none
Agregar usuarios remotos a dominio SBS 2k3 RRS feed

  • Pregunta

  • Buenas Tardes:

    Me gustaría que alguien me confirmara que no estoy haciendo ninguna
    burrada o si hay otra manera de hacerlo para resolver mi problema.

    Mi caso es que tengo una central con unos 20 usuarios tirando de un
    SBS 2003 haciendo de DC en la misma ubicación (LAN) y varias oficinas
    externas que están conectadas mediante ADSL 2 mb por una VPN cada
    oficina.

    He metido a esos 20 usuarios (llamemosle locales) y sin problemas,
    trabajan con los recursos compartidos de un NAS (servidor miembro),
    impresoras etc..., pero cuando intento meter en dominio a un equipo de
    las oficinas externas me tarda bastante y ademas un script que se
    tiene que ejecutar al logarse el usuario para que cargue las unidades
    locales (carpetas compartidas) no se me ejecutan.

    El servidor me registra bien el equipo y el usuario y la configuracion
    del cliente lo hago como en todos con el DNS1 la dirección local del
    servidor .

    ¿Esto que estoy haciendo se hace así?¿Hay otra manera de hacerse
    cuando son oficinas remotas?¿Cuando impriman o envien correo mediante
    Outlook2003 por exchange irá lento?

    Saludos
    lunes, 9 de noviembre de 2009 15:57

Respuestas

  • ffss, hay varias cosas a tener en cuenta

    Una línea ADSL tiene la "A" de Asímetrica. Esto es puedes tener 2mbs de "bajada" pero lo normal es que corresponda a sólo 256kbs de "subida", por lo cual la conexión desde el equipo remoto al central tiene esa limitación de velocidad
    Además ningún ISP garantiza un ancho de banda determinado sobre Internet. Sólo aseguran el "mayor esfuerzo para..."

    Si en el sitio remoto no hay controlador de dominio, los clientes (usuarios y máquinas) deben autenticarse a través del enlace VPN
    Porque supongo que tienes una VPN ¿si?

    Si el sistema detecta un enlace lento, hay ciertas configuraciones que no aplica, porque de otra forma se pondría "realmente lento" :-)

    Además el cliente debería apuntar como DNS *solamente al DNS1*, y no a uno de Interrnet, ni siquiera como alternativo

    Guillermo Delprato - MVP-MCT-MCITP-MCTS-MCSE MCITP: Server Administration MCTS:Active Directory/Network Infrastructure Buenos Aires, Argentina
    martes, 10 de noviembre de 2009 16:28
    Moderador
  • En ese caso hay que re-plantearse si se justifica que esos "2 equipos" estén en el dominio ;-)

    Se los podría dejar afuera, y que cuando ingresen a un recurso compartido pongan Usuario/contraseña válido en el dominio.
    Lo que se complicaría de esta forma es si necesitas administrar remotamente los equipos, ya que tendrías que hacerlo uno por uno y conectándote sobre la VPN lenta. Aunque con escritorio remoto seguramente es aceptable la velocidad.

    Que el cliente "se entere" que existe un DNS en Internet es la causa fundamental de las demoras en ambiente de dominio, ya que tratará de resolver el nombre de dominio AD a través del servidor de Internet. Efecto típico es una máquina que demora 10 a 15 minutos en arrancar y autenticarse en el dominio ;-)

    Guillermo Delprato - MVP-MCT-MCITP-MCTS-MCSE MCITP: Server Administration MCTS:Active Directory/Network Infrastructure Buenos Aires, Argentina
    martes, 10 de noviembre de 2009 19:05
    Moderador
  • Hay una conocida elección con estos temas: Facilidad de uso, Seguridad y Costo. Elije dos que el tercero es consecuencia :-)

    Que los clientes demoren en iniciar, casi casi seguro que es por la mala configuración de DNS, ya que este efecto es conocido. Pero los usuarios normalmente inician sesión con "cached credentials" con lo cual si el DNS estuviera correctamente configurado no notarías problemas.

    Lo que sí obliga a tráfico sobre la VPN, es cuando el cliente necesita autenticarse ante un recurso de red (local o remoto) ya que necesita contactar al DC.

    Guillermo Delprato - MVP-MCT-MCITP-MCTS-MCSE MCITP: Server Administration MCTS:Active Directory/Network Infrastructure Buenos Aires, Argentina
    miércoles, 11 de noviembre de 2009 12:32
    Moderador

Todas las respuestas

  • ffss, hay varias cosas a tener en cuenta

    Una línea ADSL tiene la "A" de Asímetrica. Esto es puedes tener 2mbs de "bajada" pero lo normal es que corresponda a sólo 256kbs de "subida", por lo cual la conexión desde el equipo remoto al central tiene esa limitación de velocidad
    Además ningún ISP garantiza un ancho de banda determinado sobre Internet. Sólo aseguran el "mayor esfuerzo para..."

    Si en el sitio remoto no hay controlador de dominio, los clientes (usuarios y máquinas) deben autenticarse a través del enlace VPN
    Porque supongo que tienes una VPN ¿si?

