Consideraciones Básicas de Diseño de Dominios de Directorio Activo

Tres Consideraciones Fundamentales y Básicas

En las grandes empresas la implementación de Directorio Activo es un proceso que hace un equipo especializado, divido en grupos que cubren las tres fases más importantes (Diseño, Planificación e Implementación)
Lo anterior es diferente a lo que sucede en las empresas pequeñas o aún medianas, donde una única persona, o a veces un pequeño grupo, debe hacerse cargo de todo el proceso. Inclusive aún sin la experiencia o los conocimientos suficientes del tema específico.

En esta pequeña nota nos centraremos sobre la implementación de Directorio Activo (Active Directory) y las consideraciones fundamentales iniciales.

Debemos pensar que las configuraciones que seleccionemos en este primer momento afectarán en forma directa no sólo el costo de implementación, sino que además el trabajo de mantenimiento, que también es costo.

Existe una regla básica de diseño: “Más simple es mejor”

Cuántos Dominios son necesarios

Siempre debemos partir con la convicción que un único dominio es suficiente. Tener un único dominio acotará notablemente los costos tanto de hardware como de software, permitirá centralizar más fácilmente la administración, será más fácil de configurar, y varias razones más que no expondré ahora para acotar el tema.

Por supuesto que existen razones válidas que justifican tener más de un dominio, pero no son tantas, y muchas veces no tienen relación con lo que muchos piensa, como por ejemplo, la cantidad de usuarios.
Veamos algunas que sí pueden justificar más de un dominio:

  • Diferentes directivas de cuenta con dominios hasta Windows 2003R2
    A partir de Windows 2008 este tema está solucionado, pero si nuestro dominio está basado en Windows 2003R2 o anterior, entonces todas las directivas de cuenta, como son las contraseñas y el bloqueo son las mismas para todo el dominio.
    Si se necesitan diferentes directivas de cuentas, se necesita más de un dominio.
  • Enlaces WAN no confiables o con poco ancho de banda disponible
    Si la empresa posee más de una locación física es importante tener en cuenta los enlaces WAN que los conectan. Generalmente se quiere asegurar que todo funcione igual si este enlace no está disponible, lo que implica poner Controladores de Dominio en cada sitio, y esto si no está adecuadamente configurado puede suponer mucho tráfico sobre el enlace.
    Pero debemos tener en cuenta que configurando adecuadamente los Sitios, Subredes y Enlaces podemos no sólo achicar el tráfico, sino que además configurar cuándo se hace uso del enlace WAN.
    Consideremos este escenario: un sitio central y una sucursal. Como el enlace tiene poco ancho de banda nos decidimos por dos dominios, uno en central y otro en la sucursal. Si alguien de la central va a la sucursal, para poder iniciar sesión necesita contactar a un Controlador del Dominio central, y por lo tanto se necesita el enlace WAN
    ¿Cómo solucionamos el problema si el enlace no está activo? Parece fácil, ponemos un Controlador del Dominio central, en el sitio de la sucursal.
    En este caso lamentablemente se perdió todo lo que se quería optimizar, pues este último Controlador del Dominio central necesita replicación de cualquier cambio. Y da exactamente igual que si hubiéramos hecho un único dominio.
  • Seguridad física
    A veces los sitios remotos no disponen de la seguridad física requerida por un servidor. Esto implica que personal no apropiado tenga acceso físico al mismo. Podría llevárselo, o hacer un ataque “offline” (Live CDs) en cuyo caso podría acceder a información de seguridad de todo el dominio.
    Hasta Windows 2003R2, evitar este riesgo implicaba crear otro dominio. A partir de Windows 2008 esto está prácticamente mitigado con el uso de Read Only Domain Controllers (RODCs) ya que el mismo además de no soportar cambios ni replicar información hacia otros controladores, tampoco tiene copia de las contraseñas de usuarios, salvo las que el administrador específicamente permita.
    El RODC tiene además una ventaja adicional ya que podemos asignarle un “administrador local” para que una persona en el sitio remoto pueda, por ejemplo, instalar aplicaciones o actualizaciones, y no necesita ser administrador de dominio.

Nombre del Dominio

Este tema debe ser pensado no sólo en base a la situación actual, además hay que tener en cuenta la evolución que se puede esperar de la empresa.

