una GPO venisse modificata su due DC nello stesso momento.

File system distribuito. Per impostazione predefinita, i server root del file system distribuito (DFS) richiedono periodicamente informazioni aggiornate sullo spazio dei nomi DFS al PDCE. Sebbene questo comportamento possa causare colli di bottiglia nelle risorse, l'attivazione del parametro Dfsutil.exe Root Scalability consentirà ai server root DFS di richiedere gli aggiornamenti dal DC più vicino.

Il PDCE deve essere collocato su un DC ad alta accessibilità, ben collegato e ad alte prestazioni. La perdita del DC che possiede il ruolo PDC Emulator può avere un impatto immediato e significativo sulle operazioni.

Identificare i DC con ruoli FSMO

Per identificare i controller di dominio con ruolo FSMO è possibile procedere tramite il prompt dei comandi o tramite PowerShell.

Dal prompt dei comandi è possibile eseguire il comando

netdom query fsmo /domain:<DomainName>

Ad esempio

netdom query fsmo /domain:mycompany.local

FIG 1 - Visualizzare i server DC con ruoli FSMO da prompt dei comandi

Da PowerShell il comando da eseguire è

(Get-ADForest).Domains | ForEach-Object{Get-ADDomainController -Server $_ -Filter {OperationMasterRoles -like "*"}} | Select-Object Domain, HostName, OperationMasterRoles

FIG 2 - Visualizzare i server DC con ruoli FSMO da PowerShell