No banner in farm
iscriviti alla newsletter

ISAserver.it - No. 1 Unofficial European web site on Microsoft ISA Server 2006 2004 2000

Home di ISAserver.it
Google
 
Articoli
Autori di ISAserver.it
Forum Tecnico Iscriviti al feed RSS del forum di ISAserver.it
Blog di Luca Conte Iscriviti al feed RSS del blog di ISAserver.it
Software per ISA Server
Soluzioni Hardware per ISA Server
Eventi Tecnici e Formazione
Libreria di ISAserver.it
Contatti
Consigliati da ISAserver.it

No banner in farm
WORKBOOK

No banner in farm
Quale prodotto utilizzi

Quale prodotto utilizzi

VMexperts.org
Community tecnica italiana sulla Virtualizzazione
VOIPexperts.it
Community tecnica italiana sul VOIP
 
 
ISAserver.it Forum
ISAserver.it Forum
Home | Profile | Register | Active Topics | Members | Search | FAQ
Username:
Password:
Save Password
Forgot your Password?

 All Forums
 ISA Server - Infrastrutture
 Generale - Infrastrutture Sicure
 Nuova Rete ed ISA 2004
 New Topic  Reply to Topic
 Printer Friendly
Author Previous Topic Topic   

semalb
New Member

16 Posts

Posted - 14/11/2006 :  16:10:13  Show Profile  Reply with Quote
Buongiorno a tutti.

Vi premetto che sono nuovo al 100%, sia sull'utilizzo di ISA sia come utente del forum. Spero di poter far crescere questo forum con il mio modesto contributo e spero di poter crescere professionalmente assieme a voi sull'utilizzo di questo strumento.
Mi trovo di fronte ad un problema che mai mi era capitato prima, ed ho bisogno di un consiglio da voi che siete sicuramente più esperti di me. Devo costruire una rete (con dominio da zero) per un'azienda con molti "branch offices", alcuni grandi, alcuni piccoli.

Tutti gli uffici sono collegati in VPN da alb@com, con una connessione dedicata, ed escono in internet tramite un unico gateway comune sul centro stella. Quindi il problema di cifrare le connessioni non si pone, nè si pone quello di configurare più ISA server. Il mio cruccio è l'installazione di ISA a ridosso del gateway, per alcune semplici ragioni:

1) E' conveniente, oppure mi consigliate qualcosa di meno complesso? Tenete conto che ho installato ISA l'altro giorno sul server di prova, quindi parto da zero e so poco e nulla sulla complessità.
2) Mi consigliate di aspettare la nuova release del prodotto?
3) Ho visto che oltre ad ISA server 2004 esistono soluzioni firewall integrate con software ISA 2004. A livello di funzionalità che differenze ci sono, a parte, ovviamente, la possibilità di gestire le risorse hardware al meglio?

La rete come avrete capito è piuttosto vasta, vi saranno alcuni controller di dominio nei branch offices in replica per consentire un login più veloce, in seguito dovremo distribuire exchange 2003 (o 2007, vedremo), e magari anche Live Communication server con un PBX IP, per poterci finalmente slacciare dal costo del telefono. Pensate che ISA sia una soluzione sovradimensionata per l'utilizzo che ne deve fare l'azienda?

A questo proposito vi pongo anche un secondo problema che poco ha a che fare con ISA, ma magari potete consigliarmi per esperienza personale: il login al PDC da VPN. Partendo dal presupposto che il login dei client sia di per sè poco oneroso in termini di banda, mi sono basato principalmente prendendo in esame la latenza dei branch offices rispetto al centro stella. Un RTT di 100ms medio (30 prove per instradamento, nelle fasce orarie più a rischio) di quanto potrebbe influire sul tempo di login dei client remoti?

Vi ringrazio in anticipo delle risposte.
A presto :)

Alberto Semenzato

IsaCab
Moderator

4298 Posts

Posted - 14/11/2006 :  19:27:24  Show Profile  Reply with Quote
Ciao e benvenuto tra noi.

1) Installazione su centro stella. Direi che non potevi scegliere prodotto migliore. :-)
2) La 2004 va benissino (la 2006 va meglio)
3) Isa è anche un firewall e basta ed avanza nella maggior parte dei casi.

Per quanto rigurda la VPN, ti rifesci a client esterni, che entrano in VPN in azienda, o ai client della wan ?



CLIENT INTERNI) Se nei vari Branch Offices hai dei DC con AD, come hai detto di voler fare, il problema non si pone perchè l'autenticazione avviene in LAN, se invece centralizzi DC e AD in un unica sede, allora bisogna considerare anche altri fattori legati alla WAN :
a) Banda disponibile
b) Banda Garantita
c) Linea di backup
d) Traffico broadcast
e) Altro traffico
d) Autenticazioni contemporanee
ed altro ancora......

CLIENT ESTERNI) ISA 2004 ti aiuta molto nella gestione delle vpn sia Site-to-Site che Client-Server


Ciao Giulio

Cert.: Avaya IP Office Technical Curriculum Level Assessment
Go to Top of Page

IsaCab
Moderator

4298 Posts

Posted - 14/11/2006 :  19:30:11  Show Profile  Reply with Quote
Dimenticavo, se devi adottare e/o integrare soluzioni Voice-Ip, perchè non fai un pensierino ad Avaya Ip Office ?




Ciao Giulio

Cert.: Avaya IP Office Technical Curriculum Level Assessment
Go to Top of Page

lconte
Amministratore del Forum

2017 Posts

Posted - 14/11/2006 :  22:11:31  Show Profile  Reply with Quote
Ciao Alberto,
benvenuto si ISAServer.it, la prima Community Italiana interamente dedicata ad ISA Server. Veniamo alle tue domande...

Nel tuo caso ISA e' una componente della tua infrastruttura AD. Sulla base delle tue indicazioni, ISA Server dovra' gestire il traffico Internet sia della tua sede centrale che di tutte le sedi periferiche.

La struttura prevista, semplificando, dovrebbe essere la seguente:

LAN-Remota <- VPN -> LAN-Centrale <-> ISA <-> Router <-> INTERNET

A mio avviso adotterei i seguenti criteri:

LAN-Centrale (Main Site)
========================
Installerei ISA Server 2006 (e' uscito!) versione Enterprise in Array , con almeno due membri per bilanciamento di carico e fault tolerance.

LAN-Remota (Remote Site)
========================
In quelle piu' "popolose" puoi predere in considerazione l'installazione di un ISA Server 2006 Ent. Edt. (Almeno sfrutti la gestione centralizzata delle Access Rule) o ISA 2006 Std.Edt. (perdi la gestione centralizzata delle Access Rule), in Chaining con l'array ISA Server 2006 nella sede centrale.
In questo modo ottimizzi l'utilizzo della banda e non rischi di saturarla con dell'inutile traffico Web; una struttura tipo potrebbe essere la seguente:

LAN-R <->ISA02 <-VPN-> LAN-C <-> ISA00/ISA01 <-> Gateway <->Internet

ISA00/ISA01/ISA02 sono configurati come Firewall/Cache Server.

ISA02 potrebbe essere configurato anche come solo Cache Server.

Le scelte ovviamente dipendono da quanti utenti interni generano traffico Web, fare qualche calcolo per prevedere quelle che potrebbero essere i site remoti piu' indicati per una installazione di un ISA 2006.

Appliance
=========
Sul discorso appliance, sono ottimizzati per la loro funzione (Firewall/Cache). Ottima scelta! Unico problema è la loro scalabilita'(Scale UP).
Nessuna differenza operativa fra versioni in host su server con le versioni appliance.

AD Logon
========
In Active Directory (dominio 2003) sparisce il concetto di PDC/BDC.

Se Active Directory e' progettata a modo - vedi alcune delle valutazioni fatte da Giulio - non hai problemi di replicazione fra DC e ritardi nel processo di logon. Tieni conto che i problemi architetturali, legati ad errate scelte progettuali, possono amplificarsi notevalmente con l'installazione di Exchange.

Exchange
========
Se e' nelle tue intenzioni utilizzare Exchange Server 2003, parti subito con una Active Directory gia' pronta per Exchange (modifiche dello schema).

Il discorso Exchange 2007, al momento in beta, non lo prenderei proprio in considerazione.

LCS
===
LCS OK ma esistono delle limitazioni d'uso con ISA Server.

Se hai bisogno di altre info posta sul forum

Luca Conte
MCSE MCT MCSA
Ideatore di ISAServer.it

**********************************************
- Analisi e Progettazione di infrastrutture sicure
- Consulenza tecnica e affiancamento
- Security Testing
- Training on the Job
- Seminari tecnici su tecnologie Microsoft

per ulteriori info scrivi una mail a lconte<at>isasever<d0t>it.
---------------------------------------------------------
Sito web personale: http://www.lucaconte.it
**********************************************
Go to Top of Page

semalb
New Member

16 Posts

Posted - 14/11/2006 :  23:22:29  Show Profile  Reply with Quote
Allora, non sono molto bravo con gli schemini in "ascii" che ho visto fare in altri post, quindi meglio che vi descriva la situazione a parole.
Punto primo, siamo in sottorete 10.y.z.x.

La rete è strutturata in modo tale che:
y: corrisponde ad uno dei branch office (1 milano, 2 roma, 3 bologna e così via).
z: corrisponde ad un sottoinsieme di periferiche dei branch office (1 sono i client, 2 sono le stampanti e così via).
x: corrisponde, ovviamente ad una periferica del relativo sottoinsieme...

E' stato un po' concettoso anche per me capire le sottoreti, ma è come l'ho trovata e non c'è modo di cambiarla, purtroppo, in quanto è gestita da esterni.

1) Ogni sede Y si collega alle altre sedi in modo trasparente ed le route per ogni ufficio non passano per il centro stella. Se mi sono spegato male, supponendo che il centro stella sia a Venezia, Milano raggiunge Roma senza passare per Venezia. Se Venezia cade, Milano raggiunge comunque Roma. Così per tutti gli uffici. A quanto ne so NON ci sono linee di Backup.
2) I client usano il centro stella solo per uscire in internet, in quanto è l'unico che ha un gateway.

Premetto che attualmente non conosco l'ampiezza di banda delle linee tutte le reti, ma non scendono sotto l'adsl a 2Mb a quanto mi hanno detto.La banda è garantita al 95%, sempre secondo quanto detto dalla direzione. Riceverò a breve una struttura della rete più chiara e sicura.
Un'analisi del traffico sulle linee di collegamento l'ho già richiesta ad albacom, spero arrivi nei prossimi giorni.

Veniamo ora ai vostri consigli:

@ Giulio:
Ho sentito parlare molto bene di ISA, avevo tuttavia paura che fosse sovradimensionato se utilizzato esclusivamente come firewall. Mi fa piacere sapere che non avevo "cannato" in pieno la mia scelta :)
A questo punto vedo i costi della 2006.

Per la VPN mi riferisco ai client della WAN. I client remoti si interfaccerano in L2TP/IpSec a ISA ;)

Per i client interni l'idea è quella di replicare i DC (sono ancora abituato a chiamarli PDC) nei punti cardine dell'italia, tipo Nordest, nordovest, centro e sudest (sudovest non c'è niente), dove le linee sono più veloci. Faranno anche da DNS interni, giusto per sicurezza.
Questo per ridurre la latenza dei branch offices che si collegheranno ai DC più vicini, tramite route pesate (mi pare sia possibile).
Pensavo che la larghezza di banda contasse poco per l'autenticazione.

@ Luca Conte:
Mi aiuti a capire la funzione di Firewalling nelle zone periferiche? Essendo traffico "privato" pensavo fossero inutili. L'idea del caching non è male, speravo però esistessero prodotti più ad hoc. Usare ISA *solo* per il cache mi sembra sprecato. O sbaglio?

Immaginavo che le soluzioni appliance fossero poco scalabili.. e non costano neppure poco :(

AD Logon:
Mi puoi dare qualche dritta a riguardo? Ho cercato tanto in internet sul login ed i suoi impatti sulla rete ma non ho trovato nulla che mi sembrasse rilevante. Forse cerco nei posti sbagliati.

LCS:
E' un'idea per abbattere i costi di comunicazione tra gli utenti e, a questo punto, anche dall'esterno ma è ancora in stato embrionale. Se mi dici che ci sono dei problemi scavo più a fondo.

Exchange:
La sto studiando a fondo :)

Un ultima domanda, a voi MCSA/MCSE: è possibile certificarsi senza aver ancora la laurea o è necessaria?

E' la prima volta che ricevo delle risposte così esaustive, grazie!
Mi invogliate sempre di più a leggere tutti i post del forum :)

Alberto Semenzato
Go to Top of Page

semalb
New Member

16 Posts

Posted - 14/11/2006 :  23:45:35  Show Profile  Reply with Quote
Ah dimenticavo.
Visto che il progetto è grande ed offre parecchi spunti sugli argomenti di networking e firewalling, se volete vi tengo aggiornati anche sul suo avanzamento. I problemi che via via si affacciano, e le relative soluzioni adottate potrebbero essere uno spunto anche per altri utenti.

Tutto nei limiti del flooding, ovviamente . Che ne pensate?
Go to Top of Page

IsaCab
Moderator

4298 Posts

Posted - 15/11/2006 :  09:12:37  Show Profile  Reply with Quote
Buongiorno Sem

La struttura logica data alla tua wan è più che giusta. In situazioni complesse, se non si dà una logica nelle assegnazioni di Network ed host, molto presto si perde il controllo della rete e .......

Per la VPN con client esterni, ISA è fondamentale.
1) Abbastanza semplice da realizzare
2) Semplice da controllare e gestire
3) L2TP/IPSEC è leggermente più complessa da configurare sia lato server che lato client, ma il tempo in più impiegato ripaga in termini di sicurezza ed integrità dei dati.

Come ti diceva Luca il PDC non esiste più, anche se tra i ruoli dei DC viene riportato ancore un ruolo che fa riferimento a PDC :-)

In AD il DNS di active directory è obbligatorio e fondamentale per un corretto funzionamento di tutta l'infrastruttura. I DC in replica sono un ottima soluzione.

Al resto ti risponderà sicuramente Luca.


Ciao e chiaramente, se decidi di condividere la tua esperienza con i frequentatori di questo forum, non possiamo fare altro che ringraziarti, visto che ogni esperianza nuova è un arricchimento professionale per tutti.

Ciao Giulio

Cert.: Avaya IP Office Technical Curriculum Level Assessment
Go to Top of Page

semalb
New Member

16 Posts

Posted - 15/11/2006 :  14:54:48  Show Profile  Reply with Quote
Ciao giulio,

Allora, il mio dubbio era se dividere il ruolo DNS da quello del DC, ma tutto sommato credo che un server possa eseguire entrambi i ruoli senza troppi intoppi. Dopo tutto, se cade il DC i client del singolo DNS se ne fanno ben poco :)

Scusa se non ti ho risposto per Avaya Ip office, ma mi è sfuggito il commento, visto che era un post di una sola riga. Ci dò un'occhiata. LCS mi era parso un ottimo prodotto per la sua integrazione con l'AD. :)

So che L2TP/IpSec ha bisogno dei certificati client e user per la connessione, ma a livello di sicurezza è decisamente più robusto. Quello che mi preoccuperò di fare, sarà chiedere i costi un certificato per una CA subordinata all'azienda da parte di Verisign, in questo modo potremo rilasciare i certificati un po' per tutto quello che può servire all'azienda. Mi preoccupa un po' il discorso del nat-t. L'unica volta che ho provato a farlo ero dietro un server IpCOP che non gira i protocolli TCP adeguati. (23 se non sbaglio).

Una volta fatta l'analisi della rete posterò la soluzione adottata, con una congrua spiegazione della decisione. Con i vostri commenti potremmo davvero fare una "guideline" dall'inizio alla fine del progetto per tutti gli utenti della comunità :)
Quindi posterò al termine di ogni singolo step i problemi incontrati durante il suo ciclo.
Go to Top of Page

IsaCab
Moderator

4298 Posts

Posted - 15/11/2006 :  15:55:36  Show Profile  Reply with Quote
Ciao Sem
[DNS]
Il DNS essendo un DNS di Active Directory, quindi non un normale DNS, deve risiedere perforza su uno o più sever AD.

[AVAYA]
Avaya si integra nel mondo Microsoft utilizzando LDAP per l'autenticazione e assegnazione dei numeri. Certo LCS fa tante altre cosine, integrandosi perfettamente con tutta la piattaforma Microsoft. Bisogna vedere le tue esigenze per poter fare una valutazione. In tutti i casi ti faccio un breve riepilogo sulla IP Office :

1) Gestisce Telefoni BCA classici (Corless o fissi)
2) Telefoni Digitali (NO IP)
3) Telefoni IP
4) Protocollo H323
5) Protocollo SIP dalla versione soft 4.0 in uscita febbraio
6) Integrazione con PBX esistenti
7) Conferenza a 64 unità Interne/esterne integrata
8) VoiceMail illimitato integrato
9) Funzioni classico di centralino intercomunicante
10) Ip SoftPhone
più tante altre belle cosine.

[CERTIFICATi]
Per quanto riguarda i certificati, tranne esigenze particolari, puoi utilizzare la Autorità di certificazione Microsoft, integrata in tutti i sistemi operativu Server della famiglia (Quindi Gratis).


[VPN]
Il protocollo a cui tu fai riferimento è il 47 ed è per fare T-NAT su connessioni PPTP non L2TP/IPSEC. Dai un occhiata a questo post per maggiori dettagli
http://www.isaserver.it/forum/topic.asp?TOPIC_ID=393

Il T-Nat non è un problema, sopratutto se usi ISA come server VPN. Se tra ISA e Internet ci sono altri firewall, anche qui il problema non si pone, perchè basta abilitare il passthu dei protocolli interessati. Già fatto su PIX Cisco e perfettamente funzionante. L'unica difficoltà oggettiva sono i client, che se non rispettano certe carattestiche non si collegano manco a pregarli.

Bene, per la documentazione, oltre che a postarla, salvala e man mano la passi a Luca, così se la ritiene adeguata la mette in linea come documentazioni nel forum caffè con l'autore.


Ciao e buon lavoro

Cert.: Avaya IP Office Technical Curriculum Level Assessment
Go to Top of Page

semalb
New Member

16 Posts

Posted - 15/11/2006 :  17:02:06  Show Profile  Reply with Quote
[Certificati]:
Ero incerto se richiedere a verisign un certificato di CA subordinata perchè mi piacerebbe potermi anche emettere certificati per webserver. Ovviamente la decisione verrà presa in base al costo del certificato. Un aumento da 0 a 1 è comunque infinito :)

[VPN]:
Si il protocollo 47 alias GRE serve per il T-NAT su PPTP. Tuttavia con IpCop, pur aprendo le porte giuste non sono mai riuscito a configurare la VPN. Il mio problema è sempre stato configurare L2TP dietro firewall IpCOP, perchè pur girando il traffico AH ed ESP verso il server RRAS non funzionava nulla.. :(

