none
Uso de subredes o subdominios RRS feed

  • Pregunta

  • Tengo un laboratorio de poco mas de 200 equipos, y lo que quiero es segmentar por salas, que son 4, evitar tanto trafico en la red. No se si puedan realizar subdominios en un mismo Windows Server 2008 x64, y si fuera con subdominios o subredes, sera posible tener usuarios que se puedan loggear con su cuenta de usuario del dominio en cualquier maquina independientemente de si es el dominio 1 o el 4. ¿Alguien pudiera orientarme? Muchas gracias
    viernes, 19 de junio de 2009 17:56

Respuestas

  • Un saludo

    En primer lugar, tendrias que valorar los requerimientos de ancho de banda que necesitan los cllientes. Crear una red central, con el maximo ancho de banda, y subdividir la red con swiches - para reducir las colisiones (creando varios dominios de colision). osea, segmentar la red.
    Y colocar en las redes de mas ancho de banda, las que mas recursos necesiten
    Un poco de rputers y swiches

    Es interesante realizar un estudio de ancho de banda, colisiones, para ver el rendimiento de la red,
    Que fragmentacion de paquetes tendra esa red', una fragmentacion alta creara muchos paquetes de datos que haran caer la red al enviar archivos grandes.
    http://technet.microsoft.com/es-es/library/cc263100.aspx, mediante analizadores de red, protocolos usados, usa iris, dude, retina

    Por debajo del 80 % de rendimiento en una lan a 100, ful dupex, aceptable, por encima red colapsada, con redes con swich.
    Si puedes, pilla  4swich de capa 3 y crea vlans, y conectalos entre si por fiber chanel a un enrutador

     

    Como encuentran...cosas...llas peticiones de los usuarios. usan protocolo internet tcp/ip, primero http://w2k8-server.spaces.live.com/blog/cns!ACD63A60B4BAF014!172.entry
    Instalando el servicio WINS, se reducen los broadcast de descubrimientos de servicios, se reducen las colisiones, y aumenta la velocidad de iniciar las aplicaciones

    No es moco  de pavo que una red funcione.



    Si lo permite la configuracion dw active directori, un usuario podra iniciar sesion donde se le permita. Por defecto en todas las maquinas.

    Todas las maquinas pertenecen a un dominio. solo a un dominio. Lo marca su SID unico, y el guid que le proporciona el dominio

    Si quieres iniciar sesion y utilizar los recursos de otro dominio, tendras que tirar de relaciones de confianza, en un bosque, con 3 subdominios, el usuario podra iniciar sesion, en todos los dominios, accedera a los recursos para los que tenga permiso. Sin duda se logueara contra el dominio que mas cerca le pille fisicamente.

    viernes, 19 de junio de 2009 21:26
  • Gerardo BS, si los equipos demoran 10 minutos para hacer la autenicación apostaría lo que no tengo a que el problema es la configuración de DNS :-)
    Eso NO es problema de mucho tráfico seguro.
    Los equipos integrantes de dominio deben tener confiurado como DNS *únicamente* a un servidor DNS que resuelve el nombre de dominio AD. Nunca deben tener configurados los DNSs del ISP

    Lo que también puede producir demoras en los equipos es si en el AD hay controladores de dominio que "no están" y que no fueron despromovidos adecuadamente.

    No existe esa "tabla de enrutamiento" que nombras; o mejor dicho hay una pero es a nivel IP y no tiene que ver con seleccionar el controlador de dominio que se usará.
    Lo que hace el cliente en realidad, es preguntarle al DNS por cuáles son los controladores de dominio que sean del dominio que necesita, y que estén en el mismo sitio  (Site) del cliente, y luego le envía a cada uno un pedido de autenticación quedándose con el que responda primero (entre esos)

    Lo que sí debes evaluar muy bien es el nombre del dominio AD ya que esto luego esto lleva su trabajo si lo quieres cambiar.
    Puede ser el mismo de prescencia en Internet (ha que tener cuidado con la seguridad), puede ser un subdomino del de Internet (NO delegarlo), o lo más común que es poner un nombre diferente (aunque sea por la extensión, por ejemplo "empresa.local")

    Y por último, por el lado de la seguridad, todo se maneja en los recursos dándole permisos a los diferentes grupos que debes crear, nunca lo vas a conseguir por direcciones IP.

