Consideraciones Básicas de Diseño de Dominios de Directorio Activo

Tres Consideraciones Fundamentales y Básicas

En las grandes empresas la implementación de Directorio Activo es un proceso que hace un equipo especializado, divido en grupos que cubren las tres fases más importantes (Diseño, Planificación e Implementación)
Lo anterior es diferente a lo que sucede en las empresas pequeñas o aún medianas, donde una única persona, o a veces un pequeño grupo, debe hacerse cargo de todo el proceso. Inclusive aún sin la experiencia o los conocimientos suficientes del tema específico.

En esta pequeña nota nos centraremos sobre la implementación de Directorio Activo (Active Directory) y las consideraciones fundamentales iniciales.

Debemos pensar que las configuraciones que seleccionemos en este primer momento afectarán en forma directa no sólo el costo de implementación, sino que además el trabajo de mantenimiento, que también es costo.

Existe una regla básica de diseño: “Más simple es mejor”

Cuántos Dominios son necesarios

Siempre debemos partir con la convicción que un único dominio es suficiente. Tener un único dominio acotará notablemente los costos tanto de hardware como de software, permitirá centralizar más fácilmente la administración, será más fácil de configurar, y varias razones más que no expondré ahora para acotar el tema.

Por supuesto que existen razones válidas que justifican tener más de un dominio, pero no son tantas, y muchas veces no tienen relación con lo que muchos piensa, como por ejemplo, la cantidad de usuarios.
Veamos algunas que sí pueden justificar más de un dominio:

  • Diferentes directivas de cuenta con dominios hasta Windows 2003R2
    A partir de Windows 2008 este tema está solucionado, pero si nuestro dominio está basado en Windows 2003R2 o anterior, entonces todas las directivas de cuenta, como son las contraseñas y el bloqueo son las mismas para todo el dominio.
    Si se necesitan diferentes directivas de cuentas, se necesita más de un dominio.
  • Enlaces WAN no confiables o con poco ancho de banda disponible
    Si la empresa posee más de una locación física es importante tener en cuenta los enlaces WAN que los conectan. Generalmente se quiere asegurar que todo funcione igual si este enlace no está disponible, lo que implica poner Controladores de Dominio en cada sitio, y esto si no está adecuadamente configurado puede suponer mucho tráfico sobre el enlace.
    Pero debemos tener en cuenta que configurando adecuadamente los Sitios, Subredes y Enlaces podemos no sólo achicar el tráfico, sino que además configurar cuándo se hace uso del enlace WAN.
    Consideremos este escenario: un sitio central y una sucursal. Como el enlace tiene poco ancho de banda nos decidimos por dos dominios, uno en central y otro en la sucursal. Si alguien de la central va a la sucursal, para poder iniciar sesión necesita contactar a un Controlador del Dominio central, y por lo tanto se necesita el enlace WAN
    ¿Cómo solucionamos el problema si el enlace no está activo? Parece fácil, ponemos un Controlador del Dominio central, en el sitio de la sucursal.
    En este caso lamentablemente se perdió todo lo que se quería optimizar, pues este último Controlador del Dominio central necesita replicación de cualquier cambio. Y da exactamente igual que si hubiéramos hecho un único dominio.
  • Seguridad física
    A veces los sitios remotos no disponen de la seguridad física requerida por un servidor. Esto implica que personal no apropiado tenga acceso físico al mismo. Podría llevárselo, o hacer un ataque “offline” (Live CDs) en cuyo caso podría acceder a información de seguridad de todo el dominio.
    Hasta Windows 2003R2, evitar este riesgo implicaba crear otro dominio. A partir de Windows 2008 esto está prácticamente mitigado con el uso de Read Only Domain Controllers (RODCs) ya que el mismo además de no soportar cambios ni replicar información hacia otros controladores, tampoco tiene copia de las contraseñas de usuarios, salvo las que el administrador específicamente permita.
    El RODC tiene además una ventaja adicional ya que podemos asignarle un “administrador local” para que una persona en el sitio remoto pueda, por ejemplo, instalar aplicaciones o actualizaciones, y no necesita ser administrador de dominio.

Nombre del Dominio

Este tema debe ser pensado no sólo en base a la situación actual, además hay que tener en cuenta la evolución que se puede esperar de la empresa.

Las condiciones fundamentales que debemos tener en cuenta son:

  • Estable: que no cambie en el tiempo
  • Significativo: que identifique a la empresa lo mejor posible
  • Fácil de recordar: no sólo para los administradores, también para los usuarios
  • Que no contenga muchos caracteres: porque se escribirá muchas veces
  • Y por último, uno de los más difíciles ¿coincide con el nombre de presencia en Internet?
    Vamos a desarrollar un poco este tema

Lo primero a tener en cuenta, es que aunque tanto los nombres de Internet, como los nombres de Directorio Activo (Active Directory) se resuelven mediante el servicio DNS, cada uno constituye un espacio de nombres separados.

Supongamos que la empresa tiene presencia en Internet como “empresa.com”

Tenemos varias alternativas, para el nombre de nuestro dominio de Directorio Activo:

  • “empresa.com”: Igual que el de presencia en Internet
    Es una alternativa posible aunque debemos tomar algunas precauciones, ya que habrá dos servidores DNS, uno externo y otro interno. El externo debe resolver solamente los nombres de los servicios que publiquemos en Internet. El interno debe resolver todos los nombres, tanto los internos como el resto de Internet.
    Resumiendo tendremos dos DNS, ambos con una zona “empresa.com” y ambos autoritativos sobre la misma, pero con contenido diferente. No hay que confundirse
  • “interno.empresa.com”: Subdominio del de presencia en Internet
    En un primero momento Microsoft recomendaba el uso de este tipo de nombres. Tiene dos posibles inconvenientes, la posible excesiva longitud, y el cuidado de no delegar el subdominio en los DNSs externos.
  • “empresa.local”: Nombre de presencia en Internet pero con sufijo “local”
    Es una alternativa muy usada actualmente, ya que mantiene el nombre (“empresa”) pero no es resoluble en Internet (sufijo “local”) lo que da una posible ventaja en cuanto a seguridad

Y por supuesto muchas más alternativas, pero lo importante realmente es que contenga “.” (Punto), esto es que tenga la forma “dominio.sufijo” (dominio punto sufijo) ya que esto es lo que permite la requerida resolución de nombres por el servicio DNS.

Tolerancia a Fallas

Por supuesto, y es sabido por todos, o por lo menos deberían saberlo que

“Nada reemplaza a una copia de seguridad (Backup). ¡¡¡Probada!!!”

Pero podemos mitigar muchos los riesgos si proveemos tolerancia a fallas sobre el dominio. Para esto es fundamental contar con por lo menos dos Controladores de Dominio por dominio, ante la falla o fuera de servicio de uno de ellos todo seguirá funcionando, aunque puede que se degrade la performance. El que todo siga funcionando nos da más tiempo y tranquilidad para hacer las tareas de recuperación.

Para que en caso de caída de un Controlador de Dominio, el otro pueda suplirlo deben cumplirse algunas condiciones:

  • Tener por lo menos dos Controlador de Dominio en cada dominio (Obvio)
  • Que ambos Controladores de Dominio sean Catálogo Global
  • Que ambos Controladores de Dominio tengan el servicio DNS
  • Que todos los clientes tengan configurado como DNS a ambos Controladores de Dominio

Consideraciones Sobre los Controladores de Dominio

  • Falta de presupuesto
    Un problema muy común en empresas chicas. Si no hay presupuesto para dos servidores, que uno sea realmente un servidor, el otro puede ser una máquina de escritorio “bien armada”. Ellos se repartirán adecuadamente la tarea.
  • No tener más de una dirección IP (Multihomed)
    Es común escuchar problemas con esta configuración. Como el servicio DNS, por omisión, utiliza Round Robin, puede contestarle al cliente con una dirección IP que no es accesible para el mismo, entre otros problemas ya documentados
  • No debe ser servidor VPN, ni mucho menos Cortafuegos (Firewall) externo
    Los Controladores de Dominio contienen lo más valioso de la red: los nombres de usuario y las contraseñas que permiten acceder y modificar todos los recursos de la red.
    Una analogía: ¿Ud. colgaría todos sus ahorros en la puerta de entrada de su casa?
  • El Controlador de Dominio debería ser sólo eso: Controlador de Dominio
    Aunque a veces es difícil en la pequeña empresa, un Controlador de Dominio no debería prestar otro servicio a la red. Podría ser con servicios livianos por ejemplo DHCP o si se implementara WINS. Pero no es para nada recomendable que sea servidor de archivos o de impresión y mucho menos con aplicativos que pueden consumir muchos recursos, como puede ser SQL, Exchange u otros aplicativos comerciales.
Post a comment or leave a trackback: Trackback URL.

Comentarios

  • Joseph Martínez  On 16/12/2014 at 23:53

    Buenas!!!

    Primero que nada un grato saludo, tu blog me parece sencillamente excelente, ya que me ha aclarado muchas dudas, y me ha servido de orientación.

    Algo con lo que me identifico perfectamente es esta parte en la que dices

    “Lo anterior es diferente a lo que sucede en las empresas pequeñas o aún medianas, donde una única persona, o a veces un pequeño grupo, debe hacerse cargo de todo el proceso. Inclusive aún sin la experiencia o los conocimientos suficientes del tema específico.”

    Yo soy esa única persona, que aunque tengo experiencia en cuanto a la administración del AD, nunca me había tocado realizar la instalación de uno.

    Cabe destacar que en la empresa no tenían AD y al yo ingresar (hace dos meses) lo primero que solicitaron era la instalación de uno, yo ya instale el WS2k12R2 y coloque lo roles de AD y DNS, pero ahora después de que ya tengo eso es que leo en tu blog que un controlador de dominio debe ser solo para eso.

    Mi pregunta es si hay algún tipo de inconveniente en que mi controlador de dominio tenga los roles de AD, DNS y DHCP?

    El mismo es una maquina virtual con la siguiente configuración:
    RAM: 4Gb
    HD: 60Gb

    Te agradecería si me podrías ayudar aclarándome esta duda, a ver si es factible o no.

    De antemano muchas Gracias!!!

    • Guillermo Delprato  On 17/12/2014 at 06:38

      Hola Joseph, me alegro te sirvan las notas
      Esta nota fue una forma de referenciar lo escrito hasta ese momento, pero revisa con tiempo que hay mucho más escrito posteriormente. Este es un resumen de algunas de las cosas importantes, pero no es ni cerca completo

      Si estás comenzando con el Dominio es una buena oportunidad para hacerlo “bien desde un principio”, como decía un amigo “piensa dos veces, y trabaja una sola” :)

      La primera recomendación, por lo menos dos Controladores de Dominio para tener tolerancia a fallas. Si no hay presupuesto para dos servidores, entonces será un servidor de verdad, y el segundo lo puedes armar sobre una de escritorio “bien armada” que de eso sabemos los que estamos en esto. El tema es que ante la falla de uno se siga prestando servicio
      Y esto está justamente relacionado con la pregunta de si se pueden poner otros servicios en un Controlador de Dominio
      Siempre un DC conviene que sea DNS por la integración que hace Microsoft, DHCP es un servicio liviano teniendo pocos usuarios, pero para lo demás hay que pensar un poco
      Un File Server o Print Server puede que sea liviano, o no, dependiendo de la cantidad de usuarios, y de su uso
      Un DC contiene “lo más valioso” (Usuarios/contraseñas) así que de ninguna forma conviene que sea accesible desde Internet. Y además un DC con más de una dirección IP es conocido que trae problemas (VPN, NAT, etc.)
      Hay aplicaciones que cargan mucho, y no conviene que estén en un DC inclusive por su funcionamiento (SQL, Exchange)
      Vamos a un ejemplo, si tienes dos DCs y uno deja de funcionar, todo sigue trabajando. Pero si ese DC también es File Server ¿podrán seguir trabajando? vale para cualquier otra función
      Además, reemplazar un DC en caso de falla, teniendo dos, es algo muy sencillo, pero si además tiene otra función ¿la podrás recuperar? ¿cuánto tiempo llevará devolver el servicio?
      Cuidado con algo :) en general te limitarán el presupuesto, pero te harán responsable :)

