none
Mejores practicas para un bosque con varios dominios RRS feed

  • Pregunta

  • Hola grupo,

    os pongo en antecendetes primero.

    Laboratorio con las siguientes caracteristicas:´

    Dominio : laboratorio.local , forest root domain

    DC1.laboratorio.local  con los 5 FSMO, DNS, GC y unido al site OFICINAS 192.168.1.0/24

    DC2.laboratorio.local sin roles, DNS, GC y unido al site SAT 192.168.2.0/24

    a nivel de configuracion de red cada uno se apunta a si mismo como DNS1 y al otro como DNS2 y cada uno tiene una IP de su subnet y la mascara que permite que se vean entre ellos.

    Los Servicios de DNS en cada uno estan configurados con un unico re-enviador externo.

    Hasta aqui es todo correcto, funciona todo OK, replica correctamente,etc.. no hay problema.

    A continuacion he creado un nuevo arbol de Dominios bajo el mismo bosque llamado almacen.local usando un tercer DC llamado DC3.almacen.local que tambien es DNS y GC  .La replicacion se realiza correctamente, y automaticamente lo mete en el Sitio OFICINAS, asi que creo un nuevo sitio ALMACEN y una nueva subred  192.168.3.0/24 y lo muevo a ese sitio. El servicio DNS funciona correctamente, tiene la zona almacen.local y una copia de _msdcs.laboratorio.local, y el mismo reenviador externo que el resto.  Este DC a nivel de red tiene una IP de su subnet y como DNS primario y unico se apunta a si mismo.

    Tras esperar un rato y forzar para que se repliquen entre ellos y el KCC cree los objetos correspondientes parece que todo funciona correctamente, DC1 y DC2 albergan la zona laboratorio.local y solo se replica en los DCs del dominio laboratorio.local y DC3 tiene la zona almacen.local y solo se replica en DCs del dominio almacen.local,  aqui vienen mis dudas y problemas.

    1. tanto en DC1 como en DC2 mediante nslookup no puedo resolver direcciones de almacen.local ,  cual es la configuracion DNS en estos casos? debo en DC1 y DC2 cruzar los DNS y poner como DNS secundario la IP del DC3 y viceversa?  debo cruzarlos a nivel de reenviador del servicio DNS de cada DC? (esto no me convence porque cualquier direccion de internet se la mandara al otro DC y creo que no es necesario)

    Lo que he hecho para solventarlo, que no se si es lo correcto en este escenario, es crear una zona secundaria de cada dominio en cada DC y he autorizado las transferencias de zona para permitirlas, de manera que DC1 y DC2 tienen una copia de almacen.local y DC3 tiene una copia de laboratorio.local. Esto funciona correctamente y ya se resulve correctamente con nslookup pero tengo la duda de si esta configuracion es la practica recomendada o no. Otra opcion habria sido hacer que ambos dominios se repliquen en todos los DCs del forest pero creo que es una solucion extremista.

    2.Por otro lado, en los servidores DNS de DC1 y DC2  tengo configuradas las zonas de busqueda inversas 192.168.1.X y 192.168.2.X que se almacenan en los DCs del dominio laboratorio.local. He intentado crear la zona inversa 192.168.3.X en DC3 pero me dice que el servidor no es autoritativo para esa zona ¿?¿?

    Partiendo de la base de que las subzonas no implican la definicion de los dominios, he intentado crear la zona de busqueda inversa 192.168.3.X en DC1 e indicarle que se replique en TODOS los DCs del forest (para que llegue al DC3, que es el principal interesado), aunque esta zona no llega a aparecer nunca en el DNS de DC3. En las propiedades de la zona de busqueda inversa 192.168.3.X, en la pestaña de Servidores de Nombre, intento incluir al DC3 pero me dice que ese servidor no es autoritativo para la zona requerida, vamos, la misma repuesta vista desde otro sitio..

