Windows Active Directory y DNS

sr_meck · 17 Julio 2016

Estimados

En la empresa donde trabajo nunca hemos tenido AD y DNS interno, todo lo tenemos en la nube, con el tiempo la empresa ha crecido y por la implementación de varias tecnologías de colaboración y seguridad se nos hizo necesario levantar un domino con Active Directory y un DNS interno.

Primero pensamos en una maquina con OpenLDAP y DNS bajo linux, pero la verdad luego de probarlo un par de dias no nos dio muy buenos resultados por lo que vamos a levantar un AD. El uso principal es solo autenticación de usuarios con kerberos y creación de registros para DNS pero obviamente se espera sacarle mas provecho a AD.

Ahora mismo tengo montado un Windows 2008 R2 con el AD y DNS operando y al parecer va todo bien, por lo que tenemos que pensar como sera la implementación final por lo que tengo algunas consultas.

Windows 2008 R2 o Windows 2012?
Requerimientos de la VM.. somo como 50 user max 100
HA, queremos levantar una segunda maquina en otro segmento que se movera al site 2 cuando este disponible.
Antivirus.

Bajo su experiencia esta bien que lo levante siguiente sigueinte finalizar o debemos buscar un MS certified que levante los servicios??

Saludos

Cosme · 18 Julio 2016

Entre mas nueva la version, mas opciones tienes: depende de la licencia que tengas para la version de windows.

para 100 usuarios, AD no necesita mucho mas de 1gb de ram.

En AD hay una opcion de "sitios", donde defines las maquinas que estarán en cada sitio, y el costo de la replicacion de datos, y si lo quieres online o pooled.

No es complicado de levantar ni mantener, pero debes definir como vas a armar el dominio (referente a arboles y bosques).

Un arbol seria un dominio que puede tener distintas ramas, tal como:
dominio.tld -> arbol
fi.dominio.tld -> rama
prod.dominio.tld -> rama

Este modelo se utiliza generalmente al partir con AD en una empresa (como tu caso)

Pero a medida que crecen las empresas, en especial cuando se fusionan con otra empresa que ya tiene AD implementado, se arma un "bosque" y se definen confianzas (autentificacion y/o acceso a recursos/servicios) entre ellas por estar en el mismo "bosque"
empresaContable.tld -> arbol
empresaNotaria.tld -> arbol
empresaVentas.tld -> arbol

En este modelo, el usuario [email protected] podría tener acceso a los recursos autorizados de empresaVentas.tld, o un [email protected] podria tener acceso a la administracion de servicios it de empresaVentas.tld, o [email protected] podria iniciar sesion en la red wifi de empresaContable.tld cuando vaya de visita.

sr_meck · 18 Julio 2016

Gracias Cosmecitu

Basicamente todo va estar bajo el mismo dominio laquecuelga.cl solo que necesito dos maquinas una que es chupa.laquecuelga.cl que estara en la red X.X.10.X/24 y la otra mama.laquecuelga.cl que estara en la red X.X.20.X/24 entonces los usuarios tendran como DNS primario X.X.10.X y X.X.20.X

Hoy ambos segmentos estan en el mismo sitio fisico pero a futuro vamos a mover el X.X.20.X a otro lado.

Saludos

Harima · 18 Julio 2016

Windows 2008 R2 técnicamente no tiene soporte, solo el extendido, y está por salir el server 2016, Yo iría por un Azure AD

Cosme · 18 Julio 2016

Harima dijo:
Windows 2008 R2 técnicamente no tiene soporte, solo el extendido, y está por salir el server 2016, Yo iría por un Azure AD

Ver adjunto 967

azure AD es CA-RI-SI-MO para lo que necesita ciscogollo

Harima · 18 Julio 2016

Cosme dijo:
azure AD es CA-RI-SI-MO para lo que necesita ciscogollo

Sorry se me olvida que las cosas MS son carisimas ya que con el office 365 el azure AD es tecnicamente gratis (tenemos membresia partner Gold y nos sale todo super barato, y entre esa membresia y el MSDN, ya se nos olvido el tema de costos y licencias)

sr_meck · 18 Julio 2016

Wena, entonces windows 2012 R2 standar seria el server a instalar, ahora, a nivel de antivirus cual seria la recomendacion?

Saludos

Harima · 18 Julio 2016

chikogollo dijo:
Wena, entonces windows 2012 R2 standar seria el server a instalar, ahora, a nivel de antivirus cual seria la recomendacion?

Saludos

Yo uso el kaspersky Enterprise, lo bonito es que tiene un administrador, y de ahi manjeas todas las politicas para los usuarios.

sr_meck · 18 Julio 2016

mmmmm pero creo que solo necesito uno para la maquina no uno coorporativo.

K3rnelpanic · 18 Julio 2016

chikogollo dijo:
mmmmm pero creo que solo necesito uno para la maquina no uno coorporativo.

Puedes entrar al topic de Rudel en donde pregunta por antivirus para su Server2012. Acá en la pega usamos Norton corporativo, desconozco que otra cosa opera de igual forma.

_V · 20 Julio 2016

chikogollo dijo:
Estimados

En la empresa donde trabajo nunca hemos tenido AD y DNS interno, todo lo tenemos en la nube, con el tiempo la empresa ha crecido y por la implementación de varias tecnologías de colaboración y seguridad se nos hizo necesario levantar un domino con Active Directory y un DNS interno.

Primero pensamos en una maquina con OpenLDAP y DNS bajo linux, pero la verdad luego de probarlo un par de dias no nos dio muy buenos resultados por lo que vamos a levantar un AD. El uso principal es solo autenticación de usuarios con kerberos y creación de registros para DNS pero obviamente se espera sacarle mas provecho a AD.

Ahora mismo tengo montado un Windows 2008 R2 con el AD y DNS operando y al parecer va todo bien, por lo que tenemos que pensar como sera la implementación final por lo que tengo algunas consultas.

Windows 2008 R2 o Windows 2012?

Requerimientos de la VM.. somo como 50 user max 100

HA, queremos levantar una segunda maquina en otro segmento que se movera al site 2 cuando este disponible.

Antivirus.

Bajo su experiencia esta bien que lo levante siguiente sigueinte finalizar o debemos buscar un MS certified que levante los servicios??

Saludos

A errrsh.

En primer lugar si vas a tener un servidor de AD se recomienda que sea físico (buenas prácticas y muchos recursos no requiere), si vas a tener mas de uno, el primario debe ser físico y el secundario puede ser virtual pero requiere algunas configuraciones (no muy difíciles) para que no te mande alertas weonas.
El Maestro de operaciones y el catálogo debe estar asignado al servidor físico. El de infraestructura puede estar en el secundario.

Si vas a tener varias maquinas y varios sides con maquinas virtuales el fisico es indispensable ya que cuando cague el cluster/servidor/x cosa de vm no vas a poder replicar nada y la puesta en marcha va a ser muy lenta para la operación por las razones obvias.

En el caso del dns es mas facil de configurar, puedes importar configuraciones desde el otro servidor si el segmento es visible (debe serlo), debes activar la replicacion y la limpieza de registros obsoletos y configurar los servidores de DNS primario/secundario cruzados. Aplica el mismo procedimiento, las zonas dns deben estar respaldadas en el AD fisico por un tema de respuesta.

Y por ultimo, el error que algunos cometen, nunca se le agrega el WSUS a un controlador de dominio, lo marea ordinariamente.

Zuljin · 20 Julio 2016

Chiko, acá tenemos más de 600 usuarios y una pila de aplicaciones que se autentican (exchange, aplicaciones oracle, sharepoint, vmware, etc) y a nivel de carga se la puede con un servidor Windows 2012 R2, 8 GB de RAM y 4 cores. Y si, lo tenemos virtualizado y es mejor (mucho mejor) virtualizarlo a tenerlo en un servidor físico.

Tenemos HA con 6 Active Directory, de las cuales 4 están en el site principal y 2 están en el site secundario, todas encendidas y todas dando servicio. Pero como te decía, si es sólo por carga nos basta con un único servidor.

sr_meck · 20 Julio 2016

buena, entiendo, ahora por que es mejor que el principal sera fisico, es decir no tengo server fisicos y si tengo una solucion de virtualizacion a toda raja disponible...

Algun documento tecnico para esa aseveración?

Saludos

Harima · 20 Julio 2016

Zuljin dijo:
Chiko, acá tenemos más de 600 usuarios y una pila de aplicaciones que se autentican (exchange, aplicaciones oracle, sharepoint, vmware, etc) y a nivel de carga se la puede con un servidor Windows 2012 R2, 8 GB de RAM y 4 cores. Y si, lo tenemos virtualizado y es mejor (mucho mejor) virtualizarlo a tenerlo en un servidor físico.

Tenemos HA con 6 Active Directory, de las cuales 4 están en el site principal y 2 están en el site secundario, todas encendidas y todas dando servicio. Pero como te decía, si es sólo por carga nos basta con un único servidor.

Secundo, hoy por hoy es mejor practica un servidor virtual que uno fisico. (nosotros ya hace tiempo, que casi no usamos fisicos porque son un cacho, solo para levantar vms)

Zuljin · 20 Julio 2016

chikogollo dijo:
buena, entiendo, ahora por que es mejor que el principal sera fisico, es decir no tengo server fisicos y si tengo una solucion de virtualizacion a toda raja disponible...

Algun documento tecnico para esa aseveración?

Saludos

El proceso de respaldo de las máquinas virtuales es MUUUUUY superior a las máquinas físicas en cuanto a tiempo, consistencia y seguridad al restaurar. Además, si tu solución de virtualización permite HA, puedes mover máquinas virtuales entre hosts para hacer mantenimiento sin incurrir en indisponibilidad.

Otra cosa son los snapshots. Imagínate que vas a aplicar una actualización muy cotota en tu servidor.
¿Qué hago yo?
Le tomo un snapshot a la máquina virtual.
Actualizo.
Anda todo bien? No.
Restauro la máquina virtual al estado actual con el snapshot.

Si es una máquina física es imposible hacer eso, un cagazo y tienes que empezar a aplicar procedimientos de rollback propios de la aplicación.

Puta, hay varios beneficios más. La única razón que hoy en día veo para no virtualizar es que algunos fabricantes de software te cobran el licenciamiento según los cores de toda la solución virtual (Oracle, por ejemplo).

sr_meck · 20 Julio 2016

Yo tambien soy fan de la virtualziacion y tengo las herramientas, en el unico caso que he sabido que podemos virtualziar es cuando hay correlacion de maquinas por ej no poner un sap con un CUCM de Cisco sobre el mismo ESXi y esas cosas así.

Ahora el amigo indico server fisico con mucha seguridad debe terner sus razones.

Miguelwill · 20 Julio 2016

chikogollo dijo:
Yo tambien soy fan de la virtualziacion y tengo las herramientas, en el unico caso que he sabido que podemos virtualziar es cuando hay correlacion de maquinas por ej no poner un sap con un CUCM de Cisco sobre el mismo ESXi y esas cosas así.

Ahora el amigo indico server fisico con mucha seguridad debe terner sus razones.

Me preocupa tanta seguridad en que el primario sea físico, cuando hasta M$ apoya activamente la virtualizacion de sistemas

Enviado desde mi HUAWEI KII-L23 mediante Tapatalk

sr_meck · 20 Julio 2016

Acá encontre un doc sobre algunas consideraciones cuando montamos un AD sobre un ambiente virtual

https://support.microsoft.com/en-us/kb/888794

No lo he leido completo, pero lo comparto.

Saludos

Cosme · 21 Julio 2016

chikogollo dijo:
Yo tambien soy fan de la virtualziacion y tengo las herramientas, en el unico caso que he sabido que podemos virtualziar es cuando hay correlacion de maquinas por ej no poner un sap con un CUCM de Cisco sobre el mismo ESXi y esas cosas así.

Ahora el amigo indico server fisico con mucha seguridad debe terner sus razones.

yo creo que la UNICA razon valedera de tener el AD en una maquina fisica, es si vas a usar vcenter y ese vcenter va a usar el ldap de ese equipo.

Cuando vcenter falla, y tienes virtualizado el ad en el mismo "datacenter virtual", es una paja mas 1 levantarlo de vuelta.

Pero actualmente no virtualizar significa un riesgo que yo no estaria dispuesto a correr.

Tbon · 21 Julio 2016

En la empresa donde trabajo justamente vamos a migrar el dominio a 2012 y full virtualizado.

Windows Active Directory y DNS

a.k.a chikogollo

Gold Member

a.k.a chikogollo

Pegao al tarro

Gold Member

Pegao al tarro

a.k.a chikogollo

Pegao al tarro

a.k.a chikogollo

non serviam

The Hateful Wish

Fundador

a.k.a chikogollo

Pegao al tarro

Fundador

a.k.a chikogollo

I am online

a.k.a chikogollo

Gold Member

Taking risks and support each other's choices