Aggiungere un Domain Controller Windows Server 2019 in una foresta 2012 R2: guida completa, prerequisiti, adprep e DFSR

Vuoi aggiungere un Domain Controller Windows Server 2019 in una foresta/dominio basati su Windows Server 2012 R2 senza sorprese? In questa guida pratica trovi prerequisiti, comandi, sequenza operativa, errori tipici e verifiche per eseguire l’inserimento in sicurezza e con tempi prevedibili.

Indice

Panoramica della domanda

Scenario: un amministratore deve inserire un nuovo Domain Controller (DC) Windows Server 2019 in un ambiente Active Directory in cui i DC esistenti sono Windows Server 2012 R2.

Dubbi principali:

È obbligatorio eseguire adprep /forestprep e adprep /domainprep prima della promozione del nuovo DC?
A cosa serve il comando regsvr32 schmmgmt.dll e se è necessario usarlo per questa attività?

Risposta sintetica: sì, l’estensione dello schema (forestprep) e l’aggiornamento del dominio (domainprep) vanno eseguiti prima di introdurre il primo DC 2019; puoi farli manualmente o lasciare che li esegua il wizard di promozione se hai i privilegi corretti. Il comando regsvr32 schmmgmt.dll serve soltanto a registrare la snap‑in “Active Directory Schema” in MMC: non è necessario per promuovere il DC, né influisce sul processo.

Riepilogo decisionale veloce

Aspetto	Cosa fare / Perché
`adprep /forestprep`	Va eseguito una sola volta per tutta la foresta per estendere lo schema con gli attributi introdotti da Server 2019. Richiede un account membro dei gruppi Enterprise Admins e Schema Admins.
`adprep /domainprep`	Va eseguito in ogni dominio prima di aggiungere il primo DC 2019 in quel dominio. Richiede privilegi di Domain Admins.
Quando eseguirli	Puoi: (1) eseguirli manualmente dal supporto di installazione di Server 2019 (`\support\adprep`), oppure (2) lasciare che li esegua automaticamente il wizard “Promote this server to a domain controller” durante la promozione (se l’account ha i permessi necessari).
Prerequisito essenziale	Migra SYSVOL da FRS a DFSR prima di introdurre DC 2019. Windows Server 2019 non supporta più FRS.
`regsvr32 schmmgmt.dll`	Registra la snap‑in Active Directory Schema in MMC. Serve solo per la gestione grafica dello schema (es. consultare classi/attributi): non è obbligatorio, né modifica o abilita la promozione del DC.

Prerequisiti e controlli di salute consigliati

Prima di toccare schema, dominio o promuovere nuovi DC, assicurati che l’infrastruttura sia in ordine. Questa sezione è una checklist operativa con comandi pronti.

Verifica salute AD e replicazione

# Esegui da un DC, come amministratore
dcdiag /c
repadmin /replsummary
repadmin /showrepl *

Obiettivo: nessun errore critico, “0 fails” nella summary, nessun DC con replication backlog o “stale”.
Se vedi errori DNS: risolvi prima (forwarder, zone AD‑integrated, record SRV, deleghe, scavenging) perché adprep e promozione dipendono da un DNS affidabile.

Controllo ruoli FSMO e raggiungibilità

netdom query fsmo

Annota dove risiedono Schema Master e Domain Naming Master (per forestprep) e verifica che siano online e replicati. Mantieni una finestra di manutenzione adeguata per la replica dello schema.

Sincronizzazione oraria e Kerberos

w32tm /query /status
w32tm /query /configuration

Clocks fuori allineamento >5 minuti generano errori Kerberos (KRBAPERR_SKEW). Correggi prima di procedere.

Backup

Esegui un System State backup di almeno un DC per dominio. È la “rete di sicurezza” per ripristini autorevoli/non autorevoli in caso di imprevisti.

Stato SYSVOL: FRS o DFSR?

Server 2019 rifiuta ambienti con SYSVOL ancora su FRS. Verifica e, se necessario, pianifica la migrazione:

dfsrmig /getglobalstate
dfsrmig /getmigrationstate

NotMigrated: stai ancora usando FRS → devi migrare.
Eliminated: DFSR attivo e FRS dismesso → ok per 2019.

Migrazione SYSVOL da FRS a DFSR (se applicabile)

La migrazione è sequenziale e avviene a livello di dominio. Esegui i passaggi dal PDC Emulator o da un DC affidabile. Attendi sempre il completamento della replica tra uno step e il successivo.

Preparazione: risolvi errori DFRS/FRS e AD; verifica spazio disco sui DC; pulisci eventuali backlog USN.
Avvio – Stato 1: Prepared dfsrmig /setglobalstate 1 dfsrmig /getmigrationstate Attendi “Reached a consistent state on all Domain Controllers”.
Replica – Stato 2: Redirected dfsrmig /setglobalstate 2 dfsrmig /getmigrationstate I DC iniziano a usare DFSR per servire SYSVOL.
Eliminazione FRS – Stato 3: Eliminated dfsrmig /setglobalstate 3 dfsrmig /getmigrationstate Una volta completato, non si torna indietro a FRS.

Nota: se la migrazione resta bloccata su alcuni DC, usa repadmin /showrepl per identificare link di replica problematici e correggi con siti/connessioni o forzando la replica dopo aver risolto gli errori.

adprep: cos’è, quando e come eseguirlo

adprep aggiorna lo schema (forestprep) e applica modifiche a ACL, gruppi e contenitori del dominio (domainprep) per supportare le funzionalità della nuova versione di Windows Server. È propedeutico all’introduzione del primo DC della nuova versione in foresta/dominio.

Opzioni principali

adprep /forestprep – una sola volta per foresta (richiede Enterprise Admins + Schema Admins).
adprep /domainprep – per ogni dominio (richiede Domain Admins nel dominio target).

Modalità operative

Esecuzione manuale (consigliata in ambienti controllati) # Monta la ISO di Windows Server 2019 (es. E:) E: cd \support\adprep Estensione schema (su un DC della foresta; l'account deve avere i diritti) adprep /forestprep Aggiornamento del dominio (ripetere per ciascun dominio) adprep /domainprep /domain NOMEDOMINIO Best practice: esegui forestprep quando la replica è pulita; poi attendi la replica completa dello schema su tutti i DC, prima di passare a domainprep e alla promozione.
Esecuzione automatica dal wizard di promozione Avviando “Add Roles and Features” → AD DS → “Promote this server to a domain controller”, se l’account appartiene ai gruppi corretti, il wizard propone/avvia automaticamente forestprep/domainprep. In caso contrario, fallisce con errore esplicito sui permessi.

Come verificare l’avvenuto aggiornamento

Schema: controlla il valore objectVersion del container Schema (cresce rispetto alla versione precedente). Non è necessario memorizzare numeri specifici; è sufficiente verificare che l’aggiornamento sia stato replicato su tutti i DC.

Import-Module ActiveDirectory
Get-ADObject "CN=Schema,CN=Configuration,DC=contoso,DC=com" -Properties objectVersion |
Select-Object objectVersion

Dominio: verifica che adprep /domainprep abbia completato e che le modifiche siano replicate:

repadmin /replsummary
repadmin /syncall /AdeP

`regsvr32 schmmgmt.dll`: quando (e perché) usarlo

Il comando:

regsvr32 schmmgmt.dll

registra la snap‑in Active Directory Schema in MMC. Ti permette di aprire mmc.exe → “Add/Remove Snap‑in” → “Active Directory Schema” per:

ispezionare classi/attributi dello schema;
controllare le versioni e lo stato di replica dello schema;
effettuare modifiche manuali (operazione avanzata, rara e da auditare).

Non è obbligatorio per promuovere un DC o eseguire adprep e non modifica in alcun modo il comportamento della promozione. Se non lo esegui, semplicemente la snap‑in non comparirà nell’elenco di MMC finché non sarà registrata.

Procedura consigliata end‑to‑end

Check salute AD – dcdiag /c, repadmin /replsummary, correzione errori DNS, Kerberos, replica.
Migrazione SYSVOL a DFSR (se ancora FRS) – completa i 3 stati con dfsrmig finché vedi “Eliminated”.
Backup – System State di almeno un DC per dominio.
Esegui adprep – manualmente o tramite wizard (vedi sezione precedente). Attendi replica completa tra i passaggi.
Join del nuovo server 2019 al dominio
- Configura IP statico, DNS puntato ai DC esistenti.
- Aggiungi il server al dominio (Computer Properties → Change → Domain).
Installa AD DS e promuovi a DC
- Server Manager → Add Roles and Features → Active Directory Domain Services.
- Completa il wizard “Promote this server to a domain controller”. Seleziona “Add a domain controller to an existing domain”.
- Configura Global Catalog, DNS (se lo ospiterà), cartelle NTDS/SYSVOL, Directory Services Restore Mode (DSRM) password.
Verifiche post‑promozione repadmin /replsummary repadmin /showrepl dcdiag /test:DNS Controlla Event Viewer (Directory Service, DNS Server, DFSR) per errori o warning ricorrenti.
Distribuzione ruoli FSMO (opzionale) – quando il DC 2019 è stabile, valuta la migrazione dei ruoli FSMO per modernizzare il “bus di controllo”.
Ritiro graduale dei DC 2012 R2 – dopo un periodo di osservazione e backup aggiornati, demoti i vecchi DC e rimuovi i metadati residui (se necessario).

Migrazione (opzionale) dei ruoli FSMO verso Server 2019

Non è obbligatoria, ma è spesso consigliata per allineare ruoli critici a un OS più recente. Ecco come migrare con PowerShell dal DC 2019:

Import-Module ActiveDirectory
Sostituisci 'DC2019' con il nome del tuo nuovo DC
Move-ADDirectoryServerOperationMasterRole -Identity "DC2019" -OperationMasterRole SchemaMaster, DomainNamingMaster, PDCEmulator, RIDMaster, InfrastructureMaster -Confirm:$false

Best practice: esegui fuori orario lavorativo la migrazione del PDC Emulator (influisce su lockout, tempo, GPO editing).

Rimozione sicura dei vecchi DC 2012 R2

Verifica che rimanga almeno un altro GC per sito (se necessario).
Server Manager sul DC da rimuovere → “Remove Roles and Features” → scegli la demozione guidata oppure: Uninstall-ADDSDomainController -DemoteOperationMasterRole:$true -RemoveApplicationPartitions:$true -LocalAdministratorPassword (Read-Host -AsSecureString "Nuova password Admin locale")
Riavvio → il server torna member. Se la rimozione non completa, esegui un metadata cleanup dal DC rimasto (solo in casi anomali).
Controlla DNS (record SRV obsoleti), siti e servizi AD, DFSR, e aggiornamenti in applicazioni che puntavano al vecchio DC.

Livelli funzionali: cosa conviene fare

Non è obbligatorio alzarli subito: puoi introdurre DC 2019 mantenendo i livelli funzionali attuali.
Per aver migrato a DFSR serve almeno DFL 2008 (requisito già presente nella maggior parte degli ambienti moderni).
Alzare i livelli funzionali successivamente abilita funzionalità addizionali ma va pianificato (compatibilità, rollback inesistente).

Verifiche di qualità post‑integrazione

GPO: esegui un gpupdate /force su macchine campione; verifica la presenza del contenuto SYSVOL su \\dominio\SYSVOL servito dal nuovo DC.
DNS: assicurati che il nuovo DC abbia zone AD‑integrated aggiornate e che risolva/registri i record SRV.
Login & Kerberos: osserva i log di sicurezza per TGT/TGS e tempi di autenticazione anomali.
Replica: qualche ciclo dopo l’introduzione (es. 30–60 min), ricontrolla repadmin /replsummary “0 fails”.

FAQ e problemi comuni

Il wizard non propone adprep o segnala errori di permessi

Assicurati che l’account sia in Schema Admins + Enterprise Admins per forestprep e in Domain Admins per domainprep. In alternativa, esegui adprep manualmente con un account idoneo.

adprep segnala che non può contattare il master

Controlla netdom query fsmo e che lo Schema Master/Domain Naming Master sia online.
Verifica firewall/ACL tra server di gestione e DC FSMO.
Risolvi eventuali lingering objects o errori di replica prima di riprovare.

DFSR migrazione bloccata a uno stato intermedio

Usa repadmin /showrepl per individuare i DC non allineati.
Controlla Event Viewer (DFSR) per conflitti/permessi sulla cartella SYSVOL.
Assicurati che i DC abbiano spazio disco sufficiente.

Devo registrare `schmmgmt.dll` su ogni DC?

No. Va registrata solo sulle macchine dove vuoi vedere/gestire lo schema via MMC. Non influenza AD, replica o promozione.

Posso promuovere 2019 se esistono ancora DC 2012 R2?

Sì, purché lo schema e il dominio siano aggiornati con adprep e SYSVOL sia già su DFSR. AD è progettato per la coesistenza di più versioni di DC.

Comandi rapidi utili (riassunto)

:: Salute AD
dcdiag /c
repadmin /replsummary
repadmin /showrepl *

:: Ruoli FSMO
netdom query fsmo

:: Stato SYSVOL
dfsrmig /getglobalstate
dfsrmig /setglobalstate 1
dfsrmig /setglobalstate 2
dfsrmig /setglobalstate 3
dfsrmig /getmigrationstate

:: adprep (da ISO di Server 2019)
E:
cd \support\adprep
adprep /forestprep
adprep /domainprep /domain CONTOSO

:: Verifica schema (PowerShell)
powershell -NoLogo -Command "Import-Module ActiveDirectory; Get-ADObject 'CN=Schema,CN=Configuration,DC=contoso,DC=com' -Properties objectVersion | Select -Expand objectVersion"

:: Promozione (GUI) – Server Manager → AD DS → Promote this server to a domain controller

