Consideraciones Básicas de Diseño de Dominios de Directorio Activo

Tres Consideraciones Fundamentales y Básicas

En las grandes empresas la implementación de Directorio Activo es un proceso que hace un equipo especializado, divido en grupos que cubren las tres fases más importantes (Diseño, Planificación e Implementación)
Lo anterior es diferente a lo que sucede en las empresas pequeñas o aún medianas, donde una única persona, o a veces un pequeño grupo, debe hacerse cargo de todo el proceso. Inclusive aún sin la experiencia o los conocimientos suficientes del tema específico.

En esta pequeña nota nos centraremos sobre la implementación de Directorio Activo (Active Directory) y las consideraciones fundamentales iniciales.

Debemos pensar que las configuraciones que seleccionemos en este primer momento afectarán en forma directa no sólo el costo de implementación, sino que además el trabajo de mantenimiento, que también es costo.

Existe una regla básica de diseño: «Más simple es mejor»

Cuántos Dominios son necesarios

Siempre debemos partir con la convicción que un único dominio es suficiente. Tener un único dominio acotará notablemente los costos tanto de hardware como de software, permitirá centralizar más fácilmente la administración, será más fácil de configurar, y varias razones más que no expondré ahora para acotar el tema.

Por supuesto que existen razones válidas que justifican tener más de un dominio, pero no son tantas, y muchas veces no tienen relación con lo que muchos piensa, como por ejemplo, la cantidad de usuarios.
Veamos algunas que sí pueden justificar más de un dominio:

  • Diferentes directivas de cuenta con dominios hasta Windows 2003R2
    A partir de Windows 2008 este tema está solucionado, pero si nuestro dominio está basado en Windows 2003R2 o anterior, entonces todas las directivas de cuenta, como son las contraseñas y el bloqueo son las mismas para todo el dominio.
    Si se necesitan diferentes directivas de cuentas, se necesita más de un dominio.
  • Enlaces WAN no confiables o con poco ancho de banda disponible
    Si la empresa posee más de una locación física es importante tener en cuenta los enlaces WAN que los conectan. Generalmente se quiere asegurar que todo funcione igual si este enlace no está disponible, lo que implica poner Controladores de Dominio en cada sitio, y esto si no está adecuadamente configurado puede suponer mucho tráfico sobre el enlace.
    Pero debemos tener en cuenta que configurando adecuadamente los Sitios, Subredes y Enlaces podemos no sólo achicar el tráfico, sino que además configurar cuándo se hace uso del enlace WAN.
    Consideremos este escenario: un sitio central y una sucursal. Como el enlace tiene poco ancho de banda nos decidimos por dos dominios, uno en central y otro en la sucursal. Si alguien de la central va a la sucursal, para poder iniciar sesión necesita contactar a un Controlador del Dominio central, y por lo tanto se necesita el enlace WAN
    ¿Cómo solucionamos el problema si el enlace no está activo? Parece fácil, ponemos un Controlador del Dominio central, en el sitio de la sucursal.
    En este caso lamentablemente se perdió todo lo que se quería optimizar, pues este último Controlador del Dominio central necesita replicación de cualquier cambio. Y da exactamente igual que si hubiéramos hecho un único dominio.
  • Seguridad física
    A veces los sitios remotos no disponen de la seguridad física requerida por un servidor. Esto implica que personal no apropiado tenga acceso físico al mismo. Podría llevárselo, o hacer un ataque «offline» (Live CDs) en cuyo caso podría acceder a información de seguridad de todo el dominio.
    Hasta Windows 2003R2, evitar este riesgo implicaba crear otro dominio. A partir de Windows 2008 esto está prácticamente mitigado con el uso de Read Only Domain Controllers (RODCs) ya que el mismo además de no soportar cambios ni replicar información hacia otros controladores, tampoco tiene copia de las contraseñas de usuarios, salvo las que el administrador específicamente permita.
    El RODC tiene además una ventaja adicional ya que podemos asignarle un «administrador local» para que una persona en el sitio remoto pueda, por ejemplo, instalar aplicaciones o actualizaciones, y no necesita ser administrador de dominio.

Nombre del Dominio

Este tema debe ser pensado no sólo en base a la situación actual, además hay que tener en cuenta la evolución que se puede esperar de la empresa.

