none
Consiglio configurazione Domain Controller per piccolo dominio RRS feed

  • Domanda

  • Ciao a tutti, ho necessità di sostituire l'attuale server realizzato con componenti desktop con un server HP in formato rack, di qualche anno ma più che sufficiente per il lavoro che dovrà andare a svolgere. 

    Funzionalità necessarie:
    Domain controller, active directory, DNS, DHCP. Circa 12 client nel dominio che accedono a cartelle condivise contenti i file. 

    Attualmente tutte le funzionalità sono installate sullo stesso server che fa sia da DC che da file server. Inoltre fa anche da router, è dotato di 2 schede di rete una collegata al router dell'ISP e l'altra allo switch della LAN. 

    Leggendo un po' di documentazione ho visto che è preferibile far fare al domain controller solo quella funzione; tenendo presente che comunque il server fisico sarà solo uno cosa mi consigliate di fare? Virtualizzare il DC? Inoltre come sarebbe meglio gestire le funzionalità di routing? Non voglio collegare direttamente il router allo switch della LAN, ma far gestire il DHCP al server. 

    sabato 4 aprile 2020 21:30

Risposte

  • Conviene sempre virtualizzare, ma i ruoli DC,DNS e DHCP possono convivere sullo stesso server virtuale senza problemi e con un'unica scheda di rete (al contrario è sconsigliato averne più di una).
    La funzionalità di DHCP non necessita del ruolo RRAS, che serve invece per gestire eventualmente delle VPN o degli accessi dall'esterno. RRAS necessita di più di una scheda di rete ma a mio parere, potendo spendere per un buon firewall, è meglio far gestire tutte queste funzioni direttamente ad un apparto hardware.
    domenica 5 aprile 2020 10:33
    Moderatore

Tutte le risposte

  • Conviene sempre virtualizzare, ma i ruoli DC,DNS e DHCP possono convivere sullo stesso server virtuale senza problemi e con un'unica scheda di rete (al contrario è sconsigliato averne più di una).
    La funzionalità di DHCP non necessita del ruolo RRAS, che serve invece per gestire eventualmente delle VPN o degli accessi dall'esterno. RRAS necessita di più di una scheda di rete ma a mio parere, potendo spendere per un buon firewall, è meglio far gestire tutte queste funzioni direttamente ad un apparto hardware.
    domenica 5 aprile 2020 10:33
    Moderatore
  • Però se utilizzo una sola scheda di rete vuol dire che il router lo devo collegare direttamente allo switch, dunque non mi servirebbe più il ruolo di DHCP in quanto l'assegnazione degli IP la farebbe direttamente il router. O sbaglio? 
    Attualmente è implementato il ruolo RRAS 

    Come descritto la rete è semplice e di piccole dimensioni. Però mi piacerebbe strutturarla nel modo migliore cosicché se in futuro ci fosse bisogno di aggiungere nuove funzionalità sia possibile farlo. 

    Quindi riepilogando creo un unico server virtuale e gli installo i ruoli necessari. L'idea del firewall hardware l'ho già valutata e in futuro sicuramente lo aggiungerò. 
    domenica 5 aprile 2020 19:51
  • Se il router ha il NAT abilitato e un suo firewall basilare integrato non andresti a esporre direttamente il server ma, ovviamente, trattandosi di una rete aziendale è vivamente raccomandato l'acquisto di un firewall hardware da posizionare tra router e rete locale.
    In genere su tutti i router può essere disabilitato il DHCP, basterà poi impostare correttamente nell'ambito il range e l'indirizzo del gateway.
    Secondo il mio personale parere RRAS quando possibile è meglio evitarlo, quindi ti consiglio di acquistare un firewall già con il supporto VPN integrato così fai direttamente tutto con quello.
    Anche volendo implementare un router/firewall software a mio parere sarebbe meglio farlo comunque girare su altro hardware e non su una seconda macchina virtuale. 

    PS: Il DHCP deve essere obbligatoriamente integrato nel DC in presenza di client in dominio. Nulla però ti vieta, avendo un router vero, di creare una rete statica per i computer in dominio e ad esempio una in DHCP solo per i client in wifi fuori dominio. 

    domenica 5 aprile 2020 22:34
    Moderatore
  • Ciao, dico anche io la mia.

    La mia regola di base è separa e semplifica, ovvero.

    Una licenza WINDOWS Server standard ti permette due virtualizzazioni, siccome stai aggiornando l'infrastruttura, pensala già con un sopporto HW minimo adeguato, a prescindere ti consiglio 32 Gb di RAM.

    Un Server che fa da DCO/DHCP/DNS e tutti i ruoli di dominio che ti servono, il secondo server che ti fa da File ed Application server, puoi mettergli anche i ruolo di print server, in quanto molti software di gestione delle multifunzione/stampanti, tendono ad installarti servizi WEB ( una vultenaribilità in più da evitare su un Domain Controller).

    Per quanto riguarda la parte accessi dall'esterno, sottoscrivo quanto scritto da Fabrizio, firewall hardware che ti faccia anche da VPN.

    Oggi ci sono prodotti a bassissimo costo che te lo fanno come degli Zyxel, oppure ti sposti su costi medi più alti, ma volendo puoi anche avere molto di più, dipende da cosa cerchi oltre alla VPN.

    Inutile dire che la sicurezza si mette prima di tutto, pensa anche ad un software di backup installato sul nodo hyper-V che ti faccia le due VM ( Veeam ad esempio è un ottimo prodotto pure economico nella tua configurazione )

    Insomma, cose per divertirti ne hai, in bocca al lupo .

    lunedì 6 aprile 2020 06:35
  • Grazie per le dritte.

    Proverò certamente così, ho licenza Windows server 2019 std quindi 2 VM posso metterle su. Quindi il concetto è che l'installazione fisica di windows server 2019 farà esclusivamente girare le 2 VM? 

    Come dicevo il server a disposizione è un po' datato ma certamente meglio di quello usato fino ad ora (che non ha componenti server) mi sorge solo il dubbio su quante risorse assegnare rispettivamente al server che fa DCO/DHCP/DNS e quante al file/print server. 

    2 Xeon quad core e 24 GB di RAM

    Inoltre, visto che ero già partito con la configurazione simile a quella esistente, sarà opportuno che formatti e faccia un'installazione da zero, c'è una procedura per disattivare la licenza prima di formattare? Oppure formatto e poi posso riattivare la licenza tramite normale procedura.

    lunedì 6 aprile 2020 13:27