none
nuovo ufficio da attrezzare: server fisico o azure? RRS feed

  • Domanda

  • ciao a tutti,

    siamo in pochi, 8 persone in tutto, e dobbiamo attrezzare due uffici (ogni ufficio 6/7  postazioni al massimo).

    Io pensavo di iniziare, per ogni ufficio, con una struttura snella (eventualmente da complicare step by step), anche per motivi di tempo, 1 mese e deve essere tutto pronto:

    dietro al router:

    1 firewall (che puo' essere anche un pc quindi costo  contenuto), ma eventualmente anche solo, per ora, il basic firewall del router)

    1 DC (che faccia anche da DNS Server, DHCP Server, File Server)

    antivirus: uno su ogni postazione oppure centralizzato sul DC

    stop

    ho visto anche soluzioni con macchine virtuali adottando Azure...

    pero' forse per 8 persone e' un po' troppo...anche i costi (mensili) mi pare che non convengano tanto

    voi cosa mi consigliate? sia dal punto di vista tecnico che economico, valutando la piccola realta' che siamo...

    grazie!

    lunedì 18 novembre 2019 09:18

Risposte

  • con un server con s.o. windows server 2019 standard ti puoi costruire una infratruttura con hyper-v sulla macchina fisica e ospitare due virtual machine: una fa da DC+DSN+DHCP e la seconda può fare altri ruoli come File server o altro. attenzione che un solo DC può diventare bloccante

    Edoardo Benussi
    Microsoft MVP - Cloud and Datacenter Management
    e[dot]benussi[at]outlook[dot]it

    lunedì 18 novembre 2019 09:35
    Moderatore

Tutte le risposte

  • con un server con s.o. windows server 2019 standard ti puoi costruire una infratruttura con hyper-v sulla macchina fisica e ospitare due virtual machine: una fa da DC+DSN+DHCP e la seconda può fare altri ruoli come File server o altro. attenzione che un solo DC può diventare bloccante

    Edoardo Benussi
    Microsoft MVP - Cloud and Datacenter Management
    e[dot]benussi[at]outlook[dot]it

    lunedì 18 novembre 2019 09:35
    Moderatore
  • grazie Edoardo

    per cui meglio per ora fare in casa e in futuro, in caso di crescita passare ad Azure, giusto?

    io pensavo ad un DC per ogni sede: consigli un secondo DC per ogni sede? magari un PC che faccia solo quello?

    vorrei anche mettere i due uffici in VPN e pensavo di farlo a livello di router (chiedendo al provider, immagino che non tutti i router possano dare la possibilita di smanettarci dentro): secondo te e' meglio farlo fare a due macchine internamente?

    grazie!


    • Modificato AleMadama lunedì 18 novembre 2019 09:58
    lunedì 18 novembre 2019 09:58
  • è meglio pensare ad Azure in seguito come infrastruttura AD però potresti pensarci come sistema di backup remoto che ti metta al riparo da eventi catastrofali locali come incendi (non servirebbe se hai due sedi geograficamente distanti e fai il backup da una sede all'altra e viceversa)

    un dc in ogni sede è consigliatissimo, per la gestione utilizzi i Siti di Active Directory

    per le VPN il consiglio è quello di usare due appliance hardware che instaurino una VPN site-to-site con IPSEC


    Edoardo Benussi
    Microsoft MVP - Cloud and Datacenter Management
    e[dot]benussi[at]outlook[dot]it

    lunedì 18 novembre 2019 10:05
    Moderatore
  • ok, credo di aver capito

    riassumendo per ogni  sede potrei mettere:

    • 1 DC (anche DNS, DHCP, File Server)
    • 1 appliance hardware per VPN site-to-site (cosa mi consigli?)
    • eventualmente 1 PC con firewall
    • 1 installazione Antivisurs su ogni postazione oppure 1 PC che faccia da AV server se centralizzo l'AV

    Per il backup: essendo le due sedi sono una italia e una in UK, potrei fare un backup di ognuna delle sedi sull'altra, questo per i dati degli utenti (anche se saranno in OneDrive)... di cos'a'ltro dovrei fare backup?

    puo' filare la cosa?



    • Modificato AleMadama lunedì 18 novembre 2019 10:18
    lunedì 18 novembre 2019 10:17
  • il pc con firewall non ti serve, puoi usare sempre l'appliance che fa la vpn

    per il resto è tutto ok

    ti basta fare il backup dei dati tanto l'AD si replicherà con la vpn always connected


    Edoardo Benussi
    Microsoft MVP - Cloud and Datacenter Management
    e[dot]benussi[at]outlook[dot]it

    lunedì 18 novembre 2019 10:54
    Moderatore
  • ottimo, grazie mille per tutti i tuoi consigli

    ultima domanda: per l'appliance per la vpn hai qualche consiglio?

    lunedì 18 novembre 2019 11:12
  • ciao,

    l'appliance sarà un firewall hardware che farà anche la vpn.

    io uso watchguard, ma vanno benissimo altri (es. sophos), l'importante è prendere prodotti professionali e non home.

    inoltre il mio consiglio è di farti seguire da un esperto, impostare firewall, vpn, non ci si improvvisa.


    Alberto Lissoni MCSA, MCTS, MCITP Server

    lunedì 18 novembre 2019 14:30
  • grazie ancora

    non credo che lo faro' io. Io sono rimasto fermo purtroppo a una decina d'anni fa, quando usavo cisco PIX e checkpoint...

    ora sono tornato nell'IT ma mi faro' certamente dare una mano...

    sai quali sono a spanne i costi per sophos o watchguard?

    riusciresti a postarmi un paio di modelli?

    grazie ancora tantissimo

    lunedì 18 novembre 2019 14:38
  • per le dimensioni che descrivi, direi watchguard T15 w da entrambe le parti, con attivati almeno i servizi basic, la w sta wireless, così gestisci anche il wireless col firewall; altrimenti il modello superiore il T35-w, la differenza sostanziale riguarda la velocità di connessione della tua adsl/fibra e se hai 2 adsl da usare in contemporanea o come failover. per i prezzi vai su Amazon e ti puoi fare un'idea.

    ma ti ripeto, ti cerchi un fornitore bravo, e vai tranquillo.


    Alberto Lissoni MCSA, MCTS, MCITP Server

    lunedì 18 novembre 2019 15:02
  • ok, grazie Edoardo!
    lunedì 18 novembre 2019 15:06
  • io sarei Alberto,

    ma essere scambiato per Edoardo va benissimo :)


    Alberto Lissoni MCSA, MCTS, MCITP Server

    lunedì 18 novembre 2019 16:18
  • scusa mi sono incartato!

    :-D

    lunedì 18 novembre 2019 20:10

  • io uso watchguard, ma vanno benissimo altri (es. sophos), l'importante è prendere prodotti professionali e non home.

    inoltre il mio consiglio è di farti seguire da un esperto, impostare firewall, vpn, non ci si improvvisa.


    e pure qui, Alberto lo lovvo :). Watchguard a mani basse sempre anche io, Silver Reseller dal 2013.

    Quel che gli altri fanno in 5 passaggi lui lo fa in 3. Tante altre marche top, Fortinet, Cisco, Sophos, ma come il rosso col System Manager non c’è niente. 

    ;)

    lunedì 18 novembre 2019 22:01
    Moderatore
  • Ciao a tutti,

    un aggiornamento

    mi hanno detto che devo pensarci io, non vogliono spendere troppo  e anzi gia i 2000/2500 per i due WG li hanno fatti un po' traballare

    comunque la cfg e' un problema mio e non vogliono che chieda ad altri...

    ho esperienza su cisco pix e checkpoint, ci ho lavorato per dversi anni, ma mai su WG

    ho trovato queste due guide che mi paiono ben spiegate, una per BOVPN manual e una per BOVPN managed:

    onestamente propenderei per la managed...

    avete qualche consiglio in particolare?

    immagino che i due WG staranno ognuno dietro il proprio router: in questo caso ci sono dei requisiti particolari da richiedere al provider del serivizio internet? no NAT o altro...

    grazie infinite!





    • Modificato AleMadama giovedì 21 novembre 2019 08:17
    giovedì 21 novembre 2019 05:13
  • ciao,

    se hai esperienza di firewall, secondo me te la dovresti cavare, non è difficile, scarica il manuale e il software di gestione, ci smanetti sopra un po', segui il wizard iniziale, alla fine il firewall è installato e funzionante, ma un po' troppo "aperto" per i miei gusti, poi da quel momento inizi a fare tuning.

    requisiti particolari router direi nessuno, se non i soliti avendo un firewall qualunque dietro. se non hai accesso al router fatti aprire tutto e dirigi il traffico sul firewall.


    Alberto Lissoni MCSA, MCTS, MCITP Server

    giovedì 21 novembre 2019 14:06
  • grazie Alberto!

    visto che non l'ho mai fatto con WG, secondo te meglio la managed o la manual?

    giovedì 21 novembre 2019 15:27
  • managed, praticamente la vpn del brach office te la crea (quasi) automaticamente!


    Alberto Lissoni MCSA, MCTS, MCITP Server

    giovedì 21 novembre 2019 15:40
  • dai, ci proviamo

    10 anni senza vedere un firewall non sono pochi....

    mi raccomando, buttate un occhio al forum che se ho qualche intoppo "chiamo"

    grazie 1000 per ora!

    giovedì 21 novembre 2019 15:46
  • dai, ci proviamo

    10 anni senza vedere un firewall non sono pochi....

    mi raccomando, buttate un occhio al forum che se ho qualche intoppo "chiamo"


    aehm, sì..ma non noi :-) La VPN site to site con Windows Server è totalmente OT. Quindi eventualmente posti su un forum networking o del brand in cui ti serve :-) non siamo il supermarket dell'IT. Siamo già OT con gli ultimi post.

    Ciao!

    A.

    giovedì 21 novembre 2019 16:18
    Moderatore
  • dai, ci proviamo

    10 anni senza vedere un firewall non sono pochi....

    mi raccomando, buttate un occhio al forum che se ho qualche intoppo "chiamo"


    aehm, sì..ma non noi :-) La VPN site to site con Windows Server è totalmente OT. Quindi eventualmente posti su un forum networking o del brand in cui ti serve :-) non siamo il supermarket dell'IT. Siamo già OT con gli ultimi post.

    Ciao!

    A.

    circa un'era geologica fa sono stato MVP Networking quindi vale tutto :-D


    Edoardo Benussi
    Microsoft MVP - Cloud and Datacenter Management
    e[dot]benussi[at]outlook[dot]it

    giovedì 21 novembre 2019 16:31
    Moderatore

  • aehm, sì..ma non noi :-) La VPN site to site con Windows Server è totalmente OT. Quindi eventualmente posti su un forum networking o del brand in cui ti serve :-) non siamo il supermarket dell'IT. Siamo già OT con gli ultimi post.

    Ciao!

    A.

    Hai ragione, ma non volevo lasciarlo in mezzo al guado :)



    Alberto Lissoni MCSA, MCTS, MCITP Server

    giovedì 21 novembre 2019 16:31

  • Hai ragione, ma non volevo lasciarlo in mezzo al guado :)



    Alberto Lissoni MCSA, MCTS, MCITP Server

    certo, ma è giusto, una dritta volentieri. Ma di li a spiegargli come mettere su un tunnel con fase1, fase2 ecc..ne passa. :-) 
    giovedì 21 novembre 2019 16:36
    Moderatore
  • no tranquilli, non intendevo che doveste farmelo voi, ci mancherebbe

    ma nel caso dovessi trovare un intoppo strano magari potete darmi un consiglio... tutto li


    • Modificato AleMadama giovedì 21 novembre 2019 18:22
    giovedì 21 novembre 2019 18:22