[win] Domini diversi, stessa active directory

[samu76]

Salve
chiedevo se era possibile, avere piu server windows (2003 o 2008), dislocati in piani diversi (quindi, reti di dominio diverse), ma con la stessa active directory su tutti, almeno, per quanto riguarda gli account degli utenti.

vorrei avere la possibilità di creare una volta sola l'utente, e che poi questo utente possa girare liberamente su 3/4 reti diverse, senza che io debba creare per ogni server l'account.

per i dati, al momento, non mi interessa, visto che tale "sincronizzazione" si farebbe attraverso internet, e quindi, con le reletive lentezze (alice 20 mega su tutte le reti).

grazie per gli aiuti

[lupotto]

Quote:

Originariamente inviato da samu76

Salve
chiedevo se era possibile, avere piu server windows (2003 o 2008), dislocati in piani diversi (quindi, reti di dominio diverse), ma con la stessa active directory su tutti, almeno, per quanto riguarda gli account degli utenti.

vorrei avere la possibilità di creare una volta sola l'utente, e che poi questo utente possa girare liberamente su 3/4 reti diverse, senza che io debba creare per ogni server l'account.

per i dati, al momento, non mi interessa, visto che tale "sincronizzazione" si farebbe attraverso internet, e quindi, con le reletive lentezze (alice 20 mega su tutte le reti).

grazie per gli aiuti

Perchè ti devi impelagare con più domini AD quando hai la possibilità di creare dei siti AD nello stesso dominio, con evidenti vantaggi di semplificarti la vita nel gestire 1 solo dominio piuttosto che N° domini?

Ti crei un singolo dominio AD, e poi N° siti con differenti subnet, e dentro ogni subnet ci metti un DC con il suo dns e il dhcp, poi se se il tuo forest functional level è almeno 2003 puoi ragionare se usare o meno nei siti dei RODC di 2008, quesot per aumentare la sicurezza.

Per spiegarmi in modo semplice: potresti avere per esempio un dominio AD chiamato pippo.local e poi quel dominio avrà vari siti ( sviluppo, test , laboratorio etc) ma tutti facenti parte del dominio pippo.local, con subnet differenti, i client si autenticheranno in prima battuta sul/sui dc del loro stessso sito e tutti facenti parte della stessa subnet, in caso poi un un sito sia sprovvisto di un DC, i client si autenticheranno su un'altro dc disponibile del dominio, il come venga deciso quel DC è legato al processo di "site coverage" , di solito è scelto il DC con il "costo" più basso.

Quanto al discorso repliche non ho ben capito cosa intendi, se ti riferisci ad AD le repliche si possono schedulare, inoltre il servizio di replica è piuttosto efficiente, e di solito non viene replicato tutto il DB di AD ma solo i cambiamenti, se invece hai necessità di replicare i dati e renderli disponibili, ti suggerisco di guardare il DFS associato al servizio di replica dei dati DFS-R di 2008 , che è molto più efficiente rispetto al FRS di 2003.

[samu76]

intanto grazie per la risposta, il discorso dei siti l'avevo visto... dovrò studiarmelo meglio e fare alcuni test per vedere se fa al caso mio, ma credo proprio di si

In sostanza, io vorrei avere, ad esclusione dei dati che risiederanno su ogni singolo server presso ogni sede (al momento almeno), 1 server per ogni sede (sul quale fare il join dei client di quella sede), e che da uno (diciamo nella sede "principale"), la possibilità di creare una volta sola l'utente di dominio, e che questo sia disponibile su tutte e 4 le sedi.

I server delle varie sedi, al momento, e probabilmente per lungo tempo, saranno collegati tra loro tramite vpn su alice 20mega, pertanto, dovrei avere la possibilità che in caso di mancanza di linea dati, il server di quella sede funzioni senza problemi per quanto concerne le autenticazioni.

