Passaggio 6: Installare e configurare 2-DC1

2-DC1 offre i servizi seguenti:

• Controller di dominio per il dominio Active Directory Domain Services (AD DS) corp2.corp.contoso.com.

• Un server DNS per il dominio DNS corp2.corp.contoso.com.

La configurazione 2-DC1 è costituita dagli elementi seguenti:

• Installare il sistema operativo in 2-DC1

• Configurare le proprietà TCP/IP

• Per configurare 2-DC1 come controller di dominio e server DNS

• Fornire le autorizzazioni di Criteri di gruppo a CORP\User1

• Consentire ai computer CORP2 di ottenere i certificati per computer

• Forzare la replica tra DC1 e 2-DC1

Installare il sistema operativo in 2-DC1

Prima di tutto, installare Windows Server 2016, Windows Server 2012 R2 o Windows Server 2012.

Installazione del sistema operativo in 2-DC1

1. Avviare l'installazione di Windows Server 2016, Windows Server 2012 R2 o Windows Server 2012.

2. Seguire le istruzioni per completare l'installazione, specificando Windows Server 2016, Windows Server 2012 R2 o Windows Server 2012 (installazione completa) e una password complessa per l'account amministratore locale. Accedere utilizzando l'account Administrator locale.

3. Connettere 2-DC1 a una rete con accesso a Internet ed eseguire Windows Update per installare gli aggiornamenti più recenti per Windows Server 2016, Windows Server 2012 R2 o Windows Server 2012, quindi disconnettersi da Internet.

4. Connettere 2-DC1 alla subnet 2-Corpnet.

Configurare le proprietà TCP/IP

Configurare il protocollo TCP/IP con indirizzi IP statici.

Configurazione TCP/IP in 2-DC1

1. Nella console Server Manager, fare clic su Server locale e nell'area Proprietà, accanto a Connessione Ethernet cablata, fare clic sul link.

2. In Connessioni di retefare clic con il pulsante destro del mouse su Connessione Ethernet cablatae quindi scegliere Proprietà.

3. Fare clic su Protocollo Internet versione 4 (TCP/IPv4)e quindi su Proprietà.

4. Fare clic su Utilizza il seguente indirizzo IP. In indirizzo IP, digitare 10.2.0.1. In Subnet mask, digitare 255.255.255.0. In Gateway predefinito, digitare 10.2.0.254. Fare clic su Utilizza i seguenti indirizzi server DNS, in Server DNS preferito, digitare 10.2.0.1 e in Server DNS alternativo digitare 10.0.0.1.

5. Fare clic su Avanzate e quindi sulla scheda DNS.

6. Nel suffisso DNS per questa connessione digitare corp2.corp.contoso.com, quindi fare clic due volte su OK.

7. Fare clic su Protocollo Internet versione 6 (TCP/IPv6), quindi fare clic su Proprietà.

8. Fare clic su Usa l'indirizzo IPv6 seguente. In Indirizzo IPv6, digitare 2001:db8:2::1. In Lunghezza prefisso subnet, digitare 64. In Gateway predefinito, digitare 2001:db8:2::fe. Fare clic su Usa gli indirizzi server DNS seguenti, in Server DNS preferito, digitare 2001:db8:2::1 e in Server DNS alternativo digitare 2001:db8:1::1.

9. Fare clic su Avanzate e quindi sulla scheda DNS.

10. Nel suffisso DNS per questa connessione digitare corp2.corp.contoso.com, quindi fare clic due volte su OK.

11. Nella finestra di dialogo Proprietà connessione Ethernet cablata fare clic su Chiudi.

12. Chiudere la finestra Connessioni di rete .

13. Nella console di Server Manager, in Server locale, nell'area Proprietà accanto a Nome computer, fare clic sul collegamento.

