none
Nuovo Dominio Aziendale e best practice specialmodo DNS RRS feed

  • Discussione generale

  • Buongiorno, premetto che inizieremo l'installazione di un nuovo dominio nel nuovo anno, ma vorrei raccogliere anzitutto un po' di informazioni.

    Quasi certamente sposeremo W2012R2 Standard su due server, in modo da fare un DC e un DC aggiuntivo per "backup".

    Detto questo, è oramai noto, che una volta fatto il DC, i client che dovranno joinare al dominio dovranno avere il DNS primario e secondario, impostato sull'IP dei 2 DC.

    E qui nasce la mia prima domanda: anche il DC aggiuntivo fungerà da DNS? E' strettamente necessaro indicarlo come DNS secondario?

    Sempre in tema di DNS nascono i miei ulteriori dubbi. Ai DNS bisogna per forza applicare i forwarder (o altrimenti usa i root records) per le query al di fuori del dominio aziendale, e dunque per la navigazione?

    Ultimamente, sto notando un elevata richiesta di query dns all'interno della azienda, e per questo mi domando se questa cosa non possa causare "affogature" del DC o comunque rallentamenti. Di qui l'idea di assegnare come DNS secondario quello fornito dal provider come DNS primario, e impedire che il DNS del DC possa eseguire query su internet.

    Voi come avete affrontato questo discorso?

    Non è mia intenzione inserire un proxy per la navigazione, perchè uso un gateway firewall hardware, di nota marca "next generation", che con AD potrà integrarsi e quindi potrò fare alcune regole "ad personam" o "ad groupam" direttmemte sul firewall; e che attualmente già funge da DHCP per i client aziendali.

    Al momento ho un "dominio nt" con DNS montato su di una VM esterna con Windows 2008R2Std con il servizio di DNS montato, con configurati come forwarder i DNS primario e secondario del provider, ereditando una situazione DNS impostata sul dominio NT fatta con i piedi, ma al momento, fin quando non faccio il dominio aziendale intoccabile (zona DNS primaria come il dominio internet aziendale, creando non pochi problemi di gestione)..

    giovedì 24 dicembre 2015 11:05

Tutte le risposte

  • Ciao, se il secondo DC sarà una Dc chiaramente sarà anche un DNS, se scende il primo altrimenti chi risolverà le query per lui? oltre questo è un prerequisito per essere un DC avere il DNS role installato. Come naturalmente serve indicarlo nei client come secondario (altrimenti a cosa serve?). 

    Il forwarding è consigliato, personalmente non ricordo nemmeno strutture in cui non l'ho messo, le richieste sono più veloce ed i record si aggiornano più in fretta, di solito si usano i server di google o del provider come forwarders. Vedi tu quali usare dei 2. Marca del firewall mai sentita, ma il proxy non è comunque obbligatorio, dipende dai tuoi utenti quanto sono bravi. Chiaramente se hai 2 DC devono stare su due macchine fisiche separate anche se sono virtuali, altrimenti non ha senso farli, se muore il server fisico muore anche il virtuale.

    Per l'"elevata richiesta di query DNS" boh...non so realmente cosa significa all'interno di una struttura (lo so ma non trovo un riscontro effettivo..;-) ci sono sempre query DNS ma per mettere in crisi un server bisogna che ne arrivino a migliaia in pochi secondi...quindi a meno che non ci siano attacchi DDOS o qualche malware un server DNS interno basta ed avanza per 2-300 clients.

    Non ho capito bene l'ultima parte della tua descrizione ma il dominio interno NON SI DEVE MAI chiamare come il dominio internet aziendale, deve essere .local semmai e poi avere un split zone DNS per il dominio internet, quindi forse ho capito male.

    Ciao, Buone Feste.

    A.

    giovedì 24 dicembre 2015 11:19
    Moderatore
  • Ciao,

    E qui nasce la mia prima domanda: anche il DC aggiuntivo fungerà da DNS? E' strettamente necessaro indicarlo come DNS secondario?

    No, non é strettamente necessario ma visto che ti serve nel caso il primo sia offline ti servira anche il DNS altrimenti AD non funziona.

    Sempre in tema di DNS nascono i miei ulteriori dubbi. Ai DNS bisogna per forza applicare i forwarder (o altrimenti usa i root records) per le query al di fuori del dominio aziendale, e dunque per la navigazione?

    Personalmente preferisco usare forwarders, ma dovrebbe funzionare anche coi root hints

    Ultimamente, sto notando un elevata richiesta di query dns all'interno della azienda, e per questo mi domando se questa cosa non possa causare "affogature" del DC o comunque rallentamenti. Di qui l'idea di assegnare come DNS secondario quello fornito dal provider come DNS primario, e impedire che il DNS del DC possa eseguire query su internet.

    Se metti I forwader le richieste vengono solo inoltrate, AD é strettamente legata al DNS, che ha dei record specifici per la discovery dei vari servizi di autenticazione e directory, I client devono avere DNS che contengano la zona create in fase di installazione del primo DC (http://social.technet.microsoft.com/wiki/contents/articles/32579.la-zona-msdcs-nei-domini-windows-it-it.aspx)

    [..]

    Non è mia intenzione inserire un proxy per la navigazione, perchè uso un gateway firewall hardware, di nota marca "next generation", che con AD potrà integrarsi e quindi potrò fare alcune regole "ad personam" o "ad groupam" direttmemte sul firewall; e che attualmente già funge da DHCP per i client aziendali.

