Cos'è un domain controller: storia ed evoluzione

Gli amministratori IT lavorano con e intorno a Active Directory dalla presentazione della tecnologia in Windows 2000 Server. Windows 2000 Server è stato rilasciato il 17 febbraio 2000, ma molti amministratori hanno iniziato a lavorare con Active Directory alla fine del 1999, quando è stato rilasciato per la produzione (RTM) il 15 dicembre 1999.

In questa parte del nostro tutorial parleremo del controller di dominio.

Cos'è un Domain Controller?

Il domain controller è l'asse portante di Active Directory. Senza un domain controller, non puoi avere una directory!

È possibile utilizzare fino a 1.200 controller di dominio in un singolo dominio. Ma, non giudicare l'ambiente di un altro amministratore dalla dimensione o dalla scala di esso! Esaminiamo l'evoluzione del controller di dominio:

• Windows NT 3.1 ha introdotto il dominio originale di Microsoft

Windows NT 3.1 (successivamente 3.5 e poi 3.51) non va confuso con Windows 3.1 che era un sistema operativo client a 16 bit. La funzionalità di dominio inclusa in Windows NT non era un modello multi-master come AD DS. Pertanto, c'era un controller di dominio primario (PDC) e controller di dominio di backup (BDC). Tutte le modifiche erano gestite dal PDC. Un BDC poteva essere promosso a PDC in una situazione di recupero di disastro. Oggi, abbiamo il ruolo FSMO di Emulatore PDC che è direttamente correlato al PDC originale.

• Windows 2000 Server ha introdotto Active Directory

Con il rilascio di Windows 2000 Server, Microsoft ha rivisto gran parte del tradizionale dominio e ha commercializzato il servizio come Active Directory. Una caratteristica fondamentale di Active Directory era il modello multi-master che permetteva la maggior parte delle funzionalità di Active Directory, inclusi i cambiamenti, di avere luogo su qualsiasi DC nel dominio.

• Windows Server 2003 ha introdotto nuove funzionalità

Con Windows Server 2003, Active Directory è stato aggiornato con alcuni miglioramenti amministrativi (come la selezione multipla di oggetti in ADUC), è stata aggiunta la capacità di creare trust tra foreste e la funzionalità di caching dell'appartenenza ai gruppi universali. Altre funzionalità sono state aggiunte o ampliate, specialmente per quanto riguarda l'amministrazione da riga di comando.

• Windows Server 2003 R2 ha introdotto AD FS e la modalità applicazione di Active Directory (ADAM)

AD FS e ADAM sono stati grandi miglioramenti, specialmente guardandoli oggi nel 2015. Tuttavia, all'epoca non venivano utilizzati molto. In seguito, ADAM è diventato AD LDS mentre AD FS è stato aggiornato nel tempo per l'integrazione con il cloud.

• Windows Server 2008 ha introdotto i controller di dominio di sola lettura (RODC) e le politiche di password a granularità fine

Con Windows Server 2008, gli RODC sono diventati un'opzione che ha permesso agli amministratori di distribuire DC in armadietti informatici non sicuri negli uffici remoti, tra gli altri usi. Inoltre, sono state introdotte politiche di password policies più dettagliate, sebbene con alcune sfide amministrative come la mancanza di un'interfaccia grafica per gestire le politiche. Windows Server 2008 R2 ha introdotto il cestino e il modulo PowerShell. Windows Server 2008 R2 ha continuato a perfezionare alcune delle funzionalità introdotte in Windows Server 2008 e ha offerto il Cestino e un modulo PowerShell che era fondamentale per gli amministratori per poter gestire efficacemente AD DS da PowerShell.

• Windows Server 2012 ha introdotto una gestione semplificata e un miglior supporto alla virtualizzazione

Sono stati introdotti gli attesi strumenti dell'interfaccia grafica per gestire il Cestino e le politiche di password granulari. Inoltre, la virtualizzazione è stata migliorata e il supporto per la virtualizzazione dei DC è diventato mainstream. Consulta https://technet.microsoft.com/en-us/library/hh831477.aspx per una guida completa sulle modifiche.

• Windows Server 2012 R2 si è concentrato sul miglioramento della sicurezza

Le nuove funzionalità includono l'autenticazione a più fattori, l'accesso single sign-on dai dispositivi connessi e il controllo degli accessi a più fattori. Consulta https://technet.microsoft.com/en-us/library/dn268294.aspx per una guida completa sulle modifiche.

Ulteriori informazioni sui fondamenti di Active Directory possono essere trovate nel nostro AD tutorial for beginners.

FAQ

Cos'è un controller di dominio?

Un controller di dominio è un server Windows che gestisce l'autenticazione e l'autorizzazione degli utenti all'interno di una rete di dominio Windows. Memorizza le informazioni degli account utente, applica le politiche di sicurezza e autentica gli utenti quando accedono ai computer uniti al dominio. I controller di dominio eseguono Active Directory Domain Services, che mantiene un database centralizzato di oggetti di rete inclusi utenti, computer, gruppi e unità organizzative. Quando qualcuno accede a un computer del dominio, il controller di dominio verifica le loro credenziali e determina a quali risorse possono accedere in base alla loro identità e appartenenza a gruppi. Questo approccio centralizzato alla gestione dell'identità consente politiche di sicurezza coerenti in tutta la rete e fornisce le basi per i controlli di accesso basati sul principio del least privilege access. La Data security che inizia con l'identità si affida a controller di dominio configurati correttamente per far rispettare le politiche di accesso e monitor user activity.

