Parte 1 – Conoscenze di base e teoria
Questo articolo è rivolto a tutti gli amministratori per hobby che dispongono di un Windows Server 2003 per la loro rete privata e che vogliono sfruttarne appieno le possibilità. Data l’abbondanza di possibilità, l’articolo sarà diviso in più parti, una delle quali si baserà sull’altra.
Indice dei contenuti
Conoscenze di base e un po’ di teoria
È auspicabile avere una conoscenza di base del funzionamento di una rete e conoscere la terminologia tecnica. Se non conoscete alcuni termini tecnici, potete consultarli nel glossario di AT-Mix.
In linea con ciò, in questo articolo non coprirò (potrò) tutti i dettagli tecnici e tralascerò molta teoria, per cui agli amministratori esperti sfuggiranno un paio di cose. Tuttavia, il percorso completo verso il proprio dominio con le caratteristiche utili per una LAN privata sarà descritto nel modo più dettagliato possibile.
La persona
Mi chiamo Jörg Alexander Ott, sono nato nel 1976 e lavoro con i computer da quasi 20 anni. Da diversi anni lavoro come amministratore di sistema e di rete e sono responsabile della pianificazione, dell’installazione, della manutenzione e della risoluzione dei problemi dei sistemi in un ambiente eterogeneo, quindi mi occupo dei server Windows e Linux e di tutti i sistemi client (da W9x a XP). Inoltre, attualmente sto seguendo un corso di formazione per diventare MCSE2003, che dovrebbe essere completato entro l’autunno 2004.
Parte 1 – Conoscenze di base e un po’ di teoria
Dio ha messo la teoria prima dell’installazione: questo è (purtroppo) il principio guida di questo articolo, anche se cercherò di ridurre la teoria al minimo. Tuttavia, non posso escluderla del tutto…
Che cos’è in realtà un “dominio”?!?
Il termine “dominio” è probabilmente più conosciuto in relazione ai domini Internet. La situazione è simile per i domini locali; anche in questo caso, un dominio è composto da almeno due “parti”. In pratica, di solito si presenta così: domaene.local o location.domaene.local. Come per i domini Internet, anche in questo caso è necessario rispettare le linee guida per una corretta risoluzione DNS (sebbene il server 2003 offra ancora la risoluzione NetBios, è importante soprattutto la risoluzione DNS).
Lo scopo di un dominio locale – noto come Active Directory a partire da Windows 2000 – è fondamentalmente quello di racchiudere i computer di una rete in un ambiente gestibile a livello centrale e quindi di poter gestire tutti i computer da una postazione centrale. Allo stesso tempo, un dominio può essere utilizzato per escludere tutti i membri non appartenenti al dominio dall’utilizzo delle risorse, il che è quasi impossibile in una rete peer-to-peer senza dominio, ad esempio.
Il termine “dominio” risale ai tempi di NT4, mentre nel frattempo si parla di “Active Directory” (di seguito indicato come AD), e c’è un motivo:
L’AD rappresenta un catalogo di directory in cui possono essere memorizzati oggetti dei più diversi tipi. Gli oggetti possono essere account utente, account di computer o persino stampanti. Tramite le funzionalità di AD, è possibile assegnare determinate impostazioni di sicurezza a ciascun oggetto, in modo che, ad esempio, l’utente1 possa stampare documenti sulla stampante1, ma l’utente2 no, e così via. Lo stesso vale, naturalmente, soprattutto per le condivisioni di file all’interno dell’AD: è qui che le possibilità delle impostazioni di sicurezza entrano in gioco.
Ogni oggetto nell’AD riceve il proprio SID ed è quindi unico e relativamente facile da ritrovare (anche se il punto “ritrovare” è più importante nelle reti di grandi dimensioni; in una rete privata, ritrovare gli oggetti non dovrebbe essere un problema).
È importante notare che a ogni membro dell’AD può essere consentito o negato l’accesso a qualsiasi oggetto dell’AD – per saperne di più, si veda più avanti.
Il computer più importante dell’AD è il controller di dominio (di seguito chiamato DC), che contiene tutte le informazioni dell’AD, il cosiddetto “catalogo globale”. Allo stesso tempo, funge da server di accesso che autentica e quindi consente o nega l’accesso. In un “ambiente a server unico”, il DC viene utilizzato anche come server di applicazioni e di file.
Cosa bisogna considerare prima di aggiornare un server Windows 2003 a controller di dominio?
Per un aggiornamento di successo basato su questo articolo, è importante che il server sia stato appena installato e che non siano state modificate le impostazioni: una normale installazione standard con i valori predefiniti suggeriti durante la configurazione. Naturalmente, è anche possibile aggiornare un server già in funzione e configurato di conseguenza in un DC, ma questo deve essere pianificato con largo anticipo e richiede soprattutto il ripristino di alcune impostazioni ai valori predefiniti, che comprensibilmente non posso approfondire in questa sede.
L’unica impostazione che deve essere modificata prima dell’aggiornamento è l’assegnazione di un indirizzo IP statico, di cui parleremo più avanti.
Requisiti per il funzionamento di un controller di dominio
Per far funzionare un AD su una LAN, è necessaria una piccola pianificazione preliminare. È necessario avere chiaro in anticipo quale segmento IP scegliere: una volta che al DC è stato assegnato un indirizzo IP statico e aggiornato, è difficile cambiarlo in seguito. Soprattutto se l’accesso alle reti esterne deve avvenire dalla LAN in un secondo momento, la scelta del segmento IP è cruciale: se, ad esempio, la rete aziendale utilizza lo stesso segmento IP, le connessioni VPN saranno un problema in seguito, e così via. Maggiori dettagli in seguito. La cosa migliore è scegliere il segmento IP del DC (e quindi della LAN) al di fuori di tutte le reti esistenti (in questo articolo il segmento IP sarà 192.168.10.0/24), cioè una rete privata di classe C.
Inoltre, il sistema operativo dei client della rete è importante: Windows 2000 Professional o Windows XP Professional sono i sistemi operativi che fanno parte di un AD, mentre con sistemi più vecchi come 9x, ME o NT non si può fare molto nell’AD. In questo articolo assumo Windows XP Professional come sistema operativo client, anche se la maggior parte delle impostazioni possono essere adottate 1:1 anche per Windows 2000 Professional.
Infine, ma non per questo meno importante, la rete stessa deve funzionare correttamente, quindi dovrebbe essere presente almeno uno switch o un router con switch integrato e i cavi appropriati per collegare i client. A questo punto sconsiglio di effettuare connessioni dirette tramite cavi crossover, in quanto ciò comporterà inevitabilmente dei problemi se entrambi i computer non sono costantemente in funzione: ogni DC deve essere permanentemente collegato a una connessione di rete attiva, altrimenti si riceveranno messaggi di errore. Con una connessione crossover, invece, la connessione di rete viene disattivata quando il client viene spento, quindi i problemi sono pre-programmati. A parte questo, ci si chiede se un DC sia assolutamente necessario per un computer…
La seconda parte, che sarà corredata da schermate, come tutte le altre parti successive, tratterà l’aggiornamento di un server Windows 2003 a controller di dominio e descriverà la procedura e gli effetti.
Parte 2: Configurazione di Active Directory
Parte 3: Configurazione del servizio DNS/WINS e del server DHCP, ecc.
Parte 4: Creazione delle condivisioni necessarie, creazione di utenti ecc.
Parte 5: Creazione e collegamento di uno script di login, impostazione dei permessi locali, ecc.
Parte 6: Installazione e configurazione dei servizi di aggiornamento del software (SUS).