none
Problemas con replicación y configuración de Active Directory. RRS feed

  • Pregunta

  • Bueno estimados apelo a su conocimiento superior para obtener un poco de ayuda.La situación es la siguiente, tengo 3 sucursales, las cuales, se encuentran bajo el mismo dominio, ahora bien cada sucursal tiene 2 servidores, los cuales, proveen respaldo uno del otro.  Estas sucursales están protegidas cada una por un firewall, por ende los servidores salen nateados por una ip específica dedicada para cada uno, es decir, cada uno tiene su ip tal como sigue.:
    Sucursal 1:
    servidor 1: 10.175.10.1/16 - nat: 10.107.10.1
    servidor 2: 10.175.10.2/16 - nat: 10.107.10.2
    Sucursal 2:
    servidor 1: 10.165.10.1/16 - nat: 10.106.10.1
    servidor 2: 10.165.10.2/16 - nat: 10.106.10.2
    Sucursal3:
    servidor 1: 10.155.10.1/16 - nat: 10.105.10.1
    servidor 2: 10.155.10.2/16 - nat: 10.105.10.2

    Bueno existe un servidor principal con ip 172.25.100.1.  Las redes están comunicadas sin problemas.
    Ahora bien en cada sucursal tengo levantado el Dns localmente y replicado entre los servidores de cada una, ya que, si los iintegro al directorio activo, el dns me va a entregar las ip internas de los otros servidores y no sus ip de nat, por ende estos registros los tengo creados manualmente para que se vean, el servidor principal tiene una zona creada para la comunicación con las ip's de nat de cada servidor, para que se vean por resolución también.  Con respecto a lso sitios, existe uno solo donde están todos los servidores y sus asociados, no hay redes configuradas ni nada, solo el default.

    Finalmente mi duda es si esta configuración aplica ya que tengo errores respecto de tiempo de replicación por enlaces lentos, errores de replicación entre algunos servidores, tal vez debo igual configurar los sitios pero no se con certeza como configurarlos ya que tengo los firewall con las ip de nat de los servidores.  Igualmente el tema del DNS, no se si la configuración es la correcta.

    gracias por la ayuda de antemano.

    jueves, 9 de julio de 2009 13:38

Respuestas

  • Buenos dias Jorge ,

    En principio hagamos una pausa en el momento que mencionas que las zonas NO ESTAN INTEGRADAS , en ese caso lo que tu tienes son zonas secundarias  ? En ese caso eso actuaria como un Zone Transfer de lo cual puedes encontrar mas informacion ene l siguiente link

    http://technet.microsoft.com/en-us/library/cc781340(WS.10).aspx

    En cuanto al tema del bloqueo masivo de cuentas que se presento en varias organizaciones en su mayoria se debio al virus conficker y sus variantes. La manera de trabajar con un problema de bloqueo de cuentas es simple. Debemos habilitar auditoria , y podemos ayudarnos tambien con el log de netlogon ( Preferiblemente de nuestro PDC emulator ). Una vez que tengamos los eventos 644 en el log de seguridad indicando que la cuenta se ha bloqueado , o bien el log de netlogon debermos identificar la maquina de la cual provienen los intentos de logueo con una contraseña incorrecta. Una vez detectada la maquina , podemos chequearla para ver si tenemos algun servicio sospechoso , o por que los intentos de contraseña se estan efectuando desde la misma.

    Mas informacion
    http://blogs.technet.com/latam/archive/2006/03/17/423428.aspx
    Sebastian del Rio - MCP - MCSA +S - MCSE +S - MCTS: AD - MCTS: ISA 2006 Buenos Aires - Argentina
    miércoles, 15 de julio de 2009 2:45
    Moderador
  • Jorge, aclaremos algunos puntos. Primero que tengan firewall no implica NAT, un firewall funciona también sobre Routing.

    Segundo, NAT por definición es unidireccional, salvo las excepciones que puedas poner con port-forwarding

    Tercero, no es lo mismo dejar pasar ICMP o una simple transferencia de zona DNS, que RPC para que repliquen los DCs

    Los sitios de AD se conectan por Routing para poder hacer RPC, teniendo en el medio VPNs o no.
    Si no se pueden hacer conexiones punto-a-punto entre los DCs la única opción es usar SMTP en lugar de RPC. Pero en este caso los dominios en cada sitio son diferentes ya que no se puede replicar el Sysvol.

    Y conociendo cómo trabaja NAT, que para algunos protocolos debe modificar hasta el payload de TCP, no creas que es más liviano que una VPN, al contrario puede llegar a ser mucho más demandante.

    Guillermo Delprato - MVP - MCT - MCSE - MCSA - MCTS:AD Buenos Aires, Argentina
    miércoles, 15 de julio de 2009 12:58
    Moderador

Todas las respuestas

  • Dudo que la configuración que tienes funcione. Los servidores no se conectan por NAT. NAT salvo por "port-forwarding" es unidireccional, y por lo tanto no es adecuada.

    Lo correcto sería que entre los puntos que hacen NAT (que no tienen que ser los DCs) armes VPNs entre las sucursales. Luego los DCs entre sí se conectarán por Routing (no Nating).

    Y por supuesto que debes crear la estructura de Sitios, Subredes y Enlaces para que siempre los clientes traten de conectarse al DC local.
    Además, y muy importante, es que los DCs replican en forma totalmente diferente si están en un mismo sitio (objetivo: convergencia rápida), que si están en sitios separados (objetivo: control del uso de ancho de banda)


    Guillermo Delprato - MVP - MCT - MCSE - MCSA - MCTS:AD Buenos Aires, Argentina
    viernes, 10 de julio de 2009 12:23
    Moderador
  • Adicionalmente , ten en cuenta como dice guillermo que la replicacion se hara por RPC ( En la mayoria de los casos , de hecho no he visto nucna una configuracion que utilize SMTP como protocolo de replicacion ) , volviendo al caso ten en cuenta que deberas configurar correctamente tus firewall para dejar pasar el trafico RPC necesario para la replicacion entre los sitios.

    How to configure RPC dynamic port allocation to work with firewalls
    http://support.microsoft.com/kb/154596
    Sebastian del Rio - MCP - MCSA +S - MCSE +S - MCTS: AD - MCTS: ISA 2006 Buenos Aires - Argentina
    viernes, 10 de julio de 2009 14:00
    Moderador
  • Sebastián, es que si crea una VPN lo único que tiene que dejar pasar es la VPN, y todo el tráfico de RPC pasa "por adentro" de laVPN.

    Abrir un firewall para RPC es casi "dejar de ser un firewall" :-)

    Por eso lo mejor es VPN


    Guillermo Delprato - MVP - MCT - MCSE - MCSA - MCTS:AD Buenos Aires, Argentina
    lunes, 13 de julio de 2009 11:57
    Moderador
  • Bueno estimados, junto con agradecerles las respuestas quisiera discutir un poco las soluciones.
    Lamentablemente las redes que cubren estos servidores son amplias y hacer VPN entre cada sucursal generaría carga considerable en los dispositivos de seguridad, ahora bien, me gustaría saber cual es la problemática si en una red bien conectada, con las rutas adecuadas (obviamente con ip saliendo mediante nat dedicadas para cada servidor), un dns principal que permite comunicar a los servidores mediante sus ip's de Nat, para la replicación "zona que no está integrada al directorio", se puede generar con Rpc o alguno de los protocolos de comunicación utilizados para los efectos planteados.

    Adicionalmente me gusttaría saber si tienen alguna solución concreta para la problemática del bloqueo de cuentas masivo que se ha producido hace algún tiempo en los servidores de varias empresas.

    Finalmente les agradesco la ayuda y si alguien tienen una topología de red con servidores protegidos por firewall en cada sucursal con una configuracion tipo de Sitios sería de gran ayuda.
    miércoles, 15 de julio de 2009 0:32
  • Buenos dias Jorge ,

    En principio hagamos una pausa en el momento que mencionas que las zonas NO ESTAN INTEGRADAS , en ese caso lo que tu tienes son zonas secundarias  ? En ese caso eso actuaria como un Zone Transfer de lo cual puedes encontrar mas informacion ene l siguiente link

    http://technet.microsoft.com/en-us/library/cc781340(WS.10).aspx

    En cuanto al tema del bloqueo masivo de cuentas que se presento en varias organizaciones en su mayoria se debio al virus conficker y sus variantes. La manera de trabajar con un problema de bloqueo de cuentas es simple. Debemos habilitar auditoria , y podemos ayudarnos tambien con el log de netlogon ( Preferiblemente de nuestro PDC emulator ). Una vez que tengamos los eventos 644 en el log de seguridad indicando que la cuenta se ha bloqueado , o bien el log de netlogon debermos identificar la maquina de la cual provienen los intentos de logueo con una contraseña incorrecta. Una vez detectada la maquina , podemos chequearla para ver si tenemos algun servicio sospechoso , o por que los intentos de contraseña se estan efectuando desde la misma.

    Mas informacion
    http://blogs.technet.com/latam/archive/2006/03/17/423428.aspx
    Sebastian del Rio - MCP - MCSA +S - MCSE +S - MCTS: AD - MCTS: ISA 2006 Buenos Aires - Argentina
    miércoles, 15 de julio de 2009 2:45
    Moderador
  • Jorge, aclaremos algunos puntos. Primero que tengan firewall no implica NAT, un firewall funciona también sobre Routing.

    Segundo, NAT por definición es unidireccional, salvo las excepciones que puedas poner con port-forwarding

    Tercero, no es lo mismo dejar pasar ICMP o una simple transferencia de zona DNS, que RPC para que repliquen los DCs

    Los sitios de AD se conectan por Routing para poder hacer RPC, teniendo en el medio VPNs o no.
    Si no se pueden hacer conexiones punto-a-punto entre los DCs la única opción es usar SMTP en lugar de RPC. Pero en este caso los dominios en cada sitio son diferentes ya que no se puede replicar el Sysvol.

    Y conociendo cómo trabaja NAT, que para algunos protocolos debe modificar hasta el payload de TCP, no creas que es más liviano que una VPN, al contrario puede llegar a ser mucho más demandante.

    Guillermo Delprato - MVP - MCT - MCSE - MCSA - MCTS:AD Buenos Aires, Argentina
    miércoles, 15 de julio de 2009 12:58
    Moderador