Windows Server 2019: Aggiungere una workstation al dominio (join al dominio)

In quest'articolo verranno indicati i passaggi da seguire per aggiungere una workstation Windows 10 al nostro dominio mycompany.local. Per aggiungere una workstation al dominio è necessario che il server e il client riescano a comunicare tra loro pertanto devono essere entrambi connessi in rete.

La configurazione di rete del nostro server è la seguente:
Nome: Server1DC
Indirizzo IP: 192.168.1.121
Subnet Mask: 255.255.255.0

Il nostro server si trova sulla rete 192.168.1.0.  Il passo successivo consiste nel configurare la connessione alla rete del client Windows 10 in modo che riesca a comunicare con il server. Non avendo ancora implementato un server DHCP sulla rete procediamo con la configurazione manuale.

Configurazione connessione di rete sulla workstation Windows 10 da aggiungere al dominio

• Cliccare con il tasto destro del mouse sull'icona Accesso a Internet presente nell'area di notifica e selezionare Impostazioni Apri connessione e Internet.
  

  

  FIG 1 - Windows 10, Impostazioni Apri connessione e Internet

• Cliccare sulla sezione Ethernet presente sul lato sinistro della finestra quindi cliccare su Modifica opzioni scheda.
  

  

  FIG 2 - Impostazioni Ethernet, Modifica opzioni scheda

• All'interno della finestra Connessioni di rete, cliccare con il tasto destro del mouse sulla scheda di rete e selezionare Proprietà dal menu contestuale.
  

  

  FIG 3 - Proprietà scheda di rete

• Dall'elenco selezionare Protocollo Internet versione 4 (TCP/IPv4) e cliccare sul pulsante Proprietà.
  

  

  FIG 4 - Proprietà Protocollo Internet Versione 4 (TCP/IPv4)

• Selezionare l'opzione Utilizza il seguente indirizzo IP. Nel campo Indirizzo IP specificare 192.168.1.131, in Subnet mask digitare l'indirizzo 255.255.255.0. Nel nostro caso non è necessario specificare un Default gateway.
• Il domain controller funge anche da server DNS. All'interno del campo Server DNS preferito digitare l'IP del nostro server DNS 192.168.1.121 quindi cliccare su OK e chiudere le finestre aperte.
  

  

  FIG 5 - Configurazione manuale indirizzo IP e DNS preferito

Prima di procedere con la join al dominio bisogna accertarsi che la workstation riesca a comunicare con il server:

• Premere la combinazione di tasti WIN+R, digitare cmd e premere invio
• Dal prompt dei comandi digitare ipconfig seguito da invio e verificare che l'indirizzo IP e la Subnet Mask siano quelli specificati nei passi precedenti.
  

  

  FIG 6 - IPConfig

• Per verificare la comunicazione con il server utilizziamo il comando ping. Dal prompt dei comandi digitare ping 192.168.1.121 seguito da invio. Il comando ping esegue un test sulla comunicazione con l'indirizzo IP specificato (in questo caso si tratta dell'indirizzo IP del nostro server). Se viene generata una risposta allora le due postazioni sono in comunicazione tra loro in caso contrario bisognerà verificare la configurazione e la connessione alla rete.
  

  

  FIG 7 - Ping verso l'IP del server

• Per verificare che il server DNS sta facendo il proprio lavoro eseguire il comando ping -4 Server1DC (il parametro -4 forza l'utilizzo di IPv4). Se il server DNS funziona correttamente il comando restituirà, all'interno della risposta, l'indirizzo IP del server.
  

  

  FIG 8 - Verifica server DNS tramite ping nome server

Verificata la connessione tra il client e il server possiamo passare alla fase successiva della join al dominio.

Join al dominio della workstation Windows 10

• Aprire Esplora file cliccando sull'apposita icona nella barra delle applicazioni o tramite la combinazione di tasti WIN+E.
• Cliccare con il tasto destro del mouse su Questo PC e selezionare Proprietà dal menu contestuale.
  

  

  FIG 9 - Proprietà Questo PC

• Come visibile in FIG 10 questo computer ha un nome temporaneo e appartiene al gruppo di lavoro WORKGROUP. Cliccare sul link Cambia impostazioni.
  

  

  FIG 10 - Proprietà del sistema, Cambia impostazioni

• Nella finestra Proprietà del sistema cliccare sul pulsante Cambia...
  

  

  FIG 11 - Proprietà del sistema, Cambia
• Nella casella Nome computer inserire il nome che si intende assegnare al computer all'intero del dominio. Come per gli account utente anche il nome computer deve essere univoco all'interno del dominio ed è consigliabile stabilire uno standard relativo alla nomenclatura delle macchine. Generalmente si preferisce assegnare un nome significativo al PC che faccia capire la sua ubicazione (ad es. PCDIR001 ad indicare il pc numero 001 presente in Direzione).
• Selezionare l'opzione Dominio, inserire nell'apposita casella il dominio mycompany.local e cliccare su OK.
  

  

  FIG 12 - Nome computer e Dominio

• Alla richiesta delle credenziali bisognerà inserire un account utente e relativa password abilitato all'inserimento della postazione all'interno del dominio. Possiamo utilizzare l'account Administrator del nostro dominio mycompany.local.
  

  

  FIG 13 - Richiesta credenziali per la join al dominio

• Verrà mostrato un messaggio di benvenuto al dominio, cliccare su OK.
  

  

  FIG 14 - Join al dominio della workstation

• Il messaggio successivo avvisa che è necessario riavviare il sistema per rendere effettive le modifiche. Cliccare su OK (FIG 15) quindi su Chiudi (FIG 16) e poi su Riavvia adesso (FIG 17).
  

  

  FIG 15 - Riavvio richiesto per la join al dominio

  

  FIG 16 - Chiudi Proprietà del sistema

  

  FIG 17 - Riavvia ora

• Dopo il riavvio cliccare su Altro utente presente in basso a sinistra della schermata di logon.

  

  FIG 18 - Schermata logon, Altro utente

• Eseguire il logon utilizzando un account utente appartenente al dominio. Inserire l'account creato nell'articolo Windows Server 2019: Creare utenti al'interno del dominio.
  

  

  FIG 19 - Logon con account utente appartenente al dominio

• Nella creazione dell'account utente all'interno del dominio abbiamo impostato il cambio password al primo logon dell'utente. Verrà mostrata la finestra mostrata in FIG 20. Cliccare su OK, quindi digitare e confermare la nuova password che si intende impostare rispettando i requisiti minimi di sicurezza (FIG 21).
  

  

  FIG 20 - Modifica password al primo logon

  
  

  

  FIG 21 - Nuova password per l'account del dominio

Verificare che la workstation è stata aggiunta correttamente al dominio

• Da Server Manager cliccare sul menu Strumenti e selezionare Utenti e computer di Active Directory. In alternativa premere la combinazione di tasti WIN+R, digitare dsa.msc e premere invio.
  

  

  FIG 22 - Server Manager, Utenti e computer di Active Directory

• Espandere il dominio mycompany.local e selezionare il container Computers. La postazione che abbiamo aggiunto al dominio sarà presente in tale container.
  

  

  FIG 23 - Active Directory, container Computers

• Per spostarlo all'interno della unità organizzativa Direzione\Computer cliccarci su con il tasto destro del mouse e selezionare Sposta....
  

  

  FIG 24 - Active Directory, Sposta computer

• Selezionare il percorso dove si intende spostare il computer selezionato e cliccare su OK. In questo caso il percorso è mycomputer.local\Direzione\Computer.
  

  

  FIG 25 - Active Directory, Sposta computer in una nuova UO

• Come possibile verificare in FIG 26, il computer è stato spostato all'interno della UO specificata nel passo precedente.
  

  

  FIG 26 - Active Directory, Computer spostato nella nuova UO

Windows Server 2019: Aggiungere un account utente al dominio

Negli articoli precedenti è stato mostrato come creare una foresta/dominio e come aggiungervi unità organizzative. In questo articolo verrà mostrato come creare account utente all'interno del dominio.
Per default un utente che appartiene al dominio, a prescindere dalla unità organizzativa di appartenenza, può eseguire il logon su qualsiasi workstation del dominio stesso. In maniera analoga a quanto già visto per la creazione delle unità organizzative, la creazione di un nuovo account utente all'interno del dominio può essere eseguita con lo strumento Utenti e Computer di Active Directory, mediante l'utilizzo del Centro di amministrazione di Active Directory oppure tramite PowerShell. 
Prima di mostrare come aggiungere un nuovo utente al dominio è opportuno decidere uno standard da adottare relativamente ai nomi degli account utenti utilizzati per il logon. L'account utente dovrà essere univoco all'interno dell'intero dominio e può essere composto da caratteri alfanumerici e caratteri speciali ad eccezione di " / \ [ ] : ; | = , + * ? < >. Anche se gli spazi sono supportati è sconsigliabile utilizzarli all'interno dei logon name. Alcuni metodi comuni adottati prevedono l'utilizzo della prima lettera del nome seguito dal cognome, NomeCognome senza spazi, nome.cognome, matricola dipendente, ecc. Ciò non toglie che possiamo utilizzare un metodo a noi più congeniale e, per una questione di uniformità, è raccomandato applicare lo stesso metodo per tutti gli utenti che verranno aggiunti al dominio.

