Progettazione di Active Directory Renato Francesco Giorgini [email protected].
-
Upload
giorgio-la-rosa -
Category
Documents
-
view
269 -
download
4
Transcript of Progettazione di Active Directory Renato Francesco Giorgini [email protected].
Progettazione di Active Directory
Renato Francesco [email protected]
Serie Webcast Active Directory:
Introduzione ad Active Directory
Progettazione di Active Directory
Recovery e troubleshooting di Active Directory
Gestione della sicurezza di Active Directory
Agenda
Progettazione Foreste
Progettazione Domini
Progettazione Organizational Units
Progettazione Topologia Siti
Progettazione Foreste
• Insieme di Domini AD
• “Catalogo” condiviso
• Confine di Sicurezza
• Identificare i requisiti
• Determinare il numero delle foreste
Foresta
Progettazione Foresta
Dominio Vs Foresta
All’interno della foresta esiste trust bidirezionale tra i domini
Tra due foreste le relazioni di trust sono create manualmente
Separazione completa della sicurezza
La struttura di AD può essere diversa in due foreste diverse
Amministratore della Foresta e di AD
Ha il controllo completo dell’Infrastruttura
Deve essere una persona di cui vi fidate
Doppio Amministratore:• Accesso con SmartCard• Un Admin ha la SmartCard• L’altro Admin ha il Pin
> Account separati per altri compiti amministrativi
Motivi generici
Perchè creare più foreste?
Operativi
Legali
Autonomia Amministrativa
Separazione Risorse
Struttura Interna
Motivi di tipo organizzativo
Scenario: azienda unica
Connessione Dedicata
Applicazioni che richiedono uno
schema particolare
hr.contoso.comContoso.com
Plant.contoso.com
Domain Controller in luoghi non
sicuri
Contoso.com
Firewall
Foresta Interna
DMZ.Contoso.com
Firewall
Foresta Perimetrale
Scenario: DMZ, rete perimetrale
InternetPassport
Web App
Account Utente
Server e Risorse
Key
Server con dati confidenziali
Foresta ad accesso limitato
Foresta Principale
Foreste con accesso limitato
Forest Trust
www.microsoft.com/technet/prodtechnol/windowsserver2003/technologies/directory/activedirectory/fedffin2.mspx
Trust tra Foreste
Corp.Contoso.com
Corp.Fabrikam.com
Requisiti
• Domain Controller con Windows Server 2003
• Windows Server 2003 Forest Functional Level
• Infrastruttura DNS
•
Creazione Foreste
Agenda
Progettazione Foreste
Progettazione Domini
Progettazione Organizational Units
Progettazione Topologia Siti
Domini di Active Directory
Dominio
Partizione Active Directory
Funzionalità Amministrative
• Identità Utenti
• Autenticazione
• Gestione relazioni Trust
• Replica
Fattori che influenzano il modello Domini
Velocità Rete Numero degli Utenti
T1128K ISDN
Perchè avere più Domini?
Considerazioni Amministrative/Politiche
Necessità Policy differenti (password…)
Traffico rete
Tipologia connettività rete
Numero degli oggetti del dominio
Differenze tra Nazioni
Aggiornamento/Migrazione di Domini esistenti
Raccomandazioni sul design di Domini
Minimizzare Numero dei domini
Minimizzare Profondità della gerarchia dei Domini
Scegliere Modello che eviti una successiva riorganizzazione
Creare Almeno due Domain Controller per ciascun Dominio
Creare Domini temporanei durante la migrazione
Se vengono creati più domini è importante ricordare di:
Modello a Singolo Dominio
Modello basato su Domini e Unità Organizzative
Azienda
Marketing ProduzioneVendite
Team IT Centrale
Enterprise Admins
Domain Admins
Schema Admins
Div 1 IT Team
Domain Admins
Div 2 IT Team
Domain Admins
Div 3 IT Team
Domain Admins
Determinare il numero dei Domini
Velocità link più lento tra due DC (KBps)
Numero massimo di Utenti per % di banda disponibile