    Lo que sí deberías comentar si es una escuela o algo parecido, en separar físicamente a red administrativa de la empresa, de las de los alumnos, ya que estos suelen ser "aprendice de hackers en potencia" :-D

    Guillermo Delprato - MVP - MCT - MCSE - MCSA - MCTS:AD Buenos Aires, Argentina
    sábado, 20 de junio de 2009 11:25
    Moderador
  • Confirmado que el problema lo tienes en DNS :-D

    La configuración de DNS recomendada para un único dominio pasa por tener instalado el servicio en el propio controlador de dominio (recomendable tener dos por lo menos)

    Cada controlador de dominio debe tener configurado en TCP/IP como DNS a sí mismo (y al otro como alternativo si hay dos)
    En realidad lo mejor y más fácil es que cuando haces el DCPROMO del primer controlador de dominio le dejes que el asistente instale y confgure el servicio DNS.
    Te creará dos zonas: tudominio.local y _msdcs.tudominio.local
    De esta forma te queda "la mejor" configuración. Esto es, las zonas integradas en AD pemitiendo únicamente las actualizaciones seguras (si, los clientes se anotan dinámicamente en el DNS)

    El resto de los equipos deben usar como DNS *sólo* a los DNSs que resuelve tu AD, esto es, el/los controladores de dominio

    Con lo anterior solucionas todos los problemas de lentitud y mucho más :-)

    Para que el servidor DNS resuelva nombres de Internet puedes configurarle Reenviadores a los del ISP


    WINS en este caso no tiene relación, porque los clientes de AD encuetran a los controladores de dominio por DNS, no por NetBIOS
    Guillermo Delprato - MVP - MCT - MCSE - MCSA - MCTS:AD Buenos Aires, Argentina
    lunes, 22 de junio de 2009 12:55
    Moderador

Todas las respuestas

  • Si lo que buscas es no hacer "mucho tráfico" desde ya que te conviene un único dominio. Cuantos más dominios más tráfico.
    Un único dominio te trae además múltiples ventajas: más fácil administración, más seguridad, menos costo, etc.

    Para segmentar la red, usas Switches o eventualmente Routers, aunque no creo que necesites esto último.

    De todas formas, para aclararte dudas, una máquina pertenece sólo a un dominio, nunca a más de uno.
    Guillermo Delprato - MVP - MCT - MCSE - MCSA - MCTS:AD Buenos Aires, Argentina
    viernes, 19 de junio de 2009 18:54
    Moderador
  • te comento todo desde un comienzo:
    la duda comenzo en el porque la lentitud de: las maquinas inician bien, hasta el loggin, porque de ahi en delante, cuando se hace el loggeo en la red, es un tiempo grande, digamos 10 minutos. Me comentaban varias cosas, entre ellas que al momento de loggear o iniciar la sesion en el equipo, dicho equipo generaba un tipo de tabla de "enrutamiento", para saber quienes estaban, de los equipos del dominio, encendidos/disponibles. De ahi fue mi idea de segmentar la red. Ya que se cuentan con 5 salas diferentes, mas los equipos de oficina. La segmentacion fisica de la red es con un switch administrable que seria el central; luego por cada una de las salas a 2 switch's de creo 24 puertos. La conexion entre el switch del centro de la estrella y los demas es de ethernet de 100 Mbps.
    Detecte admas varios problemas en el servidor, de que tienen configurado un dominio publico, "x.edu.mx", y en la red superior, (ya que esta es una LAN), tambien hay un servidor con el mismo dominio "x.edu.mx", esta mal, que usen asi, y que en la red del problema deberia y vamos a cambiar el dominio por uno local.
    Pero en si ese es el problema inicial, enconces como me compentas, con un solo diminio o subred, seria menos trafico?, y el problema entonces, estaria en la configuracion del servidor?
    El objetivo de segmentar tambien iba por el lado de seguridad al momento de compartir archivos en un equipo, que solo fuera accesible por los de su red/subred....
    Agradeceria me pudieras seguir ayudando...

    viernes, 19 de junio de 2009 20:52
  • Un saludo

    En primer lugar, tendrias que valorar los requerimientos de ancho de banda que necesitan los cllientes. Crear una red central, con el maximo ancho de banda, y subdividir la red con swiches - para reducir las colisiones (creando varios dominios de colision). osea, segmentar la red.
    Y colocar en las redes de mas ancho de banda, las que mas recursos necesiten
    Un poco de rputers y swiches

    Es interesante realizar un estudio de ancho de banda, colisiones, para ver el rendimiento de la red,
    Que fragmentacion de paquetes tendra esa red', una fragmentacion alta creara muchos paquetes de datos que haran caer la red al enviar archivos grandes.
    http://technet.microsoft.com/es-es/library/cc263100.aspx, mediante analizadores de red, protocolos usados, usa iris, dude, retina

    Por debajo del 80 % de rendimiento en una lan a 100, ful dupex, aceptable, por encima red colapsada, con redes con swich.
    Si puedes, pilla  4swich de capa 3 y crea vlans, y conectalos entre si por fiber chanel a un enrutador

     

    Como encuentran...cosas...llas peticiones de los usuarios. usan protocolo internet tcp/ip, primero http://w2k8-server.spaces.live.com/blog/cns!ACD63A60B4BAF014!172.entry
    Instalando el servicio WINS, se reducen los broadcast de descubrimientos de servicios, se reducen las colisiones, y aumenta la velocidad de iniciar las aplicaciones

    No es moco  de pavo que una red funcione.



    Si lo permite la configuracion dw active directori, un usuario podra iniciar sesion donde se le permita. Por defecto en todas las maquinas.

    Todas las maquinas pertenecen a un dominio. solo a un dominio. Lo marca su SID unico, y el guid que le proporciona el dominio

    Si quieres iniciar sesion y utilizar los recursos de otro dominio, tendras que tirar de relaciones de confianza, en un bosque, con 3 subdominios, el usuario podra iniciar sesion, en todos los dominios, accedera a los recursos para los que tenga permiso. Sin duda se logueara contra el dominio que mas cerca le pille fisicamente.

    viernes, 19 de junio de 2009 21:26
  • Gerardo BS, si los equipos demoran 10 minutos para hacer la autenicación apostaría lo que no tengo a que el problema es la configuración de DNS :-)
    Eso NO es problema de mucho tráfico seguro.
    Los equipos integrantes de dominio deben tener confiurado como DNS *únicamente* a un servidor DNS que resuelve el nombre de dominio AD. Nunca deben tener configurados los DNSs del ISP

    Lo que también puede producir demoras en los equipos es si en el AD hay controladores de dominio que "no están" y que no fueron despromovidos adecuadamente.

    No existe esa "tabla de enrutamiento" que nombras; o mejor dicho hay una pero es a nivel IP y no tiene que ver con seleccionar el controlador de dominio que se usará.
    Lo que hace el cliente en realidad, es preguntarle al DNS por cuáles son los controladores de dominio que sean del dominio que necesita, y que estén en el mismo sitio  (Site) del cliente, y luego le envía a cada uno un pedido de autenticación quedándose con el que responda primero (entre esos)

    Lo que sí debes evaluar muy bien es el nombre del dominio AD ya que esto luego esto lleva su trabajo si lo quieres cambiar.
    Puede ser el mismo de prescencia en Internet (ha que tener cuidado con la seguridad), puede ser un subdomino del de Internet (NO delegarlo), o lo más común que es poner un nombre diferente (aunque sea por la extensión, por ejemplo "empresa.local")

    Y por último, por el lado de la seguridad, todo se maneja en los recursos dándole permisos a los diferentes grupos que debes crear, nunca lo vas a conseguir por direcciones IP.

    Lo que sí deberías comentar si es una escuela o algo parecido, en separar físicamente a red administrativa de la empresa, de las de los alumnos, ya que estos suelen ser "aprendice de hackers en potencia" :-D

    Guillermo Delprato - MVP - MCT - MCSE - MCSA - MCTS:AD Buenos Aires, Argentina
    sábado, 20 de junio de 2009 11:25
    Moderador
  • Gracias a Guillermo Delparto y vicvic82.
    Si es red de una escuela, fisicamente, si estan separadas las redes. Localmente en el laboratorio, se cuenta con un servidor de dominio, y segun tengo entendido, los equipos deben configurarse en el AD, no en el DNS, cierto? ya que en el DNS en el actual servidor, estan varios archivos, que me parece son CNAME, con los nombres de cada equipo del laboratorio, o los genera solos?.
    La configuracion IP es manual, e ingresa un unico dns para sodas. Algo que se me hace curioso, y creo que por ahi hay vulnerabilidad, es que, cuando a un equipo se le quieta la ip, y se cambia a que sea por dhcp, se le asigna direccion de uno de los servidores generales de la escuela, eso funcionaba cuando el dominio de ambos servidores era xy.edu.mx, ahora el de la red de laboratorio en cuestion es xyz.edu.mx, y no lo e provado, lo anterior lo utilizabamos, para saltarnos el proxy local, ya que en ocaciones restringia cosas de mas, :P
    y el proxy del nivel superior, junto con el dhcp eran quien gobernaban esa maquina en cuestion. Yo creo que era por tener el mismo dominio configurado en los equipos, y servidores, y creaba un dominio de internet, no uno local, ahora con la nueva configuracion vamos a crear el dominio .local, voy a probar tambien la cuestion del servidor WINS, a ver que tal funciona, y ver si el rendimiento en el loggeo, aumenta. En 2 o 3 dias espero haber realizado las pruebas, y comento que fue lo que paso, para cerrar ya esta pregunta. Aun asi, si hay algi mas que me pudiece ayudar, se los agradeceria...

    Gerardo Verduzco
    BS
    domingo, 21 de junio de 2009 17:02
  • Confirmado que el problema lo tienes en DNS :-D

    La configuración de DNS recomendada para un único dominio pasa por tener instalado el servicio en el propio controlador de dominio (recomendable tener dos por lo menos)

    Cada controlador de dominio debe tener configurado en TCP/IP como DNS a sí mismo (y al otro como alternativo si hay dos)
    En realidad lo mejor y más fácil es que cuando haces el DCPROMO del primer controlador de dominio le dejes que el asistente instale y confgure el servicio DNS.
    Te creará dos zonas: tudominio.local y _msdcs.tudominio.local
    De esta forma te queda "la mejor" configuración. Esto es, las zonas integradas en AD pemitiendo únicamente las actualizaciones seguras (si, los clientes se anotan dinámicamente en el DNS)

    El resto de los equipos deben usar como DNS *sólo* a los DNSs que resuelve tu AD, esto es, el/los controladores de dominio

    Con lo anterior solucionas todos los problemas de lentitud y mucho más :-)

    Para que el servidor DNS resuelva nombres de Internet puedes configurarle Reenviadores a los del ISP


    WINS en este caso no tiene relación, porque los clientes de AD encuetran a los controladores de dominio por DNS, no por NetBIOS
    Guillermo Delprato - MVP - MCT - MCSE - MCSA - MCTS:AD Buenos Aires, Argentina
    lunes, 22 de junio de 2009 12:55
    Moderador
  • "Cerrando" esta pregunta, y agradeciendo a Guillermo y Vicvic82, por haberme apoyado.
    Al fin pude comprobar que se soluciono el problema de la lentitud del loggeo, ahora todos los equipos se ven, y puedo tener acceso a cualquier equipo que este compartiendo archivos. Ice caso omiso a Guillermo, y genere de todas formas el servidor wins. Asi que hay validacion tanto de wins como de dns, por lo pronto, dejare la configuracion como esta, ya que las clases iniciaron hace 15 dias y es critico dejar sin servicio. en unos 6 meses probare solo con DNS, para ver la funcionalidad, ya que como les comentaba, estaban realizadas desde DNS anteriormente, y estaba lentisisisimo.
    Colocare como mejor respuesta la de vicvic, ya que es la que me orillo a conocer wins (en un vinculo del foro de Guillermo, jeje, que cosas no?)...

    Gracias a ambos...

    jueves, 3 de septiembre de 2009 8:02
  • Como quieras :-) pero en un dominio W2000 o posterior, los clientes W2000 o posterior encuentran a los controladores de dominio, por DNS. Los únicos que siguen intentando por NetBIOS son los W9x y NTs

    WINS ayuda a que los encuentres por entorno de red, ya que el servicio Examinador (Browser) utiliza NetBIOS, pero esa no es la forma en que los clientes encuentran a los DCs.

    Guillermo Delprato - MVP-MCT-MCITP-MCTS-MCSE MCITP: Server Administration MCTS:Active Directory/Network Infrastructure Buenos Aires, Argentina
    jueves, 3 de septiembre de 2009 19:42
    Moderador