SID 2013 ringraziamenti e FAQ

SID 2013 GruppoCon un paio di mesi di ritardo trovo finalmente il tempo di scrivere un post su Server Infrastructure Days 2013 per ringraziare WindowsServer.it nella persona di Silvio Di Benedetto per aver invitato me e il mio compagno di sessioni da ormai circa 5 anni Mario Serra.

Complimenti a tutti gli speaker per le sessioni davvero interessanti e di grande livello tecnico, un ringraziamento anche a Microsoft che nelle persone di Paola Presutto e Matteo Vianoli hanno permesso che le due giornate si svolgessero al Microsoft Innovation Campus di Milano.

Un doveroso speciale ringraziamento va ovviamente a Silvio Di Benedetto che per celebrare i 10 anni della community WindowsServer.it di cui è Lead ha saputo organizzare un evento gratuito davvero ben riuscito ed apprezzato dai partecipanti.

Infine un grazie a coloro che hanno seguito le sessioni sulle novità ed il disaster recovery di Active Directory che io e Mario abbiamo tenuto.

Per chi non è potuto partecipare all’evento, le sessioni sono state registrate e con i tempi tecnici necessari dovrebbero essere rese disponibili online su TechNet Video come è avvenuto per SID 2012.

Oltre ai tardivi, ma dovuti ringraziamenti voglio approfittare di questo post anche per pubblicare alcune domande che mi sono state rivolte durante l’evento e successivamente sugli argomenti che abbiamo trattato in sessione e vi sono ancora aspetti che desiderate discutere non esitate a postare un commento o ad aprire un tread sul Forum.

Dopo la rimozione forzata di una Domain Controller è sempre necessario eseguire il cleanup dei metadati?

Il cleanup dei metadati è necessario in Windows Server 2003/R2 e precedenti, mentre non lo è più in Windows Server 2008 come riportato nel seguente Clean Up Server Metadata:

When you use Remote Server Administration Tools (RSAT) or the Active Directory Users and Computers console (Dsa.msc) that is included with Windows Server 2008 or Windows Server 2008 R2 to delete a domain controller computer account from the Domain Controllers organizational unit (OU), the cleanup of server metadata is performed automatically. Previously, you had to perform a separate metadata cleanup procedure.

You can also use the Active Directory Sites and Services console (Dssite.msc) to delete a domain controller’s computer account, which also completes metadata cleanup automatically. However, Active Directory Sites and Services removes the metadata automatically only when you first delete the NTDS Settings object below the computer account in Dssite.msc.

As long as you are using the Windows Server 2008, Windows Server 2008 R2, or RSAT versions of Dsa.msc or Dssite.msc, you can clean up metadata automatically for domain controllers running earlier versions of Windows operating systems.

Membership in Domain Admins, or equivalent, is the minimum required to complete these procedures.”

Quindi per essere più precisi è possibile eseguire automaticamente il cleanup dei metadati nei seguenti modi:

  1. Eliminando l’account computer del DC tramite l’Active Directory Users and Computers console (Dsa.msc) da un DC WS2008 o successivo o tramite gli RSAT di WS2008 o successivi.
  2. Eliminando prima l’oggetto NTDS Settings e poi l’account computer del DC tramite l’Active Directory Sites and Services console (Dssite.msc) da un DC WS2008 o successivo o tramite gli RSAT di WS2008 o successivi.

Come gestire il backup dei domain controller?

Ovviamente la risposta a questa domanda dipende da molto dal tipo di infrastruttura, ma a prescindere dalla grandezza e dal budget dell’infrastruttura il ripristino del system state di un domain controller che è alla base del disaster recovery di Active Directory deve essere un’operazione rapida e semplice. Per questo motivo consiglio di avere una serie di copie di system state disponibili in locale. Nel caso server fisici magari su un disco locale o USB o NAS, mentre per DC virtuali su un VHD dedicato al backup (a riguardo si veda TechNet and Community Tour 2010 – Torino – 9 Dicembre: le mie slide e… le cose che non vi ho detto). Poi ovviamente con la soluzione di backup che preferite gestite pure il backup in modo centralizzato, ma garantitevi anche la possibilità di poter rimettere in piedi il sistema agendo localmente.

E’ necessario mettere tutti i server a dominio?

Ci sono server che può aver senso anche non mettere a dominio, soprattutto se ad essi non applicate policy e preferite gestire gli aggiornamenti del sistema manualmente. Un esempio può essere il server WSUS, quello dell’antivirus centralizzato che possono essere tranquillamente delle VM. Ricordatevi che un server non a domino sarà un server che potrà continuare a funzionare anche se l’Active Directory ha dei problemi. In quest’ottica i server Hyper-V non in cluster e che non erogano servizi VDI possono essere tenuti in Workgroup, per quanto riguarda i server Hyper-V in cluster potrebbe essere interessante valutare l’adozione di un foresta AD dedicata (con WS 2012 in ogni caso il cluster si avvia anche se non contatta AD a riguardo di veda Cluster e Active Directory).

Altra cosa da evitare, quando possibile, è di avviare servizi con account di dominio in quanto se AD non disponibile questi saranno servizi che non saranno disponibili. Ovviamente non è sempre possibile attuare questa configurazione perché vi sono alcuni servizi che necessitano di autorizzazioni nella rete che è logico e corretto definire mediante diritti attribuiti ad un account di Active Directory. Se però non vi è questa necessità utilizzare account locali o meglio ancora i Managed Service Accounts e i Virtual Account (introdotti in WS2008 R2 e W7) o i Group Managed Service Accounts (introdotti in WS2012 e W8). Un esempio di servizio che può essere configurato tramite i Virtual Account è uno SQL Server 2012 standalone, a riguardo si veda Configure Windows Service Accounts and Permissions – Default Service Accounts.