[AVAYA]:
L'idea di usare LCS mi era venuta dopo la scoperta che in azienda c'è un server Jabber per la comunicazione IM, a cui molti utenti hanno affiancato anche Windows Live per internet. A questo si aggiungono i costi per le telefonate verso le altre filiali e verso l'esterno. L'idea di unificare tutta la messaggistica usando Exchange ed LCS mi era parsa valida, ma non sapendo il carico effettivo che LCS comporterebbe sulla rete è stata più che altro una speculazione.
Attualmente la siutazione è attualmente piuttosto anarchica (sono tutti amministratori, e si installano di tutto, virus compresi), e va riportata all'ordine, ma non è facile riportare gli utenti dentro i "binari della sicurezza" senza scontentarli. Tra l'altro l'utilizzo di Jabber e WL si è radicato piuttosto bene in azienda, e l'idea di toglierlo farebbe saltare dalla sedia anche qualche "pezzo grosso".. :)
Go to Top of Page

IsaCab
Moderator

4298 Posts

Posted - 15/11/2006 :  18:02:36  Show Profile  Reply with Quote
[VPN]
Non conosco IPCop, ma se hai bisogno possiamo provare ad affrontare il problema insieme. Come ti dicevo, ina soluzione con doppio firewall Cisco Pix + Isa Server, funziona perfettamente, è chiaro che è necessario abilitare il passtrhu dei protocolli incriminati su entrambi i firewall.

[AVAYA]
Il sistema di messagistica interno, puoi anche non toccarlo. La soluzione Ip Office, puoi legarla solo alla telefonia, classica ed ip, mettendo in comunicazione le varie sedi tra loro a costo telefonico 0. Puoi dotare utenti esterni alla sede di telefono IP Software, e fare in modo che chiamino gratis interni classici ed IP della tua WAN.

[]
Per quanto riguarda la gestione della sicurezza interna, vorrei segnalarti ancora qualcosa :
1) AD ti darà un grande aiuto, nel controllo e gestione delle politiche di gestione dei client e degli utenti.
2) Dai un occhiata ai prodotti della GFI (www.gfi.com), sono perfettamente integrate nel mondo Microsoft, sposano exchange ed ISA server, è non da poco FUNZIONANO :-)

Nel frattempo ti auguro una buona serata.

Ciao Giulio

Cert.: Avaya IP Office Technical Curriculum Level Assessment
Go to Top of Page

semalb
New Member

16 Posts

Posted - 16/11/2006 :  12:45:09  Show Profile  Reply with Quote
Allora, faccio un po' il punto della situazione, usando la terminologia AD:
1)I siti disporranno di connessione HDSL a 4Mbit con banda garantita del 100%, assicura l'azienda.
2)Gli uffici periferici invece hanno e manterranno un'adsl 2mbit con banda garantita del 50%.

Ho scoperto che, a parte tre uffici che hanno una 20a di utenti, per un totale di una cinquantina di oggetti Active Directory, gli uffici periferici non ne contano più di 2, quindi si può fare un calcolo di circa 6-7 oggetti AD a testa.

A questo punto, pensavo di dotare solo questi tre uffici grandi dello status di "siti" con un server web. Ebbene si, un server web, perchè gli utenti usano un gestionale in Asp.NET, collegato ad un SQL Server, che genera un view state mostruoso, anche a causa della mal progettazione.

Pensavo dunque di tenere il SQL server nella sede legale dell'azienda e distribuire un paio di webserver nelle sedi periferiche per poter distribuire il carico di rete dovuto a questi View State anomali, talmente anomali che l'anno scorso il gestore della VPN ha regstrato una staurazione dell 100% della rete. :(
In linea teorica, sgravando parte della linea della sede legale dall'utilizzo del web server, recupera banda disponibile per il login.
A breve dovrebbe comunque arrivarmi l'analisi di albacom con una statistica sul carico di rete dell'anno.

Con il numero di oggetti AD mi chiedo se sia necessario distribuire un DC per ogni sito oppure in punti strategici come Nord, centro e sud.


Il programma di gestione verrà riscritto da zero dal reparto IT dell'azienda, ma questo richiederà un'anno se non più..

A riaggiornarci.
Go to Top of Page

semalb
New Member

16 Posts

Posted - 16/11/2006 :  16:03:52  Show Profile  Reply with Quote
Sto ora considerando la distribuzione della struttura active directory con windows server R2 che ha alcuni miglioramenti di gestione.

E sorge spontanea una domanda: perchè con tutte le distribuzioni Xeon, non vendono la OEM a 64Bit, ma sempre la 32?
Go to Top of Page

lconte
Amministratore del Forum

2017 Posts

Posted - 16/11/2006 :  23:33:50  Show Profile  Reply with Quote
Ciao Alberto,
rispondiamo con ordine alle tue domande:
"...Mi aiuti a capire la funzione di Firewalling nelle zone periferiche? Essendo traffico "privato" pensavo fossero inutili. L'idea del caching non è male, speravo però esistessero prodotti più ad hoc. Usare ISA *solo* per il cache mi sembra sprecato. O sbaglio?.."

L'idea principale e' quella di ottimizzare l'utilizzo della banda rendendola cosi' disponibile per il traffico di replicazione fra server - es. DFS - per applicazioni distribuite e l'accesso a server - es. file server - da parte dei client.

In questo caso l'utilizzo di ISA come Cache Server è ideale e non rappresenta certamente uno spreco. Bisogna comunque bilanciare costi/benefici.

"...Mi puoi dare qualche dritta a riguardo? Ho cercato tanto in internet sul login ed i suoi impatti sulla rete ma non ho trovato nulla che mi sembrasse rilevante. Forse cerco nei posti sbagliati...."

Per misurare il traffico di replicazione leggi questo:
Active Directory Replication Traffic
http://snipurl.com/12ee4

Per il posizionamento dei DC:
Planning Active Directory for Branch Office
http://snipurl.com/12ee8

Aspetto da NON TRASCURARE è che i DC hanno TUTTI una copia in lettura e scrittura di AD. Quindi è consiglibile evitare di collocare DC in siti dove non e' possibile garantire una adeguata sicurezza fisica che sia quantomeno equivalente a quella presente nel main site.

"...Un ultima domanda, a voi MCSA/MCSE: è possibile certificarsi senza aver ancora la laurea o è necessaria?.."

Non serve nessuna laurea; basta essere maggiorenni..

"...E' la prima volta che ricevo delle risposte così esaustive, grazie! Mi invogliate sempre di più a leggere tutti i post del forum :)..."

Grazie a te ed a tutti gli appassionati come Giulio che mettono a disposizione della Community il proprio tempo e la propria esperienza. Se poi al termine del tuo lavoro vuoi realizzare un paper completo relativo alla tua implementazione, lo possiamo pubblicare su ISAServer.it....

Sul discorso Windows R2 molto meglio ha funzionalita' pensate proprio per i Branch Office.

Gestione/Monitoraggio Infrastruttura
=====================================
Una soluzione che potresti prendere in considerazione è quella offerta da MOM 2005, per il monitoraggio/gestione centralizzata dei tuoi server DC/Exchange/ISA/SQL Server ecc.

Luca Conte
MCSE MCT MCSA
Ideatore di ISAServer.it

**********************************************
- Analisi e Progettazione di infrastrutture sicure
- Consulenza tecnica e affiancamento
- Security Testing
- Training on the Job
- Seminari tecnici su tecnologie Microsoft

per ulteriori info scrivi una mail a lconte<at>isasever<d0t>it.
---------------------------------------------------------
Sito web personale: http://www.lucaconte.it
**********************************************
Go to Top of Page

semalb
New Member

16 Posts

Posted - 21/11/2006 :  13:09:10  Show Profile  Reply with Quote
Scrivo solo per informarmi che non mi sono dimenticato di voi, il lavoro procede e tra poco spero di postare la prima parte del documento, che riguarda l'analisi della rete e gli obbiettivi preposti.
Go to Top of Page

IsaCab
Moderator

4298 Posts

Posted - 21/11/2006 :  13:58:26  Show Profile  Reply with Quote
Ciao Sem non dubitavamo che ti saresti ricordato di noi.


Buon Lavoro

Giulio

---------------------------------------------------------------------------
Cert.: Avaya IP Office Technical Curriculum Level Assessment
http://www.isaserver.it/articoli.htm
http://www.isaserver.it/forum/forum.asp?FORUM_ID=22
Go to Top of Page

semalb
New Member

16 Posts

Posted - 29/11/2006 :  15:25:14  Show Profile  Reply with Quote
Allora, come dicevo, questo topic parla dell'implementazione di un progetto oltre che della sua analisi, ed ecco il primo imprevisto. Il nostro CdA ha decretato che non possono aspettare la fase di progettazione per l'installazione di un nuovo dominio. Ieri mi hanno chiesto che macchina fosse necessaria per il primo DC da installare nell'azienda ed hanno voluto la risposta entro sera. Ovviamente mi sono trovato spiazzato: non ho ancora un report della congestione del traffico nelle varie filiali, a malapena ho un'idea di quanta gente ci sia nelle filiali più grandi, e a grandi linee ho capito che servizi l'azienda si aspetta dalla rete.
In poche parole, è il classico salto nel buio che può trasformarsi in un bagno di sangue. Data l'irremovibilità del CdA ho cercato di prendere tempo per il deployment dei futuri DC sottolineando l'importanza della sicurezza e della progettazione. Il primo DC dovrebbe arrivare la prossima settimana, la macchina che ho ordinato sarà uno Xeon con 1gb di ram e 5Hd Sata in raid.
La configurazione scelta è quella di mettere 2 dischi da 30Gb in mirror per il sistema operativo, e tre dischi da 80 in raid 5 per la sola Active Directory.
In questo modo gli accessi al disco del sistema operativo non andranno ad interferire con quelli del database AD.
Questo server per scelta sarà l'FSMO dell'azienda e DNS: ho tutta l'intenzione di assegnare al nuovo arrivato tutti e quattro i ruoli master: schema master, DN master, RID Master e Infrastructure Master. PDC Emulator non sarà necessario visto che non abbiamo Server NT in azienda.
Ho richiesto ed ottenuto una sala apposita dove racchiudere questo ed i successivi DC nelle altre filiali, dato che ospitano una copia dell'AD in lettura e scrittura.
Il sistema operativo sarà Windows 2003 Server St. R2.
A breve nuovi sviluppi.

Alberto
Go to Top of Page

IsaCab
Moderator

4298 Posts

Posted - 29/11/2006 :  15:58:16  Show Profile  Reply with Quote
quote:
Originally posted by semalb

In poche parole, è il classico salto nel buio che può trasformarsi in un bagno di sangue.



Stai facendo le scelte giuste, e tieni conto che con AD la flessibilità è alta, lasciandoti la libertà di creare la tua infrastruttura un passo per volta.

Ciao e buon lavoro.

Giulio

---------------------------------------------------------------------------
Cert.: Avaya IP Office Technical Curriculum Level Assessment
http://www.isaserver.it/articoli
http://www.isaserver.it/forum/forum.asp?FORUM_ID=22
Go to Top of Page

semalb
New Member

16 Posts

Posted - 23/12/2006 :  14:47:50  Show Profile  Reply with Quote
Buongiorno di nuovo a tutti.

E' da tempo che non mi faccio sentire, un po' per ragioni di tempo materiale (il lavoro è tanto, ed il tempo per scrivere, di conseguenza sempre molto poco), un po' per ragioni logistiche: come vi avevo detto, questa è una relazione su un progetto reale, ed in quanto tale, gli imprevisti ci sono, e spesso sono tanti.

Il primo, come vi ho riportato tempo addietro, è la fretta (forse non del tutto giustificata), del CdA di espandere la rete senza che siano stati presi i dovuti accorgimenti sulla sicurezza. Il 27 di questo mese, sarò "costretto" a distribuire il secondo controller di dominio a milano. Le policy per i controller di dominio non sono ancora pronte del tutto, e questo può portare a delle falle nella sicurezza. Non sono pronte anche queste per motivi di tempo, ho dovuto preparare prima quelle degli utenti e delle macchine del dominio, e per motivi tecnici (non c'è una documentazione veramente esaustiva sugli impatti che hanno i criteri nella funzionalità di rete). Mi sono basato principalmente sulla famigerata KB 823659 di microsoft riportato all'indirizzo:

http://support.microsoft.com/kb/823659 <-- Se avete di meglio fatemi sapere :)

l'assegnazione dei criteri locali ai controller di dominio ed alle macchine, è infatti molto importante, costituisce la prima vera operazione per rendere sicura la rete (sopratutto dall'interno).
Non vi enumero le scelte fatte, preferisco invece esportare le policy e postarvele come allegato, appena rientrerò dall'ufficio. Si perderebbe troppo tempo. E' comunque importante citarne qualcuna, ad esempio, la restrizione di inviare solo NTLMv2 come risposta rifiutando LM e NTLMv1. E' una policy MOLTO restrittiva, e valida *solo* se in tutta la rete esistono client successivi a Windows 2000. Altre sono il lockdown dell'account Guest, la forzatura della sequenza CTRL+ALT+CANC.
Dato che i controller di dominio sono essenziali per l'infrastruttura, l'idea è quella di dotare i server si un lettore di smarcard e permettere l'accesso solo tramite essa. Questo ovviamente presuppone la distribuzione di un'infrastruttura PKI, che non è però oggetto di questo post ma lo sarà di uno dei successivi (al momento dell'implementazione).