    Il DHCP sarebbe meglio farlo fare al DC


    This post is provided AS IS with no warranties or guarantees, and confers no rights.
    ~~~
    Questo post non fornisce garanzie e non conferisce diritti

    giovedì 24 dicembre 2015 11:22
  • Ciao, se il secondo DC sarà una Dc chiaramente sarà anche un DNS, se scende il primo altrimenti chi risolverà le query per lui? oltre questo è un prerequisito per essere un DC avere il DNS role installato. Come naturalmente serve indicarlo nei client come secondario (altrimenti a cosa serve?). 

    Il forwarding è consigliato, personalmente non ricordo nemmeno strutture in cui non l'ho messo, le richieste sono più veloce ed i record si aggiornano più in fretta, di solito si usano i server di google o del provider come forwarders. Vedi tu quali usare dei 2. Marca del firewall mai sentita, ma il proxy non è comunque obbligatorio, dipende dai tuoi utenti quanto sono bravi. Chiaramente se hai 2 DC devono stare su due macchine fisiche separate anche se sono virtuali, altrimenti non ha senso farli, se muore il server fisico muore anche il virtuale.

    Per l'"elevata richiesta di query DNS" boh...non so realmente cosa significa all'interno di una struttura (lo so ma non trovo un riscontro effettivo..;-) ci sono sempre query DNS ma per mettere in crisi un server bisogna che ne arrivino a migliaia in pochi secondi...quindi a meno che non ci siano attacchi DDOS o qualche malware un server DNS interno basta ed avanza per 2-300 clients.

    Non ho capito bene l'ultima parte della tua descrizione ma il dominio interno NON SI DEVE MAI chiamare come il dominio internet aziendale, deve essere .local semmai e poi avere un split zone DNS per il dominio internet, quindi forse ho capito male.

    Ciao, Buone Feste.

    A.

    Sulla prima parte, infatti ero indeciso, ma ovviamente si è opportuno usare entrambi i DC, che a loro volta (ovvio che scemo che non ricordavo che sono anche DNS) come ip per i DNS primario e secondario; il firewall è un PA200, che sta facendo egregiamente il suo lavoro. Sulle query DNS sarà una cosa normale forse il numero di richieste che vedo, ma effettivamente visto il numero di sessioni nell'ora, misurate dal PA, mi ha messo un po' di allarme, nonostante non si notino appunto malware o botnet. Ho ereditato una situaizone dns dove la zona principale è stata configurata come sitoaziendale.it e sono stati allocati tutti i record. Ovvio che nel DC farò una sorta di miodominio.local o .lan altrimenti non vivo più e inizio finalmente a distinguere le cose.

    Carina una considerazione che mi hai fatto, e che mi hai sgombrato dalla testa una idea cosa che credevo non fosse fattibile fare. Ovvero fare i DC virtuali. Ovviamente ognuno deve stare su un host differente, ma non credevo che fosse una situazione/configurazione consigliata/consigliabile.

    Invece a me piacerebbe molto virtualizzarli; mettendo in piedi 2 host con Windows Datacenter e quindi poi HyperV su ognuno di questi; virtualizzando piano piano vari server aziendali che potrebbero risultare utili/necessari; e provare a fare del P2V di alcuni esistenti (e qui si apre un film di quale sistema utilizzare allo scopo di P2V)..

    P.S. Come si fa a rispondere per intercalare quotando? 


    • Modificato winfabero giovedì 24 dicembre 2015 11:39
    giovedì 24 dicembre 2015 11:28
  • Non è mia intenzione inserire un proxy per la navigazione, perchè uso un gateway firewall hardware, di nota marca "next generation", che con AD potrà integrarsi e quindi potrò fare alcune regole "ad personam" o "ad groupam" direttmemte sul firewall; e che attualmente già funge da DHCP per i client aziendali.

    Il DHCP sarebbe meglio farlo fare al DC

    Ecco qui avevo indicazioni contrarie:

    Avevo letto che potendolo fare a livello di licensing il DHCP è consigliabile mantenerlo su un sistema dedicato che sia membro del dominio per motivi di sicurezza, vedi https://technet.microsoft.com/en-us/library/cc781697(v=ws.10).aspx

    P.S. Come si fa a rispondere per intercalare quotando? 

    giovedì 24 dicembre 2015 11:31
  • Non dice che non lo puoi installare su un DC. Se hai un server in piú che fara' parte del dominio puoi farlo fare a quello ma il DHCP sul DC e' abbastanza comune; io ho inteso che ora lo fa il router che non fara' parte del dominio. Tieni conto di questo articolo se lo metterai sul DC.

    Per rispondere con citazioni intercalando....uso un altro editor :)


    This post is provided AS IS with no warranties or guarantees, and confers no rights.
    ~~~
    Questo post non fornisce garanzie e non conferisce diritti

    giovedì 24 dicembre 2015 11:41

  •  Per rispondere con citazioni intercalando....uso un altro editor :)

    Ahaha c'è un barbatrucco :D Grazie per le tue preziose indicazioni.

    giovedì 24 dicembre 2015 11:43
  • Per rispondere con citazioni intercalando....uso un altro editor


    Utilizzare il pulsante HTML e la sequenza tasti copia/incolla per modificare a piacere la citazione :)


    giovedì 24 dicembre 2015 12:44
    Moderatore