I passi per creare un nuovo dominio Active Directory Windows Server 2012 R2 sono semplici, ma necessitano di metodica per non rischiare di ritrovarsi con problemi, che molto spesso si evidenziano a distanza di tempo.
Questo breve articolo non ha certo lo scopo di approfondire gli aspetti tecnici che stanno alla base di un dominio Active Directory. Lo scopo è semplicemente quello di dare delle indicazioni passo passo o step by step per chi ama i termini inglesi. Di fornire dei consigli pratici e di evidenziare alcuni aspetti che spesso sono sottovalutati.
Dati infrastruttura
L’articolo si basa su una installazione Workgroup di Windows Server 2012 R2 Standard Edition. Durante tutte le fasi sono stati utilizzati i valori di default proposti.
Gruppo di lavoro: workgroup
Nome Computer: DC-01
IPv4: 192.168.1.236
IPv6: ottieni indirizzo automaticamente
Subnet Mask: 255.255.255.0
Gateway: 192.168.1.1
DNS: 192.168.1.1
Foreste, alberi e domini
La creazione di un nuovo dominio implica la creazione di un nuova foresta e la creazione di un catalogo globale condiviso.
La ricerca degli oggetti (Account Utente, Account Computer, Domain Controller, etc.), all’interno di Active Directory, avviene attraverso l’utilizzo il servizio di ricerca DNS (Domain Name System).
Molti dei problemi riscontrati durante l’implementazione o l’utilizzo di una infrastruttura di dominio derivano proprio dal cattivo funzionamento del servizio DNS.
Suffisso DNS
Nella versione Windows Server 2003 era possibile implementare un suffisso DNS particolare definito Single Label Domains (SLDs). Purtroppo l’adozione di quella scelta implicava diversi problemi operativi.
Fortunatamente Windows Server 2012 R2 non consente l’implementazione di un nuovo dominio Single Label. E’ comunque possibile aggiungere un controller di dominio ad un dominio Single Label esistente.
Fino ad alcuni anni fa era consuetudine utilizzare un nome dominio privato (es. .local) ed un nome dominio pubblico (es. .it, .com, etc.).
Quindi all’interno di una infrastruttura era facile trovare un dominio privato “testerlab.local” ed un dominio pubblico “testarlab.it“.
Molti dei servizi esposti passavano attraverso la DMZ (Demilitarized Zone) del firewall perimetrale che, spesso, era il confine di applicazione del suffisso di dominio pubblico.
Negli ultimi anni si è vista una inversione di tendenza. Si utilizza sempre più un unico suffisso pubblico (es. testerlab.it) implementando quello che in gergo tecnico si chiama Split DNS. In pratica si aggiungono tutti i record DNS dei servizi erogati esternamente all’infrastruttura di dominio privato (anche se il termine risulta improprio). Un classico esempio è il record www. Nel caso in cui il sito web è ospitato da un provider esterno si punterà all’IP pubblico, viceversa si punterà all’IP privato.
Creazione del dominio
Dalla Dashboard di Server Manager di Windows Server 2012 R2, attraverso la voce di menu “Gestione” selezioniamo l’opzione “Aggiungi ruoli e funzionalità“.
Inizia la fase di aggiunta dei ruoli e funzionalità, che come precedentemente accennato avviene in maniera tale da avere un numero di riavvii del server inferiore rispetto al passato.
Il ruolo necessario per la creazione di un nuovo dominio o per l’aggiunta di un ulteriore Domain Controller è Servizi di dominio Active Directory.
In maniera assolutamente trasparente verranno selezionate le funzionalità aggiuntive necessarie all’installazione del ruolo prescelto.
E’ possibile esportare le impostazioni di configurazione utilizzate per poterle replicare su ulteriori server.
Una volta avviata l’installazione dei ruoli e funzionalità è possibile chiudere la schermata di riepilogo. Il sistema, attraverso un alert nella Dashboard ci indicherà le fasi successive.
Si passa dunque alla fase successiva, ovvero all’innalzamento del livello di funzionalità a Domain Controller. Questa fase, conosciuta dai più come dcpromo, nelle versioni di Sistema Operativo precedenti era eseguita direttamente nella fase iniziale.
Configurazione Servizi Active Directory
Nella prima maschera abbiamo la possibilità di scegliere il tipo di distribuzione necessaria.
Nel nostro caso “Aggiungi una nuova foresta“.
Il nome di dominio prescelto è testerlab.local.
Nella maschera successiva verrà proposto il livello di funzionalità della foresta e del dominio che, ovviamente, sarà Windows Server 2012 R2.
Da notare che tra le funzionalità del controller di dominio è proposto il Server DNS. Questo servizio è essenziale per il funzionamento di Active Directory ed è quindi indispensabile lasciare la spunta dell’opzione (tranne i casi di utilizzo di un server DNS già esistente).
Digitare la password per la modalità di ripristino per i servizi directory e proseguire.
Verificare, ed eventualmente modificare, il nome NetBIOS e proseguire.
Scegliere la posizione per il database dei servizi Active Directory e proseguire.
Nella maggior parte dei casi le impostazioni di default vanno accettate senza operare alcuna modifica.
Se i controlli dei prerequisiti sono soddisfatti è possibile installare i servizi di dominio Active Directory.
Al riavvio nella Dashboard di Server Manager verranno visualizzate le nuove voci dei ruoli e dei servizi appena installati.
Fasi successive e verifiche
Una volta installato il servizio di dominio Active Directory è consigliabile eseguire alcuni controlli per evitare di trascinarsi problemi latenti nel tempo.
Configurazione parametri rete
Durante la fase di installazione del dominio Active Directory l’indirizzo DNS primario dell’interfaccia di rete viene sostituito con l’indirizzo di loopback.
Di norma l’indirizzo di loopback andrebbe sostituito con l’indirizzo statico del server (192.168.1.236). Questa prassi trova un’applicazione pratica nei domini multi controller e multi site.
Di seguito le impostazioni di rete nelle varie fasi (si fa riferimento al solo protocollo IPv4):
Configurazione workgroup
IPv4: 192.168.1.236
Subnet Mask: 255.255.255.0
Gateway: 192.168.1.1
DNS: 192.168.1.1
Configurazione automatica dominio
IPv4: 192.168.1.236
Subnet Mask: 255.255.255.0
Gateway: 192.168.1.1
DNS: 127.0.0.1
Configurazione modificata dominio
IPv4: 192.168.1.236
Subnet Mask: 255.255.255.0
Gateway: 192.168.1.1
DNS: 192.168.1.236
Il DNS primario della configurazione iniziale (Workgroup) viene automaticamente utilizzato come IP di inoltro per il servizio DNS (nel nostro esempio 192.168.1.1)
Se non utilizzata, possiamo escludere dall’ascolto DNS la porta riferita al protocollo IPv6.
Verificare l’avvenuta creazione delle share di rete Sysvol e Netlogon attraverso il comando net share.
Eseguire il comando dcdiag per una verifica completa del dominio Active Directory.
Eventuali errori e disfunzioni possono presentarsi quando le risorse hardware non sono sufficienti o le prestazioni non sono in grado di garantire le performance adeguate all’esecuzione dei servizi.
Approfondimenti
Active Directory
Domain Name System
Dcdiag