Veniamo ora a quello che ho realmente fatto in questo mese. Ovviamente mi sono scontrato con i bisogni di flessibilità dell'azienda e sopratutto sulla disponibilità del reparto IT di fornire assistenza.
Con uno staff di 100 sistemisti, sarebbe possibile chiudere praticamente tutto, nella rete, ma nella nostra realtà il sistemista sono solo io... Si sa, i sistemisti sono una razza pigra... tanto più quando da soli devono tenere a bada una rete di 500 computer ed utenti.
Ho quindi elaborato uno schema scarno per quanto riguarda quello che devono sapere gli utenti e quello che non devono sapere.
Ho identificato quattro ruoli primari nell'azienda:
1) Gli utenti "normali", non informatizzati saranno Utenti di macchina ed Utenti di dominio. (ovvio)
2) Gli utenti IT Developers saranno Power Users (non trovo l'utente debugger in windows xp, ne sapete qualcosa?) e Domain users.
3) Gli utenti IT Local saranno Domain User e Local User, ma conosceranno la password di amministratore di macchina dell'unità organizzativa a loro dedicata. Potranno inoltre disporre di diritti di scrittura e lettura nell'unità organizzativa che devono amministrare. (non alle GPO, per ora)
4) Gli utenti IT Domain saranno Domain user e local user, ma avranno privilegi di scrittura delle GPO nell'unità organizzativa che devono amministrare, oltre ovviamente a conoscere la password di Amministratore di macchina.
5) "Al di sopra" ci sono io, che sarò Local User e Domain User, ma conoscerò la password di amministratore di dominio. Notate che al di sopra è tra virgolette. Nel senso che pur avendo privilegi elevati rispetto a tutti gli altri utenti, sono quello che si beccherà tutte le rogne.

Devo essere sincero. Il mio più grosso problema è sistemare tutt'ora gli utenti IT Developers. Non mi va molto a genio che siano Power Users, sfortunatamente non sono riuscito a trovare gli utenti debugger, che farebbero a caso loro. E' sempre un problema privilegiare gli sviluppatori. Fosse per me, li tratterei come tutti gli altri utenti. Questo perchè è praticamente impossibile che riescano a sviluppare qualcosa di sicuro per una rete, finchè sviluppano come utenti privilegiati. E' una vecchia diatriba, si sà... alla fine, mi chiedo: per scrivere ed eseguire codice, non vi basta avere privilegi elevati in una determinata cartella? Al massimo, dovete essere in grado di fare debugging. Vabbeh.. torneremo sull'argomento. Ogni consiglio è ben accetto a questo proposito :)

Veniamo ora ai sistemisti: forse sarò della vecchia scuola, nonostante la mia tenera età, ma troppo spesso vedo sistemisti che accedono come amministratori di macchina al loro computer. A che vi serve? Avete un comando utilissimo, runas. E per eseguire il pannello di controllo, con privilegi amministrativi, basta aprire una console come amministratore di macchina e scrivere
c:\> Rundll32.exe Shell32.dll,Control_RUNDll <nomeapplet.cpl>
Praticamente qualsiasi cosa si può fare eseguiendo una shell con privilegi amministrativi.
Non è difficile. Dunque, tutti gli utenti Local Admin, saranno DA GPO utenti di macchina e non amministratori. Questo è il motivo per cui i Local Admin per ora non accederanno se non in lettura, alle GPO.

Un altro problema che ho riscontrato è un'applicazione per la contabilità. E' scritta in Vb6 e già questo è un problema. Ad ogni aggiornamento esegue la registrazione di *tutte* le DLL (in HKCR) che le servono. E questo è un problema ancora maggiore. Non è possibile cambiare programma di contabilità. Questa è la ciliegina sulla torta. E quindi? Come facciamo?
Beh, fortunatamente ho scoperto che il programma esegue il controllo degli aggiornamenti su una cartella nei nostri server. Questo significa che gli aggiornamenti li gestisco io. E' già qualcosa. Ma ancora più bello, è che pur avendo l'eseguibile principale la procedura di aggiornamento integrata c'è un secondo eseguibile che invece permette di fare *solo* l'aggiornamento.
Ora, dato che sono un sistemista, ed i sistemisti sono pignoli, non voglio di certo che gli utenti utilizzino un'intero programma come amministratori.. si tratta di "forma mentis". Ma non voglio neppure includere in uno script la password di amministratore. Dunque come facciamo? E poi vorrei che solo determinati utenti possano eseguire il programma di contabilità. Insomma, ci sono una serie di problematiche. Un programma che può venirci incontro è EPAL. Epal, Elevated Privleged Application Launcher è un programmino carino che permette di eseguire un programma come utente di Active directory senza conoscerne la password. Il programma deve essere registrato da un'amministratore, e Active Directory lo certifica facendo in modo che l'eseguibile da lanciare non possa essere sostituito o modificato da nessuno, pena, un errore di esecuzione.
Da qui, la risoluzione è abbastanza semplice. l'utente "pippo" che deve eseguire l'aggiornamento lo si rende Utente di Dominio ed amministratore di macchina con le GPO. L'utente pippo non ha un profilo, non può fare altro che eseguire l'applicazione, ma come amministratore, quindi può registrare le DLL.
Uno script WMI, a questo punto eseguito dall'utente U con privilegi dell'utente U, controlla se ci sono aggiornamenti. Se ci sono, esegue un secondo processo (tramite W32 process) con il quale lancia la procedura di aggiornamento tramite EPAL, quindi si mette in attesa che l'applicazione dell'aggiornamento notifichi la sua chiusura, si risveglia, e esegue il programma di contabilità, ma come utente U. Praticamente si è creata una finestra amministrativa per scaricare le DLL e registrarle. Se la directory remota dell'aggiornamento è per gli utenti in sola lettura, e tale è anche la directory del programma in locale l'unica falla deriva dalle DLL che possono contenere qualche codice "malizioso". Sfortunatamente più di eseguire una scansione con un'antivirus e testare l'aggiornamento il sistemista non può fare. Ma è già qualcosa, no? :)
Da qui si scarica epal, per windows 2000 ma funziona anche con 2003 R2:
http://www.microsoft.com/technet/prodtechnol/windows2000serv/downloads/epal.mspx

Ed ora una domanda davvero importante: vorrei dotare la mia azienda di ISA 2006 per controllare meglio tutto il traffico della rete. La mia azienda non vuole spendere soldi per un ISA Server. La soluzione che hanno è più che sufficente.
1) Attualmente abbiamo un firewall FreeBSD.
2) La VPN è gestita esternamente, e non serve collegare client esterni alla rete (per ora).
3) Il proxy lo fa un server linux.
Con cosa posso giustificare l'acquisto di un ISA al CdA?

Un piccolo Post Scriptum:
Mi rendo conto che questo post sta un po' "distaccandosi" dall'argomento del forum. Se volete spostarlo in una room adeguata oppure avete qualche idea per portarlo in carreggiata, fatemi sapere.

Ciao! :)

--------------
Alberto Semenzato
IT Pro. (quasi Eng)


Homines, dum docent, disçunt.

ç, altrimenti il forum mi censura.. ;)

Go to Top of Page

IsaCab
Moderator

4298 Posts

Posted - 23/12/2006 :  16:35:17  Show Profile  Reply with Quote
Ciao Alberto,

quote:
E' sempre un problema privilegiare gli sviluppatori. Fosse per me, li tratterei come tutti gli altri utenti. Questo perchè è praticamente impossibile che riescano a sviluppare qualcosa di sicuro per una rete, finchè sviluppano come utenti privilegiati. E' una vecchia diatriba, si sà... alla fine, mi chiedo: per scrivere ed eseguire codice, non vi basta avere privilegi elevati in una determinata cartella? Al massimo, dovete essere in grado di fare debugging. Vabbeh.. torneremo sull'argomento. Ogni consiglio è ben accetto a questo proposito :)


Io sono anche programmatore....... :-)



quote:
E' scritta in Vb6 e già questo è un problema. Ad ogni aggiornamento esegue la registrazione di *tutte* le DLL (in HKCR) che le servono.



Su questo si puo' discutere.


quote:
Ed ora una domanda davvero importante: vorrei dotare la mia azienda di ISA 2006


Ora mi piace....


quote:
1) Attualmente abbiamo un firewall FreeBSD.
2) La VPN è gestita esternamente, e non serve collegare client esterni alla rete (per ora).
3) Il proxy lo fa un server linux.
Con cosa posso giustificare l'acquisto di un ISA al CdA?


Bhe, visto le righe che hai speso per decrivere in che modo stai programmando la sicurezza della tua rete, devo dire che qusta domanda mi spiazza.

Perchè isa server ?

1) Application Filter (Da non sottovalutare, per una vera sicurezza)
2) Cache
3) Autenticazione Integrata
4) Controllo completo e User-Friendly dei Log e delle connessioni.
5) SQL Log
6) Gestione seplificata delle policy gradie ad AD
7) Proxy/Cache/Firewall tutto su un server.
......e tanto altro ancora....

Ciao Giulio

------------------------------------------------
Giulio Martino
Avaya IP Office TCLA

Technical Writer e Supporter di ISAServer.it
Articoli - http://www.isaserver.it/articoli/
Forum - http://www.isaserver.it/forum/
------------------------------------------------
Go to Top of Page

semalb
New Member

16 Posts

Posted - 24/12/2006 :  14:08:05  Show Profile  Reply with Quote
Aspetta, Giulio... tu fai un errore di fondo.. cerchi di convincere me, sfondando una porta aperta...

io devo convincere un'azienda che per anni ha avuto freebsd, si è sempre trovata bene, ed improvvisamente, si trova un nuovo amministratore di rete che gli chiede di investire dei soldi in un nuovo firewall..

Gli ho parlato del caching e del logging avanzato di cui dispone ISA, il problema è che loro "non ne sentono il bisogno". La risposta che mi è stata data dall'amministratore delegato è stata: "ma non si può implementare qualcosa di simile che sia free?".
Parliamoci chiaro, quelli prima di me erano programmatori, non sistemisti. Hanno fatto una rete sufficente ma nulla di più. Ed il firewall era sufficente all'azienda.
Devo trovare qualcosa che renda ISA appetibile all'azienda. Tenete conto che ho il MAPS, quindi una versione dimostrativa di ISA è comunque possibile inserirla.

Con questo nulla da togliere ai programmatori. Quelli bravi si vedono subito, perchè non si lamentano di dover programmare come utenti, e sviluppano applicazioni perfettamente integrate con i privilegi degli utenti windows. Sbaglio? :)


--------------
Alberto Semenzato
IT Pro. (quasi Eng)


Homines, dum docent, disçunt.

ç, altrimenti il forum mi censura.. ;)

Go to Top of Page

IsaCab
Moderator

4298 Posts

Posted - 24/12/2006 :  17:47:34  Show Profile  Reply with Quote
Ciao Alberto

quote:
io devo convincere un'azienda che per anni ha avuto freebsd, si è sempre trovata bene, ed improvvisamente, si trova un nuovo amministratore di rete che gli chiede di investire dei soldi in un nuovo firewall..


Bhe, se la sicurezza per i tuoi amministratori non è abbastanza....abbiamo un problema.

Senza nulla togliere ad altri firewall, ma l'application Filter non è da sottovalutare.

Io gli porrei alcune domande :

1) Volete suddividere l'utilizzo di intenet per unità organizzativa ?
2) Volete che un utente ovunque si trovi abbia sempre gli stessi diritti di utilizzo di internet ?
3) Volete impedire la visualizzazione di certe pagine ?
4) Volete impedire l'utilizzo di certi programmi ?
.......queste sono alcune delle considerazioni da fare. Un sistema integrato è un sistema integrato, nel senso che è assurdo pensare che dopo avere fatto tutto il bel lavoro di inserire AD con Unità Organizzative, gruppi di distribuzioni, utenti speciali, etc etc etc, poi devo gestire l'accesso ad internet tramite indirizzo IP e non tramite Utente/Gruppo.

Mi fermo qui!!


quote:
Con questo nulla da togliere ai programmatori. Quelli bravi si vedono subito, perchè non si lamentano di dover programmare come utenti, e sviluppano applicazioni perfettamente integrate con i privilegi degli utenti windows. Sbaglio? :)


Hai ragione in parte. Il programmatore ti mette a disposizione dei sevizi, e se questi servizi richiedono dei permessi speciali come si fa ?
La giusta via è sempre nel mezzo. Il programmatore insieme al sistemista valutano i servizi da offrire e su quelli si dedice le risorse necessarie. Ma trattare un programmatore come un utente normale, mi sembra esagerato, del resto è sempre un professionista IT.


