Migrare Active Directory da Windows Server 2012 R2 a Windows Server 2025
Con la fine del supporto per Windows Server 2012 R2 (10 otttobre 2023), molte aziende devono aggiornare la loro infrastruttura IT per garantire sicurezza e prestazioni ottimali. Uno degli aspetti critici di questa transizione è la migrazione di Active Directory Domain Services (AD DS) verso un sistema operativo più recente, come Windows Server 2025.
Questa migrazione consente di beneficiare delle ultime funzionalità di sicurezza, migliorare le prestazioni e garantire la compatibilità con le nuove tecnologie. Tuttavia, il processo richiede una pianificazione accurata per evitare interruzioni nei servizi di autenticazione e autorizzazione della rete.
L’aggiornamento di Active Directory da Windows Server 2012 R2 a Windows Server 2025 non può essere effettuato direttamente se il livello funzionale del dominio è inferiore a Windows Server 2016. Di conseguenza, è necessario un passaggio intermedio installando Domain Controller Windows Server 2016/2019/2022, aggiornando il livello funzionale del dominio e solo successivamente aggiungendo Windows Server 2025.
In questo articolo, vedremo i passaggi fondamentali per migrare Active Directory da Windows Server 2012 R2 a Windows Server 2025, garantendo una transizione fluida e senza perdita di dati.
Riepilogo dei passaggi per la migrazione di Active Directory
1. Preparazione della migrazione
- Verificare la compatibilità della rete e dell’infrastruttura.
- Effettuare un backup completo dei Domain Controller esistenti.
- Assicurarsi che la cartella SYSVOL sia replicata correttamente (preferibilmente con DFS-R e non FRS).
- Verificare il livello funzionale attuale del dominio e della foresta (Active Directory Domains and Trusts).
2. Installazione e promozione di due nuovi Domain Controller Windows Server 2022
- Installare Windows Server 2022 su due nuovi server.
- Unire i nuovi server al dominio esistente Windows Server 2012 R2.
- Installare il ruolo Active Directory Domain Services (AD DS) su entrambi i nuovi server.
- Promuovere i nuovi server a Domain Controller utilizzando Server Manager.
- Verificare la replica tra i DC con Active Directory Sites and Services e repadmin.
- Configurare i nuovi DC come Global Catalog.
3. Trasferimento dei ruoli FSMO
- Spostare i FSMO roles dal DC Windows Server 2012 R2 ai nuovi Windows Server 2022
4. Decommissioning dei Domain Controller Windows Server 2012 R2
- Rimuovere il ruolo AD DS dai DC Windows Server 2012 R2.
- Smantellare i vecchi server con il comando dcpromo o tramite Server Manager.
- Eliminare i vecchi DC dal dominio.
5. Aggiornamento del livello funzionale del dominio
- Dopo aver rimosso Windows Server 2012 R2, aggiornare il livello funzionale del dominio e della foresta a Windows Server 2016 o superiore tramite Active Directory Domains and Trusts.
- Verificare che tutti i controller di dominio stiano funzionando correttamente.
6. Installazione e promozione di due nuovi DC con Windows Server 2025
- Installare Windows Server 2025 su due nuovi server.
- Aggiungere i nuovi server al dominio.
- Installare il ruolo Active Directory Domain Services (AD DS).
- Promuovere entrambi i server a Domain Controller.
- Verificare la replica tra i nuovi DC e i DC Windows Server 2022 con repadmin.
- Configurare i nuovi DC come Global Catalog.
7. Trasferimento dei ruoli FSMO ai DC Windows Server 2025
- Spostare i FSMO roles dai DC Windows Server 2022 ai nuovi DC Windows Server 2025
8. Decommissioning dei Domain Controller Windows Server 2022
- Rimuovere il ruolo AD DS dai DC Windows Server 2022.
- Smantellare i vecchi DC con PowerShell o Server Manager.
- Verificare la rimozione dei vecchi DC dalla console Active Directory Sites and Services.
9. Best Practices post-migrazione
- Controllare i log di sistema con Event Viewer.
- Testare l’autenticazione utenti e la risoluzione dei nomi con nslookup.
- Monitorare la replica con repadmin /showrepl e dcdiag.
- Aggiornare le Group Policy (GPO) e verificarne l’applicazione.
- Configurare backup regolari dei nuovi DC con Windows Server 2025.
- Documentare l’intera migrazione per future referenze.
Figura 1: Migrazione di Active Directory da Windows Server 2012 R2 a Windows Server 2025
Verifiche Preliminari
Prima di procedere con l’installazione dei nuovi Domain Controller (DC) su Windows Server 2022, è fondamentale effettuare una serie di controlli per garantire che l’attuale infrastruttura di Active Directory (AD) sia stabile e priva di errori. Questi controlli aiuteranno a individuare eventuali problemi nei Directory Services, nella replica della cartella SYSVOL, nei record DNS e nella sincronizzazione dell’orario tra i server.
Di seguito, un elenco delle verifiche consigliate da eseguire prima della migrazione:
1. Controllo dello stato di SYSVOL e della pubblicità del DC:
Il servizio SYSVOL è essenziale per la distribuzione delle Group Policy Objects (GPO) e degli script di accesso all’interno del dominio. Verificare che sia correttamente replicato ed annunciato eseguendo: dcdiag /e /test:sysvolcheck /test:advertising
2. Verifica dello stato del DNS
Il DNS è un componente critico per il corretto funzionamento di Active Directory. Controllare che i record DNS siano correttamente replicati e distribuiti in tutto il sito AD con i seguenti comandi:
- Verificare il DNS all’interno del proprio site AD: dcdiag /Test:DNS /a
- Verificare il DNS su tutti i Domain Controller del dominio: dcdiag /Test:DNS /e
3. Controllo dello stato delle repliche di Active Directory
Per verificare che tutti i Domain Controller replichino correttamente le modifiche, eseguire il comando: repadmin /showrepl . Se vengono segnalati errori, è necessario risolverli prima di procedere con la migrazione.
4. Controllo della sincronizzazione dell’orario (Time Sync)
La sincronizzazione dell’ora è essenziale per evitare problemi di autenticazione Kerberos e garantire il corretto funzionamento di Active Directory. Verificare lo stato della sincronizzazione temporale con: w32tm /query /status . Se necessario, configurare il Primary Domain Controller (PDC) affinché sincronizzi l’ora con un server NTP affidabile.
5. Verifica del metodo di replica SYSVOL (FRS → DFSR)
A partire da Windows Server 2019, il vecchio sistema di replica File Replication Service (FRS) non è più supportato. Se il dominio utilizza ancora FRS per replicare SYSVOL, è obbligatorio migrare a Distributed File System Replication (DFSR) prima di introdurre un Domain Controller Windows Server 2022.
Per verificare quale metodo di replica è in uso, eseguire: dfsrmig /getglobalstate . Se il risultato indica “State 0” (Start), significa che il dominio utilizza ancora FRS e deve essere migrato a DFSR. Per la procedura dettagliata sulla migrazione da FRS a DFSR, si consiglia di consultare la guida di Ermanno Goletto e Roberto Massa, pubblicata su ICT Power. Senza questa migrazione, non sarà possibile promuovere un Domain Controller su Windows Server 2019 o 2022.
6. Controllo del livello funzionale di dominio e di foresta
Uno degli aspetti fondamentali da verificare prima di migrare Active Directory a Windows Server 2022 è il livello funzionale del dominio e della foresta. Il Domain Functional Level (DFL) e il Forest Functional Level (FFL) determinano le funzionalità disponibili in Active Directory e la compatibilità con i sistemi operativi precedenti. Ogni versione di Windows Server introduce nuove funzionalità di AD DS, ma richiede un livello funzionale minimo per essere supportata. Per affrofondimenti vi rimando alla lettura della guida Livelli funzionali di Active Directory: a cosa servono ed implicazioni sulla sicurezza – ICT Power
Per verificare i livelli funzionali è possibile utilizzare la console Active Directory Domains and Trusts (domain.msc) oppre i comandi PowerShell Get-ADDomain | Select-Object DomainMode e Get-ADForest | Select-Object ForestMode
Figura 2: Verifica del livello funzionale di dominio e di foresta
I Flexible Single Master Operations (FSMO) sono cinque ruoli specializzati in Active Directory che vengono assegnati ai Domain Controller (DC) per garantire il corretto funzionamento del dominio e della foresta. Questi ruoli sono fondamentali perché alcune operazioni critiche possono essere eseguite solo da un unico Domain Controller alla volta.
- Schema Master
Gestisce le modifiche allo schema di Active Directory (es. aggiunta di nuovi attributi o classi di oggetti). È necessario per aggiornamenti dello schema (ad es. durante l’installazione di nuove versioni di Windows Server o applicazioni come Exchange).
- Domain Naming Master
Responsabile dell’aggiunta/rimozione di domini all’interno della foresta AD. Necessario quando si aggiunge un nuovo Child Domain o una Trust Relationship.
- RID Master (Relative ID Master)
Assegna blocchi di Relative Identifiers (RID) ai Domain Controller, necessari per la creazione di nuovi oggetti (es. utenti, gruppi, computer). Se non disponibile, il dominio potrebbe esaurire gli ID univoci e non sarà possibile creare nuovi utenti o gruppi.
- PDC Emulator (Primary Domain Controller Emulator)
Ha diverse funzioni critiche:
- Gestisce le autenticazioni di emergenza nel dominio.
- Fornisce la sincronizzazione dell’orario tra i DC e gli altri membri del dominio.
- Riceve le modifiche immediate alle password e ai criteri di sicurezza.
- È utilizzato dai client Windows che non trovano altri DC disponibili.
Infrastructure Master
Aggiorna i riferimenti tra oggetti di domini diversi (es. quando un utente di un dominio viene aggiunto a un gruppo di un altro dominio). Non deve essere ospitato su un Global Catalog Server, a meno che tutti i DC del dominio siano Global Catalog.
Potete verificare chi detiene i ruoli FSMO con il comando netdom query fsmo
Figura 3: Verifica di chi detiene i ruoli FSMO
Eseguite un test per verificare lo stato di replica della cartella SYSVOL tra i diversi domain controller con il comando dcdiag /e /test:sysvolcheck /test:advertising .
SYSVOL Check (/test:sysvolcheck) verifica che la cartella SYSVOL sia accessibile e replicata correttamente tra i Domain Controller. SYSVOL contiene file critici per il dominio, tra cui le Group Policy Objects (GPO) e gli script di accesso. Il test deve essere superato da tutti i DC per garantire che le GPO siano distribuite correttamente.
Advertising Test (/test:advertising) verifica che il Domain Controller si pubblicizzi correttamente come tale nel dominio. Se un DC non riuscisse a pubblicizzarsi, i client potrebbero non essere in grado di trovarlo e autenticarsi correttamente. Tutti i DC devono passare il test, indicando che stanno pubblicizzando i loro ruoli in AD senza problemi.
Figura 4: Verifica dello stato di SYSVOL del Domain Controller (DC) all’interno di Active Directory
Il comando repadmin /showrepl serve per visualizzare lo stato della replica di Active Directory tra i Domain Controller. Quando lo eseguite, il comando controlla tutte le repliche in corso e mostra errori, ritardi o problemi di comunicazione tra i Domain Controller (DC). Nella figura sotto, si nota un problema di replica tra i domain controller dell’infrastruttura.
Figura 5: Visualizzazione dello stato di replica tra i diversi Domain Controller ed eventuali errori
Il comando w32tm /query /status serve per verificare lo stato della sincronizzazione dell’orario su un Domain Controller o su qualsiasi server Windows.
La sincronizzazione dell’orario è un elemento critico per il corretto funzionamento di Active Directory (AD). Se l’orario tra i Domain Controller e i client non è sincronizzato correttamente, possono verificarsi gravi problemi di autenticazione, replica e sicurezza.
Active Directory utilizza il protocollo Kerberos per autenticare gli utenti e i dispositivi. Kerberos richiede che l’orario tra client e server sia sincronizzato (di solito con uno scarto massimo di 5 minuti). Se l’orario tra un client e un DC è fuori sincronizzazione, si verifica un errore di autenticazione e l’utente potrebbe non riuscire ad accedere al dominio.
Figura 6: Verifica dello stato della sincronizzazione dell’orario su un Domain Controller
Il comando dfsrmig /getmigrationstate serve per verificare lo stato della migrazione da FRS (File Replication Service) a DFSR (Distributed File System Replication) per la replica della cartella SYSVOL in Active Directory. L’output della figura sotto mostra che la migrazione da FRS a DFSR è completata con successo e tutti i Domain Controller stanno utilizzando DFSR per la replica di SYSVOL. Lo stato ‘Eliminated’ indica che il vecchio metodo FRS è stato completamente rimosso e non è più in uso.
È necessario migrare da FRS a DFSR perché FRS (File Replication Service) è un sistema obsoleto e non più supportato su Windows Server 2019 e 2022. FRS è lento e inefficiente, specialmente in ambienti con molti Domain Controller, e presenta un maggiore rischio di incoerenze nella replica dei dati.
Al contrario, DFSR (Distributed File System Replication) è un sistema di replica più veloce ed efficiente, in quanto utilizza compressione differenziale per ridurre il traffico di rete. Inoltre, offre una migliore gestione degli errori e dei conflitti, garantendo una maggiore stabilità nella sincronizzazione della cartella SYSVOL.
La migrazione a DFSR è obbligatoria per poter aggiungere nuovi Domain Controller su Windows Server 2019 e 2022. Se il dominio utilizza ancora FRS, non sarà possibile promuovere nuovi DC su versioni recenti di Windows Server.
Maggiori dettagli sono disponibili nella guida Upgrade domain controller a Windows Server 2016 Parte 4 di 4 – ICT Power
Figura 7: Verifica dello stato della migrazione della replica SYSVOL da FRS (File Replication Service) a DFSR (Distributed File System Replication) in Active Directory.
