• Guide, Sistemi Operativi
• 11 Giugno 2016

Con l’uscita di Windows Server 2016 molte infrastrutture prenderanno la decisione di aggiornare i propri Domain Controller in particolar modo se ancora ne hanno alcuni basati su Windows Server 2003. La dismissione dei Domain Controller Windows Server 2003 consente infatti di trarre vantaggio dalle numerose funzionalità che sono state introdotte in Active Directory rispetto a Windows Server 2003 che rappresenta la versione di sistema operativo più datata da cui è ancora possibile eseguire la migrazione. Nel primo dei quattro articoli sull’analisi le problematiche relative all’aggiornamento di un’infrastruttura Active Directory basata su Domain Controller Windows Server 2003 verrà analizzato il deploy di un Domain Controller Windows Server 2016.

Argomenti

• Operazioni preliminari per l’aggiunta di un Domain Controller Windows Server 2016
  
• Aggiunta del ruolo Servizi di dominio di Active Directory
  
• Promozione a Domain Controller in Windows Server 2012
  
  • Configurazione della distribuzione
    
  • Opzioni controller di dominio
    
  • Opzioni DNS
    
  • Opzioni aggiuntive
    
  • Percorsi
    
  • Opzioni di preparazione
    
  • Verifica opzioni
    
  • Controllo dei prerequisiti
    
• Conclusioni
  

Operazioni preliminari per l’aggiunta di un Domain Controller Windows Server 2016

Di seguito lo schema dell’infrastruttura a cui faremo rifermento in cui è presente un DC con Windows Server 2003 R2 VSDC2003 che verrà sostituito con un DC con Windows Server 2016 VSDC2016.

Prima di iniziare la procedura di migrazione creare un backup di Active Directory, quindi eseguire sul server Windows Server 2016 i seguenti passaggi:

1. Installazione del sistema operativo Windows Server 2016.
2. Impostazione del nome computer (nell’esempio VSDC2016).
3. Impostazione dell’indirizzo IP fisso (nell’esempio 10.0.0.20/24).
4. Impostazione del DNS primario con l’IP del DC del dominio (nell’esempio 10.0.0.10).
5. Join del server al dominio.

Aggiunta del ruolo Servizi di dominio di Active Directory

Una volta che il server con Windows Server 2016 (VSDC2012 nell’esempio) è stato reso membro del dominio è possibile iniziare la procedura di promozione a Domani Controller aggiungendo tramite Server Manager il ruolo Active Directory Domain Services.

L’installazione del ruolo aggiungerà gli strumenti per l’amministrazione di Active Directory tramite interfaccia grafica e riga di comando (AD DS Snap-Ins and Command-Line Tools) oltre al Centro di Amministrazione di Active Directory (Active Directory Administrative Center), il Modulo Active Directory per PowerShell (Active Directory module for Windows PowerShell) e il tool Gestione Criteri di gruppo (Group Policy Management). Per velocizzare la procedura d’installazione è possibile consentire il riavvio automatico del server al termine dell’installazione del ruolo se necessario.

Il ruolo Servizi di dominio di Active Directory rende disponibile gli strumenti di amministrazione di Active Directory che vengono resi disponibili tramite l’interfaccia del Server Manager.

Per quanto riguarda l’utilizzo del Modulo Active Directory per PowerShell occorre precisare che è possibile utilizzarlo anche per gestire infrastrutture in cui vi siano solo Domain Controller con sistema operativo Windows Server 2008 e Windows Server 2003, ma dal momento che l’interazione avviene mediante l’Active Directory Web Services (ADWS), che è presente solo su Windows Server 2008 R2 e successivi, occorre installare almeno su di un Domain Controller l’Active Directory Management Gateway Service (Active Directory Web Service for Windows Server 2003 and Windows Server 2008). Inoltre se non è presente nell’infrastruttura Active Directory un Domain Controller Windows Server 2008 R2 non sarà possibile utilizzare i cmdlet del Modulo Active Directory per PowerShell.

Autenticandosi sul server, ad esempio, con le credenziali di Amministratore di dominio sarà possibile già gestire quindi l’Active Directory sebbene il server sia al momento solo un server membro e nessuna modifica sia ancora stata apporta ad Active Directory. Infatti se utilizziamo dsquery per ricavare la versione dello schema possiamo verificare che è ancora Windows Server 2003 R2.

dsquery * cn=schema,cn=configuration,dc=devadmin,dc=local -scope base -attr objectVersion

Di seguito l’elenco delle versioni dello schema di Active Directory:

In alternativa sarebbe possibile utilizzare il seguente commando PowerShell, ma occorre installare prima sul server VMDC2003 l’Active Directory Management Gateway Service come spiegato precedentemente.