Ciao ALberto e passa un buon natale.

Giulio

------------------------------------------------
Giulio Martino
Avaya IP Office TCLA

Technical Writer e Supporter di ISAServer.it
Articoli - http://www.isaserver.it/articoli/
Forum - http://www.isaserver.it/forum/
------------------------------------------------
Go to Top of Page

lconte
Amministratore del Forum

2017 Posts

Posted - 26/12/2006 :  11:01:33  Show Profile  Reply with Quote
Alberto e Giulio, mi fa davvero piacere vedere che anche sotto le feste avete voglia di interagire nel forum ...BRAVI!!!

Purtroppo Alberto la tua strada e' molto in salita visto che mancano le condizioni per poter affrontare adeguatamente l'aspetto "sicurezza".

Fai del tuo meglio nei tempi e modi che hai a disposizione e dai sempre priorita' alla interoperabilita'. In caso di dubbio favorisci l'interoperabilita', tanto non risolvi il problema con una policy in piu'!!.

Il discorso scelta FreeBSD e ISA o, ancora meglio, ISA contro tutti :

http://isaserver.org/articles/2004firewallcomparisonp1.html

PDF: http://www.tacteam.net/isaserverorg/2004firewallcomparisonp1/2004firewallcomparisonp1.zip

Altro:
http://www.microsoft.com/italy/windowsserversystem/facts/analyses/default.mspx

Alberto, come hai giustamente notato, l'argomento è off-topic.

Verra' creata una sezione apposita dedicata al dibattito su Infrastrutture Sicure con Tecnologie Microsoft. ISA pero' ci deve essere...!!!

Buon S.Stefano

Luca Conte
MCSE:Security MCT MCSA:Security
Ideatore di ISAServer.it

**********************************************
- Analisi e Progettazione di infrastrutture sicure
- Consulenza tecnica e affiancamento
- Security Testing
- Training on the Job
- Seminari tecnici su tecnologie Microsoft

per ulteriori info scrivi una mail a lconte<at>isasever<d0t>it.
---------------------------------------------------------
Sito web personale: http://www.lucaconte.it
**********************************************
Go to Top of Page

IsaCab
Moderator

4298 Posts

Posted - 26/12/2006 :  17:52:26  Show Profile  Reply with Quote
Ciao Luca

quote:
Alberto e Giulio, mi fa davvero piacere vedere che anche sotto le feste avete voglia di interagire nel forum ...BRAVI!!!


Magari bisogna fare un po' di attenzione a cio' che scriviamo , sai tra uno spumantino e un bun bicchiere di vino.

quote:
Buon S.Stefano


Ricambio.

Ciao Giulio

------------------------------------------------
Giulio Martino
Avaya IP Office TCLA

Technical Writer e Supporter di ISAServer.it
Articoli - http://www.isaserver.it/articoli/
Forum - http://www.isaserver.it/forum/
------------------------------------------------
Go to Top of Page

semalb
New Member

16 Posts

Posted - 28/12/2006 :  09:42:03  Show Profile  Reply with Quote
Ricambio gli auguri.

L'application filter è una delle features di rilievo di ISA.
Ho deciso di provare a distribuirlo in fase di test appena completata l'active directory. La sicurezza i miei amministratori non sanno neppure cosa sia. Sono Economi non It :)

Mi spiace essere breve ma sono in ufficio. Vedo di scrivere qualcosa nei prossimi giorni, visto che ho qualche momento libero..

Buon santo stefano anche a voi, seppure in ritardo... ma sopratutto, buon anno ;)

--------------
Alberto Semenzato
IT Pro. (quasi Eng)


Homines, dum docent, disçunt.

ç, altrimenti il forum mi censura.. ;)

Go to Top of Page

IsaCab
Moderator

4298 Posts

Posted - 28/12/2006 :  21:02:26  Show Profile  Reply with Quote
Ciao Alberto,

riallanciandomi al discorso di Luca, vorrei darti qualche altra indicazione :

[MOTIVI PER USARE ISA]

In un ambiente microsoft con AD, direi che la scelata è quasi obbligata, se vuoi avere un ambiante integrato (Vedi Post Precedente) oltre chiaramente all'application >filter

[SCENARIO IN SICUREZZA]

E' giusto l'approccio di rendere sicura e controllabile la LAN, visto che la prima fonte di debolezza sono proprio gli utenti interni, ma io non mi incasinerei troppo con le gpo perchè corri il rischio di mettere la rete in ginocchio, bloccandola, e questo si che poi diventa un problema serio.
L'approccio che userei e che uso dai miei clienti è il seguente :

1) AD (possibilmente con almeno due server)
2) DNS DUPLICATO
3) DHCP
4) Dare una logica agli IP (Esempio: da 192.168.1.1 a 192.168.1.20 Server, da 192.168.1.21 a 192.168.1.40 stampanti .....)
5) Organizzare l'azienda in OU
6) Assicurarsi che tutti i client siano aggiornati (WSUS + GPO)
7) Assicurarsi che tutti i client siano dei webproxy client e Firewall Client di ISA tramite le GPO
7) Sistema di antivirus client con aggiornamenti il LAN (Io uso BitDefender e GFI MailSecurity e GFI MailEssential)
8) Controllo periodico delle macchine di rete (Es. GFI Lan Network Scanner) per vedere ventuali vulnerabilità
9) Regole base per password e user name, questo lo fai nelle gpo a livello di dominio impostando i criteri minimi di sicurezza che riguardano le password (Es. Lunghezza minima, ripetibilità, scadenza....., cambio obbligatorio, blocco utente per password errata......)



..., e dove occorre a livello di OU inizi a mettere i paletti con GPO dedicate alle OU.


Ciao Giulio

------------------------------------------------
Giulio Martino
Avaya IP Office TCLA

Technical Writer e Supporter di ISAServer.it
Articoli - http://www.isaserver.it/articoli/
Forum - http://www.isaserver.it/forum/
------------------------------------------------
Go to Top of Page
  Previous Topic Topic   
 New Topic  Reply to Topic
 Printer Friendly
Jump To:
ISAserver.it Forum © 2004-2014 Luca Conte - Tutti i diritti riservati Go To Top Of Page
Powered By: Snitz Forums 2000 Version 3.4.06


No banner in farm

ISAServer.it sostiene la campagna per la riduzione del riscaldamento globale e un uso più efficiente dell'energia da parte delle infrastrutture tecnologiche


ISAserver.it è parte del network GITCA - Global IT Community Association