Una delle attività più importanti che un amministratore di rete Windows è portato a fare è sicuramente la gestione e spesso la creazione di un dominio Active Direcory. La centralizzazione delle risorse, il controllo da un cruscutto centralizzato sono tutte "prelibatezze" alle quali è difficile rinunciare. Una delle fasi più importanti resta quella della pianificazione e progettazione del dominio, ma di quello parleremo in un altro articolo. Vediamo ora i passi fondamentali per creare ex novo un dominio con Windows Server 2008.
Chi ha confidenza con sistemi Windows Server precedenti avrà notato che, tralasciando l'interfaccia utente, non sono state apportate grandi novità.
Prevediamo di creare il nuovo dominio testdom.local: è sempre consigliabile utilizzare estensioni personalizzate quali .local, o .priv, piuttosto che .lan e non utilizzate dalle root internet quali ad esempio .it, .com, .net per non incappare in fastidiosi problemi di proxy.
Il nostro Windows Server 2008 sarà il primo domain controller all'interno del dominio (e quindi anche il primo domain controller della foresta). Partiamo da un presupposto fondamentale: il nostro server ha ALMENO un indirizzo IP Fisso.
Possiamo utilizzare due approcci:
- Utilizzare il comando dcpromo.exe dalla finestra esegui (
menu start->run) - Oppure utilizzare il nuovo strumento Server Manager che permette di gestire i ruoli server e aggiungere il ruolo Active Directory Domain Services e successivamente eseguire il comando
dcpromo.exe
Le due modalità si equivalgono, ma la seconda permette un controllo e personalizzazione maggiori. La prima figura rappresenta la nuova interfaccia Server Manager (che sostituisce il tool Manage Your Server) dove è possibile scegliere il ruolo desiderato. In questo caso Active Direcotry Domain Services.
La seconda figura rappresenta un risposta "verbose" alla scelta e informa l'amministratore di ciò che accadrà e quali saranno i passi successivi dell'installazione.
Ma tutto ciò che è troppo "wizard" ci spaventa e optiamo per il comando Dcpromo.exe che, prima dell'installazione, prepara l'ambiente con gli adeguati file binari per la fase di installazione vera e propria.
Appare la prima schermata di benvenuto e per ora evitiamo l'installazione in modalità avanzata.
Successivamente scegliamo Create a new domain in a new forest visto che il contesto è quello di nuova foresta.
È utile notare che, con la creazione del primo domain controller, creiamo anche la prima Foresta. Questo comporta parecchie considerazioni sui dettagli della progettazione che tratteremo in un altro articolo. A questo punto possiamo inserire il nome del dominio (l'FQDN) testdom.local. Se caso omettiamo il .local, Windows Server 2008 ci informa della mancanza della nomenclatura standard DNS.
Una volta inserito il nome e dato next il sistema verifica che il nome inserito non sia già presente nella foresta Active Directory, avvalendosi della configurazione TCP, in particolare il DNS.
Arriva il momento di scegliere il livello funzionale del dominio. La scelta dipende da che tipo di pianificazione abbiamo fatto e da che tipo di conoscenza di crescita del dominio abbiamo. Se pensiamo di inserire nel nostro dominio Domain Controller Windows 2000, è necessario selezionare il livello funzionale Windows 2000. Se, invece, sappiamo di dover inserire Domain Controller equipaggiati con Windows Server 2003, sceglieremo il livello funzionale Windows Server 2003.
In questo esempio immaginiamo di avere un mondo ideale e di avere solo Domain Controller con Windows 2008. È evidente che non sarà possibile inserire in futuro Domain Controller con sistemi operativi precedenti. Quindi attenzione! Meglio, in fase di istallazione scegliere un livello piuttosto basso per poi cambiarlo successivamente, perché il downgrade ad un livello più basso non è possibile.
È importante evidenziare le nuove funzionalità introdotte dal nuovo livello funzionale Windows Server 2008:
- password policy più granulari, con la possibilità di creare diverse politiche di password per diversi utenti e gruppi di utenti del dominio
- supporto a DFS della replica di Sysvol
- il supporto ad AES (AES 128 e 256) per il protocollo Kerberos
- le infromazioni sull'ultimo accesso interattivo di un utente, da quale workstation e il numero di tentativi falliti prima di un logon avvenuto con successo
Un altro next e arriviamo al cuore dell'installazione del dominio Windows. La possibilità di installare server DNS (che non sono stati rilevati in rete). Il ruolo di Global Catalog è automaticamente selezionato e non modificabile (essendo questo il primo Domain Controller del dominio).
Il server DNS è, insieme a kerberos e LDAP, il pilastro di una infrastruttura directory service di Microsoft. Per una prima installazione è CONSIGLIABILISSIMO mantenere questo automatismo. Possiamo ignorare tranquillamente il messaggio seguente dando Yes.
La prossima schermata propone il posizionamento fisico dei file del database (NTDS.DIT), dei file di log e della cartella Sysvol.
Per comodità sono stati mantenuti i dati di default, ma nella realtà è fondamentale mantenere l'integrità dei dati, posizionandoli su percorsi fisici diversi (volumi in failover, raid, ecc). È importante che i volumi siano formattati NTFS.
A questo punto inseriamo la password per la Directory Service Restore Mode (che deve rispettare i requisiti di complessità) e accediamo alla schermata finale, che riassume la configurazione scelta.
Cliccando sul nuovo pulsante Export Settings è possibile esportare la configurazione in un file di testo per essere poi riutilizzata in un' installazione in modalità non presidiata (unattended).
Al completamento dell'installazione verrà richiesto il riavvio della macchina (automatico se abilitato il checkbox Reboot on completion).
Per una verifica dell'installazione corretta potremo fare riferimento all'articolo KB816106.
Nel caso non lo avessimo fatto prima dell'installazione ricordiamoci a questo punto di modificare la configurazione del DNS primario nelle proprietà del TCP/IP, che il wizard di installazione ha modificato in 127.0.0.1, mettendo l'indirizzo IP del server stesso.
Una bella novità è l'installazione automatica della nuova Group Policy Management Console (GPMC) che è comunque installabile come funzionalità aggiuntiva tramite il Server Manager.