Installazione del primo domain controller con Windows Server 2022 (2022-DC1)
Prima di promuovere il server Windows Server 2022 a Domain Controller, è necessario aggiungerlo al dominio esistente. Procedete quindi al join come un qualsiasi server Windows.
Figura 8: Join a dominio del server Windows Server 2022
Dopo aver aggiunto il server al dominio, è necessario installare il ruolo Active Directory Domain Services (AD DS). Aprite Server Manager e cliccate su Add roles and features. Selezionate Role-based or feature-based installation e cliccate su Next. Selezionate il server e cliccate su Next. Selezionate Active Directory Domain Services e confermate l’installazione di eventuali feature aggiuntive richieste.
Se preferite, potete installare AD DS direttamente da PowerShell con il comando Install-WindowsFeature -Name AD-Domain-Services -IncludeManagementTools
Figura 9: Installazione del ruolo Active Directory Domain Services (AD DS
Figura 10: Completamento dell’installazione del ruolo Active Directory Domain Services (AD DS)
Ora dovete promuovere il server a Domain Controller e unirlo all’infrastruttura AD esistente. Cliccate sulla notifica in alto “Promote this server to a domain controller”. Selezionate Add a domain controller to an existing domain, inserite il nome del dominio e cliccate su Next.
Figura 11: Wizard per la promozione del server a Domain Controller
Opzioni del Domain Controller:
- Domain Name System (DNS) → Lasciate selezionato se il server deve essere anche un DNS.
- Global Catalog (GC) → Lasciate selezionato (fondamentale per autenticazione).
- Read-Only Domain Controller (RODC) → Lasciate deselezionato se volete un DC scrivibile.
- Inserite la Directory Services Restore Mode (DSRM) password, utile per il ripristino del DC.
Figura 12: Opzione del Domain Controller
Nella schermata dell’Active Directory Domain Services Configuration Wizard, compare il seguente avviso: “A delegation for this DNS server cannot be created because the authoritative parent zone cannot be found or it does not run Windows DNS server.”
Questo avviso appare quando il server che si sta promuovendo a Domain Controller (DC) non è in grado di trovare una delega DNS per la zona principale nel server DNS esistente. Tuttavia, questo avviso può essere ignorato nella maggior parte dei casi, specialmente se il DNS del dominio è già gestito all’interno della rete.
Figura 13: DNS Options
Selezionate un Domain Controller esistente per la replica iniziale oppure lasciate l’opzione Any domain controller.
Figura 14: Selezionate un Domain Controller esistente per la replica iniziale
Lasciate i percorsi predefiniti per SYSVOL, database AD e log.
Figura 15: Percorsi predefiniti per SYSVOL, database AD e log
La schermata Preparation Options mostra che, prima di installare il nuovo Domain Controller Windows Server 2022, il wizard deve eseguire le seguenti operazioni:
- Forest and Schema Preparation
- Domain Preparation
Cosa significa e perché è necessario?
Forest and Schema Preparation (adprep /forestprep)
- Questa operazione aggiorna lo schema di Active Directory per supportare le nuove funzionalità di Windows Server 2022.
- Lo schema AD definisce oggetti e attributi utilizzati in Active Directory; quindi, deve essere aggiornato prima di introdurre un Domain Controller con una versione più recente di Windows Server.
- Lo schema deve essere aggiornato una sola volta per tutta la foresta.
- Deve essere eseguita su un Domain Controller con ruolo Schema Master.
- È necessario avere permessi di Schema Admin e Enterprise Admin.
Domain Preparation (adprep /domainprep)
- Questa operazione aggiorna le configurazioni specifiche del dominio, come Group Policies e permessi predefiniti.
- Deve essere eseguita una volta per ogni dominio nella foresta.
- Deve essere eseguita su un Domain Controller con ruolo Infrastructure Master.
- È necessario essere membri del gruppo Domain Admins.
Se l’utente che sta eseguendo il wizard ha i permessi necessari (Schema Admins ed Enterprise Admins), il processo verrà eseguito automaticamente in background. Se non avete i permessi richiesti, dovete eseguire manualmente adprep sui Domain Controller esistenti prima di continuare l’installazione.
Figura 16: Schermata Preparation Options
Procedendo con il wizard vi verrà mostrata una schermata con un riepilogo delle opzioni selezionate, prima di procedere con l’installazione del Domain Controller Windows Server 2022 per il dominio demo.lab.
Figura 17: Schermata riepilogativa con le impostazioni scelte
Nella schermata Prerequisites Check verranno mostrati i risultati della verifica dei prerequisiti prima di procedere con l’installazione del Domain Controller Windows Server 2022.
La verifica è stata completata con successo, e il messaggio principale conferma “All prerequisite checks passed successfully. Click ‘Install’ to begin installation.”. Potete procedere con l’installazione cliccando su “Install”.
Tuttavia, ci sono alcuni avvisi da considerare.
Avviso sulla sicurezza NT 4.0 e algoritmi di crittografia: “Windows Server 2022 domain controllers have a default for the security setting named ‘Allow cryptography algorithms compatible with Windows NT 4.0’ that prevents weaker cryptography algorithms when establishing security channel sessions.”
- Windows Server 2022 ha una nuova impostazione di sicurezza che blocca l’uso di algoritmi di crittografia deboli compatibili con Windows NT 4.0.
- Questo potrebbe causare problemi solo se nel dominio ci sono ancora dispositivi molto vecchi (es. server NT 4.0 o sistemi legacy con SMB obsoleto).
- Soluzione: Se non avete sistemi così vecchi, potete ignorare l’avviso. Se invece ci fossero dispositivi legacy che devono autenticarsi, potreste dover modificare la policy in Group Policy Management.
Avviso sulla delega DNS: “A delegation for this DNS server cannot be created because the authoritative parent zone cannot be found or it does not run Windows DNS server.”
- Questo avviso appare perché il nuovo DC non riesce a trovare una delega DNS nella zona padre.
- Succede spesso se il dominio utilizza un server DNS non Windows (es. BIND su Linux o DNS cloud-based).
- Se il DNS del dominio è già configurato e funzionante, potete ignorare l’avviso e procedere.
- Se necessario, potete creare manualmente la delega DNS in DNS Manager (dnsmgmt.msc).
Tutti i controlli sono stati superati, quindi potete procedere con l’installazione.
Gli avvisi non bloccano l’installazione e possono essere ignorati a meno che non abbiate esigenze specifiche.
Figura 18: Schermata finale del wizard di promozione della macchina Windows Server 2022 a Domain Controller
Dopo l’installazione, il server si riavvierà automaticamente per completare la promozione a Domain Controller.
Figura 19: Il server è stato promosso a Domain Controller e viene riavviato automaticamente
Dopo aver completato l’installazione del nuovo Domain Controller Windows Server 2022, potete verificare che la macchina 2022-DC1 sia stata aggiunta correttamente come Domain Controller utilizzando la console Active Directory Users and Computers (ADUC)..
Figura 20: Dalla console Active Directory Users and Computers sarà possibile verificare che la macchina chiamata 2022-DC1 è riconosciuta come un Domain Controller
Installazione e verifica del secondo domain controller (2022-DC2)
Dopo aver installato e configurato 2022-DC1 come Domain Controller, il passo successivo è aggiungere un secondo Domain Controller (2022-DC2) per migliorare la ridondanza, l’affidabilità e la sicurezza dell’infrastruttura Active Directory.
L’installazione segue gli stessi passaggi di 2022-DC1:
- Aggiungere il server al dominio (demo.lab).
- Installare il ruolo Active Directory Domain Services (AD DS).
- Promuovere 2022-DC2 a Domain Controller aggiuntivo.
- Verificare la replica e la sincronizzazione con 2022-DC1.
Dopo aver installato 2022-DC2, potete verificare la sua presenza in Active Directory Users and Computers (ADUC):
Figura 21: Dalla console Active Directory Users and Computers sarà possibile verificare che la macchina chiamata 2022-DC2 è riconosciuta come un Domain Controller
Migrazione dei ruoli FSMO su un Domain Controller Windows Server 2022
Dopo aver installato e configurato correttamente 2022-DC1 e 2022-DC2 come Domain Controller nel dominio, il passo successivo è trasferire i ruoli FSMO (Flexible Single Master Operations) sul nuovo DC. Dopo aver identificato il DC che detiene i ruoli (con il comando netdom query fsmo), possiamo trasferire tutti i ruoli FSMO su 2022-DC1 utilizzando PowerShell o la GUI.
Su un domain controller qualsiasi (io l’ho fatto su Windows Server 2012 R2) utilizzate il comando Move-ADDirectoryServerOperationMasterRole -Identity “2022-DC1” -OperationMasterRole 0,1,2,3,4 per spostare tutti i ruoli su un server Windows Server 2022 (io ho scelto 2022-DC1).
Il comando trasferisce tutti e 5 i ruoli FSMO al Domain Controller 2022-DC1.
- 0 → PDC Emulator
- 1 → RID Master
- 2 → Infrastructure Master
- 3 → Schema Master
- 4 → Domain Naming Master
Verificate successivamente con il comando netdom query fsmo chi attualmente detiene i ruoli FSMO. L’output conferma che tutti i 5 ruoli FSMO ora sono detenuti da 2022-DC1.demo.lab, indicando che il trasferimento è stato completato con successo.
Figura 22: Migrazione dei ruoli FSMO su un Domain Controller Windows Server 2022
Tutti i ruoli FSMO sono stati trasferiti correttamente su 2022-DC1, che ora è il Domain Controller principale per l’infrastruttura Active Directory. Questo significa che 2022-DC1 gestisce completamente Active Directory, garantendo stabilità e compatibilità con Windows Server 2022.
Per assicurarsi che tutto funzioni correttamente, è consigliabile verificare la replica tra i Domain Controller con il comando repadmin /showrepl e monitorare il corretto funzionamento dei servizi di autenticazione.
Ora il dominio è aggiornato e pronto per operare con il nuovo DC principale!
Demote dei Domain Controller Windows Server 2012 R2 (2012R2-DC1 e 2012R2-DC2)
Ora che i Domain Controller Windows Server 2022 (2022-DC1 e 2022-DC2) sono operativi e detengono tutti i ruoli FSMO, possiamo procedere con la rimozione dei vecchi Domain Controller Windows Server 2012 R2 (2012R2-DC1 e 2012R2-DC2) dal dominio.
Prerequisiti prima della rimozione
- Assicurarsi che 2022-DC1 e 2022-DC2 siano completamente operativi.
- Verificare che 2012R2-DC1 e 2012R2-DC2 non detengano più ruoli FSMO.
- Controllare la replica tra i DC con il comando repadmin /showrepl
- Modificare le impostazioni DNS di tutti i client, server e dispositivi per utilizzare 2022-DC1 e 2022-DC2 come DNS primari.
- Verificare che 2022-DC1 e 2022-DC2 siano in grado di autenticare utenti e applicare le Group Policy.
Sul server 2012R2-DC1 aprite Server Manager → Cliccate su Manage > Remove Roles and Features.
Figura 23: Rimozione del ruolo di Active Directory dal server 2012 R2
Deselezionate il ruolo Active Directory Domain Services (AD DS). Verrà chiesto di eseguire il “Demote” del Domain Controller → Cliccate su Demote this domain controller.
Figura 24: Rimozione del ruolo di Active Directory
Figura 25: Demote del domain controller
Selezionate l’opzione “Force the removal of this domain controller” solo se il DC ha problemi di replica.
Figura 26: Credenziali richieste per la rimozione del domain controller da Active Directory
Figura 27: Conferma della rimozione del Domain Controller da Active Directory
Inserite una nuova password per l’account amministratore locale (necessaria dopo il demote).
Figura 28: Password per l’account amministratore locale
Cliccate su “Demote” → Il server verrà riavviato al termine del processo.
Figura 29: conferma del Demote del Domain Controller
Figura 30: Riavvio del server dopo il Demote
Dopo aver completato il demote dei Domain Controller 2012R2-DC1, il server verrà rimosso automaticamente dalla cartella “Domain Controllers” in Active Directory Users and Computers (ADUC).
Figura 31: Il server 2012R2-DC1 non è più un domain controller e quindi non è visibile nella cartella “Domain Controllers” in Active Directory Users and Computers
Il server 2012R2-DC1 è rimasto membro del dominio e sarà visibile nella cartella “Computers”.
Figura 32: Il server 2012R2-DC1 è rimasto membro del dominio
Ora che abbiamo rimosso 2012R2-DC1, dobbiamo rimuovere anche 2012R2-DC2 dal dominio. Per esercizio ho deciso di usare PowerShell ed il comando Uninstall-ADDSDomainController.
NOTA: Prima di rimuovere 2012R2-DC2, assicuratevi che i client e i server puntino ai nuovi DC (2022-DC1 e 2022-DC2) come server DNS. Controllate anche le configurazioni IPv6 per evitare problemi di risoluzione DNS.
Figura 33: Rimozione del secondo domain controller, questa volta utilizzando PowerShell
L’operazione va ovviamente ripetuta su tutti i domain controller che volete rimuovere (se ne avete più di due).
Dopo aver completato il demote dei Domain Controller 2012R2-DC2, il server verrà rimosso automaticamente dalla cartella “Domain Controllers” in Active Directory Users and Computers (ADUC).
Figura 34: Il server 2012R2-DC2 non è più un domain controller e quindi non è visibile nella cartella “Domain Controllers” in Active Directory Users and Computers
Il server 2012R2-DC2 è rimasto membro del dominio e sarà visibile nella cartella “Computers”.
Figura 35: Il server 2012R2-DC2 è rimasto membro del dominio
Ora il vostro dominio è completamente aggiornato e supportato dai nuovi Domain Controller Windows Server 2022!
