Iniciar sesión
 
InicioBibliotecaAprendizajeDescargaSoporteComunidadForos

none
Directorio Activo en un servidor en la nube

 > 

    Pregunta

  • Question
    Inicie sesión para votar
    0
    Inicie sesión para votar

    Que tal buen día a todos,

     Necesito saber si es posible la idea o necesidad que tengo…. Quiero contratar un servidor dedicado en el nube y ahí instalar y configurar el Directorio activo para mi empresa, mi empresa  tiene  presencia en varios estados del país  y creo que  es una buena alternativa.

     

    Es una buena alternativa?. Que debo de considerar ?...ya se como promover el servidor  a directorio activo  pero alguien me puedo apoyar con material para configurar  el DNS,  y sobre todo que debo de hacer en términos de configuración del Directorio activo  antes de iniciar con la creación de unidades organizativas, usuarios etc.

     

    De antemano gracias


    • Editado Hazoli miércoles, 11 de diciembre de 2013 23:46
    miércoles, 11 de diciembre de 2013 22:37
    |
    |

Respuestas

  • Question
    Inicie sesión para votar
    1
    Inicie sesión para votar

    Hola Hazoli,

    Por lo que he leído de tu pregunta, me queda claro que quieres desplegar un DC en la nube, la duda que me queda es si tu intención es usarlo como único DC o como DC de respaldo.

    Si tu intención es usarlo como único DC me temo que pueda resultar una decisión un poco arriesgada ya que tus usuarios requieren de la presencia de ese DC para poder iniciar sesión, obtener las políticas, operativa de los tokens Kerberos para la autenticación de recursos, servidor de hora, DNS, etc...

    Si tu intención es usarlo como un DC de respaldo es una opción perfectamente válida y creo que bastante acertada.

    En cualquier caso, ten presente que por defecto las comunicaciones con AD no van encriptadas (aunque puedes habilitar algunos protocolos seguros LDAPS (TCP 636) y GCs (TCP 3269), consulta este artículo para ampliar info: Cómo habilitar LDAP sobre SSL con una entidad de certificación de terceros) tendrás que montar una VPN entre tu red corporativa y la cloud para cifrar esas comunicaciones y que sea algo seguro.

    No has comentado sobre que nube has desplegado tu servidor, pero igualmente te paso una Guia de configuración de AD en Azure que igualmente te puede servir de ayuda (uses Azure o no) Directrices para implementar Windows Server Active Directory en máquinas virtuales de Windows Azure

    Es particularmente importante que le prestes atención al apartado de compatibilidad de los DC con máquinas virtuales, ya que si son perfectamente compatibles, hay que seguir ciertas directrices y buenas practicas para no tener problemas.

    Un saludo y espero que te sirva

    Twitter: @SantiFdezMunoz
    CursoHispano.com

    jueves, 12 de diciembre de 2013 11:42
    |
    |

Todas las respuestas

  • Question
    Inicie sesión para votar
    1
    Inicie sesión para votar

    Hola Hazoli,

    Por lo que he leído de tu pregunta, me queda claro que quieres desplegar un DC en la nube, la duda que me queda es si tu intención es usarlo como único DC o como DC de respaldo.

    Si tu intención es usarlo como único DC me temo que pueda resultar una decisión un poco arriesgada ya que tus usuarios requieren de la presencia de ese DC para poder iniciar sesión, obtener las políticas, operativa de los tokens Kerberos para la autenticación de recursos, servidor de hora, DNS, etc...

    Si tu intención es usarlo como un DC de respaldo es una opción perfectamente válida y creo que bastante acertada.

    En cualquier caso, ten presente que por defecto las comunicaciones con AD no van encriptadas (aunque puedes habilitar algunos protocolos seguros LDAPS (TCP 636) y GCs (TCP 3269), consulta este artículo para ampliar info: Cómo habilitar LDAP sobre SSL con una entidad de certificación de terceros) tendrás que montar una VPN entre tu red corporativa y la cloud para cifrar esas comunicaciones y que sea algo seguro.

    No has comentado sobre que nube has desplegado tu servidor, pero igualmente te paso una Guia de configuración de AD en Azure que igualmente te puede servir de ayuda (uses Azure o no) Directrices para implementar Windows Server Active Directory en máquinas virtuales de Windows Azure

    Es particularmente importante que le prestes atención al apartado de compatibilidad de los DC con máquinas virtuales, ya que si son perfectamente compatibles, hay que seguir ciertas directrices y buenas practicas para no tener problemas.

    Un saludo y espero que te sirva

    Twitter: @SantiFdezMunoz
    CursoHispano.com

    jueves, 12 de diciembre de 2013 11:42
    |
    |
  • Question
    Inicie sesión para votar
    0
    Inicie sesión para votar

    Que tal Santi buen día,

    De antemano muchas gracias por tu respuestas; fíjate que mi intención si es poner un DC principal en la nube, sé que es un poco  o mucho arriesgado  pero  creo que  puedo abatir muchos costos en la empresa, el servidor  lo estaré rentando  en un bunker  con certificación TIER 4.

    Ahora  bien, la comunicación entre red corporativa  me recomiendas que habilite una VPN, esto lo puedo  hacer directo con alguna aplicación o característica de MS Windows...en mi compañía tenemos  ya una red de VPN..... LDAPS es el protocolo de excreción quemas me recomiendas (seguridad y fácil implementación).

    por lo que veo  esto q estoy tratando de implementar  es el servicio que ofrece MS en AZURE, obvio de mejor menera  pienso yo.

    Lo que busco con este esquema  implementar las políticas  de red  a todos los equipos  estén dentro de la red corporativa o no; Santi  lo que me puedas comentar  será bienvenido.

     

    Saludos y gracias nuevamente.


    • Editado Hazoli lunes, 16 de diciembre de 2013 22:35
    lunes, 16 de diciembre de 2013 22:22
    |
    |
  • Question
    Inicie sesión para votar
    0
    Inicie sesión para votar

    Hola Hazoli,

    Cuando me refería a que poner un DC principal en la cloud es un poco arriesgado, no solo me refería a cuestiones de seguridad (que siempre son muy importantes) sino también a temas de rendimiento y disponibilidad (sobre todo rendimiento). Evidentemente tener un DC en un datacenter TIER 4 es un valor añadido bastante interesante, pero ¿Qué ocurre cuando el dato sale del Datacenter? Eso ya no es responsabilidad del datacenter, con lo que tener comunicaciones cifradas en el escario que planteas es casi una obligación.

    Por otra parte, intentar reducir costes siempre es una premisa a tener en cuenta, siempre y cuando no impacte demasiado en la calidad del servicio. Te comento esto porque tener un DC accesible mediante una línea pobre puede (y de hecho lo hace) dilatar los tiempos de inicio de sesión de forma importante, además de provocar incluso que el motor de GPO del cliente evalúe el enlace como enlace lento y directamente deje de procesar algunas políticas, por lo que para tu diseño es FUNDAMENTAL tener un buen canuto de subida desde cada sede que deba conectarse al DC.

    De entrada tu planteamiento es muy lícito, pero hay ciertos puntos críticos que deberías plantearte bien. La disponibilidad, no ya del DC en sí, sino del acceso (¿Qué ocurre si una sede pierde el enlace con el DC?, los costes de líneas con ancho de banda de subida suficiente, los costes del propio datacenter (deberías tener más de un DC), etc... hacen que sea un diseño tremendamente complejo, aunque muy interesante :)

    Twitter: @SantiFdezMunoz
    CursoHispano.com

    martes, 17 de diciembre de 2013 8:10
    |
    |
  • Question
    Inicie sesión para votar
    0
    Inicie sesión para votar

    santi  buen dia  y de nuev cuenta agradezco tus comentarios,  solo para terminar este tema,  podrias indicarme  alguna URL donde encuentre  informacion de como  estabecer una VPN  entre mi red corporativa  y  el server DC que tednre en la nuve, claro con  herramietnas de Micosoft.

    saludos!

    jueves, 19 de diciembre de 2013 15:24
    |
    |
  • Question
    Inicie sesión para votar
    0
    Inicie sesión para votar

    Puedes usar NAP:

    Checklist: Implementing a VPN Enforcement Design

    Twitter: @SantiFdezMunoz
    CursoHispano.com

    jueves, 19 de diciembre de 2013 15:26
    |
    |