Instalación de Active Directory – Creando la Infraestructura de Sitios, Subredes y Enlaces (Sites-Subnets-Links) – Nota IV

En las notas anteriores ya hemos creado nuestro Dominio Raíz, y mediante la instalación de un segundo Controlador de Dominio, hemos comprobado la tolerancia a fallas sobre Active Directory

Antes de la instalación de los Controladores de Dominio en los sitios remotos es aconsejable, crear la infraestructura de Sites, Subnets y Links, ya que esto nos ahorrará un trabajo, y además comenzaremos a aprovechar sus beneficios

Si lo hiciéramos posteriormente, no es tan complicado, pero deberemos mover cada Controlador de Dominio a su correspondiente Site en forma manual

Como recordatorio, incluiré nuevamente el diagrama propuesto en la nota inicial de la infraestructura a crear. En esta nota crearemos la estructura de Sitios, Subredes y Enlaces, que le “explican” al sistema cuál es la infraestructura física de nuestros sitios geográficos, qué redes IP hay en cada uno, y cómo están interconectados

Una de las consideraciones básicas que debemos tener en cuenta es que si tenemos una infraestructura física, con diferentes sitios geográficos interconectados con enlaces WAN es conveniente que le “expliquemos” esto a nuestra configuración.

De esta forma, cuando un equipo busque un servicio de red tratará de encontrarlo en su mismo sitio, tratando de evitar el tráfico de red sobre los enlaces WAN

De la misma forma, la replicación de la información de Active Directory será diferente entre Controladores de Dominio que estén en el mismo sitio, que entre Controladores de Dominio en sitios diferentes
En el primero caso el objetivo principal es que cualquier cambio se replique rápidamente a todos los Controladores de Dominio
En cambio en el segundo caso, se debe poder controlar y disminuir en lo posible el tráfico WAN. Por ejemplo en este caso, el tráfico de replicación se comprimirá, se hará en forma más espaciada (mínimo 15 minutos), y además podemos controlar días y horarios en que se hará, por ejemplo para no saturar el enlace WAN en momentos de máxima actividad

Dicho lo anterior, una muy breve descripción de cada uno de los términos

Sites: aunque no siempre es así, en la mayoría de los casos un Site lo podemos asimilar a un sitio físico, por ejemplo una sucursal, delegación u oficina remota de la organización

Subnets: estas son simplemente las subredes IP que tendremos en cada Site. En un Site inclusive podríamos tener más de una subred IP. Lo que sí debemos tener en cuenta es que no podemos usar la misma subred IP en diferentes Sites ya que de esa forma no funcionarían los Routers 🙂
Esta información de Subnets es la que permite conocer al sistema en qué Site está cada máquina

Links: estos son las conexiones físicas, independiente del medio, que conectan nuestros Sites. Una aclaración importante porque hay mucha “mentira” dando vueltas por Internet: un Link no está asociado a ningún “path” físico; eso lo manejan los Routers

Por omisión, y si no configuramos nada, el sistema supone que todos los Controladores de Dominio están en el mismo Site (Default-First-Site-Name) y este Site contiene todas las Subnets (Subredes)

Pero de todas formas crea un Link por omisión (DEFAULTIPSITELINK). Esto está motivado porque si queremos comenzar creando un Site, obligatoriamente debemos conectarlo con otro (necesitamos un Link). Y si quisiérmos comenzar creando un Link, obligatoriamente deberíamos tener por lo menos dos Sites creados. Así que es sólo para facilitar el comienzo

Vamos a hablar algo sobre el protocolo de replicación, ya que hay dos disponibles que podríamos seleccionar: una llamado “IP” y otro “SMTP”

El llamado “IP” en realidad es utilizando el mecanismo de “RPC over IP”, es el más eficiente, lo único a tener en cuenta es que el enlace no tenga una demora (Delay) muy grande que impida su uso

La segunda posiblidad “SMTP”, como todos podrán adivinar es justamente eso SMTP (correo). En el mundo real nunca lo he visto implementado, e inclusive he tratado en varias ocasiones saber si en algún momento se había implementado en producción y nunca he conocido ningún caso.

Básicamente tiene varios inconvenientes el uso de SMTP

  • Produce aproximadamente el doble de tráfico de red
  • Requiere una infraestructura de Clave Pública, ya que la replicación se hace cifrada y firmada digitalmente por los Controladores de Dominio
  • Y la tercera, y que creo la más importante, a través de SMTP no se puede replicar la carpeta SYSVOL, sólo la base NTDS.DIT, teniendo como consecuencia que si la replicación entre Sites es por SMTP entonces la única posibilidad son Dominios diferentes, aunque estén en el mismo Bosque (Forest)

Por lo tanto, en nuestro caso, y siguiendo las prácticas habituales configuraremos la replicación usando “IP” (RPC over IP)

La siguiente configuración la podremos hacer en cualquiera de los dos Controladores de Dominio que ya tenemos instalados, la condición es hacerlo con un usuario con privilegios de “Enterprise Admins”, en mi caso lo haré con la cuenta predefinida de administrador que ya tiene dichos privilegios

Así que comenzaremos abriendo “Active Directory Sites and Services” que es desde donde se hace la configuración

Lo primero que haré es renombrar el Site por omisión para que corresponda con lo planificado

Teniendo ya definido uno de los Sites, ahora vamos a crear los otros (Mendoza, Córdoba y Neuquén)
Un detalle a tener en cuenta: la ortografía correcta del nombre de los sitios geográficos lleva tilde (´) pero por malas experiencias con sistemas anteriores trato de no utilizar nunca para los objetos de Active Directory caracteres que no sean los básicos del idioma inglés. Resumiendo, no los acentuaré

Con botón derecho sobre Sites, elegiré “New Site…”

Le asignaré el nombre correspondiente, y *provisoriamente* porque el sistema lo obliga lo conectaré con el Link DEFAULTIPSITELINK. Luego solucionaremos esto

El sistema nos alerta de los siguientes pasos, no preocuparnos que ya los haremos

Nos quedará así

En forma totalmente análoga como hemos creado el Site Mendoza, debemos crear los otros dos Sites (Cordoba y Neuquen), quedando de esta forma

Ya tenemos los cuatro Sites creados, así que ahora seguiremos con lo que falta configurar, comenzaré por los Links

Por la imposición de que cada vez que creamos un Site debimos conectarlo usando el DEFAULTIPSITELINK ahora debemos solucionar el tema indicando cómo se conectan realmente los Sites

Yo voy a suponer que cada Site remoto tiene un enlace propio que lo conecta al Site Central. O sea que tenemos una conexión tipo “Estrella”

Así que debemos crear un enlace Central a/desde Mendoza, otro Central a/desde Cordoba, y otro Central a/desde Neuquen

En lugar de crear tres, aprovecharé y renombraré y configuraré el DEFAULTIPSITELINK como Central a/desde Mendoza, así que ingresaré a las propiedades del mismo

Y removeré los Sites que no estarán en el Link. Simplemente los seleccionamos y pulsamos el botón “Remove”

Debe quedar como muestra la figura. Algo adicional: como estamos haciendo una demostración bajaré el tiempo de replicación al mínimo (15 minutos)

Por último cambiaré el nombre para que refleje que este Link representa la conexión entre el Site Central y el Site Mendoza

 

El paso siguiente es crear cada uno de los Links que conectan a Central con los otros dos Sites (Cordoba y Neuquen)

Asignaremos un nombre significativo e incluiremos los Sites correspondientes. También bajaré el intervalo de replicación

En forma análoga crearé el Link Central-Mendoza, quedando finalmente como muestra la siguiente figura

 

Resumiendo, tenemos creados los Sites, y recién hemos creado los Links. O sea que ya le hemos “explicado” al sistema qué sitios tenemos y cómo están conectados.

Así que lo último que nos queda es que indiquemos qué subredes (Subnets) tenemos en cada Site, ya que es la forma que los Controladores de Dominio sepan en qué Site están ellos mismos y cada cliente

Comenzamos entonces a crear las Subnets, con botón derecho sobre Subnets

Indicamos el prefijo de subnet y lo asociamos (seleccionamos) al Site correspondiente

Análogamente creamos las tres Subnets restantes

 

Ya tenemos todo listo, hemos creado los Sites, hemos configurado cuál está conectado a cual, y hemos especificado qué subred hay en cada Site

Como comentario, en un Site podríamos tener más de una subred (Subnet), lo que no podríamos es tener la misma subred en Sites diferentes

Si han seguido todo, si abrimos sobre el lado izquierdo todas las opciones quedará como muestra la siguiente figura

 

En la próxima nota configuraremos DC3, que es un Controlador de Dominio de “root.guillermod.com.ar” que estará ubicado en el Site Mendoza: Instalación de Active Directory – Promoviendo un Controlador de Dominio en un Site Remoto – Nota V

Post a comment or leave a trackback: Trackback URL.

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *