none
Inizio configurazione DC RRS feed

  • Domanda

  • Buongiorno a tutti.
    Dovrei installare un 2k8 R2 DC partendo da zero, in più dovrei installare anche il server di backup x eventuali failover del DC main.
    X me è la prima installazione e chiedo gentilmente della documentazione.

    Grazie

    venerdì 16 settembre 2011 13:37

Risposte

  • per il primo domain controller segui questo tutorial

    http://www.windowsnetworking.com/articles_tutorials/Running-Windows-Server-2008-R2-Installing-Creating-Lab-Domain-Controller-Part1.html

    poi torna a scrivere quando avrai preparato il primo dc.

    ciao.


    Edoardo Benussi
    Microsoft MVP - Management Infrastructure
    edo[at]mvps[dot]org
    venerdì 16 settembre 2011 13:53
    Moderatore
  • per il primo domain controller segui questo tutorial

    http://www.windowsnetworking.com/articles_tutorials/Running-Windows-Server-2008-R2-Installing-Creating-Lab-Domain-Controller-Part1.html

    poi torna a scrivere quando avrai preparato il primo dc.


    Giusto alcune note in aggiunta a quanto suggerito da Edo; prima di procedere con l'installazione vera e propria, assicurati che l'infrastuttura sia stata correttamente configurata, che vi sia un firewall perimetrale opportunamente configurato e che in fase di installazione il server abbia accesso ad internet; questo è necessario onde permettere ad alcune componenti (in special modo il server DNS) di configurarsi correttamente.

    Oltre a ciò, prima di procedere con l'installazione, sarebbe opportuno metter giù (magari su un pezzo di carta) le varie informazioni come ad esempio, subnet, netmask, default gateway e decidere anche come chiamare il server (dc01 non sarebbe una cattiva idea); inoltre, per il nome del dominio, evita di usare nomi "non FQDN" come ad esempio "dominio" ma utilizza nomi come "dominio.local" in modo da evitare futuri problemi, anzi, nel caso in cui tu abbia già un dominio pubblico registrato, potrebbe essere una buona idea utilizzare per l'infrastuttura AD un sottodominio dello stesso, ad esempio, se il tuo dominio pubblico è "example.com", potresti usare come dominio "AD" per la tua rete "ad.example.com"

     

    • Contrassegnato come risposta Anca Popa venerdì 23 settembre 2011 08:38
    venerdì 16 settembre 2011 14:43

Tutte le risposte

  • per il primo domain controller segui questo tutorial

    http://www.windowsnetworking.com/articles_tutorials/Running-Windows-Server-2008-R2-Installing-Creating-Lab-Domain-Controller-Part1.html

    poi torna a scrivere quando avrai preparato il primo dc.

    ciao.


    Edoardo Benussi
    Microsoft MVP - Management Infrastructure
    edo[at]mvps[dot]org
    venerdì 16 settembre 2011 13:53
    Moderatore
  • per il primo domain controller segui questo tutorial

    http://www.windowsnetworking.com/articles_tutorials/Running-Windows-Server-2008-R2-Installing-Creating-Lab-Domain-Controller-Part1.html

    poi torna a scrivere quando avrai preparato il primo dc.


    Giusto alcune note in aggiunta a quanto suggerito da Edo; prima di procedere con l'installazione vera e propria, assicurati che l'infrastuttura sia stata correttamente configurata, che vi sia un firewall perimetrale opportunamente configurato e che in fase di installazione il server abbia accesso ad internet; questo è necessario onde permettere ad alcune componenti (in special modo il server DNS) di configurarsi correttamente.

    Oltre a ciò, prima di procedere con l'installazione, sarebbe opportuno metter giù (magari su un pezzo di carta) le varie informazioni come ad esempio, subnet, netmask, default gateway e decidere anche come chiamare il server (dc01 non sarebbe una cattiva idea); inoltre, per il nome del dominio, evita di usare nomi "non FQDN" come ad esempio "dominio" ma utilizza nomi come "dominio.local" in modo da evitare futuri problemi, anzi, nel caso in cui tu abbia già un dominio pubblico registrato, potrebbe essere una buona idea utilizzare per l'infrastuttura AD un sottodominio dello stesso, ad esempio, se il tuo dominio pubblico è "example.com", potresti usare come dominio "AD" per la tua rete "ad.example.com"

     

    • Contrassegnato come risposta Anca Popa venerdì 23 settembre 2011 08:38
    venerdì 16 settembre 2011 14:43
  • Ne approfitto della vs gentilezza.

    + o - questo è quello che devo fare:

    DC main + DC Backup (DNS + DHCP)


    Sui server ci saranno 4 domini:

    miodominio.local (primario)
    cliente1.local
    cliente2.local
    cliente3.local

    Pensavo di preparare i Server Main+Backup con il miodominio e poi aggiungere i clienti.

    Nella rete ci saranno i vari client e un File Server. 

    Tutta l'ifrastruttura non accederà alla rete pubblica (se non deciso da me in modo locale), in un secondo tempo dovrò provvedere a inserire un Server di aggiornamento.

    venerdì 16 settembre 2011 15:39

  • Sui server ci saranno 4 domini:

    miodominio.local (primario)
    cliente1.local
    cliente2.local
    cliente3.local


    Aspetta un secondo; i domini aggiuntivi a cosa ti servono ? Mi spiego, se si tratta di domini "child" (ad esempio relativi a sedi remote connesse su VPN o simile) sarebbe opportuno valutare come strutturare AD; inoltre potrebbe essere opportuno valutare l'uso di "child domains", ad esempio

    dominio.local
    sede1.dominio.local
    sede2.dominio.local
    sede3.dominio.local
    
    

    ma, in qualsiasi caso, prima di quanto sopra, dovresti fornire ulteriori informazioni sullo scopo di questi domini aggiuntivi e su quello che vuoi ottenere al termine della configurazione del tutto

     

    venerdì 16 settembre 2011 15:47
  • I Domini Clienti sono domini fatti perchè nella sede ci sono 4 aree ben distinte x diversi clienti completamente indipendenti.
    Tutti i clienti accedono al DC server e al File Server attraverso il loro dominio:

     

    Pensavo di fare dei Domini Child

    xxx.miodominio.com

    pippo.cliente1.miodominio.com
    pluto.cliente2.miodominio.com
    pietro.cliente3.miodominio.com

    e ogni cliente accedesse SOLO alle cartelle condivise con il suo dominio.
    Cioè pensavo di poter gestire gli accessi al File Server attraverso i domini.


    In futuro ci saranno altre risorse, stampanti, plotter etc etc sempre gestiti attraverso i domini.

    Vi sembra corretto?



    venerdì 16 settembre 2011 16:02
  • Forse sono troppo fuori strada??

     

    sabato 17 settembre 2011 12:34
  • la scelta della soluzione dipende da quanta "indipendenza" vogliono avere i tuoi clienti.

    se non richiedono eccessiva indipendenza la soluzione più rapida ed ottimale nel gestire la separazione di risorse è quella di avere un solo dominio dominio.local e tre gruppi di sicurezza che si chiameranno Cliente1, Cliente2, Cliente3; gruppi nei quali metterai gli account utente di ciascun cliente ed assegnerai i permessi di accesso alle risorse assegnandoli direttamente al gruppo.

    se, al contrario, i tuoi clienti richiedono "molta indipendenza" tale dal voler avere il proprio dominio personalizzato col proprio nome, l'unica soluzione è quella di avere tre server distinti che siano domain controller ciascuno del proprio dominio che sarà cliente1.local, cliente2.local, cliente3.local.

    la soluzione dei domini child è solamente un palliativo per trarre in inganno dei clienti che capiscono poco di infrastruttura active directory.

    ciao.


    Edoardo Benussi
    Microsoft MVP - Management Infrastructure
    edo[at]mvps[dot]org
    domenica 18 settembre 2011 06:36
    Moderatore
  • Gazie Edoardo, sempre preziosissimo.

    Per motivi politici-commerciali i tre clienti dovranno accedere  loggandosi in maniera distinta.
    Cioè, non posso creare solo  miodominio.local ma ogni cliente vorrebbe avere il suo nome distinto quando si logga.
    Non è importante che abbiano un dominio vero ma che almeno nel loggarsi ci sia il loro nome.

    utente.cliente1.miodominio.local
    utente.cliente2.miodominio.local
    utente.cliente3.miodominio.local

    Chiaramente le risorse dovranno essere ben distinte e non accessibili da un cliente a un'altro.
    E' davvero importante xkè sono concorrenti tra loro.

    Si può fare con i gruppi o in altro modo?

    Grazie per la pazienza

    domenica 18 settembre 2011 11:59
  • E' davvero importante xkè sono concorrenti tra loro.


    in tal caso sarebbe proprio il caso di avere domini distinti a meno che le risorse che intendi fornire a questi clienti non siano erogabili in maniera diversa dal semplice file system. penso ad esempio ad una web app opportunamente strutturata.
    Edoardo Benussi
    Microsoft MVP - Management Infrastructure
    edo[at]mvps[dot]org
    lunedì 19 settembre 2011 06:45
    Moderatore
  • in tal caso sarebbe proprio il caso di avere domini distinti a meno che le risorse che intendi fornire a questi clienti non siano erogabili in maniera diversa dal semplice file system. penso ad esempio ad una web app opportunamente strutturata.

    Edo... una domanda; considerando che la gestione dei vari "domini" (se ho capito bene) dovrebbe essere centralizzata, ossia i vari clienti NON avranno capacità amministrative sugli stessi... non sarebbe ipotizzabile una gestione semplificata usando un unico dominio e diversi gruppi di utenze ? In alternativa si potrebbero creare domini multipli, ma in questo caso sarà necessario pianificare attentamente la struttura AD ed i trust onde evitare "interazioni" indesiderate :)

     

    lunedì 19 settembre 2011 07:36
  • Vista l'importanza di tenere ben distinti i clienti, non mi spaventa di avere un server per ogni cliente.
    Quello che mi frena è che dovrei avere Main e BackUp di ogni server, dico giusto?


    Domanda: se utilizzo i gruppi (che non so cosa sono) quindi convinco i capi ad avere un solo dominio "miodominio.it" e loggare tutti i clienti con "Utente.miodominio.it" mi assicurate la gestione riservata degli utenti e delle risorse di rete modo completamente sicuro?

    lunedì 19 settembre 2011 07:45
  • infatti quella del singolo dominio e i gruppi di sicurezza era la prima soluzione che avevo prospettato :)
    Edoardo Benussi
    Microsoft MVP - Management Infrastructure
    edo[at]mvps[dot]org
    lunedì 19 settembre 2011 09:13
    Moderatore
  • un'accurata configurazione delle acl rende perfettamente blindate le cartelle e le risorse destinate ad un gruppo piuttosto che ad un altro.
    Edoardo Benussi
    Microsoft MVP - Management Infrastructure
    edo[at]mvps[dot]org
    lunedì 19 settembre 2011 09:14
    Moderatore
  • infatti quella del singolo dominio e i gruppi di sicurezza era la prima soluzione che avevo prospettato :)

    Lo so, Edo... solo che prima di andare in una direzione o un'altra era necessario capire cosa volesse/dovesse fare "barabba" :)

    C'è da dire che, sebbene la soluzione dominio unico + ACL sia più immediata, bisognerà prestare attenzione alle ACL onde evitare di lasciare aperti dei "buchi" (visto che il risultato da ottenere è l'isolamento dei vari gruppi di utenza); l'alternativa, come già prospettato, è quella di avere un dominio "master" e dei domini separati per ciascun gruppo di utenze, ciascuno con il proprio DC (un ambiente virtualizzato sarebbe ottimale); in questo caso basterebbe impostare opportunamente le relazioni di "trust" per evitare problemi; ovvio che questa seconda soluzione è più complessa da implementare, di contro, potrebbe fornire un livello di "separazione" migliore e, forse, essere più facile da gestire e maggiormente espandibile (ad esempio i DC potrebbero essere installati presso i singoli clienti e connessi in VPN)

     

    lunedì 19 settembre 2011 10:22
  • Ciao barabba,

    Mi sono permessa di evidenziare alcune delle risposte ricevute per aiutare gli altri utenti del Forum a trovare la soluzione piu' rapidamente.

    Intanto se ci sono delle notizie, la discussione puo' continuare su questa pagina.

    Saluti,


    Anca Popa Follow ForumTechNetIt on Twitter

    Come inserire immagini nei post

    Microsoft offre questo servizio gratuitamente, per aiutare gli utenti e aumentare il database dei prodotti e delle tecnologie. Il contenuto viene fornito “così come è” e non comporta alcuna responsabilità da parte dell'azienda

    venerdì 23 settembre 2011 08:41