È possibile eseguire un'installazione gestita di un controller di dominio di sola lettura in cui differenti individui completano l'installazione in due fasi. Per completare ogni fase dell'installazione è possibile utilizzare l'Installazione guidata Servizi di dominio Active Directory.
-
Utilizzare un'installazione in modalità avanzata
-
Configurare le opzioni controller di dominio aggiuntivo
-
Delegare l'installazione e l'amministrazione del controller di dominio di sola lettura
-
Impostare i criteri di replica password
-
Selezionare un account per un controller di dominio di sola lettura
Descrizione di un'installazione gestita del controller di dominio di sola lettura
La prima fase dell'installazione consente di creare un account per il controller di dominio di sola lettura in Servizi di dominio Active Directory. Nella seconda fase viene collegato il server effettivo che diventerà controller di dominio di sola lettura all'account creato in precedenza.
Durante la prima fase l'Installazione guidata Servizi di dominio Active Directory registra tutti i dati relativi al controller di dominio di sola lettura che verranno memorizzati nel database di Active Directory, ad esempio il nome account controller di dominio del controller di dominio di sola lettura e il sito in cui verrà collocato. Questa fase deve essere eseguita da un membro del gruppo Domain Admins.
L'utente che crea l'account per il controller di dominio di sola lettura può inoltre specificare l'ora in cui gli utenti o i gruppi potranno completare la fase successiva dell'installazione. È possibile eseguire la fase successiva dell'installazione nella succursale di un ufficio da un qualsiasi utente o membro di un gruppo al quale, durante la creazione dell'account, sia stato delegato il diritto di completare l'installazione Questa fase non richiede alcuna appartenenza a gruppi incorporati, ad esempio il gruppo Domain Admins. Se l'utente che crea l'account per il controller di dominio di sola lettura non specifica alcun delegato al completamento dell'installazione (e all'amministrazione del controller di dominio di sola lettura) solo un membro del gruppo Domain Admins o Enterprise Admins può completare l'installazione.
Durante la seconda fase dell'installazione la procedura consente di installare Servizi di dominio Active Directory nel server che diventerà il controller di dominio di sola lettura. Questa fase, di solito, ha luogo nella succursale dell'ufficio in cui viene distribuito il controller di dominio di sola lettura. Durante questa fase tutti i dati di Servizi di dominio Active Directory che risiedono localmente, ad esempio il database, i file di registro e così via, vengono creati nello stesso controller di dominio di sola lettura. È possibile replicare i file di origine dell'installazione nel controller di dominio di sola lettura da un altro controller di dominio in rete oppure utilizzare la funzionalità IFM. In questo caso, utilizzare Ntdsutil.exe per creare il supporto di installazione specifico di un'installazione di controller di dominio di sola lettura. Per ulteriori informazioni sull'utilizzo di IFM, vedere Installare da supporti.
Il server che diventerà controller di dominio di sola lettura non deve essere unito al dominio prima che si tenti di collegarlo all'account per il controller di dominio di sola lettura. Come parte dell'installazione l'Installazione guidata Servizi di dominio Active Directory rileva automaticamente l'eventuale corrispondenza del nome del server con il nome di qualsiasi account per il controller di dominio di sola lettura creato in precedenze per il dominio. Se viene individuato un nome account corrispondente, all'utente viene richiesto di utilizzare quell'account per completare l'installazione del controller di dominio di sola lettura.
Scenario per l'esecuzione di un'installazione gestita
Quando un'organizzazione utilizza l'installazione gestita può distribuire un controller di dominio a una succursale di un ufficio in maniera più efficiente di quanto sarebbe possibile con le versioni precedenti di Windows Server. Un membro del gruppo Domain Admins in una posizione centrale, ad esempio, può creare un account per il controller di dominio di sola lettura in Servizi di dominio Active Directory. Questa fase dell'installazione consente di completare tutte le attività di distribuzione che necessitano di credenziali Domain Admins, ad esempio la creazione dell'account computer per il controller di dominio, la specificazione del relativo sito e la creazione di un oggetto Impostazioni NTDS associato per il server.
Quando un membro del gruppo Domain Admins crea l'account per il controller di dominio di sola lettura può delegare a un altro utente o gruppo di sicurezza il diritto di completare l'installazione del controller nella succursale di un ufficio. L'attività di collegamento del server all'account per il controller di dominio di sola lettura esistente non deve essere eseguita da un membro del gruppo Domain Admins. Ogni amministratore delegato, o membro di gruppo delegato, specificato dal membro del gruppo Domain Admins durante la prima fase dell'installazione può eseguire questa attività.
L'organizzazione può ordinare e inviare il server direttamente alla succursale di ufficio in cui è possibile completare l'installazione del controller di dominio di sola lettura. In passato i controller di dominio per le succursali di ufficio dovevano essere spesso ordinati e spediti a una posizione centrale o a un sito di gestione temporanea da costruire prima di essere a loro volta spediti alla succursale d'ufficio in cui dovevano essere distribuiti. In alternativa veniva creato un supporto di installazione in una posizione centrale e quindi inviato alla succursale per il completamento dell'installazione del controller di dominio. L'installazione gestita di un controller di dominio di sola lettura consente di semplificare il processo di distribuzione del controller di dominio eliminando questi passaggi intermedi dell'installazione.
Come eseguire le installazioni gestite.
Prima di installare un controller di dominio di sola lettura, è necessario preparare la foresta tramite l'esecuzione di adprep /rodcprep. Per ulteriori informazioni sulla preparazione della foresta tramite l'esecuzione di adprep, vedere Scegliere una configurazione di distribuzione di Servizi di dominio Active Directory.
È possibile creare l'account per il controller di dominio di sola lettura mediante lo snap-in Utenti e computer di Active Directory. Nell'albero della console fare clic con il pulsante destro del mouse sul contenitore Controller di dominio oppure scegliere il contenitore Controller di dominio e fare clic su Azione e quindi su Creazione preliminare account controller di dominio di sola lettura.
È possibile inoltre creare un account per il controller di dominio di sola lettura eseguendo dcpromo alla riga di comando, tenendo però presente che il comando deve specificare anche il nome del dominio in cui si sta installando il controller di dominio di sola lettura. Alla riga di comando digitare il comando seguente e quindi premere INVIO:
dcpromo /CreateDCAccount /ReplicaDomainDNSName:NomeDominio
In cui NomeDominio è il nome del dominio in cui si intende installare il controller di dominio di sola lettura.
Dopo aver creato l'account per il controller di domino di sola lettura, esso viene visualizzato nel contenitore Controller di dominio come account per il controller di dominio non occupato finché un utente delegato non lo collega al server.
Dopo aver assegnato un indirizzo IP statico e configura le impostazioni client DNS per il server l'amministratore delegato può eseguire l'Installazione guidata Servizi di dominio Active Directory per collegare il server della succursale dell'ufficio all'account per il controller di dominio di sola lettura esistente. Per eseguire questa ultima operazione aprire un prompt dei comandi nel server che diventerà il controller di dominio, digitare il comando seguente e quindi premere INVIO.
dcpromo /UseExistingAccount:Attach
All'amministratore delegato viene notificata l'installazione dei file binari di Servizi di dominio Active Directory. Quindi L'installazione guidata Servizi di dominio Active Directory avvia automaticamente la seconda fase dell'installazione. L'amministratore delegato può aggiungere il parametro /adv al comando dcpromo oppure selezionare la casella di controllo Utilizza installazione in modalità avanzata nella pagina della procedura guidata Installazione guidata Servizi di dominio Active Directory per specificare le opzioni di installazione aggiuntive seguenti:
-
Se replicare i dati nella rete o da supporto
-
Quale controller di dominio utilizzare come partner di installazione
Nella pagina della procedura Credenziali di rete l'amministratore delegato deve immettere il nome di un dominio della foresta in cui viene installato il controller di dominio di sola lettura insieme alle credenziali alternative da utilizzare per l'installazione. Le credenziali alternative sono necessarie per collegare il server a un account per il controller di dominio esistente in quanto deve essere effettuato da un utente del dominio. L'amministratore delegato, tuttavia, aveva in origine effettuato l'accesso al server con un account Administrator locale poiché il server non era ancora unito al dominio. Egli, pertanto, deve ora specificare l'account utente dominio, oppure un account che sia membro del gruppo amministrativo delegato, al quale era stato delegato il diritto di installare e amministrare il controller di dominio di sola lettura quando il membro del gruppo Domain Admins aveva creato l'account per il controller di dominio di sola lettura.
Rimuovere Servizi di dominio Active Directory da un controller di dominio di sola lettura
Un amministratore delegato può rimuovere Servizi di dominio Active Directory dal controller di dominio di sola lettura eseguendo Dcpromo.exe. L'Installazione guidata Servizi di dominio Active Directory richiede informazioni, tra cui la password per il nuovo account Administrator locale necessario per rimuovere Servizi di dominio Active Directory e rendere il computer un server autonomo. Per rimuovere completamente Servizi di dominio Active Directory è necessario riavviare il server.
Rilevare i conflitti tra nome del computer e account
Dopo che l'amministratore delegato ha scelto il nome dell'account per il controller di dominio di sola lettura a cui collegare il server, l'Installazione guidata verifica che l'account non sia utilizzato attualmente da un controller di dominio attivo. Se la verifica ha esito positivo la procedura guidata tenta di collegare automaticamente il server all'account e completare l'installazione
Nel caso non venga rilevato un account computer con un nome corrispondente l'amministratore ha la possibilità di rinominare il server con un altro nome che non corrisponda a un account computer esistente oppure di effettuare altri passaggi per rimediare al conflitto del nome.
Se viene individuato un account per il controller di dominio corrispondente ma l'account è attivo, si tenta di contattare il controller di dominio per verificare che sia online. Si procede quindi come segue:
-
Se la procedura guidata è in grado di verificare che un altro controller di dominio con lo stesso nome è già online, viene bloccato il completamento dell'installazione di Servizi di dominio Active Directory. In questo caso è necessario rinominare il server in cui viene eseguita l'installazione del controller di dominio di sola lettura con il nome di un account che non sia già in uso.
-
Se la procedura guidata non è in grado di verificare la presenza online di un altro controller di dominio con lo stesso nome, l'amministratore delegato viene avvisato che in caso di continuazione dell'installazione il controller di dominio con lo stesso nome account potrebbe non funzionare correttamente, se infatti è online, nonostante il mancato contatto con la procedura guidata.
Questa condizione può verificarsi nel caso di un precedente tentativo di collegamento del server all'account esistente che, tuttavia, è stato annullato prima del completamento dell'installazione. In questo caso lo stato dell'account per il controller di dominio di sola lettura può essere modificato da disattivato ad attivato prima del completamento dell'installazione. Se si verifica questa eventualità l'amministratore può scegliere OK per continuare dopo l'avviso.
Per ulteriori informazioni, vedere Selezionare un account per un controller di dominio di sola lettura.