Instalación de Active Directory – Escenario Completo – Situación Inicial y Objetivos – Nota I

En esta ocasión comenzaré una serie de notas dedicadas a la implementación de Active Directory en una organización mediana, donde desarrollaremos de principio a fin la implementación de varios Dominios, con más de un sitio geográfico, inclusive alguno donde tendremos problemas de seguridad que deberemos solucionar, siendo el objetivo final proveer tolerancia a fallas sobre la infraestructura Active Directory y preveer problemas de seguridad

Aunque esta serie de notas no pretende ser una guía de diseño y planificación, creo que mucha de la información puede ayudar a comprender los datos imprescindibles para comenzar una implementación y llegar a los objetivos deseados

La implementación a desarrollar tiene en consideración:

  • Por consideraciones geográficas y enlaces WAN tener más de un Dominio
  • Por consideraciones internas y de identidad de empresa, contar con nombres de dominio no contiguos
  • Ver cómo proceder teniendo un sitio geográfico sin la adecuada seguridad física, ni personal local de TI (IT)
  • Proveer tolerancia a fallas en caso de interrupciones de los enlaces WAN
  • Proveer tolerancia a fallas sobre los Controladores de Dominio de cada dominio en caso de falta de servicio de uno de ellos
  • Proveer tolerancia a fallas del servicio DNS

La estructura consiste de un sitio central (Central) y tres sitios adiconales (Mendoza, Córdoba y Neuquén)

Luego de la etapa de diseño, que no trataremos acá por la complejidad y el tiempo que nos llevaría, se ha decidido:

  • En el sitio Central se implementará el Dominio Raíz del Bosque, ya que es donde está centralizada la administración de los sistemas
  • En el sitio Mendoza se implementará un sub-dominio separado del Dominio Raíz, motivado fundamentalmente porque en dicha ubicación habrá disponible personal de administración, se requiere autonomía de administración y se prevee que tenga importante cantidad de usuarios y recursos
  • En el sitio Córdoba, habrá una pequeña sucursal o delegación, no dispondrá de personal especializado para la administración del sistema, y lo más preocupante es que no se puede asegurar el acceso físico a el/los Controladores de Dominio, por lo cual se ha determinado que se instalará un RODC (Read Only Domain Controller) a fin de asegurar la posibilidad de acceso a recursos locales en caso de falta de conectividad WAN
  • En el sitio Neuquén, por ser una empresa casi independiente que fue recientemente adquirida, se desea mantener la identidad. Esto es, se quiere mantener la identidad de la misma, aunque no total autonomía

Por lo tanto se ha establecido que:

  • El Dominio Raíz se llamará: “root.guillermod.com.ar”
  • El Sub-Dominio en el sitio Mendoza se llamará “mza.root.guillermod.com.ar”
  • El Sub-Dominio en el sitio Neuquén se llamará: “neuquen.local”
  • El sitio Córdoba, se incluirá en el Dominio Raíz, se instalará solamente un RODC (Read Only Domain Controller) a fin de garantizar la autenticación local en caso de desconexión del resto de la red, y teniendo en cuenta la falta de seguridad física en el sitio
  • Nombres de los Controladores de Dominio: “DCx” siendo “x” números correlativos
  • Se utilizará direccionamient IPv4 de rangos privados siendo los mismos:
    • Sitio Central: 192.168.0.0/24
    • Sitio Mendoza: 192.168.1.0/24
    • Sitio Córdoba: 192.168.2.0/24
    • Sitio Neuquén: 192.168.3.0/24
  • Los Controladores de Dominio tendrán direcciones IP a partir de “.201”
  • Los servidores tendrán direcciones IP a partir de “.101”
  • Los clientes tendrán direcciones IP a partir de “.1”
  • Las Puertas de Enlace (Default Gateway) usarán como últimos dígitos “.254”
  • La interconexión entre los sitios será a través de conexiones VPN entre servidores específicamente dedicados, los cuales además deberán proveer la conectividad de cada sitio a Internet. En una primera etapa las VPNs utilizarán protocolo PPTP, y luego se evaluará la implementación de otro protocolo más seguro
  • Por razones de seguridad, los servidores VPN no serán parte del Dominio, estarán en Grupo de Trabajo, y se denominarán como “VPNx” siendo “x” un número correlativo

Continuaremos en la próxima nota con la implementación y configuración de la infraestrucutra propuesta Instalación de Active Directory – Promoción del Primer Controlador de Dominio del Dominio Raíz – Creación del Bosque – Nota II

 

 

Anuncios
Post a comment or leave a trackback: Trackback URL.

Comentarios

  • pavilion  On 24/05/2013 at 13:13

    Hola Guillermo, de más está decir que estoy ansioso por llegar al final de esta serie de notas de AD puesto que dentro de muy poco voy a estar inmerso en este tipo de implementación en la empresa que trabajo, solo quisiera saber tu opinión en cuanto al diseño de la infraestructura, que crees que sería mejor:

    – Site to Site o con Dominio Raíz y subdominios cómo lo veo en tus notas.

    Saludos, acabo de descubrir este blog y ya no puedo dejar de visitarlo diariamente.

    • Delprato  On 24/05/2013 at 14:11

      Hola Pavilion me alegro mucho que el blog te sea de utilidad ¡Gracias por el comentario! :-)

      El tema de tener más de un Dominio, siempre es para más complejidad y costo, así que el principio general es tratar de tener un único Dominio. Por lo menos como diseño inicial
      Piensa solamente que cada Dominio requiere por lo menos dos Controladores de Dominio, que cada Dominio tendrá un grupo de administradores con control total sobre el mismo, y varios temas más

      El diseño que voy a implementar, no es algo que se pueda aplicar tal como está en todos los casos. Está pensado más que nada, como ejemplo didáctico que cubra la mayoría de las posibilidades que se puedan plantear

      Tener subdominios se justifica, como puse en la nota, si tienes enlaces no confiables o con poco ancho de banda disponible, o si se requiere que un sector tenga autonomía para administrarse, o inclusive en algunas ocasiones puede ser por restricciones legales

      Esta serie de notas va para largo. Tengo armados borradores por ahora, pero ya voy por la parte VI, y todavía no comencé con el sitio Neuquén

      Suelo publicar las notas nuevas los días Viernes, o a veces no me alcanza el tiempo y salen durante el fin de semana

      Gracias

  • jdbuezo  On 24/05/2013 at 18:53

    Muy Buena Iniciativa… Ya estoy preparando mis maquinas virtuales para los laborarios.

    Gracias!

  • Fernando  On 12/06/2013 at 12:05

    Hola Guillermo, estoy planeando realizar la estructura en puro Windows Server 2012 Core para los controladores de dominio.
    Tendría algún problema si lo hago de esta manera ?

    • Delprato  On 12/06/2013 at 12:29

      Hola Fernando, no habría ningún problema, la versión Core soporta todo lo relacionado con Active Directory
      Lo único que puede resultar en un poco más de trabajo es hacer toda la configuración desde línea de comando (PowerShell)

      La idea que “está dando vuelta” entre varios, es instalar con GUI, hacer la configuración necesaria y pasarlos a todos los Controladores de Dominio a Core
      Dejar uno sólo con GUI, y agregar el resto de los DCs en el Server Manager. De esta forma se pueden administrar todos con la interfaz gráfica aunque sean Core ;-)

      • Fernando  On 12/06/2013 at 13:00

        Excelente, gracias por el aporte. xD

  • mauroconsultant  On 25/06/2013 at 01:20

    soy tu fan estas en mexico ?? me gusta tu blog bien enfocado y con una informacion excelente

Trackbacks

Este espacio es para comentarios sobre la nota. No es un sitio de soporte

Introduce tus datos o haz clic en un icono para iniciar sesión:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión / Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión / Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión / Cambiar )

Google+ photo

Estás comentando usando tu cuenta de Google+. Cerrar sesión / Cambiar )

Conectando a %s

A %d blogueros les gusta esto: