Progettazione
di Active Directory
Renato Francesco Giorgini
[email protected]
Serie Webcast Active Directory:
Introduzione ad Active Directory
Progettazione di Active Directory
Recovery e troubleshooting di Active Directory
Gestione della sicurezza di Active
Directory
[email protected]
Agenda
Progettazione Foreste
Progettazione Domini
Progettazione Organizational Units
Progettazione Topologia Siti
[email protected]
Progettazione Foreste
• Insieme di Domini AD
Foresta
• “Catalogo” condiviso
• Confine di Sicurezza
• Identificare i requisiti
Progettazione
Foresta
• Determinare il numero delle foreste
[email protected]
Dominio Vs Foresta
All’interno della foresta esiste trust bidirezionale
tra i domini
Tra due foreste le relazioni di trust sono create
manualmente
Separazione completa della sicurezza
La struttura di AD può essere diversa in due
foreste diverse
[email protected]
Amministratore della Foresta e di AD
Ha il controllo completo dell’Infrastruttura
Deve essere una persona di cui vi fidate
Doppio Amministratore:
• Accesso con SmartCard
• Un Admin ha la SmartCard
• L’altro Admin ha il Pin
> Account separati per altri compiti amministrativi
[email protected]
Perchè creare più foreste?
Motivi di tipo
organizzativo
Motivi generici
Legali
Separazione
Autonomia
Risorse
Amministrativa
Operativi
Struttura Interna
[email protected]
Scenario: azienda unica
Plant.contoso.com
Domain
Controller in
luoghi non
sicuri
Applicazioni che
richiedono uno
schema
particolare
Connessione
Dedicata
Contoso.com
[email protected]
hr.contoso.com
Scenario: DMZ, rete perimetrale
Firewall
Passport
Internet
Foresta
Perimetrale
Web App
Firewall
DMZ.Contoso.com
Foresta
Interna
Contoso.com
[email protected]
Foreste con accesso limitato
Key
Account
Utente
Server e
Risorse
Foresta Principale
Foresta ad accesso
limitato
Server
con dati
confidenz
iali
www.microsoft.com/technet/prodtechnol/windowsserver2003/
technologies/directory/activedirectory/fedffin2.mspx
[email protected]
Scenario: Più aziende connesse
Internet
Firewall
Contoso.com
[email protected]
Firewall
Fabrikam.com
Trust tra Foreste
Corp.Fabrikam.com
Corp.Contoso.com
Requisiti
• Domain Controller con Windows Server 2003
• Infrastruttura DNS
• Windows Server 2003 Forest Functional Level
•
[email protected]
Creazione Foreste
Agenda
Progettazione Foreste
Progettazione Domini
Progettazione Organizational Units
Progettazione Topologia Siti
[email protected]
Domini di Active Directory
Partizione Active Directory
Funzionalità Amministrative
• Identità Utenti
• Autenticazione
• Gestione relazioni Trust
• Replica
Dominio
[email protected]
Fattori che influenzano il modello Domini
Velocità Rete
128K
ISDN
T1
[email protected]
Numero degli Utenti
Perchè avere più Domini?
Considerazioni Amministrative/Politiche
Necessità Policy differenti (password…)
Traffico rete
Tipologia connettività rete
Numero degli oggetti del dominio
Differenze tra Nazioni
Aggiornamento/Migrazione di Domini esistenti
[email protected]
Raccomandazioni sul design di Domini
Se vengono creati più domini è importante ricordare di:
Minimizzare
Numero dei domini
Minimizzare
Profondità della gerarchia dei Domini
Scegliere
Modello che eviti una successiva riorganizzazione
Creare
Almeno due Domain Controller per ciascun Dominio
Creare
Domini temporanei durante la migrazione
[email protected]
Modello a Singolo Dominio
[email protected]
Modello con Domini Geografici
Forest Root
Nord
[email protected]
Centro
Sud
Modello basato su Domini e Unità
Organizzative
Team IT Centrale
Azienda
Enterprise Admins
Domain Admins
Schema Admins
Div 1 IT Team
Div 2 IT Team
Domain Admins
Vendite
Domain Admins
Marketing
[email protected]
Div 3 IT Team
Domain Admins
Produzione
Determinare il numero dei Domini
Velocità link più lento
tra due DC (KBps)
Numero massimo di Utenti per % di
banda disponibile
1%
5%
10%
28.8K
10,000
25,000
40,000