Get-ADObject (Get-ADRootDSE).schemaNamingContext -Property objectVersion

Promozione a Domain Controller in Windows Server 2012

A partire da Windows Server 2012 la promozione a Domain Controller viene eseguita tramite il Server Manager e non più tramite Dcpromo.exe che da Windows Server 2012 risulta deprecato e se avviato visualizza un messaggio di avvertimento che indirizza l’utente ad utilizzare Server Manager.

Il motivo per cui il wizard del Dcpromo per la promozione di un Domain Controller è stato abbandonato è che a partire da Windows Server 2012 l’attività di promozione del Domain Controller è stata completamente rivista con l’obbiettivo di automatizzare il più possibile il processo che ora esegue automaticamente Adprep e una serie di controlli per garantire il buon esito dell’operazione.

Dopo aver installato i Servizi di dominio di Active Directory Server manager segnalerà la necessità di eseguire l’innalzamento a Domain Controller come configurazione post distribuzione.

Configurazione della distribuzione

Per aggiungere un Domain Controller Windows Server 2016 ad un dominio sono richiesti i seguenti prerequisiti:

• Livello funzionale foresta Windows Server 2003 o superiore
• Utilizzare un account che abbia i privilegi di Enterprise Admin, Schema Admin e Domain Admins

Tali prerequisiti verranno controllati durante le fasi inziali della promozione a Domain Controller e nel caso non siano rispettati verrà impedita l’esecuzione dell’operazione.

Per quanto riguarda l’innalzamento dei livelli funzionali di dominio e foresta, grazie al fatto che i Servizi di dominio di Active Directory sono presenti, possono essere eseguiti direttamente dal server Windows Server 2016 tramite il tool Active Directory Domains and Trusts.

Nell’infrastruttura d’esempio dal momento che vi è un solo Domain Controller con Windows Server 2003 R2 (VMDC2003) il massimo livello funzionale che si può impostare sia per il dominio che per la foresta è Windows Server 2003, ma verrà visualizzato l’avviso che tale livello funzionale di foresta è deprecato.

Opzioni controller di dominio

Il secondo step del wizard di promozione a Domain Controller propone per default l’installazione del server DNS e dell’impostazione del nuovo Domain Controller con Global Catalog (in modo da garantire alta disponibilità in ambienti distribuiti), suggerisce il sito in cui inserire il nuovo Domain Controller (in base alla subnet più corretta) e richiede la password per la modalità di rispristino di Active Directory (DSRM Directory Services Restore Mode)

A partire da Windows Server 2008 è possibile sincronizzare la password del DSRM Administrator con quella di un account di dominio, per informazioni a riguardo si veda la KB961320 A feature is available for Windows Server 2008 that lets you synchronize the DSRM Administrator password with a domain user account).

Dal momento che nell’infrastruttura d’esempio non esistono Domain Controller Windows Server 2008 o successivi non è possibile creare aggiungere Read-Only Domain Controllers e infatti la voce relativa risulta disabilitata.

Opzioni DNS

Il terzo step del wizard di promozione a Domain Controller prosegue con la configurazione delle opzioni DNS, nel caso dell’infrastruttura d’esempio segnala l’impossibilità di creare una delega per il server DNS in quanto non esiste la zona padre autorevole per il dominio, questo significa che host in altri domini o su Internet non riusciranno a risolvere le query del nome DNS per gli host nel dominio locale. Dal momento che lo scenario di esempio non presenta la necessità di risoluzioni di query DNS da parte di domini esterni il messaggio d’avviso può essere ignorato, per maggiori informazioni si veda Known Issues for Installing and Removing AD DS.

Opzioni aggiuntive

Il quarto step del wizard di promozione a Domain Controller consente di specificare le configurazioni inerenti la replica, che per default viene impostata per utilizzare un qualunque controller di dominio come origine di replica. Sempre in questa fase è possibile decidere di installare il controller di dominio usando i supporti di backup che devono essere stati creati con Windows Server Backup o Ntdsutil.exe esclusivamente da un altro computer Windows Server 2016, in ogni caso questa opzione non è di nostro interesse dal momento che stiamo analizzando lo scenario di una migrazione.

Percorsi

Nel quinto step del wizard di promozione a Domain Controller vengono richiesti i path per il database di Servizi di dominio Active Directory, i registri delle transazioni del database e la condivisione SYSVOL (per impostazione predefinita sono sempre impostati in %SystemRoot%).

Opzioni di preparazione

Il sesto step del wizard di promozione a Domain Controller controlla che le credenziali abbiano i diritti necessari per eseguire Adprep, infatti dal momento che si sta aggiungendo il primo controller di dominio Windows Server 2016 ad una foresta esistente verrà eseguito Adprep /forestprep,
che richiede i diritti Enterprise Admins, Schema Admins e Domain Admins nel dominio che il Domain Controller col ruolo di Schema Master. Inoltre poiché si sta anche aggiungendo il primo controller di dominio Windows Server 2016 ad un dominio esistente sarà eseguito Adprep /domainprep,
che richiede i diritti di Domain Admins sul dominio su cui si esegue il comando.

Per ulteriori informazioni sull’integrazione di Adprep introdotta in Windows Server 2012 si veda What’s New in Active Directory Domain Services Installation and Removal.

Verifica opzioni

Il settimo step del wizard di promozione a Domain Controller consente la verifica delle opzioni selezionate e la visualizzazione dello script Powershell generato.

Controllo dei prerequisiti

L’ottavo step del wizard di promozione a Domain è il controllo dei prerequisiti per la promozione a Domain Controller del server, tale controllo prevede l’utilizzo di chiamate WMI, queste potrebbero avere esito negativo se bloccate dalle regole del firewall restituendo un errore di server RPC non disponibile.

Nel caso dell’infrastruttura di esempio vengono visualizzati i seguenti avvisi:

• I controller di dominio Windows Server 2016 prevedono un valore predefinito per l’impostazione “Consenti algoritmi di crittografia compatibili con Windows NT 4.0” che impedisce l’utilizzo di algoritmi di crittografia più vulnerabili per stabilire sessioni su canale sicuro. Questo avviso indica sostanzialmente che se un computer basato su Windows NT 4.0 tenta di utilizzare il servizio NETLOGON per stabilire un canale sicuro per un controller di dominio basato su Windows Server 2016, l’operazione potrebbe non andare a buon fine. In realtà questo comportamento vale, in generale, con Domain Controller Windows Server 2008 e successivi, per maggiori informazioni si veda la KB 942564 The Net Logon service on Windows Server 2008 and on Windows Server 2008 R2 domain controllers does not allow the use of older cryptography algorithms that are compatible with Windows NT 4.0 by default.
• Il livello funzionale Windows Server 2003 sono deprecati, quindi se si mantegono tali livelli funzionali per il dominio e/o la foresta non sarà possibile aggiungere domain controller con versioni di Windows Server successive alla 2016.
• Il File Replication Service (FRS) è deprecato, sarà quindi necessario migrare alla DFS Replication tramite il commando DFSRMIG per garantire la replica della cartella SYSVOL nel caso vengano aggiunti domain controller con versioni di Windows Server successive alla 2016.
• Impossibile creare o aggiornare la delega DNS di cui abbiamo spiegato le ragioni precedentemente.

Selezionando Installa verrà avviata la promozione a Domain Controller del server che verrà riavviato automaticamente al termine se come nell’esempio era stata selezionata l’opzione per il riavvio automatico.

Conclusioni

L’introduzione di un domain controller Windows Server 2016 nell’infrastruttura Active Directory è un procedimento semplice e ben controllato dal wizard messo a disposizione dal Server Manager che impedisce di portare a termine l’operazione in caso di problemi o incompatibilità in Active Directory. In ogni caso è buona norma controllare lo stato di salute di Active Directory anche se l’operazione di aggiunta del domain controller va a buon fine in quanto la finalità della migrazione prevede la rimozione del domain controller Windows Server 2003. La verifica della funzionalità di Active Directory sarà appunto l’argomento del secondo articolo.

Nel secondo dei quattro articoli sull’analisi le problematiche relative all’aggiornamento di un’infrastruttura Active Directory basata su Domain Controller Windows Server 2003 verranno analizzati i controlli da eseguire dopo aver aggiunto nell’infrastruttura un nuovo Domain Controller Windows Server 2016.