Introduzione ad Active Directory ed installazione del primo Domain Controller

Molti dei ruoli e delle funzionalità disponibili in Windows Server richiedono l’integrazione in un dominio Active Directory per la loro implementazione. Con Active Directory (AD) è possibile gestire in maniera centralizzata le autenticazioni passando da un ambiente di tipo Workgroup (dove gli utenti sono definiti a livello di singola macchina) ad un modello basato su Domini, dove gli account e tutte le risorse della rete vengono gestite a livello centralizzato.

Introduzione ad Active Directory

In un ambiente AD gli oggetti della rete vengono salvati su macchine dotate di sistema operativo Windows Server chiamate Domain Controller (DC) e dove è in esecuzione il ruolo di Active Directory Domain Services (ADDS). Le risorse comunemente archiviate in AD comprendono account utente, account computer, gruppi, stampanti, cartelle condivise e group policy. Questi dati vengono salvati in un database distribuito di tipo LDAP e ogni domain controller detiene una copia locale che viene replicata con gli altri DC dell’organizzazione. Le best practice suggeriscono di installare almeno due DC per singolo dominio al fine di garantire continuità di servizio nel caso uno di questi diventasse indisponibile.

In un’infrastruttura basata su AD riveste un ruolo fondamentale il servizio di gestione dei nomi (DNS). Il DNS è un servizio che utilizza un database distribuito al fine di risolvere le richieste (o query) FQDN (Fully Qualified Domain Name) e altre richieste da hostname a indirizzo IP. I servizi di Active Directory richiedono un’infrastruttura DNS integra e funzionante, se questa non è già presente nell’organizzazione è possibile installare i servizi di risoluzione dei nomi durante la fase di setup di un domain controller.

Nel modello basato su Active Directory le informazioni vengono organizzate secondo una struttura gerarchica organizzata con la seguente logica:

  • Dominio: l’unità centrale della struttura logica in Active directory. Un dominio è un gruppo di oggetti (computer, stampanti, gruppi, etc..) che condivide un unico database di servizi di directory. Un dominio Active Directory corrisponde al dominio DNS, ovvero può condividere la stessa struttura gerarchica dei nomi: è proprio sul DNS che Active Directory basa tutto il suo funzionamento, infatti per ogni nuovo dominio Active Directory deve esserci almeno un server DNS. All’interno di ciascun dominio i dati possono essere archiviati in Organizational Unit (OU), contenitori logici che consentono di raggruppare oggetti. Alle OU possono essere associate group policy o assegnate deleghe a livello amministrativo.
  • Albero: è un insieme di domini nella foresta che condividono uno spazio dei nomi contiguo. Vi è una relazione di fiducia transitiva tra domini padre e figlio: quando si aggiunge un nuovo dominio ad un albero, il nuovo dominio viene chiamato dominio figlio. Per esempio: support.microsoft.com e download.microsoft.com sono alberi con il nome DNS microsoft.com in comune.
  • Foresta: Insieme di più alberi che non condividono lo stesso spazio dei nomi. Questi alberi condividono fra loro un catalogo globale, uno schema di directory, una struttura logica ed una configurazione. La foresta stabilisce il confine dell’intera organizzazione AD.
  • Siti: gli oggetti di tipo sito definiscono la struttura fisica della rete dell’organizzazione. Ad ogni oggetto sito vengono associate una o più subnet in modo da ottimizzare il traffico generato dalle repliche degli oggetti di AD.

Uno dei vantaggo offerti da Active Directory è la possibilità di implementare il Single Sign-On (SSO) degli utenti. L’autenticazione viene crittografata tramite protocollo Kerberos e consente all’utente di accedere a tutti i servizi e alle risorse (locali o nel cloud) per le quali detiene le autorizzazioni senza la necessità di riautenticarsi.

Installazione del primo Domain Controller

Una volta effettuato il setup del sistema operativo l’installazione dei servizi di directory in ambiente Windows Server 2016 è un’operazione piuttosto semplice che comprende due fasi: nella prima vengono aggiunti i ruoli, nella seconda il server viene innalzato a ruolo di controller di dominio.

Prima di iniziare è necessario configurare opportunamente le impostazioni di rete assegnando al server un indirizzo IP statico. Se sul server verrà aggiunto anche il ruolo di DNS server è necessario configurare l’utilizzo dell’indirizzo locale per la risoluzione dei nomi.

Per l’aggiunta del ruolo è necessario Avviare Server Manager e selezionare l’opzione “Aggiungi ruoli e funzionalità”.

Operazioni Preliminari: premere sul tasto “Avanti” per proseguire.

Tipo di installazione: selezionare l’opzione “Installazione basata su ruoli o basata su funzionalità”.

Selezione dei server: lasciare selezionata la voce “Selezionare un server dal pool di server”. Nella tabella “Pool di server”  verificare che il server corrente sia selezionato e premere su “Avanti”.

Ruoli Server: Selezionare “Servizi di dominio Active Directory”.

Per procedere con gli step successivi è necessario installare alcuni strumenti aggiuntivi. Premere sul tasto “Aggiungi funzionalità” e successivamente sul tasto “Avanti”.

Funzionalità: premere sul tasto “Avanti” senza selezionare nulla.

Servizi di dominio Active Directory: Premere sul tasto “Avanti” quando viene presentata la seguente schermata informativa:

Conferma: Nella schermata di riepilogo Premere sul tasto “Installa” per avviare il setup.

Risultati: Al termine dell’aggiunta delle nuove funzionalità premere sul collegamento “Alza di livello il server a controller di dominio“. Ora ha inizio la seconda fase dell’installazione.

Configurazione distribuzione: trattandosi del primo domain controller di una nuova foresta, selezionare l’opzione “Aggiungi una nuova foresta” ed inserire il nome DNS del nuovo dominio (nell’esempio lab.local). Premere sul tasto “Avanti” per proseguire.

Opzioni controller di dominio: in questa maschera vengono configurate diverse opzioni:

  • Livello funzionale di foresta e dominio: definiscono il livello di funzionalità supportate dai domain controller a livello di foresta e di dominio. Lasciando selezionati i valori di default (Windows Server 2016) non potranno essere aggiunti all’infrastruttura DC con sistemi operativi precedenti (quindi non saranno supportati DC con sistema operativo Windows Server 2012 R2 e precedenti).
  • Server DNS: specifica se il domain controller deve diventare anche un server DNS. Essendo questo il primo DC dell’organizzazione è necessario aggiungere questo ruolo.
  • Catalogo globale: specifica se al DC viene anche assegnato il ruolo di Global Catalog (GC). Un GC contiene una replica completa di tutti gli oggetti del dominio e una replica parziale degli oggetti di tutti i domini dell’intera struttura, quindi può ad esempio essere utilizzato per la ricerca di oggetti a livello globale. Essendo questo il primo DC dell’organizzazione questa opzione viene abilitata di default (è necessario installare almeno un GC per dominio).
  • Controller di dominio di sola lettura: i domain controller di sola lettura archiviano una copia read-only del database di AD ed il loro utilizzo può risultare funzionale in specifici ambiti di sicurezza. Essendo questo il primo DC dell’organizzazione questa opzione non pùò essere abilitata.
  • Modalità ripristino servizi directory: Directory Services Restore Mode (DSRM) è una modalità di avvio del sistema operativo che consente il ripristino di oggetti del database di Active Directory. In questi campi è necessario specificare la password che verrà poi richiesta durante l’avvio in questa modalità.

Opzioni DNS: In questa fase non sono necessarie configurazioni a livello di DNS, quindi ignorare l’avviso e procedere con il tasto “Avanti”.

Opzioni aggiuntive: Lasciare il nome Netbios del dominio proposto di default e proseguire premendo sul tasto “Avanti”.

Percorsi: In questa schermata è necessario specificare i percorsi dove verranno archiviati i file del database di AD, la cartella contenente i file di registro e la SYSVOL (una cartella di sistema presente in ogni DC dove vengono archiviati file pubblici come file di definizione delle group policy e login script).  Proseguire premendo sul tasto “Avanti”.

Verifica opzioni: Nella schermata di riepilogo è possibile verificare che le informazioni introdotte siano corrette. Proseguire premendo sul tasto “Avanti”.

Controllo dei prerequisiti: Se la convalida dei prerequisiti ha successo è possibile procedere con l’installazione premendo il tasto “Installa”. I warning relativi a problemi di incompatibilità con server NT 4.0 e sull’impossibilità di creare una delega per la zona DNS che si sta creando che possono essere ignorati.

Il server verrà automaticamente riavviato per completare l’installazione. Al riavvio è possibile effettuare il login come utente di dominio (LAB\Administrator). La password viene ereditatà dall’utente Administrator locale che da questo momento non è più utilizzabile.

 

Join dei Client al Dominio

Una volta terminata la fase di installazione dei servizi di directory è possibile configurare l’appartenenza di ogni client al dominio (join). Prima di procedere è necessario verificare le impostazioni di rete del client. I domain controller devono essere raggiungibili a livello IP e i DNS opportunamente configurati. Nell’esempio corrente il DC svolte anche il ruolo di server DNS.

Dal pannello di controllo accedere al menù “Sistema”. Nelle impostazioni relative a nome computer, dominio e gruppo di lavoro premere sul tasto “Cambia Impostazioni”.

Premere ora sul tasto “Cambia”.

Se necessario modificare il nome computer. Sotto la voce “Membro di” selezionare l’opzione “Dominio” ed inserire il nome del dominio.

Inserire le credenziali di un utente autorizzato ad effettuare il join di macchine al dominio (ad esempio l’utente administrator).

Se l’operazione va a buon fine dovrebbe comparire un pop-up che indica l’appartenenza al dominio configurato.

Premere sul tasto “OK” e successivamente confermare il riavvio del sistema per rendere effettive le modifiche. Ora è possibile effettuare l’accesso con credenziali di dominio.

Riferimenti:

https://docs.microsoft.com/en-us/windows-server/identity/ad-ds/active-directory-domain-services

2 pensieri riguardo “Introduzione ad Active Directory ed installazione del primo Domain Controller

  • mercoledì 17 luglio 2019 in 10:52
    Permalink

    molto ben fatto
    complimenti

    Risposta
  • mercoledì 29 aprile 2020 in 14:58
    Permalink

    Senza fronzoli. Esposizione chiara ed inequivocabile. Grazie

    Risposta

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *

Dimostra che sei un umano. *