none
Gestione Dominio e Active Directories tra sede centrale e sede remota collegate tramite VPN RRS feed

  • Domanda

  • Buongiorno... probabilmente il mio problema è molto semplice però è la rima volta che mi capita di dover configurare una cosa del genere e desidererei qualche delucidazione se possibile.

    Devo collegare via VPN una nuova sede remota alla sede entrale dove è presente un PDC Windows Server 2003 come unico controller di Dominio (ha i ruoli di DNS Server, DHCP Server e File Server, oltre a gestire qualche applicazione centralizzata). La Subnet di questa rete è 192.168.100.0 / 255.255.255.0.

    Presso la sede remota dovrò installare un Windows Server 2012 Standard che dovrà replicare le Active Directories, fungere da File Server e gestire il Logon di circa 6/8 clients che sono già configurati nel dominio della rete centrale preesistente e dovranno essere spostati nella sede nuova. Da qui sorgono una serie di domande....:

    - Come faccio a fargli vedere il PDC in modo che si possano sincronizzare?

    - Dato che non posso mantenere la stessa Subnet tramite VPN dovrò configurare la nuova rete tipo 192.168.101.0 /255.255.0.0 e midificare la subnet di quella centrale in 255.255.0.0?

    - Una volta aggiunto il nuovo Server al Dominio, è consigliato promuoverlo a PDC o BDC? e fargli Gestire DNS e DHCP per la sede remota?

    Mi scuso se le domande possono sembrare stupide... ma ho veramente bisogno di aiuto per partire con il piede giusto.

    Grazie in anticipo per la vostra attenzione..

    Luca Sabia

    lucasabia@hotmail.com

    martedì 24 giugno 2014 08:23

Risposte

  • 1) la soluzione migliore per la tua prima domanda è utilizzare in entrambe le reti un router che attivi la connessione vpn site-to-site, in questo modo le due reti risulteranno unite e il nuovo server non avrà alcuna difficoltà a contattare l'attuale dc permettendoti di joinarlo al dominio e di promuoverlo.

    2) il piano di indirizzi della sede remota deve essere diverso da quello della sede centrale quindi potrai usare anche un 192.168.1.X 255.255.255.0.

    3) pdc e bdc non si usano più come concetti (risalgono ai tempi di windows nt 4.0). saranno tutti semplicemente DC (aldilà dei ruoli fsmo) ed è consigliato caldamente che il nuovo dc win2k12 sia anche DNS, global catalog e dhcp server.

    ciao.


    Edoardo Benussi
    Microsoft MVP - Directory Services
    edo[at]mvps[dot]org

    martedì 24 giugno 2014 08:49
    Moderatore
  • no, non devi fare niente perchè saranno i due Nethesis ad inoltrare i pacchetti verso la rete corretta in base alle regole di routing

    Edoardo Benussi
    Microsoft MVP - Directory Services
    edo[at]mvps[dot]org

    martedì 24 giugno 2014 13:03
    Moderatore
  • Aggiungo a quanto detto da Edoardo di creare due site, configurare le rispettive subnet, e configurare computer, utenti e GPO in funzione del site di appartenenza.

    Ciao


    Andrea Sistarelli
    Datacen srl - Consulenza informatica

    martedì 24 giugno 2014 14:02
  • Active Directory crea una struttura a livello logico, i site consentono di collegare questa struttura logica alla struttura fisica della rete stessa, dividendo sostanzialmente i computer in funzione dei collegamenti tra di loro e gestendo le repliche tra i domain controller.

    Per un approfondimento leggi qua: http://technet.microsoft.com/en-us/library/cc730868.aspx

    Ciao


    Andrea Sistarelli
    Datacen srl - Consulenza informatica

    mercoledì 25 giugno 2014 04:34
  • Puoi fare l'installazione nel site principale, attendere che tutto si sia replicato, cambiare la configurazione di rete e spedire il nuovo DC.

    Puoi fare l'installazione IFM (Installation from media).

    Oppure puoi fare l'installazione direttamente nella sede remota con la configurazione di rete già corretta.

    A meno che tu non abbia un'Active Directory molto corposa ti consiglio l'ultima opzione, impostando come DNS quello del server DNS della sede centrale e avendo pazienza per la durata della replica.

    Ciao


    Andrea Sistarelli
    Datacen srl - Consulenza informatica

    • Contrassegnato come risposta Luca Sabia giovedì 26 giugno 2014 10:45
    giovedì 26 giugno 2014 10:00
  • esatto

    Edoardo Benussi
    Microsoft MVP - Directory Services
    edo[at]mvps[dot]org

    • Contrassegnato come risposta Luca Sabia giovedì 26 giugno 2014 10:45
    giovedì 26 giugno 2014 10:05
    Moderatore

Tutte le risposte

  • 1) la soluzione migliore per la tua prima domanda è utilizzare in entrambe le reti un router che attivi la connessione vpn site-to-site, in questo modo le due reti risulteranno unite e il nuovo server non avrà alcuna difficoltà a contattare l'attuale dc permettendoti di joinarlo al dominio e di promuoverlo.

    2) il piano di indirizzi della sede remota deve essere diverso da quello della sede centrale quindi potrai usare anche un 192.168.1.X 255.255.255.0.

    3) pdc e bdc non si usano più come concetti (risalgono ai tempi di windows nt 4.0). saranno tutti semplicemente DC (aldilà dei ruoli fsmo) ed è consigliato caldamente che il nuovo dc win2k12 sia anche DNS, global catalog e dhcp server.

    ciao.


    Edoardo Benussi
    Microsoft MVP - Directory Services
    edo[at]mvps[dot]org

    martedì 24 giugno 2014 08:49
    Moderatore
  • Grazie per la risposta velocissima...

    Riguardo al punto 1)... Le due sedi hanno IP Pubblici Statici per cui avrò due firewall Linux Nethesis (basati su IPCop) che gestiranno Proxy HTTP, Filtro Contenuti, Port Forwarding vari ed appunto la OpenVPN net-to-net che mi può lavorare anche dietro NAT. Pre fare in modo che la rete nuova veda la rete della sede centrale non devo cambiare entrambe le subnet a 255.255.0.0?


    Luca Sabia lucasabia@hotmail.com

    martedì 24 giugno 2014 09:14
  • no, non devi fare niente perchè saranno i due Nethesis ad inoltrare i pacchetti verso la rete corretta in base alle regole di routing

    Edoardo Benussi
    Microsoft MVP - Directory Services
    edo[at]mvps[dot]org

    martedì 24 giugno 2014 13:03
    Moderatore
  • Aggiungo a quanto detto da Edoardo di creare due site, configurare le rispettive subnet, e configurare computer, utenti e GPO in funzione del site di appartenenza.

    Ciao


    Andrea Sistarelli
    Datacen srl - Consulenza informatica

    martedì 24 giugno 2014 14:02
  • Grazie Edoardo!

    Luca Sabia lucasabia@hotmail.com

    martedì 24 giugno 2014 19:22
  • Ciao Andrea... cosa intendi per creare due site? come faccio? c'è una guida?

    Luca Sabia lucasabia@hotmail.com

    martedì 24 giugno 2014 19:23
  • Active Directory crea una struttura a livello logico, i site consentono di collegare questa struttura logica alla struttura fisica della rete stessa, dividendo sostanzialmente i computer in funzione dei collegamenti tra di loro e gestendo le repliche tra i domain controller.

    Per un approfondimento leggi qua: http://technet.microsoft.com/en-us/library/cc730868.aspx

    Ciao


    Andrea Sistarelli
    Datacen srl - Consulenza informatica

    mercoledì 25 giugno 2014 04:34
  • Ok... a questo punto è preferibile che io faccia le procedure di Join al Dominio e promozione a Domain Controller presso la sede centrale utilizzando la subnet della sede centrale e cambiando la subnet e l'indirizzo IP del nuovo Server quando mi sposto nella sede remota OPPURE faccio tutto già dalla sede remota tramite VPN? Nei DNS del Server Nuovo dovrò mettare come primario il DNS del Server della sede centrale prima di tentare il Join al dominio, vero?

    Luca Sabia lucasabia@hotmail.com


    • Modificato Luca Sabia mercoledì 25 giugno 2014 09:04 correzione grammaticale
    mercoledì 25 giugno 2014 07:36
  • Grazie... mi metto a studiare...

    Luca Sabia lucasabia@hotmail.com

    mercoledì 25 giugno 2014 07:41
  • Ok... a questo punto è preferibile che io faccia le procedure di Join al Dominio e promozione a Domain Controller presso la sede centrale utilizzando la subnet della sede centrale e cambiando la subnet e l'indirizzo IP del nuovo Server quando mi sposto nella sede remota OPPURE faccio tutto già dalla sede remota tramite VPN? Nei DNS del Server Nuovo dovrò mettare come primario il DNS del Server della sede centrale prima di tentare il Join al dominio, vero?

    Luca Sabia lucasabia@hotmail.com

    giovedì 26 giugno 2014 09:52
  • Puoi fare l'installazione nel site principale, attendere che tutto si sia replicato, cambiare la configurazione di rete e spedire il nuovo DC.

    Puoi fare l'installazione IFM (Installation from media).

    Oppure puoi fare l'installazione direttamente nella sede remota con la configurazione di rete già corretta.

    A meno che tu non abbia un'Active Directory molto corposa ti consiglio l'ultima opzione, impostando come DNS quello del server DNS della sede centrale e avendo pazienza per la durata della replica.

    Ciao


    Andrea Sistarelli
    Datacen srl - Consulenza informatica

    • Contrassegnato come risposta Luca Sabia giovedì 26 giugno 2014 10:45
    giovedì 26 giugno 2014 10:00
  • esatto

    Edoardo Benussi
    Microsoft MVP - Directory Services
    edo[at]mvps[dot]org

    • Contrassegnato come risposta Luca Sabia giovedì 26 giugno 2014 10:45
    giovedì 26 giugno 2014 10:05
    Moderatore
  • ok! Grazie Mille!!!

    Luca Sabia lucasabia@hotmail.com

    giovedì 26 giugno 2014 10:45