Come rendere il tuo server 2019 un domain controller?

La promozione di un server Windows Server 2019 a controller di dominio richiede l'installazione del ruolo dei servizi di dominio Active Directory e l'esecuzione della procedura guidata di promozione a controller di dominio. Prima di tutto, assicurati che il server soddisfi i requisiti, inclusi un indirizzo IP statico, una corretta configurazione DNS e spazio su disco sufficiente. Installa il ruolo AD DS utilizzando Server Manager o PowerShell:

      Install-WindowsFeature -Name AD-Domain-Services -IncludeManagementTools
      

Dopo l'installazione, esegui dcpromo tramite l'area di notifica di Server Manager o utilizza PowerShell:

      # For a new forest
Install-ADDSForest

# For an existing domain
Install-ADDSDomainController
      

La procedura guidata ti accompagna nella configurazione del nome di dominio, del livello funzionale della foresta, delle opzioni DNS e della password della modalità di ripristino dei servizi di directory. Dopo la promozione, verifica che il controller di dominio funzioni correttamente controllando i log di Event Viewer e testando l'autenticazione. Pianifica sempre con attenzione la struttura di Active Directory prima della promozione, poiché le modifiche diventano più complesse una volta che il controller di dominio è operativo.

Quanti controller di dominio mi servono per un piccolo ufficio?

I piccoli uffici hanno tipicamente bisogno di almeno due domain controller per ridondanza e tolleranza ai guasti, anche con pochi come 85 utenti distribuiti su più sedi. La regola generale è un domain controller per sito più uno aggiuntivo per il backup, ma ciò dipende dalle vostre esigenze specifiche. Per organizzazioni con 85 utenti e 4 uffici, considerate di posizionare un domain controller nella vostra sede principale e domain controller aggiuntivi nei siti remoti con connessioni WAN lente o molti utenti. Una topologia hub-and-spoke con due domain controller nell'ufficio principale e Read-Only Domain Controllers (RODCs) nei siti remoti più piccoli spesso fornisce il miglior equilibrio tra prestazioni e sicurezza. Ricordate che i domain controller gestiscono le richieste di autenticazione, quindi gli utenti sperimentano ritardi nell'accesso quando si connettono a domain controller remoti tramite collegamenti di rete lenti. Pianificate per la crescita e considerate che la collocazione dei domain controller influisce direttamente sull'esperienza degli utenti e sulla sicurezza della rete.

Come retrocedere un controller di dominio?

Retrocedere un controller di dominio richiede un'attenta pianificazione per evitare di interrompere i servizi di autenticazione e trasferire eventuali ruoli FSMO detenuti dal server. Prima di tutto, identifica se il controller di dominio detiene qualche ruolo FSMO:

      netdom query fsmo
      

Trasferiscili su un altro domain controller se necessario. Assicurati di avere almeno un altro domain controller funzionante nel dominio prima di procedere. Usa la procedura guidata Rimuovi ruoli e funzionalità di Server Manager o PowerShell:

      Uninstall-ADDSDomainController
      

Il processo rimuove i dati di Active Directory, retrocede il server allo stato di server membro e aggiorna i record DNS. Durante la retrocessione, specificare una password dell'amministratore locale per lo stato post-retrocessione del server. Verificare che la retrocessione sia stata completata con successo controllando che il server non appaia più in Active Directory Sites and Services e che i rimanenti controller di dominio possano autenticare correttamente gli utenti. Pianificare questo processo durante le finestre di manutenzione poiché influisce temporaneamente sulla replica.

Cosa fa un controller di dominio?

Un domain controller funge da autorità centrale per l'autenticazione, l'autorizzazione e i servizi di directory in un ambiente di dominio Windows. Autentica le credenziali degli utenti quando si accede ai computer uniti al dominio, determina a quali risorse gli utenti possono accedere in base alla loro identità e appartenenza a gruppi e fa rispettare le politiche di sicurezza in tutta la rete. I domain controller replicano anche i dati di Active Directory con altri domain controller per garantire coerenza e disponibilità, gestiscono i servizi DNS per la risoluzione dei nomi di dominio e gestiscono la distribuzione di Group Policy per assicurare una configurazione coerente su tutti i computer del dominio. Oltre all'autenticazione di base, i domain controller forniscono registrazioni di audit delle attività degli utenti, supportano la funzionalità di single sign-on e consentono la gestione centralizzata degli account utente e degli oggetti computer. Questa gestione centralizzata dell'Identity Management crea le fondamenta per implementare controlli di accesso basati sul principio del privilegio minimo e monitorare il comportamento degli utenti per rilevare potenziali minacce alla sicurezza prima che si trasformino in violazioni.