1% 5% 10%
28.8K 10,000 25,000 40,000
56K 10,000 50,000 100,000
256 50,000 100,000 100,000
1500 (T1) 100,000 100,000 100,000
Creazione Dominio
Agenda
Progettazione Foreste
Progettazione Domini
Progettazione Organizational Units
Progettazione Topologia Siti
Organizational Unit
CONTOSO.COM
OU Admin
Organizzate in base:•Necessità amministrative
•Stessi requisiti•Delega permessi
•Group Policy•Configurazione•Sicurezza
Organizzate in base:•Necessità amministrative
•Stessi requisiti•Delega permessi
•Group Policy•Configurazione•Sicurezza
OU PolicyOU Security
Utilizzo delle Organizational Unit
Sales Department Marketing DepartmentLondon New YorkDesktops Printers
Hardware Devices
Creazione Organizational Units
Agenda
Progettazione Foreste
Progettazione Domini
Progettazione Organizational Units
Progettazione Topologia Siti
Topologie tipiche di Rete
Site Site
SiteSite
Anello Hub and Spoke
Site
SiteSite
Site
HubSite
Complessa
HubHub Site
SiteSite
Replica di Active Directory
Sito Londra
Sito Tilbury
DC-1
DC-2DC-3
DC-4 DC-5Replica tra più Siti, via WAN
Replica all’interno del Sito, via LAN
Posizionamento DC: Forest Root
http://www.microsoft.com/technet/prodtechnol/windowsserver2003/library/DepKit/4af3271a-4407-4ca5-9cd5-e05b79046d08.mspx
Root DC
Hub and Spoke Site Topology
Hub Site
Network Hub Datacenter
Spoke SiteSpoke Site
Root DC
Il Logon è buono?
Posizionamento DC: in periferia
Sì
I DC sono in un posto
“fisicamente” sicuro?
Mettere il DC
Non mettere il DC!
No
Sì Sì Sì
No
C’è un Admin? No
Il Link WAN è stabile?
Accesso 24x7
necessario?
Sì
No
No
Posizionamento Global Catalog
No
App. Che richiede il
GC?
Mettere il GC
Mettere DC e abilitare UGMC
No No No
> 100 Utenti? Sì
Collegamento WAN al GC?
Utenti mobili?
SìNon
mettere il GC!Sì Sì
Foresta a singolo Dominio: rendere ogni DC un GC
Operations Masters
PDC Emulator
RID Master
Infrastructure
Ruoli di Dominio Ruoli di Foresta
Schema Master
Domain Name Master
Linee Guida sugli Operations Master
Server/Ruolo Regola
Tutti i ruoli Posizionare I server in reti molto affidabili
Primo Server Posizionarlo nella sede con più utenti
Standby Scegliere immediatamente un server di standby
Infrastructure Master
Non metterlo in un server che ha il Global Catalog!
PDC Emulator Posizionarlo nella sede con più utenti
http://www.microsoft.com/technet/prodtechnol/windowsserver2003/library/DepKit/edeba401-7f51-4717-91bd-ddb1dca8a327.mspx
Posizionamento Operations Master
Foresta con un unico Dominio
Rendere tutti i DC anche Global Catalog
Lasciare tutti i ruoli di Operations Master nel primo DC
Dominio “radice” della fortesta (altri domini presenti)
Spostare i ruoli di Operations Master nel secondo DC
Non rendere il secondo DC un Global Catalog
Domini locali
Lasciare i ruoli di Operations Master nel primo DC
Non rendere il secondo DC un Global Catalog
Creazione di Siti
No
C’è un DC?
Creare un Sito specifico
Mettere la subnet locale nel Sito più
vicino
No
Sì
Ci sono app che richiedono Sito?
Sì
Costo dei Link tra I Siti
Site1-Site2Banda Disponibile KBps Costo
9.6 1042
19.2 798
38.4 644
56 586
64 567
128 486
256 425
512 378
1024 340
2048 309
4096 283
Site1-Site3
Site2-Site3
KBps: 256
Costo: 425
KBps: 9.6
Costo: 1024
KBps: 256
Costo: 425
Creazione Sito
Riepilogo
Creare un disegno il più estremo possibile
Per ogni dominio devono esistere almeno due DC
Valutare il problema “Sicurezza Fisica”
Valutare benefici e costi di modelli differenti
Pianificare con cura l’infrastruttura
© 2005 Microsoft Corporation. All rights reserved.This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.
http://blogs.technet.com/italy