14. Nella finestra di dialogo delle Proprietà di Sistema, nella scheda Nome del Computer, fare clic su Modifica.

15. Nella finestra di dialogo Nome computer/Modifiche dominio, in Nome computer digitare 2-DC1, quindi fare clic su OK.

16. Quando viene richiesto il riavvio del computer, fare clic su OK.

17. Nella finestra di dialogo Proprietà del sistema fare clic su Chiudi.

18. Quando viene richiesto di riavviare il computer, fare clic su Riavvia ora.

19. Dopo il riavvio accedere utilizzando l'account amministratore locale.

Per configurare 2-DC1 come controller di dominio e server DNS

Configurare 2-DC1 come controller di dominio per il dominio corp2.corp.contoso.com e come server DNS per il dominio DNS corp2.corp.contoso.com.

Configurazione 2-DC1 come controller di dominio e server DNS

1. Nella console di Server Manager, nella Dashboard, fare clic su Aggiungi ruoli e funzionalità.

2. Fare clic su Avanti tre volte per visualizzare la schermata di selezione ruoli server

3. Nella pagina Selezione ruoli server, selezionare Active Directory Domain Services. Fare clic su Aggiungi funzionalità quando richiesto e quindi fare clic su Avanti tre volte.

4. Nella pagina Conferma selezioni per l'installazione fare clic su Installa.

5. Al termine dell'installazione, fare clic su promuovere il server a un controller di dominio.

6. Nella configurazione guidata di Active Directory Domain Services, nella pagina configurazione della distribuzione, fare clic su Aggiungi un nuovo dominio in una foresta esistente.

7. In Nome di dominio padre, digitare corp.contoso.com, in Nuovo nome di dominio digitare corp2.

8. In fornire le credenziali per eseguire questa operazione, fare clic su Modifica. Nella finestra di dialogo Sicurezza di Windows, in Nome utente, digitare corp.contoso.com\Administrator e in Password, immettere la password corp\Administrator, fare clic su OK e quindi su Avanti.

9. Nella pagina Opzioni controller di dominio, verificare che il nome del sito sia Second-Site. Nella sezione Digitare la password modalità ripristino Servizi Directory (DSRM), nei campi Password e Conferma password, digita due volte una password complessa, quindi fai clic su Avanti cinque volte.

10. Nel controllo dei prerequisiti pagina, dopo aver convalidati i prerequisiti, fare clic su installare.

11. Attendere che la procedura guidata completi la configurazione dei servizi DNS e di Active Directory e quindi fare clic su Chiudi.

12. Dopo il riavvio del computer, accedere al dominio CORP2 usando l'account amministratore.

Fornire le autorizzazioni di Criteri di gruppo a CORP\User1

Utilizzare questa procedura per fornire all'utente CORP\User1 autorizzazioni complete per creare e modificare oggetti Criteri di gruppo corp2.

Fornitura delle autorizzazioni relative ai Criteri di gruppo

1. Nella schermata Avvio, digitaregpmc.msc, quindi premere INVIO.

2. Nella console Gestione criteri di gruppo aprire Foresta: corp.contoso.com/Domains/corp2.corp.contoso.com.

3. Nel riquadro dei dettagli, clicca sulla scheda Delega. Nell'elenco a discesa Autorizzazione, clicca su Collega GPOs.

4. Fare clic su Aggiungi e nella nuova finestra di dialogo Seleziona utente, computer o gruppo fare clic su Posizioni.

5. Nella finestra di dialogo Posizioni, nell’albero Posizione, fare clic corp.contoso.com, e poi su OK.

6. In Immettere il nome dell'oggetto da selezionare digitare User1, fare clic su OK e nella finestra di dialogo Aggiungi gruppo o utente fare clic su OK.

7. Nella console Gestione Criteri di gruppo, nell'albero fare clic su Oggetti Criteri di gruppo e nel riquadro dei dettagli fare clic sulla scheda Delega.

8. Fare clic su Aggiungi e nella nuova finestra di dialogo Seleziona utente, computer o gruppo fare clic su Posizioni.

9. Nella finestra di dialogo Posizioni, nell’albero Posizione, fare clic corp.contoso.com, e poi su OK.

10. In Immettere il nome dell'oggetto da selezionare digitare User1, fare clic su OK.

11. Nella console Gestione Criteri di gruppo, nell'albero fare clic su Filtri WMI e nel riquadro dei dettagli fare clic sulla scheda Delega.

12. Fare clic su Aggiungi e nella nuova finestra di dialogo Seleziona utente, computer o gruppo fare clic su Posizioni.

13. Nella finestra di dialogo Posizioni, nell’albero Posizione, fare clic corp.contoso.com, e poi su OK.

14. In Immettere il nome dell'oggetto da selezionare digitare User1, fare clic su OK. Nella finestra di dialogo Aggiungi gruppo o utente verificare che le Autorizzazioni siano impostate su Controllo completo e quindi fare clic su OK.

15. Chiudere la console Gestione dei criteri di gruppo.

Consentire ai computer CORP2 di ottenere i certificati per computer

I computer nel dominio CORP2 devono ottenere i certificati per computer dall'autorità di certificazione su APP1. Eseguire questa procedura in APP1.

Per consentire ai computer CORP2 di ottenere automaticamente certificati per computer

1. Su APP1, fare clic su Avvio, digitare certtmpl.msc, quindi premere INVIO.

2. Nel riquadro centrale della console dei modelli certificato fare doppio clic su Autenticazione client-server.

3. Nella finestra di dialogo Proprietà autenticazione client-server fare clic sulla scheda Sicurezza.

4. Fare clic su Aggiungie nella finestra di dialogo Seleziona utenti, computer, account di servizio o gruppi fare clic su Posizioni.

5. Nella finestra di dialogo Posizioni in Posizione, espandere corp.contoso.com, fare clic su corp2.corp.contoso.com e poi su OK.

6. In Immettere i nomi degli oggetti da selezionare, digitare Domain Admins; Domain Computers e quindi fare clic su OK.

7. Nella finestra di dialogo Proprietà autenticazione client-server, in Nomi di gruppo o utente, fare clic su Domain Admins (Ammin dominio) (CORP2\Domain Admins) e in Autorizzazioni per amministratori di dominio, nella colonna Consenti, selezionare Scrivi e Registra.

8. In Nome gruppo o utente, fare clic su Computer di dominio (CORP2\Domain Computers) e in Autorizzazioni per computer di dominio, nella colonna Consenti selezionare Registra e Registrazione automatica, quindi fare clic su OK.

9. Chiudere la Console dei modelli di certificato.

Forzare la replica tra DC1 e 2-DC1

Prima di poter eseguire la registrazione per i certificati in 2-EDGE1, è necessario forzare la replica delle impostazioni da DC1 a 2-DC1. Questa operazione deve essere eseguita in DC1.

Forzare la replica

1. In DC1 fare clic su Avvio e quindi su Siti Active Directory e Servizi.

2. Nella console Siti Active Directory e Servizi, nell’albero, espandere Trasporti tra siti e quindi fare clic su IP.

3. Nel riquadro dei dettagli fare doppio clic su DEFAULTIPSITELINK.

4. Nella finestra di dialogo Proprietà DEFAULTIPSITELINK, in Costo, digitare 1, in Replicare ogni, digitare 15 e poi fare clic OK. Attendere 15 minuti per il completamento della replica.

5. Per forzare la replica nell'albero della console, espandere Impostazioni Sites\Default-First-Site-name\Servers\DC1\NTDS, nel riquadro dei dettagli fare clic con il pulsante destro del mouse su <generato automaticamente>, fare clic su Replica adesso e poi nella finestra di dialogo Replica adesso fare clic su OK.

6. Per assicurarsi che la replica sia stata completata correttamente, eseguire le operazioni seguenti:

   1. Nella schermata Avvio, digitare cmd.exe, quindi premere INVIO.

   2. Digitare il comando seguente e quindi premere INVIO.

      repadmin /syncall /e /A /P /d /q
      

   3. Assicurarsi che tutte le partizioni siano sincronizzate senza errori. In caso contrario, eseguire di nuovo il comando fino a quando non vengono segnalati errori prima di procedere.

7. Chiudere la finestra del prompt dei comandi.