La presentazione è in caricamento. Aspetta per favore

La presentazione è in caricamento. Aspetta per favore

Progettazione di Active Directory Renato Francesco Giorgini

Presentazioni simili


Presentazione sul tema: "Progettazione di Active Directory Renato Francesco Giorgini"— Transcript della presentazione:

1 Progettazione di Active Directory Renato Francesco Giorgini

2 Serie Webcast Active Directory: Introduzione ad Active Directory Progettazione di Active Directory Recovery e troubleshooting di Active Directory Gestione della sicurezza di Active Directory

3 Agenda Progettazione Foreste Progettazione Domini Progettazione Organizational Units Progettazione Topologia Siti

4 Progettazione Foreste Insieme di Domini AD Catalogo condiviso Confine di Sicurezza Identificare i requisiti Determinare il numero delle foreste Foresta Progettazione Foresta

5 Dominio Vs Foresta Allinterno della foresta esiste trust bidirezionale tra i domini Tra due foreste le relazioni di trust sono create manualmente Separazione completa della sicurezza La struttura di AD può essere diversa in due foreste diverse

6 Amministratore della Foresta e di AD Ha il controllo completo dellInfrastruttura Deve essere una persona di cui vi fidate Doppio Amministratore: Accesso con SmartCard Un Admin ha la SmartCard Laltro Admin ha il Pin > Account separati per altri compiti amministrativi

7 Motivi generici Perchè creare più foreste? Operativi Legali Autonomia Amministrativa Separazione Risorse Struttura Interna Motivi di tipo organizzativo

8 Scenario: azienda unica Connessione Dedicata Applicazioni che richiedono uno schema particolare hr.contoso.com Contoso.com Plant.contoso.com Domain Controller in luoghi non sicuri

9 Contoso.com Firewall Foresta Interna DMZ.Contoso.com Firewall Foresta Perimetrale Scenario: DMZ, rete perimetrale Internet Passport Web App

10 Account Utente Server e Risorse Key Server con dati confidenz iali Foresta ad accesso limitato Foresta Principale Foreste con accesso limitato Forest Trust technologies/directory/activedirectory/fedffin2.mspx

11 Scenario: Più aziende connesse Fabrikam.com Contoso.com Firewall Internet

12 Trust tra Foreste Corp.Contoso.com Corp.Fabrikam.com Requisiti Domain Controller con Windows Server 2003 Windows Server 2003 Forest Functional Level Infrastruttura DNS

13 Creazione Foreste

14 Agenda Progettazione Foreste Progettazione Domini Progettazione Organizational Units Progettazione Topologia Siti

15 Domini di Active Directory Dominio Partizione Active Directory Funzionalità Amministrative Identità Utenti Autenticazione Gestione relazioni Trust Replica

16 Fattori che influenzano il modello Domini Velocità ReteNumero degli Utenti T1 128K ISDN

17 Perchè avere più Domini? Considerazioni Amministrative/Politiche Necessità Policy differenti (password…) Traffico rete Tipologia connettività rete Numero degli oggetti del dominio Differenze tra Nazioni Aggiornamento/Migrazione di Domini esistenti

18 Raccomandazioni sul design di Domini MinimizzareNumero dei domini MinimizzareProfondità della gerarchia dei Domini ScegliereModello che eviti una successiva riorganizzazione CreareAlmeno due Domain Controller per ciascun Dominio CreareDomini temporanei durante la migrazione Se vengono creati più domini è importante ricordare di:

19 Modello a Singolo Dominio

20 Modello con Domini Geografici Forest Root CentroSudNord

21 Modello basato su Domini e Unità Organizzative Azienda MarketingProduzioneVendite Team IT Centrale Enterprise Admins Domain Admins Schema Admins Div 1 IT Team Domain Admins Div 2 IT Team Domain Admins Div 3 IT Team Domain Admins

