progettazione di active directory renato francesco giorgini [email protected]
TRANSCRIPT
![Page 2: Progettazione di Active Directory Renato Francesco Giorgini RenatoFrancesco.Giorgini@microsoft.com](https://reader033.vdocuments.site/reader033/viewer/2022061515/5542eb4b497959361e8b79f1/html5/thumbnails/2.jpg)
Serie Webcast Active Directory:
Introduzione ad Active Directory
Progettazione di Active Directory
Recovery e troubleshooting di Active Directory
Gestione della sicurezza di Active Directory
![Page 3: Progettazione di Active Directory Renato Francesco Giorgini RenatoFrancesco.Giorgini@microsoft.com](https://reader033.vdocuments.site/reader033/viewer/2022061515/5542eb4b497959361e8b79f1/html5/thumbnails/3.jpg)
Agenda
Progettazione Foreste
Progettazione Domini
Progettazione Organizational Units
Progettazione Topologia Siti
![Page 4: Progettazione di Active Directory Renato Francesco Giorgini RenatoFrancesco.Giorgini@microsoft.com](https://reader033.vdocuments.site/reader033/viewer/2022061515/5542eb4b497959361e8b79f1/html5/thumbnails/4.jpg)
Progettazione Foreste
• Insieme di Domini AD
• “Catalogo” condiviso
• Confine di Sicurezza
• Identificare i requisiti
• Determinare il numero delle foreste
Foresta
Progettazione Foresta
![Page 5: Progettazione di Active Directory Renato Francesco Giorgini RenatoFrancesco.Giorgini@microsoft.com](https://reader033.vdocuments.site/reader033/viewer/2022061515/5542eb4b497959361e8b79f1/html5/thumbnails/5.jpg)
Dominio Vs Foresta
All’interno della foresta esiste trust bidirezionale tra i domini
Tra due foreste le relazioni di trust sono create manualmente
Separazione completa della sicurezza
La struttura di AD può essere diversa in due foreste diverse
![Page 6: Progettazione di Active Directory Renato Francesco Giorgini RenatoFrancesco.Giorgini@microsoft.com](https://reader033.vdocuments.site/reader033/viewer/2022061515/5542eb4b497959361e8b79f1/html5/thumbnails/6.jpg)
Amministratore della Foresta e di AD
Ha il controllo completo dell’Infrastruttura
Deve essere una persona di cui vi fidate
Doppio Amministratore:• Accesso con SmartCard• Un Admin ha la SmartCard• L’altro Admin ha il Pin
> Account separati per altri compiti amministrativi
![Page 7: Progettazione di Active Directory Renato Francesco Giorgini RenatoFrancesco.Giorgini@microsoft.com](https://reader033.vdocuments.site/reader033/viewer/2022061515/5542eb4b497959361e8b79f1/html5/thumbnails/7.jpg)
Motivi generici
Perchè creare più foreste?
Operativi
Legali
Autonomia Amministrativa
Separazione Risorse
Struttura Interna
Motivi di tipo organizzativo
![Page 8: Progettazione di Active Directory Renato Francesco Giorgini RenatoFrancesco.Giorgini@microsoft.com](https://reader033.vdocuments.site/reader033/viewer/2022061515/5542eb4b497959361e8b79f1/html5/thumbnails/8.jpg)
Scenario: azienda unica
Connessione Dedicata
Applicazioni che richiedono uno
schema particolare
hr.contoso.comContoso.com
Plant.contoso.com
Domain Controller in luoghi non
sicuri
![Page 9: Progettazione di Active Directory Renato Francesco Giorgini RenatoFrancesco.Giorgini@microsoft.com](https://reader033.vdocuments.site/reader033/viewer/2022061515/5542eb4b497959361e8b79f1/html5/thumbnails/9.jpg)
Contoso.com
Firewall
Foresta Interna
DMZ.Contoso.com
Firewall
Foresta Perimetrale
Scenario: DMZ, rete perimetrale
InternetPassport
Web App
![Page 10: Progettazione di Active Directory Renato Francesco Giorgini RenatoFrancesco.Giorgini@microsoft.com](https://reader033.vdocuments.site/reader033/viewer/2022061515/5542eb4b497959361e8b79f1/html5/thumbnails/10.jpg)
Account Utente
Server e Risorse
Key
Server con dati confidenziali
Foresta ad accesso limitato
Foresta Principale
Foreste con accesso limitato
Forest Trust
www.microsoft.com/technet/prodtechnol/windowsserver2003/technologies/directory/activedirectory/fedffin2.mspx
![Page 12: Progettazione di Active Directory Renato Francesco Giorgini RenatoFrancesco.Giorgini@microsoft.com](https://reader033.vdocuments.site/reader033/viewer/2022061515/5542eb4b497959361e8b79f1/html5/thumbnails/12.jpg)
Trust tra Foreste
Corp.Contoso.com
Corp.Fabrikam.com
Requisiti
• Domain Controller con Windows Server 2003
• Windows Server 2003 Forest Functional Level
• Infrastruttura DNS
•
![Page 13: Progettazione di Active Directory Renato Francesco Giorgini RenatoFrancesco.Giorgini@microsoft.com](https://reader033.vdocuments.site/reader033/viewer/2022061515/5542eb4b497959361e8b79f1/html5/thumbnails/13.jpg)
Creazione Foreste
![Page 14: Progettazione di Active Directory Renato Francesco Giorgini RenatoFrancesco.Giorgini@microsoft.com](https://reader033.vdocuments.site/reader033/viewer/2022061515/5542eb4b497959361e8b79f1/html5/thumbnails/14.jpg)
Agenda
Progettazione Foreste
Progettazione Domini
Progettazione Organizational Units
Progettazione Topologia Siti
![Page 15: Progettazione di Active Directory Renato Francesco Giorgini RenatoFrancesco.Giorgini@microsoft.com](https://reader033.vdocuments.site/reader033/viewer/2022061515/5542eb4b497959361e8b79f1/html5/thumbnails/15.jpg)
Domini di Active Directory
Dominio
Partizione Active Directory
Funzionalità Amministrative
• Identità Utenti
• Autenticazione
• Gestione relazioni Trust
• Replica
![Page 16: Progettazione di Active Directory Renato Francesco Giorgini RenatoFrancesco.Giorgini@microsoft.com](https://reader033.vdocuments.site/reader033/viewer/2022061515/5542eb4b497959361e8b79f1/html5/thumbnails/16.jpg)
Fattori che influenzano il modello Domini
Velocità Rete Numero degli Utenti
T1128K ISDN
![Page 17: Progettazione di Active Directory Renato Francesco Giorgini RenatoFrancesco.Giorgini@microsoft.com](https://reader033.vdocuments.site/reader033/viewer/2022061515/5542eb4b497959361e8b79f1/html5/thumbnails/17.jpg)
Perchè avere più Domini?
Considerazioni Amministrative/Politiche
Necessità Policy differenti (password…)
Traffico rete
Tipologia connettività rete
Numero degli oggetti del dominio
Differenze tra Nazioni
Aggiornamento/Migrazione di Domini esistenti
![Page 18: Progettazione di Active Directory Renato Francesco Giorgini RenatoFrancesco.Giorgini@microsoft.com](https://reader033.vdocuments.site/reader033/viewer/2022061515/5542eb4b497959361e8b79f1/html5/thumbnails/18.jpg)
Raccomandazioni sul design di Domini
Minimizzare Numero dei domini
Minimizzare Profondità della gerarchia dei Domini
Scegliere Modello che eviti una successiva riorganizzazione
Creare Almeno due Domain Controller per ciascun Dominio
Creare Domini temporanei durante la migrazione
Se vengono creati più domini è importante ricordare di:
![Page 21: Progettazione di Active Directory Renato Francesco Giorgini RenatoFrancesco.Giorgini@microsoft.com](https://reader033.vdocuments.site/reader033/viewer/2022061515/5542eb4b497959361e8b79f1/html5/thumbnails/21.jpg)
Modello basato su Domini e Unità Organizzative
Azienda
Marketing ProduzioneVendite
Team IT Centrale
Enterprise Admins
Domain Admins
Schema Admins
Div 1 IT Team
Domain Admins
Div 2 IT Team
Domain Admins
Div 3 IT Team
Domain Admins
![Page 22: Progettazione di Active Directory Renato Francesco Giorgini RenatoFrancesco.Giorgini@microsoft.com](https://reader033.vdocuments.site/reader033/viewer/2022061515/5542eb4b497959361e8b79f1/html5/thumbnails/22.jpg)
Determinare il numero dei Domini
Velocità link più lento tra due DC (KBps)
Numero massimo di Utenti per % di banda disponibile
1% 5% 10%
28.8K 10,000 25,000 40,000
56K 10,000 50,000 100,000
256 50,000 100,000 100,000
1500 (T1) 100,000 100,000 100,000
![Page 23: Progettazione di Active Directory Renato Francesco Giorgini RenatoFrancesco.Giorgini@microsoft.com](https://reader033.vdocuments.site/reader033/viewer/2022061515/5542eb4b497959361e8b79f1/html5/thumbnails/23.jpg)