Pulizia dei metadati in Active Directory dopo la rimozione di 2012R2-DC1 e 2012R2-DC2
L’immagine sotto mostra la console Active Directory Sites and Services (dssite.msc), in cui i vecchi Domain Controller (2012R2-DC1 e 2012R2-DC2) sono ancora visibili. Questo significa che non sono stati completamente rimossi dai metadati di Active Directory e dobbiamo procedere con la loro eliminazione manuale.
Quando un Domain Controller viene rimosso o decommissionato, potrebbero rimanere tracce nei database di Active Directory. Se queste non vengono eliminate:
- La replica tra i DC potrebbe fallire.
- I client potrebbero ancora tentare di contattare i vecchi DC per autenticarsi.
- I record DNS potrebbero rimanere, causando problemi di risoluzione dei nomi.
Procedete alla rimozione delle informazioni rimaste semplicemente facendo clic con il tasto destro e scegliendo Delete.
Figura 36: Pulizia dei metadati in Active Directory
Figura 37: Pulizia dei metadati in Active Directory
Figura 38: Pulizia dei metadati in Active Directory
Effettuare la stessa operazione per 2012R2-Dc2
Figura 39: Pulizia dei metadati in Active Directory
Ricapitolando:
- Abbiamo rimosso con successo 2012R2-DC1 e 2012R2-DC2 da Active Directory.
- Ora il dominio è gestito interamente da 2022-DC1 e 2022-DC2.
- Dopo la pulizia, verificate DNS, replica e autenticazione per confermare che tutto funzioni correttamente.
- Il dominio è ora completamente aggiornato e funzionante con Windows Server 2022!
Installazione del primo domain controller con Windows Server 2025 (2025-DC1)
Prima di promuovere il server Windows Server 2025 a Domain Controller, è necessario aggiungerlo al dominio esistente. Procedete quindi al join come un qualsiasi server Windows.
Figura 40: Join a dominio del server Windows Server 2025
Dopo aver aggiunto il server al dominio, è necessario installare il ruolo Active Directory Domain Services (AD DS). Aprite Server Manager e cliccate su Add roles and features. Selezionate Role-based or feature-based installation e cliccate su Next. Selezionate il server e cliccate su Next. Selezionate Active Directory Domain Services e confermate l’installazione di eventuali feature aggiuntive richieste.
Se preferite, potete installare AD DS direttamente da PowerShell con il comando Install-WindowsFeature -Name AD-Domain-Services -IncludeManagementTools
Figura 41: Wizard per l’aggiunta del ruolo di AD al Server 2025
Figura 42: Installazione del ruolo Active Directory Domain Services (AD DS)
Figura 43: Installazione del ruolo Active Directory Domain Services (AD DS)
Figura 44: Completamento dell’installazione del ruolo Active Directory Domain Services (AD DS)
Ora dovete promuovere il server a Domain Controller e unirlo all’infrastruttura AD esistente. Cliccate sulla notifica in alto “Promote this server to a domain controller”. Selezionate Add a domain controller to an existing domain, inserite il nome del dominio e cliccate su Next.
Figura 45: Wizard per la promozione del server a Domain Controller
L’errore mostrato nell’immagine indica che il livello funzionale della foresta non è supportato per l’aggiunta di un Windows Server 2025 Domain Controller.
Verification of replica failed. The forest functional level is not supported. To install a Windows Server 2025 domain or domain controller, the forest functional level must be Windows Server 2016 or higher.
Questo errore si verifica perché Windows Server 2025 richiede che il livello funzionale della foresta sia almeno Windows Server 2016. Se la foresta è ancora su Windows Server 2012 R2 o inferiore, il nuovo Domain Controller non può essere aggiunto.
Figura 46: L’errore mostrato nell’immagine indica che il livello funzionale della foresta non è supportato per l’aggiunta di un Windows Server 2025 Domain Controller
Pertanto, prima di procedere all’installazione dei Domain Controller Windows Server 2025 dovremo innalzare il livello funzionale del dominio a Windows Server 2016.
Raise Functional Level: cos’è e perché farlo?
Dopo aver completato la migrazione di Active Directory a Windows Server 2022 e aver rimosso i vecchi Domain Controller Windows Server 2012 R2, è consigliato alzare il livello funzionale del dominio e della foresta. Questo permette di attivare funzionalità avanzate di Active Directory, migliorare la sicurezza e ottimizzare le prestazioni.
Cosa sono i livelli funzionali di Dominio e Foresta?
Active Directory utilizza due livelli funzionali:
- Domain Functional Level (DFL) – Livello Funzionale del Dominio
Definisce quali caratteristiche di Active Directory sono disponibili all’interno del dominio e determina quali versioni di Domain Controller possono esistere. - Forest Functional Level (FFL) – Livello Funzionale della Foresta
Definisce le funzionalità a livello di foresta e imposta il requisito minimo per tutti i domini appartenenti alla foresta.
Perché alzare il livello funzionale?
Dopo la rimozione dei vecchi DC Windows Server 2012 R2, è possibile alzare il livello funzionale per:
- Abilitare le nuove funzionalità di Active Directory introdotte con Windows Server 2022.
- Migliorare la sicurezza, disattivando vecchi protocolli e attivando nuovi controlli di accesso.
- Ottimizzare le prestazioni della replica e dell’autenticazione.
- Garantire la compatibilità futura con le nuove versioni di Windows Server.
Prima di procedere, è fondamentale assicurarsi che tutti i Domain Controller siano aggiornati a Windows Server 2022.
Maggiori approfondimenti sono disponibili nella guida Livelli funzionali di Active Directory: a cosa servono ed implicazioni sulla sicurezza – ICT Power
Ora che tutti i DC sono Windows Server 2022, si può impostare il livello funzionale su “Windows Server 2016”.
Come alzare il livello funzionale
Aprite la console Active Directory Domains and Trusts (domain.msc). Fate clic con il tasto destro sul dominio e selezionare Raise Domain Functional Level. Scegliete Windows Server 2022 e confermate.
Fare lo stesso per la foresta, cliccando con il tasto destro su Active Directory Domains and Trusts > Raise Forest Functional Level. Selezionate Windows Server 2022 e confermate.
L’operazione può essere eseguita più rapidamente con PowerShell usando i comandi Set-ADDomainMode -Identity “demo.lab” -DomainMode Windows2016Domain e Set-ADForestMode -Identity “demo.lab” -ForestMode Windows2016Forest. Sostituire “demo.lab” con il nome del dominio corretto.
Figura 47: Innalzamento del livello funzionale del dominio
Si noti che il massimo livello funzionale disponibile è Windows Server 2016. Attualmente, Windows Server 2019 e Windows Server 2022 non introducono nuovi livelli funzionali per Active Directory, quindi il massimo livello disponibile rimane Windows Server 2016. Anche se avete aggiornato tutti i Domain Controller a Windows Server 2022, il livello funzionale non cambierà oltre Windows2016Domain e Windows2016Forest.
