added activedirectory.md
|
@ -0,0 +1,173 @@
|
||||||
|
# Active Directory
|
||||||
|
|
||||||
|
- Installare la versione *Windows Server (Desktop Experience)*
|
||||||
|
- Impostare Ip statico direttamente da `Server Manager` e abilitare la connessione tramite `Desktop remoto`. Quindi rinominare la VM
|
||||||
|
![./asset/ip_remote_desktop.png](./asset/ip_remote_desktop.png)
|
||||||
|
In questo esempio, abbiamo due *domain controller*:
|
||||||
|
|
||||||
|
```bash
|
||||||
|
### DC1
|
||||||
|
192.168.1.126
|
||||||
|
255.255.255.0
|
||||||
|
192.168.1.1
|
||||||
|
|
||||||
|
### DC2
|
||||||
|
192.168.1.127
|
||||||
|
255.255.255.0
|
||||||
|
192.168.1.1
|
||||||
|
```
|
||||||
|
- Impostare la Time zone corretta, sempre da Server Manager
|
||||||
|
|
||||||
|
## Regola di firewall
|
||||||
|
- Consentire i ping in entrata
|
||||||
|
![./asset/firewall_ping.png](./asset/firewall_ping.png)
|
||||||
|
Seguire la seguente guida: [Come accettare le richieste di ping](https://www.pcprofessionale.it/news/software-news/windows/accettare-le-richieste-di-ping/)
|
||||||
|
|
||||||
|
Ora il server risponde correttamente:
|
||||||
|
|
||||||
|
```bash
|
||||||
|
> ping 192.168.1.126
|
||||||
|
|
||||||
|
PING 192.168.1.126 (192.168.1.126) 56(84) bytes of data.
|
||||||
|
64 bytes from 192.168.1.126: icmp_seq=1 ttl=128 time=0.282 ms
|
||||||
|
64 bytes from 192.168.1.126: icmp_seq=2 ttl=128 time=0.227 ms
|
||||||
|
64 bytes from 192.168.1.126: icmp_seq=3 ttl=128 time=0.225 ms
|
||||||
|
64 bytes from 192.168.1.126: icmp_seq=4 ttl=128 time=0.227 ms
|
||||||
|
64 bytes from 192.168.1.126: icmp_seq=5 ttl=128 time=0.243 ms
|
||||||
|
64 bytes from 192.168.1.126: icmp_seq=6 ttl=128 time=0.216 ms
|
||||||
|
^C
|
||||||
|
--- 192.168.1.126 ping statistics ---
|
||||||
|
6 packets transmitted, 6 received, 0% packet loss, time 5109ms
|
||||||
|
rtt min/avg/max/mdev = 0.216/0.236/0.282/0.021 ms
|
||||||
|
```
|
||||||
|
## Installazione di AD
|
||||||
|
|
||||||
|
È possibile aggiungere *ruoli* e/o funzionalità.
|
||||||
|
|
||||||
|
- `Rules`: indica il ruolo del server, cosa diventerà (DHCP Server, ecc);
|
||||||
|
- `Feature`: arricchisce il server di una caratteristica generica.
|
||||||
|
|
||||||
|
##### L'unico requisito per AD è avere un servizio DNS attivo sul server.
|
||||||
|
Installando AD, viene contemporaneamente installato anche ruolo di DNS server.
|
||||||
|
|
||||||
|
![./asset/role_features.png](./asset/role_features.png)
|
||||||
|
|
||||||
|
### Installazione di AD
|
||||||
|
|
||||||
|
- Installare il ruolo *Active Directory Domain Services*
|
||||||
|
- Aggiungere la features per il supporto a Samba 1.0
|
||||||
|
- Il server sarà riavviato automaticamente
|
||||||
|
|
||||||
|
### Promuovere il server a Domain Controller
|
||||||
|
|
||||||
|
- Creare una nuova foresta
|
||||||
|
![./asset/domain.png](./asset/domain.png)
|
||||||
|
- Impostare la password per il ripristino del database di AD
|
||||||
|
- Verificare il nome NetBIOS
|
||||||
|
![./asset/netbiosname.png](./asset/netbiosname.png)
|
||||||
|
|
||||||
|
### Configurare il ruolo DNS
|
||||||
|
|
||||||
|
- Impostare i server di inoltro condizionali, che servono per la risoluzione di tutte quelle richieste dns che non possono essere risolte dal server dns locale. Nel nostro esempio, impostiamo i server dns di google, ovvero 8.8.8.8 e 8.8.4.4
|
||||||
|
- Impostare una *Reverse Lookup Zones*: risoluzione di indirizzi ip in nomi di dominio
|
||||||
|
![./asset/reverse_lookup_zones.png](./asset/reverse_lookup_zones.png)
|
||||||
|
|
||||||
|
Nella sezione `Zone di ricerca diretta` si fare doppio clic sul nome di dominio quindi su quello del server spuntando la casella Aggiorna record puntatore (PTR) associato.
|
||||||
|
|
||||||
|
Aprendo una finestra del prompt dei comandi in Windows Server e digitando `ipconfig /all` si noterà che il server DNS predefinito è diventato 127.0.0.1 ossia la macchina stessa.
|
||||||
|
|
||||||
|
Digitando inoltre `nslookup nome-dominio` si può verificare che il server DNS locale risolve sia il nome a dominio locale (nell’esempio domain.local) che domini di terze parti attestati su server remoti.
|
||||||
|
|
||||||
|
### Ruolo DHCP
|
||||||
|
|
||||||
|
- Installare il ruolo di server DHCP
|
||||||
|
|
||||||
|
![./asset/dhcp_server.png](./asset/dhcp_server.png)
|
||||||
|
|
||||||
|
Terminare la configurazione
|
||||||
|
|
||||||
|
![./asset/dhcpconfig.png](./asset/dhcpconfig.png)
|
||||||
|
|
||||||
|
#### Configurazione scope
|
||||||
|
|
||||||
|
Creare quindi il pool di indirizzi che il server andrà a distribuire
|
||||||
|
|
||||||
|
- Da *Tools/DHCP*
|
||||||
|
|
||||||
|
![./asset/newscope.png](./asset/newscope.png)
|
||||||
|
|
||||||
|
- Inserire il range di indirizzi da distribuire
|
||||||
|
|
||||||
|
![./asset/rangescope.png](./asset/rangescope.png)
|
||||||
|
|
||||||
|
- Successivamente, è possibile anche escludere degli indirizzi. È possibile impostare **un server di failover**. Nel nostro esempio, sarà impostato DC2
|
||||||
|
|
||||||
|
Altre informazioni al seguente indirizzo: [Installare e configurare il server DHCP](https://learn.microsoft.com/it-it/windows-server/networking/technologies/dhcp/quickstart-install-configure-dhcp-server?tabs=gui)
|
||||||
|
|
||||||
|
### Verificare che il DHCP sia funzionante
|
||||||
|
|
||||||
|
Dalle impostazione del server DHCP, autorizzare il server e riavviare il servizio. Si dovrebbe vedere una spunta verde
|
||||||
|
|
||||||
|
### Backup DB AD
|
||||||
|
|
||||||
|
Per attivare l'instanza di backup, dare i seguenti comandi:
|
||||||
|
|
||||||
|
```bash
|
||||||
|
ntdsutil
|
||||||
|
activate instance ntds
|
||||||
|
ifm
|
||||||
|
create full c:\users\admninistrator\desktop\ifm
|
||||||
|
```
|
||||||
|
|
||||||
|
### OUA, users and computers
|
||||||
|
|
||||||
|
Ora è possibile creare unità organizzative, utenti, computer e altri oggetti
|
||||||
|
|
||||||
|
![./asset/oua.png](./asset/oua.png)
|
||||||
|
|
||||||
|
## Installare secondo DC
|
||||||
|
|
||||||
|
- Dopo aver installato AD, promuovere il server a secondo domain controller, aggiungendolo a un dominio esistente. Nel caso non trovasse il dominio, impostare un secondo server dns nelle impostazioni della scheda di rete
|
||||||
|
- Proseguire col join e con l'installazione
|
||||||
|
|
||||||
|
![./asset/joindc.png](./asset/joindc.png)
|
||||||
|
|
||||||
|
- Verificare che vengano sincronizzate le impostazioni del server DNS e che DC1 sia il server master per la risoluzione inversa dei nomi
|
||||||
|
- Verificare che gli oggetti vengano sincronizzati
|
||||||
|
- Installare il ruolo di DHCP server sul DC2, quindi sincronizzarlo dal DC1, impostando DC2 come failover di DC1
|
||||||
|
|
||||||
|
![./asset/dhcpfailover.png](./asset/dhcpfailover.png)
|
||||||
|
|
||||||
|
## Ruoli FSMO
|
||||||
|
|
||||||
|
Microsoft suddivise le responsabilità di un DC in 5 ruoli distinti che insieme realizzano un sistema AD completo.
|
||||||
|
|
||||||
|
I ruoli FSMO (Flexible Single Master Operations) sono cinque ruoli chiave in un ambiente Active Directory (AD) che gestiscono operazioni specifiche:
|
||||||
|
|
||||||
|
- `Schema Master`: Gestisce le modifiche allo schema di Active Directory. Solo un Domain Controller (DC) alla volta può detenere questo ruolo.
|
||||||
|
|
||||||
|
- `Domain Naming Master`: Gestisce l'aggiunta o la rimozione di domini nell'foresta. Anche questo ruolo è unico e può essere detenuto solo da un DC alla volta.
|
||||||
|
|
||||||
|
- `RID Master (Relative ID Master)`: Assegna i RID (Relative Identifiers) univoci ai nuovi oggetti creati all'interno di un dominio. Ogni dominio deve avere un RID Master dedicato.
|
||||||
|
|
||||||
|
- `PDC Emulator (Primary Domain Controller Emulator)`: Fornisce la compatibilità con i vecchi sistemi operativi NT4. Inoltre, è responsabile della sincronizzazione dell'orologio in tutta la foresta.
|
||||||
|
|
||||||
|
- `Infrastructure Master:` Mantiene la coerenza tra i riferimenti di oggetti nei domini di una foresta. Se un dominio contiene riferimenti a oggetti in altri domini, l'Infrastructure Master si assicura che essi siano aggiornati.
|
||||||
|
|
||||||
|
Per maggiori info: [Ruoli FSMO](https://learn.microsoft.com/it-it/troubleshoot/windows-server/identity/view-transfer-fsmo-roles)
|
||||||
|
|
||||||
|
Dare il seguente comando per verificare i ruoli:
|
||||||
|
|
||||||
|
```bash
|
||||||
|
netdom.exe query fsmo
|
||||||
|
```
|
||||||
|
|
||||||
|
![./asset/fsmo.png](./asset/fsmo.png)
|
||||||
|
|
||||||
|
## Collegamenti
|
||||||
|
|
||||||
|
- [https://www.varonis.com/it/blog/fsmo-roles](https://www.varonis.com/it/blog/fsmo-roles)
|
||||||
|
- [https://learn.microsoft.com/it-it/windows-server/identity/ad-ds/deploy/install-active-directory-domain-services--level-100-](https://learn.microsoft.com/it-it/windows-server/identity/ad-ds/deploy/install-active-directory-domain-services--level-100-)
|
||||||
|
- [https://www.bartolomeoalberico.it/installazione-active-directory/](https://www.bartolomeoalberico.it/installazione-active-directory/)
|
||||||
|
- [https://www.ilsoftware.it/non-aspettare-il-2024-per-risparmiare-passa-a-sorgenia-oggi-stesso/](https://www.ilsoftware.it/non-aspettare-il-2024-per-risparmiare-passa-a-sorgenia-oggi-stesso/)
|
||||||
|
- [https://carlistefano.wordpress.com/tag/server-dns/](https://carlistefano.wordpress.com/tag/server-dns/)
|
After Width: | Height: | Size: 73 KiB |
After Width: | Height: | Size: 51 KiB |
After Width: | Height: | Size: 60 KiB |
After Width: | Height: | Size: 60 KiB |
After Width: | Height: | Size: 95 KiB |
After Width: | Height: | Size: 46 KiB |
After Width: | Height: | Size: 84 KiB |
After Width: | Height: | Size: 61 KiB |
After Width: | Height: | Size: 54 KiB |
After Width: | Height: | Size: 44 KiB |
After Width: | Height: | Size: 45 KiB |
After Width: | Height: | Size: 47 KiB |
After Width: | Height: | Size: 64 KiB |
After Width: | Height: | Size: 70 KiB |