In questo lab che ho voluto realizzare, ho preso in considerazione uno scenario piuttosto comune nel mondo IT: la necessità di aggiungere un nuovo domain controller basato su Windows Server 2008 ad un dominio Active Directory basato su Windows Server 2003.

L’obbiettivo proposto è quello di:

  • aggiornare lo schema di Active Directory basato su Windows Server 2003 per consentire al nuovo server basato su 2008 di svolgere il ruolo di Domain Controller;
  • affiancare le funzioni di autenticazione aggiungendo un nuovo domain controller;
  • Trasferire i FSMO (Flexible Single Master of Operations) Roles dal server Windows 2003 al server Windows 2008.

La prima operazioni in ordine di tempo da eseguire è quella di aggiungere il “Ruolo” di Domain Controller tra quelli previsti da Windows 2008. In gran parte ho già trattato questi argomenti nel mio post dedicato all’installazione di un Domain Controller Windows 2008, benché facessi riferimento in questo articolo alla creazione di un nuovo dominio e di una nuova foresta. In questo articolo descriveremo l’evenienza di aggiungere un DC ad un dominio e ad una foresta esistente.

Intenzionalmente durante il lab sono stati commessi degli errori (non configurare l’IP statico, non aggiornare lo schema di Active Directory) per darvi una visione di ciò che accade a livello di sistema.

Aggiunta del ruolo di Domain Controller

Iniziamo con l’aggiunta del ruolo di domain controller, aggiungendo gli Active Directory Services sul nostro server 2008:

Webconnect-20-11-2009-0000

Attendere l’installazione del ruolo:

Webconnect-20-11-2009-0001

Se l’installazione del ruolo ha avuto esito positivo, otterremo questa schermata:

Webconnect-20-11-2009-0002

Nella schermata del Server Manager, avremo questo riepilogo dei ruoli installati. A prima vista, al termine del lab abbiamo una segnalazione di errore:

Webconnect-20-11-2009-0003

Facendo click sul link “Active Directory Domain Services”, accederemo al pannello di controllo degli eventi. In linea generale è possibile saltare questo passaggio, poiché le prime segnalazioni presenti sui registri riguardano quasi sempre la mancata replicazione dei servizi di replica file.

E’ più interessante invece la segnalazione del Server Manager: abbiamo installato il ruolo, ma di per sé il server non svolge ancora alcun servizio di Domain Controller. Dobbiamo eseguire il comando “dcpromo.exe”.

Webconnect-20-11-2009-0004

Il Wizard di attivazione dei servizi Active Directory

Facendo click su “Run the Active Directory Domain Services Installation Wizard (dcpromo.exe)”, avviamo il Wizard per attivare i servizi Active Directory sul server:

Webconnect-20-11-2009-0005

La prima schermata del wizard prevede un alert sulla gestione del protocollo SMB, utilizzato per la gestione dei file system di rete (ad esempio per l’accesso ad un servizio di file sharing):

Webconnect-20-11-2009-0006

In questa schermata dobbiamo fare attenzione a scegliere correttamente esattamente l’operazione corretta.

Lo ricordo: la foresta esiste già, il dominio esiste già. Dobbiamo aggiungere un nuovo Domain Controller.

Webconnect-20-11-2009-0007

In questa schermata dovrete confermare il nome del dominio al quale intendete connettervi e l’account utente che volte utilizzare per effettuare queste operazioni.

Ricordatevi che dovete necessariamente usare un account con privilegi di Domain Admin per quest’operazione e di Enterprise Admin per effettuare le operazioni successivamente descritte di aggiornamento dello schema.

Webconnect-20-11-2009-0008

Confermate la scelta della foresta giusta:

Webconnect-20-11-2009-0009

Nell’esecuzione del nostro wizard, abbiamo dimenticato un passo importante. Il dominio, infatti, è stato costruito con Windows Server 2003. Lo “schema” ovvero la struttura del database di Active Directory, è basato su questa versione di sistema operativo, che non è compatibile con quella nuova di Windows Server 2008.

Webconnect-20-11-2009-0010

Dobbiamo quindi aggiornare lo schema di Active Directory per renderlo compatibile all’esecuzione di funzioni di domain controller con server basati su Windows 2008.

L’aggiornamento dello Schema di Active Directory

Active Directory, come già detto, si poggia su un database distribuito fra i vari Domain Controller. Come tutti i database dispone di una propria struttura e quindi di tabelle, campi, indici, ecc.

Progressivamente nel tempo, con il succedersi delle versioni di Windows, e con l’aggiunta di nuove funzionalità ad Active Directory, si rende necessario l’aggiornamento della struttura originariamente installata sui domain controller del database di Active Directory. Questa operazione è denominata aggiornamento dello schema.

Vediamo in dettaglio cosa serve:

  • Il cd di installazione di Windows Server 2008
  • Un account con privilegi di Domain Administrator e di Enterprise Administrator
  • Uno schema della topologia di Active Directory se l’infrastruttura su cui si interviene è piuttosto complessa.

Preciso subito che l’operazione descritta, benché concettualmente semplice, è piuttosto complessa invece da gestire come impatti sulla propria rete, perché genera un consistente traffico di replicazione fra i server e, in caso di errori, richiede interventi piuttosto lunghi di ripristino. Una caratteristica di questa operazione è anche quella di essere sostanzialmente irreversibile: viene da sé che occorre avere le idee molto chiare su come procedere.

Nell’esempio che sto illustrando, la configurazione è piuttosto semplice: un unico dominio presente in un’unica foresta. Vi invito, se non avete le idee chiare su cosa significhi, di approfondire questi concetti sul sito di Microsoft.

(prosegue la prossima settimana)