    Si en DC3 creo una zona secundaria copia de la zona inversa 192.168.3.X creada en DC1 entonces si aparece en DC3 pero claro, es de lectura y no registrara los PTR de los equipos nuevos de almacen.local ... y DC1 que es quien la gestiona tampoco registrara los PTR de los equipos de almacen.local ya que no se registraran en el, asi que no creo que me sirva de mucho...

    Que debo hacer para permitir la resolucion inversa de IPs  desde ambos dominios y que se generen los PTR correctamente desde cada dominio?

    ¿Cual es la practica recomendada para la correcta configuracion de zonas,zonas secundarias, zonas inversas, zonas secundarias inversas,  DNS (a nivel de adaptador de red), DNS (a nivel de servidor DNS, reenviadores, etc..) cuando tenemos 1 forest con 2 dominios?

    Saludos y gracias por los comentarios.

     

     

    sábado, 10 de abril de 2010 15:12
    Moderador

Respuestas

  • Buenos Dias , 

     

    En el siguiente link tienes las mejores practicas en cuanto a todo lo relevante a Active Directory, incluyendo DNS.

     

    http://technet.microsoft.com/en-us/library/bb727085.asp


    Sebastian del Rio - MCP - MCSA +S - MCSE +S - MCITP:Enterprise Administrator Buenos Aires - Argentina Este mensaje se proporciona "como está" sin garantías de ninguna clase, y no otorga ningún derecho. Ud. asume los riesgos
    sábado, 10 de abril de 2010 18:30
    Moderador
  • Buenos Dias ,

     

    Realmente Conditional Fowarders es algo que ya viene de 2003 , existia ... solo que no eran tan explicito como ahora :) y tu lo podias configurar desde la pestaña de Fowarders en las propiedades de la zona. 

     

    En mi caso generalmente uso reenviadores condicionales , ya sea en 2003 o 2008 , otros administradores prefieren utilizar zonas secundarias o zonas Stub. Pero realmente en la practica siempre me ha dado mejor resultado usar conditional fowarders , de esa manera no tienes trafico de replicacion y tu solo enviaras la consulta a quien pueda contestarla con certeza :)

     


    Sebastian del Rio - MCP - MCSA +S - MCSE +S - MCITP:Enterprise Administrator Buenos Aires - Argentina Este mensaje se proporciona "como está" sin garantías de ninguna clase, y no otorga ningún derecho. Ud. asume los riesgos
    lunes, 12 de abril de 2010 1:37
    Moderador

Todas las respuestas

  • Actualizo :

    He configurado desde DC1 las tres subzonas inversas para que se repliquen en todo el forest y despues de esperar bastante han aparecido en DC3 tambien y ya aparece como servidor de nombres autorizado para esas zonas, por lo que cualquiera de lo 3 DC3 registraran los PTR de los equipos que se registren en ellos y se podran resolver en cualquier DC .... solo era un problema "de impaciencia".

    No obstante, como no se si la configuracion que yo he realizado es la mas idonea, me reitero

    ¿Cual es la practica recomendada para la correcta configuracion de zonas,zonas secundarias, zonas inversas, zonas secundarias inversas,  DNS (a nivel de adaptador de red), DNS (a nivel de servidor DNS, reenviadores, etc..) cuando tenemos 1 forest con 2 dominios?

    sábado, 10 de abril de 2010 16:35
    Moderador
  • Buenos Dias , 

     

    En el siguiente link tienes las mejores practicas en cuanto a todo lo relevante a Active Directory, incluyendo DNS.

     

    http://technet.microsoft.com/en-us/library/bb727085.asp


    Sebastian del Rio - MCP - MCSA +S - MCSE +S - MCITP:Enterprise Administrator Buenos Aires - Argentina Este mensaje se proporciona "como está" sin garantías de ninguna clase, y no otorga ningún derecho. Ud. asume los riesgos
    sábado, 10 de abril de 2010 18:30
    Moderador
  • Hola Sebastian,

    gracias por tu ayuda, conocia el articulo pero la verdad es que no me aporta nada claro. Me explico, trantando de no alejarme demasiado de mi pregunta.

    Desde Windows 2000 hasta Windows 2008R2, las mejores practicas para el diseño de topologias de Active Directory han ido cambiando a medida que se mejoraba las caracteristicas de los Sistemas Operativos y se superaban determinadas limitaciones que en muchos casos imponian un diseño u otro, con uno o con varios forests , con uno o con varios dominios.

    Hoy en dia con Windows 2008R2 "tecnicamente" no existen limitaciones que obliguen a crear una topologia diferente a nuestro objetivo por meras causas tecnicas, quedando entonces solo la opcion de escoger otro modelo mas por causas organizativas, empresariales, o de interconexion fisica.

    Lo que yo realmente quiero saber, o me gustaria que me dijeran, son las practicas recomendadas con mayor eficacia comprobada y utilizadas por Administradores de Sistemas en la topologia 1 forest con 2 dominios.

    Te pongo un ejemplo sobre el escenario de mi consulta.

    Para la resolucion DNS directa y correcta entre ambos dominios yo podia haber realizado las siguientes configuraciones :

    1. Forzar las zonas laboratorio.local y almacen.local para que se repliquen en todos los DCs del forest.

    2.Crear las zonas secundarias (solo lectura) del otro dominio en cada DC, que es lo que yo he hecho.

    3. Cruzar los DNS de cada zona en los reenviadores de manera que  DC1 tiene como primer reenviador a DC3 y DC3 tiene como primer reenviador a DC1, asi obtengo respuesta cuando consulto una direccion del otro dominio.

    4. Poner en las propiedades de adaptador de red de DC1  su IP como DNS primario y la IP de DC3 como secundario y viceversa, aunque esta opcion no tengo tan claro que funcione porque no creo que se llegue a preguntar nunca al DC secundario pero bueno...

    5. Utilizar la nueva funcion de Windows 2008, reenviadores condicionales, para especificar que las consultas del otro dominio las resuelva un DC del otro dominio.

    6.¿?¿?¿?¿?

    Cual de ellas es la recomendada o utilizada con mas frecuencia por ser la que mas ventajas aporta?

    A priori la 5 es la mas eficiente porque no genera trafico para la replicacion de las zonas en todos los DCs  ( en la opcion 2 aunque sean de lectura tambien hay trafico de replicacion ) y solo se utiliza en caso de que un usuario de laboratorio.local consulte un recurso de almacen.local,  pero claro esta caracteristica es nueva de W2008 y ni siquiera aparece reflejada en la guia que comentas... por eso me interesa conocer mas opiniones "de batalla".

    Saludos y gracias de antemano por las respuestas.

     

     

    sábado, 10 de abril de 2010 19:43
    Moderador
  • Buenos Dias ,

     

    Realmente Conditional Fowarders es algo que ya viene de 2003 , existia ... solo que no eran tan explicito como ahora :) y tu lo podias configurar desde la pestaña de Fowarders en las propiedades de la zona. 

     

    En mi caso generalmente uso reenviadores condicionales , ya sea en 2003 o 2008 , otros administradores prefieren utilizar zonas secundarias o zonas Stub. Pero realmente en la practica siempre me ha dado mejor resultado usar conditional fowarders , de esa manera no tienes trafico de replicacion y tu solo enviaras la consulta a quien pueda contestarla con certeza :)

     


    Sebastian del Rio - MCP - MCSA +S - MCSE +S - MCITP:Enterprise Administrator Buenos Aires - Argentina Este mensaje se proporciona "como está" sin garantías de ninguna clase, y no otorga ningún derecho. Ud. asume los riesgos
    lunes, 12 de abril de 2010 1:37
    Moderador
  • Muchas gracias Sebastian, yo considero que lo ideal es un mix entre zona secundarias y reenviadores condicionales, todo dependera de si prima no aumentar el trafico por las replicas o de si queremos tener una copia de las zonas de otros dominios de nuestro forest en otros DCs como sistema de Seguridad.

    Me gustaria agradecer a Atilla sus molestias en marcar las respuestas pero preferiria realizarlo yo personalmente de ahora en adelante.

     

     

    miércoles, 14 de abril de 2010 17:50
    Moderador