Despliegue de Controladores de Dominio (Teoría) sobre Windows Server 2012

A partir de este Post enlazaré varios para evitar que se extienda demasiado y poder mejorar el uso del blog. Se que llevo tiempo sin publicar pero he preferido publicarlo todo junto. Espero que os sirva para aclarar muchas dudas sobre Active Directory ya que esto es algo fundamental.

Los Servicios de Dominio de Directorio Activo (Active Directory Domain Services o AD DS) aportan identificación y acceso (IDA) para aplicaciones de empresa. Permite mantener una serie de objetos de una red relacionados, como: usuarios, grupos, permisos, asignación de recursos y políticas de acceso, impresoras, email…
Algunos conceptos a tener en cuenta:

-Controladores de Dominio (Domain Controlers o DC), son servidores con el role de AD instalado y promocionados.
-Dominio (Domain): conjunto global de 1 o varios DC.
-Árbol (Tree): es el conjunto de un dominio y sus subdominios.
-Bosque (Forest): es el conjunto de 1 o varios árboles (dominios)
-Nivel Funcional (Functional level): determina las capacidades de un dominio o bosque, según van apareciendo nuevas versiones de Windows Server, el nivel de funcionalidad del AD va cambiando sus características (mas info aquí, lectura recomendada).
-Unidades Organizativas (Organizational Units u OU): son contenedores de Active Directory en los que se pueden colocar usuarios, grupos, equipos, impresoras y otras unidades organizativas, y que nos permiten crear una organización jerárquica.
-Sitios (Sites): un sitio crea un límite de replicación y el uso del servicio. Los DC en un mismo sitio replican los cambios en segundos.

Voy a intentar explicar de una manera más visual la parte del Bosque, Arboles, Dominios y Subdominios para que quede más claro:
-Creamos un Dominio Raiz (Root Domain) ELINFORMATIKU.LOCAL, en un nuevo Árbol del nuevo Bosque, o lo que es lo mismo el primer dominio de todos que engloba el bosque y un árbol. En el esquema veremos lo siguiente: Bosque (verde), Árbol (Naranja), Dominio (Morado), Controlador de Dominio (Amarillo).

-Si creamos Nuevos Dominios (DOMINIO1.LOCAL y DOMINIO2.LOCAL) en el Bosque, lo que haremos es crear 2 nuevos Árboles. Todos los nuevos dominios primarios de cada árbol colgarán del Dominio Raiz. En este esquema veremos 3 Árboles que forman el Bosque.

-Ahora vamos a mostrar distintos subdominios (child domain) sobre los dominios, cada dominio con sus subdominios forman cada Árbol, con lo que seguiremos teniendo 3 Árboles y un Bosque. Cada subdominio se comunica directamente con su dominio superior, pero podremos crear relaciones de confianza entre subdominios de distintos Árboles para que se puedan comunicar entre ellos directamente. Tenemos en Rosa los subdominios y en Rojo los subdominios de los subdominios.

En Windows Server 2012 la manera de implementar los controladores de dominio ha cambiado, en las anteriores versiones de Windows Server se usaba el asistente de DCPromo para crear los controladores del dominio, ahora ha sido reemplazado por un nuevo asistente de AD DS que simplifica el proceso y reduce la posibilidad de error. Windows PowerShell ahora permite usar scripts para desplegar DC, agilizando el despliegue en entornos de datacenters.

Después de esta introducción vamos a pasar a ver las distintas situaciones que nos podemos encontrar a la hora de desplegar un controlador de dominio:

Despliegue de un nuevo Bosque (Forest)
Como ya hemos comentado antes, un bosque es el conjunto de uno o más dominios. Tal y como pone la documentación de Microsoft, si en tu empresa aun no se usa AD DS, ¡¡ESTAS DE SUERTE!!, esta es tu oportunidad para hacerlo (motivación americana jejejej).

1-Requerimientos básicos
-Ser administrador local del servidor.
-Tener una o varias particiones/discos en NTFS para almacenar la base de datos del Active Directory, los log y compartir el SYSVOL (contiene información del dominio que se replica al resto de controladores del dominio).
-Configurar apropiadamente los ajustes de TCP/IP, incluido el Servidor de Nombres del Dominio (Domain Names Server o DNS).
-Debe de existir una infraestructura de DNS o desplegar el role de DNS junto al role AD DS cuando se crea el controlador de dominio.

2-Recomendaciones a la hora de crear un nuevo Bosque
A la hora de desplegar AD DS es muy importante tener planeado todo y seguir una jerarquía, ya que si no hacemos esto, hacer cambios en la estructura del AD DS nos puede provocar bastantes problemas. Recomiendo la siguiente lectura: Consideraciones Básicas de Diseño de Dominios de Directorio Activo.

Vamos a ver varias recomendaciones:
-El dominio debe tener por lo menos 2 controladores de dominio para tener una tolerancia a fallo por si uno de ellos se averiara o fallase.
-Se debe de tener la suficiente cantidad de DC para poder gestionar todas las peticiones.
-Los DC solo deben de destinarse a almacenar los roles de AD DS y DNS y nada más.
-Lo más simple es tener un diseño de un solo Bosque con un solo dominio, en el caso de tener más dominios dentro de un mismo bosque hay que tener en cuenta que la carga administrativa va a ser considerable ya que los grupos y las Políticas de Grupos son diferentes entre dominios.
-Si nuestra organización tiene varios sitios con una sede central, deberemos de instalar un DC en cada uno de los sitios o delegaciones, de esta manera conseguiremos agilizar el inicio de sesión y el acceso a recursos de red. Para más seguridad se recomienda usar RODC (Read Only Domain Controler (Controlador de Dominio de Solo Lectura)).

3-Despliegue de un nuevo Bosque

3.1-Dominio Raiz (Root Domain) en un Bosque nuevo
3.2-Nuevo Dominio en un Bosque existente
3.3-Agregar un Controlador de Dominio en un Dominio existente
3.4-Controladores de Dominio de Solo Lectura (Read-Only Domain Controllers o RODC)
3.5-Eliminar un controlador de Dominio
3.6-Virtualización y clonación de un controlador de dominio

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *