Visualizzazione post con etichetta Domain Controller. Mostra tutti i post
Visualizzazione post con etichetta Domain Controller. Mostra tutti i post

martedì 3 ottobre 2023

PowerShell: Visualizzare l'elenco dei controller di dominio

Per ottenere un elenco di tutti i controller di dominio è possibile utilizzare il cmdlet PowerShell Get-AdDomainController .

Il cmdlet Get-ADDomainController permette di visualizzare l'elenco dei controller di dominio anche in base ai parametri specificati. È possibile ottenere l'elenco dei controller di dominio impostando i parametri Identity, Filter o Discover. 

Il parametro Identity specifica il controller di dominio da visualizzare. È possibile identificare un controller di dominio tramite GUID, indirizzo IPV4, indirizzo IPV6 globale o nome host DNS. Un controller di dominio può essere identificato anche in base al nome dell'oggetto server che rappresenta il controller di dominio, al nome distinto dell'oggetto impostazioni NTDS o dell'oggetto server, al GUID dell'oggetto impostazioni NTDS o dell'oggetto server sotto la partizione di configurazione o al nome distinto dell'oggetto computer che rappresenta il controller di dominio.

Per cercare e recuperare più di un controller di dominio, si utilizza il parametro Filter. Tale parametro utilizza il linguaggio di espressione di Windows PowerShell per scrivere stringhe di query per Active Directory. La sintassi di Windows PowerShell Expression Language fornisce un ricco supporto per la conversione dei tipi di valore ricevuti dal parametro Filter. 

Per visualizzare un controller di dominio utilizzando il meccanismo di scoperta di DCLocator, si utilizza il parametro Discover. È possibile fornire criteri di ricerca impostando parametri quali Service, SiteName, DomainName, NextClosestSite, AvoidSelf e ForceDiscove


Sintassi

Get-ADDomainController
   [-AuthType <ADAuthType>]
   [-Credential <PSCredential>]
   [[-Identity] <ADDomainController>]
   [-Server <String>]
   [<CommonParameters>]


Get-ADDomainController
   [-AuthType <ADAuthType>]
   [-AvoidSelf]
   [-Discover]
   [-DomainName <String>]
   [-ForceDiscover]
   [-MinimumDirectoryServiceVersion <ADMinimumDirectoryServiceVersion>]
   [-NextClosestSite]
   [-Service <ADDiscoverableService[]>]
   [-SiteName <String>]
   [-Writable]
   [<CommonParameters>]


Get-ADDomainController
   [-AuthType <ADAuthType>]
   [-Credential <PSCredential>]
   -Filter <String>
   [-Server <String>]
   [<CommonParameters>]


Parametri

-AuthType 
Specifica il metodo di autenticazione. I valori accettati dal parametro sono:
  • Negotiate oppure 0 (default)
  • Basic oppure 1
-AvoidSelf
Specifica di non restituire il computer corrente come controller di dominio. Se il computer corrente non è un controller di dominio, questo parametro viene ignorato. È possibile specificare questo parametro quando si desidera ottenere il nome di un altro controller di dominio nel dominio.

-Credential
Specifica le credenziali dell'account utente con cui eseguire il comando. Se omesso viene considerato l'utente corrente che sta eseguendo il comando. Al parametro può essere passato il nome dell'account, come ad es. "utente01" o "Dominio\utente01" oppure può essere passato un'oggetto PSCredential generato dal cmdlet Get-Credential. Se viene specificato un'account utente verrà richiesto di inserire la password all'esecuzione del comando.

-Discover
Specifica di restituire un controller di dominio rilevabile che soddisfa le condizioni specificate dai parametri del cmdlet.

-DomainName
Specifica il dominio da cercare. Il cmdlet individua un controller di dominio rilevabile in questo dominio. Specificare il dominio utilizzando il nome NetBIOS o il FQDN del dominio.

-Filter
Specifica una stringa di query che recupera gli oggetti di Active Directory. Questa stringa utilizza la sintassi di Windows PowerShell Expression Language. La sintassi di Windows PowerShell Expression Language fornisce un ricco supporto per la conversione dei tipi di valore ricevuti dal parametro Filter. La sintassi utilizza una rappresentazione in-order, il che significa che l'operatore è collocato tra l'operando e il valore.

-ForceDiscover
Indica che il cmdlet deve cancellare tutte le informazioni del controller di dominio memorizzate nella cache ed eseguire un nuovo rilevamento. Se questo parametro non è specificato, il cmdlet può restituire informazioni sul controller di dominio memorizzate nella cache.

-Identity
Specifica un oggetto controller di dominio di Active Directory fornendo uno dei seguenti valori 
  • Distinguished name
  • GUID (objectGUID)
  • Security identifier (objectSid)
  • Security Account Manager account name (SAMAccountName) 

-MinimumDirectoryServiceVersion
Specifica il primo sistema operativo che il controller di dominio può avere, in modo che venga restituito dal cmdlet quando si ottiene un controller di dominio usando il parametro Discover. I valori accettabili per questo parametro sono:
  • Windows2000 oppure 1
  • Windows2008 oppure 2

-NextClosestSite
Specifica di restituire un controller di dominio nel sito più vicino quando non viene trovato un controller di dominio nel sito che contiene il client. Il sito più vicino è quello con il costo di collegamento più basso rispetto al sito corrente. I costi tra i siti si basano su fattori quali la larghezza di banda e la vicinanza fisica.

-Server
Specifica l'istanza di Active Directory Domain Services a cui connettersi, fornendo uno dei seguenti valori per un nome di dominio o un server di directory corrispondente. Il servizio può essere uno dei seguenti: Active Directory Lightweight Domain Services, Active Directory Domain Services o Active Directory snapshot instance.

L'istanza di Active Directory Domain Services può essere specificata in uno dei seguenti modi:
Valori del nome di dominio:
  • Nome di dominio completamente qualificato
  • Nome NetBIOS

Valori del server di directory:
  • Nome completo del server di directory
  • Nome NetBIOS
  • Nome e porta del server di directory completamente qualificati

-Service
Specifica i tipi di controller di dominio da ottenere. È possibile specificare più di un tipo utilizzando un elenco separato da virgole. I valori accettabili per questo parametro sono:
  • PrimaryDC oppure 1
  • GlobalCatalog oppure 2
  • KDC oppure 3
  • TimeService oppure 4
  • ReliableTimeService oppure 5
  • ADWS oppure 6

-SiteName
Specifica il nome di un sito in cui cercare il controller di dominio.Se questo parametro non è impostato, il cmdlet cerca i controller di dominio nello stesso sito del client.Il nome del sito è definito dalla proprietà Name dell'oggetto site.

-Writable
Specifica se si tratta di un controller di dominio scrivibile.


Esempi


Esempio 1
Get-ADDomainController 
Elenca i domain controller presenti nel dominio
Get-ADDomainController
FIG 1 - Get-ADDomainController


Esempio 2
Get-ADDomainController -Discover -Service "GlobalCatalog"
Questo comando visualizza un Global Catalog nella foresta corrente usando il parametro Discover.
Get-ADDomainController, GlobalCatalog
FIG 2 - Get-ADDomainController, GlobalCatalog

Esempio 3
Get-ADDomainController -Discover -Domain "mycompany.local"
Elenca i controller di dominio disponibili nel dominio specificato e utilizzando il parametro Discovery.

Esempio 4
Get-ADDomainController -Identity "ServerDC2"
Visualizza le informazioni di un controller di dominio utilizzando il suo nome NetBIOS.

Esempio 5
Get-ADDomainController -Discover -Domain "mycompany.local" -Service "PrimaryDC","TimeService"
Questo comando consente di ottenere il controller di dominio primario utilizzando Discover e di assicurarsi che sia pubblicizzato come server temporale.









venerdì 1 settembre 2023

Windows Server 2022: Installazione ruolo Servizi di dominio Active Directory

Per creare un controller di dominio Windows, è necessario installare e configurare il ruolo Servizi di dominio Active Directory (Active Directory Domain Services o, abbreviato, AD DS). AD DS installa Active Directory e il suo database, creando una fonte centrale di autenticazione e semplificando notevolmente la gestione degli utenti e delle risorse IT. 
Servizi di dominio Active Directory archivia le informazioni su utenti, computer e altri dispositivi di rete, agevolando gli amministratori nella gestione delle informazioni in modo sicuro e facilitando la condivisione delle risorse e la collaborazione tra gli utenti.

In un'infrastruttura è consigliabile installare almeno due Domain Controller per ciascun dominio in modo da garantire l'accesso degli utenti alla rete anche in caso di guasto di uno dei server.

Servizi di dominio Active Directory richiede la presenza di un server DNS all'interno della rete. Se non è presente alcun server DNS, durante l'installazione del ruolo Servizi di dominio Active Directory verrà chiesto di installare anche il ruolo Server DNS.

Nel caso di creazione di un nuovo dominio, conviene procedere prima all'installazione del ruolo Servizi di dominio Active Directory e successivamente dei ruoli di Server DNS e Server DHCP (come visto negli articoli riguardanti Windows Server 2019). In questa serie di articoli relativi a Windows Server 2022 ho voluto adottare un approccio diverso per coprire anche il caso in cui il controller di dominio venga installato successivamente.

Il ruolo Servizi di dominio Active Directory, come visto per gli altri ruoli,  può essere installato sia tramite GUI sia tramite PowerShell. In questo articolo verrà mostrato anche come generare un file XML per utilizzarlo nella creazione di altri controller di dominio.


Installazione Servizi di dominio Active Directory tramite GUI

Da Server Manager, nella sezione Dashboard, cliccare sul link Aggiungi ruoli e funzionalità (o in alternativa, dal menu Gestione selezionare Aggiungi ruoli e funzionalità).
Server Manager
FIG 1 - Server Manager

Verrà avviato il Wizard Aggiunta guidata ruoli e funzionalità che ci guiderà nell'installazione del ruolo. Nella finestra Prima di iniziare vengono fornite alcune informazioni preliminari sull'installazione/rimozione dei ruoli e funzionalità. Cliccare su Avanti.
Aggiunta guidata ruoli e funzionalità
FIG 2 - Aggiunta guidata ruoli e funzionalità

Nel passaggio successivo, Selezione tipo di installazione, viene chiesto di selezionare il tipo di installazione desiderato: è possibile installare ruoli e funzionalità in un computer fisico o una macchina virtuale in esecuzione oppure in un disco rigido virtuale offline. In questa fase possiamo scegliere tra installare ruoli e funzionalità su un server oppure installare una specifica risorsa sull'infrastruttura VDI. Selezionare l'opzione Installazione basata su ruoli o basata su funzionalità e cliccare su Avanti per proseguire.
Selezione tipo di installazione
FIG 3 - Selezione tipo di installazione

Nella schermata successiva, Selezione server di destinazione, selezionare il server in cui andrà installato il ruolo (in questo caso è disponibile un solo server) quindi proseguire cliccando su Avanti.
Selezione server di destinazione
FIG 4 - Selezione server di destinazione

Nella schermata Selezione ruoli server, selezionate Servizi di dominio Active Directory.
Selezione ruoli server
FIG 5 - Selezione ruoli server

Una finestra di dialogo avvisa l'utente della necessità di installare, se non presenti, ulteriori funzionalità per il corretto funzionamento del ruolo selezionato. Cliccare su Aggiungi funzionalità.
Aggiungere le funzionalità necessarie per Servizi di dominio Active Directory
FIG 6 - Aggiungere le funzionalità necessarie per Servizi di dominio Active Directory

Si ritorna alla schermata precedente. Cliccare su Avanti per proseguire.
Selezione ruoli server
FIG 7 - Selezione ruoli server

Nella finestra Selezione funzionalità è possibile selezionare ulteriori funzionalità da installare. Proseguire cliccando su Avanti.
Selezione funzionalità
FIG 8 - Selezione funzionalità
Nella schermata Servizi di dominio Active Directory vengono visualizzate alcune informazioni e note relative al ruolo che si sta installando. Cliccare su Avanti.
Servizio di dominio Active Directory
FIG 9 - Servizio di dominio Active Directory

In Conferma selezioni per l'installazione viene mostrato un resoconto di tutte le funzionalità che verranno installate. É possibile selezionare la casella Riavvia automaticamente il server di destinazione se necessario. In questo modo se dopo l'installazione del ruolo e delle funzionalità dovesse essere necessario un riavvio del sistema, questo verrà eseguito automaticamente. Cliccare sul pulsante Installa per proseguire e attendere che l'installazione venga portata a termine.
Conferma selezioni per l'installazione
FIG 10 - Conferma selezioni per l'installazione

Al termine dell'installazione di AD DS, la schermata presenta un link Esporta impostazioni di configurazione nella parte inferiore. Se dobbiamo installare altri controller di dominio, è possibile cliccare su tale link ed esportare il file contenente le impostazioni di configurazione in formato XML (FIG 12).
Stato installazione
FIG 11 - Stato installazione
Esporta impostazioni di configurazione
FIG 12 - Esporta impostazioni di configurazione

Come visibile in FIG 13 il file XML contiene le impostazioni di configurazione del controller di dominio. Per utilizzare tale file per la creazione di un nuovo controller di dominio basterà richiamarlo tramite il seguente comando PowerShell
 Install-WindowsFeature -ConfigurationFilePath <percorso e nome del file XML>  

File XML contenente impostazioni di configurazione
FIG 13  - File XML contenente impostazioni di configurazione
Terminata l'installazione è possibile promuovere il server a controller di dominio cliccando sul link Alza di livello il server a controller di dominio. Tale operazione verrà illustrata in dettaglio in un prossimo articolo.
Alza di livello il server a controller di dominio
FIG 14 - Alza di livello il server a controller di dominio

Cliccare su Chiudi per chiudere la finestra della procedura guidata.

Installazione terminata
FIG 15 - Installazione terminata


Installazione Servizi di dominio Active Directory tramite PowerShell

Per installare il ruolo Servizi di dominio Active Directory tramite PowerShell basta eseguire il comando
 Install-WindowsFeature –Name AD-Domain-Services   

Installazione Servizi di dominio Active Directory tramite PowerShell
FIG 16 - Installazione Servizi di dominio Active Directory tramite PowerShell






domenica 23 luglio 2023

Windows Server 2022: Preparazione alla creazione di un dominio

Una fase importante nella creazione di un dominio che viene spesso ignorata o trascurata (a dire il vero capita anche per le altre attività) è la pianificazione. Dedicare del tempo per pianificare in anticipo l'installazione e la configurazione di un dominio potrà sembrare una perdita di tempo ma si rivelerà fondamentale per ottenere un risultato migliore e agevolare modifiche future o ulteriori implementazioni. In questo modo si evita anche di dover reinstallare/riconfigurare il tutto a causa di una configurazione errata o non adeguata alle proprie esigenze.

Per iniziare, è fondamentale definire con chiarezza quali sono gli obiettivi e le azioni che si desidera intraprendere: Aggiungere un nuovo controller di dominio ad un'infrastruttura già esistente o creare da zero l'infrastruttura Active Directory.

Aggiungere un nuovo controller di dominio ad un'infrastruttura già esistente

In questo caso ci ritroveremo dinanzi ad un ambiente Active Directory esistente ed è fondamentale verificare quanto segue:
  • Capire se il controller di dominio che andremo ad aggiungere dovrà ospitare uno o più ruoli FSMO e, in caso affermativo, individuare quali.
  • Individuare se il domain controller che stiamo aggiungendo andrà a sostituire uno meno recente o se verrà semplicemente aggiunto all'infrastruttura.
  • Individuare l'attuale livello funzionale della foresta e del dominio.

Creare da zero l'infrastruttura Active Directory

Se stiamo creando da zero la nostra infrastruttura, è necessario:
  • Decidere se l'infrastruttura Active Directory avrà più domini e progettare la sua struttura.
  • Stabilire il tipo si struttura da utilizzare per le UO
La decisione su quanti domini creare dipenderà dalle esigenze specifiche dell'organizzazione. La scelta tra un singolo dominio o una struttura multi-dominio può essere influenzata da fattori come la dimensione dell'organizzazione, la geografia, le politiche di sicurezza e la complessità delle relazioni aziendali.

Un singolo dominio può essere adeguato per organizzazioni di piccole o medie dimensioni con una struttura organizzativa semplice e requisiti di sicurezza relativamente lineari. In questo caso, tutti gli utenti, i gruppi e gli oggetti di dominio sarebbero inclusi nello stesso dominio, semplificando la gestione e l'amministrazione.

Tuttavia, per organizzazioni più grandi o complesse, potrebbe essere preferibile una struttura multi-dominio. Ciò consente di suddividere l'organizzazione in domini più piccoli, in modo da ottenere una maggiore flessibilità nella gestione, nella delega delle autorizzazioni e nell'isolamento dei problemi. Ad esempio, si potrebbero creare domini separati per le diverse unità aziendali, le filiali geografiche o i team specifici. Ogni dominio avrebbe il proprio set di controlli di sicurezza e di amministrazione indipendente.

Per quanto riguarda la struttura delle Unità Organizzative (OU), dipenderà dalle esigenze dell'organizzazione e dalla logica di organizzazione dei suoi oggetti di dominio. Le OU sono contenitori logici all'interno di un dominio che consentono di organizzare e gestire gli oggetti di dominio in modo gerarchico. La struttura delle OU dovrebbe essere progettata in base alle esigenze di gestione, amministrazione e delega delle autorizzazioni.

Un'approccio comune consiste nell'organizzare le OU in modo che riflettano la struttura organizzativa dell'azienda. Ad esempio, si potrebbero creare OU per i dipartimenti, le funzioni aziendali o le sedi geografiche. All'interno di queste OU principali, potrebbero essere create ulteriori OU per suddividere gli oggetti di dominio in base a criteri specifici, come i gruppi di utenti, i ruoli o le posizioni.



Una volta pianificata la struttura di Active Directory è possibile proseguire nella creazione del Domain Controller ma non prima di aver installato Windows Server 2022 e tutti gli aggiornamenti del sistema operativo, in particolare quelli di sicurezza, e aver valutato l'installazione di un buon antivirus aggiornato. 


Livelli funzionali

I livelli funzionali sono utilizzati per indicare ai controller di dominio quali funzioni possono essere abilitate a livello di foresta o di dominio. Con ogni nuova versione di Active Directory, vengono aggiunte nuove funzionalità. Se si sta creando una nuova installazione di Active Directory, è opportuno utilizzare il livello funzionale più alto disponibile. I livelli funzionali possono impedire a un server di diventare un controller di dominio se il suo livello funzionale è troppo basso. I livelli funzionali possono essere impostati a livello di foresta o di dominio. I domini possono funzionare con un livello funzionale superiore a quello della foresta in cui si trovano, ma non possono funzionare con un livello funzionale inferiore a quello della foresta.
Quando si aumenta il livello funzionale, non è possibile aggiungere controller di dominio impostati su un livello funzionale inferiore. È importante notare che il livello funzionale del dominio può essere uguale o superiore al livello funzionale della foresta, ma non può essere inferiore.

Nei sistemi operativi server più vecchi, l'aumento del livello funzionale era un'operazione una tantum. Non c'era un modo semplice per annullare la modifica se questa causava problemi. Oggi non è più così. È possibile tornare a una versione precedente con PowerShell, a condizione che il rollback sia supportato e che non sia stata attivata nessuna delle nuove funzionalità che richiedono il nuovo livello funzionale. Se sono state abilitate, è necessario disabilitarle prima di poter eseguire il rollback.



Rolling back del livello funzionale della foresta

Per impostare il livello funzionale della foresta (o eseguire il rollback) da PowerSHell si utilizza il cmdlet Set-AdForestMode
Set-ADForestMode –ForestMode <livello_funzionale_desiderato>
I valori accettati per il parametro ForestMode sono
  • Windows2000Forest o 0 (Windows Server 2000)
  • Windows2003InterimForest o 1 (Windows Server 2003 Interim Forest)
  • Windows2003Forest o 2 (Windows Server 2003)
  • Windows2008Forest o 3 (Windows Server 2008)
  • Windows2008R2Forest o 4 (Windows Server 2008 R2)
  • Windows2012Forest o 5 (Windows Server 2012)
  • Windows2012R2Forest o 6 (Windows Server 2012 R2)
  • Windows2016Forest o 7 (Windows Server 2016)


Rolling back del livello funzionale del dominio

Per impostare il livello funzionale del dominio (o eseguire il rollback) da PowerSHell si utilizza il cmdlet Set-ADDomainMode
Set-ADDomainMode –DomainMode <livello_funzionale_desiderato>
I valori accettati per il parametro ForestMode sono
  • Windows2000Domain o 0 (Windows Server 2000)
  • Windows2003InterimDomain o 1 (Windows Server 2003 Interim Domain)
  • Windows2003Domain o 2 (Windows Server 2003)
  • Windows2008Domain o 3 (Windows Server 2008)
  • Windows2008R2Domain o 4 (Windows Server 2008 R2)
  • Windows2012Domain o 5 (Windows Server 2012)
  • Windows2012R2Domain o 6 (Windows Server 2012 R2)
  • Windows2016Domain o 7 (Windows Server 2016)



Livello funzionale della foresta

Per aumentare il livello funzionale della foresta, è necessario essere membri del gruppo Enterprise Admin. È necessario aumentare il livello funzionale della foresta dal controller di dominio che gestisce il ruolo Schema Master. Non è possibile farlo dagli altri controller di dominio.
Per verificare il livello funzionale attuale della foresta, aprire PowerShell ed eseguire il comando
Get-ADForest

Livello funzionale Foresta
FIG 1 - Livello funzionale Foresta


Livello funzionale del dominio

Per aumentare il livello funzionale del dominio, è necessario essere membri del gruppo Domain Admin. È necessario aumentare il livello funzionale del dominio sul controller di dominio che esegue il ruolo PDC Emulator. Non è possibile farlo dagli altri controller di dominio.
Per verificare il livello funzionale di dominio attuale, aprire PowerShell ed eseguire il comando
Get-ADDomain

Livello funzionale Dominio
FIG 2 - Livello funzionale Dominio




lunedì 1 giugno 2020

Windows Server 2019: Configurare la workstation in modo che contatti un domain controller alternativo in caso di indisponibilità di quello principale

Chi ha seguito gli articoli precedenti su Windows Server 2019 (i link sono presenti in fondo all'articolo) si ritroverà con due domain controller configurati come segue:

Nome: Server1DC
IP: 192.168.1.121
Subnet Mask: 255.255.255.0
DNS primario: 192.168.1.121

Nome: Server2DC
IP: 192.168.1.122
Subnet Mask: 255.255.255.0
DNS primario: 192.168.1.121

Per fare in modo che una workstation, nel caso non riesca a contattare Server1DC o questo non sia disponibile, provi con un domain controller alternativo come Server2DC è necessario modificare le impostazioni di rete. In pratica tra i server DNS della workstation bisogna aggiungere l'indirizzo IP del server Server2DCGeneralmente questa operazione viene effettuata centralmente tramite il server DHCP. Dato che non ho ancora trattato l'argomento DHCP, in quest'articolo mostrerò come effettuare l'operazione manualmente sulla postazione tramite GUI. I passaggi da seguire sono quelli già visti nell'articolo Windows Server 2019: Aggiungere una workstation al dominio (join al dominio):
  • Cliccare con il tasto destro del mouse sull'icona Accesso a Internet presente nell'area di notifica e selezionare Impostazioni Apri connessione e Internet.
    Windows 10, Impostazioni Apri connessione e Internet
    FIG 1 - Windows 10, Impostazioni Apri connessione e Internet
  • Cliccare sulla sezione Ethernet presente sul lato sinistro della finestra quindi cliccare su Modifica opzioni scheda.
    Impostazioni Ethernet, Modifica opzioni scheda
    FIG 2 - Impostazioni Ethernet, Modifica opzioni scheda
  • All'interno della finestra Connessioni di rete, cliccare con il tasto destro del mouse sulla scheda di rete e selezionare Proprietà dal menu contestuale. Potrebbe essere richiesto l'inserimento di credenziali di un account del dominio abilitato ad eseguire la modifica (FIG 4).
    Proprietà scheda di rete
    FIG 3 - Proprietà scheda di rete
    Connessioni di rete, richiesta credenziali
    FIG 4 - Connessioni di rete, richiesta credenziali
  • Dall'elenco selezionare Protocollo Internet versione 4 (TCP/IPv4) e cliccare sul pulsante Proprietà.
    Proprietà Protocollo Internet Versione 4 (TCP/IPv4)
    FIG 5 - Proprietà Protocollo Internet Versione 4 (TCP/IPv4)
  • All'interno del campo Server DNS alternativo digitare l'IP del domain controller aggiuntivo (Server2DC) 192.168.1.122 quindi cliccare su OK e chiudere le finestre aperte.
    Server DNS alternativo
    FIG 6 - Server DNS alternativo




sabato 16 maggio 2020

Windows Server 2019: Configurazione di un domain controller aggiuntivo

In un ambiente Windows Server ciascun controller di domino dispone di una copia locale completa del database Active Directory.  Disporre di più domain controller in un dominio, oltre a consentire una distribuzione del lavoro, mette al riparo da eventuali blocchi dell'intera infrastruttura dovuti a guasti su un server Domain Controller. Nell'articolo precedente (Windows Server 2019: Join al dominio tramite GUID) abbiamo aggiunto il nuovo server Server2DC al dominio mycompany.local. In questo articolo verrà illustrato come promuovere tale server a Domain Controller aggiuntivo, prima però è necessario procedere  all'installazione di Active Directory:
  • Da Server Manager selezionare Dashboard. Cliccare su Aggiungi ruoli e funzionalità per avviare il Wizard che ci guiderà nelle operazioni;
    Windows Server 2019, Server Manager, Aggiungi ruoli e funzionalità
    FIG 1 - Windows Server 2019, Server Manager, Aggiungi ruoli e funzionalità
  • Il Wizard fornisce alcune informazioni preliminari sull'installazione/rimozione dei ruoli e funzionalità. Cliccare su Avanti.
    Windows Server 2019, Aggiungi ruoli e funzionalità operazioni preliminari
    FIG 2 - Windows Server 2019, Aggiungi ruoli e funzionalità operazioni preliminari
  • Come Tipo di installazione selezionare l'opzione Installazione basata su ruoli o basata su funzionalità e cliccare su Avanti per proseguire.
    Windows Server 2019, Installazione basata su ruoli o basata su funzionalità
    FIG 3 - Windows Server 2019, Installazione basata su ruoli o basata su funzionalità
  • Nel passaggio successivo viene richiesto di selezionare il server in cui installare i ruoli e le funzionalità. Selezioniamo il nostro server Server2DC e clicchiamo su Avanti.
    Windows Server 2019, Selezione server di destinazione
    FIG 4 - Windows Server 2019, Selezione server di destinazione
  • Nella sezione Ruoli Server, selezionare il ruolo Servizi di dominio Active Directory.
    Windows Server 2019, Selezione ruolo Servizi di dominio Active Directory
    FIG 5 - Windows Server 2019, Selezione ruolo Servizi di dominio Active Directory
  • All'interno della finestra Aggiunta guidata ruoli e funzionalità l'utente viene avvisato sulla necessità di installare ulteriori ruoli e funzionalità per il corretto funzionamento dei Servizi di dominio Active Directory. Cliccare su Aggiungi funzionalità.
    Windows Server 2019, Aggiungere le funzionalità necessarie per Servizi di dominio Active Directory
    FIG 6 - Windows Server 2019, Aggiungere le funzionalità necessarie per Servizi di dominio Active Directory
  • Si ritorna alla schermata precedente. Cliccare su Avanti per proseguire.
    Windows Server 2019, Ruoli server
    FIG 7 - Windows Server 2019, Ruoli server
  • Nel passaggio successivo viene data la possibilità di installare ulteriori funzionalità. Passiamo oltre cliccando su Avanti.
    Windows Server 2019, Selezione funzionalità
    FIG 8 - Windows Server 2019, Selezione funzionalità
  • Nella sezione Servizi di dominio Active Directory vengono fornite informazioni sui ruoli/funzionalità che si sta installando. Cliccare su Avanti per proseguire.
    Windows Server 2019, Servizi di dominio Active Directory
    FIG 9 - Windows Server 2019, Servizi di dominio Active Directory
  • Nella sezione Conferma viene mostrato un resoconto di tutte le funzionalità che verranno installate. Cliccare sul pulsante Installa per proseguire e attendere che l'installazione venga portata a termine.
    Windows Server 2019, Conferma installazione Active Directory
    FIG 10 - Windows Server 2019, Conferma installazione Active Directory

    Windows Server 2019, Installazione in corso di Active Directory
    FIG 11 - Windows Server 2019, Installazione in corso di Active Directory
  • Al termine dell'installazione dei Servizi Active Directory cliccare sul link Alza di livello il server a controller di dominio per promuovere il server a Domain Controller.
    Windows Server 2019, Alza di livello il server a controller di dominio
    FIG 12 - Windows Server 2019, Alza di livello il server a controller di dominio
  • Nella sezione Configurazione distribuzione dobbiamo prestare attenzione a diverse impostazioni. Dato che disponiamo già di un domain controller selezionare l'opzione Aggiungi un controller di dominio a un dominio esistente. Verificare che nella casella Dominio sia indicato il dominio corretto (nel nostro caso mycompany.local) inoltre assicurarsi che le credenziali specificate siano quelle di un account del dominio che dispone delle abilitazioni per eseguire l'operazione (in caso contrario cliccare sul pulsante cambia e specificare nuove credenziali). Una volta effettuate le opportune verifiche, cliccare su Avanti per proseguire.
    Windows Server 2019, Aggiungi un controller di dominio a un dominio esistente
    FIG 13 - Windows Server 2019, Aggiungi un controller di dominio a un dominio esistente
  • Nel passo successivo viene richiesto di impostare alcune opzioni relative al controller di dominio. Lasciamo attive le funzionalità Server DNS (Domain Name System) e Catalogo globale quindi digitiamo e confermiamo una password da utilizzare per il ripristino di Active Directory. Trattandosi di un domain controller aggiuntivo, volendo, possiamo renderlo di sola lettura selezionando la relativa opzione. Lasciare la casella Controller di dominio di sola lettura disattivata e cliccare su Avanti.
    Windows Server 2019, Opzioni controller di dominio
    FIG 14 - Windows Server 2019, Opzioni controller di dominio
  • Un messaggio ci avvisa sull'impossibilità di creare una delega per il server DNS in quanto non è definita una zona padre. Cliccare su Avanti per proseguire, il DNS server verrà installato automaticamente con l'installazione di Active Directory.
    Windows Server 2019, Delega per server DNS
    FIG 15 - Windows Server 2019, Delega per server DNS
  • Nella sezione Opzioni aggiuntive viene richiesto di indicare da quale domain controller effettuare la replica. Selezionare l'opzione Qualsiasi controller di dominio e cliccare su Avanti.
    Windows Server 2019, Opzioni aggiuntive
    FIG 16 - Windows Server 2019, Opzioni aggiuntive
  • Nella fase successiva il Wizard consente di specificare il percorso in cui salvare il database di Active Directory, il file di log e il percorso per la cartella condivisa SYSVOL. Come già detto per l'installazione del primo domain controller, in ambiente di produzione è preferibile salvare tali informazioni in uno o più dischi dedicati formattati come NTFS. La cartella condivisa SYSVOL viene utilizzata per condividere informazioni come script ed elementi relativi agli oggetti Group Policy (in AD tutti gli elementi sono considerati oggetti) tra i Domain Controller. Come tutti i grandi Database anche Active Directory è composto da un file principale e un file di log che tiene traccia delle transazioni. Le modifiche effettuate al database vengono prima scritte all'interno del file di log e successivamente riportate all'interno del database. Se il server dovesse per qualche motivo spegnersi nel bel mezzo di una modifica, al successivo avvio del server Active Directory può utilizzare il file di log per assicurarsi che il database sia in uno stato coerente. Non modifichiamo l'impostazione di default e proseguiamo cliccando su Avanti.
    Windows Server 2019, Percorsi file Active Directory
    FIG 17 -  Windows Server 2019, Percorsi file Active Directory
  • Nella sezione Verifica opzioni viene mostrato un riepilogo delle impostazioni selezionate nei passaggi precedenti. Una volta presa visione delle opzioni, cliccare su Avanti per procedere.
    Windows Server 2019, Verifica opzioni
    FIG 18 - Windows Server 2019, Verifica opzioni
  • Nella fase successiva il Wizard effettua una verifica sui prerequisiti necessari alla promozione del server a controller di dominio. Se i prerequisiti vengono rispettati sarà possibile cliccare sul pulsante Installa per l'installazione del software.
    Windows Server 2019, Controllo dei prerequisiti
    FIG 19 - Windows Server 2019, Controllo dei prerequisiti
  • Il server verrà riavviato per completare l'installazione di Active Directory. Al successivo logon noteremo che in Server Manager sono stati aggiunti due servizi: DNS e Servizi di dominio Active Directory.
    Server Manager, nuovi ruoli
    FIG 20 - Server Manager, nuovi ruoli
  • Avviando Utente e computer di Active Directory noteremo che tutti gli oggetti di Active Directory sono stati replicati sul server Server2DC.
    Utenti e computer di Active Directory, oggetti replicati
    FIG 21 - Utenti e computer di Active Directory, oggetti replicati