In futuro, se tutto questo (mi) funziona , volevo passare alla parte dati... ma qui sarà dura, considerata la banda (upload) internet a disposizione.

Al 99% i server saranno tutti 2008

[lupotto]

Quote:

Originariamente inviato da samu76

intanto grazie per la risposta, il discorso dei siti l'avevo visto... dovrò studiarmelo meglio e fare alcuni test per vedere se fa al caso mio, ma credo proprio di si

Da come hai descritto le tue necessità direi proprio che i siti son quello che servono a te, i siti null'altro sono semplificando dei raggruppamenti logici di hosts e altre risorse in AD a cui associ una subnet specifica di indirizzi ip.

Quote:

Originariamente inviato da samu76

In sostanza, io vorrei avere, ad esclusione dei dati che risiederanno su ogni singolo server presso ogni sede (al momento almeno), 1 server per ogni sede (sul quale fare il join dei client di quella sede), e che da uno (diciamo nella sede "principale"), la possibilità di creare una volta sola l'utente di dominio, e che questo sia disponibile su tutte e 4 le sedi.

Il fatto di mettere un dc in ogni sito che per l'appunto saranno le tue sedi ti permetterà di far questo, certo se metti un RODC, quello al momento del join non farà altro che girare la richiesta al DC "writable" più vicino, quindi sarà un pò più lento rispetto ad un DC normale.

Ovvio che una volta che l'utente è creato nel dominio quello sarà presente in ogni DC quindi anche in tutte le tue sedi :-)

Il discorso dei dati invece questi saranno uguali in tutte le sedi? se sì il DFS può fare al caso tuo permettendoti inoltre di avere una certa affidabilità e ridondanza sugli stessi, e il DFS-R ottimizza di molto la replica e sincronizzazione, ma l'uso di questo "servizio" lo devi valutare te, il discorso dati e loro gestione è sempre una pò un'alchimia che comrpende tantissimi fattori.

Quote:

Originariamente inviato da samu76

I server delle varie sedi, al momento, e probabilmente per lungo tempo, saranno collegati tra loro tramite vpn su alice 20mega, pertanto, dovrei avere la possibilità che in caso di mancanza di linea dati, il server di quella sede funzioni senza problemi per quanto concerne le autenticazioni.

Avere un dc in ogni sede serve a questo, ovviamente assgnagli anche il ruolo di GC, altrimenti in caso un GC non sia contattabile, per esempio ti salta la linea, il logon fallisce, e se proprio vuoi lavorare di fino per risparmiare banda piuttosto che abilitare ogni DC come GC, puoi attivare l' UGMC ( universal group membrship caching ) sui DC periferici, ma con una 20mega a meno che non devi replicare decine di migliaia di oggetti nella tua directory, stai tranquillo che ci sei dentro, e comunque le repliche le puoi volendo schedulare la notte e i festivi:-)

Quote:

Originariamente inviato da samu76

In futuro, se tutto questo (mi) funziona , volevo passare alla parte dati... ma qui sarà dura, considerata la banda (upload) internet a disposizione.

Al 99% i server saranno tutti 2008

Questo è un discorso, come detto prima, che implica un'infinità di scenari e variabili compresi i costi che potrebbero anche raggiungere cifre ragguardevoli, che credo sia difficile valutare così su due piedi in un forum. :-)

Se hai la possibilità, meglio che tutti i tuoi dc siano 2008.

[samu76]

mi salvo il 3d per approfondire lentamente le varie info che mi hai dato

molte cose le conosco solo di nome, altre le conosco solo ora :P

comunque si, in caso sarà lo stesso sistema op. su tutte le sedi.

Gli oggetti saranno pochi, si parla di 1000/1200 utenti in tutto, qualche U.O. e diverse GPO.

Riguardo i dati, non sono così importanti al momento, ci penserò in futuro, la cosa più importante, o almeno utile, è appunto avere un'unico utente per tutte le sedi!

grazie ancora