Creazione nuovo utente nel dominio tramite Utenti e Computer di Active Directory 

• Da Server Manager cliccare sul menu Strumenti e selezionare Utenti e computer di Active Directory. In alternativa premere la combinazione di tasti WIN+R, digitare dsa.msc e premere invio.
  

  

  FIG 1 - Server Manager, Utenti e computer di Active Directory

• Andremo a creare il nostro primo utente all'interno dell'unità organizzativa Utenti presente in Direzione. Espandere il dominio e l'unità organizzativa Direzione quindi selezionare l'unità organizzativa Utenti presente al suo interno.
• Cliccare sull'icona Crea nuovo utente nel contenitore corrente (in alternativa cliccare con il tasto destro del mouse sull'unità organizzativa Utenti, selezionare Nuovo quindi Utente dal menu contestuale).
  

  

  FIG 2 - Utenti e computer di Active Directory, Crea nuovo utente nel contenitore corrente

• Compilare i campi della nuova finestra di dialogo con il nome e cognome dell'utente da creare. Nella casella Nome accesso utente va inserito un identificativo con cui l'utente potrà effettuare il logon sulle workstation di dominio. Tale identificativo dovrà essere univoco sull'intero dominio. Una volta compilati i campi richiesti cliccare su Avanti per proseguire.
  

  

  FIG 3 - Utenti e computer di Active Directory, Nuovo oggetto utente

• Il passo successivo consiste nello specificare una password per l'utente appena creato. La password deve soddisfare i requisiti minimi di complessità: deve contenere almeno una lettera maiuscola, almeno un carattere numerico e avere una lunghezza di almeno 7 caratteri. In questa finestra possiamo impostare diverse opzioni:
  Cambiamento obbligatorio password all'accesso successivo
  Si tratta dell'opzione selezionata di default. Solitamente in questi casi l'amministratore specifica una password temporanea che l'utente dovrà cambiare al primo logon con una a propria scelta.
  Cambiamento password non consentito
  Selezionando tale opzione si impedisce all'utente di modificare la password. Per impedire il blocco dell'account alla scadenza della password, insieme a questa opzione va selezionata anche Nessuna scadenza password. Per default, se non diversamente specificato, la password dell'utente scadrà dopo 42 giorni.
  Nessuna scadenza password
  Abilitare tale opzione se non si vuole che la password dell'utente scada.
  Account disabilitato
  Selezionando l'opzione Account disabilitato l'utenza verrà comunque creata ma l'utente non potrà eseguire il logon al dominio finché il suo account non verrà abilitato.
  Per la creazione di questo primo utente specifichiamo una password temporanea e lasciamo attiva solo l'opzione Cambiamento obbligatorio password all'accesso successivo in modo da costringere l'utente a modificarla al primo logon. Cliccare su Avanti per proseguire.
  

  

  FIG 4 - Password account utente

• Nella finestra di dialogo successiva verrà mostrato un riepilogo delle informazioni del nuovo utente. Cliccare su Fine per procedere alla creazione dell'account.
  

  

  FIG 5 - Riepilogo impostazioni nuovo account utente

• L'account è stato creato nel percorso specificato.
  

  

  FIG 6 - Account utente creato in Active Directory

Creazione nuovo utente nel dominio tramite Centro di amministrazione di Active Directory 

• Da Server Manager cliccare sul menu Strumenti e selezionare Centro di amministrazione di Active Directory. In alternativa premere la combinazione di tasti WIN+R, digitare dsac.exe e premere invio.

  

  FIG 7 - Server Manager, Centro di amministrazione di Active Directory

• Sul pannello laterale di sinistra selezionare il proprio dominio (mycompany.local) quindi nel pannello centrale cliccare due volte sull'unità organizzativa Direzione e successivamente eseguire la stessa operazione su Utenti.
  

  

  FIG 8 - Unità Organizzativa Direzione

• Nel pannello Attività (sulla destra della finestra) cliccare su Nuovo e selezionare Utente (in alternativa cliccare con il tasto destro del mouse in una parte vuota del pannello centrale e selezionare Nuovo->Utente).
  

  

  FIG 9 - Centro di amministrazione di Active Directory, Nuovo account utente

• Come visibile dalla finestra di dialogo che appare, ci è possibile inserire molte più informazioni rispetto a quanto visto con lo strumento Utenti e Computer di Active Directory. Una volta inserito Nome, Cognome, la password, Accesso Utente UPN e SamAccountName, cliccare su OK per creare l'account utente.
  

  

  FIG 10 - Centro di amministrazione di Active Directory, Crea Utente

Creazione nuovo utente nel dominio con PowerShell

Per la creazione di un account utente in AD tramite PowerShell va utilizzato il cmdlet New-ADUser. Anche questo cmdlet, come già visto per le unità organizzative nell'articolo Windows Server 2019: Creare un'unità organizzativa tramite PowerShell, richiede l'utilizzo dei Distinguished Name.
Quello che andiamo a fare è creare un nuovo utente all'interno dell'unità organizzativa Utenti contenuta in Direzione all'interno del nostro dominio mycompany.local. Il comando PowerShell da eseguire è

New-ADUser -Path "OU=Utenti,OU=Direzione,DC=mycompany,DC=local" -AccountPassword (ConvertTo-SecureString Password123 -AsPlainText -force) -Name "Giovanni Lubrano Lavadera" -Givenname Giovanni -Surname "Lubrano Lavadera" -DisplayName "Giovanni Lubrano Lavadera" -SamAccountName "Giovanni.Lubrano"  -UserPrincipalName "Giovanni.Lubrano@mycompany.local" -ChangePasswordAtLogon 1 -Enabled 1

Parametri
-Path Al parametro path va passato il percorso (Distinguished Name) in cui creare il nuovo account utente.
-AccountPassword Consente di specificare la password da assegnare al nuovo account. Il valore viene memorizzato come stringa cifrata. Prima di poter passare la password a -AccountPassword questa va convertita in una SecureString con il comando ConvertTo-SecureString. 
-Name Specifica il nome dell'oggetto (proprietà Name dell'oggetto user).
-Givenname Nome dell'utente.
-Surname Cognome dell'utente.
-DisplayName Specifica il DisplayName dell'oggetto.
-SamAccountName Specifica il nome Security Account Manager (SAM) per l'account utente. La lunghezza della stringa può arrivare a 256 caratteri ma per compatibilità con i vecchi sistemi operativi si consiglia di limitare la lunghezza a un massimo di 20 caratteri.
-UserPrincipalName User Principal Name (UPN) rappresenta il nome dell'utente in un formato analogo all'email. Un UPN è formato dal logon name, dal separatore/simbolo '@' e dal nome dominio (suffisso UPN).
-ChangePasswordAtLogon Necessita in input di un valore di tipo Boolean. A tale parametro può essere passato il valore 0 (per FALSO) o 1 (per VERO). Passando il valore 1 si forza l'utente a modificare la password al primo logon eseguito con la password temporanea (Password123).
-Enabled Anche tale parametro richiede in input un valore Boolean. Passandogli il valore 1 si indica che l'account creato è abilitato.

FIG 11 - PowerShell, Creazione nuovo account utente in Active Directory

Per velocizzare l'inserimento di numerosi account utente all'interno del dominio è possibile preparare un file CSV (comma-separated values): un file di testo contenente le informazioni degli utenti,separati da virgole, da aggiungere al dominio. Il file sarà simile a quello mostrato in FIG 12.

FIG 12 - File CSV contenete l'elenco degli utenti da aggiungere al dominio

Una volta creato il file sul server (nell'esempio al file è stato assegnato il nome UserAD.csv e copiato in C:\) andremo ad eseguire il seguente comando in Windows PowerShell (amministratore) che aggiunge gli utenti elencati all'interno del file al dominio.
Import-Csv -Path C:\UserAD.csv | ForEach-Object {New-ADUser -Path $_.ou -AccountPassword (ConvertTo-SecureString Password123 -AsPlainText -force) -Name $_.name -Givenname $_.fname -Surname $_.lname -DisplayName $_.name -SamAccountName $_.sam  -UserPrincipalName $_.email -ChangePasswordAtLogon 1 -Enabled 1}

FIG 13 - PowerShell, Import del file CSV e creazione account utente all'interno del dominio

FIG 14 - Account utente importati dal file CSV tramite PowerShell

Il file CSV e il file di testo contenente il comando in PowerShell possono essere scaricati dal seguente link

DOWNLOAD

Windows Server 2019: Installazione Active Directory

Quando si installa il sistema operativo Windows, il computer viene automaticamente aggiunto ad un gruppo di lavoro chiamato WORKGROUP (o HOME). Come visibile in figura FIG 1 anche il nostro server appena installato appartiene al gruppo di lavoro WORKGROUP.

FIG 1 - Windows Server 2019, Gruppo di lavoro WORKGROUP

I computer connessi ad una rete possono essere parte di un gruppo di lavoro o di un dominio. La principale differenza tra un gruppo di lavoro e un dominio è data da come le risorse di rete vengono gestite. Generalmente i computer connessi a reti di piccole dimensioni, come quelle all'interno della propria abitazione, fanno parte di un gruppo di lavoro mentre i computer connessi a reti di grande dimensioni o di un'azienda fanno solitamente parte di un dominio. 

Per capire meglio la differenza tra un gruppo di lavoro e un dominio supponiamo di voler inibire l'accesso al Pannello di Controllo agli utenti su tutte le postazioni di una rete. 
In un gruppo di lavoro dovremmo connetterci, come amministratore, su ciascuna postazione e procedere all'impostazione manualmente. 
In un dominio tutte le impostazioni possono essere gestite centralmente attraverso un software, presente sui server, chiamato Active Directory. Tramite Active Directory è possibile, ad esempio, fare anche in modo che un determinato utente possa eseguire il logon solo su una determinata workstation dell'azienda, specificare a che ora l'utente può effettuare il login sulle postazioni, personalizzare lo sfondo delle postazioni di un particolare dipartimento dell'azienda, ecc. Un'altro caso in cui è utile utilizzare il dominio è nella distribuzione del software. Supponiamo di dover installare MS Office su tutti i computer dell'azienda. Possiamo effettuare tale operazione attraverso le group policy e utilizzando un dominio (in un prossimo articolo mostrerò come effettuare tale operazione).

Prima di procedere con l'installazione del servizio Active Directory facciamo un po' di chiarezza su alcuni termini

Workgroup
Un gruppo di lavoro è un'insieme composto da uno o più computer su una stessa rete locale o subnet che non appartengono ad un dominio. Tutti i computer sono alla pari e indipendenti e non esiste un computer che ha il controllo sugli altri. Ciascun computer dispone di un insieme di account utente e, per poter utilizzare tutti i computer di un gruppo di lavoro, è necessario disporre di un account utente su ciascun computer.

Dominio
Un dominio è la massima unità amministrativa su una rete di computer e può essere considerato come un insieme di oggetti (account utente, computer, unità organizzative, stampanti, ecc) che condividono lo stesso database consentendo notevoli vantaggi nella gestione delle risorse IT. La stessa Microsoft definisce il dominio come un insieme di computer che condividono un database di risorse di rete e che vengono amministrati come un'unità con regole e procedure comuni. 
Uno o più computer della rete sono server. Gli amministratori del dominio utilizzano i server per gestire la sicurezza e i permessi di tutti i computer/account/risorse del dominio (gestione centralizzata tramite Active Directory). 
Gli utenti che dispongono di un account di dominio possono eseguire l'accesso su tutti i computer del dominio (salvo eventuali restrizioni imposte dagli amministratori) senza che sia già presente un account locale sulla postazione. I computer possono essere su reti diverse e un dominio può a sua volta far parte di un dominio di livello superiore. 

Domain Controller
Il Domain Controller è un server con installato Windows Server e Active Directory Domain Services che, all'interno del dominio, gestisce le richieste di autenticazione relative alla sicurezza (login, controllo permessi, abilitazioni, ecc) e permette l'organizzazione della struttura del dominio gestendo utenti, gruppi, computer, unità organizzative, risorse di rete, ecc. Il server su cui è installato Active Directory che gestisce il dominio di livello superiore è definito Primary Domain Controller.


