Windows Active Directory y DNS

sr_meck

a.k.a chikogollo
REPORTERO
Se incorporó
14 Mayo 2004
Mensajes
6.517
Estimados

En la empresa donde trabajo nunca hemos tenido AD y DNS interno, todo lo tenemos en la nube, con el tiempo la empresa ha crecido y por la implementación de varias tecnologías de colaboración y seguridad se nos hizo necesario levantar un domino con Active Directory y un DNS interno.

Primero pensamos en una maquina con OpenLDAP y DNS bajo linux, pero la verdad luego de probarlo un par de dias no nos dio muy buenos resultados por lo que vamos a levantar un AD. El uso principal es solo autenticación de usuarios con kerberos y creación de registros para DNS pero obviamente se espera sacarle mas provecho a AD.

Ahora mismo tengo montado un Windows 2008 R2 con el AD y DNS operando y al parecer va todo bien, por lo que tenemos que pensar como sera la implementación final por lo que tengo algunas consultas.

  • Windows 2008 R2 o Windows 2012?
  • Requerimientos de la VM.. somo como 50 user max 100
  • HA, queremos levantar una segunda maquina en otro segmento que se movera al site 2 cuando este disponible.
  • Antivirus.

Bajo su experiencia esta bien que lo levante siguiente sigueinte finalizar o debemos buscar un MS certified que levante los servicios??

Saludos
 

K3rnelpanic

non serviam
Miembro del Equipo
MOD
Se incorporó
1 Octubre 2007
Mensajes
6.065
Sobre la recomendación de _V, acá en la la pega los domain controller están todos virtualizados. Uno en cada SIDE :zippy
 
Upvote 0

sr_meck

a.k.a chikogollo
REPORTERO
Se incorporó
14 Mayo 2004
Mensajes
6.517
Por nuestro lado no somos tan grande como para tener vcenter y todo el show, solo vamos a colocar un par de ESXi powa en cada site con su respectivo respaldo y ahi una vm para cada AD y seria....

de hecho en otro SITE remoto estamos pensando en esto

http://www.cisco.com/c/en/us/produc...s-e-series-servers/data_sheet_c78-705787.html

Es un modulo que tiene una ESXi para virtualizar y que va dentro del router ISR. encachao no?

Saludos
 
Upvote 0

Harima

Pegao al tarro
Se incorporó
15 Mayo 2008
Mensajes
3.958
Por nuestro lado no somos tan grande como para tener vcenter y todo el show, solo vamos a colocar un par de ESXi powa en cada site con su respectivo respaldo y ahi una vm para cada AD y seria....

de hecho en otro SITE remoto estamos pensando en esto

http://www.cisco.com/c/en/us/produc...s-e-series-servers/data_sheet_c78-705787.html

Es un modulo que tiene una ESXi para virtualizar y que va dentro del router ISR. encachao no?

Saludos

Ese tipo de dispositivos son más encachaos que un moco en la frente pero el problema que tienen es el soporte, y si hay que cambiar por ejemplo una controladora en unos dos años más te la encargo. si el modelo vende harto estas salvado, pero si vende poco, coperaste como en la guerra.
 
Upvote 0

sr_meck

a.k.a chikogollo
REPORTERO
Se incorporó
14 Mayo 2004
Mensajes
6.517
Ese tipo de dispositivos son más encachaos que un moco en la frente pero el problema que tienen es el soporte, y si hay que cambiar por ejemplo una controladora en unos dos años más te la encargo. si el modelo vende harto estas salvado, pero si vende poco, coperaste como en la guerra.

Pero tienes el soporte de la marca, según el data sheet el ultimo dia de soporte es el 2021.

Ahora tengo una pregunta a nivel de AD puro

Tenemos varios equipos o plataformas que van a hacer consultas al AD para autenticación, por lo cual, tiene que ver el arbol completo o por lo menos mas de una OU.

Estas plataformas son por ejemplo

Cisco Unfied Communications Manager
Cisco Unity Connection
Cisco VCS Control
Cisco Expressway Control
Cisco Ironport
Cisco ASA
Cisco ISE

Cuando configuro las plataformas necesito un usuario para la conexión, obviamente no les dare la cuenta de administrador del dominio ni tampoco una cuenta de usuario ya que las credenciales cambian....solo necesito una cuenta de RO.... cual es la forma correcta de crear cuentas como esas?

Saludos
 
Última modificación:
Upvote 0

_V

The Hateful Wish
Se incorporó
11 Abril 2008
Mensajes
2.671
_V sabe de aweonamientos de Microsoft.
Oye, la palabra es side o site? :zippy
Oh, hablando de aweonamientos te refieres al dominio que tuve que arreglar por que los servidores cooleaos no se veian entre si :risas

Y todo fue por que habian pasado de 2003 a 2008r2 y no habian recreado la zona _mcdcs en la raiz del dns :zippy (en 2003 era una zona interna del dominio principal)

:monomeon "No hay servidores de sesión disponibles para atender la solicitud de inicio de sesion"
Toda una empresa parada por un dns mal configurado wn :risas

Enviado desde mi SM-A500Y mediante Tapatalk
 
Upvote 0

Miguelwill

I am online
Miembro del Equipo
MOD
Se incorporó
23 Febrero 2004
Mensajes
12.403
Oh, hablando de aweonamientos te refieres al dominio que tuve que arreglar por que los servidores cooleaos no se veian entre si :risas

Y todo fue por que habian pasado de 2003 a 2008r2 y no habian recreado la zona _mcdcs en la raiz del dns :zippy (en 2003 era una zona interna del dominio principal)

:monomeon "No hay servidores de sesión disponibles para atender la solicitud de inicio de sesion"
Toda una empresa parada por un dns mal configurado wn :risas

Enviado desde mi SM-A500Y mediante Tapatalk
Supieras las veces que pasa eso cuando usan dns internos y se les olvida cambiar la ip del nuevo servidor de correos externo :risas

Enviado desde mi HUAWEI KII-L23 mediante Tapatalk
 
Upvote 0

sr_meck

a.k.a chikogollo
REPORTERO
Se incorporó
14 Mayo 2004
Mensajes
6.517
Consulta

Ya tengo mi win con 2012 ready, ahora necesito una cuenta para que pueda ver el arbol y autenticar, pero creo que este no debe ser una cuenta de usuario standar, que tipo de cuenta se crea para esos menesteres?

Saludos
 
Upvote 0

Cosme

Gold Member
Se incorporó
27 Febrero 2005
Mensajes
8.281
Consulta

Ya tengo mi win con 2012 ready, ahora necesito una cuenta para que pueda ver el arbol y autenticar, pero creo que este no debe ser una cuenta de usuario standar, que tipo de cuenta se crea para esos menesteres?

Saludos
Todos los usuarios en el AD son usuarios :exito

Lo que haces es cambiar el grupo al que pertenece, y basado en la membresia de cada grupo, son los permisos que tiene.
Ej: User1@dominio -> miembro de "Administradores del Dominio", tendrá acceso al AD y a instalar nuevos DC al bosque.
 
Upvote 0

Zuljin

Fundador
Miembro del Equipo
Fundador
ADMIN
Se incorporó
15 Enero 2004
Mensajes
11.872
Consulta

Ya tengo mi win con 2012 ready, ahora necesito una cuenta para que pueda ver el arbol y autenticar, pero creo que este no debe ser una cuenta de usuario standar, que tipo de cuenta se crea para esos menesteres?

Saludos

Una cuenta cualquiera.
 
Upvote 0

sr_meck

a.k.a chikogollo
REPORTERO
Se incorporó
14 Mayo 2004
Mensajes
6.517
Si claro, pero he escuchado que las auditorias dicen que el ad no tenga cuenta genericas y ademas necesito que esa cuenta no tenga mayores permisos

Saludos
 
Upvote 0

sr_meck

a.k.a chikogollo
REPORTERO
Se incorporó
14 Mayo 2004
Mensajes
6.517
Tengo otro problema, en Internet el dominio laquecuelga.cl esta en un hosting pubico de nuestro amigo en dktronics y alla tenemos montado un sistema que podemos acceder desde internet y obviamnte desde la oficina por la IP publica. Por otro lado, el dominio que monte el ad es laquecuelga.cl y todo funciona bien por separado.

Ahora el problema cuando los usuarios internos usan como DNS el nuevo servidor para que puedan resolver el dominio laquecuelga.cl cuando van a ir al dominio publico no pueden acceder ya que resuelve la dirección IP interna.

Como resuelvo esta wea?

Saludos
 
Upvote 0

Miguelwill

I am online
Miembro del Equipo
MOD
Se incorporó
23 Febrero 2004
Mensajes
12.403
Tengo otro problema, en Internet el dominio laquecuelga.cl esta en un hosting pubico de nuestro amigo en dktronics y alla tenemos montado un sistema que podemos acceder desde internet y obviamnte desde la oficina por la IP publica. Por otro lado, el dominio que monte el ad es laquecuelga.cl y todo funciona bien por separado.

Ahora el problema cuando los usuarios internos usan como DNS el nuevo servidor para que puedan resolver el dominio laquecuelga.cl cuando van a ir al dominio publico no pueden acceder ya que resuelve la dirección IP interna.

Como resuelvo esta wea?

Saludos

buena pregunta, ya que el registro A esta apuntando al windows, te quedaria usar el "www.laquecuelga.cl" y ese apuntarlo a la ip publica del hosting

saludos
 
Upvote 0

Rudel

Overclockero retirado.
Se incorporó
28 Octubre 2004
Mensajes
8.727
Por otro lado, el dominio que monte el ad es laquecuelga.cl

Eso es mala práctica, no puedes dar al Dominio de AD el mismo nombre que tu dominio en NIC ... cuando creaste tu foresta, el nombre debió haber sido ad.laquecuelga.cl y ahi no tendrías este drama.

Ahora es difícil de corregir, pues no se le puede cambiar el nombre al dominio tan fácilmente ... de hecho, yo nunca lo he hecho, pero a lo mejor la información de este Blog te sirve:

http://www.rebeladmin.com/2015/05/step-by-step-guide-to-rename-active-directory-domain-name/

Saludos,


Rudel

Edit: En una nota relacionada, antiguamente era común crear AD con nombres como empresa.local o empresa.corp ... acá hay un instructivo articulo que muestra el porqué eso también es mala práctica y da consejos útiles sobre el FQDN y el nombre NetBios del dominio, vale la pena leerlo:

http://www.mdmarra.com/2012/11/why-you-shouldnt-use-local-in-your.html

Salu2.
 
Última modificación:
Upvote 0

sr_meck

a.k.a chikogollo
REPORTERO
Se incorporó
14 Mayo 2004
Mensajes
6.517
En su momento estuve mirando y tambien hay un problema con los certificados publicos y los domino no validos como por ejemplo .local es decir si tengo un dominio interno laquecuelga.local y quiero levantar un servicio https con un certificado publico, cuando pida el certificado la entidad certificadora publica no me va a dar el cert para un dominio no valido, por lo que forzaria a usar el dominio laquecuelga.cl

http://blogs.msmvps.com/acefekay/20...ve-directory-dns-name-choosing-a-domain-name/
Updated 10/21/2014 – Reflect changes by the certificate companies that no longer support .Local or any other non-public TLD.

En todo caso una solución que vi para mi problema es levantar el servicio IIS sobre mi AD y hacer una redireccion al server publico.

Saludos
 
Upvote 0
Subir