Microsoft ha deciso di mantenere Windows Server 2016 come ultimo livello funzionale disponibile perché le versioni successive di Windows Server (2019 e 2022) non hanno introdotto modifiche significative nell’architettura di Active Directory tali da giustificare un nuovo livello funzionale.
Figura 48: Innalzamento del livello funzionale del dominio
Figura 49. Innalzamento del livello funzionale del dominio
Figura 50: Innalzamento del livello funzionale del dominio completato
Dopo aver aggiornato tutti i Domain Controller a Windows Server 2022 e innalzato il livello funzionale del dominio, è consigliato anche aggiornare il livello funzionale della foresta. Questo passaggio garantisce che l’intera infrastruttura Active Directory possa sfruttare le funzionalità avanzate disponibili nella versione più recente. Il Forest Functional Level (FFL) determina le funzionalità disponibili per l’intera foresta Active Directory e stabilisce il requisito minimo per tutti i domini appartenenti alla foresta.
Microsoft non ha introdotto nuovi livelli funzionali per Windows Server 2019 e 2022. Il livello massimo disponibile è Windows Server 2016.
NOTA: Una volta aggiornato, il livello funzionale della foresta NON può essere abbassato. L’unico modo per tornare indietro è ripristinare un backup precedente.
Figura 51: Innalzamento del livello funzionale della foresta
Figura 52: Innalzamento del livello funzionale della foresta
Figura 53: Innalzamento del livello funzionale della foresta completato
Dopo aver innalzato il livello funzionale del dominio e della foresta eseguite i comandi Get-ADDomain | fl Name,DomainMode e Get-ADForest | fl Name,ForestMode per verificare i livelli funzionali.
Figura 54: Verifica del livello funzionale del dominio e della foresta
Abbassare il livello funzionale del dominio e della foresta: è possibile?
Il livello funzionale del dominio e della foresta in Active Directory è una configurazione irreversibile nella maggior parte dei casi. Tuttavia, a partire da Windows Server 2008 R2, Microsoft ha introdotto la possibilità di abbassare il livello funzionale del dominio in determinate condizioni.
Si può abbassare il livello funzionale del dominio?
Sì, ma solo se il livello funzionale è Windows Server 2012 o superiore.
- Ad esempio, se il livello attuale è Windows Server 2016, è possibile abbassarlo a Windows Server 2012 R2 o Windows Server 2012.
- Non è possibile scendere sotto Windows Server 2012.
Si può abbassare il livello funzionale della foresta?
No, il livello funzionale della foresta non può essere abbassato.
- Una volta aumentato il livello della foresta, non è possibile tornare a una versione inferiore.
- L’unica opzione è ripristinare il dominio da un backup precedente.
NOTA: Le operazioni di downgrade dei livelli funzionali possono essere eseguite solo tramite PowerShell.
Dopo aver innalzato il livello funzionale, il wizard continuerà senza problemi.
Figura 55: Wizard per la promozione del server a Domain Controller
Opzioni del Domain Controller:
- Domain Name System (DNS) → Lasciate selezionato se il server deve essere anche un DNS.
- Global Catalog (GC) → Lasciate selezionato (fondamentale per autenticazione).
- Read-Only Domain Controller (RODC) → Lasciate deselezionato se volete un DC scrivibile.
- Inserite la Directory Services Restore Mode (DSRM) password, utile per il ripristino del DC.
Figura 56: Opzioni del Domain Controller
Nella schermata dell’Active Directory Domain Services Configuration Wizard, compare il seguente avviso: “A delegation for this DNS server cannot be created because the authoritative parent zone cannot be found or it does not run Windows DNS server.”
Questo avviso appare quando il server che si sta promuovendo a Domain Controller (DC) non è in grado di trovare una delega DNS per la zona principale nel server DNS esistente. Tuttavia, questo avviso può essere ignorato nella maggior parte dei casi, specialmente se il DNS del dominio è già gestito all’interno della rete.
Figura 57: DNS Options
Selezionate un Domain Controller esistente per la replica iniziale oppure lasciate l’opzione Any domain controller.
Figura 58: Selezionate un Domain Controller esistente per la replica iniziale
Lasciate i percorsi predefiniti per SYSVOL, database AD e log.
Figura 59: Percorsi predefiniti per SYSVOL, database AD e log
La schermata Preparation Options mostra che, prima di installare il nuovo Domain Controller Windows Server 2025, il wizard deve eseguire le seguenti operazioni:
- Forest and Schema Preparation
- Domain Preparation
Esattamente come è avvenuto quando abbiamo installato il primo domain controller con Windows Server 2022. Se l’utente che sta eseguendo il wizard ha i permessi necessari (Schema Admins ed Enterprise Admins), il processo verrà eseguito automaticamente in background. Se non avete i permessi richiesti, dovete eseguire manualmente adprep sui Domain Controller esistenti prima di continuare l’installazione.
Figura 60: Schermata Preparation Options
Figura 61: Schermata riepilogativa con le impostazioni scelte
Nella schermata Prerequisites Check verranno mostrati i risultati della verifica dei prerequisiti prima di procedere con l’installazione del Domain Controller Windows Server 2025.
La verifica è stata completata con successo e il messaggio principale conferma “All prerequisite checks passed successfully. Click ‘Install’ to begin installation.”. Potete procedere con l’installazione cliccando su “Install”.
Avviso sulla delega DNS: “A delegation for this DNS server cannot be created because the authoritative parent zone cannot be found or it does not run Windows DNS server.”
- Questo avviso appare perché il nuovo DC non riesce a trovare una delega DNS nella zona padre.
- Succede spesso se il dominio utilizza un server DNS non Windows (es. BIND su Linux o DNS cloud-based).
- Se il DNS del dominio è già configurato e funzionante, potete ignorare l’avviso e procedere.
- Se necessario, potete creare manualmente la delega DNS in DNS Manager (dnsmgmt.msc).
Tutti i controlli sono stati superati, quindi potete procedere con l’installazione.
Gli avvisi non bloccano l’installazione e possono essere ignorati a meno che non abbiate esigenze specifiche.
Figura 62: Schermata finale del wizard di promozione della macchina Windows Server 2025 a Domain Controller
Dopo l’installazione, il server si riavvierà automaticamente per completare la promozione a Domain Controller.
Figura 63: Il server è stato promosso a Domain Controller e viene riavviato automaticamente
Dopo aver completato l’installazione del nuovo Domain Controller Windows Server 2022, potete verificare che la macchina 2022-DC1 sia stata aggiunta correttamente come Domain Controller utilizzando la console Active Directory Users and Computers (ADUC).
Figura 64: Dalla console Active Directory Users and Computers sarà possibile verificare che la macchina chiamata 2025-DC1 è riconosciuta come un Domain Controller
Installazione e verifica del secondo domain controller con Windows Server 2025 (2025-DC2)
Dopo aver installato e configurato 2025-DC1 come Domain Controller, il passo successivo è aggiungere un secondo Domain Controller (2025-DC2) per migliorare la ridondanza, l’affidabilità e la sicurezza dell’infrastruttura Active Directory.
L’installazione segue gli stessi passaggi di 2025-DC1:
- Aggiungere (join) il server al dominio (demo.lab).
- Installare il ruolo Active Directory Domain Services (AD DS).
- Promuovere 2025-DC2 a Domain Controller aggiuntivo.
- Verificare la replica e la sincronizzazione con 2025-DC1.
Figura 65: Wizard per aggiungere il secondo Windows Server 2025 come Domain Controller
Figura 66: Wizard per aggiungere il secondo Windows Server 2025 come Domain Controller
Figura 67: Il secondo Windows Server 2025 è stato promosso a Domain Controller e viene riavviato automaticamente
Dopo aver completato l’installazione del nuovo Domain Controller Windows Server 2025, potete verificare che la macchina 2025-DC2 sia stata aggiunta correttamente come Domain Controller utilizzando la console Active Directory Users and Computers (ADUC).
Figura 68: Dalla console Active Directory Users and Computers sarà possibile verificare che la macchina chiamata 2025-DC2 è riconosciuta come un Domain Controller
Migrazione dei ruoli FSMO su un Domain Controller Windows Server 2025
Dopo aver installato e configurato correttamente 2025-DC1 e 2025-DC2 come Domain Controller nel dominio, il passo successivo è trasferire i ruoli FSMO (Flexible Single Master Operations) sul nuovo DC. Dopo aver identificato il DC che detiene i ruoli (con il comando netdom query fsmo), possiamo trasferire tutti i ruoli FSMO su 2025-DC1 utilizzando PowerShell o la GUI.
Su un domain controller qualsiasi (io l’ho fatto su Windows Server 2022) utilizzate il comando Move-ADDirectoryServerOperationMasterRole -Identity “2025-DC1” -OperationMasterRole 0,1,2,3,4 per spostare tutti i ruoli su un server Windows Server 2025 (io ho scelto 2025-DC1).
Il comando trasferisce tutti e 5 i ruoli FSMO al Domain Controller 2025-DC1.
- 0 → PDC Emulator
- 1 → RID Master
- 2 → Infrastructure Master
- 3 → Schema Master
- 4 → Domain Naming Master
Verificate successivamente con il comando netdom query fsmo chi attualmente detiene i ruoli FSMO. L’output conferma che tutti i 5 ruoli FSMO ora sono detenuti da 2025-DC1.demo.lab, indicando che il trasferimento è stato completato con successo.
Figura 69: Migrazione dei ruoli FSMO su un Domain Controller Windows Server 2025
Tutti i ruoli FSMO sono stati trasferiti correttamente su 2025-DC1, che ora è il Domain Controller principale per l’infrastruttura Active Directory. Questo significa che 2025-DC1 gestisce completamente Active Directory, garantendo stabilità e compatibilità con Windows Server 2025.
Per assicurarsi che tutto funzioni correttamente, è consigliabile verificare la replica tra i Domain Controller con il comando repadmin /showrepl e monitorare il corretto funzionamento dei servizi di autenticazione.
Ora il dominio è aggiornato e pronto per operare con il nuovo DC principale!
Demote dei Domain Controller Windows Server 2022 (2022-DC1 e 2022-DC2)
Ora che i Domain Controller Windows Server 2025 (2025-DC1 e 2025-DC2) sono operativi e detengono tutti i ruoli FSMO, possiamo procedere con la rimozione dei vecchi Domain Controller Windows Server 2022 (2022-DC1 e 2022-DC2) dal dominio.
Prerequisiti prima della rimozione
- Assicurarsi che 2025-DC1 e 2025-DC2 siano completamente operativi.
- Verificare che 2022-DC1 e 2022-DC2 non detengano più ruoli FSMO.
- Controllare la replica tra i DC con il comando repadmin /showrepl
- Modificare le impostazioni DNS di tutti i client, server e dispositivi per utilizzare 2025-DC1 e 2025-DC2 come DNS primari.
- Verificare che 2025-DC1 e 2025-DC2 siano in grado di autenticare utenti e applicare le Group Policy.
Per la rimozione dei domain controller con Windows Server 2022 ho deciso di utilizzare il comando PowerShell Uninstall-ADDSDomainController
NOTA: Prima di rimuovere i domain controller con Windows Server 2022, assicuratevi che i client e i server puntino ai nuovi DC (2025-DC1 e 2025-DC2) come server DNS. Controllate anche le configurazioni IPv6 per evitare problemi di risoluzione DNS.
Figura 70: Rimozione del Domain Controller 2022-DC1
Figura 71: Riavvio del server dopo il Demote
Figura 72: Rimozione del Domain Controller 2022-DC2
Figura 73: Rimozione del Domain Controller 2022-DC2
Figura 74: Riavvio del server dopo il Demote
Dopo aver completato il demote dei due Domain Controller 2022-DC1 e 2022-DC2, i server verranno rimossi automaticamente dalla cartella “Domain Controllers” in Active Directory Users and Computers (ADUC).
Figura 75: I server 2022-DC1 e 2022-DC2 non sono più domain controller e quindi non sono visibili nella cartella “Domain Controllers” in Active Directory Users and Computers
Ora il vostro dominio è completamente aggiornato e supportato dai nuovi Domain Controller Windows Server 2025!
Pulizia dei metadati in Active Directory dopo la rimozione di 2022-DC1 e 2022-DC2
L’immagine sotto mostra la console Active Directory Sites and Services (dssite.msc), in cui i vecchi Domain Controller (2022-DC1 e 2022-DC2) sono ancora visibili. Questo significa che non sono stati completamente rimossi dai metadati di Active Directory e dobbiamo procedere con la loro eliminazione manuale.
Procedete alla rimozione delle informazioni rimaste semplicemente facendo clic con il tasto destro e scegliendo Delete.
Figura 76: Pulizia dei metadati in Active Directory
Figura 77: Pulizia dei metadati in Active Directory
Ripetete la stessa operazione per 2022-DC2
Figura 78: Pulizia dei metadati in Active Directory
Il risultato finale è quello mostrato nella figura sotto:
Figura 79: Pulizia dei metadati in Active Directory completata
Ricapitolando:
- Abbiamo rimosso con successo 2022-DC1 e 2022-DC2 da Active Directory.
- Ora il dominio è gestito interamente da 2025-DC1 e 2025-DC2.
- Dopo la pulizia, verificate DNS, replica e autenticazione per confermare che tutto funzioni correttamente.
- Il dominio è ora completamente aggiornato e funzionante con Windows Server 2025!
Innalzamento livello funzionale a Windows Server 2025
L’innalzamento del livello funzionale del dominio e della foresta a Windows Server 2025 introduce diverse novità e miglioramenti significativi in Active Directory. Ecco le principali:
1. Dimensione della pagina del database a 32 KB:
Una delle novità più rilevanti è l’aumento della dimensione della pagina del database di Active Directory da 8 KB a 32 KB. Questo cambiamento migliora le prestazioni, specialmente per gli ambienti con un elevato numero di attributi multivalore, aumentando il limite da circa 1.200 a circa 3.200 valori per attributo. È importante notare che questo aggiornamento avviene a livello di foresta e richiede che tutti i controller di dominio supportino le nuove dimensioni della pagina.
2. Miglioramenti nell’algoritmo di individuazione dei controller di dominio
L’algoritmo di individuazione dei controller di dominio è stato ottimizzato per migliorare la mappatura dei nomi di dominio NetBIOS brevi ai nomi di dominio in stile DNS. Inoltre, l’API DsGetDcName supporta un nuovo flag, DS_DIRECTORY_SERVICE_13_REQUIRED, che facilita l’individuazione dei controller di dominio che eseguono Windows Server 2025.
3. Supporto avanzato per NUMA
Windows Server 2025 rimuove la precedente limitazione che consentiva ad Active Directory di utilizzare solo le CPU associate al gruppo NUMA 0. Ora, Active Directory può sfruttare tutte le CPU attraverso più gruppi NUMA, migliorando significativamente le prestazioni in ambienti con grandi distribuzioni di Active Directory.
4. Miglioramenti nella sicurezza delle password degli account computer
I controller di dominio su Windows Server 2025 impediscono l’impostazione di password predefinite per gli account computer che corrispondono al nome dell’account stesso. Questo comportamento può essere gestito tramite l’impostazione dei criteri di gruppo: “Rifiuta l’impostazione predefinita della password dell’account computer”.
5. Auditing della firma e della crittografia SMB
È ora possibile abilitare l’auditing per il server e il client SMB per monitorare il supporto alla firma e alla crittografia SMB. Questa funzionalità consente di identificare client o server di terze parti che non supportano adeguatamente queste misure di sicurezza, configurabile tramite Criteri di Gruppo o PowerShell.
Questi aggiornamenti mirano a potenziare le prestazioni, la sicurezza e la gestione di Active Directory in ambienti che adottano Windows Server 2025.
Per una panoramica più dettagliata delle novità introdotte in Windows Server 2025, ti consiglio di guardare il seguente video:
Aprite la console Active Directory Domains and Trusts (domain.msc). Fate clic con il tasto destro sul dominio e selezionare Raise Domain Functional Level. Scegliete Windows Server 2025 e confermate.
Fare lo stesso per la foresta, cliccando con il tasto destro su Active Directory Domains and Trusts > Raise Forest Functional Level. Selezionate Windows Server 2025 e confermate.
L’operazione può essere eseguita più rapidamente con PowerShell usando i comandi Set-ADDomainMode -Identity “demo.lab” -DomainMode Windows2025Domain e Set-ADForestMode -Identity “demo.lab” -ForestMode Windows2025Forest. Sostituire “demo.lab” con il nome del dominio corretto.
Figura 80: Innalzamento del livello funzionale del dominio
Figura 81: Innalzamento del livello funzionale del dominio
Figura 82: Innalzamento del livello funzionale del dominio completato
Dopo aver aggiornato tutti i Domain Controller a Windows Server 2025 e innalzato il livello funzionale del dominio, è consigliato anche aggiornare il livello funzionale della foresta. Questo passaggio garantisce che l’intera infrastruttura Active Directory possa sfruttare le funzionalità avanzate disponibili nella versione più recente. Il Forest Functional Level (FFL) determina le funzionalità disponibili per l’intera foresta Active Directory e stabilisce il requisito minimo per tutti i domini appartenenti alla foresta.
NOTA: Una volta aggiornato, il livello funzionale della foresta NON può essere abbassato. L’unico modo per tornare indietro è ripristinare un backup precedente di tutti i Domain Controller.
Figura 83: Innalzamento del livello funzionale della foresta
Figura 84: Innalzamento del livello funzionale della foresta
Figura 85: Innalzamento del livello funzionale della foresta completato
Dopo aver innalzato il livello funzionale del dominio e della foresta eseguite i comandi Get-ADDomain | fl Name,DomainMode e Get-ADForest | fl Name,ForestMode per verificare i livelli funzionali.
Figura 86: Verifica del livello funzionale del dominio e della foresta
Lezioni apprese e Best Practices
- Verificare lo stato del dominio prima della migrazione, controllando SYSVOL, DNS, replica e sincronizzazione dell’orologio per prevenire problemi durante il processo di aggiornamento.
- Pianificare con attenzione il trasferimento dei ruoli FSMO, assicurandosi che i nuovi Domain Controller siano completamente operativi prima di rimuovere quelli esistenti.
- Aggiornare le configurazioni DNS su client e server per evitare problemi di risoluzione dei nomi dopo la rimozione dei vecchi DC.
- Eliminare i riferimenti ai vecchi DC pulendo i metadati di Active Directory per prevenire errori e incongruenze nel dominio.
- Eseguire backup regolari prima di ogni fase critica, garantendo la possibilità di rollback in caso di errori o imprevisti.
- Eseguire un controllo approfondito della replica di Active Directory con repadmin /replsummary e dcdiag prima di iniziare la migrazione per assicurarsi che tutti i Domain Controller siano sincronizzati correttamente.
- Evitare di aggiornare il livello funzionale del dominio prima di aver rimosso i vecchi DC, per evitare incompatibilità con Windows Server 2012 R2 o versioni precedenti.
- Utilizzare Domain Controller intermedi (Windows Server 2022) per una transizione sicura, poiché Windows Server 2025 non supporta domini con livello funzionale inferiore a Windows Server 2016.
- Configurare correttamente il Global Catalog (GC) sui nuovi DC, verificando che almeno uno dei nuovi Domain Controller sia abilitato come Global Catalog per garantire la corretta autenticazione degli utenti.
Conclusioni
La migrazione di Active Directory da Windows Server 2012 R2 a Windows Server 2025 è un processo complesso che richiede una pianificazione attenta per garantire la continuità operativa e la sicurezza dell’infrastruttura IT.
Abbiamo visto come il passaggio intermedio attraverso Windows Server 2022 sia necessario per poter aggiornare il livello funzionale del dominio e della foresta almeno a Windows Server 2016, condizione essenziale per l’integrazione dei nuovi Domain Controller Windows Server 2025.
Seguendo la strategia proposta:
- Abbiamo introdotto due DC Windows Server 2022 per garantire la compatibilità.
- Abbiamo trasferito i ruoli FSMO e rimosso i vecchi DC Windows Server 2012 R2.
- Abbiamo innalzato il livello funzionale della foresta e del dominio a Windows Server 2016 o superiore.
- Abbiamo installato e promosso due nuovi DC Windows Server 2025, garantendo la continuità e la sicurezza dell’infrastruttura AD.
- Abbiamo rimosso i DC intermedi Windows Server 2022, completando il processo di transizione.
Questa migrazione non solo consente di beneficiare delle nuove funzionalità di sicurezza, prestazioni e gestione di Windows Server 2025, ma garantisce anche la piena compatibilità con gli ambienti IT moderni, migliorando la resilienza e la scalabilità del dominio.
Ora la vostra infrastruttura Active Directory è aggiornata, pronta per il futuro e in grado di supportare al meglio le esigenze aziendali.