Active Directory: Su manera de Active Directory
La manera de que configurar su topografía de Active Directory tendrá un impacto directo sobre cuán bien eres capaz de organizar los usuarios y recursos.
Brien M. Posey
Desde el lanzamiento de Windows 2000 Server edition hace más de una década — y con ella la liberación de Active Directory, el servicio de directorio de Microsoft probado ha ayudado a las organizaciones a mantener el orden en medio del caos. Una estrategia que más organizaciones toman (aunque ciertamente hay excepciones) es quedarse con la simple implementación de Active Directory que pueden salirse realista con.
Esto debería ser ninguna sorpresa. Definitivamente, se aplica el principio de mantener las cosas tan simples como sea posible para el mundo de la informática. Cualquier profesional de TI experimentado sabe que mantener las cosas simples reduce las posibilidades de problemas y hace mucho más fácil solución. No hay absolutamente nada malo con el uso de una topología de Active Directory estándar. Hay una razón que Microsoft establece la topología estándar como predeterminado.
Pero mientras que hay algo que decir para mayor simplicidad, cuando se trata de Active Directory, algunas organizaciones podrían ser mejor servidas por una estructura más creativa. Hay algunos diseños alternativos que probablemente más adecuados para grandes organizaciones que necesitan para segregar las responsabilidades de gestión.
Estructura de dominios
Más a menudo, las implementaciones de Active Directory de reales utilizan una estructura de dominio que imita la estructura geográfica de la organización. Por ejemplo, si una organización tiene tres oficinas, es probable que tenga tres dominios. No, cada organización utiliza este tipo de diseño, pero es el tipo más común de la estructura de Active Directory. Aquí están algunas estructuras de dominio alternativo puede que desee considerar para su organización.
Dominios de usuario
Active Directory es realmente nada más que una base de datos. La base de datos se rellena con diversos tipos de objetos. Cada objeto se le asigna uno o más atributos. Organizaciones de base a veces su estructura de dominio en tipos específicos de objetos de Active Directory. Un ejemplo de ello es el uso de dominios de usuario.
Un dominio de usuario es un dominio de Active Directory para el único propósito de administrar cuentas de usuario. Para dar una idea de por qué esto es útil, considere este ejemplo de una organización con unos miles de usuarios y una alta tasa de rotación de los empleados. Esta organización emplea a dos personas cuyo trabajo es crear, provisión y eliminar cuentas de usuario.
En este tipo de situación, un dominio de usuario podría resultar útil, porque este tipo de estructura de dominios ayudaría a los usuarios encargados de mantenimiento de la cuenta para tener control administrativo total sobre las cuentas de usuario. Podrían ser limitados, sin embargo, de tener acceso a otros objetos de Active Directory o funciones.
No es necesario implementar este tipo de estructura de dominio específicamente para aislar responsabilidades administrativas. Hay otras maneras de lograr este tipo de aislamiento. Sin embargo, una estructura de dominios de usuario puede ayudar a una organización mejor organizarse haciendo los dominios individuales que menos abarrotado. También proporciona una sensación de aislamiento físico de administrativo, que algunas organizaciones podrían preferir en vez del aislamiento administrativo lógico que puede existir cuando todos los diversos tipos de objetos residen en un dominio común.
Dominios de recursos
Dominios de recursos son similares a dominios de usuario que son único propósito en la naturaleza. Éstos se utilizan para mejorar la seguridad o para hacer la estructura de Active Directory más lógico o manejable. Hay implementaciones de Active Directory de reales en el que todos los equipos de escritorio se agrupan en un dominio de recursos dedicados. Otras organizaciones han puesto todos sus servidores que ejecutan aplicaciones de línea de negocio principales en un dominio de recursos dedicados. Puede utilizar dominios de recursos para cualquier otra clase de recurso así.
Dominios de recursos son probablemente más útiles cuando tratarlos como dominios de administración. Por ejemplo, puede crear un bosque de Active Directory dedicado diseñado para actuar como un dominio de administración para servidores Hyper-V. Hay un par de razones por qué puede optar por hacer esto.
La primera razón tiene que ver con la administración. System Center Operations Manager 2012 (y un número de otros productos de administración) sólo pueden administrar servidores que son miembros de un dominio de Active Directory. ¿No quieres unirte a los servidores Hyper-V para su dominio principal porque todos los controladores de dominio para su dominio principal están virtualizados. Usted no querría arriesgar poniendo a tu organización en una situación en la que pudo iniciar sesión en un servidor de Hyper-V porque los controladores de dominio virtuales sin conexión. Agregar los servidores Hyper-V a un bosque dedicado de administración de Active Directory resuelve este problema bastante bien.
Otra razón que puede optar por crear un dominio de recursos dedicados para los servidores Hyper-V tiene que ver con algunas de las novedades que vienen en Hyper-V versión 3.0. Hyper-V 3.0 tendrá la capacidad para replicar una máquina virtual (VM) de un servidor a otro. Este tipo de replicación no es una solución clúster de conmutación por error, sino más bien una solución de recuperación ante desastres que permite mantener una copia actualizada de sus máquinas virtuales en un servidor de host alternativo. De este modo, si algo sucedió a su arreglo de discos o su host primario de Hyper-V, tendría otra copia de la VM se podría contar con.
Para poder utilizar esta característica, sin embargo, el servidor host y el servidor de réplica tienen que ser autenticados. La forma más sencilla de proporcionar esta autenticación es unir ambos servidores a un dominio común y utilizar Kerberos. Como tal, crear un dominio de recursos dedicados para servidores Hyper-V tiene perfecto sentido. Esto es especialmente cierto cuando se considera que hay otras funciones de Hyper-V que también requieren la pertenencia al dominio.
Por cierto, los dominios de recursos y los usuarios no son mutuamente excluyentes. Algunas organizaciones utilizan una combinación de dominios de usuario y los recursos dentro de un bosque de Active Directory común.
Topología geográfica
Aunque estas estructuras alternativas son realmente eficaces, la mayoría de las implementaciones de Active Directory en el mundo real se basa en la estructura geográfica. Técnicamente, no hay nada malo con el uso de este tipo de topología de Active Directory, pero hay algunas cosas que usted debe considerar.
En primer lugar, no hay que confundir la estructura de dominios con la estructura del sitio. La estructura del sitio de Active Directory debe imitar siempre topología geográfica de la organización. Para cada vínculo de red (WAN) de área amplia entre oficinas, debe haber un vínculo de sitio correspondiente en Active Directory. Además, los equipos que residen dentro de una oficina física deben colocarse dentro de un sitio común de Active Directory. Idealmente, cada ubicación debe hacer uso de una subred dedicada porque una única subred no puede abarcar múltiples sitios de Active Directory.
Estructura de sitio de Active Directory es importante porque la estructura del sitio tiene un impacto directo sobre el volumen de tráfico de replicación de Active Directory que fluirá a través de los enlaces WAN. Por ejemplo, imagine una organización con múltiples sucursales. Esta organización optó por configurar su Active Directory como un dominio único, que no está mal. En una situación como ésta, potencialmente podría hacer actualizaciones a Active Directory en cualquier DC puede escribir dentro de toda la organización. Cuando se produce una actualización, es responsabilidad de la DC para hacer la actualización disponible para los otros controladores de dominio.
Si esta organización no hacía uso de una estructura de sitio apropiado, una actualización común podría pasar de un enlace WAN varias veces. Por ejemplo, si hubo cinco DCs en una sucursal, una actualización de Active Directory podría potencialmente ser enviada a través del enlace WAN cinco veces, una vez para cada DC.
Al utilizar sitios de Active Directory, un DC en cada sitio actúa como un servidor cabeza de puente. Trabajo del servidor cabeza de puente es recibir actualizaciones de Active Directory desde la WAN y distribuir estas actualizaciones a los otros controladores de dominio dentro del sitio. Esto significa que cualquier Active Directory actualizaciones sólo tendrían que ser enviados a cada sucursal una vez, independientemente de cuántos DCs hay dentro de esa sucursal.
¿Qué pasa con las organizaciones que usan un dominio distinto para cada sucursal? Si cada sucursal tiene un bosque de Active Directory dedicado, no tiene que preocuparse acerca de la definición de sitios de Active Directory. Por otro lado, si cada dominio es miembro de un bosque común, definitivamente debe implementar una adecuada estructura de sitio de Active Directory como una forma de mantener el tráfico de replicación de Active Directory de nivel de bosque bajo control.
Como puede ver, hay un montón de diferentes formas de configurar la topología de dominio de Active Directory. En última instancia, usted debe elegir la topología que hace más conveniente para su propia organización. Esto podría ser un modelo de dominio único, o un modelo con múltiples dominios basado en proximidad geográfica, usuarios o incluso recursos.
.jpg)
Brien M. Posey, MVP, es un escritor técnico freelance con miles de artículos y decenas de libros en su haber. Puede visitar el sitio de Web de Posey en brienposey.com.