En esta ocasión comenzaré una serie de notas dedicadas a la implementación de Active Directory en una organización mediana, donde desarrollaremos de principio a fin la implementación de varios Dominios, con más de un sitio geográfico, inclusive alguno donde tendremos problemas de seguridad que deberemos solucionar, siendo el objetivo final proveer tolerancia a fallas sobre la infraestructura Active Directory y preveer problemas de seguridad
Aunque esta serie de notas no pretende ser una guía de diseño y planificación, creo que mucha de la información puede ayudar a comprender los datos imprescindibles para comenzar una implementación y llegar a los objetivos deseados
La implementación a desarrollar tiene en consideración:
- Por consideraciones geográficas y enlaces WAN tener más de un Dominio
- Por consideraciones internas y de identidad de empresa, contar con nombres de dominio no contiguos
- Ver cómo proceder teniendo un sitio geográfico sin la adecuada seguridad física, ni personal local de TI (IT)
- Proveer tolerancia a fallas en caso de interrupciones de los enlaces WAN
- Proveer tolerancia a fallas sobre los Controladores de Dominio de cada dominio en caso de falta de servicio de uno de ellos
- Proveer tolerancia a fallas del servicio DNS
La estructura consiste de un sitio central (Central) y tres sitios adiconales (Mendoza, Córdoba y Neuquén)
Luego de la etapa de diseño, que no trataremos acá por la complejidad y el tiempo que nos llevaría, se ha decidido:
- En el sitio Central se implementará el Dominio Raíz del Bosque, ya que es donde está centralizada la administración de los sistemas
- En el sitio Mendoza se implementará un sub-dominio separado del Dominio Raíz, motivado fundamentalmente porque en dicha ubicación habrá disponible personal de administración, se requiere autonomía de administración y se prevee que tenga importante cantidad de usuarios y recursos
- En el sitio Córdoba, habrá una pequeña sucursal o delegación, no dispondrá de personal especializado para la administración del sistema, y lo más preocupante es que no se puede asegurar el acceso físico a el/los Controladores de Dominio, por lo cual se ha determinado que se instalará un RODC (Read Only Domain Controller) a fin de asegurar la posibilidad de acceso a recursos locales en caso de falta de conectividad WAN
- En el sitio Neuquén, por ser una empresa casi independiente que fue recientemente adquirida, se desea mantener la identidad. Esto es, se quiere mantener la identidad de la misma, aunque no total autonomía
Por lo tanto se ha establecido que:
- El Dominio Raíz se llamará: “root.guillermod.com.ar”
- El Sub-Dominio en el sitio Mendoza se llamará “mza.root.guillermod.com.ar”
- El Sub-Dominio en el sitio Neuquén se llamará: “neuquen.local”
- El sitio Córdoba, se incluirá en el Dominio Raíz, se instalará solamente un RODC (Read Only Domain Controller) a fin de garantizar la autenticación local en caso de desconexión del resto de la red, y teniendo en cuenta la falta de seguridad física en el sitio
- Nombres de los Controladores de Dominio: “DCx” siendo “x” números correlativos
- Se utilizará direccionamient IPv4 de rangos privados siendo los mismos:
- Sitio Central: 192.168.0.0/24
- Sitio Mendoza: 192.168.1.0/24
- Sitio Córdoba: 192.168.2.0/24
- Sitio Neuquén: 192.168.3.0/24
- Los Controladores de Dominio tendrán direcciones IP a partir de “.201”
- Los servidores tendrán direcciones IP a partir de “.101”
- Los clientes tendrán direcciones IP a partir de “.1”
- Las Puertas de Enlace (Default Gateway) usarán como últimos dígitos “.254”
- La interconexión entre los sitios será a través de conexiones VPN entre servidores específicamente dedicados, los cuales además deberán proveer la conectividad de cada sitio a Internet. En una primera etapa las VPNs utilizarán protocolo PPTP, y luego se evaluará la implementación de otro protocolo más seguro
- Por razones de seguridad, los servidores VPN no serán parte del Dominio, estarán en Grupo de Trabajo, y se denominarán como “VPNx” siendo “x” un número correlativo
Continuaremos en la próxima nota con la implementación y configuración de la infraestrucutra propuesta Instalación de Active Directory – Promoción del Primer Controlador de Dominio del Dominio Raíz – Creación del Bosque – Nota II
WindowServer 
Comentarios
Hola Guillermo, de más está decir que estoy ansioso por llegar al final de esta serie de notas de AD puesto que dentro de muy poco voy a estar inmerso en este tipo de implementación en la empresa que trabajo, solo quisiera saber tu opinión en cuanto al diseño de la infraestructura, que crees que sería mejor:
– Site to Site o con Dominio Raíz y subdominios cómo lo veo en tus notas.
Saludos, acabo de descubrir este blog y ya no puedo dejar de visitarlo diariamente.
Hola Pavilion me alegro mucho que el blog te sea de utilidad ¡Gracias por el comentario! :-)
El tema de tener más de un Dominio, siempre es para más complejidad y costo, así que el principio general es tratar de tener un único Dominio. Por lo menos como diseño inicial
Piensa solamente que cada Dominio requiere por lo menos dos Controladores de Dominio, que cada Dominio tendrá un grupo de administradores con control total sobre el mismo, y varios temas más
El diseño que voy a implementar, no es algo que se pueda aplicar tal como está en todos los casos. Está pensado más que nada, como ejemplo didáctico que cubra la mayoría de las posibilidades que se puedan plantear
Tener subdominios se justifica, como puse en la nota, si tienes enlaces no confiables o con poco ancho de banda disponible, o si se requiere que un sector tenga autonomía para administrarse, o inclusive en algunas ocasiones puede ser por restricciones legales
Esta serie de notas va para largo. Tengo armados borradores por ahora, pero ya voy por la parte VI, y todavía no comencé con el sitio Neuquén
Suelo publicar las notas nuevas los días Viernes, o a veces no me alcanza el tiempo y salen durante el fin de semana
Gracias
Muy Buena Iniciativa… Ya estoy preparando mis maquinas virtuales para los laborarios.
Gracias!
Revisa la siguiente nota que seguro te ayudará :-)
Hyper-V: Implementación Rápida de Máquinas Virtuales | WindowServer:
https://windowserver.wordpress.com/2012/08/10/hyper-v-implementacin-rpida-de-mquinas-virtuales/
Hola Guillermo, estoy planeando realizar la estructura en puro Windows Server 2012 Core para los controladores de dominio.
Tendría algún problema si lo hago de esta manera ?
Hola Fernando, no habría ningún problema, la versión Core soporta todo lo relacionado con Active Directory
Lo único que puede resultar en un poco más de trabajo es hacer toda la configuración desde línea de comando (PowerShell)
La idea que «está dando vuelta» entre varios, es instalar con GUI, hacer la configuración necesaria y pasarlos a todos los Controladores de Dominio a Core
Dejar uno sólo con GUI, y agregar el resto de los DCs en el Server Manager. De esta forma se pueden administrar todos con la interfaz gráfica aunque sean Core ;-)
Excelente, gracias por el aporte. xD
soy tu fan estas en mexico ?? me gusta tu blog bien enfocado y con una informacion excelente
¡Gracias! :-)
Estoy en Argentina, en Buenos Aires para más datos
Trackbacks
[…] Instalación de Active Directory – Escenario Completo – Situación Inicial y Objetivos – Nota … […]
[…] Teniendo definida la infraestructura a crear con los datos de la nota anterior, en esta vamos a comenzar creando nuestro nuevo Bosque (Forest), promoviendo como Controlador de Dominio a DC1 La nota anterior es Instalación de Active Directory – Escenario Completo – Situación Inicial y Objetivos – Nota … […]
[…] Teniendo definida la infraestructura a crear con los datos de la nota anterior, en esta vamos a comenzar creando nuestro nuevo Bosque (Forest), promoviendo como Controlador de Dominio a DC1 La nota anterior es Instalación de Active Directory – Escenario Completo – Situación Inicial y Objetivos – Nota … […]
[…] Teniendo definida la infraestructura a crear con los datos de la nota anterior, en esta vamos a comenzar creando nuestro nuevo Bosque (Forest), promoviendo como Controlador de Dominio a DC1La nota anterior es Instalación de Active Directory – Escenario Completo – Situación Inicial y Objetivos – Nota … […]
[…] adelante con la implementación de la infraestructura planteada en la primera nota (Instalación de Active Directory – Escenario Completo – Situación Inicial y Objetivos – Nota …) comenzaremos en esta nota con las configuraciones más […]
[…] adelante con la implementación de la infraestructura planteada en la primera nota (Instalación de Active Directory – Escenario Completo – Situación Inicial y Objetivos – Nota …) comenzaremos en esta nota con las configuraciones más […]
[…] adelante con la implementación de la infraestructura planteada en la primera nota (Instalación de Active Directory – Escenario Completo – Situación Inicial y Objetivos – Nota …) comenzaremos en esta nota con las configuraciones más […]
[…] siguiendo esta serie de notas para completar la infraestructura propuesta en “Instalación de Active Directory – Escenario Completo – Situación Inicial y Objetivos – Nota …” comenzaremos con lo que pienso introduce la mayor complejidad de […]
[…] siguiendo esta serie de notas para completar la infraestructura propuesta en “Instalación de Active Directory – Escenario Completo – Situación Inicial y Objetivos – Nota …” comenzaremos con lo que pienso introduce la mayor complejidad de […]
[…] siguiendo esta serie de notas para completar la infraestructura propuesta en “Instalación de Active Directory – Escenario Completo – Situación Inicial y Objetivos – Nota …” comenzaremos con lo que pienso introduce la mayor complejidad de […]
[…] Instalación de Active Directory – Escenario Completo – Situación Inicial y Objetivos – Nota … […]
[…] Instalación de Active Directory – Escenario Completo – Situación Inicial y Objetivos – Nota … […]
[…] Instalación de Active Directory – Escenario Completo – Situación Inicial y Objetivos – Nota … […]