Progettazione di Active Directory Renato Francesco Giorgini RenatoFrancesco.Giorgini@microsoft.com.

Post on 01-May-2015

261 views 4 download

Transcript of Progettazione di Active Directory Renato Francesco Giorgini RenatoFrancesco.Giorgini@microsoft.com.

Progettazione di Active Directory

Renato Francesco GiorginiRenatoFrancesco.Giorgini@microsoft.com

RenatoFrancesco.Giorgini@microsoft.com

Serie Webcast Active Directory:

Introduzione ad Active Directory

Progettazione di Active Directory

Recovery e troubleshooting di Active Directory

Gestione della sicurezza di Active Directory                        

RenatoFrancesco.Giorgini@microsoft.com

Agenda

Progettazione Foreste

Progettazione Domini

Progettazione Organizational Units

Progettazione Topologia Siti

RenatoFrancesco.Giorgini@microsoft.com

Progettazione Foreste

• Insieme di Domini AD

• “Catalogo” condiviso

• Confine di Sicurezza

• Identificare i requisiti

• Determinare il numero delle foreste

Foresta

Progettazione Foresta

RenatoFrancesco.Giorgini@microsoft.com

Dominio Vs Foresta

All’interno della foresta esiste trust bidirezionale tra i domini

Tra due foreste le relazioni di trust sono create manualmente

Separazione completa della sicurezza

La struttura di AD può essere diversa in due foreste diverse

RenatoFrancesco.Giorgini@microsoft.com

Amministratore della Foresta e di AD

Ha il controllo completo dell’Infrastruttura

Deve essere una persona di cui vi fidate

Doppio Amministratore:• Accesso con SmartCard• Un Admin ha la SmartCard• L’altro Admin ha il Pin

> Account separati per altri compiti amministrativi

RenatoFrancesco.Giorgini@microsoft.com

Motivi generici

Perchè creare più foreste?

Operativi

Legali

Autonomia Amministrativa

Separazione Risorse

Struttura Interna

Motivi di tipo organizzativo

RenatoFrancesco.Giorgini@microsoft.com

Scenario: azienda unica

Connessione Dedicata

Applicazioni che richiedono uno

schema particolare

hr.contoso.comContoso.com

Plant.contoso.com

Domain Controller in luoghi non

sicuri

RenatoFrancesco.Giorgini@microsoft.com

Contoso.com

Firewall

Foresta Interna

DMZ.Contoso.com

Firewall

Foresta Perimetrale

Scenario: DMZ, rete perimetrale

InternetPassport

Web App

RenatoFrancesco.Giorgini@microsoft.com

Account Utente

Server e Risorse

Key

Server con dati confidenziali

Foresta ad accesso limitato

Foresta Principale

Foreste con accesso limitato

Forest Trust

www.microsoft.com/technet/prodtechnol/windowsserver2003/technologies/directory/activedirectory/fedffin2.mspx

RenatoFrancesco.Giorgini@microsoft.com

Scenario: Più aziende connesse

Fabrikam.comContoso.com

Firewall Firewall

Internet

RenatoFrancesco.Giorgini@microsoft.com

Trust tra Foreste

Corp.Contoso.com

Corp.Fabrikam.com

Requisiti

• Domain Controller con Windows Server 2003

• Windows Server 2003 Forest Functional Level

• Infrastruttura DNS

Creazione Foreste

RenatoFrancesco.Giorgini@microsoft.com

Agenda

Progettazione Foreste

Progettazione Domini

Progettazione Organizational Units

Progettazione Topologia Siti

RenatoFrancesco.Giorgini@microsoft.com

Domini di Active Directory

Dominio

Partizione Active Directory

Funzionalità Amministrative

• Identità Utenti

• Autenticazione

• Gestione relazioni Trust

• Replica

RenatoFrancesco.Giorgini@microsoft.com

Fattori che influenzano il modello Domini

Velocità Rete Numero degli Utenti

T1128K ISDN

RenatoFrancesco.Giorgini@microsoft.com

Perchè avere più Domini?

Considerazioni Amministrative/Politiche

Necessità Policy differenti (password…)

Traffico rete

Tipologia connettività rete

Numero degli oggetti del dominio

Differenze tra Nazioni

Aggiornamento/Migrazione di Domini esistenti

RenatoFrancesco.Giorgini@microsoft.com

Raccomandazioni sul design di Domini

Minimizzare Numero dei domini

Minimizzare Profondità della gerarchia dei Domini

Scegliere Modello che eviti una successiva riorganizzazione

Creare Almeno due Domain Controller per ciascun Dominio

Creare Domini temporanei durante la migrazione

Se vengono creati più domini è importante ricordare di:

RenatoFrancesco.Giorgini@microsoft.com

Modello a Singolo Dominio

RenatoFrancesco.Giorgini@microsoft.com

Modello con Domini GeograficiForest Root

Centro SudNord

RenatoFrancesco.Giorgini@microsoft.com

Modello basato su Domini e Unità Organizzative

Azienda

Marketing ProduzioneVendite

Team IT Centrale

Enterprise Admins

Domain Admins

Schema Admins

Div 1 IT Team

Domain Admins

Div 2 IT Team

Domain Admins

Div 3 IT Team

Domain Admins

RenatoFrancesco.Giorgini@microsoft.com

Determinare il numero dei Domini

Velocità link più lento tra due DC (KBps)

Numero massimo di Utenti per % di banda disponibile

1% 5% 10%

28.8K 10,000 25,000 40,000

56K 10,000 50,000 100,000

256 50,000 100,000 100,000

1500 (T1) 100,000 100,000 100,000

Creazione Dominio

RenatoFrancesco.Giorgini@microsoft.com

Agenda

Progettazione Foreste

Progettazione Domini

Progettazione Organizational Units

Progettazione Topologia Siti

RenatoFrancesco.Giorgini@microsoft.com

Organizational Unit

CONTOSO.COM

OU Admin

Organizzate in base:•Necessità amministrative

•Stessi requisiti•Delega permessi

•Group Policy•Configurazione•Sicurezza

Organizzate in base:•Necessità amministrative

•Stessi requisiti•Delega permessi

•Group Policy•Configurazione•Sicurezza

OU PolicyOU Security

RenatoFrancesco.Giorgini@microsoft.com

Utilizzo delle Organizational Unit

Sales Department Marketing DepartmentLondon New YorkDesktops Printers

Hardware Devices

Creazione Organizational Units

RenatoFrancesco.Giorgini@microsoft.com

Agenda

Progettazione Foreste

Progettazione Domini

Progettazione Organizational Units

Progettazione Topologia Siti

RenatoFrancesco.Giorgini@microsoft.com

Funzioni del “Sito”

Dominio

Sito 1

Sito 2

Sito 3

RenatoFrancesco.Giorgini@microsoft.com

Topologie tipiche di Rete

Site Site

SiteSite

Anello Hub and Spoke

Site

SiteSite

Site

HubSite

Complessa

HubHub Site

SiteSite

RenatoFrancesco.Giorgini@microsoft.com

Replica di Active Directory

Sito Londra

Sito Tilbury

DC-1

DC-2DC-3

DC-4 DC-5Replica tra più Siti, via WAN

Replica all’interno del Sito, via LAN

RenatoFrancesco.Giorgini@microsoft.com

Posizionamento DC: Forest Root

http://www.microsoft.com/technet/prodtechnol/windowsserver2003/library/DepKit/4af3271a-4407-4ca5-9cd5-e05b79046d08.mspx

Root DC

Hub and Spoke Site Topology

Hub Site

Network Hub Datacenter

Spoke SiteSpoke Site

Root DC

RenatoFrancesco.Giorgini@microsoft.com

Il Logon è buono?

Posizionamento DC: in periferia

I DC sono in un posto

“fisicamente” sicuro?

Mettere il DC

Non mettere il DC!

No

Sì Sì Sì

No

C’è un Admin? No

Il Link WAN è stabile?

Accesso 24x7

necessario?

No

No

RenatoFrancesco.Giorgini@microsoft.com

Posizionamento Global Catalog

No

App. Che richiede il

GC?

Mettere il GC

Mettere DC e abilitare UGMC

No No No

> 100 Utenti? Sì

Collegamento WAN al GC?

Utenti mobili?

SìNon

mettere il GC!Sì Sì

Foresta a singolo Dominio: rendere ogni DC un GC

RenatoFrancesco.Giorgini@microsoft.com

Operations Masters

PDC Emulator

RID Master

Infrastructure

Ruoli di Dominio Ruoli di Foresta

Schema Master

Domain Name Master

RenatoFrancesco.Giorgini@microsoft.com

Linee Guida sugli Operations Master

Server/Ruolo Regola

Tutti i ruoli Posizionare I server in reti molto affidabili

Primo Server Posizionarlo nella sede con più utenti

Standby Scegliere immediatamente un server di standby

Infrastructure Master

Non metterlo in un server che ha il Global Catalog!

PDC Emulator Posizionarlo nella sede con più utenti

http://www.microsoft.com/technet/prodtechnol/windowsserver2003/library/DepKit/edeba401-7f51-4717-91bd-ddb1dca8a327.mspx

RenatoFrancesco.Giorgini@microsoft.com

Posizionamento Operations Master

Foresta con un unico Dominio

Rendere tutti i DC anche Global Catalog

Lasciare tutti i ruoli di Operations Master nel primo DC

Dominio “radice” della fortesta (altri domini presenti)

Spostare i ruoli di Operations Master nel secondo DC

Non rendere il secondo DC un Global Catalog

Domini locali

Lasciare i ruoli di Operations Master nel primo DC

Non rendere il secondo DC un Global Catalog

RenatoFrancesco.Giorgini@microsoft.com

Creazione di Siti

No

C’è un DC?

Creare un Sito specifico

Mettere la subnet locale nel Sito più

vicino

No

Ci sono app che richiedono Sito?

RenatoFrancesco.Giorgini@microsoft.com

Costo dei Link tra I Siti

Site1-Site2Banda Disponibile KBps Costo

9.6 1042

19.2 798

38.4 644

56 586

64 567

128 486

256 425

512 378

1024 340

2048 309

4096 283

Site1-Site3

Site2-Site3

KBps: 256

Costo: 425

KBps: 9.6

Costo: 1024

KBps: 256

Costo: 425

Creazione Sito

RenatoFrancesco.Giorgini@microsoft.com

Riepilogo

Creare un disegno il più estremo possibile

Per ogni dominio devono esistere almeno due DC

Valutare il problema “Sicurezza Fisica”

Valutare benefici e costi di modelli differenti

Pianificare con cura l’infrastruttura

© 2005 Microsoft Corporation. All rights reserved.This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.

RenatoFrancesco.Giorgini@microsoft.com

http://blogs.technet.com/italy