56K
10,000
50,000
100,000
256
50,000
100,000
100,000
1500 (T1)
100,000
100,000
100,000
[email protected]
Creazione Dominio
Agenda
Progettazione Foreste
Progettazione Domini
Progettazione Organizational Units
Progettazione Topologia Siti
[email protected]
Organizational Unit
Organizzate in base:
•Necessità amministrative
•Stessi requisiti
•Delega permessi
•Group Policy
•Configurazione
•Sicurezza
OU Admin
OU Security
CONTOSO.COM
[email protected]
OU Policy
Utilizzo delle Organizational Unit
SalesLondon
Department
Desktops
Marketing
New
Department
York
Printers
Hardware Devices
[email protected]
Creazione Organizational Units
Agenda
Progettazione Foreste
Progettazione Domini
Progettazione Organizational Units
Progettazione Topologia Siti
[email protected]
Funzioni del “Sito”
Dominio
Sito 1
Sito 3
Sito 2
[email protected]
Topologie tipiche di Rete
Site
Site
Site
Site
Site
Site
Hub
Site
Site
Site
Anello
Hub and Spoke
Hub
Site
Hub
Site
Site
Complessa
[email protected]
Replica di Active Directory
Sito Londra
DC-1
DC-2
DC-3
Sito Tilbury
Replica all’interno del
Sito, via LAN
Replica tra più Siti, via
WAN
[email protected]
DC-4
DC-5
Posizionamento DC: Forest Root
Hub Site
Hub and Spoke
Site Topology
Network Hub
Datacenter
Root DC
Spoke Site
Spoke Site
Root DC
http://www.microsoft.com/technet/prodtechnol/windowsserver2003/l
ibrary/DepKit/4af3271a-4407-4ca5-9cd5-e05b79046d08.mspx
[email protected]
Posizionamento DC: in periferia
No
No
Sì
Sì
I DC sono in
un posto
“fisicamente”
sicuro?
C’è un
Admin?
Sì
Sì
Il Link WAN è
stabile?
No
No
No
Accesso
24x7
necessario?
Sì
[email protected]
Il Logon è
buono?
Mettere
il DC
Non
mettere
il DC!
Posizionamento Global Catalog
Foresta a singolo Dominio: rendere ogni DC un GC
No
No
App. Che
richiede il
GC?
Sì
> 100
Utenti?
Sì
No
No
Collegamento
WAN al GC?
Utenti
mobili?
Sì
Non
mettere
il GC!
Sì
Mettere
il GC
[email protected]
Mettere DC e
abilitare
UGMC
Operations Masters
Ruoli di Dominio
Ruoli di Foresta
PDC Emulator
Schema Master
RID Master
Domain Name Master
Infrastructure
[email protected]
Linee Guida sugli Operations Master
Server/Ruolo
Regola
Tutti i ruoli
Posizionare I server in reti molto affidabili
Primo Server
Posizionarlo nella sede con più utenti
Standby
Scegliere immediatamente un server di standby
Infrastructure
Master
Non metterlo in un server che ha il Global
Catalog!
PDC Emulator
Posizionarlo nella sede con più utenti
http://www.microsoft.com/technet/prodtechnol/windowsserver2003/library/
DepKit/edeba401-7f51-4717-91bd-ddb1dca8a327.mspx
[email protected]
Posizionamento Operations Master
Foresta con un unico Dominio
Rendere tutti i DC anche Global Catalog
Lasciare tutti i ruoli di Operations Master nel primo DC
Dominio “radice” della fortesta (altri domini presenti)
Spostare i ruoli di Operations Master nel secondo DC
Non rendere il secondo DC un Global Catalog
Domini locali
Lasciare i ruoli di Operations Master nel primo DC
Non rendere il secondo DC un Global Catalog
[email protected]
Creazione di Siti
No
C’è un DC?
No
Ci sono app che
richiedono Sito?
Sì
Sì
Creare un Sito
specifico
[email protected]
Mettere la subnet
locale nel Sito più
vicino
Costo dei Link tra I Siti
Banda Disponibile KBps
Costo
9.6
1042
19.2
798
38.4
Site1-Site2
Site1-Site3
644
KBps: 256
KBps: 9.6
56
586
Costo: 425
Costo: 1024
64
567
128
486
256
425
512
378
1024
340
2048
309
4096
283
[email protected]
Site2-Site3
KBps: 256
Costo: 425
Creazione Sito
Riepilogo
Creare un disegno il più estremo possibile
Per ogni dominio devono esistere almeno due DC
Valutare il problema “Sicurezza Fisica”
Valutare benefici e costi di modelli differenti
Pianificare con cura l’infrastruttura
[email protected]
[email protected]
http://blogs.technet.com/italy
© 2005 Microsoft Corporation. All rights reserved.
This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.
Scarica

Progettazione di Active Directory