:: Trasferimento FSMO (PowerShell)
powershell -NoLogo -Command "Import-Module ActiveDirectory; Move-ADDirectoryServerOperationMasterRole -Identity 'DC2019' SchemaMaster,DomainNamingMaster,PDCEmulator,RIDMaster,InfrastructureMaster -Confirm:$false"

Modello operativo consigliato

Per ambienti di produzione con finestre di cambio limitate, usa questo playbook:

Settimana -1: assessment (dcdiag/repadmin/DNS), backup, piano di rollback.
Giorno -2: migrazione SYSVOL a DFSR (se necessaria) fino a “Eliminated”.
Giorno -1: esegui adprep /forestprep, verifica replica schema; poi adprep /domainprep.
Giorno 0: join del server 2019, promozione a DC, validazioni di base.
Giorno +1/2: osservabilità, correzione eventuali warning, opzionale migrazione FSMO.
Giorno +7: demozione DC più anziani, pulizia metadati/record DNS residui.

Perché questa sequenza minimizza il rischio

Pre‑check rigorosi evitano di “congelare” lo schema in presenza di errori di replica.
DFSR prima: elimina in anticipo la principale causa di blocco alla promozione di DC 2019.
adprep separato: consente di verificare la propagazione dei cambi su tutta la foresta prima di toccare i ruoli DC.
Promozione e validazioni: riducono il tempo in cui potresti dover ripristinare.
Ritiro graduale: evita impatti su applicazioni che referenziano DC specifici (LDAP bind, connessioni legacy).

Appendice: suggerimenti pratici

DNS client sul nuovo DC: punta primario a un DC esistente e secondario al loopback dopo la promozione (o viceversa, a seconda delle policy).
Antivirus/EDR: escludi cartelle AD (NTDS, SYSVOL), processi LSASS/DFSR secondo le linee guida del produttore per evitare falsi positivi o lock su file di database.
Networking: verifica MTU/VLAN/ACL tra siti; la replica AD (RPC over TCP) soffre di filtri troppo “stringenti”.
Documentazione: aggiorna diagrammi dei siti, elenco dei DC, ruoli FSMO, e i runbook di DR (incluso DSRM password management).

Conclusioni

L’integrazione di un Domain Controller Windows Server 2019 in una foresta/dominio 2012 R2 è un’operazione sicura e lineare se segui alcuni pilastri: replica sana, SYSVOL su DFSR, adprep eseguito con i privilegi corretti e verifiche puntuali dopo la promozione. Il comando regsvr32 schmmgmt.dll è utile solo per la consultazione/gestione grafica dello schema e non incide sulla riuscita del progetto. Con la procedura e i controlli proposti, puoi pianificare tempi, ridurre il rischio e ottenere un ambiente AD più moderno, pronto ad accogliere funzionalità e sicurezza di Windows Server 2019.

Procedura sintetica consigliata (quick recap)

Stato di salute AD – Esegui dcdiag /c e repadmin /replsummary, correggi eventuali errori.
Migrazione FRS→DFSR – Completa il passaggio a DFSR per SYSVOL (dfsrmig fino a “Eliminated”).
Backup – System State di almeno un DC esistente.
Esegui adprep (se manuale) # Da una console con privilegi elevati, nel percorso della ISO di Server 2019 adprep /forestprep adprep /domainprep /domain <NomeDominio>
Aggiungi il nuovo server 2019 al dominio, installa il ruolo AD DS e promuovilo a DC.
Verifica replicazione – Controlla repadmin /replsummary finché non è tutto in “0 fails”.
Trasferisci FSMO (opzionale) e gradualmente rimuovi i vecchi DC 2012 R2 quando non più necessari.

Tabella riassuntiva “Cosa fare & Perché”

Aspetto	Cosa fare / Perché
Livelli funzionali	Non è obbligatorio alzarli subito; il minimo richiesto rimane Windows Server 2008 (necessario anche per la migrazione a DFSR). Puoi alzarli in seguito, quando l’ambiente è stabilizzato.
Permessi	Il wizard automatico esegue adprep solo se l’utente è nei gruppi corretti; in caso contrario segnala errore di autorizzazioni.
Replica	Dai tempo alla replica tra i passaggi (forestprep → domainprep → promozione). Verifica con `repadmin` prima di procedere oltre.
DNS	Il DNS AD‑integrated è prerequisito: correggi errori dcdiag /test:DNS prima di promuovere.
Schema snap‑in	`regsvr32 schmmgmt.dll` è facoltativo e serve solo per vedere/gestire lo schema via MMC.

Con questi passaggi hai la strada sicura per integrare un Domain Controller Windows Server 2019 in un ambiente 2012 R2 senza interruzioni di servizio.

—