Attività‎ > ‎

Migrazione Dominio ADMT e scenario VDI

pubblicato 25 feb 2014, 08:33 da Davide Zanfi   [ aggiornato in data 4 mar 2014, 03:24 ]

Nuovo Dominio

Attenendosi alle Istruzioni di Milano è stato creato per la sede di Baggiovara, l’infrastruttura di Dominio nuova, all’interno della nuova foresta.

A questo scopo si è costruito un network in classe c con servizi di DHCP e DNS configurato sulla coppia di apparati infoblox e routing sugli switch HP core, cambiando il suffisso DNS 

E’ stato quindi installato il Domain Controller, in base al criterio di denominazione , sono stati configurati i siti e servizi in Active Directory, ed associate le correte subnet ai siti.

Per risolvere i problemi di replica Active Directory si sono dovute escludere dalle ottimizzazioni degli apparati riverbed il traffico dalla nuova network al network di Milano dove era presente l’altro Domain Controller

Si sono quindi eseguiti test di join di vari client al dominio, creati account per i servizi e per gli utenti amministrativi

Netapp è stato configurato come file server per offrire performance tenG, replica sincrona tra siti (Metrocluster), Versione precedenti (orarie, giornaliere, settimanali), deduplica, caching (flexcache).

Creata la share redirect, per redirigere desktop e documenti degli utenti. Creata il DFS operations.ga.local\mo a cui è stata linkata la share redirect, di seguito le permission NTFS della cartella:

•             CREATOR OWNER - Full Control      (Apply onto: Subfolders and Files Only)

•             System - Full Control      (Apply onto: This Folder, Subfolders and Files)

•             Domain Admins - Full Control      (Apply onto: This Folder, Subfolders and Files)

•             Authenticated Users - Create Folder/Append Data      (Apply onto: This Folder Only)

•             Authenticated Users      - List Folder/Read Data      (Apply onto: This Folder Only)

•             Authenticated Users      - Read Attributes      (Apply onto: This Folder Only)

•             Authenticated Users      - Traverse Folder/Execute File      (Apply onto: This Folder Only)

Purtroppo i client XP non sono in grado di supportare il percorso DFS sui server 2012

Sono state create le relazione di trust con i domini vecchi, è stata abilita la SID history e disabilitato sid filtering.

Per la risoluzione dei nomi DNS nei domini vecchi è stata creata un policy (dnssuffix) che aggiunge come suffisso DNS i vecchi domini ai client del nuova OU di Modena

Leostream

Nell’attesa dell’implementazione di vmaware view, è stato aggiunto a leostream l’autenticazione ldap al dominio nuovo con l’utente nuovodominio\leostream, in testa a tutte le altre regole.

Con questo scenario è possibile sfruttare l’ambiente VDI (wyse, leostream), per la struttura del nuovo Dominio

Infoblox

LA struttura DNS è integrata in Active directory, ma il resolver DNS è l’apparato infoblox che contiene una copia secondaria della zona di dominio e della relativa subnet

Per le risoluzioni della foresta , infoblox è secondario della zona ospitata sul DC della foresta

Sono inoltre state create le zone forward geografiche: US, china…., brazil……, Australia…., ecc in quanto le query ricorsive non funzionavano dall’apparato infoblox, ma solo dal nostro DC 

 

 

Vmware view

Per la struttura Vmware View sono stati installati i seguenti server

Composer

Connection Server

Connection Server backup

thin client

t410 - T5565Z:

per togliere warning certificato sul thin client administrative mode poi edit connection

I Client dipendono da HP device Manager, da cui caricano tramite profile.xml gli aggiornamenti e le configurazioni, per l’upgrade firmware doppio click accensione con usb key (T410).

Posizionando in autoupdate/image il firmware è possibile aggiornare via rete il sistema operativo, se non è il file corretto si corrompe il thinclient………….

T310

Management da web console: no password, Controllare fuso orario, Language

Dal Client – impostazione utente – non verificare Certificati,

T510

Client windows

T5740

Tasto shift logoff, Administrator come user e password

Disable filter per cambiare configurazioni,

wyse

Le opzioni del wyse dipendono in prima istanza da opzioni dhcp

le configurazioni di infoblox globali leggono il vendor-id wyse-1000 ed assegnano il connection broker leostream come opzione dhcp

per passare a view è necessario configurare la option vdi broker in modo da sovrascrivere questa opzione

option 188 https://connectione server

impostando poi la option 162 a view, viene letto il file dhcpserver\view\wyse\wnos\wnos.ini

impostando la option 162 a test, viene aggiornato il wtos. A volte è necessario disabilitare il bootp per caricare le opzioni correttamente

Per la vlan specifiche sono state applicate queste option, ma non viene applicata ConnectionBroker se non forzandola come reservation


Per le configurazioni dei 10 terminali INCAS, non utilizziamo nessun connection Broker, ma le personalizzazioni fatte in ftp://dhscserver/incas/wyse/wnos/wnos.ini e ftp://dhcpserver/incas/wyse/wnos/inc per la login di ogni teminale

ADMT

Creato un server:

admt

netdom trust vecchiodominio  /domain:nuovodominio /enableSIDhistory:yes /usero:administrator /passwordo:password

creato nei vecchi domini local security group ADMT

aggiunto  domain admins del nuovo dominio

policy ADMT - restricted group - ADMT member of administrators linkata dove sono presenti PC da migrare

aggiunto nuovodominio\domain admins a builtin\administrator nei vecchi domini

Sono poi stati condotti vari test di migrazione su machine fisiche e virtuali alla ricerca del risultato che consentisse alla nuova login dell’utente di ritrovare identica configurazione desktop applicazioni.

Problemi riscontrati:

·         risoluzione del nomi dns prima e dopo la migrazione da parte del server ADMT

·         firewall windows o kaspersky che non consentono la migrazione

·         dipendenze patch in windows XP

Dopo la risoluzione di questi problemi tramite applicazione patch e policy nei domini di origine, si è passati alla migrazione degli utenti reali.

Le problematiche riscontrate sono state:

·         Autorizzazione driver stampanti

·         Credenziali ldap server uniflow

·         Redirect folder XP non funzionante con percorso DFS

·         Mappature unità

Sono state correte via policy le problematiche driver, aggiunte alla routine di migrazioni srv-uniflow, costruiti 2 gruppi diversi per utenti XP e 7 per i diversi percorsi del folder redirect.

Sono state create policy per collegamenti a preferiti al posto delle mappature per i client 7

Si è costruito un server di Stampa  per le stampanti di magazzino e policy per assegnazione

Un foglio di lavoro condiviso documenta le migrazione effettuate

 

Comments