none
AD e DNS RRS feed

  • Domanda

  • Ciao a tutti :)
    Innanzitutto auguro buone feste a tutti gli utenti :D

    Volevo una vostra opinione su un progetto che sto per cominciare.

    Un mio cliente ha bisogno di creare un sottodominio per avere l'amministrazione della branch italiana invece che lasciarla a qualche sconosciuto che se ne occupa a livello europeo (anche per una questione di lentezza nell'erogazione dei servizi richiesti).
    Metteremo quindi in piedi una nuova infrastruttura virtuale. Mi chiedevo: secondo voi è una buona idea avere i 2 Active Directory che facciano anche da DNS (primario e secondario)? Diciamo che per ora gli AD dovranno gestire circa 150 utenti.

    Grazie anticipatamente per le risposte e ancora auguri :) 

    sabato 24 dicembre 2011 15:22

Risposte

  • Il tipo di soluzione da adottare è dipendente dal tipo di infrastruttura che si ha o che si pensa di realizzare, facendo un attenta analisi dei vantaggi/svantaggi, costi delle diverse  implementazioni, dislocazioni dei DC, tipo di connettività etc.

    Consiglio vivamente la lettura di

    Procedure consigliate per impostazioni del client DNS in Windows 2000 Server e in Windows Server 2003 http://support.microsoft.com/kb/825036

     

    Ciao


    Gastone Canali >http://www.armadillo.it
    mercoledì 4 gennaio 2012 13:34
    Moderatore
  • Ciao a tutti :)
    Innanzitutto auguro buone feste a tutti gli utenti :D

    Volevo una vostra opinione su un progetto che sto per cominciare.

    Un mio cliente ha bisogno di creare un sottodominio per avere l'amministrazione della branch italiana invece che lasciarla a qualche sconosciuto che se ne occupa a livello europeo (anche per una questione di lentezza nell'erogazione dei servizi richiesti).
    Metteremo quindi in piedi una nuova infrastruttura virtuale. Mi chiedevo: secondo voi è una buona idea avere i 2 Active Directory che facciano anche da DNS (primario e secondario)? Diciamo che per ora gli AD dovranno gestire circa 150 utenti.

    Grazie anticipatamente per le risposte e ancora auguri :) 


    Ciao e... ricambio gli auguri !!

     

    Credo che sia il caso che tu fornisca ulteriori dettagli; ad esempio relativamente al tipo di collegamento con le sedi remote; se questo (come spero) avviene su VPN, credo che un buon approccio potrebbe essere quello di installare dei DC nelle varie sedi secondarie e farli fungere da DNS e DHCP; inoltre le varie sedi portranno essere configurate (in AD) come "child domain" (con i necessari trusts); per fare un esempio, supponiamo che il dominio principale dell'azienda in questione sia "example.com" e, sempre per fare un esempio, supponiamo di avere due quattro sedi remote; due in Italia, a Roma e Milano, una in Cina, a Pechino ed una in Russia a Smolensk... ora... in uno scenario di questo genere potremmo avere qualcosa di questo tipo

    example.com

    it.rm.example.com

    it.mi.example.com

    cn.bj.example.com

    ru.sk.example.com

     

    a questo punto avremo vari DC e questi gestiranno sia il dominio AD principale sia i vari sottodomini, questi ultimi avranno delle relazioni di "trust" con il dominio principale che ti permetteranno non solo di delegare l'amministrazione delle sedi remote, ma anche di utilizzare delle GPO e delle impostazioni globali in modon da garantire il rispetto globale delle policies ed allo stesso tempo permettere agli amministratori delle sedi remote una certa libertà di movimento

     

     

    • Contrassegnato come risposta Anca Popa martedì 24 gennaio 2012 13:41
    mercoledì 28 dicembre 2011 14:21
  • Si per il momento è tutto su un'unica sede. Ma ci sono in giro voci sempre più insistenti che nel giro di un paio d'anni le sedi diventeranno 2-3. In tal caso sarebbe meglio dividere i servizi di DC e DNS su server diversi? 