Servizi di dominio Active Directory
Active Directory Domain Services (AD DS) è un servizio integrato nei sistemi operativi Windows Server ma non viene installato di default. Affinché un server possa essere promosso a Domain Controller è necessario installare Active Directory Domain Services, il relativo database e altre funzionalità necessarie al suo corretto funzionamento. Ciascun controller di dominio dispone di una copia locale del database Active Directory che viene aggiornata dinamicamente dagli stessi domain controller. Dato che tutti i sistemi di un dominio fanno riferimento ad Active Directory è opportuno avere almeno due controller di dominio a fini di ridondanza; in questo modo se un controller di dominio presenta problemi o non si avvia, l'intera infrastruttura continuerà a funzionare.

Foresta
Una Foresta è una singola istanza di Active Directory. All'interno di una Foresta è possibile avere uno o più domini che condividono lo stesso schema. Un singolo dominio su un singolo Domain Controller rappresenta la più piccola Foresta che è possibile creare. La Foresta è indicata anche come recinto di sicurezza in cui gli utenti, i computer e altri oggetti sono accessibili.

Catalogo Globale (Global Catalog)
Un catalogo globale contiene tutte le informazioni relative al suo dominio più le informazioni relative agli altri domini della foresta. Risiede sui controller di dominio che sono stati abilitati come server del catalogo globale e i dati sono distribuiti attraverso la replica di Active Directory. Un Domain Controller configurato come Global Catalog conserva, oltre alla intera partizione del suo dominio, alle partizioni schema e configuration della foresta anche una replica parziale e di sola lettura delle partizioni degli altri domini. Esiste un unico Global Catalog all'interno di una Foresta ma ci sono più copie distribuite tra i domain controller. Un Global Catalog oltre ad essere usato dai client per le ricerche in Active Directory, fornisce anche altri servizi come ad esempio fornire riferimenti ad altri oggetti in diversi domini, la risoluzione dei nomi principali degli utenti (UPN) e l'universal group membership caching.

Installazione ruolo Servizi di dominio Active Directory

Nell'articolo Windows Server 2019: Installazione sono stati mostrati i passaggi per l'installazione di Windows Server 2019. Affinché il server sia funzionale non basta la semplice installazione del sistema operativo ma bisogna attribuirgli un ruolo all'interno della rete. In Windows Server 2019 possiamo gestire ruoli e funzionalità attraverso il Server Manager. I ruoli forniscono un servizio specifico ai client come Servizi di dominio Active Directory, server DNS, server DHCP, server web, ecc. Le funzionalità, invece, sono generalmente software che supportano i ruoli ma non forniscono servizi ai client. Quando si installa un ruolo server spesso viene automaticamente proposta l'installazione delle funzionalità aggiuntive richieste. Alcuni esempi di funzionalità sono: .NET Framework 4.6, BitLocker Drive, Crittografia, Failover Clustering e Windows Server Backup.

Per creare e gestire il nostro primo dominio dobbiamo procedere all'installazione del ruolo Servizi di dominio Active Directory sul nostro server.
Come indicato precedentemente, il modo più semplice per assegnare un ruolo al server è quello di procedere tramite il Wizard di Server Manager:

• Nella finestra di Server Manager cliccare sulla sezione Dashboard;
• Cliccare su Aggiungi ruoli e funzionalità per avviare il Wizard che ci guiderà nelle operazioni;
  

  

  FIG 2 - Windows Server 2019, Server Manager, Aggiungi ruoli e funzionalità

• Il Wizard fornisce alcune informazioni preliminari sull'installazione/rimozione dei ruoli e funzionalità. Cliccare su Avanti.
  

  

  FIG 3 - Windows Server 2019, Aggiungi ruoli e funzionalità operazioni preliminari

• Il passo successivo consiste nel selezionare il tipo di installazione desiderato: possiamo scegliere tra installare ruoli e funzionalità su un server oppure installare una specifica risorsa sull'infrastruttura VDI. Selezionare l'opzione Installazione basata su ruoli o basata su funzionalità e cliccare su Avanti per proseguire.
  

  

  FIG 4 - Windows Server 2019, Installazione basata su ruoli o basata su funzionalità

• In questo passaggio possiamo selezionare su quale server installare i ruoli e le funzionalità. Al momento abbiamo un unico server quindi proseguire cliccando su Avanti.
  

  

  FIG 5 - Windows Server 2019, Selezione server di destinazione

• Dall'elenco dei ruoli, selezionare l'opzione Servizi di dominio Active Directory.
  

  

  FIG 6 - Windows Server 2019, Ruoli server, Servizi di dominio Active Directory

• Apparirà una nuova finestra che avvisa l'utente sulla necessità di installare ulteriori ruoli e funzionalità per il corretto funzionamento dei Servizi di dominio Active Directory. Cliccare su Aggiungi funzionalità.
  

  

  FIG 7 - Windows Server 2019, Aggiungere le funzionalità necessarie per Servizi di dominio Active Directory

• Si ritorna alla schermata precedente. Cliccare su Avanti per proseguire.
  

  

  FIG 8 - Windows Server 2019, Ruoli server

• Nel passaggio successivo ci viene data la possibilità di installare ulteriori funzionalità se necessario ma al momento possiamo passare oltre cliccando su Avanti.
  

  

  FIG 9 - Windows Server 2019, Funzionalità

• Nella nuova schermata vengono fornite informazioni sui ruoli/funzionalità che si sta installando. Un buon suggerimento è quello di avere almeno due controller di dominio per ogni dominio (in un prossimo articolo mostrerò come aggiungere un nuovo domain controller all'infrastruttura). Cliccare su Avanti.
  

  

  FIG 10 - Windows Server 2019, Servizi di dominio Active Directory

• Ci viene mostrato un resoconto su tutte le funzionalità che verranno installate. Cliccare sul pulsante Installa per proseguire e attendere che l'installazione venga portata a termine.
  

  

  FIG 11 - Windows Server 2019, Conferma selezioni per l'installazione

  
  

  

  FIG 12 - Windows Server 2019, Stato installazione

• Con l'installazione completata dei Servizi Active Directory il passo successivo consiste nel promuovere il server a Domain controller. L'operazione può essere eseguita sia cliccando sull'apposito link Alza di livello il server a controller di dominio (FIG 13) che ci viene mostrato dopo l'installazione del servizio Active Directory sia utilizzando il link che ritroviamo cliccando sull'icona delle notifiche (FIG 14).
  

  

  FIG 13 - Windows Server 2019, Alza di livello il server a controller di dominio

  
  

  

  FIG 14 - Windows Server 2019, Alza di livello il server a controller di dominio

• Una volta cliccato sul link Alza di livello il server a controller di dominio verrà visualizzata una nuova procedura guidata con 3 opzioni:
  1. Aggiungi un controller di dominio a un dominio esistente;
  2. Aggiungi un nuovo dominio a una foresta esistente;
  3. Aggiungi una nuova foresta.
  Trattandosi del nostro primo dominio l'opzione da selezionare è Aggiungi una nuova foresta. Nell'apposita casella va inserito il nome del dominio radice che si intende creare. Il nome va inserito nel formato simile al Fully Qualified Domain Name (FQDN) e sarà composto da due parti: il nome vero e proprio e un suffisso separati da un punto (ad es. forest.com, azienda.com, miodominio.local). Generalmente per i domini che non devono essere visibili dall'esterno si preferisce utilizzare il suffisso .local. Digitare il nome del dominio radice (in FIG 15 è stato inserito mycompany.local) che si intende creare quindi cliccare su Avanti per proseguire. Il nome del dominio inserito sarà anche quello della foresta.
  

  

