Instalación de Active Directory – Escenario Completo – Situación Inicial y Objetivos – Nota I

En esta ocasión comenzaré una serie de notas dedicadas a la implementación de Active Directory en una organización mediana, donde desarrollaremos de principio a fin la implementación de varios Dominios, con más de un sitio geográfico, inclusive alguno donde tendremos problemas de seguridad que deberemos solucionar, siendo el objetivo final proveer tolerancia a fallas sobre la infraestructura Active Directory y preveer problemas de seguridad

Aunque esta serie de notas no pretende ser una guía de diseño y planificación, creo que mucha de la información puede ayudar a comprender los datos imprescindibles para comenzar una implementación y llegar a los objetivos deseados

La implementación a desarrollar tiene en consideración:

  • Por consideraciones geográficas y enlaces WAN tener más de un Dominio
  • Por consideraciones internas y de identidad de empresa, contar con nombres de dominio no contiguos
  • Ver cómo proceder teniendo un sitio geográfico sin la adecuada seguridad física, ni personal local de TI (IT)
  • Proveer tolerancia a fallas en caso de interrupciones de los enlaces WAN
  • Proveer tolerancia a fallas sobre los Controladores de Dominio de cada dominio en caso de falta de servicio de uno de ellos
  • Proveer tolerancia a fallas del servicio DNS

La estructura consiste de un sitio central (Central) y tres sitios adiconales (Mendoza, Córdoba y Neuquén)

Luego de la etapa de diseño, que no trataremos acá por la complejidad y el tiempo que nos llevaría, se ha decidido:

  • En el sitio Central se implementará el Dominio Raíz del Bosque, ya que es donde está centralizada la administración de los sistemas
  • En el sitio Mendoza se implementará un sub-dominio separado del Dominio Raíz, motivado fundamentalmente porque en dicha ubicación habrá disponible personal de administración, se requiere autonomía de administración y se prevee que tenga importante cantidad de usuarios y recursos
  • En el sitio Córdoba, habrá una pequeña sucursal o delegación, no dispondrá de personal especializado para la administración del sistema, y lo más preocupante es que no se puede asegurar el acceso físico a el/los Controladores de Dominio, por lo cual se ha determinado que se instalará un RODC (Read Only Domain Controller) a fin de asegurar la posibilidad de acceso a recursos locales en caso de falta de conectividad WAN
  • En el sitio Neuquén, por ser una empresa casi independiente que fue recientemente adquirida, se desea mantener la identidad. Esto es, se quiere mantener la identidad de la misma, aunque no total autonomía

Por lo tanto se ha establecido que:

  • El Dominio Raíz se llamará: “root.guillermod.com.ar”
  • El Sub-Dominio en el sitio Mendoza se llamará “mza.root.guillermod.com.ar”
  • El Sub-Dominio en el sitio Neuquén se llamará: “neuquen.local”
  • El sitio Córdoba, se incluirá en el Dominio Raíz, se instalará solamente un RODC (Read Only Domain Controller) a fin de garantizar la autenticación local en caso de desconexión del resto de la red, y teniendo en cuenta la falta de seguridad física en el sitio
  • Nombres de los Controladores de Dominio: “DCx” siendo “x” números correlativos
  • Se utilizará direccionamient IPv4 de rangos privados siendo los mismos:
    • Sitio Central: 192.168.0.0/24
    • Sitio Mendoza: 192.168.1.0/24
    • Sitio Córdoba: 192.168.2.0/24
    • Sitio Neuquén: 192.168.3.0/24
  • Los Controladores de Dominio tendrán direcciones IP a partir de “.201”
  • Los servidores tendrán direcciones IP a partir de “.101”
  • Los clientes tendrán direcciones IP a partir de “.1”
  • Las Puertas de Enlace (Default Gateway) usarán como últimos dígitos “.254”
  • La interconexión entre los sitios será a través de conexiones VPN entre servidores específicamente dedicados, los cuales además deberán proveer la conectividad de cada sitio a Internet. En una primera etapa las VPNs utilizarán protocolo PPTP, y luego se evaluará la implementación de otro protocolo más seguro
  • Por razones de seguridad, los servidores VPN no serán parte del Dominio, estarán en Grupo de Trabajo, y se denominarán como “VPNx” siendo “x” un número correlativo

Continuaremos en la próxima nota con la implementación y configuración de la infraestrucutra propuesta Instalación de Active Directory – Promoción del Primer Controlador de Dominio del Dominio Raíz – Creación del Bosque – Nota II

By Guillermo Delprato, on 30 mayo, 2013 at 11:40, under Active Directory - Directorio Activo, How To - Step-by-step - Paso a paso, Instalación, Windows Server 2012. Tags: , , , . No hay comentarios
Post a comment or leave a trackback: Trackback URL.

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *