Sui sistemi Windows Server un controller di dominio (o domain controller) è una macchina server che risponde alle richieste di autenticazione nell’ambito di un dominio ossia di un gruppo logico di computer che eseguono varie versioni del sistema operativo Microsoft e che condividono un database di directory centralizzato. All’interno di tale base dati, conosciuta con l’appellativo di Active Directory od Active Directory Domain Services in Windows Server 2008 o in Windows Server 2008 R2, vengono conservate le informazioni relative agli account utente e i dati per la protezione delle risorse all’interno del dominio Windows Server. Ogni persona che utilizza le macchine entro il dominio Windows Server possiede un suo account utente personale ed ad esso possono essere assegnati una serie di privilegi per l’accesso alle risorse disponibili nel dominio.
Proviamo a configurare una macchina Windows Server 2008 R2 come controller di dominio.
Il sistema operativo di Microsoft potrà essere eventualmente installato anche all’interno di una macchina virtuale (noi abbiamo utilizzato VMware Player).
Dopo aver completato l’installazione di Windows Server 2008 R2 (sistema operativo unicamente a 64 bit), per trasformare la macchina (sia essa “fisica” o “virtuale”) in un domain controller, è necessario assegnare allo stesso il ruolo di Active Directory Domain Controller. Il concetto di “ruoli” è stato introdotto da Microsoft col lancio di Windows Server 2008: abilitando uno o più ruoli, è possibile configurare la macchina affinché assolva i compiti più svariati (i servizi più importanti sono considerati “ruoli”).
Per stabilire il ruolo del server, è possibile cliccare sul pulsante Start di Windows Server 2008 R2 e digitare, semplicemente server manager
(oppure servermanager.msc
).
Dalla finestra che apparirà a video, si dovrà cliccare sul link Add roles:
Prima di procedere verrà visualizzata una finestra che ricorda di controllare che l’account amministratore sia dotato di una password sufficientemente “forte”, che alla macchina sia assegnato l’indirizzo IP corretto e che siano installati tutti gli aggiornamenti di sicurezza via a via rilasciati da Microsoft.
A questo punto, dopo aver cliccato il pulsante Next, si potrà iniziare a configurare i ruoli che dovrà rivestire il sistema Windows Server 2008 R2. Innanzi tutto, si dovrà spuntare la casella corrispondente alla voce Active Directory Domain Services. La procedura passo-passo mostrerà quindi i requisiti software addizionali che saranno installati insieme con il servizio richiesto:
Per proseguire, è necessario cliccare sul pulsante Add required features.
Cliccando su Next una successiva schermata riassumerà alcune delle pratiche che è bene mettere in atto per prevenire eventuali problematiche che dovessero presentarsi in futuro:
In particolare, viene caldamente consigliato di installare almeno due domain controller (nel nostro caso ne installeremo, per semplicità, solamente uno dato che trattasi di una rete locale di laboratorio e che provvedere a creare periodicamente un’immagine della configurazione del controller di dominio).
Per poter usare Active Directory Domain Services, inoltre, è necessario che la macchina sia impostata come server DNS.
Il passo seguente implicherà l’avvio dell’utilità dcpromo
, così come accadeva in Windows Server 2003: si tratta dell’unico caso in cui la configurazione di un ruolo richiede l’effettuazione di due passaggi separati (avvio di Server manager, prima e dell’utilità dcpromo
, poi).
Cliccando sui pulsanti Next ed Install si avvierà l’installazione, sul server, dei componenti necessari.
Ad installazione avvenuta, si potrà cliccare sul pulsante Start e digitare dcpromo
. Verrà così avviata una procedura guidata (“Welcome to the Active Directory Domain Services Installation Wizard“) che provvederà a configurare il servizio di nostro interesse.
Come spiegato nella schermata successiva (pulsante Next), Windows Server 2008 R2 avvisa che alcune versioni di Windows più vecchie (Windows NT) ed i client non-Microsoft SMB potrebbero avere problemi nell’utilizzo degli alcuni algoritmi crittografici adoperati dall’ultima versione Server del sistema operativo.
Nella finestra seguente si potrà optare per Crea a new domain in a new forest. Alla comparsa della schermata dal titolo Name the forest root domain, Windows Server 2008 R2 richiede di specificare la denominazione del primo dominio creato nella “foresta” dei servizi di dominio Active Directory. Il dominio radice (“root”) funge da base per l’intera infrastruttura dei servizi Active Directory. Nel nostro caso abbiamo optato per ilswoffice
:
Il nome può essere scelto liberamente ma si suggerisce di evitare l’impiego di nomi di dominio già utilizzati sulla rete Internet.
Nella schermata successiva (Set forest functional level), si dovrà selezionare la voce Windows Server 2008 R2 in modo da poter trarre vantaggio da tutte le funzionalità che contraddistinguono l’ultima versione del sistema operativo per sistemi server di Microsoft.
Dopo aver cliccato sul pulsante Next, apparirà la finestra “Additional domain controller options“: in questo caso, la scelta è una sola e riguarda l’attivazione del server DNS. E’ possibile proseguire lasciando spuntata la voce DNS.
Prima di continuare, è necessario verificare che l’interfaccia di rete associata alla macchina server utilizzi un indirizzo IP statico.
Cliccando su Next apparirà il messaggio “A delegation for this DNS server cannot be created because the authoritative parent zone cannot be found or it does not run Windows DNS server“. Per continuare, è sufficiente premere il pulsante Yes lasciando poi i valori di default nella successiva finestra Location for database, log files and SYSVOL.
Infine, nella finestra “Directory services restore mode administrator password“, riveste un’importanza cruciale la definizione di una password adeguatamente complessa.
Per concludere, alla comparsa del sommario finale, si dovrà semplicemente fare clic sul pulsante Next ed attendere pazientemente il completamento delle operazioni.
Suggeriamo di spuntare la casella Reboot on completion in modo che la macchina Windows Server 2008 R2 venga automaticamente riavvata al termine della procedura di configurazione.
Utilizzando una procedura molto simile, si possono assegnare alla macchina Windows Server 2008 R2 numerosi ruoli differenti quali, ad esempio, il compito di assegnare indirizzi IP via DHCP (server DHCP) od abilitare il web server IIS.
Accedere al dominio dai sistemi client Windows XP e Windows 7
Per rendere una workstation Windows XP parte del dominio appena creato, è sufficiente fare clic col tasto destro del mouse sull’icona Risorse del computer, cliccare su Proprietà, sulla scheda Nome computer quindi sul pulsante Cambia…, in corrispondenza della voce “Per rinominare il computer o aggiungerlo a un dominio, scegliere Cambia.
Dopo aver spuntato l’opzione Dominio, si dovrà digitare il nome del dominio precedentemente creato lato server:
Qualora venisse restituito un messaggio d’errore (“Impossibile contattare un controller di dominio per il dominio…“), è necessario controllare che sul sistema client sia correttamente utilizzata, quale server DNS, la macchina Windows Server 2008 R2 (nel nostro caso, l’IP statico ad adessa abbinato è 192.168.1.100):
Alla richiesta di nome utente e password, è possibile indicare le credenziali d’accesso di un account, creato sul server, autorizzato all’inserimento dei sistemi client nel dominio. Si può introdurre il nome utente e la password associata all’account amministrativo creato su Windows Server 2008 R2.
Un messaggio di conferma indicherà l’aggiunta della macchina al dominio:
Dopo aver cliccato più volte sul pulsante OK, Windows XP manifesterà la necessità di riavviare il sistema in modo da rendere operativa la modifica appliacta: si provveda quindi ad effettuare il reboot della macchina.
Al successivo riavvio di Windows XP, verrà presentata la schermata di logon seguente, indipendentemente dalle scelte che si fossero precedentemente effettuate (così come indicato, si dovrà premere la combinazione di tasti CTRL+ALT+CANC):
Facendo clic sul pulsante Opzioni, si potrà scegliere se effettuare il login utilizzando un account locale oppure se collegarsi al server di dominio:
Nel caso in cui si scegliesse il collegamento al dominio, è necessario indicare username e password di un account utente precedentemente creato su Windows Server 2008 R2.
Qualora non si fosse ancora creato alcun account, è possibile provvedere accedendo alla macchina Windows Server 2008 R2, aprendo il Pannello di controllo, facendo clic su Administrative tools quindi su Active Directory Users and Computers. Facendo leva sul menù Action, New, User, si potrà generare il nuovo accont:
Così facendo, verrà creato un nuovo account facente parte del gruppo Users.
La procedura per l’aggiunta del sistema client al dominio è sostanzialmente identica, ad esempio, nel caso di Windows 7. Qui si dovrà accedere al Pannello di controllo del sistema operativo, cliccare sull’icona Sistema, su link Impostazioni di sistema avanzate, sulla scheda Nome computer quindi sul pulsante Cambia.
Nella prossima puntata vedremo come distribuire automaticamente dei software sui sistemi client collegati al dominio utilizzando le funzionalità di Windows Server.