none
DC in sede remota e Subnets in "Active Directory sites and services". RRS feed

  • Domanda

  • Ho due sedi remote connesse direttamente alla nostra in VPN. Una di queste sedi, funge inoltre da "centro stella" per una serie di altri siti collegati tra loro tramite ponti radio ed ognuno di questi siti ha una sua sottorete.

     A breve dovrò installare un DC in questo "centro stella" e l'idea è quella di fare in modo che questo DC risulti come "preferenziale" per le interrogazioni al dominio provenienti da quei siti per migliorare le prestazioni connesse all'interrogazione del dominio, ridurre il traffico sulla VPN e soprattutto per avere una replica remota del dominio utilizzabile per il recovery in caso di disastro o comunque di problemi presso la sede principale. Mi chiedevo quindi quale fosse il modo più corretto ed efficiente per realizzare questa cosa.

     Leggendo qui e qui ho trovato una spiegazione di quel misterioso menù che è, appunto, "Active Directory sites and services". Ora i DC sono tutti presso la nostra sede quindi in AD abbiamo solo il sito che si chiama "nome-predefinito-primo-sito" e nessuna subnet configurata nel relativo menù.

     Se ho interpretato bene, il best per la mia situazione sarebbe quello di creare un secondo "Site", assegnarlo a tutte le subnet esistenti dal lato della sede "centro stella" e dei ponti radio e assegnare il “Nome-predefinito-primo-sito" alla subnet “locale” e a quella dell'altra sede connessa direttamente a noi e non dotata di DC. Infine, dovrei aggiungere il DC che andrà nella sede “centro stella” in AD ed assegnarlo al secondo “Site”.

      A questo punto, se ho capito bene, appena replicata la modifica in tutta la struttura tutti i client presenti nelle subnet assegnate al secondo “Site” faranno automaticamente riferimento al DC del “centro stella” e gli altri client ai DC assegnati al sito predefinito. Si tratta poi di aggiustare lo scope dei vari DHCP per assegnare come DNS primario il DC previsto.

      Corretto?

      Ci sono altri passi da fare per la configurazione delle repliche tra DC? Quali problemi mi posso aspettare? Eventuali subnet “non specificate” in ADSS a quale DC fanno riferimento? Al detentore dei ruoli FSMO o a quello più vicino?

      In caso di down dei DC assegnati ad un determinato “Site” i client interrogano automaticamente quelli assegnati agli altri “Site” (se raggiungibili) oppure c'è da fare qualche impostazione aggiuntiva per ottenere questo configurazione?

    giovedì 17 marzo 2011 19:30

Risposte

  • Allora : una stessa subnet non può fare parte di due siti.

    Due D.C. situati nello stesso sito replicheranno immediatamente tutte le modifiche ad A.D., mentre per i D.C. residenti su siti diversi, puoi decidere quando far passare le repliche sui "connettori".

    Questo vuol dire che creare un sito unico per incorporare due D.C. facenti parte di reti non "ben connesse" (meno di 10 Mbs) non è consigliabile

    Inoltre tutti i clients da Windows 2000 in poi sono "site aware", per cui PREFERIRANNO autenticarsi su un D.C. del loro sito (fermo restando che in mancanza di alternative "locali", useranno un qualsiasi D.C. del dominio).

    Ora, il tuo scenario non mi è chiarissimo ma le indicazioni di cui sopra dovrebbero aiutarti.


    Fabrizio Volpe
    MVP Directory Services
    MCSE (NT4)(2000)(2003) - MCSA (2003)
    MCTS (SQL 2005)(Exchange 2007)(Windows 2008)
    Fortinet Certified Network Security Professional (FCNSP)
    Fabrizio[_dot_]Volpe[_at_]GMX[_dot_]com
    giovedì 17 marzo 2011 19:40

Tutte le risposte

  • Allora : una stessa subnet non può fare parte di due siti.

    Due D.C. situati nello stesso sito replicheranno immediatamente tutte le modifiche ad A.D., mentre per i D.C. residenti su siti diversi, puoi decidere quando far passare le repliche sui "connettori".

    Questo vuol dire che creare un sito unico per incorporare due D.C. facenti parte di reti non "ben connesse" (meno di 10 Mbs) non è consigliabile

    Inoltre tutti i clients da Windows 2000 in poi sono "site aware", per cui PREFERIRANNO autenticarsi su un D.C. del loro sito (fermo restando che in mancanza di alternative "locali", useranno un qualsiasi D.C. del dominio).

    Ora, il tuo scenario non mi è chiarissimo ma le indicazioni di cui sopra dovrebbero aiutarti.


    Fabrizio Volpe
    MVP Directory Services
    MCSE (NT4)(2000)(2003) - MCSA (2003)
    MCTS (SQL 2005)(Exchange 2007)(Windows 2008)
    Fortinet Certified Network Security Professional (FCNSP)
    Fabrizio[_dot_]Volpe[_at_]GMX[_dot_]com
    giovedì 17 marzo 2011 19:40
  •  Sì, direi che ti sei spiegato benissimo.

     

    In totale, mi troverei con 3 DC: i due appartenenti alla LAN presso il sito principale ed uno presso il sito remoto.

    Il sito remoto, sarebbe composto da 5 subnet connesse tra loro dai ponti radio (54mbit) mentre il collegamento tra i due siti avverrebbe attraverso l'attuale VPN (che si appoggia dal lato remoto su due hdsl 4mbit, da noi ci sono due hdsl 8mbit in odore di essere sostituite dalla fibra "Top" a breve) Dal lato remoto la connessione è difficilmente migliorabile però visto che ora sostiene il traffico di dominio di tutta la struttura (compresi posta, antivirus, RDP,...) dovrebbe essere sufficiente.

    giovedì 17 marzo 2011 19:54
  • Si, considera che la definizione di sito è proprio "una o più subnet ben connesse fra di loro" dove per convenzione una buona connessione sono appunto i fatidici 10 Mbs,

    Nel tuo caso non dovresti riscontrare particolari criticità, anche perchè se ti sono sufficienti 3 D.C., vuol dire che non c'è un uso o un aggiornamento delle A.D. particolarmente "spinto".


    Fabrizio Volpe
    MVP Directory Services
    MCSE (NT4)(2000)(2003) - MCSA (2003)
    MCTS (SQL 2005)(Exchange 2007)(Windows 2008)
    Fortinet Certified Network Security Professional (FCNSP)
    Fabrizio[_dot_]Volpe[_at_]GMX[_dot_]com
    giovedì 17 marzo 2011 21:24
  • Stavo spulciando le "Properties" dei due DC registrate in ADSS e nella label "Attribute Editor" vedo che c'è anche un attributo "networkAddress" impostato come <not set>.

    Questo sarebbe meglio impostarlo, anche nell'ottica di creare una seconda zona? Dovrebbe essere l'IP del server, corretto?

    martedì 22 marzo 2011 10:54