Windows Server 2022: Configurazione Servizi di dominio Active Directory

Dopo l'installazione del ruolo Servizi di dominio Active Directory, il passo successivo è quello di promuovere il nostro server a Domain controller. L'operazione può essere eseguita sia cliccando sull'apposito link Alza di livello il server a controller di dominio (FIG 1) che ci viene mostrato dopo l'installazione del servizio Active Directory sia utilizzando il link che ritroviamo cliccando sull'icona delle notifiche (FIG 2).

FIG 1 - Alza di livello il server a controller di dominio

FIG 2 - Server Manager, Notifiche

Una volta cliccato sul link verrà avviato il Wizard Configurazione guidata Servizi di dominio Active Directory. Come primo passo bisogna selezionare una delle seguenti 3 opzioni:

1. Aggiungi un controller di dominio a un dominio esistente;
2. Aggiungi un nuovo dominio a una foresta esistente;
3. Aggiungi una nuova foresta.

FIG 3 - Configurazione distribuzione

Dato che stiamo creando da zero la nostra infrastruttura e nella rete non è presente alcuna foresta/dominio, l'opzione da selezionare è Aggiungi una nuova foresta. Nell'apposita casella va inserito il nome del dominio radice che si intende creare. Il nome sarà composto da due parti: il nome vero e proprio e un suffisso separati da un punto (ad es. forest.com, azienda.com, miodominio.local). Generalmente per i domini che non devono essere visibili dall'esterno si preferisce utilizzare il suffisso .local. Digitare il nome del dominio radice (in FIG 4 è stato inserito mycompany.local) che si intende creare quindi cliccare su Avanti per proseguire. Il nome del dominio inserito sarà anche quello della foresta.

FIG 4 - Aggiungi una nuova foresta

Il passo successivo consiste nello specificare le opzioni del controller di dominio. Le prime impostazioni sono relative al livello di funzionalità della foresta e del dominio. I software Active Directory installati su più server dell'infrastruttura devono essere compatibili tra loro: se all'interno della foresta c'è un server Domain Controller con installato Windows Server 2012 R2 allora gli altri server devono avere un livello di funzionalità compatibile con tale versione. Al momento la versione più recente del livello di funzionalità è Windows Server 2016. Dato che useremo solo server Windows Server 2022 all'interno dell'infrastruttura, selezioniamo Windows Server 2016 come livello di funzionalità per la foresta e il dominio.  Le successive tre opzioni consentono di specificare le funzionalità del controller di dominio: Server DNS (Domain Name System), Catalogo globale (Global Catalog), Controller di dominio di sola lettura. Per il Domain Controller è necessario che sia presente un Server DNS. Active Directory dipende fortemente dal DNS in quanto registra tutti i tipi di record di servizio (SRV) nel DNS per localizzare servizi specifici necessari per il suo corretto funzionamento. Il server DNS può essere installato anche su altre macchine della rete ma è preferibile che sia installato su un Domain Controller. Nel nostro caso lasciamo selezionata l'opzione Server DNS. (se il ruolo server DNS è stato già installato sul server non sarà possibile disabilitare tale opzione). Oltre al DNS è necessario installare anche il catalogo globale . Come visibile in figura l'opzione relativa al Catalogo globale non può essere disattivata in quanto fondamentale per il corretto funzionamento del nostro Domain Controller. La casella Controller di dominio di sola lettura consente di creare una copia di sola lettura del database di Active Directory su un server ubicato in un posto non del tutto sicuro. Trattandosi del primo Domain Controller l'opzione è disattivata: il primo controller di dominio all'interno dell'infrastruttura non può essere di sola lettura (Read Only Domain Controller o RODC). In questa fase viene anche richiesto di specificare e confermare la password da utilizzare in caso di ripristino dei servizi directory (Directory Services Restore Mode o DSRM). Una volta specificate le opzioni/impostazioni cliccare su pulsante Avanti.

FIG 5 - Opzioni controller di dominio

Il ruolo di Server DNS è già installato sulla macchina ma non è integrato in AD.  Verrà visualizzato il messaggio 

Impossibile creare una delega per questo server DNS perché la zona padre autorevole non è stata trovata oppure non esegue il server DNS Windows. Se si sta effettuando l'integrazione con un'infrastruttura DNS esistente, è consigliabile creare manualmente una delega per il server DNS nella zona padre per garantire una risoluzione dei nomi affidabile dall'esterno del dominio "mycompany.local". In caso contrario, non è necessario eseguire alcuna operazione.

Cliccare su Avanti per proseguire. Dell'integrazione del DNS in AD ce ne occuperemo in un secondo momento.

FIG 6 - Opzioni DNS

Nella finestra Opzioni aggiuntive è possibile settare il nome NetBIOS del dominio. NetBIOS consente alle applicazioni che si trovano su diversi computer, di comunicare tra loro. Accettare il NetBIOS domain name suggerito e cliccare su Avanti.

FIG 7 - Opzioni aggiuntive

Nel passo successivo è possibile specificare il percorso in cui salvare il database di Active Directory, il file di log e il percorso per la cartella condivisa SYSVOL. In ambiente di produzione generalmente è preferibile salvare tali informazioni in uno o più dischi dedicati formattati come NTFS. La cartella condivisa SYSVOL viene utilizzata per condividere informazioni come script ed elementi relativi agli oggetti Group Policy (in AD tutti gli elementi sono considerati oggetti) tra i Domain Controller. Come tutti i grandi Database anche Active Directory è composto da un file principale e un file di log che tiene traccia delle transazioni. Le modifiche effettuate al database vengono prima scritte all'interno del file di log e successivamente riportate all'interno del database. Se il server dovesse per qualche motivo spegnersi nel bel mezzo di una modifica, al successivo avvio del server Active Directory può utilizzare il file di log per assicurarsi che il database sia in uno stato coerente. Nel nostro caso non modifichiamo le impostazioni di default e proseguiamo cliccando su Avanti.

FIG 8 - Percorsi

Nella fase Verifica opzioni viene mostrato un riepilogo delle impostazioni selezionate nei passaggi precedenti. Presa visione delle opzioni, cliccare su Avanti per procedere.

FIG 9 - Verifica opzioni

Nella finestra successiva del Wizard, Controllo dei prerequisiti, viene eseguita una verifica sui prerequisiti necessari alla promozione del server a controller di dominio. Come visibile in FIG 10 ci sono dei Warning (evidenziati dall'icona triangolare gialla con punto esclamativo) che, tuttavia, in questo caso non impediscono di proseguire nell'installazione. Tali segnalazioni vanno comunque prese in considerazione al fine di stabilire le attività da eseguire successivamente per il corretto funzionamento del controller di dominio. Se vengono rispettati i prerequisiti sarà possibile cliccare sul pulsante Installa per l'installazione del software. Come indicato all'interno della finestra Controllo dei prerequisiti, il server verrà riavviato automaticamente al termine dell'operazione di innalzamento di livello.

FIG 10 - Controllo dei prerequisiti

Dopo il riavvio del server noteremo una novità all'interno della schermata di logon: adesso l'accesso avviene come amministratore di dominio (MYCOMPANY\Administrator) e non come amministratore locale. Eseguire il logon inserendo la password dell'utente Administrator.

FIG 11 - Logon come amministratore di dominio