Bit - loader

Introducción al diseño e implementación de Directorio Activo. Parte 7


Netmind - Introducción al diseño e implementación de Directorio Activo. Parte 7    Artículo | Microsoft
Joan Carles Roca | 31/05/18

En este artículo hablaremos de la asignación de nombres de dominio y del Forest root domain.

 

Todos los dominios del directorio activo tienen dos nombre, el nombre DNS y el nombre NetBIOS. Por lo general ambos nombres son visibles a los usuarios. El Nombre DNS es un nombre con una estructura jerárquica, con un prefijo y un sufijo. Cuando creamos el nombre de un dominio, la primera parte determina el prefijo, es el nombre que le damos, a modo de etiqueta y el sufijo depende del nombre de Forest root domain. Las recomendaciones generales de Microsoft para los nombres son las siguientes:

 

  • Elegir un prefijo que sea duradero. Es decir evitar nombre que tiendan a confusión, o que puedan ser cambiados en el futuro. Una recomendación es usar nombres geográficos.
  • Seleccionar un prefijo que incluya caracteres estándares de Internet. Es decir mayúsculas, minúsculas, números y el guión medio, pero que no sea únicamente numérico
  • Que el prefijo incluya quince caracteres o menos. Con ello facilitamos que el nombre NetBIOS sea el mismo. Cabe recordar que los nombres NetBIOS forman parte de una estructura plana, en donde no pueden existir dos nombres iguales, y cuyo límite es de quince caracteres.

 

Introducción al diseño e implementación de Directorio Activo. Parte 7 0Aunque por motivos de longitud, los nombres de dominio DNS y NetBIOS pueden ser diferentes, no se recomienda.

 

Por lo que respecta al Root domain del forest, como ya sabemos es el primer dominio que creamos para dar forma a la estructura del Forest. Recordemos que este dominio será el Root domain durante toda la vida del bosque. Es decir no podemos cambiarlo. También recordemos que este dominio es especial en algunos aspectos como en que contiene los grupos Enterprise Admins y Schema Admins

 

Pueden realizar operaciones a nivel de Forest, como adición y eliminación de dominios o implementar modificaciones en el esquema. Una de las decisiones a tomar será decidir en nuestro diseño si el root domain deberá ser dedicado o no.

 

Para poder tomar la decisión debemos conocer un poco las características de uno y otro y en que situaciones nos podrían ser más convenientes.

 

Si optamos por el modelo de dominio único, éste dominio opera como el forets root domain. Si optamos por el modelo de múltiples dominios, deberemos elegir entre desplegar un forest root domain dedicado o que un dominio regional funcione como forest root domain.

 

 

Forest root domain dedicado

 

Un forest root domain dedicado, es un dominio que se crea específicamente para operar como forest root. No contiene cuentas de usuario que no sean las creadas durante el proceso de instalación o alguna otra creada para propósitos administrativos. Tampoco representa ninguna parte de la empresa o ubicación geográfica en nuestra estructura. Todos los otros dominios en el forest son child domains de este forest root domain dedicado.

 

Esta aproximación en el diseño tiene las siguientes ventajas:

 

  • Existe una separación clara entre los administradores del forest y de los respectivos dominios en el forest. En un entorno de un único dominio, los miembros del grupo Domain Admins pueden hacerse a ellos mismos miembros de grupos como Enterpise Admins o Schema Admins. En un forest que utiliza un root domain dedicado, esto no puede pasar ya que los dominios en los que se administran los usuarios y se llevan a cabo las operaciones del día a día son dominio separados con sus propios administradores, pero que al ser dominios separados la situación anterior no se puede dar de ninguna forma.

 

  • También de esta forma se brinda protección contra cambios operativos en otros dominios. Un forest root domain no representa a ninguna región geográfica en nuestra estructura. Por esta razón, jamás será afectado por reorganizaciones u otros cambios que puedan derivar en posibles cambios de nombre o cambios de estructura.

 

  • Es neutral. De este modo en un diseño no habrá ninguna región que aparezca como subordinada de otra región. Muchas empresas desean evitar esta posible estructura, por susceptibilidades, política de empresa, etc… Con esta estructura de forest root domain dedicado, todos los demás dominios aparecen como subdominios del dominio raíz, dando la impresión de que todo el mundo está al mismo nivel.

 

En una estructura con un forest root domain dedicado y con varios subdominios, la replicación del forest root domain tiene un impacto mínimo en la red. Esto es debido a que este dominio únicamente incluye cuentas de domino administrativas, a menudo únicamente las creadas durante el proceso de instalación. Es decir la partición de dominio, donde se albergan todos los objetos que se crean en un dominio, no replican más allá del dominio, exceptuando por información de resumen de todos los objetos a través de los catálogos globales. Al no existir objeto nuevos, o que cambien o que sean eliminados, la replicación es mínima.