  FIG 15 - Windows Server 2019, Aggiungi una nuova foresta

• Il passo successivo consiste nello specificare le opzioni del controller di dominio. Le prime impostazioni sono relative al livello di funzionalità della foresta e del dominio. I software Active Directory installati su più server dell'infrastruttura devono essere compatibili tra loro: se all'interno della foresta c'è un server Domain Controller con installato Windows Server 2012 R2 allora gli altri server devono avere un livello di funzionalità compatibile con tale versione. Al momento la versione più recente del livello di funzionalità è Windows Server 2016. Dato che useremo solo server Windows Server 2019 all'interno dell'infrastruttura, selezioniamo Windows Server 2016 come livello di funzionalità per la foresta e il dominio.  Le successive tre opzioni consentono di specificare le funzionalità del controller di dominio: Server DNS (Domain Name System), Catalogo globale, Controller di dominio di sola lettura. Per il Domain Controller è necessario che sia presente un Server DNS (Domain Name System). Active Directory dipende fortemente dal DNS in quanto registra tutti i tipi di record di servizio (SRV) nel DNS per localizzare servizi specifici necessari per il suo corretto funzionamento. Il server DNS può essere installato anche su altre macchine della rete ma è preferibile che sia installato su un Domain Controller. Nel nostro caso lasciamo selezionata l'opzione Server DNS (Domain Name System). Oltre al DNS è necessario installare anche il catalogo globale (Global Catalog). Come visibile in figura l'opzione relativa al Catalogo globale non può essere disattivata in quanto fondamentale per il corretto funzionamento del nostro Domain Controller. La casella Controller di dominio di sola lettura consente di creare una copia di sola lettura del database di Active Directory su un server ubicato in un posto non del tutto sicuro. Trattandosi del primo Domain Controller l'opzione è disattivata: il primo controller di dominio all'interno dell'infrastruttura non può essere di sola lettura (Read Only Domain Controller o RODC). In questa fase viene anche richiesto di specificare e confermare la password da utilizzare in caso di ripristino dei servizi directory (Directory Services Restore Mode o DSRM). Una volta specificate le opzioni/impostazioni cliccare su pulsante Installa.
  

  

  FIG 16 - Windows Server 2019, Opzioni controller di dominio

• Nella successiva schermata appare un messaggio che ci avvisa sull'impossibilità di creare una delega per il server DNS in quanto non è definita una zona padre. Il messaggio non rappresenta un vero problema dato che sul server non disponiamo ancora del servizio DNS. Il DNS server verrà installato automaticamente con l'installazione di Active Directory e il problema verrà risolto. Cliccare su Avanti per proseguire.
  

  

  FIG 17 - Windows Server 2019, Opzioni DNS

• Il passo seguente consiste nel settare il nome NetBIOS del dominio. NetBIOS consente alle applicazioni che si trovano su diversi computer, di comunicare tra loro. Accettare il NetBIOS domain name suggerito e cliccare su Avanti.

  

  FIG 18 - Windows Server 2019, Nome di dominio NetBIOS

• A questo punto il Wizard consente di specificare il percorso in cui salvare il database di Active Directory, il file di log e il percorso per la cartella condivisa SYSVOL. In ambiente di produzione generalmente è preferibile salvare tali informazioni in uno o più dischi dedicati formattati come NTFS. La cartella condivisa SYSVOL viene utilizzata per condividere informazioni come script ed elementi relativi agli oggetti Group Policy (in AD tutti gli elementi sono considerati oggetti) tra i Domain Controller. Come tutti i grandi Database anche Active Directory è composto da un file principale e un file di log che tiene traccia delle transazioni. Le modifiche effettuate al database vengono prima scritte all'interno del file di log e successivamente riportate all'interno del database. Se il server dovesse per qualche motivo spegnersi nel bel mezzo di una modifica, al successivo avvio del server Active Directory può utilizzare il file di log per assicurarsi che il database sia in uno stato coerente. Nel nostro caso non modifichiamo l'impostazione di default e proseguiamo cliccando su Avanti.
  

  

  FIG 19 - Windows Server 2019, Percorsi file Active Directory

• Nella fase Verifica opzioni viene mostrato un riepilogo delle impostazioni selezionate nei passaggi precedenti. Presa visione delle opzioni, cliccare su Avanti per procedere.
  

  

  FIG 20 - Windows Server 2019, Verifica opzioni

• Nella fase Controllo dei prerequisiti del Wizard viene eseguita una verifica sui prerequisiti necessari alla promozione del server a controller di dominio. Se vengono rispettati i prerequisiti sarà possibile cliccare sul pulsante Installa per l'installazione del software.
  

  

  FIG 21 - Windows Server 2019, Controllo dei prerequisiti

  

  FIG 22 - Windows Server 2019, Installazione Active Directory

• Al termine dell'installazione il server verrà riavviato. Nella schermata di logon noteremo che adesso accediamo come amministratore di dominio (mycompany\Administrator) e non come amministratore locale. Eseguire il logon inserendo la password dell'utente Administrator.
  

  

  FIG 23 - Windows Server 2019, Logon come amministratore di dominio

• In Server Manager noteremo che sono stati aggiunti due servizi: DNS e Servizi di dominio Active Directory.
  

  

  FIG 24 - Server Manager, nuovi ruoli

L'installazione di Active Directory sul nostro server è terminata. In un prossimo articolo su Windows Server 2019 illustrerò come creare un unità organizzativa.