Installazione Active Directory

Installazione Active Directory su Windows Server 2019

L’installazione Active Directory è il cuore, in qualsiasi infrastruttura IT, della maggior parte delle aziende ed è il primo strato su cui costruire la parte di sicurezza, compliance ed automazione per utenti e computer. Per creare la giusta infrastruttura, non è necessario essere un mago ma è importante conoscere alcuni piccoli trucchi per evitare problemi di configurazione e di sicurezza.

Active directory o dominio in breve

Active Directory è nato oltre 18 anni fa, con l’arrivo di Windows 2000 Server, per consolidare un modello introdotto in Windows NT4. L’idea di AD è quella di avere un database con tutte le informazioni relative agli oggetti dell’infrastruttura (utenti, computer, gruppi, etc) al fine di semplificarne l’accesso e lo scambio di dati. Come ogni database, anche altri prodotti possono leggerne il suo contenuto per valutare l’accesso alle varie risorse.

La caratteristica più importante di Active Directory è quella di poter estendere il proprio schema per aggiungere colonne, proprietà e valori. Alcune applicazioni, come Exchange Server, utilizzano AD per aggiungere i loro elementi e funzionalità; questo consente di consolidare ed evitare di inventarsi altri metodi per gestire i permessi e le proprietà delle cassette postali.

Prima di procedere all’installazione Active Directory, è necessario conoscere i termini chiave perché sapere a cosa servono, aiuta a capire anche come affrontare il troubleshooting, nel caso ci siano dei problemi.

Workgroup

Un gruppo di lavoro è un’insieme composto da uno o più computer su una stessa rete locale o subnet che non appartengono ad un dominio. Tutti i computer sono alla pari e indipendenti e non esiste un computer che ha il controllo sugli altri. Ciascun computer dispone di un insieme di account utente e, per poter utilizzare tutti i computer di un gruppo di lavoro, è necessario disporre di un account utente su ciascun computer.

Dominio

Un dominio è la massima unità amministrativa su una rete di computer e può essere considerato come un insieme di oggetti (account utente, computer, unità organizzative, stampanti, ecc) che condividono lo stesso database consentendo notevoli vantaggi nella gestione delle risorse IT. La stessa Microsoft definisce il dominio come un insieme di computer che condividono un database di risorse di rete e che vengono amministrati come un’unità con regole e procedure comuni. 


Uno o più computer della rete sono server. Gli amministratori del dominio utilizzano i server per gestire la sicurezza e i permessi di tutti i computer/account/risorse del dominio (gestione centralizzata tramite Active Directory). 
Gli utenti che dispongono di un account di dominio possono eseguire l’accesso su tutti i computer del dominio (salvo eventuali restrizioni imposte dagli amministratori) senza che sia già presente un account locale sulla postazione. I computer possono essere su reti diverse e un dominio può a sua volta far parte di un dominio di livello superiore. 

Domain Controller

Il Domain Controller è un server con installato Windows Server e Active Directory Domain Services che, all’interno del dominio, gestisce le richieste di autenticazione relative alla sicurezza (login, controllo permessi, abilitazioni, ecc) e permette l’organizzazione della struttura del dominio gestendo utenti, gruppi, computer, unità organizzative, risorse di rete, ecc. Il server su cui è installato Active Directory che gestisce il dominio di livello superiore è definito Primary Domain Controller.

Servizi di dominio Active Directory

Active Directory Domain Services (AD DS) è un servizio integrato nei sistemi operativi Windows Server ma non viene installato di default. Affinché un server possa essere promosso a Domain Controller è necessario installare Active Directory Domain Services, il relativo database e altre funzionalità necessarie al suo corretto funzionamento.

Ciascun controller di dominio dispone di una copia locale del database Active Directory che viene aggiornata dinamicamente dagli stessi domain controller. Dato che tutti i sistemi di un dominio fanno riferimento ad Active Directory è opportuno avere almeno due controller di dominio a fini di ridondanza; in questo modo se un controller di dominio presenta problemi o non si avvia, l’intera infrastruttura continuerà a funzionare.

Foresta

Una Foresta è una singola istanza di Active Directory. All’interno di una Foresta è possibile avere uno o più domini che condividono lo stesso schema. Un singolo dominio su un singolo Domain Controller rappresenta la più piccola Foresta che è possibile creare. La Foresta è indicata anche come recinto di sicurezza in cui gli utenti, i computer e altri oggetti sono accessibili.

Catalogo Globale (Global Catalog)

Un catalogo globale contiene tutte le informazioni relative al suo dominio più le informazioni relative agli altri domini della foresta. Risiede sui controller di dominio che sono stati abilitati come server del catalogo globale e i dati sono distribuiti attraverso la replica di Active Directory. Un Domain Controller configurato come Global Catalog conserva, oltre alla intera partizione del suo dominio, alle partizioni schema e configuration della foresta anche una replica parziale e di sola lettura delle partizioni degli altri domini.

Esiste un unico Global Catalog all’interno di una Foresta ma ci sono più copie distribuite tra i domain controller. Un Global Catalog oltre ad essere usato dai client per le ricerche in Active Directory, fornisce anche altri servizi come ad esempio fornire riferimenti ad altri oggetti in diversi domini, la risoluzione dei nomi principali degli utenti (UPN) e l’universal group membership caching.

Installazione Active Directory

In Windows Server 2019 possiamo gestire ruoli e funzionalità attraverso il Server Manager. I ruoli forniscono un servizio specifico ai client come Servizi di dominio Active Directory, server DNS, server DHCP, server web, ecc. Le funzionalità, invece, sono generalmente software che supportano i ruoli ma non forniscono servizi ai client. Quando si installa un ruolo server spesso viene automaticamente proposta l’installazione delle funzionalità aggiuntive richieste. Alcuni esempi di funzionalità sono: .NET Framework 4.6BitLocker Drive, Crittografia, Failover Clustering e Windows Server Backup.

Per creare e gestire il nostro primo dominio dobbiamo procedere all’installazione del ruolo Servizi di dominio Active Directory sul nostro server.
Come indicato precedentemente, il modo più semplice per assegnare un ruolo al server è quello di procedere tramite il Wizard di Server Manager:

  • Nella finestra di Server Manager cliccare sulla sezione Dashboard;
  • Cliccare su Aggiungi ruoli e funzionalità per avviare il Wizard che ci guiderà nelle operazioni
  • Il Wizard fornisce alcune informazioni preliminari sull’installazione/rimozione dei ruoli e funzionalità. Cliccare su Avanti.
  • Il passo successivo consiste nel selezionare il tipo di installazione desiderato: possiamo scegliere tra installare ruoli e funzionalità su un server oppure installare una specifica risorsa sull’infrastruttura VDI. Selezionare l’opzione Installazione basata su ruoli o basata su funzionalità e cliccare su Avanti per proseguire.
  • In questo passaggio possiamo selezionare su quale server installare i ruoli e le funzionalità. Al momento abbiamo un unico server quindi proseguire cliccando su Avanti.
  • Dall’elenco dei ruoli, selezionare l’opzione Servizi di dominio Active Directory.
  • Apparirà una nuova finestra che avvisa l’utente sulla necessità di installare ulteriori ruoli e funzionalità per il corretto funzionamento dei Servizi di dominio Active Directory. Cliccare su Aggiungi funzionalità.
  • Si ritorna alla schermata precedente. Cliccare su Avanti per proseguire.
  • Nel passaggio successivo ci viene data la possibilità di installare ulteriori funzionalità se necessario ma al momento possiamo passare oltre cliccando su Avanti.
  • Nella nuova schermata vengono fornite informazioni sui ruoli/funzionalità che si sta installando. Un buon suggerimento è quello di avere almeno due controller di dominio per ogni dominio (in un prossimo articolo mostrerò come aggiungere un nuovo domain controller all’infrastruttura). Cliccare su Avanti.
  • Ci viene mostrato un resoconto su tutte le funzionalità che verranno installate. Cliccare sul pulsante Installa per proseguire e attendere che l’installazione venga portata a termine.
  • Con l’installazione completata dei Servizi Active Directory il passo successivo consiste nel promuovere il server a Domain controller. L’operazione può essere eseguita sia cliccando sull’apposito link Alza di livello il server a controller di dominio che ci viene mostrato dopo l’installazione del servizio Active Directory sia utilizzando il link che ritroviamo cliccando sull’icona delle notifiche.

L’ordine della galleria delle immagini sono disposte in ordine di tutti i passaggi da seguire per l’installazione Active Directory.

Procedura per Domain Controller

Una volta cliccato sul link Alza di livello il server a controller di dominio verrà visualizzata una nuova procedura guidata con 3 opzioni:

  • Aggiungi un controller di dominio a un dominio esistente;
  • Aggiungi un nuovo dominio a una foresta esistente;
  • Aggiungi una nuova foresta.


Trattandosi del nostro primo dominio l’opzione da selezionare è Aggiungi una nuova foresta. Nell’apposita casella va inserito il nome del dominio radice che di intende creare. Il nome va inserito nel formato simile al Fully Qualified Domain Name (FQDN) e sarà composto da due parti: il nome vero e proprio e un suffisso separati da un punto (ad es. forest.com, azienda.com, miodominio.local).

Generalmente per i domini che non devono essere visibili dall’esterno si preferisce utilizzare il suffisso .local. Digitare il nome del dominio radice (è stato inserito mycompany.local) che si intende creare quindi cliccare su Avanti per proseguire. Il nome del dominio inserito sarà anche quello della foresta

Il passo successivo consiste nello specificare le opzioni del controller di dominio. Le prime impostazioni sono relative al livello di funzionalità della foresta e del dominio. I software Active Directory installati su più server dell’infrastruttura devono essere compatibili tra loro: se all’interno della foresta c’è un server Domain Controller con installato Windows Server 2012 R2 allora gli altri server devono avere un livello di funzionalità compatibile con tale versione. Al momento la versione più recente del livello di funzionalità è Windows Server 2016.

Dato che useremo solo server Windows Server 2019 all’interno dell’infrastruttura, selezioniamo Windows Server 2016 come livello di funzionalità per la foresta e il dominio.  Le successive tre opzioni consentono di specificare le funzionalità del controller di dominio: Server DNS (Domain Name System)Catalogo globaleController di dominio di sola lettura.

Per il Domain Controller è necessario che sia presente un Server DNS (Domain Name System). Active Directory dipende fortemente dal DNS in quanto registra tutti i tipi di record di servizio (SRV) nel DNS per localizzare servizi specifici necessari per il suo corretto funzionamento. Il server DNS può essere installato anche su altre macchine della rete ma è preferibile che sia installato su un Domain Controller.

Nel nostro caso lasciamo selezionata l’opzione Server DNS (Domain Name System). Oltre al DNS è necessario installare anche il catalogo globale (Global Catalog). Come visibile in figura l’opzione relativa al Catalogo globale non può essere disattivata in quanto fondamentale per il corretto funzionamento del nostro Domain Controller. La casella Controller di dominio di sola lettura consente di creare una copia di sola lettura del database di Active Directory su un server ubicato in un posto non del tutto sicuro.

Trattandosi del primo Domain Controller l’opzione è disattivata: il primo controller di dominio all’interno dell’infrastruttura non può essere di sola lettura (Read Only Domain Controller o RODC). In questa fase viene anche richiesto di specificare e confermare la password da utilizzare in caso di ripristino dei servizi directory (Directory Services Restore Mode o DSRM). Una volta specificate le opzioni/impostazioni cliccare su pulsante Installa.

  • Nella successiva schermata appare un messaggio che ci avvisa sull’impossibilità di creare una delega per il server DNS in quanto non è definita una zona padre. Il messaggio non rappresenta un vero problema dato che sul server non disponiamo ancora del servizio DNS. Il DNS server verrà installato automaticamente con l’installazione di Active Directory e il problema verrà risolto. Cliccare su Avanti per proseguire.
  • Il passo seguente consiste nel settare il nome NetBIOS del dominio. NetBIOS consente alle applicazioni che si trovano su diversi computer, di comunicare tra loro. Accettare il NetBIOS domain name suggerito e cliccare su Avanti.
  • A questo punto il Wizard consente di specificare il percorso in cui salvare il database di Active Directory, il file di log e il percorso per la cartella condivisa SYSVOL. In ambiente di produzione generalmente è preferibile salvare tali informazioni in uno o più dischi dedicati formattati come NTFS. La cartella condivisa SYSVOL viene utilizzata per condividere informazioni come script ed elementi relativi agli oggetti Group Policy (in AD tutti gli elementi sono considerati oggetti) tra i Domain Controller. Come tutti i grandi Database anche Active Directory è composto da un file principale e un file di log che tiene traccia delle transazioni. Le modifiche effettuate al database vengono prima scritte all’interno del file di log e successivamente riportate all’interno del database. Se il server dovesse per qualche motivo spegnersi nel bel mezzo di una modifica, al successivo avvio del server Active Directory può utilizzare il file di log per assicurarsi che il database sia in uno stato coerente. Nel nostro caso non modifichiamo l’impostazione di default e proseguiamo cliccando su Avanti.
  • Nella fase Verifica opzioni viene mostrato un riepilogo delle impostazioni selezionate nei passaggi precedenti. Presa visione delle opzioni, cliccare su Avanti per procedere.
  • Nella fase Controllo dei prerequisiti del Wizard viene eseguita una verifica sui prerequisiti necessari alla promozione del server a controller di dominio. Se vengono rispettati i prerequisiti sarà possibile cliccare sul pulsante Installa per l’installazione del software.
  • Al termine dell’installazione il server verrà riavviato. Nella schermata di logon noteremo che adesso accediamo come amministratore di dominio (mycompany\Administrator) e non come amministratore locale. Eseguire il logon inserendo la password dell’utente Administrator.

Conclusione

Abbiamo visto insieme tutti i passaggi per eseguire l’installazione Active Directory. Se hai difficoltà scrivimi nei commenti.

Autore Bartolomeo

Consulente tecnico con la passione per il web e la tecnologia e tutto quello che le ronza intorno.
Nel tempo libero scrivo articoli per il mio blog su argomenti vari, in particolare su configurazione Windows, Linux e WordPress.

Condividi questo articolo!

4 Commenti

Pasquale Rispondi

Ciao,
come posso aggiungere utenti solo con il gruppo di lavoro con windows server 2019?

Grazie

Bartolomeo Rispondi

Ciao Pasquale,
ti è sufficiente aggiungere un utente dal pannello nei controllo, precisamente nella gestione utenti.
Successivamente puoi aggiungerlo ad eventuali gruppi locali.
Un saluto

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *

Ho letto la policy privacy e accetto il trattamento dei miei dati personali in conformità al D.Lgs. 196/2003