Condividi tramite


Configurare un server di gestione delle identità: Windows Server 2016 o versioni successive

Nota

La procedura di installazione di Windows Server 2019 non è diversa dalla procedura di installazione di Windows Server 2016.

Nota

Questa procedura dettagliata usa nomi e valori di esempio della società Contoso. Sostituirli con i propri nomi e valori. Ad esempio:

  • Nome del controller di dominio: corpdc
  • Nome del dominio: contoso
  • Nome del server del servizio MIM: corpservice
  • Nome del server di sincronizzazione MIM: corpservice
  • Nome SQL Server: corpsql
  • Password: Pass@word1

Aggiungere Windows Server 2016 al dominio

Iniziare con una macchina Windows Server 2016, con un minimo di 8-12 GB di RAM. Al momento dell’installazione, specificare la versione "Windows Server 2016 Standard/Datacenter (server con GUI) x64".

  1. Accedere al nuovo computer come amministratore.

  2. Usando il pannello di controllo, assegnare al computer un indirizzo IP statico nella rete. Configurare l'interfaccia di rete per l'invio di query DNS all'indirizzo IP del controller di dominio indicato nel passaggio precedente e impostare il nome del computer su CORPSERVICE. Per questa operazione è necessario riavviare il server.

  3. Aprire il pannello di controllo e aggiungere il computer al dominio che è stato configurato nel passaggio precedente, contoso.com. Per questa operazione è necessario specificare il nome utente e le credenziali di un amministratore di dominio, ad esempio Contoso\Administrator. Una volta visualizzato il messaggio di benvenuto, chiudere la finestra di dialogo e riavviare nuovamente il server.

  4. Accedere al computer CORPSERVICE come account di dominio con privilegi di amministratore per il computer locale, ad esempio Contoso\MIMINSTALL.

  5. Avviare una finestra di PowerShell come amministratore e digitare il comando seguente per aggiornare il computer in base alle impostazioni dei criteri di gruppo.

    gpupdate /force /target:computer
    

    Dopo non oltre un minuto, l'operazione verrà completata e verrà visualizzato il messaggio "Aggiornamento dei criteri computer completato".

  6. Aggiungere i ruoli Server Web (IIS) e Server applicazioni, le funzionalità .NET Framework 3.5, 4.0 e 4.5, e il modulo Active Directory per Windows PowerShell.

    Immagine delle funzionalità di PowerShell

  7. In PowerShell digitare i seguenti comandi. Si noti che potrebbe essere necessario specificare un percorso diverso per i file di origine delle funzionalità .NET Framework 3.5. Queste funzionalità in genere non sono presenti durante l'installazione di Windows Server, ma sono disponibili nella cartella side-by-side (SxS) nella cartella origini disco di installazione del sistema operativo, ad esempio "*d:\Sources\SxS*".

    import-module ServerManager
    Install-WindowsFeature Web-WebServer, Net-Framework-Features,rsat-ad-powershell,Web-Mgmt-Tools,Application-Server,Windows-Identity-Foundation,Server-Media-Foundation,Xps-Viewer –includeallsubfeature -restart -source d:\sources\SxS
    

Configurare i criteri di sicurezza server

Configurare i criteri di sicurezza del server per consentire l'esecuzione come servizi degli account appena creati.

Nota

A seconda della configurazione come server singolo o server distribuito, è necessario eseguire l'aggiunta solo in base al ruolo del computer in uso come server di sincronizzazione.

  1. Avviare il programma Criteri di protezione locali

  2. Passare a Criteri > locali Assegnazione diritti utente.

  3. Nel riquadro dei dettagli fare clic con il pulsante destro del mouse su Accedi come servizio e scegliere Proprietà.

    Immagine dei criteri di sicurezza locali

  4. Fare clic su Aggiungi utente o gruppo e nella casella di testo digitare, a seconda del ruolo, contoso\MIMSync; contoso\MIMMA; contoso\MIMService; contoso\SharePoint; contoso\SqlServer; contoso\MIMSSPR, fare clic su Controlla nomi, quindi fare clic su OK.

  5. Fare clic su OK per chiudere la finestra delle Proprietà relative ad Accedi come servizio.

  6. Nel riquadro dei dettagli fare clic con il pulsante destro del mouse su Nega accesso al computer dalla rete e scegliere Proprietà.>

  7. Fare clic su Aggiungi utente o gruppo e nella casella di testo digitare contoso\MIMSync; contoso\MIMService, quindi fare clic su OK.

  8. Fare clic su OK per chiudere la finestra Proprietà di Nega accesso al computer della rete.

  9. Nel riquadro dei dettagli fare clic con il pulsante destro del mouse su Nega accesso in locale e scegliere Proprietà.

  10. Fare clic su Aggiungi utente o gruppo e nella casella di testo digitare contoso\MIMSync; contoso\MIMService, quindi fare clic su OK.

  11. Fare clic su OK per chiudere la finestra delle Proprietà relativa all'opzione Nega accesso locale.

  12. Chiudere la finestra Criteri di sicurezza locali.

Prerequisiti software

Prima di installare i componenti di MIM 2016 SP2, assicurarsi di installare tutti i prerequisiti software:

  1. Installare i pacchetti Microsoft Visual C++ 2013 Redistributable Package.

  2. Installare .NET Framework 4.6.

  3. Nel server in cui sarà ospitato il servizio di sincronizzazione MIM è richiesto SQL Server Native Client.

  4. Nel server in cui sarà ospitato il servizio MIM è richiesto .NET Framework 3.5.

  5. Facoltativamente, se si usa TLS 1.2 o la modalità FIPS, vedere Pianificazione di MIM 2016 SP2 in ambienti TLS 1.2 o in modalità FIPS.

Cambiare la modalità Autenticazione di Windows di IIS, se necessario

  1. Aprire una finestra di PowerShell.

  2. Interrompere IIS con il comando iisreset /STOP

    iisreset /STOP
    C:\Windows\System32\inetsrv\appcmd.exe unlock config /section:windowsAuthentication -commit:apphost
    iisreset /START