    Si el sistema detecta un enlace lento, hay ciertas configuraciones que no aplica, porque de otra forma se pondría "realmente lento" :-)

    Además el cliente debería apuntar como DNS *solamente al DNS1*, y no a uno de Interrnet, ni siquiera como alternativo

    Guillermo Delprato - MVP-MCT-MCITP-MCTS-MCSE MCITP: Server Administration MCTS:Active Directory/Network Infrastructure Buenos Aires, Argentina
    martes, 10 de noviembre de 2009 16:28
    Moderador
  • Ok Guillermo, ante todo gracias por contestar.

    - Efectivamente la central y la oficina remota estan conectadas mediante VPN.

    - Lo de la línea de ADSL y su lentitud asíncrona me la conozco, pero entonces la forma de montar este tipo de infraestructura es con un DC en cada oficina remota??.
    Me parece un poco excesivo que, por ejemplo, para 2 equipos XP que hay en una oficina remota montar un DC en cada una de ellas que repliquen el AD.

    - Lo de poner el DNS2 apuntando a uno de internet es porque quiero que aprovechen la linea de ADSL que hay en su oficina remota.

    Saludos.
    martes, 10 de noviembre de 2009 16:58
  • Comparto lo que dices con respecto a poner un nuevo DC por 2 equipo es excesivo (tecnica y onerosamente).
    Pero la solución que te propone el Maestro Guillermo es la correcta o en su defecto deberás asumir la lentitud que padeces.

    Por otro lado no es correcto que tengas como DNS preferido o altenativo si es miembro de AD.
    Eso provoca mas lentitud todavía a este escenario.

    Si lo que quieres es lograr una salida AGIL a Internet, no configures las VPN desde los mismos equipos, sino desde dispositivos de red.
    Los mismas canalizarán la VPN y su tráfico y si está bien configurado el mismo lanzarán el tráfico que corresponde a Internet.


    Saludos.


    Rafael Villaseñor Jofre - GrupoITPro - Colabora con el foro y vota si el mensaje es útil.
    martes, 10 de noviembre de 2009 18:10
    Moderador
  • En ese caso hay que re-plantearse si se justifica que esos "2 equipos" estén en el dominio ;-)

    Se los podría dejar afuera, y que cuando ingresen a un recurso compartido pongan Usuario/contraseña válido en el dominio.
    Lo que se complicaría de esta forma es si necesitas administrar remotamente los equipos, ya que tendrías que hacerlo uno por uno y conectándote sobre la VPN lenta. Aunque con escritorio remoto seguramente es aceptable la velocidad.

    Que el cliente "se entere" que existe un DNS en Internet es la causa fundamental de las demoras en ambiente de dominio, ya que tratará de resolver el nombre de dominio AD a través del servidor de Internet. Efecto típico es una máquina que demora 10 a 15 minutos en arrancar y autenticarse en el dominio ;-)

    Guillermo Delprato - MVP-MCT-MCITP-MCTS-MCSE MCITP: Server Administration MCTS:Active Directory/Network Infrastructure Buenos Aires, Argentina
    martes, 10 de noviembre de 2009 19:05
    Moderador
  • Hola de nuevo,

    Si quiero meterlo en dominio es para que pudieran usar los recursos compartidos y aprovechar las aplicaciones de la intranet que me brinda un el SBS2003 ( Companyweb, Outlook2003 conectado al exchange, etc ), por lo que entonces tendré que verlo de la forma que esten fuera del dominio y como bien me dices que pongan usuario y contraseña cuando vaya a conectar al recurso, pero esto se complica ya que no es una sede remota sino que son varias (5) una con 2 equipos como la que estamos viendo y otras que tienen 8 equipos y todas conectadas mediante VPN's a la central (topología de estrella pura)

    Las VPN las tengo configuradas a nivel de router, por lo que los que se encargan de crear y negociar el router son los de ambas sedes, tanto central (escucha) y remota (solicita).

    Lo de mantener los equipos uno por uno mediante Escritorio Remoto por una VPN "lenta" ya lo tengo asumido ;(, por lo que lo seguiré haciendo así.

    Saludos
    miércoles, 11 de noviembre de 2009 8:13
  • Hay una conocida elección con estos temas: Facilidad de uso, Seguridad y Costo. Elije dos que el tercero es consecuencia :-)

    Que los clientes demoren en iniciar, casi casi seguro que es por la mala configuración de DNS, ya que este efecto es conocido. Pero los usuarios normalmente inician sesión con "cached credentials" con lo cual si el DNS estuviera correctamente configurado no notarías problemas.

    Lo que sí obliga a tráfico sobre la VPN, es cuando el cliente necesita autenticarse ante un recurso de red (local o remoto) ya que necesita contactar al DC.

    Guillermo Delprato - MVP-MCT-MCITP-MCTS-MCSE MCITP: Server Administration MCTS:Active Directory/Network Infrastructure Buenos Aires, Argentina
    miércoles, 11 de noviembre de 2009 12:32
    Moderador