  • Marcelo  On 27/06/2016 at 20:36

    Guillermo excelente el blog ! quisiera realizarte una consulta en bs as implemente active directory 2012 ambos solo con DNS replicados entre si , el domino que opte fue empresa.local , aqui tengo 400 usuarios
    ahora mi gerente compro un servidor para uruguay , alla son 40 usuarios , me recomendas que lo agregue como DC y GC al dominio que tengo en buenos aires o que cree un nuevo domino llamado uruguay.local ??

    para que luego se vean tendria que generar relaciones de confianza no ? me gustaria si podes me indiques la mejor solucion para no tener problemas a futuro

    abrazo grande

    • Guillermo Delprato  On 28/06/2016 at 06:44

      Hola Marcelo, no es una respuesta fácil, habría que conocer muchos muchos datos para darte la mejor respuesta
      Lo primero que debes tener en cuenta es la conectividad que va a haber entre ambos Sitios, esto es fundamental, luego todos los datos de la empresa sobre cómo se operará el sistema, qué se implementará, autonomía necesaria, servicios, aplicaciones, etc. etc. etc.
      Pero de todas formas, siempre hay que partir de que cuanto más simple, mejor :) Es más seguro, más económico, más fácil de administrar, en otras palabras “mejor”
      Salvo alguna/s condición/es en particular el punto de partida es “un único Dominio” definiendo “Sites”. Ni subdominio (“child”), ni nuevo Arbol (“Tree”), y menos que menos nuevo Bosque (“Tree”)
      Como puse antes, para poder tener una respuesta hay que conocer muchos datos, no sólo de la situación actual, sino además cómo se espera que evolucione a futuro

  • Marcelo  On 28/06/2016 at 14:27

    Guillermo muchas gracias por responder tan rapido :) te agrego algunas cositas mas , en capital federal tenemos 5 sitios en distintos barrios todos estos llegan a los 2 AD que tengo en casa central , la validacion funciona de maravilla este nuevo servidor que se va a estar en uruguay solo atenderia a pocos usarios la forma de conectarse toda la red es a traves de una red mpls
    por eso tenia pensado crear un dominio nuevo llamado uruguay.local y ahi aislar ese otro rango de IP , crearles un FS a ellso y que sean autonomos con eso tendria facilitado todo lo que tengo en contra es si alguien de alla quiere conectarse a los recursos de argentina si tendria que generar relaciones de confianza entre ambos dominos pero tampoco quiero entreverarme tanto !
    un abrazo grande

    • Guillermo Delprato  On 28/06/2016 at 16:27

      Hola Marcelo, por supuesto que hay que usar un rango diferente de IPs, eso es lo que permite definir “Sites” y que los clientes traten de usar siempre un servidor local; además entre diferentes “Sites” la replicación es diferente, y puedes controlar el tráfico
      ¿Crear otro Dominio en el mismo Bosque? ¿O uruguay.local será un Bosque diferente? cuidado sobre todo con esta última, porque en ese caso sí hay que hacer relaciones de confianza
      Crear un Bosque diferente implica en general “aislamiento” no “autonomía”. En el primer caso se contrarresta con relaciones de confianza, pero es mucho más sencillo conseguir “autonomía” con delegación de administración sobre los recursos de Uruguay
      Hacer un diseño de AD, en general requiere varias horas de conversaciones y con diferentes jerarquías de la organización. No se puede hacerlo solamente pensando en “sistemas”
      Y como comentario, ninguno de los datos que das justifica un dominio separado :)

  • Marcelo  On 05/10/2016 at 15:27

    un grande Guille excelente articulo

    • Guillermo Delprato  On 05/10/2016 at 16:25

      Hola Marcelo, me alegro te sirva la nota :)
      Sólo un detalle ahora que la estoy viendo, fue escrita hace más de 5 años y alguna recomendación ha cambiado
      Por ejemplo, actualmente no se aconseja el “.local” sino más vale un subdominio del de prescencia en Internet, aunque siguen valiendo las consideraciones para ese caso

Trackbacks

Este espacio es para comentarios sobre la nota. No es un sitio de soporte

Introduce tus datos o haz clic en un icono para iniciar sesión:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión / Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión / Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión / Cambiar )

Google+ photo

Estás comentando usando tu cuenta de Google+. Cerrar sesión / Cambiar )

Conectando a %s

A %d blogueros les gusta esto: