Windows Active Directory y DNS

sr_meck

a.k.a chikogollo
REPORTERO
Se incorporó
14 Mayo 2004
Mensajes
6.517
Estimados

En la empresa donde trabajo nunca hemos tenido AD y DNS interno, todo lo tenemos en la nube, con el tiempo la empresa ha crecido y por la implementación de varias tecnologías de colaboración y seguridad se nos hizo necesario levantar un domino con Active Directory y un DNS interno.

Primero pensamos en una maquina con OpenLDAP y DNS bajo linux, pero la verdad luego de probarlo un par de dias no nos dio muy buenos resultados por lo que vamos a levantar un AD. El uso principal es solo autenticación de usuarios con kerberos y creación de registros para DNS pero obviamente se espera sacarle mas provecho a AD.

Ahora mismo tengo montado un Windows 2008 R2 con el AD y DNS operando y al parecer va todo bien, por lo que tenemos que pensar como sera la implementación final por lo que tengo algunas consultas.

  • Windows 2008 R2 o Windows 2012?
  • Requerimientos de la VM.. somo como 50 user max 100
  • HA, queremos levantar una segunda maquina en otro segmento que se movera al site 2 cuando este disponible.
  • Antivirus.

Bajo su experiencia esta bien que lo levante siguiente sigueinte finalizar o debemos buscar un MS certified que levante los servicios??

Saludos
 

Zuljin

Fundador
Miembro del Equipo
Fundador
ADMIN
Se incorporó
15 Enero 2004
Mensajes
11.872
yo creo que la UNICA razon valedera de tener el AD en una maquina fisica, es si vas a usar vcenter y ese vcenter va a usar el ldap de ese equipo.

Cuando vcenter falla, y tienes virtualizado el ad en el mismo "datacenter virtual", es una paja mas 1 levantarlo de vuelta.

Pero actualmente no virtualizar significa un riesgo que yo no estaria dispuesto a correr.

No es tema, Cosme. Puedes levantar el AD sin vcenter y puedes levantar el vcenter sin AD.
 
Upvote 0

_V

The Hateful Wish
Se incorporó
11 Abril 2008
Mensajes
2.671
yo creo que la UNICA razon valedera de tener el AD en una maquina fisica, es si vas a usar vcenter y ese vcenter va a usar el ldap de ese equipo.

Cuando vcenter falla, y tienes virtualizado el ad en el mismo "datacenter virtual", es una paja mas 1 levantarlo de vuelta.

Pero actualmente no virtualizar significa un riesgo que yo no estaria dispuesto a correr.

Esa es una de las razones. Yo tengo todo virtualizado a excepción de un servidor mula que tengo como primario (igual esta replicado en los servidores virtuales) cuando tienes sides activo/pasivo y haces el cambio es util y para contingencias del tipo "se aweonó el vcenter".
En realidad, es pensar en todo. No necesitas una gran maquina, y eventualmente si falla ese fisico tienes el virtual para replicarlo... o el del otro side. Pero si te falla el vcenter y no puedes levantar el dominio vas a tener a los usuarios hinchandote las bolas hasta que te queden como zapallo.
 
Upvote 0

Zuljin

Fundador
Miembro del Equipo
Fundador
ADMIN
Se incorporó
15 Enero 2004
Mensajes
11.872
Esa es una de las razones. Yo tengo todo virtualizado a excepción de un servidor mula que tengo como primario (igual esta replicado en los servidores virtuales) cuando tienes sides activo/pasivo y haces el cambio es util y para contingencias del tipo "se aweonó el vcenter".
En realidad, es pensar en todo. No necesitas una gran maquina, y eventualmente si falla ese fisico tienes el virtual para replicarlo... o el del otro side. Pero si te falla el vcenter y no puedes levantar el dominio vas a tener a los usuarios hinchadote las bolas hasta que te queden como zapallo.

Pero si puedes levantar igual las máquinas virtuales sin vcenter!!!. Simplemente inicias el host esxi en donde reside tu servidor de AD, te conectas directamente al hosts con el VMware client y levantas todas tus máquinas virtuales (incluido el AD).

Recuerden: el vCenter es un coordinadir solamente. El que manda es el hypervisor que reside en casa esxi. Se les puede morir el vCenter y puta, paja para reinstalarlo y perderás todos los chiches de HA, monitoreo avanzado y todo eso, pero las máquinas virtuales no se ven afectadas en absoluto.
 
Upvote 0

_V

The Hateful Wish
Se incorporó
11 Abril 2008
Mensajes
2.671
Pero si puedes levantar igual las máquinas virtuales sin vcenter!!!. Simplemente inicias el host esxi en donde reside tu servidor de AD, te conectas directamente al hosts con el VMware client y levantas todas tus máquinas virtuales (incluido el AD).

Recuerden: el vCenter es un coordinadir solamente. El que manda es el hypervisor que reside en casa esxi. Se les puede morir el vCenter y puta, paja para reinstalarlo y perderás todos los chiches de HA, monitoreo avanzado y todo eso, pero las máquinas virtuales no se ven afectadas en absoluto.

Y lo otro, si se que se pueden levantar sin vcenter.

Yo lo digo desde mi experiencia personal.
Acá tuve un tema catastrófico con un cluster de vmware en la que no podía levantar varios servidores por que se habían mareado las HBA y esa wea me dejo el AD virtualizado sin poder ver algunas lun (atado con un v7000) y otras maquinas desarmadas.
Restaurar el snapshot fue facil y todo, pero no vas a tener a los usuarios sin poder iniciar sesión por eso. En mi caso fue una medida de emergencia que funcionó.


P.D. Y este incidente finalmente convenció a la gcia de tenerme un side secundario ¬¬
 
Upvote 0

_V

The Hateful Wish
Se incorporó
11 Abril 2008
Mensajes
2.671
Me explique como el hoyo. La maquina de AD había quedado sin lun.
 
Upvote 0

Zuljin

Fundador
Miembro del Equipo
Fundador
ADMIN
Se incorporó
15 Enero 2004
Mensajes
11.872
Y lo otro, si se que se pueden levantar sin vcenter.

Yo lo digo desde mi experiencia personal.
Acá tuve un tema catastrófico con un cluster de vmware en la que no podía levantar varios servidores por que se habían mareado las HBA y esa wea me dejo el AD virtualizado sin poder ver algunas lun (atado con un v7000) y otras maquinas desarmadas.
Restaurar el snapshot fue facil y todo, pero no vas a tener a los usuarios sin poder iniciar sesión por eso. En mi caso fue una medida de emergencia que funcionó.


P.D. Y este incidente finalmente convenció a la gcia de tenerme un side secundario ¬¬

Pero ese problema te ocurrió por hardware, no por el vcenter. Si, es un cagazo que te puede volver a ocurrir pero también le puede ocurrir a tu AD físico, ojo ahí.
 
Upvote 0

Zuljin

Fundador
Miembro del Equipo
Fundador
ADMIN
Se incorporó
15 Enero 2004
Mensajes
11.872
Me explique como el hoyo. La maquina de AD había quedado sin lun.

Si, se entendió. Pero es equivalente a que cague la controladora de tu servidor físico de AD. Es lo mismo. La ventaja es que con virtualización puedes levantar la máquina virtual en otro lado.
 
Upvote 0

_V

The Hateful Wish
Se incorporó
11 Abril 2008
Mensajes
2.671
Pero ese problema te ocurrió por hardware, no por el vcenter. Si, es un cagazo que te puede volver a ocurrir pero también le puede ocurrir a tu AD físico, ojo ahí.

Si le pasa al fisico, tengo el virtual. Si le pasa al virtual del side 1, tengo el del 2... etc.

Es netamente resguardo. Puta, no se como explicarlo pero en mi caso ha sido util ( :monomeon ambientes industriales)
 
Upvote 0

_V

The Hateful Wish
Se incorporó
11 Abril 2008
Mensajes
2.671
Si, se entendió. Pero es equivalente a que cague la controladora de tu servidor físico de AD. Es lo mismo. La ventaja es que con virtualización puedes levantar la máquina virtual en otro lado.

Y lo otro, acá donde trabajo son super poco considerados con el side. Me han cortado la luz sin aviso muchas veces y solo por que el nagios me avisa cuando salta la ups me he enterado (cuando hay SAN y los servidores bootean por lun la wea tiene un orden para apagar o encender)

De hecho, ese incidente del que te habló implicó la desvinculación del jefe de mantención.
 
Upvote 0

Tbon

Football total philosophy
Miembro del Equipo
Fundador
ADMIN
Se incorporó
20 Enero 2004
Mensajes
13.672
Y que pasa si no tienes el password de la cuenta local del esx, o el acceso ssh local esta desactivado, tal como recomiendan las "buenas practicas" indicadas en los papers de vcenter? Como logueas con una cuenta ldap contra vcenter si esta caido el ldap?

las buenas practicas te dicen que el SSH este desactivado, es verdad, pero no te dicen que no tengas las cuentas locales de los ESXi, tener esos datos es crucial para la operacion, sino los tienes es otro el problema, lo mismo podria decir del AD, que pasa si lo tienes fisico y no tienes una cuenta con privilegios de domain admin para administrarlo?

saludos
 
Upvote 0

Cosme

Gold Member
Se incorporó
27 Febrero 2005
Mensajes
8.281
no supe explicarme recien y borre la respuesta :daleoh las buenas practicas indican que el ssh y el dcui deben estar off , pero que puedas conectar con la consola de vmware.

Hay veces que puede darse (con dificultad) de tener errores de autentificacion que pueden causar problemas en otros servicios, y por eso es recomendable tener un server "satelite" con ese servicio, que no dependa de nada mas que el mismo para brindar el servicio, sea esto virtualizado o fisico, pero que no dependa de nadie para dar ese servicio.
 
  • Like
Reactions: _V
Upvote 0

Zuljin

Fundador
Miembro del Equipo
Fundador
ADMIN
Se incorporó
15 Enero 2004
Mensajes
11.872
no supe explicarme recien y borre la respuesta :daleoh las buenas practicas indican que el ssh y el dcui deben estar off , pero que puedas conectar con la consola de vmware.

Hay veces que puede darse (con dificultad) de tener errores de autentificacion que pueden causar problemas en otros servicios, y por eso es recomendable tener un server "satelite" con ese servicio, que no dependa de nada mas que el mismo para brindar el servicio, sea esto virtualizado o fisico, pero que no dependa de nadie para dar ese servicio.

Pero eso de que "no dependa de nada más que el mismo" es engañoso. ¿Qué pasa si falla la placa? ¿Si falla la controladora de red? ¿La controladora de discos? ¿Un disco? El servidor físico depende de mil componentes.

¿Y qué pasa si en 5 años se acaba el soporte del servidor físico y tienes que migrar tu AD a un servidor físico nuevo?
En el caso de un AD virtualizado, simplemente agregas un nuevo servidor físico, le instalas el hypervisor y "migras" la máquina virtual al hypervisir instalado sobre el servidor nuevo. Según el hypervisor que uses podrías incluso hasta tener 0 indisponibilidad, pero lo importante es que nunca tuviste que reinstalar ni hacer operaciones complejas en tu active directory.

Al final, la virtualización también depende de esos mismos componentes (si al final los hypervisors se instalan en servidores físicos iguales que cualquier otro). La ventaja es que el riesgo de cagazo queda para el hypervisor, tus aplicaciones se abstraen de eso.
 
Upvote 0

Harima

Pegao al tarro
Se incorporó
15 Mayo 2008
Mensajes
3.958
las buenas practicas te dicen que el SSH este desactivado, es verdad, pero no te dicen que no tengas las cuentas locales de los ESXi, tener esos datos es crucial para la operacion, sino los tienes es otro el problema, lo mismo podria decir del AD, que pasa si lo tienes fisico y no tienes una cuenta con privilegios de domain admin para administrarlo?

saludos

Lo de las buenas prácticas son "guías" tú ves si las aplicas o no, lo normal es usar el SSH y tener las contraseñas, pero el SSH trabajar con certificados y además nunca por el puerto estándar, además del root deshabilitado, todos los archivos de contraseñas en una unidad encriptada (también puede ser un archivo encriptado con veracrypt)

Ejemplo
Código:
ssh -p 4192 -i micertificado.pem [email protected]

También hay servidores que permiten ingresar "directo a la maquina" solo les debes agregar una IP en la BIOS (en rackspace teníamos así los servidores, desde esa interfaz incluso podíamos resetear los equipos de forma eléctrica).

Pero eso de que "no dependa de nada más que el mismo" es engañoso. ¿Qué pasa si falla la placa? ¿Si falla la controladora de red? ¿La controladora de discos? ¿Un disco? El servidor físico depende de mil componentes.

¿Y qué pasa si en 5 años se acaba el soporte del servidor físico y tienes que migrar tu AD a un servidor físico nuevo?
En el caso de un AD virtualizado, simplemente agregas un nuevo servidor físico, le instalas el hypervisor y "migras" la máquina virtual al hypervisir instalado sobre el servidor nuevo. Según el hypervisor que uses podrías incluso hasta tener 0 indisponibilidad, pero lo importante es que nunca tuviste que reinstalar ni hacer operaciones complejas en tu active directory.

Al final, la virtualización también depende de esos mismos componentes (si al final los hypervisors se instalan en servidores físicos iguales que cualquier otro). La ventaja es que el riesgo de cagazo queda para el hypervisor, tus aplicaciones se abstraen de eso.


Me ha tocado que hemos pasar equipos de distintos datacenter del principal en Chile, uno secundario en Rackspace, luego migramos todo a Azure y Amazon, y lo de haber tenido todo en máquinas virtuales, facilita mucho el proceso, muchas veces es solo llegar y copiar los discos de las máquinas. Aveces requiere alguna pequeña transformación, pero nada del otro mundo.

También el proceso de cambio de servidores, que una vez realizamos, todas las maquinas estaban en un storage por fibra con failover (HP EVA), por lo cual solo fue instalar el esxi en la nueva máquina, desasociar la maquina antigua, conectar las fibras a la nueva máquina, y plaf todo funcionando. Lo mismo con la segunda máquina y plaf, todas las maquinas funcionando con los servidores nuevos en menos de media hora.
 
Upvote 0

_V

The Hateful Wish
Se incorporó
11 Abril 2008
Mensajes
2.671
Pero eso de que "no dependa de nada más que el mismo" es engañoso. ¿Qué pasa si falla la placa? ¿Si falla la controladora de red? ¿La controladora de discos? ¿Un disco? El servidor físico depende de mil componentes.

¿Y qué pasa si en 5 años se acaba el soporte del servidor físico y tienes que migrar tu AD a un servidor físico nuevo?
En el caso de un AD virtualizado, simplemente agregas un nuevo servidor físico, le instalas el hypervisor y "migras" la máquina virtual al hypervisir instalado sobre el servidor nuevo. Según el hypervisor que uses podrías incluso hasta tener 0 indisponibilidad, pero lo importante es que nunca tuviste que reinstalar ni hacer operaciones complejas en tu active directory.

Al final, la virtualización también depende de esos mismos componentes (si al final los hypervisors se instalan en servidores físicos iguales que cualquier otro). La ventaja es que el riesgo de cagazo queda para el hypervisor, tus aplicaciones se abstraen de eso.

Como ya lo viví; puede pasarte en el físico, en las maquinas del esxi, en la san, en cualquier cosa.
El tema de fallo puede ir por cualquier lado, pero si falla la maquina física y tienes que cambiarla por otra no se habla de clonar la maquina, es solo hacer un dcpromo y clonar el ad en la otra maquina desde el servidor viejo o desde uno de los virtuales, lo que no es nada del otro mundo.

Si al final, lo único que me interesa de ese servidor es que tenga el AD, el LDAP y los DNS arriba cuando todo falle para volver a replicarlos o mantener a los usuarios funcionando durante la contingencia.

Es un servidor satélite que administra y replica el AD y los DNS, nada mas.
 
Última modificación:
Upvote 0

_V

The Hateful Wish
Se incorporó
11 Abril 2008
Mensajes
2.671
Ah, hace rato que no entraba al foro a tener una discusión ñoña :B
 
Upvote 0
Subir