    è sempre consigliabile che ohni domain controller sia anche dns del dominio perchè le query verso active directory iniziano sempre con una query al dns server pertanto separare il ruolo di dc dal ruolo di dns su due macchine diverse non ha alcun senso ed è una cosa da non fare.

    ciao.


    Edoardo Benussi
    Microsoft MVP - Management Infrastructure
    edo[at]mvps[dot]org
    mercoledì 4 gennaio 2012 13:07
    Moderatore

Tutte le risposte

  • Ciao, l'infrastruttura AD si basa su DNS quindi se per "branch" intendi un dominio privato nattato su IP pubblici non vedo altra soluzione.

     

    Saluti

    Nino

    sabato 24 dicembre 2011 15:55
    Moderatore
  • Per "branch" intendo la filiale italiana della società.
    Quello che mi chiedo è se sia una buona idea che i 2 server che faranno da AD facciano anche da servizio DNS o se sia meglio creare altri 2 virtual machine separate che diano solo il servizio di DNS 

    sabato 24 dicembre 2011 16:28
  • Per "branch" intendo la filiale italiana della società.
    Quello che mi chiedo è se sia una buona idea che i 2 server che faranno da AD facciano anche da servizio DNS o se sia meglio creare altri 2 virtual machine separate che diano solo il servizio di DNS 


    Avevo capito che intendevi filiale italiana, quello che volevo sapere e se era distribuita su più sedi. Se sei su un'unica sede puoi utilizzare tranquillamente i due DC.

     

    Saluti

    Nino

    sabato 24 dicembre 2011 17:23
    Moderatore
  • Si per il momento è tutto su un'unica sede. Ma ci sono in giro voci sempre più insistenti che nel giro di un paio d'anni le sedi diventeranno 2-3. In tal caso sarebbe meglio dividere i servizi di DC e DNS su server diversi? 

    sabato 24 dicembre 2011 23:10
  • Se non installi altri servizi sulle macchine che potrebbero rallentarle puoi tranquillamente lasciare i ruoli DC e DNS sulla stessa macchina senza problemi.

    Ciao

     


    Andrea Sistarelli
    MCT-MCSE-MCTS-CCNA
    domenica 25 dicembre 2011 00:02
  • Si per il momento è tutto su un'unica sede. Ma ci sono in giro voci sempre più insistenti che nel giro di un paio d'anni le sedi diventeranno 2-3. In tal caso sarebbe meglio dividere i servizi di DC e DNS su server diversi? 


    Visti i tempi "magri" se aprite altre sedi è segno di sviluppo ovvero di nuovi servizi. Fatta questa riflessione economico/sociale veniamo alla tua domanda.

    Non è semplice rispondere perchè, a mio avviso, non c'è una risposta univoca ma si deve sviluppare un progetto analizzando quali sono le esigenze e su tali esigenze applicare una soluzione.

    Ad esempio potresti avere "semplicemente" la necessità di implementare dei server in sola lettura (RODC) piuttosto che un DC/DNS periferico con distribusione del File System (DFS).

     

    Saluti

    Nino

     

     

    domenica 25 dicembre 2011 07:22
    Moderatore
  • Ciao a tutti :)
    Innanzitutto auguro buone feste a tutti gli utenti :D

    Volevo una vostra opinione su un progetto che sto per cominciare.

    Un mio cliente ha bisogno di creare un sottodominio per avere l'amministrazione della branch italiana invece che lasciarla a qualche sconosciuto che se ne occupa a livello europeo (anche per una questione di lentezza nell'erogazione dei servizi richiesti).
    Metteremo quindi in piedi una nuova infrastruttura virtuale. Mi chiedevo: secondo voi è una buona idea avere i 2 Active Directory che facciano anche da DNS (primario e secondario)? Diciamo che per ora gli AD dovranno gestire circa 150 utenti.

    Grazie anticipatamente per le risposte e ancora auguri :) 


    Ciao e... ricambio gli auguri !!

