none
Domini in WAN su stessa foresta RRS feed

  • Domanda

  • Dovrei mettere in una unica foresta due domini diversi geograficamente distanti e collegati fra di loro tramite VPN site by site

    Il mio dubbio è questo:

    foresta1.local (Bologna) a cui vengono aggiunti dominio1 (Bologna) e dominio2 (Roma)

    Se per qualche ragione casca la connettività far i due domini, cosa succede al dominio2 di Roma? Riesce a lavorare senza problemi o il fatto di non trovare più la foresta di appartenenza mette in crisi l'AD?

    lunedì 19 marzo 2018 08:25

Risposte

Tutte le risposte

  • Se si trattano di due domini child (ad esempio dominio1.foresta1.local) e entrambi hanno almeno un DC catalogo globale in sede con i ruoli FSMO, allora non ci sono seri problemi a patto di ripristinare il collegamento in tempi brevi (per non far andare gli oggetti nelle tombstone).
    lunedì 19 marzo 2018 09:19
    Moderatore
  • Al momento non sono due domini child della stessa foresta. Sono due domini nati in maniera indipendente e quindi ognuno con la propria foresta

    E poi il problema è il "ripristinare il collegamento in tempi brevi". Questo è difficile garantirlo. Se l'interuzzione è causata da guasti hw o problematiche del provider di connettività (uno dei due si basa su ponte radio) è difficile dirlo


    • Modificato GAlbori lunedì 19 marzo 2018 09:29
    lunedì 19 marzo 2018 09:28
  • per quale motivo hai due domini distinti e quanto vincolante è questa scelta ?

    ti faccio la domanda perchè potresti ricondurti al modello di un solo dominio con due sites di AD, ovviamente con almeno un dc in ogni site.


    Edoardo Benussi
    Microsoft MVP - Cloud and Datacenter Management
    e[dot]benussi[at]outlook[dot]it


    lunedì 19 marzo 2018 14:30
    Moderatore
  • Al momento non sono due domini child della stessa foresta. Sono due domini nati in maniera indipendente e quindi ognuno con la propria foresta

    E poi il problema è il "ripristinare il collegamento in tempi brevi". Questo è difficile garantirlo. Se l'interuzzione è causata da guasti hw o problematiche del provider di connettività (uno dei due si basa su ponte radio) è difficile dirlo


    Considera che il tombstone lifetime di default per Windows Server 2008 e successivi è di 180 giorni....credo bastino.

    In ogni caso se hai due domini indipendenti collegati tra loro da un semplice trust in caso di interruzione di connettività non potrai utilizzare le risorse del dominio offline (autenticazione degli utenti appartenenti al dominio offline, ecc..) ma per il resto il dominio continuerà a funzionare in maniera indipendente. Forse questa è la soluzione più affidabile per connessioni instabili in quanto i due domini sono praticamente indipendenti, mentre invece la soluzione dei domini child è "una via di mezzo".

    Invece nella soluzione del singolo dominio con più site a mio parere la connessione deve essere affidabile perché in questo caso se si verificano interruzioni i ruoli FSMO potrebbero diventare non disponibili ad una parte del dominio con relativi disservizi (ad esempio impossibilità di aggiungere nuovi utenti). Se ripristini la connessione in tempi molto brevi allora nessun problema, ma se la cosa va per le lunghe potrebbe essere necessario adottare soluzioni drastiche come lo spostamento manuale dei ruoli (il che potrebbe causare conflitti se l'altra parte del dominio è solo scollegata dalla VPN ma continua a funzionare localmente).

    lunedì 19 marzo 2018 21:47
    Moderatore
  • Allora, intanto grazie delle risposte e scusate se rispondo dolo ora, ma ho avuto du egg piuttosto incasinati :(

    I due domini sono legati a due realtà che sono nate in maniera indipendente una dall'altra. Oggi mi trovo nella necessità di realizzare una condivisione di dati fra le due aziende che nel frattempo (pur restando realtà divise), hanno fatto partire una collaborazione. Al momento questa è l'unica necessità che abbiamo

    Inizialmente pensavo di usare DFS fra i server per replicare i dati presenti che devono essere condivisi, ma ho  letto che prerequisito per il DFS è l'appartenenza alla stessa foresta

    Mi andrebbe bene anche una sincronizzazione non in tempo reale, ma schedulata usando utility tipo robocopy (L'utilizzo che verrà fatto di quei dati mi consentirebbe anche una semplice sincronizzazione schedulata nottetempo). In questo caso penso sarebbe sufficiente anche un trust fra i domini, il problema è che non sono riuscito a realizzarlo :( sicuramente per mancanza di conoscenze da parte mia. Nel caso se mi  poteste indicare qualche documento di supporto vi sarei enormemente grato

    martedì 20 marzo 2018 09:41
  • stabilito che hai la vpn site-to-site tra le due reti, la soluzione migliore, vista la descrizione della situazione, è quella di creare un trust bidirezionale tra i domini e per farlo segui questo documento

    https://araihan.wordpress.com/2009/08/05/how-to-create-an-external-trust-between-two-domains/

    ciao


    Edoardo Benussi
    Microsoft MVP - Cloud and Datacenter Management
    e[dot]benussi[at]outlook[dot]it


    mercoledì 21 marzo 2018 08:35
    Moderatore