windows2008logoTra le nuove funzionalità di Windows Server 2008, ne figura una interessante: la possibilità di installare un domain controller in sola lettura.
È una funzionalità che mancava dai tempi di NT4 e semplifica di molto la vita agli amministratori soprattutto per quei server installati lontano dal proprio CED in location poco sicure dal punto di vista fisico.
La presenza di un domain controller locale, come noto, riduce il traffico di rete. Poiché per definizione un Domain Controller locale non ha bisogno necessariamente di tutti gli oggetti di Active directory, ma solo di una parte di essi, per il DC Read only è possibile specificare soprattutto i gruppi di utenti che verranno replicati.
Per tutto il resto, saranno gli altri DC della rete a garantire l’autenticazione.
Il processo di installazione non è molto differente da quello di un domain controller ordinario. Presenta qualche sostanziale differenza soltanto nella fase di configurazione degli oggetti da replicare.
Vediamola nel dettaglio.

Prima di tutto, dobbiamo verificare che il computer sia correttamente collegato in rete. Come sempre cominciamo da Server Manager, effettuando il join a dominio. Per questo facciamo click su “Specifica nome e dominio del computer“:

webc-tutorial-0037

Si avviano così le proprietà del sistema. E’ buona regola specificare una “Descrizione computer“. Fare click sul pulsante “Cambia…“:

webc-tutorial-0038

Specificare il nome del computer, scegliamo il pulsante “Dominio” e specifichiamo il dominio di cui vogliamo entrare a fare parte:

webc-tutorial-0039

Dopo aver confermato, vi verranno richieste le credenziali di un amministratore di Active Directory:

webc-tutorial-0040

Se tutto è andato bene, il sistema vi mostrerà in sequenza:

webc-tutorial-0041

webc-tutorial-0042

webc-tutorial-0043

Riavviate.

A questo punto dovrete aggiungere il ruolo di domain controller al vostro server, usando sempre il Server Manager. Questa operazione è identica a quanto già visto nell’articolo relativo all’installazione del domain controller:

webc-tutorial-0044

Una volta installato il ruolo aggiuntivo del server, è necessario digitare il comando DCPROMO, dalla barra di esecuzione. Quindi premete Start, poi esegui e quindi scrivete dcpromo.

webc-tutorial-0045

Si avvierà un Wizard: dovremo specificare immediatamente di usarlo in modalità avanzata, utilizzando l’apposito checkbox:

webc-tutorial-0046

Questo avviso riguarda i vecchi client: tenetene conto se usate ancora Windows NT 4. Nel nostro esempio, possiamo andare avanti tranquillamente:

webc-tutorial-0047

L’operazione che dobbiamo compiere riguarda l’aggiunta di un domain controller ad una foresta esistente e ad un dominio esistente. Questa possibilità è chiaramente esposta in questo Wizard:

webc-tutorial-0048

Una volta selezionata quell’opzione, dovremo specificare il nome del dominio a cui dovremo collegare il domain controller e soprattutto le credenziali giuste come amministratori di Active Directory. Tutto è mostrato in questa schermata:

webc-tutorial-0049

Dopo aver clickato sul tasto “Imposta“, specificate l’account “administrator”:

webc-tutorial-0050

Dopo aver eseguito questo controllo, il wizard vi mostrerà esattamente il dominio che avete indicato. Sceglietelo e fate click su Avanti:

webc-tutorial-0051

Scegliete anche a quale sito di Active Directory dovrà congiungersi il Domain Controller.

“In Active Directory, la struttura può essere molto complessa e ramificata. Soprattutto se avete località geograficamente lontane, avrete una struttura di rete con diverse subnet, interconnesse fra di loro. I siti di Active Directory, per l’appunto, seguono la topologia di rete e consentono di controllare il traffico di replica fra i vari punti di installazione”

Selezionate l’unico sito esistente e fate click su Avanti:

webc-tutorial-0052

A questo punto, specificate cosa volete installare. Nel nostro esempio sceglieremo di installare anche la funzionalità DNS e il Catalogo Globale.

Qui interviene la prima sostanziale differenza: dovremo specificare di installare un “Controller di dominio di sola lettura “:

webc-tutorial-0053

Inoltre, dobbiamo specificare quale gruppo di utenti è abilitato all’amministrazione di questo domain controller. A differenza di un normale domain controller, gli RODC consentono di ritagliare le deleghe amministrative per impedire possibili danni.

webc-tutorial-0055

Nell’esempio, abbiamo scelto comunque di assegnare al gruppo predefinito di amministratori questo privilegio:

webc-tutorial-0056

Nei domain controller a sola lettura è possibile selezionare quali elementi replicare o meno. Questo consente una maggiore sicurezza, invece di replicare per intero tutto il database di active directory. Nell’esempio comunque stiamo scegliendo di replicare tutto:

webc-tutorial-0054

Una funzionalità intelligente è quella prevista in questa schermata. Soprattutto nei casi in cui il database di active directory contenga moltissimi oggetti e quindi sia di dimensioni notevoli, è possibile partire da un backup effettuato su un altro domain controller, piuttosto che forzare la replica di tutti i contenuti dalla rete. Questo è molto utile per le località remote, collegate alla sede centrale con un collegamento WAN non sempre performante. Il restore dei dati caricherà quindi il grosso, il resto invece verrà replicato (per differenza) dagli altri domain controller. Nel nostro esempio abbiamo scelto di replicare i dati dalla rete:

webc-tutorial-0057

La topologia di replica è un argomento complesso, che tratterò in futuro. Nel nostro esempio lasceremo al sistema decidere come replicare e da chi. Nella maggior parte delle situazioni, comunque, le decisioni di default vanno più che bene:

webc-tutorial-0058

Nell’esempio lasceremo il percorso inalterato. Come già chiarito in un articolo precedente, la celta del volume va comunque ponderata in relazione alla configurazione del sistema:

webc-tutorial-0059

Bene, ora impostate la password di ripristino del servizio Active Directory, solo per questo server. Ricordatevi quindi, come chiarito nella schermata, è diversa dalla password di administrator impostata precedentemente:

webc-tutorial-0060

Un riepilogo finale, e siamo pronti per l’installazione:

webc-tutorial-0061

L’installazione richiede qualche minuto:

webc-tutorial-0062

Ok, finito. Il vostro controller di dominio a sola lettura è stato installato!

CONDIVIDI
Esperto di sistemi operativi e soluzioni Microsoft per le aziende, ma anche appassionato di viaggi, automobili e di politica internazionale. Mi occupo di Information Technology da oltre 20 anni.