none
Active directory con MPLS RRS feed

  • Pregunta

  • Buenos días.

    Hemos contratado con ONO unas conexiones MPLS para 5 centros. Ahora mismo cada centro tiene su propia red, su propio directorio activo y demás. Al contratar esto querríamos que todos estuvieran en el mismo directorio activo, mi duda es ¿se pueden logar desde cada centro al directorio activo (server 2008) que tenemos en la central y quitar los servidores de los otros centros? ¿O tendría que tener DC replicados en cada centro?

    Una ligera y muy básica explicación de como están los centros.

    Centro 1 (central) Servidor1 (active directory y aplicaciones) Servidor2 (archivos compartidos)

    Centro 2 Servidor con su propio directorio activo y archivos compartidos.

    Centro 3 Servidor con su propio directorio activo y archivos compartidos.

    Centro 4 Servidor con su propio directorio activo y archivos compartidos.

    Centro 5 4 equipos sin servidor.

    Un saludo y muchas gracias.

    martes, 23 de abril de 2013 6:43

Respuestas

  • Depende de cuantos usuarios tengas en esos centros, de la velocidad (y latencia) de las comunicaciones y del uso que le vayas a dar. Si en un centro tienes más de 20-25 usuarios deben de tener un controlador local. Si tienes menos, dependerá de lo dicho anteriormente (hay que probar para ver como va).

    Lo que si puedes hacer es tener un solo Active Directory, con controladores en cada centro, lo que seguramente te va a simplificar la administración, y te va a proporcionar tolerancia a fallos ante caídas de algún servidor.

    ¿Tus directorios no tienen ninguna réplica? no es buena idea...

    Un saludo

    • Marcado como respuesta Uriel Almendra miércoles, 9 de octubre de 2013 17:51
    martes, 23 de abril de 2013 8:26
  • Hola,

    Con el volumen de usuarios que comentas (7-10 en microsites) y el caudal de comunicaciones no creo que haya ningún problema si no existe un DC físico en éstos sites.

    Las lineas MPLS tienen normalmente un nivel de servicio muy alto, y como mucho podrías tener unas horas de afectación al año (entendiendo que en cada delegación tienes 2 routers Activo/pasivo con HSRP). Lo digo porque al ubicar los servidores de AD en la central, no tendrás problemas de performance con ese volumen de usuarios, pero en caso de caída de comunicaciones, sólo se podrá realizar logon en caché en los equipos, pero no se podrá acceder a ningún recurso que requiere un ticket de KDC ya que los DCs no serán alcanzables por red. Tenlo en cuenta! No todo es performance.

    Respecto a la replicación, te aconsejo montar un espacio de nombres DFS en la central y activar la replica a los otros sites con FileServer con DFS-R para reducir el consumo de red para la replicación de archivos.

    Un saludo

    Julio Rosua

    • Marcado como respuesta Uriel Almendra miércoles, 9 de octubre de 2013 17:51
    martes, 23 de abril de 2013 13:06

Todas las respuestas

  • Depende de cuantos usuarios tengas en esos centros, de la velocidad (y latencia) de las comunicaciones y del uso que le vayas a dar. Si en un centro tienes más de 20-25 usuarios deben de tener un controlador local. Si tienes menos, dependerá de lo dicho anteriormente (hay que probar para ver como va).

    Lo que si puedes hacer es tener un solo Active Directory, con controladores en cada centro, lo que seguramente te va a simplificar la administración, y te va a proporcionar tolerancia a fallos ante caídas de algún servidor.

    ¿Tus directorios no tienen ninguna réplica? no es buena idea...

    Un saludo

    • Marcado como respuesta Uriel Almendra miércoles, 9 de octubre de 2013 17:51
    martes, 23 de abril de 2013 8:26
  • Hola,

    Estoy de acuerdo con Javier.

    De entrada, teniendo un enlace MPLS entre los diferentes sites no es necesario disponer de un dominio diferente en cada sitio, lo cual además supone que no se repliquen entre ellos y cada uno sea un punto de fallo único.

    A parte, es cierto que se considera 20-30 usuarios como el límite de usuarios que pueden trabajar sin un DC local de manera que no afecte a su trabajo, pero diría que no existe ninguna recomendación oficial al respecto, y este valor es una media en base a las experiencias de cada uno. Yo en mi caso he montado plataformas de dominio con sites de hasta 70usuarios sin un DC, pero se tiene que analizar si los requerimientos son sólo logon o existen muchos recursos locales que requieran conexión con un DC para autenticar y autorizar. En cualquier caso, ante la duda, la horquilla de 20 users aprox es válida.

    Creo que la opción más valida sería un único dominio con los "n" sites que corresponden y replicados entre ellos. Tendrás que configurar las subnets de cada site en AD para asegurar que el DC local de cada sitio es el primario para las subnets originarias de éste.

    Un saludo

    Julio Rosua

    martes, 23 de abril de 2013 10:48
  • Buenas tardes.

    Gracias por vuestras rápidas respuestas.

    En la central si tengo el directorio replicado, en las otras no y lo que quiero al pasar a MPLS dejar de tener diferentes dominios (esto no lo monté yo).

    En el centro principal donde tengo servidor1 (logon y aplicaciones) y servidor2 (archivos compartidos) si somos unos 30-40 trabajadores.

    En los demás centros 10 en dos de ellos, en otro 7 y en el que no tiene ni servidor 4 (como veis es una red pequeña). Lo que a mi me gustaría es tener los archivos compartidos en el servidor central y que dejen de estar en cada centro, en uno de ellos si pondría una replicación de archivos, a modo de copia de seguridad (en el que tiene conexión de fibra óptica como en la central) y como decís, también replicación de servidor principal, me parece una buena medida.

    En la central voy a tener fibra óptica con 20 megas sincronos. En las demás hay dos de ellas con adsl de 8 megas bajada 700 kbps subida, una con fibra óptica 15 megas bajda 1,5 megas subida y otra con 12 megas bajada y 1 de subida (ésta última es un poco de cabeza, no recuerdo bien).

    Obviamente hasta que no esté todo montado no sabría como es la conexión a la hora de abrir documentos desde los otros centros y demás, como para quitar esos servidores de archivos  a nivel local.

    Pero en resumen, quiero unificar el dominio en diferentes sedes, a poder ser quitar servidores de todas, menos una que sería el caso de replicación de directorio activo y de archivos. Mi duda era si logarán bien esos centros que dejarían de tener servidor con el servidor1 de la central.

    Espero haberme explicado bien, me cuesta mucho expresarme rápido por escrito.

    Un saludo y muchísimas gracias.

    martes, 23 de abril de 2013 12:20
  • Hola,

    Con el volumen de usuarios que comentas (7-10 en microsites) y el caudal de comunicaciones no creo que haya ningún problema si no existe un DC físico en éstos sites.

    Las lineas MPLS tienen normalmente un nivel de servicio muy alto, y como mucho podrías tener unas horas de afectación al año (entendiendo que en cada delegación tienes 2 routers Activo/pasivo con HSRP). Lo digo porque al ubicar los servidores de AD en la central, no tendrás problemas de performance con ese volumen de usuarios, pero en caso de caída de comunicaciones, sólo se podrá realizar logon en caché en los equipos, pero no se podrá acceder a ningún recurso que requiere un ticket de KDC ya que los DCs no serán alcanzables por red. Tenlo en cuenta! No todo es performance.

    Respecto a la replicación, te aconsejo montar un espacio de nombres DFS en la central y activar la replica a los otros sites con FileServer con DFS-R para reducir el consumo de red para la replicación de archivos.

    Un saludo

    Julio Rosua

    • Marcado como respuesta Uriel Almendra miércoles, 9 de octubre de 2013 17:51
    martes, 23 de abril de 2013 13:06
  • Buenas tardes.

    En las delegaciones lo que observo es el router normal de conexión a ONO y un router cisco que tiene configurada la MPLS, no se si te refieres a eso con activo/pasivo. 

    Respecto a lo que me comentas de espacio de nombres DFS y FileServer con DFS-R, para eso tengo que ponerme a leer que no tengo ni idea.

    Muchísimas gracias por vuestras aportaciones, me gustaría en los siguientes días poder hacer alguna consulta más, lo digo porque no se si se da el tema como cerrado. Además, hasta que no estén todos los centros conectados y el MPLS funcionando de verdad, hasta entonces todo es teoría.

    Un saludo y muchísimas gracias.

    Luis Alcina Lazcano

    martes, 23 de abril de 2013 19:04
  • Hola,

    Me referia a una sistema de conectividad con un circuito de backup para evitar cortes de red. Si sólo tienes un router y existe cierto riesgo de aislamiento quizá la opción de poner un DC en cada site tiene mas sentido. Todo depende como dijimos de los servicio en cada site y la dependencia con los servicios de directorio. Al final, todo esto es $$$ con lo que tendrás que valorar el coste-beneficio de cada solución. 

    Respecto a DFS, infórmate es rápido de implementar y te aportará una solución para replicar el contenido del fileserver entre sites.

    Tómate el tiempo que veas, y vuelve con más dudas si las tienes :-)

    Un saludo

    Julio Rosua

    martes, 23 de abril de 2013 19:39
  • Buenas noches.

    Ok, ahora si he pillado lo del sistema backup de conexión. En otros sitios que he estado si había un backup con un proxy-firewall que cambiaba la salida si uno de los routers fallaba, es más, en la central podría llegar a hacerlo, porque todavía si hay una conexión adicional. De todas maneras, somos una organización que podemos perder la conexión y demás, no se nos va la vida si perdemos un rato la conexión y no podemos trabajar algunas cosas ¡Mucho tenemos para lo que podríamos tener! Menos mal que hay proyectos con empresas que ponen los productos más económicos para ONG y demás ;)

    Muchas gracias y ya os iré contando.

    Luis Alcina Lazcano

    martes, 23 de abril de 2013 20:35