none
Active Directory sin VPN. RRS feed

  • Pregunta

  • Excelente día a todos.

    Acabo de promover un dominio y realmente no soy experto en estas artes. Mi pregunta es ¿Es forzosamente necesario contar con VPN para que los clientes puedan ser parte del Dominio? Esto lo pregunto porque aunque los clientes pueden ver al servidor, el servidor no puede ver a los clientes... ¿Es necesario que los pueda alcanzar Servidor -> Clientes?

    Agradezco su paciencia y quedo a sus órdenes.

    Un saludo cordial.

    martes, 16 de octubre de 2012 16:24

Respuestas

  • Hola Luis,

    creo que tienes algun concepto poco claro. Una VPN es una red privada virtual, se trata de una conexion de red entre dos o mas equipos utilizando normalmente un canal seguro y cifrado sobre una conexion ya existente ( internet por ejemplo ).

    Una VPN no es necesario para configurar una arquitectura de Servidor-Cliente en una red local  bajo Active Directory, es decir para unir un equipo a un Dominio tan solo debes haber creado tu dominio previamente en tu servidor y luego unir las estaciones a ese dominio teniendo en cuenta algunos detalles muy importantes como puede ser la configuracion de tu servidor DNS y la configuracion DNS en el cliente que quieres unir al dominio. Con esto  tanto servidor como equipos deben poder verse sin problemas.

    Dado que no dejas claro cual es tu arquitectura y que puntos tienes hechos de lo que te comento, amplianos la informacion y te daremos mas indicaciones de como debes configurarlo todo correctamente.

    Saludos


    MCITP - Server Administrator (Windows Server 2008) MCC - Microsoft Community Contributor 2011

    martes, 16 de octubre de 2012 18:45
    Moderador
  • Hola Luis!

    Entiendo tu problema, e interpreto que tenés sucursales con IP dinámicas públicas de Internet.

    En este sentido, es importante destacar lo siguiente:

    • Un servidor DC (Domain Controller) no debería, bajo ningún punto de vista, que exponga servicios a través de IP públicas. Los mismos deberían quedar dentro del ámbito privado.
    • Dicho lo anterior, si necesitás que los equipos de las sucursales estén unidos al dominio (desconozco la cantidad de equipos por sucursal), deberías pensar: ó en un DC por sucursal (sea solo lectura o full), ó acceso desde las sucursales mediante otras tecnologías (como exponer servicios en la central de escritorio remoto, para que los equipos de las sucursales accedan sin estar en el dominio a archivos, aplicaciones, etc).
    • Si se piensa en desplegar DCs en las diferentes sucursales (te repito, desconozco la cantidad de equipos clientes y usuarios que tiene cada sucursal y a que servicios querés acceder) es necesario pensar en un vínculo VPN entre los DCs. Con el mismo criterio que el primer punto, no se recomienda bajo ningún punto de vista exponer servicios de Active Directory a través de la interface pública.

    Expuestos estos tres puntos, te invito a que nos cuentes:

    • Cantidad de equipos en las sucursales.
    • Cantidad de usuarios.
    • Dónde y qué servicios tenés (fileserver, aplicativos, etc).

    para que podamos ayudarte a pensar como podría ser la alternativa razonable de infraestructura que se adapta a tus necesidades.

    Espero que esto te haya ayudado. Esperamos tu feedback!!!

    Saludos!!


    Pablo Ariel Di Loreto
    IT Consultant

    This posting is provided "AS IS" with no warranties and confers no rights! Always test ANY suggestion in a test environment before implementing!

    jueves, 18 de octubre de 2012 4:28

Todas las respuestas

  • Hola Luis,

    creo que tienes algun concepto poco claro. Una VPN es una red privada virtual, se trata de una conexion de red entre dos o mas equipos utilizando normalmente un canal seguro y cifrado sobre una conexion ya existente ( internet por ejemplo ).

    Una VPN no es necesario para configurar una arquitectura de Servidor-Cliente en una red local  bajo Active Directory, es decir para unir un equipo a un Dominio tan solo debes haber creado tu dominio previamente en tu servidor y luego unir las estaciones a ese dominio teniendo en cuenta algunos detalles muy importantes como puede ser la configuracion de tu servidor DNS y la configuracion DNS en el cliente que quieres unir al dominio. Con esto  tanto servidor como equipos deben poder verse sin problemas.

    Dado que no dejas claro cual es tu arquitectura y que puntos tienes hechos de lo que te comento, amplianos la informacion y te daremos mas indicaciones de como debes configurarlo todo correctamente.

    Saludos


    MCITP - Server Administrator (Windows Server 2008) MCC - Microsoft Community Contributor 2011

    martes, 16 de octubre de 2012 18:45
    Moderador
  • Gracias, Pep.

    Una disculpa por no especificar la arquitectura. El servidor es un WServer 2008 R2 y los clientes no están dentro de una red local, están en distintas sucursales detrás de un router con ip dinámica. 

    Los clientes tienen W7 Pro.

    Si requieres más información, heme aquí a tus órdenes.

    martes, 16 de octubre de 2012 19:25
  • VPN no es necesaria...

    Pero los equipos remotos deben poder ver al server (Sea por VPN) o porque se rutea el trafico entre los sites.

    Podes hacer Ping desde un cliente al DC?

    martes, 16 de octubre de 2012 20:14
  • Sí, claro. El ping es respondido. El DC tiene IP Pública, así que desde el cliente al DC no hay problemas de visibilidad.

    Otro asunto, aprovechando. Cuando uno un cliente a dominio, y reinicio el cliente, automáticamente pierde la confianza, ya formatee incluso el server, reinstalé , seguí indicaciones de distintos foros y aún así nada...

    ¡Qué amable por tu atención!

    martes, 16 de octubre de 2012 20:33
  • Ahí tienes un problema a nivel de networking, que es lo que comentan los compañeros.

    Haz algunas pruebas de conectividad, pero en entornos con sedes distribuidas o geograficamente distribuidas, hay que hilar muy fino en la parte de Networking, para que todo funcione bien.

    Además de que se vean, ya sea por Ping, tracert ... luego para que funcione correctamente el DA tienes que tener una serie de puertos abiertos entre las sedes y la central.

    No se si tendrás además algun Controlador de Dominio en alguna de la sedes, porque eso añadiría más puertos a abrir.

    http://technet.microsoft.com/en-us/library/dd772723%28WS.10%29.aspx



    Daniel Graciá - Madrid / España

    ITIL v3, MCSA 2008, MCITP Enterprise Admin
    MCTS SCOM 2007, Windows Vista Configuration
    MCSA 2003 + Security, MCSE 2003 + Security
    MCP ISA SERVER 2000

    El Blog de Dani Gracia
    Dani Gracia en Twitter
    Dani Gracia en LinkedIn


    • Editado Dani Gracia martes, 16 de octubre de 2012 20:42
    martes, 16 de octubre de 2012 20:40
  • Hola Luis!

    Entiendo tu problema, e interpreto que tenés sucursales con IP dinámicas públicas de Internet.

    En este sentido, es importante destacar lo siguiente:

    • Un servidor DC (Domain Controller) no debería, bajo ningún punto de vista, que exponga servicios a través de IP públicas. Los mismos deberían quedar dentro del ámbito privado.
    • Dicho lo anterior, si necesitás que los equipos de las sucursales estén unidos al dominio (desconozco la cantidad de equipos por sucursal), deberías pensar: ó en un DC por sucursal (sea solo lectura o full), ó acceso desde las sucursales mediante otras tecnologías (como exponer servicios en la central de escritorio remoto, para que los equipos de las sucursales accedan sin estar en el dominio a archivos, aplicaciones, etc).
    • Si se piensa en desplegar DCs en las diferentes sucursales (te repito, desconozco la cantidad de equipos clientes y usuarios que tiene cada sucursal y a que servicios querés acceder) es necesario pensar en un vínculo VPN entre los DCs. Con el mismo criterio que el primer punto, no se recomienda bajo ningún punto de vista exponer servicios de Active Directory a través de la interface pública.

    Expuestos estos tres puntos, te invito a que nos cuentes:

    • Cantidad de equipos en las sucursales.
    • Cantidad de usuarios.
    • Dónde y qué servicios tenés (fileserver, aplicativos, etc).

    para que podamos ayudarte a pensar como podría ser la alternativa razonable de infraestructura que se adapta a tus necesidades.

    Espero que esto te haya ayudado. Esperamos tu feedback!!!

    Saludos!!


    Pablo Ariel Di Loreto
    IT Consultant

    This posting is provided "AS IS" with no warranties and confers no rights! Always test ANY suggestion in a test environment before implementing!

    jueves, 18 de octubre de 2012 4:28