Progettazione di Active Directory Renato Francesco Giorgini [email protected] Serie Webcast Active Directory: Introduzione ad Active Directory Progettazione di Active Directory Recovery e troubleshooting di Active Directory Gestione della sicurezza di Active Directory [email protected] Agenda Progettazione Foreste Progettazione Domini Progettazione Organizational Units Progettazione Topologia Siti [email protected] Progettazione Foreste • Insieme di Domini AD Foresta • “Catalogo” condiviso • Confine di Sicurezza • Identificare i requisiti Progettazione Foresta • Determinare il numero delle foreste [email protected] Dominio Vs Foresta All’interno della foresta esiste trust bidirezionale tra i domini Tra due foreste le relazioni di trust sono create manualmente Separazione completa della sicurezza La struttura di AD può essere diversa in due foreste diverse [email protected] Amministratore della Foresta e di AD Ha il controllo completo dell’Infrastruttura Deve essere una persona di cui vi fidate Doppio Amministratore: • Accesso con SmartCard • Un Admin ha la SmartCard • L’altro Admin ha il Pin > Account separati per altri compiti amministrativi [email protected] Perchè creare più foreste? Motivi di tipo organizzativo Motivi generici Legali Separazione Autonomia Risorse Amministrativa Operativi Struttura Interna [email protected] Scenario: azienda unica Plant.contoso.com Domain Controller in luoghi non sicuri Applicazioni che richiedono uno schema particolare Connessione Dedicata Contoso.com [email protected] hr.contoso.com Scenario: DMZ, rete perimetrale Firewall Passport Internet Foresta Perimetrale Web App Firewall DMZ.Contoso.com Foresta Interna Contoso.com [email protected] Foreste con accesso limitato Key Account Utente Server e Risorse Foresta Principale Foresta ad accesso limitato Server con dati confidenz iali www.microsoft.com/technet/prodtechnol/windowsserver2003/ technologies/directory/activedirectory/fedffin2.mspx [email protected] Scenario: Più aziende connesse Internet Firewall Contoso.com [email protected] Firewall Fabrikam.com Trust tra Foreste Corp.Fabrikam.com Corp.Contoso.com Requisiti • Domain Controller con Windows Server 2003 • Infrastruttura DNS • Windows Server 2003 Forest Functional Level • [email protected] Creazione Foreste Agenda Progettazione Foreste Progettazione Domini Progettazione Organizational Units Progettazione Topologia Siti [email protected] Domini di Active Directory Partizione Active Directory Funzionalità Amministrative • Identità Utenti • Autenticazione • Gestione relazioni Trust • Replica Dominio [email protected] Fattori che influenzano il modello Domini Velocità Rete 128K ISDN T1 [email protected] Numero degli Utenti Perchè avere più Domini? Considerazioni Amministrative/Politiche Necessità Policy differenti (password…) Traffico rete Tipologia connettività rete Numero degli oggetti del dominio Differenze tra Nazioni Aggiornamento/Migrazione di Domini esistenti [email protected] Raccomandazioni sul design di Domini Se vengono creati più domini è importante ricordare di: Minimizzare Numero dei domini Minimizzare Profondità della gerarchia dei Domini Scegliere Modello che eviti una successiva riorganizzazione Creare Almeno due Domain Controller per ciascun Dominio Creare Domini temporanei durante la migrazione [email protected] Modello a Singolo Dominio [email protected] Modello con Domini Geografici Forest Root Nord [email protected] Centro Sud Modello basato su Domini e Unità Organizzative Team IT Centrale Azienda Enterprise Admins Domain Admins Schema Admins Div 1 IT Team Div 2 IT Team Domain Admins Vendite Domain Admins Marketing [email protected] Div 3 IT Team Domain Admins Produzione Determinare il numero dei Domini Velocità link più lento tra due DC (KBps) Numero massimo di Utenti per % di banda disponibile 1% 5% 10% 28.8K 10,000 25,000 40,000 56K 10,000 50,000 100,000 256 50,000 100,000 100,000 1500 (T1) 100,000 100,000 100,000 [email protected] Creazione Dominio Agenda Progettazione Foreste Progettazione Domini Progettazione Organizational Units Progettazione Topologia Siti [email protected] Organizational Unit Organizzate in base: •Necessità amministrative •Stessi requisiti •Delega permessi •Group Policy •Configurazione •Sicurezza OU Admin OU Security CONTOSO.COM [email protected] OU Policy Utilizzo delle Organizational Unit SalesLondon Department Desktops Marketing New Department York Printers Hardware Devices [email protected] Creazione Organizational Units Agenda Progettazione Foreste Progettazione Domini Progettazione Organizational Units Progettazione Topologia Siti [email protected] Funzioni del “Sito” Dominio Sito 1 Sito 3 Sito 2 [email protected] Topologie tipiche di Rete Site Site Site Site Site Site Hub Site Site Site Anello Hub and Spoke Hub Site Hub Site Site Complessa [email protected] Replica di Active Directory Sito Londra DC-1 DC-2 DC-3 Sito Tilbury Replica all’interno del Sito, via LAN Replica tra più Siti, via WAN [email protected] DC-4 DC-5 Posizionamento DC: Forest Root Hub Site Hub and Spoke Site Topology Network Hub Datacenter Root DC Spoke Site Spoke Site Root DC http://www.microsoft.com/technet/prodtechnol/windowsserver2003/l ibrary/DepKit/4af3271a-4407-4ca5-9cd5-e05b79046d08.mspx [email protected] Posizionamento DC: in periferia No No Sì Sì I DC sono in un posto “fisicamente” sicuro? C’è un Admin? Sì Sì Il Link WAN è stabile? No No No Accesso 24x7 necessario? Sì [email protected] Il Logon è buono? Mettere il DC Non mettere il DC! Posizionamento Global Catalog Foresta a singolo Dominio: rendere ogni DC un GC No No App. Che richiede il GC? Sì > 100 Utenti? Sì No No Collegamento WAN al GC? Utenti mobili? Sì Non mettere il GC! Sì Mettere il GC [email protected] Mettere DC e abilitare UGMC Operations Masters Ruoli di Dominio Ruoli di Foresta PDC Emulator Schema Master RID Master Domain Name Master Infrastructure [email protected] Linee Guida sugli Operations Master Server/Ruolo Regola Tutti i ruoli Posizionare I server in reti molto affidabili Primo Server Posizionarlo nella sede con più utenti Standby Scegliere immediatamente un server di standby Infrastructure Master Non metterlo in un server che ha il Global Catalog! PDC Emulator Posizionarlo nella sede con più utenti http://www.microsoft.com/technet/prodtechnol/windowsserver2003/library/ DepKit/edeba401-7f51-4717-91bd-ddb1dca8a327.mspx [email protected] Posizionamento Operations Master Foresta con un unico Dominio Rendere tutti i DC anche Global Catalog Lasciare tutti i ruoli di Operations Master nel primo DC Dominio “radice” della fortesta (altri domini presenti) Spostare i ruoli di Operations Master nel secondo DC Non rendere il secondo DC un Global Catalog Domini locali Lasciare i ruoli di Operations Master nel primo DC Non rendere il secondo DC un Global Catalog [email protected] Creazione di Siti No C’è un DC? No Ci sono app che richiedono Sito? Sì Sì Creare un Sito specifico [email protected] Mettere la subnet locale nel Sito più vicino Costo dei Link tra I Siti Banda Disponibile KBps Costo 9.6 1042 19.2 798 38.4 Site1-Site2 Site1-Site3 644 KBps: 256 KBps: 9.6 56 586 Costo: 425 Costo: 1024 64 567 128 486 256 425 512 378 1024 340 2048 309 4096 283 [email protected] Site2-Site3 KBps: 256 Costo: 425 Creazione Sito Riepilogo Creare un disegno il più estremo possibile Per ogni dominio devono esistere almeno due DC Valutare il problema “Sicurezza Fisica” Valutare benefici e costi di modelli differenti Pianificare con cura l’infrastruttura [email protected] [email protected] http://blogs.technet.com/italy © 2005 Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.