none
Prima implementazione Windows Server 2012R2 e Active Directory in scenario reale RRS feed

  • Discussione generale

  • Un saluto a tutta la community,
    avrei bisogno del vostro supporto perchè sono alla mia prima reale esperienza con l'implementazione in scenario reale
    di windows server 2012R2 e vorrei comprendere meglio la logica di funzionamento di Windows Server con i seguenti ruoli

    Active Directory - DNS - DHCP

    Ieri ho avuto modo di seguire un webinar su windows server 2012R ed il relatore ha sottolineato che quando si implementa un dominio con Active Directory vanno installati esclusivamente i ruoli di Dc - Dns - Dhcp e nessun altro ruolo, nemmeno quello di file/server.

    Essendo che non ho mai implementato ne realizzato un dominio o per meglio dire ho sempre lavorato in ambienti dove ogni pc era indipendente vorrei comprendere come procedere.

    La mia esigenza è quella di realizzare un dominio e joinare tutti i pc client al quest'ultimo, ma la mia domanda è:

    una volta fatta questa operazione i pc non avranno più come gw l'indirizzo ip del router ma quello del server di dominio corretto?

    Altra cosa, se per qualche motivo dovesse guastarsi il server che fa da dc i pc client non lavoreranno più, corretto ? Dovrei realizzare una replica e per farlo devo acquistare un altro server identico ?

    Avendo l'azienda un sito internet registrato presso un provider, quando creo il mio server e lo elevo a DC come dominio devo utilizzare uno fittizio con estensione .local o posso utilizzare quello registrato dall'azienda esempio aziendamia.it ? 

    Anche il server mail exchange deve essere joinato a dominio oppure non c'è necessità ?

    Attendo Vs lumi su queste mie domande, poi magari argomentiamo e approfondiamo la discussione, confido tantissimo nel vostro supporto perchè ho le idee molto confuse.

    Grazie anticipatamente


    mercoledì 23 gennaio 2019 12:10

Tutte le risposte

  • - L'indirizzo del gateway rimane sempre lo stesso, sono quelli del DNS che devono essere esclusivamente indirizzi di DC del dominio.
    - In caso di guasto dell'unico DC i client principalmente non andranno in internet e sarà possibile eseguire login sui computer solo utilizzando le ultime credenziali memorizzate in cache. Per la replica il server "secondario" (in realtà i DC sono tutti paritetici, cambia solo chi detiene i ruoli FSMO) può anche non essere identico, l'importante è che sia sempre online.
    - Un tempo veniva consigliato il .local o altri suffissi fittizi in modo da evitare sovrapposizioni con nomi di dominio in internet ma negli ultimi anni c'è stato un cambio di direzione sotto questo punto di vista, quindi è preferibile che l'intero nome di dominio DNS utilizzato da AD sia registrato in internet. Trovi le motivazioni in questa pagina (consiglio di leggerlo in inglese perché quello tradotto in italiano non si capisce):
    https://docs.microsoft.com/en-us/windows-server/identity/ad-ds/plan/selecting-the-forest-root-domain

    In questo caso dovrai ovviamente gestire nel DNS anche i record del sito in modo da renderlo accessibile dagli utenti che si connettono dall'interno del tuo dominio AD.

    - Ovviamente Exchange deve essere integrato nel dominio AD, non sono possibili altre configurazioni (l'utilizzo di domini AD "secondari" per la sola gestione della posta a mio parere non hanno senso).

    mercoledì 23 gennaio 2019 15:07
    Moderatore
  • Salve Sig. Fabrizio,
    anzitutto grazie mille per la risposta fornita, diciamo che a grandi linee ho compreso il "concetto", quello che mi è poco chiaro è:

    --> In caso di guasto dell'unico DC i client principalmente non andranno in internet e sarà possibile eseguire login sui computer solo utilizzando le ultime credenziali memorizzate in cache.

    Mi chiedo, qualora si trattasse di un guasto serio ed il controller di dominio non torna su in tempi brevi, gli utenti non hanno facoltà di accedere alla macchina utilizzando un account locale ?

    Quando mi scrivi --> ovviamente gestire nel DNS anche i record del sito in modo da renderlo accessibile dagli utenti che si connettono dall'interno del tuo dominio AD

    tale gestione la devo effettuare dal DC nel ruolo DNS è corretto ?

    Grazie ancora per il supporto

    mercoledì 23 gennaio 2019 16:34
  • Buonasera Corsaro,

    non me ne volere, ma se tra le domande leggo:  "Anche il server mail exchange deve essere joinato a dominio oppure non c'è necessità ?" , allora vuol dire che non hai mai implementato un server Exchange (come comunque hai sottolineato tu nell'intro). Quindi, se posso darti un consiglio davvero spassionato, PRIMA esercitati in un ambiente di laboratorio per fare i test per implementare DC ed Exchange, POI lo implementi in un ambiente di produzione. Avventurarsi così come vorresti fare porterebbe solo ad un probabile fallimento e ad una perdita enorme di tempo a capire come mai le cose non funzionano come dovrebbero.

    Quindi, le possibilità che si prospettano sono:

    - test in laboratorio per capire come implementare il tutto e poi si installa in ambiente reale

    - affidarsi ad un consulente IT esperto che ti può formare ed aiutare in questa prima installazione

    Se comunque l'ambiente da installare è piccolo, ti consiglio piuttosto di fare tutto in Office 365 e lasciar proprio perdere l'idea della posta in casa. Non ultimo (se non hai già comprato la licenza), installa direttamente Windows Server 2019 o perlomeno 2016.

    Ciao.

    mercoledì 23 gennaio 2019 17:01
  • Salve Sig.Victor,
    posso solo prendere il suo suggerimento come cosa gradita e atta a darmi delle indicazioni per me fondamentali, perchè a piccoli passi mi portano verso la risoluzione di un problema e problema dopo problema, pian piano riuscirò anche io un giorno a diventare un valido sistemista.

    Se c'è una cosa che proprio non mi manca è la voglia di apprendere e l'umiltà nel farlo, il consiglio di office 365 è un sacrosanto consiglio, forse se non sicuramente non mi darà le competenze che vorrei acquisire per gestire "la posta in casa", ma almeno farà da tampone per il tempo necessario ad acquisire le dovute competenze. Anzi, colgo l'occasione per chiederVi se avete libri in lingua italiano da consigliare ad un novizio volenteroso di apprendere e far pratica.

    Grazie ancora per i suggerimenti

    mercoledì 23 gennaio 2019 17:45
  • Per quanto riguarda i libri c'è l'imbarazzo della scelta, qui trovi il catalogo Microsoft Press:
    https://www.microsoft.com/it-it/learning/microsoft-press-books.aspx

    Comunque secondo me, come diceva anche Victor, penso ci sia bisogno di uno studio più approfondito prima di cimentarsi nell'implementazione della struttura vera e propria. Non vorrei essere stato frainteso, la mia risposta precedente serviva solo a toglierti dei primi dubbi sorti durante lo studio, ma ovviamente non può essere completamente esaustiva come può essere un buon libro o un corso, ed ovviamente non si può scrivere tutto sul forum.
    Diciamo che il forum TechNet può esserti poco utile in questa fase, ti consiglio di studiare approfonditamente le tecnologie che ti interessano, poi magari possiamo aiutarti a risolvere eventuali problematiche o a capire aspetti specifici.


    mercoledì 23 gennaio 2019 22:17
    Moderatore
  • Si ecco, ben venga la formazione e la voglia di imparare..qui però per gestire una struttura del genere, implementarla e poi risolvere in caso di problemi servono almeno 5 anni di formazione Senior su Windows Server, dei corsi ufficiali almeno un paio e poi tutta la parte Exchange...se devi partire adesso con la messa in produzione la vedo dura...

    Il mio sugggerimento:

    - fatti un MOC MCSA Windows server 2016 (se puoi permettertelo)

    - se non puoi comprati tutto il malloppo dei 3 esami MCSA Windows server 2016

    - studia come se non ci fosse un domani e mettii in pratica in laboratorio il massimo che riesci

    - magari prenditi la certificazione MCSA 

    - a quel punto puoi iniziare con la roba in produzione

    - poi passi ad Exchange.

    tutto ciò che viene prima di questo è solo un procedere a tentoni e non ne puoi uscire.

    my 2 cent..

    A.

    giovedì 24 gennaio 2019 10:21
    Moderatore
  • Anzitutto grazie per il supporto che mi state fornendo,

    detta in parole povere la mia esigenza è quella di:

    • creare un dominio (cosa che rientra nelle mie competenze)
    • aggiungere ruolo AD (riesco a farlo)
    • creare utenti - gruppi - computer (riesco a farlo)
    • assegnare permessi per ogni risorsa (riesco a farlo)
    • aggiungere un ruolo Dns (il ruolo lo installo ma non mi sono chiari i concetti del dns inverso)
    • aggiungere un ruolo DHCP (non dovrei avere grosse difficoltà)

    Diciamo che alcuni concetti però non mi sono ben chiari, faccio una domanda banale per comprendere e cercare di far luce sui miei dubbi:

    Simuliamo che effettui il join a dominio di 2 pc per esempio:
    IP : 192.168.100.215 (pc1)
    Utente: test1
    Password: questalapassword

    IP : 192.168.100.216 (pc2)
    Utente: test2
    Password: questalapassword

    L'utente test1 al logon si connetterà con
    nomedominio\test1
    password: questalapassword

    Si ritroverà davanti il suo desktop con i programmi installati, assumiamo che crei un file word
    miofile.doc lo salva sul suo desktop e stop effettua il logoff;

    In qualsiasi altro momento della giornata si trova per assurdo in un'altra stanza dell'ufficio, quindi su un altro computer ipotizziamo il precedente joinato a dominio 192.168.100.216, se l'utente test1 accede con le sue credenziali, si troverà davanti sempre il suo desktop con tutti i suoi file e programmi ivi compreso miofile.doc oppure no ? 

    A voi potrebbe sembrare assurda questa domanda ma la vostra risposta servirà a rendere più chiare le mie idee.

    Grazie

    giovedì 24 gennaio 2019 13:57
  • Quello di cui parli sono profili di roaming. E' un'implementazione di AD per avere sempre disponibili i propri dati da qualsiasi pc in cui ci si logghi. Anche in quel caso NON puoi buttarci dentro qualsiasi cosa altrimenti al caricamento del profilo la prima volta oltre a bloccarsi può metterci davvero un mucchio di tempo e rischiare che lo user stia 1h ad aspettare i propri dati.

    Corsaroweb, ti rinnovo il suggerimento: anni di test, formazione ed di esperienza e poi in produzione. Qui non possiamo formarti, non è il luogo destinato a tale scopo, non è cattiveria ma il Technet è per Professionisti IT, ci si arriva con conoscenze pregresse importanti o problemi reali, non per colmare lacune di base.

    Grazie della comprensione.

    A.

    giovedì 24 gennaio 2019 14:41
    Moderatore
  • Ok grazie mille, comprendo perfettamente e ringrazio comunque per il supporto fin ora fornito.

    Saluti

    giovedì 24 gennaio 2019 15:25