22 Determinare il numero dei Domini Velocità link più lento tra due DC (KBps) Numero massimo di Utenti per % di banda disponibile 1%5%10% 28.8K10,00025,00040,000 56K10,00050,000100, ,000100, (T1)100,000

23 Creazione Dominio

24 Agenda Progettazione Foreste Progettazione Domini Progettazione Organizational Units Progettazione Topologia Siti

25 Organizational Unit CONTOSO.COM OU Admin Organizzate in base: Necessità amministrative Stessi requisiti Delega permessi Group Policy Configurazione Sicurezza Organizzate in base: Necessità amministrative Stessi requisiti Delega permessi Group Policy Configurazione Sicurezza OU Policy OU Security

26 Utilizzo delle Organizational Unit Sales Department Marketing Department London New York Desktops Printers Hardware Devices

27 Creazione Organizational Units

28 Agenda Progettazione Foreste Progettazione Domini Progettazione Organizational Units Progettazione Topologia Siti

29 Funzioni del Sito Dominio Sito 1 Sito 2 Sito 3

30 Topologie tipiche di Rete Site Anello Hub and Spoke Site Hub Site Complessa Hub Site

31 Replica di Active Directory Sito Londra Sito Tilbury DC-1 DC-2 DC-3 DC-4 DC-5 Replica tra più Siti, via WAN Replica allinterno del Sito, via LAN

32 Posizionamento DC: Forest Root ibrary/DepKit/4af3271a ca5-9cd5-e05b79046d08.mspx Root DC Hub and Spoke Site Topology Hub Site Network Hub Datacenter Spoke Site Root DC

33 Il Logon è buono? Posizionamento DC: in periferia Sì I DC sono in un posto fisicamente sicuro? Mettere il DC Non mettere il DC! No Sì No Cè un Admin? No Il Link WAN è stabile? Accesso 24x7 necessario? Sì No

34 Posizionamento Global Catalog No App. Che richiede il GC? Mettere il GC Mettere DC e abilitare UGMC No > 100 Utenti? Sì Collegamento WAN al GC? Utenti mobili? Sì Non mettere il GC! Sì Foresta a singolo Dominio: rendere ogni DC un GC

35 Operations Masters PDC Emulator RID Master Infrastructure Ruoli di DominioRuoli di Foresta Schema Master Domain Name Master

36 Linee Guida sugli Operations Master Server/RuoloRegola Tutti i ruoliPosizionare I server in reti molto affidabili Primo ServerPosizionarlo nella sede con più utenti StandbyScegliere immediatamente un server di standby Infrastructure Master Non metterlo in un server che ha il Global Catalog! PDC EmulatorPosizionarlo nella sede con più utenti DepKit/edeba401-7f bd-ddb1dca8a327.mspx

37 Posizionamento Operations Master Foresta con un unico Dominio Rendere tutti i DC anche Global Catalog Lasciare tutti i ruoli di Operations Master nel primo DC Dominio radice della fortesta (altri domini presenti) Spostare i ruoli di Operations Master nel secondo DC Non rendere il secondo DC un Global Catalog Domini locali Lasciare i ruoli di Operations Master nel primo DC Non rendere il secondo DC un Global Catalog

38 Creazione di Siti No Cè un DC? Creare un Sito specifico Mettere la subnet locale nel Sito più vicino No Sì Ci sono app che richiedono Sito? Sì

39 Costo dei Link tra I Siti Site1-Site2 Banda Disponibile KBpsCosto Site1-Site3 Site2-Site3 KBps: 256 Costo: 425 KBps: 9.6 Costo: 1024 KBps: 256 Costo: 425

40 Creazione Sito

41 Riepilogo Creare un disegno il più estremo possibile Per ogni dominio devono esistere almeno due DC Valutare il problema Sicurezza Fisica Valutare benefici e costi di modelli differenti Pianificare con cura linfrastruttura

42 © 2005 Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.


Scaricare ppt "Progettazione di Active Directory Renato Francesco Giorgini"

Presentazioni simili


Annunci Google