 

Una posible desventaja de este modelo es que, obviamente, introduce una carga administrativa adicional, ya que por sencillo que sea, sigue siendo un dominio a mantener, monitorizar, etc.

 

Introducción al diseño e implementación de Directorio Activo. Parte 7 1

 

Domino regional como Forest root domain

 

Si no elegimos un root domain dedicado, debemos elegir un dominio regional como forest root domain. Este dominio se convierte en el Parent domain de todos los demás dominios regionales y será el primer dominio que despleguemos. Este dominio contendrá usuarios, equipos y demás objetos que serán administrados como en los demás dominios. La principal diferencia es que también incluye los grupos Enterprise Administrators y Schema Admins.

 

La ventaja de este diseño es que no crea la carga administrativa adicional de tener que mantener un dominio adicional. Lo más habitual es elegir como dominio raíz, al dominio regional que represente o bien las oficinas centrales o bien la ubicación con los enlaces de red más rápidos.

 

 

Asignación del nombre del dominio raíz del Forest

 

Debemos tener presente que el nombre del forest root domain es el nombre del forest. Como siempre el nombre DNS contiene un prefijo y un sufijo en la forma prefijo-sufijo. Un ejemplo estándar de nombre de dominio raíz es corp.contoso.com. En este caso, corp es el prefijo y contoso.com el sufijo.

 

Establecido y elegido el sufijo, los prefijos para los distintos dominio deberán ser únicos e idealmente que no se hayan usado previamente en la red. Cuando lo combinamos con el sufijo, creamos un espacio de nombres o “namespace” único.  De este modo aseguramos que la infraestructura de DNS no deberá ser modificada para acomodar al directorio activo.

 

Para seleccionar un sufijo para el forest root domain las recomendaciones oficiales son:

 

  • Contactar con la persona responsable de DNS y solicitarle la lista de sufijos DNS disponibles para el directorio activo.
  • Si no existen sufijos disponibles, se recomienda registrar un nuevo nombre público a través de un proveedor de servicios de Internet.

 

Se recomienda utilizar nombres DNS registrados con un ISP. Es la única forma de garantizar que nuestros nombres serán únicos a nivel global. Si otra organización registrara nuestro nombre (no registrado), o si nuestra organización fuera absorbida por otra o fuera la nuestra la que adquiriera otra que usara nuestro mismo nombre, las dos infraestructuras no podrían interactuar de ninguna forma.

 

Se recomienda también no usar bajo ningún concepto single-label domain names o nombres sin estructura de prefijo.sufijo. Tampoco se recomienda usar sufijos no registrados, como por ejemplo .local.

 

Introducción al diseño e implementación de Directorio Activo. Parte 7 2

 

Elección de un prefijo.

 

Si elegimos un sufijo registrado ya en uso en la red, debemos elegir un prefijo para el root domain siguiendo la  siguientes recomendaciones del principio del artículo, en resumen, que sea estable y sin tendencia a ser cambiado, que incluya caracteres estándares en Internet y que sea de quince caracteres como máximo.

 

Añadimos entornes un prefijo que no esté en uso para crear un nombre subordinado. Por ejemplo, si nuestro nombre DNS es Acme.com podemos crear un forest root domain con el nombre corp.acme.com si no se usa en la red. Digamos que lo que estamos haciendo es crear una nueva rama corp dedicada al directorio activo en el espacio de nombres Acme.com.

 

Si seleccionamos que un dominio regional sea el forest root domain, posiblemente debamos seleccionar un nuevo prefijo para el dominio. Dado que el nombre del dominio raíz afecta a todo el resto de nombres de los demás dominios, quizás un nombre regional no sea lo apropiado.

 

Es importante trabajar codo con codo con el administrador de DNS en la planificación del espacio de nombres del directorio activo, no solamente por cuestiones de diseño de nombres y disponibilidad de los mismos, sino por la gestión de DNS en los subdominio y la planificación de las delegaciones de dominio en el espacio de nombres de DNS para que cada dominio de active directorio coincida con la autoridad de DNS también para dicho dominio,  además del diseño de la replicación en DNS.

 

También deberemos planificar el espacio de nombre para una eventual migración a la nube como Azure, una posible sincronización de directorios o hibridación en la que no podremos usar nombres o sufijos no enrutables como .local. Son detalles solucionables pero que si realizamos un buen diseño los evitaremos con facilidad.

 

En el siguiente artículo entraremos en más profundidad en el diseño de una estructura para DNS y su integración con el directorio activo.


Entradas relacionadas

Cursos relacionados
Nuestro sitio utiliza cookies para análisis. Si no estás seguro de ello, echa un vistazo a nuestra política de privacidad.