none
Site e Subnet RRS feed

 > 

  • Domanda

  • Question
    Registrati per votare
    0
    Registrati per votare
    L'obiettivo è quello di decommissionare due DC di un sito e infine di cancellare in tutto e per tutto il sito stesso. Il primo passo voleva essere quello di minimizzare gli accessi ai server da parte dei client spostando le subnets di "site and services" dal site da disattivare agli altri. E qui iniziano a cadere i primi asini.

    1) è possibile utilizzare definizioni di subnet "annidate" (ritengo di sì)? Mi spiego: voglio che la rete 10.0.0.0/8 sia  assegnata al SitoA ma che la 10.100.0.0/16 vada sul SitoB. Mi basta definire le due subnet ed assegnarle? C'è qualche documento in rete che spieghi il meccanismo?
    2) Devo riassegnare TUTTE le subnet relative al sito da dismettere? O quelle che magari son specifiche del sito e che moriranno alla sua dismissione posso lasciarcele? Se le riassegno, posso creare qualche disservizio su eventuali client o server delle reti da dismettere, almeno fin quando non spengo tutto?

    Una volta poi isolato logicamente il sito, sarà possibile monitorare gli accessi "hard coded" sui client o sulle applicazioni che puntano esplicitamente ai server da dismettere, così da riconfigurarli.

    Poi si decommissionano i DC, gli ultimi client, gli ultimi server, si "spegne" la rete e quindi si rimuove il sito e le subnet ancora presenti sulla configurazione di S&S. Corretto?

    Mi sto dimenticando qualcosa? (ci sarebbe un bel po' da parlare di DNS, ma magari apro un altro thread)
    TIA
    --
        Luca Amicone
    martedì 3 novembre 2015 10:37
    |

Risposte

  • Question
    Registrati per votare
    0
    Registrati per votare
    ok, ma che tipo di controllo riesci ad avere su questi clients sparpagliati fuori dal sito A?

    Scarsa. I DHCP son quasi tutti locali e completamente in balìa degli admin avventizi che magari han messo su il solo router con servizio DHCP annesso. Ovviamente ho controllo sul sito B (e C, che non ho nominato, ma va per conto suo).

    Nel frattempo ho comunque aggiunto una classe 10.0.0.0/8 e l'ho assegnata al sito C. TUTTO quello che non è esplicitamente di A e di B, sembra ora andare lì! Resta qualche autenticazione residua, ma potrebbe già così andare benino. Devo sentire quellli di rete per vedere se il traffico che intercettano ora è tuttora ingestibile o se possono iniziare a ragionarci sopra. E poi magari sposto su C anche le 192.168.0.0/16 e le 172.16.0.0/12 che magari vengono da qualche VPN.

    Forse mi sono risposto alle due domande originali. Se il traffico è abbastanza scemato quelli di rete potranno isolare gli accessi residui e le autenticazioni non provenienti dal sito A e cercare di ridirezionarle opportunamente. A quel punto potremmo provare a decommissionare uno dei due DC e vedere cosa succede. Poi l'altro, chiudere il SiteA e trasferire magari le macchine rimaste sulle reti dei Site B o C.

    Spero di averti dato qualche risposta..

    --

    Luca Amicone (che da web si inceppa..)

    mercoledì 4 novembre 2015 14:49
    |

Tutte le risposte

  • Question
    Registrati per votare
    0
    Registrati per votare
    L'obiettivo è quello di decommissionare due DC di un sito e infine di cancellare in tutto e per tutto il sito stesso. Il primo passo voleva essere quello di minimizzare gli accessi ai server da parte dei client spostando le subnets di "site and services" dal site da disattivare agli altri. E qui iniziano a cadere i primi asini.

    1) è possibile utilizzare definizioni di subnet "annidate" (ritengo di sì)? Mi spiego: voglio che la rete 10.0.0.0/8 sia  assegnata al SitoA ma che la 10.100.0.0/16 vada sul SitoB. Mi basta definire le due subnet ed assegnarle? C'è qualche documento in rete che spieghi il meccanismo?
    2) Devo riassegnare TUTTE le subnet relative al sito da dismettere? O quelle che magari son specifiche del sito e che moriranno alla sua dismissione posso lasciarcele? Se le riassegno, posso creare qualche disservizio su eventuali client o server delle reti da dismettere, almeno fin quando non spengo tutto?

    Una volta poi isolato logicamente il sito, sarà possibile monitorare gli accessi "hard coded" sui client o sulle applicazioni che puntano esplicitamente ai server da dismettere, così da riconfigurarli.

    Poi si decommissionano i DC, gli ultimi client, gli ultimi server, si "spegne" la rete e quindi si rimuove il sito e le subnet ancora presenti sulla configurazione di S&S. Corretto?

    Mi sto dimenticando qualcosa? (ci sarebbe un bel po' da parlare di DNS, ma magari apro un altro thread)
    TIA
    --
        Luca Amicone

    forse mi sfugge tutta la logica ma vediamo se ho capito: tu vorresti che i clients del sito A andassero ad autenticarsi sui dc del sito B in modo da smontare i dc del sito A ? 

    se è così perchè vuoi agire sulle subnet dei siti invece che sui parametri opzionali del dhcp per il sito A (in particolare il dns) ?

    mi manca anche di capire come sono collegati i siti tra loro...

    Edoardo Benussi
    Microsoft MVP - Directory Services
    edo[at]mvps[dot]org

    martedì 3 novembre 2015 15:47
    |
    Moderatore
  • Question
    Registrati per votare
    0
    Registrati per votare
    Pigiando alacremente sui tastini, Edoardo Benussi [MVP] scrisse:

    Ciao Edo. :-)


    > tu vorresti che i clients del sito A andassero ad autenticarsi sui dc
    > del sito B in modo da smontare i dc del sito A ?

    Beh, l'intero sito A è in dismissione. Fin quando rimangono gli ultimi
    spicci di client nel sito, possono anche continuare ad autenticarsi lì;
    li facciamo fuori insieme ai server ed alle subnet relative. :-P
    Quindi no, non mi interessano tanto i client di A, ma che i client
    sparpagliati su tutta la rete aziendale e che non son stati direttamente
    assegnati (via subnet) a qualche site non possano (per "caso") andare ad
    autenticarsi sui server del sito A.

    > mi manca anche di capire come sono collegati i siti tra loro...

    La rete è geografica. Di son pezzi di 10.x.y.z sparpagliati in tutta
    Italia e senza seguire un andamento granché logico. Ma i Site di
    autenticazione, da tre, dovrebbero passare a due visto che una sede è in
    dismissione. I client "diffusi" non sempre sono stati assegnati
    esplicitamente a qualche Site, per questo ho centinaia di
    "NO_CLIENT_SITE" in Netlogon.log. In questa confusione, i nostri
    colleghi di rete non riescono a districare il traffico e capire se c'è
    qualche accesso NON governato dai Site (e che quindi potrebbe avere
    GROSSI problemi al momento della decommissione dei DC).
    L'idea era di spostare tutte le autenticazioni (ad eccezione di quelle
    davvero "locali") sugli altri DC e quindi successivamente intercettare
    solo quello "hard coded" su applicazioni o altro.

    Nota a margine. Accedo a questo forum principalmente tramite NNTP Bridge e da qualche tempo a parte il primo accesso mattutino, non mi fa leggere più una riga (boh). Quindi abbi pazienza se non riuscirò ad essere tempestivo nelle risposte. :-}
    --
        Luca Amicone
    mercoledì 4 novembre 2015 07:57
    |
  • Question
    Registrati per votare
    0
    Registrati per votare

    Quindi no, non mi interessano tanto i client di A, ma che i client
    sparpagliati su tutta la rete aziendale e che non son stati direttamente
    assegnati (via subnet) a qualche site non possano (per "caso") andare ad
    autenticarsi sui server del sito A.

    ok, ma che tipo di controllo riesci ad avere su questi clients sparpagliati fuori dal sito A ?

    Edoardo Benussi
    Microsoft MVP - Directory Services
    edo[at]mvps[dot]org

    mercoledì 4 novembre 2015 14:33
    |
    Moderatore
  • Question
    Registrati per votare
    0
    Registrati per votare
    ok, ma che tipo di controllo riesci ad avere su questi clients sparpagliati fuori dal sito A?

    Scarsa. I DHCP son quasi tutti locali e completamente in balìa degli admin avventizi che magari han messo su il solo router con servizio DHCP annesso. Ovviamente ho controllo sul sito B (e C, che non ho nominato, ma va per conto suo).

    Nel frattempo ho comunque aggiunto una classe 10.0.0.0/8 e l'ho assegnata al sito C. TUTTO quello che non è esplicitamente di A e di B, sembra ora andare lì! Resta qualche autenticazione residua, ma potrebbe già così andare benino. Devo sentire quellli di rete per vedere se il traffico che intercettano ora è tuttora ingestibile o se possono iniziare a ragionarci sopra. E poi magari sposto su C anche le 192.168.0.0/16 e le 172.16.0.0/12 che magari vengono da qualche VPN.

    Forse mi sono risposto alle due domande originali. Se il traffico è abbastanza scemato quelli di rete potranno isolare gli accessi residui e le autenticazioni non provenienti dal sito A e cercare di ridirezionarle opportunamente. A quel punto potremmo provare a decommissionare uno dei due DC e vedere cosa succede. Poi l'altro, chiudere il SiteA e trasferire magari le macchine rimaste sulle reti dei Site B o C.

    Spero di averti dato qualche risposta..

    --

    Luca Amicone (che da web si inceppa..)

    mercoledì 4 novembre 2015 14:49
    |
  • Question
    Registrati per votare
    0
    Registrati per votare


    Forse mi sono risposto alle due domande originali. Se il traffico è abbastanza scemato quelli di rete potranno isolare gli accessi residui e le autenticazioni non provenienti dal sito A e cercare di ridirezionarle opportunamente. A quel punto potremmo provare a decommissionare uno dei due DC e vedere cosa succede. Poi l'altro, chiudere il SiteA e trasferire magari le macchine rimaste sulle reti dei Site B o C.


    credo che non ci siano altre alternative a questa.

    ciao.

    Edoardo Benussi
    Microsoft MVP - Directory Services
    edo[at]mvps[dot]org

    giovedì 5 novembre 2015 15:29
    |
    Moderatore