Creazione Dominio
![Page 24: Progettazione di Active Directory Renato Francesco Giorgini RenatoFrancesco.Giorgini@microsoft.com](https://reader033.vdocuments.site/reader033/viewer/2022061515/5542eb4b497959361e8b79f1/html5/thumbnails/24.jpg)
Agenda
Progettazione Foreste
Progettazione Domini
Progettazione Organizational Units
Progettazione Topologia Siti
![Page 25: Progettazione di Active Directory Renato Francesco Giorgini RenatoFrancesco.Giorgini@microsoft.com](https://reader033.vdocuments.site/reader033/viewer/2022061515/5542eb4b497959361e8b79f1/html5/thumbnails/25.jpg)
Organizational Unit
CONTOSO.COM
OU Admin
Organizzate in base:•Necessità amministrative
•Stessi requisiti•Delega permessi
•Group Policy•Configurazione•Sicurezza
Organizzate in base:•Necessità amministrative
•Stessi requisiti•Delega permessi
•Group Policy•Configurazione•Sicurezza
OU PolicyOU Security
![Page 26: Progettazione di Active Directory Renato Francesco Giorgini RenatoFrancesco.Giorgini@microsoft.com](https://reader033.vdocuments.site/reader033/viewer/2022061515/5542eb4b497959361e8b79f1/html5/thumbnails/26.jpg)
Utilizzo delle Organizational Unit
Sales Department Marketing DepartmentLondon New YorkDesktops Printers
Hardware Devices
![Page 27: Progettazione di Active Directory Renato Francesco Giorgini RenatoFrancesco.Giorgini@microsoft.com](https://reader033.vdocuments.site/reader033/viewer/2022061515/5542eb4b497959361e8b79f1/html5/thumbnails/27.jpg)
Creazione Organizational Units
![Page 28: Progettazione di Active Directory Renato Francesco Giorgini RenatoFrancesco.Giorgini@microsoft.com](https://reader033.vdocuments.site/reader033/viewer/2022061515/5542eb4b497959361e8b79f1/html5/thumbnails/28.jpg)
Agenda
Progettazione Foreste
Progettazione Domini
Progettazione Organizational Units
Progettazione Topologia Siti
![Page 30: Progettazione di Active Directory Renato Francesco Giorgini RenatoFrancesco.Giorgini@microsoft.com](https://reader033.vdocuments.site/reader033/viewer/2022061515/5542eb4b497959361e8b79f1/html5/thumbnails/30.jpg)
Topologie tipiche di Rete
Site Site
SiteSite
Anello Hub and Spoke
Site
SiteSite
Site
HubSite
Complessa
HubHub Site
SiteSite
![Page 31: Progettazione di Active Directory Renato Francesco Giorgini RenatoFrancesco.Giorgini@microsoft.com](https://reader033.vdocuments.site/reader033/viewer/2022061515/5542eb4b497959361e8b79f1/html5/thumbnails/31.jpg)
Replica di Active Directory
Sito Londra
Sito Tilbury
DC-1
DC-2DC-3
DC-4 DC-5Replica tra più Siti, via WAN
Replica all’interno del Sito, via LAN
![Page 32: Progettazione di Active Directory Renato Francesco Giorgini RenatoFrancesco.Giorgini@microsoft.com](https://reader033.vdocuments.site/reader033/viewer/2022061515/5542eb4b497959361e8b79f1/html5/thumbnails/32.jpg)
Posizionamento DC: Forest Root
http://www.microsoft.com/technet/prodtechnol/windowsserver2003/library/DepKit/4af3271a-4407-4ca5-9cd5-e05b79046d08.mspx
Root DC
Hub and Spoke Site Topology
Hub Site
Network Hub Datacenter
Spoke SiteSpoke Site
Root DC
![Page 33: Progettazione di Active Directory Renato Francesco Giorgini RenatoFrancesco.Giorgini@microsoft.com](https://reader033.vdocuments.site/reader033/viewer/2022061515/5542eb4b497959361e8b79f1/html5/thumbnails/33.jpg)
Il Logon è buono?
Posizionamento DC: in periferia
Sì
I DC sono in un posto
“fisicamente” sicuro?
Mettere il DC
Non mettere il DC!
No
Sì Sì Sì
No
C’è un Admin? No
Il Link WAN è stabile?
Accesso 24x7
necessario?
Sì
No
No
![Page 34: Progettazione di Active Directory Renato Francesco Giorgini RenatoFrancesco.Giorgini@microsoft.com](https://reader033.vdocuments.site/reader033/viewer/2022061515/5542eb4b497959361e8b79f1/html5/thumbnails/34.jpg)
Posizionamento Global Catalog
No
App. Che richiede il
GC?
Mettere il GC
Mettere DC e abilitare UGMC
No No No
> 100 Utenti? Sì
Collegamento WAN al GC?
Utenti mobili?
SìNon
mettere il GC!Sì Sì
Foresta a singolo Dominio: rendere ogni DC un GC
![Page 35: Progettazione di Active Directory Renato Francesco Giorgini RenatoFrancesco.Giorgini@microsoft.com](https://reader033.vdocuments.site/reader033/viewer/2022061515/5542eb4b497959361e8b79f1/html5/thumbnails/35.jpg)
Operations Masters
PDC Emulator
RID Master
Infrastructure
Ruoli di Dominio Ruoli di Foresta
Schema Master
Domain Name Master
![Page 36: Progettazione di Active Directory Renato Francesco Giorgini RenatoFrancesco.Giorgini@microsoft.com](https://reader033.vdocuments.site/reader033/viewer/2022061515/5542eb4b497959361e8b79f1/html5/thumbnails/36.jpg)
Linee Guida sugli Operations Master
Server/Ruolo Regola
Tutti i ruoli Posizionare I server in reti molto affidabili
Primo Server Posizionarlo nella sede con più utenti
Standby Scegliere immediatamente un server di standby
Infrastructure Master
Non metterlo in un server che ha il Global Catalog!
PDC Emulator Posizionarlo nella sede con più utenti
http://www.microsoft.com/technet/prodtechnol/windowsserver2003/library/DepKit/edeba401-7f51-4717-91bd-ddb1dca8a327.mspx
![Page 37: Progettazione di Active Directory Renato Francesco Giorgini RenatoFrancesco.Giorgini@microsoft.com](https://reader033.vdocuments.site/reader033/viewer/2022061515/5542eb4b497959361e8b79f1/html5/thumbnails/37.jpg)
Posizionamento Operations Master
Foresta con un unico Dominio
Rendere tutti i DC anche Global Catalog
Lasciare tutti i ruoli di Operations Master nel primo DC
Dominio “radice” della fortesta (altri domini presenti)
Spostare i ruoli di Operations Master nel secondo DC
Non rendere il secondo DC un Global Catalog
Domini locali
Lasciare i ruoli di Operations Master nel primo DC
Non rendere il secondo DC un Global Catalog
![Page 38: Progettazione di Active Directory Renato Francesco Giorgini RenatoFrancesco.Giorgini@microsoft.com](https://reader033.vdocuments.site/reader033/viewer/2022061515/5542eb4b497959361e8b79f1/html5/thumbnails/38.jpg)
Creazione di Siti
No
C’è un DC?
Creare un Sito specifico
Mettere la subnet locale nel Sito più
vicino
No
Sì
Ci sono app che richiedono Sito?
Sì
![Page 39: Progettazione di Active Directory Renato Francesco Giorgini RenatoFrancesco.Giorgini@microsoft.com](https://reader033.vdocuments.site/reader033/viewer/2022061515/5542eb4b497959361e8b79f1/html5/thumbnails/39.jpg)
Costo dei Link tra I Siti
Site1-Site2Banda Disponibile KBps Costo
9.6 1042
19.2 798
38.4 644
56 586
64 567
128 486
256 425
512 378
1024 340
2048 309
4096 283
Site1-Site3
Site2-Site3
KBps: 256
Costo: 425
KBps: 9.6
Costo: 1024
KBps: 256
Costo: 425
![Page 40: Progettazione di Active Directory Renato Francesco Giorgini RenatoFrancesco.Giorgini@microsoft.com](https://reader033.vdocuments.site/reader033/viewer/2022061515/5542eb4b497959361e8b79f1/html5/thumbnails/40.jpg)
Creazione Sito
![Page 41: Progettazione di Active Directory Renato Francesco Giorgini RenatoFrancesco.Giorgini@microsoft.com](https://reader033.vdocuments.site/reader033/viewer/2022061515/5542eb4b497959361e8b79f1/html5/thumbnails/41.jpg)
Riepilogo
Creare un disegno il più estremo possibile
Per ogni dominio devono esistere almeno due DC
Valutare il problema “Sicurezza Fisica”
Valutare benefici e costi di modelli differenti
Pianificare con cura l’infrastruttura
![Page 42: Progettazione di Active Directory Renato Francesco Giorgini RenatoFrancesco.Giorgini@microsoft.com](https://reader033.vdocuments.site/reader033/viewer/2022061515/5542eb4b497959361e8b79f1/html5/thumbnails/42.jpg)
© 2005 Microsoft Corporation. All rights reserved.This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.
http://blogs.technet.com/italy