Progettazione di Active Directory Renato Francesco Giorgini [email protected].

42
Progettazione di Active Directory Renato Francesco Giorgini [email protected]

Transcript of Progettazione di Active Directory Renato Francesco Giorgini [email protected].

Page 1: Progettazione di Active Directory Renato Francesco Giorgini RenatoFrancesco.Giorgini@microsoft.com.

Progettazione di Active Directory

Renato Francesco [email protected]

Page 2: Progettazione di Active Directory Renato Francesco Giorgini RenatoFrancesco.Giorgini@microsoft.com.

[email protected]

Serie Webcast Active Directory:

Introduzione ad Active Directory

Progettazione di Active Directory

Recovery e troubleshooting di Active Directory

Gestione della sicurezza di Active Directory                        

Page 3: Progettazione di Active Directory Renato Francesco Giorgini RenatoFrancesco.Giorgini@microsoft.com.

[email protected]

Agenda

Progettazione Foreste

Progettazione Domini

Progettazione Organizational Units

Progettazione Topologia Siti

Page 4: Progettazione di Active Directory Renato Francesco Giorgini RenatoFrancesco.Giorgini@microsoft.com.

[email protected]

Progettazione Foreste

• Insieme di Domini AD

• “Catalogo” condiviso

• Confine di Sicurezza

• Identificare i requisiti

• Determinare il numero delle foreste

Foresta

Progettazione Foresta

Page 5: Progettazione di Active Directory Renato Francesco Giorgini RenatoFrancesco.Giorgini@microsoft.com.

[email protected]

Dominio Vs Foresta

All’interno della foresta esiste trust bidirezionale tra i domini

Tra due foreste le relazioni di trust sono create manualmente

Separazione completa della sicurezza

La struttura di AD può essere diversa in due foreste diverse

Page 6: Progettazione di Active Directory Renato Francesco Giorgini RenatoFrancesco.Giorgini@microsoft.com.

[email protected]

Amministratore della Foresta e di AD

Ha il controllo completo dell’Infrastruttura

Deve essere una persona di cui vi fidate

Doppio Amministratore:• Accesso con SmartCard• Un Admin ha la SmartCard• L’altro Admin ha il Pin

> Account separati per altri compiti amministrativi

Page 7: Progettazione di Active Directory Renato Francesco Giorgini RenatoFrancesco.Giorgini@microsoft.com.

[email protected]

Motivi generici

Perchè creare più foreste?

Operativi

Legali

Autonomia Amministrativa

Separazione Risorse

Struttura Interna

Motivi di tipo organizzativo

Page 8: Progettazione di Active Directory Renato Francesco Giorgini RenatoFrancesco.Giorgini@microsoft.com.

[email protected]

Scenario: azienda unica

Connessione Dedicata

Applicazioni che richiedono uno

schema particolare

hr.contoso.comContoso.com

Plant.contoso.com

Domain Controller in luoghi non

sicuri

Page 9: Progettazione di Active Directory Renato Francesco Giorgini RenatoFrancesco.Giorgini@microsoft.com.

[email protected]

Contoso.com

Firewall

Foresta Interna

DMZ.Contoso.com

Firewall

Foresta Perimetrale

Scenario: DMZ, rete perimetrale

InternetPassport

Web App

Page 10: Progettazione di Active Directory Renato Francesco Giorgini RenatoFrancesco.Giorgini@microsoft.com.

[email protected]

Account Utente

Server e Risorse

Key

Server con dati confidenziali

Foresta ad accesso limitato

Foresta Principale

Foreste con accesso limitato

Forest Trust

www.microsoft.com/technet/prodtechnol/windowsserver2003/technologies/directory/activedirectory/fedffin2.mspx

Page 11: Progettazione di Active Directory Renato Francesco Giorgini RenatoFrancesco.Giorgini@microsoft.com.

[email protected]

Scenario: Più aziende connesse

Fabrikam.comContoso.com

Firewall Firewall

Internet

Page 12: Progettazione di Active Directory Renato Francesco Giorgini RenatoFrancesco.Giorgini@microsoft.com.

[email protected]

Trust tra Foreste

Corp.Contoso.com

Corp.Fabrikam.com

Requisiti

• Domain Controller con Windows Server 2003

• Windows Server 2003 Forest Functional Level

• Infrastruttura DNS

Page 13: Progettazione di Active Directory Renato Francesco Giorgini RenatoFrancesco.Giorgini@microsoft.com.

Creazione Foreste

Page 14: Progettazione di Active Directory Renato Francesco Giorgini RenatoFrancesco.Giorgini@microsoft.com.

[email protected]

Agenda

Progettazione Foreste

Progettazione Domini

Progettazione Organizational Units

Progettazione Topologia Siti

Page 15: Progettazione di Active Directory Renato Francesco Giorgini RenatoFrancesco.Giorgini@microsoft.com.

[email protected]

Domini di Active Directory

Dominio

Partizione Active Directory

Funzionalità Amministrative

• Identità Utenti

• Autenticazione

• Gestione relazioni Trust

• Replica

Page 16: Progettazione di Active Directory Renato Francesco Giorgini RenatoFrancesco.Giorgini@microsoft.com.

[email protected]

Fattori che influenzano il modello Domini

Velocità Rete Numero degli Utenti

T1128K ISDN

Page 17: Progettazione di Active Directory Renato Francesco Giorgini RenatoFrancesco.Giorgini@microsoft.com.

[email protected]

Perchè avere più Domini?

Considerazioni Amministrative/Politiche

Necessità Policy differenti (password…)

Traffico rete

Tipologia connettività rete

Numero degli oggetti del dominio

Differenze tra Nazioni

Aggiornamento/Migrazione di Domini esistenti

Page 18: Progettazione di Active Directory Renato Francesco Giorgini RenatoFrancesco.Giorgini@microsoft.com.

[email protected]

Raccomandazioni sul design di Domini

Minimizzare Numero dei domini

Minimizzare Profondità della gerarchia dei Domini

Scegliere Modello che eviti una successiva riorganizzazione

Creare Almeno due Domain Controller per ciascun Dominio

Creare Domini temporanei durante la migrazione

Se vengono creati più domini è importante ricordare di:

Page 19: Progettazione di Active Directory Renato Francesco Giorgini RenatoFrancesco.Giorgini@microsoft.com.

[email protected]

Modello a Singolo Dominio

Page 20: Progettazione di Active Directory Renato Francesco Giorgini RenatoFrancesco.Giorgini@microsoft.com.

[email protected]

Modello con Domini GeograficiForest Root

Centro SudNord

Page 21: Progettazione di Active Directory Renato Francesco Giorgini RenatoFrancesco.Giorgini@microsoft.com.

[email protected]

Modello basato su Domini e Unità Organizzative

Azienda

Marketing ProduzioneVendite

Team IT Centrale

Enterprise Admins

Domain Admins

Schema Admins

Div 1 IT Team

Domain Admins

Div 2 IT Team

Domain Admins

Div 3 IT Team

Domain Admins

Page 22: Progettazione di Active Directory Renato Francesco Giorgini RenatoFrancesco.Giorgini@microsoft.com.

[email protected]

Determinare il numero dei Domini

Velocità link più lento tra due DC (KBps)

Numero massimo di Utenti per % di banda disponibile

1% 5% 10%

28.8K 10,000 25,000 40,000

56K 10,000 50,000 100,000

256 50,000 100,000 100,000

1500 (T1) 100,000 100,000 100,000

Page 23: Progettazione di Active Directory Renato Francesco Giorgini RenatoFrancesco.Giorgini@microsoft.com.

Creazione Dominio

Page 24: Progettazione di Active Directory Renato Francesco Giorgini RenatoFrancesco.Giorgini@microsoft.com.

[email protected]

Agenda

Progettazione Foreste

Progettazione Domini

Progettazione Organizational Units

Progettazione Topologia Siti

Page 25: Progettazione di Active Directory Renato Francesco Giorgini RenatoFrancesco.Giorgini@microsoft.com.

[email protected]

Organizational Unit

CONTOSO.COM

OU Admin

Organizzate in base:•Necessità amministrative

•Stessi requisiti•Delega permessi

•Group Policy•Configurazione•Sicurezza

Organizzate in base:•Necessità amministrative

•Stessi requisiti•Delega permessi

•Group Policy•Configurazione•Sicurezza

OU PolicyOU Security

Page 26: Progettazione di Active Directory Renato Francesco Giorgini RenatoFrancesco.Giorgini@microsoft.com.

[email protected]

Utilizzo delle Organizational Unit

Sales Department Marketing DepartmentLondon New YorkDesktops Printers

Hardware Devices

Page 27: Progettazione di Active Directory Renato Francesco Giorgini RenatoFrancesco.Giorgini@microsoft.com.

Creazione Organizational Units

Page 28: Progettazione di Active Directory Renato Francesco Giorgini RenatoFrancesco.Giorgini@microsoft.com.

[email protected]

Agenda

Progettazione Foreste

Progettazione Domini

Progettazione Organizational Units

Progettazione Topologia Siti

Page 29: Progettazione di Active Directory Renato Francesco Giorgini RenatoFrancesco.Giorgini@microsoft.com.

[email protected]

Funzioni del “Sito”

Dominio

Sito 1

Sito 2

Sito 3

Page 30: Progettazione di Active Directory Renato Francesco Giorgini RenatoFrancesco.Giorgini@microsoft.com.

[email protected]

Topologie tipiche di Rete

Site Site

SiteSite

Anello Hub and Spoke

Site

SiteSite

Site

HubSite

Complessa

HubHub Site

SiteSite

Page 31: Progettazione di Active Directory Renato Francesco Giorgini RenatoFrancesco.Giorgini@microsoft.com.

[email protected]

Replica di Active Directory

Sito Londra

Sito Tilbury

DC-1

DC-2DC-3

DC-4 DC-5Replica tra più Siti, via WAN

Replica all’interno del Sito, via LAN

Page 32: Progettazione di Active Directory Renato Francesco Giorgini RenatoFrancesco.Giorgini@microsoft.com.

[email protected]

Posizionamento DC: Forest Root

http://www.microsoft.com/technet/prodtechnol/windowsserver2003/library/DepKit/4af3271a-4407-4ca5-9cd5-e05b79046d08.mspx

Root DC

Hub and Spoke Site Topology

Hub Site

Network Hub Datacenter

Spoke SiteSpoke Site

Root DC

Page 33: Progettazione di Active Directory Renato Francesco Giorgini RenatoFrancesco.Giorgini@microsoft.com.

[email protected]

Il Logon è buono?

Posizionamento DC: in periferia

I DC sono in un posto

“fisicamente” sicuro?

Mettere il DC

Non mettere il DC!

No

Sì Sì Sì

No

C’è un Admin? No

Il Link WAN è stabile?

Accesso 24x7

necessario?

No

No

Page 34: Progettazione di Active Directory Renato Francesco Giorgini RenatoFrancesco.Giorgini@microsoft.com.

[email protected]

Posizionamento Global Catalog

No

App. Che richiede il

GC?

Mettere il GC

Mettere DC e abilitare UGMC

No No No

> 100 Utenti? Sì

Collegamento WAN al GC?

Utenti mobili?

SìNon

mettere il GC!Sì Sì

Foresta a singolo Dominio: rendere ogni DC un GC

Page 35: Progettazione di Active Directory Renato Francesco Giorgini RenatoFrancesco.Giorgini@microsoft.com.

[email protected]

Operations Masters

PDC Emulator

RID Master

Infrastructure

Ruoli di Dominio Ruoli di Foresta

Schema Master

Domain Name Master

Page 36: Progettazione di Active Directory Renato Francesco Giorgini RenatoFrancesco.Giorgini@microsoft.com.

[email protected]

Linee Guida sugli Operations Master

Server/Ruolo Regola

Tutti i ruoli Posizionare I server in reti molto affidabili

Primo Server Posizionarlo nella sede con più utenti

Standby Scegliere immediatamente un server di standby

Infrastructure Master

Non metterlo in un server che ha il Global Catalog!

PDC Emulator Posizionarlo nella sede con più utenti

http://www.microsoft.com/technet/prodtechnol/windowsserver2003/library/DepKit/edeba401-7f51-4717-91bd-ddb1dca8a327.mspx

Page 37: Progettazione di Active Directory Renato Francesco Giorgini RenatoFrancesco.Giorgini@microsoft.com.

[email protected]

Posizionamento Operations Master

Foresta con un unico Dominio

Rendere tutti i DC anche Global Catalog

Lasciare tutti i ruoli di Operations Master nel primo DC

Dominio “radice” della fortesta (altri domini presenti)

Spostare i ruoli di Operations Master nel secondo DC

Non rendere il secondo DC un Global Catalog

Domini locali

Lasciare i ruoli di Operations Master nel primo DC

Non rendere il secondo DC un Global Catalog

Page 38: Progettazione di Active Directory Renato Francesco Giorgini RenatoFrancesco.Giorgini@microsoft.com.

[email protected]

Creazione di Siti

No

C’è un DC?

Creare un Sito specifico

Mettere la subnet locale nel Sito più

vicino

No

Ci sono app che richiedono Sito?

Page 39: Progettazione di Active Directory Renato Francesco Giorgini RenatoFrancesco.Giorgini@microsoft.com.

[email protected]

Costo dei Link tra I Siti

Site1-Site2Banda Disponibile KBps Costo

9.6 1042

19.2 798

38.4 644

56 586

64 567

128 486

256 425

512 378

1024 340

2048 309

4096 283

Site1-Site3

Site2-Site3

KBps: 256

Costo: 425

KBps: 9.6

Costo: 1024

KBps: 256

Costo: 425

Page 40: Progettazione di Active Directory Renato Francesco Giorgini RenatoFrancesco.Giorgini@microsoft.com.

Creazione Sito

Page 41: Progettazione di Active Directory Renato Francesco Giorgini RenatoFrancesco.Giorgini@microsoft.com.

[email protected]

Riepilogo

Creare un disegno il più estremo possibile

Per ogni dominio devono esistere almeno due DC

Valutare il problema “Sicurezza Fisica”

Valutare benefici e costi di modelli differenti

Pianificare con cura l’infrastruttura

Page 42: Progettazione di Active Directory Renato Francesco Giorgini RenatoFrancesco.Giorgini@microsoft.com.

© 2005 Microsoft Corporation. All rights reserved.This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.

[email protected]

http://blogs.technet.com/italy