     

    Credo che sia il caso che tu fornisca ulteriori dettagli; ad esempio relativamente al tipo di collegamento con le sedi remote; se questo (come spero) avviene su VPN, credo che un buon approccio potrebbe essere quello di installare dei DC nelle varie sedi secondarie e farli fungere da DNS e DHCP; inoltre le varie sedi portranno essere configurate (in AD) come "child domain" (con i necessari trusts); per fare un esempio, supponiamo che il dominio principale dell'azienda in questione sia "example.com" e, sempre per fare un esempio, supponiamo di avere due quattro sedi remote; due in Italia, a Roma e Milano, una in Cina, a Pechino ed una in Russia a Smolensk... ora... in uno scenario di questo genere potremmo avere qualcosa di questo tipo

    example.com

    it.rm.example.com

    it.mi.example.com

    cn.bj.example.com

    ru.sk.example.com

     

    a questo punto avremo vari DC e questi gestiranno sia il dominio AD principale sia i vari sottodomini, questi ultimi avranno delle relazioni di "trust" con il dominio principale che ti permetteranno non solo di delegare l'amministrazione delle sedi remote, ma anche di utilizzare delle GPO e delle impostazioni globali in modon da garantire il rispetto globale delle policies ed allo stesso tempo permettere agli amministratori delle sedi remote una certa libertà di movimento

     

     

    • Contrassegnato come risposta Anca Popa martedì 24 gennaio 2012 13:41
    mercoledì 28 dicembre 2011 14:21
  • Si per il momento è tutto su un'unica sede. Ma ci sono in giro voci sempre più insistenti che nel giro di un paio d'anni le sedi diventeranno 2-3. In tal caso sarebbe meglio dividere i servizi di DC e DNS su server diversi? 


    è sempre consigliabile che ohni domain controller sia anche dns del dominio perchè le query verso active directory iniziano sempre con una query al dns server pertanto separare il ruolo di dc dal ruolo di dns su due macchine diverse non ha alcun senso ed è una cosa da non fare.

    ciao.


    Edoardo Benussi
    Microsoft MVP - Management Infrastructure
    edo[at]mvps[dot]org
    mercoledì 4 gennaio 2012 13:07
    Moderatore
  • Il tipo di soluzione da adottare è dipendente dal tipo di infrastruttura che si ha o che si pensa di realizzare, facendo un attenta analisi dei vantaggi/svantaggi, costi delle diverse  implementazioni, dislocazioni dei DC, tipo di connettività etc.

    Consiglio vivamente la lettura di

    Procedure consigliate per impostazioni del client DNS in Windows 2000 Server e in Windows Server 2003 http://support.microsoft.com/kb/825036

     

    Ciao


    Gastone Canali >http://www.armadillo.it
    mercoledì 4 gennaio 2012 13:34
    Moderatore
  • Il tipo di soluzione da adottare è dipendente dal tipo di infrastruttura che si ha o che si pensa di realizzare, facendo un attenta analisi dei vantaggi/svantaggi, costi delle diverse  implementazioni, dislocazioni dei DC, tipo di connettività etc.

    Consiglio vivamente la lettura di

    Procedure consigliate per impostazioni del client DNS in Windows 2000 Server e in Windows Server 2003 http://support.microsoft.com/kb/825036

     

    Ciao


    Gastone Canali >http://www.armadillo.it

    era un mese che cercavo le procedure.... Gastone al solito sei un mito
    martedì 24 gennaio 2012 18:07
  • è sempre consigliabile che ohni domain controller sia anche dns del dominio perchè le query verso active directory iniziano sempre con una query al dns server pertanto separare il ruolo di dc dal ruolo di dns su due macchine diverse non ha alcun senso ed è una cosa da non fare.

    Concordo al 100% (anzi, stavo per scrivere la stessa cosa ma mi hai preceduto :D) aggiungo che, in caso di necessità sarà comunque possibile aggiungere ulteriori DNS senza troppi problemi, quindi non mi sembra il caso andarsi a cercare delle inutili complicazioni in fase di setup del dominio.

    Per quanto poi riguarda il discorso "nuove sedi" (remote) credo di aver già "coperto" quel discorso, resta la mia raccomandazione di valutare l'installazione presso ciascuna sede di (almeno) un server (anche minimale) che funga da DC/DNS/DHCP per quella sede limitando in tal modo il traffico WAN (VPN, si spera) tra le varie sedi e permettendo in qualsiasi caso dei tempi di risposta ridotti.

    mercoledì 25 gennaio 2012 07:50