Las condiciones fundamentales que debemos tener en cuenta son:

  • Estable: que no cambie en el tiempo
  • Significativo: que identifique a la empresa lo mejor posible
  • Fácil de recordar: no sólo para los administradores, también para los usuarios
  • Que no contenga muchos caracteres: porque se escribirá muchas veces
  • Y por último, uno de los más difíciles ¿coincide con el nombre de presencia en Internet?
    Vamos a desarrollar un poco este tema

Lo primero a tener en cuenta, es que aunque tanto los nombres de Internet, como los nombres de Directorio Activo (Active Directory) se resuelven mediante el servicio DNS, cada uno constituye un espacio de nombres separados.

Supongamos que la empresa tiene presencia en Internet como “empresa.com”

Tenemos varias alternativas, para el nombre de nuestro dominio de Directorio Activo:

  • “empresa.com”: Igual que el de presencia en Internet
    Es una alternativa posible aunque debemos tomar algunas precauciones, ya que habrá dos servidores DNS, uno externo y otro interno. El externo debe resolver solamente los nombres de los servicios que publiquemos en Internet. El interno debe resolver todos los nombres, tanto los internos como el resto de Internet.
    Resumiendo tendremos dos DNS, ambos con una zona “empresa.com” y ambos autoritativos sobre la misma, pero con contenido diferente. No hay que confundirse
  • “interno.empresa.com”: Subdominio del de presencia en Internet
    En un primero momento Microsoft recomendaba el uso de este tipo de nombres. Tiene dos posibles inconvenientes, la posible excesiva longitud, y el cuidado de no delegar el subdominio en los DNSs externos.
  • “empresa.local”: Nombre de presencia en Internet pero con sufijo “local”
    Es una alternativa muy usada actualmente, ya que mantiene el nombre (“empresa”) pero no es resoluble en Internet (sufijo “local”) lo que da una posible ventaja en cuanto a seguridad

Y por supuesto muchas más alternativas, pero lo importante realmente es que contenga “.” (Punto), esto es que tenga la forma “dominio.sufijo” (dominio punto sufijo) ya que esto es lo que permite la requerida resolución de nombres por el servicio DNS.

Tolerancia a Fallas

Por supuesto, y es sabido por todos, o por lo menos deberían saberlo que

“Nada reemplaza a una copia de seguridad (Backup). ¡¡¡Probada!!!”

Pero podemos mitigar muchos los riesgos si proveemos tolerancia a fallas sobre el dominio. Para esto es fundamental contar con por lo menos dos Controladores de Dominio por dominio, ante la falla o fuera de servicio de uno de ellos todo seguirá funcionando, aunque puede que se degrade la performance. El que todo siga funcionando nos da más tiempo y tranquilidad para hacer las tareas de recuperación.

Para que en caso de caída de un Controlador de Dominio, el otro pueda suplirlo deben cumplirse algunas condiciones:

  • Tener por lo menos dos Controlador de Dominio en cada dominio (Obvio)
  • Que ambos Controladores de Dominio sean Catálogo Global
  • Que ambos Controladores de Dominio tengan el servicio DNS
  • Que todos los clientes tengan configurado como DNS a ambos Controladores de Dominio

Consideraciones Sobre los Controladores de Dominio

  • Falta de presupuesto
    Un problema muy común en empresas chicas. Si no hay presupuesto para dos servidores, que uno sea realmente un servidor, el otro puede ser una máquina de escritorio “bien armada”. Ellos se repartirán adecuadamente la tarea.
  • No tener más de una dirección IP (Multihomed)
    Es común escuchar problemas con esta configuración. Como el servicio DNS, por omisión, utiliza Round Robin, puede contestarle al cliente con una dirección IP que no es accesible para el mismo, entre otros problemas ya documentados
  • No debe ser servidor VPN, ni mucho menos Cortafuegos (Firewall) externo
    Los Controladores de Dominio contienen lo más valioso de la red: los nombres de usuario y las contraseñas que permiten acceder y modificar todos los recursos de la red.
    Una analogía: ¿Ud. colgaría todos sus ahorros en la puerta de entrada de su casa?
  • El Controlador de Dominio debería ser sólo eso: Controlador de Dominio
    Aunque a veces es difícil en la pequeña empresa, un Controlador de Dominio no debería prestar otro servicio a la red. Podría ser con servicios livianos por ejemplo DHCP o si se implementara WINS. Pero no es para nada recomendable que sea servidor de archivos o de impresión y mucho menos con aplicativos que pueden consumir muchos recursos, como puede ser SQL, Exchange u otros aplicativos comerciales.
About these ads
Post a comment or leave a trackback: Trackback URL.

