Nota
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare ad accedere o modificare le directory.
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare a modificare le directory.
Distribuzione di Active Directory Domain Services (AD DS) in Windows Server 2012 è più semplice e veloce rispetto alle versioni precedenti di Windows Server. L'installazione di Servizi di dominio Active Directory è ora basata su Windows PowerShell e integrata con Server Manager. Si è ridotto il numero di passaggi necessari per introdurre i controller di dominio in un ambiente Active Directory esistente. La creazione di un nuovo ambiente Active Directory è dunque diventata più semplice ed efficiente. Il nuovo processo di distribuzione di Servizi di dominio Active Directory riduce al minimo le probabilità di errori che altrimenti potrebbero bloccare l'installazione.
È inoltre possibile installare i file binari del ruolo server Servizi di dominio Active Directory (in altri termini, il ruolo server Servizi di dominio Active Directory) su più server simultaneamente. È possibile eseguire anche la procedura guidata di installazione di Servizi di dominio Active Directory in remoto su un singolo server. Questi miglioramenti offrono maggiore flessibilità per la distribuzione di controller di dominio che eseguono Windows Server, in particolare per distribuzioni globali su larga scala, in cui è necessario distribuire molti controller di dominio in uffici in aree diverse.
L'installazione di Servizi di dominio Active Directory include le funzionalità seguenti:
Integrazione di Adprep.exe nel processo di installazione di Servizi di dominio Active Directory. I complessi passaggi previsti per la preparazione di Active Directory, ad esempio la necessità di usare una serie di credenziali diverse, copiare i file di Adprep.exe o accedere a controller di dominio specifici, sono stati semplificati o vengono eseguiti in automatico. In tal modo si riduce il tempo necessario per installare Servizi di dominio Active Directory e si riducono le probabilità di errori che potrebbero altrimenti bloccare l'innalzamento di livello di un controller di dominio. Per gli ambienti in cui è preferibile eseguire i comandi adprep.exe prima di installare un nuovo controller di dominio, è ancora possibile eseguire i comandi adprep.exe separatamente dall'installazione di Servizi di dominio Active Directory.
La nuova installazione di Servizi di dominio Active Directory è basata su Windows PowerShell e può essere richiamata da una postazione remota. La nuova installazione di Servizi di dominio Active Directory è integrata con Server Manager e quindi è possibile installare Servizi di dominio Active Directory usando la stessa interfaccia usata per l'installazione di altri ruoli del server. Per gli utenti di Windows PowerShell, i cmdlet di distribuzione di Servizi di dominio Active Directory assicurano un livello più elevato di funzionalità e flessibilità. Le opzioni di installazione della riga di comando e dell'interfaccia utente grafica (GUI) hanno pari funzionalità.
La nuova installazione di Servizi di dominio Active Directory include la convalida dei prerequisiti. I potenziali errori vengono rilevati prima dell'inizio dell'installazione. È possibile correggere le condizioni di errore prima che si verifichino senza problemi derivanti da un aggiornamento parzialmente completo. Se ad esempio è necessario eseguire il comando adprep /domainprep, la procedura guidata di installazione verifica che l'utente disponga dei diritti necessari per eseguire l'operazione.
Le pagine di configurazione sono raggruppate in una sequenza che rispecchia i requisiti delle opzioni di promozione più comuni, con le opzioni correlate raggruppate in un minor numero di pagine dell'installazione guidata. Ciò fornisce un contesto migliore per la scelta delle opzioni di installazione.
È possibile esportare uno script di Windows PowerShell contenente tutte le opzioni specificate durante l'installazione grafica. Al termine di un'installazione o di una rimozione, è possibile esportare le impostazioni in uno script di Windows PowerShell da usare per l'automazione della stessa operazione.
Prima del riavvio viene eseguita solo la replica della parte critica. Nuova opzione che consente la replica dei dati non critici prima del riavvio. Per altre informazioni, vedere Il cmdlet di PowerShell ADDSDeployment.
Configurazione guidata Servizi di dominio Active Directory
A partire da Windows Server 2012, la Configurazione guidata Servizi di dominio Active Directory sostituisce l'installazione guidata di Servizi di dominio Active Directory legacy come opzione dell'interfaccia utente per specificare le impostazioni quando si installa un controller di dominio. La Configurazione guidata Servizi di dominio Active Directory viene avviata al termine dell'Aggiunta guidata ruoli.
In Installa Servizi di dominio Active Directory le procedure dell'interfaccia utente illustrano come avviare l'Aggiunta guidata ruoli per installare i file binari del ruolo del server di Active Directory Domain Services e quindi eseguire la Configurazione guidata Servizi di dominio Active Directory per completare l'installazione del controller di dominio. Gli esempi di Windows PowerShell mostrano come completare entrambi i passaggi utilizzando un cmdlet di distribuzione di Servizi di dominio Active Directory.
Adprep.exe integration
I comandi Adprep vengono eseguiti automaticamente in base alle esigenze quando si installa un controller di dominio che esegue Windows Server in un dominio o una foresta Active Directory esistente.
Sebbene le operazioni di adprep siano eseguite automaticamente, è possibile eseguire Adprep.exe anche separatamente. Se ad esempio l'utente che installa Active Directory Domain Services non è un membro del gruppo Enterprise Admins (un prerequisito per poter eseguire Adprep /forestprep), potrebbe essere necessario eseguire il comando separatamente. Tuttavia, è necessario eseguire adprep.exe solo se si prevede di aggiornare sul posto il primo controller di dominio di Windows Server (in altre parole, si prevede di aggiornare sul posto il sistema operativo di un controller di dominio che esegue Windows Server 2012).
Adprep.exe si trova nella cartella \support\adprep del disco di installazione di Windows Server. Adprep è in grado di eseguire in remoto.
For information about resolving other errors returned by Adprep.exe, see Known issues.
Sintassi per Adprep in Windows Server 2012
Utilizzare la sintassi seguente per eseguire adprep separatamente dall'installazione di Servizi di dominio Active Directory:
Adprep.exe /forestprep /forest <forest name> /userdomain <user domain name> /user <user name> /password *
Utilizzare /logdsid nel comando per ottenere una registrazione più dettagliata. Il file adprep.log si trova in %windir%\System32\Debug\Adprep\Logs.
Esecuzione di adprep con smart card
La versione di Windows Server di adprep.exe funziona usando la smart card come credenziali, ma non è possibile specificare facilmente le credenziali della smart card tramite la riga di comando. Un modo di procedere consiste nell'ottenere le credenziali della smart card tramite il cmdlet Get-Credential di PowerShell. Utilizzare quindi il nome utente dell'oggetto PSCredential restituito, che viene visualizzato nel formato @@.... La password è il PIN della smart card.
In Adprep.exe è necessario specificare /userdomain se è specificato /user. Nel caso delle credenziali della smart card, il parametro /userdomain dovrebbe essere il dominio dell'account utente sottostante, rappresentato dalla smart card.
Il comando adprep /domainprep /gpprep non viene eseguito automaticamente
Il comando adprep /domainprep /gpprep non viene eseguito nell'ambito dell'installazione di Active Directory Domain Services. Tale comando imposta le autorizzazioni che sono richieste dalla funzionalità Gruppo di criteri risultante (modalità pianificazione). Per altre informazioni su questo comando, vedere l'articolo della Microsoft Knowledge Base 324392. Se è necessario che il comando sia eseguito nel dominio Active Directory, è possibile eseguirlo separatamente dall'installazione di Servizi di dominio Active Directory. Se il comando è stato eseguito in precedenza per preparare la distribuzione dei controller di dominio che eseguono Windows Server 2003 SP1 o versione successiva, non è necessario eseguirlo di nuovo.
È possibile aggiungere in modo sicuro controller di dominio che eseguono Windows Server a un dominio esistente senza eseguire adprep /domainprep /gpprep, ma la modalità di pianificazione RSOP non funzionerà correttamente.
Convalida dei prerequisiti di installazione di Servizi di dominio Active Directory
La procedura guidata di installazione di Servizi di dominio Active Directory verifica che i prerequisiti seguenti siano soddisfatti prima di avviare l'installazione. Viene così concessa l'opportunità di risolvere i potenziali problemi che potrebbero ostacolare l'installazione.
I prerequisiti di adprep includono, ad esempio:
- Verifica delle credenziali per adprep: se è necessario eseguire adprep, la procedura guidata di installazione verifica che l'utente disponga dei diritti necessari per eseguire le operazioni di adprep opportune.
- Verifica della disponibilità del master schema: se la procedura guidata di installazione rileva che è necessario eseguire adprep /forestprep, verifica che il master schema sia online e, se non lo è, non completa l'operazione.
- Verifica della disponibilità del master infrastrutture: se la procedura guidata di installazione rileva che è necessario eseguire adprep /domainprep, verifica che il master infrastrutture sia online e, se non lo è, non non completa l'operazione.
Di seguito sono elencate altre verifiche dei prerequisiti che sono state ereditate dalla procedura guidata legacy, Installazione guidata Active Directory (dcpromo.exe):
- Verifica del nome della foresta: assicura che il nome della foresta è valido e non esiste già.
- Verifica del nome NetBIOS: assicura che il nome NetBIOS specificato è valido e non causa conflitti con nomi esistenti.
- Verifica del percorso dei componenti: assicura che i percorsi di database, registri e SYSVOL relativi ad Active Directory sono validi e che lo spazio disponibile sul disco è sufficiente.
- Verifica del nome del sottodominio: assicura che il nome del dominio padre e del nuovo sottodominio sono validi e non causano conflitti con i domini esistenti.
- Verifica del nome del dominio albero: assicura che il nome dell'albero specificato è valido e non esiste già.
Known issues
Questa sezione elenca alcuni dei problemi noti che interessano l'installazione di Servizi di dominio Active Directory in Windows Server 2012. Per altri problemi noti, vedere Risoluzione dei problemi relativi alla distribuzione del controller di dominio.
Se l'accesso WMI al master schema è bloccato da Windows Firewall quando il comando adprep /forestprep viene eseguito in remoto, l'errore seguente viene registrato nel registro di adprep, in %systemroot%\system32\debug\adprep:
Adprep encountered a Win32 error. Error code: 0x6ba Error message: The RPC server is unavailable.In questo caso è possibile ovviare a questo errore eseguendo direttamente adprep /forestprep sul master schema oppure eseguendo uno dei comandi seguenti per abilitare il traffico WMI attraverso Windows Firewall.
netsh advfirewall firewall set rule group="windows management instrumentation (wmi)" new enable=yesÈ possibile digitare Ctrl + C per annullare il cmdlet Install-ADDSForest. L'annullamento interrompe l'installazione e tutte le modifiche apportate allo stato del server vengono annullate. Dopo l'esecuzione del comando di annullamento, tuttavia, il controllo non torna a Windows PowerShell e il cmdlet potrebbe bloccarsi per un periodo di tempo indefinito.
L'installazione di un controller di dominio aggiuntivo con credenziali smart card ha esito negativo se il server di destinazione non è aggiunto al dominio prima dell'installazione.
In questo caso viene restituito il messaggio d'errore seguente:
Unable to connect to the replication source domain controller source-domain-controller-name. (Eccezione: Accesso non riuscito: Nome utente sconosciuto o password errata)
Se si aggiunge il server di destinazione al dominio e in seguito si esegue l'installazione utilizzando una smart card, l'installazione viene completata correttamente.
Il modulo ADDSDeployment non viene eseguito con processi a 32 bit. Se si automatizza la distribuzione e configurazione di Windows Server 2012 tramite uno script che include un cmdlet ADDSDeployment e qualsiasi altro cmdlet che non supporta i processi a 64 bit nativi, lo script potrebbe non funzionare generando un errore che indica che non è possibile trovare il cmdlet ADDSDeployment.
In questo caso è necessario eseguire il cmdlet ADDSDeployment separatamente dal cmdlet che non supporta i processi a 64 bit nativi.
Esiste un nuovo file system in Windows Server 2012 denominato Resilient File System. Non archiviare il database di Active Directory, i file di log o SYSVOL su un volume di dati in formato ReFS (Resilient File System). Per altre informazioni su ReFS, vedere Compilazione del file system di nuova generazione per Windows: ReFS.
In Server Manager, i server che eseguono Servizi di dominio Active Directory o altri ruoli del server su un'installazione Server Core e che sono stati aggiornati, possono mostrare il ruolo del server con uno stato rosso, anche se gli eventi e lo stato vengono raccolti come previsto. Anche i server che eseguono un'installazione Server Core di una versione preliminare di Windows Server possono essere interessati.
L'installazione di Servizi di dominio Active Directory si blocca se un errore impedisce la replica della parte critica.
Se l'installazione di Servizi di dominio Active Directory rileva un errore durante la fase di replica della parte critica, l'installazione può bloccarsi per un periodo di tempo indefinito. Se, ad esempio, si verificano errori di rete che impediscono il completamento della replica della parte critica, l'installazione non prosegue.
Se si esegue l'installazione con Server Manager, è possibile che una pagina con lo stato di avanzamento dell'installazione rimanga aperta senza che venga visualizzato alcun errore sullo schermo, mentre lo stato di avanzamento resta bloccato per circa 15 minuti. Se si utilizza Windows PowerShell, lo stato di avanzamento visualizzato nella finestra di Windows PowerShell non cambierà per oltre 15 minuti.
Se si verifica questo problema, controllare il file dcpromo.log nella cartella %systemroot%/debug nel server di destinazione. Il file di log indicherà in genere ripetuti errori di replica. Alcune cause note di questo problema sono:
I problemi di rete impediscono la replica della parte critica tra il server di destinazione del quale viene innalzato il livello e il controller di dominio dell'origine della replica.
Nel file dcpromo.log, ad esempio, è riportato:
05/02/2012 14:16:46 [INFO] EVENTLOG (Error): NTDS Replication / DS RPC Client : 1963 Internal event: The following local directory service received an exception from a remote procedure call (RPC) connection. Extensive RPC information was requested. This is intermediate information and might not contain a possible cause. Process ID: 500 Reported error information: Error value: Could not find the domain controller for this domain. (1908) directory service: <domain>.com Extensive error information: Error value: A security package specific error occurred. 1825 directory service: <DC Name>Poiché il processo di installazione ritenta la replica della parte critica per un numero indefinito di volte, l'installazione del controller di dominio prosegue se i sottostanti problemi di rete vengono risolti. Esaminare il problema di rete utilizzando strumenti quali ipconfig, nslookup e netmon in base alle esigenze. Verificare che sia disponibile connettività tra il controller di dominio che si desidera alzare di livello e il partner di replica selezionato durante l'installazione di Active Directory Domain Services. Verificare inoltre il corretto funzionamento della risoluzione dei nomi.
I requisiti di installazione di Servizi di dominio Active Directory per la connettività di rete e la risoluzione dei nomi vengono convalidati durante il controllo dei prerequisiti, prima che venga avviata l'installazione. Possono tuttavia verificarsi alcune condizioni di errore successivamente alla convalida dei prerequisiti e prima del completamento dell'installazione, ad esempio se il partner di replica diventa non disponibile durante l'installazione.
Durante l'installazione del controller di dominio di replica, nelle credenziali di installazione viene utilizzato l'account amministratore locale del server di destinazione, ma la password dell'account amministratore locale corrisponde alla password di un account del gruppo Domain Admins. In questo caso, è possibile completare l'installazione guidata e iniziare l'installazione prima che si verifichi l'errore "Accesso negato".
Nel file dcpromo.log, ad esempio, è riportato:
03/30/2012 11:36:51 [INFO] Creating the NTDS Settings object for this Active Directory Domain Controller on the remote AD DC DC2.contoso.com... 03/30/2012 11:36:51 [INFO] EVENTLOG (Error): NTDS Replication / DS RPC Client : 1963Internal event: The following local directory service received an exception from a remote procedure call (RPC) connection. Extensive RPC information was requested. This is intermediate information and might not contain a possible cause. Process ID: 508 Reported error information: Error value: Access is denied. (5) directory service: DC2.contoso.comSe l'errore è causato specificando un account amministratore locale e una password, per ripristinare è necessario reinstallare il sistema operativo, eseguire la pulizia dei metadati dell'account per il controller di dominio che non è riuscito a completare l'installazione e quindi ripetere l'installazione di Active Directory Domain Services usando le credenziali di amministratore di dominio. Il riavvio del server non consente di correggere la condizione di errore, in quanto il server indicherà che Active Directory Domain Services è installato anche se l'installazione non è stata completata.
La Configurazione guidata Servizi di dominio Active Directory visualizza un avviso quando viene specificato un nome DNS in forma non normalizzata
Se si crea un nuovo dominio o una nuova foresta e si specifica un nome di dominio DNS che include caratteri internazionali in forma non normalizzata, la Configurazione guidata di Active Directory Domain Services avvisa che le query DNS relative al nome potrebbero avere esito negativo. Sebbene il nome di dominio DNS venga specificato nella pagina Configurazione distribuzione, l'avviso viene visualizzato in una pagina successiva della procedura guidata: Controllo dei prerequisiti.
Se si specifica un nome di dominio DNS usando un nome non mappato come füß ball.com o 'ΣΤ'.com (le versioni normalizzate sono: füssball.com e βστα.com), le applicazioni client che tentano di accedervi con WinHTTP normalizzeranno il nome prima di chiamare le API di risoluzione dei nomi. Se l'utente digita "'ΣΤ'.com" in una finestra di dialogo, verrà inviata la query DNS "βστα.com" e nessun server DNS la collegherà a un record di risorsa relativo a "'ΣΤ'.com". L'utente non sarà in grado di risolvere il nome.
L'esempio seguente spiega uno dei problemi che possono verificarsi quando si utilizza un nome IDN non normalizzato:
- Il dominio che usa un nome non normalizzato viene creato e registrato sul server DNS: füßball.com
- Il computer "nps" viene aggiunto al dominio e ottiene il nome registrato: nps.füßball.com
- Un'applicazione client tenta di connettersi al server nps.füßball.com
- L'applicazione client tenta di risolvere il nome nps.füßball.com chiamando le API di risoluzione dei nomi.
- Per via della normalizzazione, il nome viene convertito in nps.füssball.com ed è sottoposto a query in rete con il nome nps.füßball.com
- L'applicazione client non è in grado di risolvere il nome perché il nome registrato è nps.füßball.com
Se l'avviso viene visualizzato nella pagina Controllo dei prerequisiti della Configurazione guidata Servizi di dominio Active Directory, tornare alla pagina Configurazione distribuzione e specificare un nome di dominio DNS normalizzato. Se si sta installando un nuovo dominio utilizzando Windows PowerShell, specificare un nome DNS normalizzato per l'opzione -DomainName.
Per altre informazioni sugli IDN, vedere Gestione dei nomi di dominio internazionalizzati (IDN).