none
Confusion al crear estructura de arbol :( RRS feed

  • Pregunta

  • Buenas noches:

    Acabo de llevar un curso virtual de instalacion y configuración de windows server 2008 y la teoria con relación a bosques, dominios la tengo a 80% clara, pero me es demasiado confuso el tratar de llevar lo que tengo planeado en mi cabeza al papel (y a la pc por ende). Les explico un poco mi problema.

    Tengo 2 servidores en la oficina principal de la empresa, en uno he instalado windows server 2008 y tambien el AD con el dominio miempresa.com. En esta oficina tenemos 10 computadoras (de diferentes areas) las cuales quiero conectar al servidor. Ahora, en la sucursal que tenemos en otra localidad (provincia) tengo 1 servidor y 5 computadoras.

    Mi problema esta al diagramar el bosque. Tengo claro que mi dominio es miempresa.com que se encuentra en el servidor principal de la oficina. La pregunta es: ¿esta bien si creo unidades organizativas dentro del dominio con los nombres por ejemplo: Principal y Sucursal01?. Ahora, si deseo crear dominios para cada lugar, algo como principal.midominio.com y sucursal01.midominio.com, tendría que utilizar el segundo servidor principal para unirlo al dominio (que esta en el primer servidor principal) como principal.midominio.com y el servidor que se encuentra en otra localidad (provincia) lo enlazaria como sucursal01.dominio.com?.

    Me he leído el foro por todos lados y no logro ubicarme, he buscado un diagrama de bosque o de dominio para tenerla mas clara pero me confundo aún mas. En realidad me ayudaria mucho encontrar un diagrama de como hacer esta distribución. Espero me puedan ayudar. Muy agradecido por sus respuestas.

    Saludos!


    Juan Carlos
    sábado, 4 de junio de 2011 0:19

Respuestas

  • Hola Jotace, veo que aun sigues con dudas.

    Si S01 es un DC de tu dominio miempresa.com

    Si el S03 al seria un DC tu dominio lima.miempresa.com, que a su vez sería un sub-dominio del dominio padre miempresa.com, solo tienes que ver que comparten el sufijo miempresa.com.

     

    De todas formas ya me perdí, puedes ejecutar este comando para ver los FSMO tanto en S01 como en S03:  NETDOM QUERY FSMO y nos pegas el resultado.

    Todavía no hiciste subdominio, ¿no?

     

    Com puedes ver uno es DC de miempresa.com y el otro es DC de un dominio lima.miempresa.com. Ambos son DCs de un mismo Forest miempresa.com que es a su vez es el dominio Padre y tiene un dominio hijo lima.miempresa.com

     

    Creo que como bien te hemos comentado antes, nosotros no podemos decirte en este caso haz esto o lo otro categoricamente, pues desconocemos multitud de datos de tu entorno.

    Pero sería interesante que estudiaras la opción de hacer que S03 sea DC de miempresa.com teniendo un único dominio en tu Forest, y que luego administres los usuarios y máquinas por OUs dependiendo de la ciudad o sede.

    Una OU para Talar y otra para Lima. Con este escenario todo es más sencillo, tienes un único dominio, un único punto de administración y gestión, tienes a S01 y S03 que son DCs de un mismo dominio, si uno se rompre o avería, las 2 sedes pueden seguir funcionando a nivel de Directorio activo porque hay un DC online.

    Escribo en mayúsculas como podría quedar el escenario:

    FOREST AND ROOT DOMAIN    MIEMPRESA.COM 

     CON DOS DC'S SR01 Y SR03 EN DIFERENTES LOCALIZACIONES GEOGRÁFICAS, SI UNO DE ELLOS SE QUEDA OFFLINE EL OTRO OFRECE LOS SERVICIOS DE DIRECTORIO ACTIVO A LAS DOS SEDES.       

     ESTRUCTURA DE OU'S POR OFICINAS, UNA OU PARA LIMA -- Y OTRA PARA TALARA, ASÍ PUEDES APLCIAR DIFERENTES GPO'S SI TE INTERESA.


    Salu2!, Dani Gracia MCSA/MCSE 2003 Security MCITP: Enterprise Administrator (Windows Server 2008) MCTS: System Center Operations Manager 2005 MVA: Microsoft Virtual Academy MAP: Microsoft Active Professional (2010/2011)
    • Editado Dani Gracia domingo, 5 de junio de 2011 10:46 corrección
    • Marcado como respuesta Jotace Bullón lunes, 6 de junio de 2011 13:18
    domingo, 5 de junio de 2011 10:43
  • Cuando en el primer server instalas AD Domain Services, lo conviertes en DC.

    El primer DC crea el dominio raíz (S1) "tuempresa.com" (cuidado que no conviene que coincida con el de Internet)

    Al segundo DC (S2), en Talara, cuando lo promueves como DC, lo agregas como DC adicional en el dominio existente.
    De esta forma ya tienes el dominio raíz con dos DCs

    Si ya tienes decidido que en Lima tendrás un subdominio, a S3 lo promueves como DC configurando como un nuevo dominio en un Bosque existente, por ejemplo "lima.tuempresa.com"

    Cuando se crea el primer DC de un Dominio, se está creando el Dominio.
    Cuando se despromueve el último y único DC de un Dominio, se está eliminando el Dominio
    Los DCs crean los dominios, o se unen a Dominios existentes

    Agrego: tanto si tienes un único Dominio, o un Dominio y un subdominio puedes administrar centralizadamente.

     


    Guillermo Delprato - Buenos Aires, Argentina
    Visite Notas Windows Server
    MVP-MCT-MCSE-MCSA MCITP: Enterprise/Server Administrator MCTS: Active Directory/Network/Applications Configuration
    Este mensaje se proporciona "como está" sin garantías de ninguna clase. Usted asume todos los riesgos.
    • Marcado como respuesta Jotace Bullón lunes, 6 de junio de 2011 13:18
    domingo, 5 de junio de 2011 11:26
    Moderador

Todas las respuestas

  • Hola Juan Carlos,

     

    En tu caso, has creado el primer dominio MIEMPRESA.COM que es considerado como el FOREST ROOT DOMAN. Lo comparte todo porque es la primera estructura que has creado.

    http://technet.microsoft.com/en-us/library/bb870368%28office.12%29.aspx

    http://technet.microsoft.com/en-us/library/bb727085.aspx

     

    Lo que comentas de las OUs estaría muy bien, todo depende de tus necesidades. Podrías seguir con un único dominio y organizar tu estructura mediante las OUs, es una opción.

    Aquí entra en juego la velocidad de la linea que une la oficina principal con la sucursal. Esa velocidad hará que necesites o no un dc en la sucursal, porque las comunicaciones vayan lentas hasta la principal, y colocando un DC en la sucursal evitas ese problema.

     

    Otra opción es instalar dos controladores de dominio:

    1 Controlador de dominio 2008 en PRINCIPAL

    1 Controlador de dominio 2008 en SUCURSAL, este lo instalaría como un Controlador de dominio adicional en MIEMPRESA.COM, y de esta forma al tener 2 controladores te cubres las espaldas ante un posible fallo de uno, ya que el otro puede dar servicio al resto de las oficinas.

     

    Otra opción es tener un Controlador de solo lectura en la SUCURSAL

    http://technet.microsoft.com/es-es/library/dd734758%28WS.10%29.aspx

     

     


    Salu2!, Dani Gracia MCSA/MCSE 2003 Security MCITP: Enterprise Administrator (Windows Server 2008) MCTS: System Center Operations Manager 2005 MVA: Microsoft Virtual Academy MAP: Microsoft Active Professional (2010/2011)
    sábado, 4 de junio de 2011 9:40
  • Que tal Dani, gracias por tu respuesta: Ahora tengo un poco mas claro el panorama, pero igual sigo con dudas jejeje... La primera, que es lo mas recomendable? he leído que la solución mas sencilla es la mejor y que mientras menos dominios tengas tambien es mejor. Ahora, yo en cada lugar (principal y sucursal) tengo un administrador, tambien quiero tener politicas de grupo independientes por cada lugar. Otra duda, ahi me indicas que tengo que tener dos DC, uno por cada lugar. El DC de la sucursal sería el mismo servidor que tengo ahi y el DC de la principal sería el servidor donde tengo el dominio mas un DC mas para replica??? ahi me estoy confundiendo.. es decir, necesito tres servidores fisicos con 3 DC?? Por cada servidor que enlazo al dominio raiz de arbol, se crea un subdominio??? A ver si me orientas un poco.. Muchas gracias por tus respuestas! Saludos! :)


    Juan Carlos
    sábado, 4 de junio de 2011 17:21
  • A ver si puedo agregar algunas ideas básicas

    • Un único Dominio es más fácil y barato. Pero si el enlace WAN es lento y no confiable, puede ser mejor tener Dominios diferentes en cada sitio (Dominio y Subdominios)
    • Si el sitio remoto tiene poco personal, puede no tener localmente un Controlador de Dominio. Pero si el enlace WAN no funciona los usuarios no podrán trabajar normalmente, sólo en local de cada máquina
    • Para tener tolerancia a fallas lo recomendable es tener por los menos dos Controladores de Dominio por Dominio, "adecuadamente configurados". Ambos DCs, DNS, y GC; y que los clientes apunten a ambos DNSs
    • Si en el sitio remoto, hay un "administrador" o por lo menos alguien que te ayude, puedes delegar tareas sobre una unidad organizativa, por lo que tu idea de crear OUs separadas por sitio es buena
    • No confundas Controlador de Dominio que es el que autentica usuarios, con Dominio. Un Dominio puede tener varios Controladores de Dominio. En cambio un Controlador de Dominio, lo es sólo para un Dominio
      Puedes tener un único Dominio. O tener un Dominio y Subdominios del primero
    • Para poder decir en forma seria qué es lo más recomendable hay que conocer mucho de la infraestructura que tienes, cómo se usa la red, el presupuesto disponible, y muchos más datos :-) Cualquier respuesta "en el aire" no es seria

     


    Guillermo Delprato - Buenos Aires, Argentina
    Visite Notas Windows Server
    MVP-MCT-MCSE-MCSA MCITP: Enterprise/Server Administrator MCTS: Active Directory/Network/Applications Configuration
    Este mensaje se proporciona "como está" sin garantías de ninguna clase. Usted asume todos los riesgos.
    sábado, 4 de junio de 2011 18:19
    Moderador
  • Muchas gracias por tus respuestas Guillermo, me he dado una vuelta por tu web y esta muy interesante, he sacado varias ideas de ahi ;)

     A ver, lamentablemente en el lugar donde estoy (Perú) las conexiones no son muy buenas. En el lugar donde esta la sede principal (Talara) es errática la conexion a internet y es donde hay mayor cantidad de computadoras e información mas importante (planillas de pago, sistema de almacen, etc). En la sucursal (Lima) la cantidad de operaciones es minima pero no por esto menos importante. Como comente en el primer post, en Talara tengo 2 servidores, en uno ya instale el WS2008 (llamemosle S01) y el otro aun no lo implemento (S02), y en Lima no tengo un servidor en si, sino una "pc bien armada" (S03) pero que se que se abastecerá con la carga de trabajo.

    Lo que yo deseo hacer es unificar las operaciones de Talara con las de Lima, es decir, las planillas, la contabilidad y almacenes y llevar toda la información centralizada. Por lo que ya me han orientado ustedes, mas el curso que lleve, creo que la implementación va por el lado de tener el dominio aca en talara instalado en S01, el S02 que me sirva de DC y el S03 tambien como DC.

    Mis dudas de concepto son:

    • ¿El S01 con el dominio raiz del arbol en si ya es un DC?
    • ¿El S03 en Lima que tendría el subdominio lima.miempresa.com, tambien sería un DC en sí?

    Lo que tu me indicas es que un dominio puede tener varios DC y que un DC solo puedo apuntar a un dominio, perfecto, esa parte la entiendo, se supone que un DC tiene que ser una pc (hardware), pero mi confusion viene al enlazar el concepto de DC y dominio al hardware en si, no se si me dejo entender :(

    Espero me puedan ayudar con estas dudas que en verdad me estan rompiendo la cabeza :P Muy agradecido por sus respuestas. Saludos!


    Juan Carlos

    • Editado Jotace Bullón sábado, 4 de junio de 2011 19:02 facilidad de lectura
    sábado, 4 de junio de 2011 18:54
  • Hola Jotace, veo que aun sigues con dudas.

    Si S01 es un DC de tu dominio miempresa.com

    Si el S03 al seria un DC tu dominio lima.miempresa.com, que a su vez sería un sub-dominio del dominio padre miempresa.com, solo tienes que ver que comparten el sufijo miempresa.com.

     

    De todas formas ya me perdí, puedes ejecutar este comando para ver los FSMO tanto en S01 como en S03:  NETDOM QUERY FSMO y nos pegas el resultado.

    Todavía no hiciste subdominio, ¿no?

     

    Com puedes ver uno es DC de miempresa.com y el otro es DC de un dominio lima.miempresa.com. Ambos son DCs de un mismo Forest miempresa.com que es a su vez es el dominio Padre y tiene un dominio hijo lima.miempresa.com

     

    Creo que como bien te hemos comentado antes, nosotros no podemos decirte en este caso haz esto o lo otro categoricamente, pues desconocemos multitud de datos de tu entorno.

    Pero sería interesante que estudiaras la opción de hacer que S03 sea DC de miempresa.com teniendo un único dominio en tu Forest, y que luego administres los usuarios y máquinas por OUs dependiendo de la ciudad o sede.

    Una OU para Talar y otra para Lima. Con este escenario todo es más sencillo, tienes un único dominio, un único punto de administración y gestión, tienes a S01 y S03 que son DCs de un mismo dominio, si uno se rompre o avería, las 2 sedes pueden seguir funcionando a nivel de Directorio activo porque hay un DC online.

    Escribo en mayúsculas como podría quedar el escenario:

    FOREST AND ROOT DOMAIN    MIEMPRESA.COM 

     CON DOS DC'S SR01 Y SR03 EN DIFERENTES LOCALIZACIONES GEOGRÁFICAS, SI UNO DE ELLOS SE QUEDA OFFLINE EL OTRO OFRECE LOS SERVICIOS DE DIRECTORIO ACTIVO A LAS DOS SEDES.       

     ESTRUCTURA DE OU'S POR OFICINAS, UNA OU PARA LIMA -- Y OTRA PARA TALARA, ASÍ PUEDES APLCIAR DIFERENTES GPO'S SI TE INTERESA.


    Salu2!, Dani Gracia MCSA/MCSE 2003 Security MCITP: Enterprise Administrator (Windows Server 2008) MCTS: System Center Operations Manager 2005 MVA: Microsoft Virtual Academy MAP: Microsoft Active Professional (2010/2011)
    • Editado Dani Gracia domingo, 5 de junio de 2011 10:46 corrección
    • Marcado como respuesta Jotace Bullón lunes, 6 de junio de 2011 13:18
    domingo, 5 de junio de 2011 10:43
  • Cuando en el primer server instalas AD Domain Services, lo conviertes en DC.

    El primer DC crea el dominio raíz (S1) "tuempresa.com" (cuidado que no conviene que coincida con el de Internet)

    Al segundo DC (S2), en Talara, cuando lo promueves como DC, lo agregas como DC adicional en el dominio existente.
    De esta forma ya tienes el dominio raíz con dos DCs

    Si ya tienes decidido que en Lima tendrás un subdominio, a S3 lo promueves como DC configurando como un nuevo dominio en un Bosque existente, por ejemplo "lima.tuempresa.com"

    Cuando se crea el primer DC de un Dominio, se está creando el Dominio.
    Cuando se despromueve el último y único DC de un Dominio, se está eliminando el Dominio
    Los DCs crean los dominios, o se unen a Dominios existentes

    Agrego: tanto si tienes un único Dominio, o un Dominio y un subdominio puedes administrar centralizadamente.

     


    Guillermo Delprato - Buenos Aires, Argentina
    Visite Notas Windows Server
    MVP-MCT-MCSE-MCSA MCITP: Enterprise/Server Administrator MCTS: Active Directory/Network/Applications Configuration
    Este mensaje se proporciona "como está" sin garantías de ninguna clase. Usted asume todos los riesgos.
    • Marcado como respuesta Jotace Bullón lunes, 6 de junio de 2011 13:18
    domingo, 5 de junio de 2011 11:26
    Moderador
  • Muchas gracias por sus respuestas Dani y Guillermo, en serio me ayudaron muchísimo con conceptos que no tenía muy claros aún.

    Dani, como dije aún no tengo implementado el "servidor" de Lima ya que estoy empezando con Talara (Talara y Lima se distancian de 1200 km) y creo que no voy a poder correr el comando que me dejaste. La estructura que me recomiendas es lo que también estaba pensando luego de leer más y tratar de entender bien los conceptos y coincide también lo que recomienda Guillermo.

    Entonces quedaría así:

    • En Talara: En el Servidor 01 instalar el dominio demem.sa (el nombre de la empresa donde trabajo, creo que puede ser ".sa" no? la importante es que tenga punto, ¿cierto?), lo promuevo como DC y a su vez el Servidor 02 (también en Talara) lo hago DC del dominio demem.sa para replicación y backup.
    • En Lima: El Servidor S03 promoverlo como DC del dominio demem.sa que está en Talara para que sea un soporte en caso falle la conexión entre Talara y Lima. Como dices Dani, creo que lo mejor es tener únicamente un dominio ya que es más ventajoso.
    • Creo las unidades organizativas Lima y Talara debajo del dominio y aplico diferente GPO's si deseo.

    El Servidor 03 de Lima, como dije en una de las respuestas, no es un servidor en sí, sino una pc "bien armada", se que no es lo recomendable pero dada la poca cantidad de carga creo que no habría problema, ¿cierto?

    Bueno, el tema de las GPO's lo dejo para otro post junto con el tema de las WAN ya que tengo que leer más para no estar perdido.

    Les agradezco muchísimo, Dani y Guillermo, el que me hayan orientado con este problema y gracias por hacerme sentir como en familia en esta comunidad.

    Saludos!


    Juan Carlos

    lunes, 6 de junio de 2011 14:00