Comentarios

  • Joseph Martínez  On 16/12/2014 at 23:53

    Buenas!!!

    Primero que nada un grato saludo, tu blog me parece sencillamente excelente, ya que me ha aclarado muchas dudas, y me ha servido de orientación.

    Algo con lo que me identifico perfectamente es esta parte en la que dices

    “Lo anterior es diferente a lo que sucede en las empresas pequeñas o aún medianas, donde una única persona, o a veces un pequeño grupo, debe hacerse cargo de todo el proceso. Inclusive aún sin la experiencia o los conocimientos suficientes del tema específico.”

    Yo soy esa única persona, que aunque tengo experiencia en cuanto a la administración del AD, nunca me había tocado realizar la instalación de uno.

    Cabe destacar que en la empresa no tenían AD y al yo ingresar (hace dos meses) lo primero que solicitaron era la instalación de uno, yo ya instale el WS2k12R2 y coloque lo roles de AD y DNS, pero ahora después de que ya tengo eso es que leo en tu blog que un controlador de dominio debe ser solo para eso.

    Mi pregunta es si hay algún tipo de inconveniente en que mi controlador de dominio tenga los roles de AD, DNS y DHCP?

    El mismo es una maquina virtual con la siguiente configuración:
    RAM: 4Gb
    HD: 60Gb

    Te agradecería si me podrías ayudar aclarándome esta duda, a ver si es factible o no.

    De antemano muchas Gracias!!!

    • Guillermo Delprato  On 17/12/2014 at 06:38

      Hola Joseph, me alegro te sirvan las notas
      Esta nota fue una forma de referenciar lo escrito hasta ese momento, pero revisa con tiempo que hay mucho más escrito posteriormente. Este es un resumen de algunas de las cosas importantes, pero no es ni cerca completo

      Si estás comenzando con el Dominio es una buena oportunidad para hacerlo “bien desde un principio”, como decía un amigo “piensa dos veces, y trabaja una sola” :)

      La primera recomendación, por lo menos dos Controladores de Dominio para tener tolerancia a fallas. Si no hay presupuesto para dos servidores, entonces será un servidor de verdad, y el segundo lo puedes armar sobre una de escritorio “bien armada” que de eso sabemos los que estamos en esto. El tema es que ante la falla de uno se siga prestando servicio
      Y esto está justamente relacionado con la pregunta de si se pueden poner otros servicios en un Controlador de Dominio
      Siempre un DC conviene que sea DNS por la integración que hace Microsoft, DHCP es un servicio liviano teniendo pocos usuarios, pero para lo demás hay que pensar un poco
      Un File Server o Print Server puede que sea liviano, o no, dependiendo de la cantidad de usuarios, y de su uso
      Un DC contiene “lo más valioso” (Usuarios/contraseñas) así que de ninguna forma conviene que sea accesible desde Internet. Y además un DC con más de una dirección IP es conocido que trae problemas (VPN, NAT, etc.)
      Hay aplicaciones que cargan mucho, y no conviene que estén en un DC inclusive por su funcionamiento (SQL, Exchange)
      Vamos a un ejemplo, si tienes dos DCs y uno deja de funcionar, todo sigue trabajando. Pero si ese DC también es File Server ¿podrán seguir trabajando? vale para cualquier otra función
      Además, reemplazar un DC en caso de falla, teniendo dos, es algo muy sencillo, pero si además tiene otra función ¿la podrás recuperar? ¿cuánto tiempo llevará devolver el servicio?
      Cuidado con algo :) en general te limitarán el presupuesto, pero te harán responsable :)

Trackbacks

Deje una respuesta

Introduce tus datos o haz clic en un icono para iniciar sesión:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión / Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión / Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión / Cambiar )

Google+ photo

Estás comentando usando tu cuenta de Google+. Cerrar sesión / Cambiar )

Conectando a %s

Seguir

Recibe cada nueva publicación en tu buzón de correo electrónico.

Únete a otros 589 seguidores

A %d blogueros les gusta esto: