none
Comunicación entre Controladores de Dominio (Red Interna vs Red Site Alterno) RRS feed

  • Pregunta

  • Buen día estimados.

    El caso que tengo es el siguiente:

    Tengo dos controladores de dominio internos (W2003R2). Cada uno tiene una subred y site distinto, ya que se encuentra geográficamente separados y conectados a través de un enlace punto-a-punto (con rutas estáticas establecidas en el firewall y por el proveedor de servicio).

    Ahora bien, tengo un nuevo servidor en un data-center externo que funcionará como servidor de contingencia (tema de continuidad de negocios). Este servidor debe ser controlador de dominio, exchange y file server. Ahora bien, este servidor tiene un direccionamiento IP totalmente distinto al interno, y a pesar de tener un enlace directo (VLAN) con ese site, el proveedor no me da la opción de crear rutas estáticas.

    Tengo varios caminos, pero escribo en el foro para saber cuál piensan que será mejor:

    1. Agregar otra conexión de red en el DC interno con una IP del rango del DC del site alterno. Esta CREO que no es la mejor práctica por el tema de "Multihomed DC" (http://support.microsoft.com/kb/272294)
    2. Crear una VPN sobre la misma conexión VLAN en el DC del site alterno. Ella me permitirá que el DC se comunique con mis servidores internos, colocándole una dirección fija del rango interno. Lo malo de esta opción es que esta VPN no inicia automáticamente al iniciar el servidor (sé que existen workarounds pero no me convencen igual).
    3. Publicar el DC interno en el firewall sobre la interfaz de la VLAN hacia el site alterno. Esto no es más que un NAT estático publicando todos los servicios/puertos con la dirección IP de esa interfaz del firewall. Esto no me parece lo más lógico ni lo más seguro, y tampoco funciona muy bien, ya que cuando intento resolver el nombre del dominio me responde la IP externa (Internet). Intenté "jugar" con el archivo HOSTS agregando "dominio.com" con la IP publicada en el firewall, pero aún así me da conflictos de DNS. Esta opción tampoco me servirá para la parte del exchange, al menos de que agregue varios registros (por servidor) en el archivo HOSTS.
    4. Cualquier otra opción que me propongan es bienvenida.

    De antemano gracias por su lectura y ayuda.

    Saludos,
    Jorge G. 


    jueves, 16 de junio de 2011 18:33

Respuestas

  • Entre "mala" y "muy mala" me quedo con la menos peor :-)
    Yo trataría de usar la 1. a ver si va
    Pero también hay que ver el tema de conectividad con otros DCs

    La conectividad de replicación deAD usa RPC, así que los puertos que necesitas son prácticamente todos.

    Revisa estos enlaces:
    Active Directory Replication over Firewalls:
    http://technet.microsoft.com/en-us/library/bb727063.aspx

    Restricting Active Directory replication traffic and client RPC traffic to a specific port:
    http://support.microsoft.com/kb/224196

     


    Guillermo Delprato - Buenos Aires, Argentina
    Visite Notas Windows Server
    MVP-MCT-MCSE-MCSA MCITP: Enterprise/Server Administrator MCTS: Active Directory/Network/Applications Configuration
    Este mensaje se proporciona "como está" sin garantías de ninguna clase. Usted asume todos los riesgos.
    • Propuesto como respuesta Ismael Borche lunes, 20 de junio de 2011 19:13
    • Marcado como respuesta Ismael Borche miércoles, 22 de junio de 2011 18:28
    viernes, 17 de junio de 2011 18:57
    Moderador

Todas las respuestas

  • Hola Jorge, algunos comentarios y coincidencias

    Por la 1.
    Es un tema los multihomed, no conviene, pero tiene solución

    Por la 2.
    Armar una VPN además de la complicación, termina siendo un multihomed

    Por la 3.
    Publicarlo por NAT, imposible porque NAT al modificar las IPs cualquier tipo de replicación no va a andar.

    Por la 4.
    Así que creo que lo que queda es jugar con Rutas, y eventualmente la Puerta de Enlace, que no es otra cosa que una entrada de ruteo

    Para poder analizar mejor y darte más datos habría que conocer las redes que se utilizan, pero de todas formas ten en cuenta lo siguiente a ver si te da ideas

    • Si un equipo tiene configurado en el IE un proxy, entonces para el tráfico HTTPHTTPS no necesita puerta de enlace; eso lo hace el proxy
    • Lo que no deja crear el proveedor es rutas ¿pero puerta de enlace deja?

    Lo que estoy pensando, que el servidor de contingencia tenga puerta de enlace para llegar a tu red interna, y en tu red interna sí puedes crear rutas.

    Para las actualizaciones del servidor de contingencia que actualice mediante un proxy

    Yo buscaría por este lado, o cambiar al proveedor :-)

     


    Guillermo Delprato - Buenos Aires, Argentina
    Visite Notas Windows Server
    MVP-MCT-MCSE-MCSA MCITP: Enterprise/Server Administrator MCTS: Active Directory/Network/Applications Configuration
    Este mensaje se proporciona "como está" sin garantías de ninguna clase. Usted asume todos los riesgos.
    jueves, 16 de junio de 2011 19:26
    Moderador
  • Gracias por tu respuesta Guillermo.

    A ver, ninguno de los equipos utiliza proxy.

    Dificulto que el proveedor me deje crear puertas de enlace distintas a las que ya tienen establecidas.

    El problema está en que sí hay comunicación. Es decir, si yo fuese a replicar data solamente esto no daría problema, pero cuando hablamos de un ambiente de replicación de DC + Exchange yo creo que va más allá de poder hacer PING.

    Cambiar de proveedor no es una opción por lo menos por ahora.

    ¿Será que me tocará irme por la opción 1 o la opción 2? Y de ellas no se cuál será la mejor...

    jueves, 16 de junio de 2011 20:02
  • Entre "mala" y "muy mala" me quedo con la menos peor :-)
    Yo trataría de usar la 1. a ver si va
    Pero también hay que ver el tema de conectividad con otros DCs

    La conectividad de replicación deAD usa RPC, así que los puertos que necesitas son prácticamente todos.

    Revisa estos enlaces:
    Active Directory Replication over Firewalls:
    http://technet.microsoft.com/en-us/library/bb727063.aspx

    Restricting Active Directory replication traffic and client RPC traffic to a specific port:
    http://support.microsoft.com/kb/224196

     


    Guillermo Delprato - Buenos Aires, Argentina
    Visite Notas Windows Server
    MVP-MCT-MCSE-MCSA MCITP: Enterprise/Server Administrator MCTS: Active Directory/Network/Applications Configuration
    Este mensaje se proporciona "como está" sin garantías de ninguna clase. Usted asume todos los riesgos.
    • Propuesto como respuesta Ismael Borche lunes, 20 de junio de 2011 19:13
    • Marcado como respuesta Ismael Borche miércoles, 22 de junio de 2011 18:28
    viernes, 17 de junio de 2011 18:57
    Moderador
  • Definitivamente voy a tomar uno de esos dos caminos.

    Ahora mismo estoy "jugando" con una VPN directamente hacia mi Firewall con un Software de un tercero (Fortinet VPN-SSL).

    Les estaré avisando a ver :)

    Gracias nuevamente!


    [b]Jorge Garcia M.[/b] - Caracas, Vzla. MCSE+S / MCTS
    martes, 21 de junio de 2011 18:34