Las condiciones fundamentales que debemos tener en cuenta son:

  • Estable: que no cambie en el tiempo
  • Significativo: que identifique a la empresa lo mejor posible
  • Fácil de recordar: no sólo para los administradores, también para los usuarios
  • Que no contenga muchos caracteres: porque se escribirá muchas veces
  • Y por último, uno de los más difíciles ¿coincide con el nombre de presencia en Internet?
    Vamos a desarrollar un poco este tema

Lo primero a tener en cuenta, es que aunque tanto los nombres de Internet, como los nombres de Directorio Activo (Active Directory) se resuelven mediante el servicio DNS, cada uno constituye un espacio de nombres separados.

Supongamos que la empresa tiene presencia en Internet como «empresa.com»

Tenemos varias alternativas, para el nombre de nuestro dominio de Directorio Activo:

  • «empresa.com»: Igual que el de presencia en Internet
    Es una alternativa posible aunque debemos tomar algunas precauciones, ya que habrá dos servidores DNS, uno externo y otro interno. El externo debe resolver solamente los nombres de los servicios que publiquemos en Internet. El interno debe resolver todos los nombres, tanto los internos como el resto de Internet.
    Resumiendo tendremos dos DNS, ambos con una zona «empresa.com» y ambos autoritativos sobre la misma, pero con contenido diferente. No hay que confundirse
  • «interno.empresa.com»: Subdominio del de presencia en Internet
    En un primero momento Microsoft recomendaba el uso de este tipo de nombres. Tiene dos posibles inconvenientes, la posible excesiva longitud, y el cuidado de no delegar el subdominio en los DNSs externos.
  • «empresa.local»: Nombre de presencia en Internet pero con sufijo «local»
    Es una alternativa muy usada actualmente, ya que mantiene el nombre («empresa») pero no es resoluble en Internet (sufijo «local») lo que da una posible ventaja en cuanto a seguridad

Y por supuesto muchas más alternativas, pero lo importante realmente es que contenga «.» (Punto), esto es que tenga la forma «dominio.sufijo» (dominio punto sufijo) ya que esto es lo que permite la requerida resolución de nombres por el servicio DNS.

Tolerancia a Fallas

Por supuesto, y es sabido por todos, o por lo menos deberían saberlo que

«Nada reemplaza a una copia de seguridad (Backup). ¡¡¡Probada!!!»

Pero podemos mitigar muchos los riesgos si proveemos tolerancia a fallas sobre el dominio. Para esto es fundamental contar con por lo menos dos Controladores de Dominio por dominio, ante la falla o fuera de servicio de uno de ellos todo seguirá funcionando, aunque puede que se degrade la performance. El que todo siga funcionando nos da más tiempo y tranquilidad para hacer las tareas de recuperación.

Para que en caso de caída de un Controlador de Dominio, el otro pueda suplirlo deben cumplirse algunas condiciones:

  • Tener por lo menos dos Controlador de Dominio en cada dominio (Obvio)
  • Que ambos Controladores de Dominio sean Catálogo Global
  • Que ambos Controladores de Dominio tengan el servicio DNS
  • Que todos los clientes tengan configurado como DNS a ambos Controladores de Dominio

Consideraciones Sobre los Controladores de Dominio

  • Falta de presupuesto
    Un problema muy común en empresas chicas. Si no hay presupuesto para dos servidores, que uno sea realmente un servidor, el otro puede ser una máquina de escritorio «bien armada». Ellos se repartirán adecuadamente la tarea.
  • No tener más de una dirección IP (Multihomed)
    Es común escuchar problemas con esta configuración. Como el servicio DNS, por omisión, utiliza Round Robin, puede contestarle al cliente con una dirección IP que no es accesible para el mismo, entre otros problemas ya documentados
  • No debe ser servidor VPN, ni mucho menos Cortafuegos (Firewall) externo
    Los Controladores de Dominio contienen lo más valioso de la red: los nombres de usuario y las contraseñas que permiten acceder y modificar todos los recursos de la red.
    Una analogía: ¿Ud. colgaría todos sus ahorros en la puerta de entrada de su casa?
  • El Controlador de Dominio debería ser sólo eso: Controlador de Dominio
    Aunque a veces es difícil en la pequeña empresa, un Controlador de Dominio no debería prestar otro servicio a la red. Podría ser con servicios livianos por ejemplo DHCP o si se implementara WINS. Pero no es para nada recomendable que sea servidor de archivos o de impresión y mucho menos con aplicativos que pueden consumir muchos recursos, como puede ser SQL, Exchange u otros aplicativos comerciales.
By Guillermo Delprato, on 31 enero, 2011 at 18:41, under Active Directory - Directorio Activo. Tags: . No hay comentarios
Post a comment or leave a trackback: Trackback URL.

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *