Manuel Roccon

ICT & Cyber Security Specialist

Aggiungere un nuovo dominio a una foresta esistente – Windows Server

Nello scorso articolo abbiamo visto come creare un trust tra 2 domini esistenti, qui sotto il link…

In questo articolo vedremo come creare un nuovo sotto dominio dal dominio principale.

La divisione di foreste padre/figlio ha dei benefici, tra cui la gestione autonoma di ogni oggetto nel rispettivo dominio/sottodominio (utenti, gruppi, computer ecc..) e la possibilità di autorizzare accessi granulari tra le varie foreste. La differenza è molto simile con i trust di dominio, ma in questo caso i 2 domini sono legati dallo stesso nome dominio.

La creazione di un sotto dominio potrebbe avere numerose applicazioni come i seguenti esempi:

Separare il dominio pubblico (es. dominio.it) dal dominio interno (es. ad.dominio.it) dove andremmo a collocare e gestire i dispositivi della nostra rete interna (server, pc, stampanti ecc..).

Questa configurazione a differenza dei domini .local ha i seguenti vantaggi:

  • Poter creare accessi granulari tra le 2 foreste
  • Consente di gestire in modo semplice e separato domini interni ed esterni
  • Tutti i nomi di dominio interni saranno univoci a livello globale
  • Non è necessario utilizzo dello split-DNS per la gestione dei domini esterni

Un altra applicazione potrebbe essere quella di dividere logicamente più sezioni di infrastruttura, come ad esempio avendo la sede principale nel dominio dominio.local, dividere la gestione di sedi localmente distanti es. la sedi di Milano e Roma (milano.dominio.local e roma.dominio.local). In questo casso potrebbe essere sia un dominio locale che pubblico.

Ora illustro i principali step per creare un sotto dominio riprendendo il secondo esempio.

Per prima cosa è necessario configurare un nuovo server figlio compatibile con lo schema ad del attuale dominio e il server deve puntare il DNS al dominio principale.

In questo caso il DNS del futuro server figlio dc.adm.dogcorp.local deve puntare al padre dogcorp.local (192.168.0.240) già precedentemente configurato.

In seguito installare il ruolo Servizi di dominio Active Directory:

E completare l’installazione:

A questo punto è necessario elevare di livello il server a controller di dominio, prima di effettuare questo passaggio rinominiamo correttamente il server:

A questo punto indichiamo di aggiungere un nuovo dominio a una foresta esistente, indichiamo il nome del dominio e forniamo le credenziali del dominio padre dogcorp.

Notiamo che in questa schermata che ci è già familiare in quanto è quella che ci permette di creare un nuovo dominio (la prima opzione), ci permette di aggiungere una nuova foresta a quella esistente (la terza opzione).

A questo punto proseguiamo indicando la password di ripristino del active direcotory:

Continuiamo con i prossimi steps:

A questo punto sarà necessario riavviare, e la configurazione è conclusa.

Ora vediamo alcuni aspetti di questa configurazioni.

Possiamo subito verificare che accedendo a dc.adm.dogcorp.local abbiamo una gestione totalmente separate degli oggetti di active directory come è separata la gestione del proprio DNS. Quindi l’amministratore può gestire queste configurazioni indipendentemente dal dominio principale.

dc.adm.dogcorp.local
dc.adm.dogcorp.local

Possiamo anche verificare che sia dal dominio padre (dogcorp.local) che figlio (adm.dogcorp.local) sono visibili gli oggetti di active directory. Come spiegato piu largamente nel precedente articolo, in questo modo è possibile dare accesso a risorse e servizi agli utenti dei rispettivi domini in modo granulare.

Un esempio qui sotto è autorizzare un utente del dominio padre ad accedere ad una risorsa del dominio figlio. In questo caso vediamo che utilizzando utility netplwiz per gestire le autorizzazioni di accesso, e selezionando i percorsi durante l’aggiunta di un utente, entrambi i percorsi sono visibili nelle ricerche.

dc.adm.dogcorp.local

E quindi aggiungere l’utente ad accedere al sistema.

Un altro esempio che riporto qui sotto è la condivisione di directory tra i 2 domini.

Ora vediamo un altra particolarità di questa configurazione. Come possiamo vedere durante la configurazione del dominio viene generato un trust reciproco tra i 2 domini, questo in modo automatico a differenza della configurazione vista in precedenza nel trust manuale tra 2 domini.

dc.dogcorp.local

Visti questi aspetti principali possiamo creare questi sottodomini a piacimento a seconda di come volgiamo strutturare le nostre foreste e le relazioni tra di loro.

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *