none
Modelo RODC a implementar RRS feed

  • Pregunta

  • Buenas tardes:

    Por requerimientos de disminución de ancho de banda estoy planeando cambiar el esquema de AD existente.

    Esquema original:

    Un DC en el Corporativo, 10 puntos remotos con DC secundario cada uno y en promedio tres clientes w7 por cada punto.

    Se tienen en existencia versiones de Windows Server 2012 R2, 2008 R2 y 2003 y el nivel funcional del bosque es Windows Server 2003.

    Esquema a implementar:

    Un DC en el Corporativo, 10 puntos remotos con RODC cada uno y sus respectivos tres clientes cada uno.

    En cada punto remoto se deberá ejecutar SQL server express 2008 en cada servidor y en un futuro se deberá tener seguridad sobre las bases de datos otorgando los respectivos permisos a los usuarios del dominio ya que hasta el momento se está trabajando con usuarios creados en el servidor de SQL.

    Pruebas de laboratorio.

    Se ha promovido correctamente un Member Server a RODC sobre la red actual, posterior a ello se han cacheado las credenciales de los 3 usuarios locales así como las credenciales del usuario del dominio que está asociado al inicio de sesión del
    motor de SQL server y todo pareciera trabajar correctamente, los usuarios inician sesión sin problema y pueden acceder a la base de datos correspondiente y muy importante, si el enlace al DC del corporativo falla, el inicio de sesión del motor de SQL trabaja correctamente.

    NOTA IMPORTANTE:

    Se pudo instalar SQL Server sin problemas en un RODC porque las entradas de los Grupos de Seguridad de AD correspondientes para SQL Server ya existían en el dominio debido a una instalación anterior.

    Me gustaría saber su opinión acerca de si este modelo es el optimo.

    De antemano les agradezco por cualquier apoyo que me pudieran proporcionar.

    Slds.

    martes, 16 de junio de 2015 18:43

Respuestas

  • Ni idea qué es "quedamos como estamos" :)

    Implementar AD, requiere 3 fases: Diseñar, planificar, y por último implementar

    En la primera debes definir los alcances y objetivos, todo lo que sea fundamental

    Durante la planificación debe decidir qué vas a priorizar, implementar y cómo lo harás. Hasta puede incluir ambiente de pruebas, documentación, y hasta los documentación de los procesos de instalación

    Si se han hecho las dos anteriores bien, entonces la implementación suele ser lo más sencillo

    Volviendo a tu pregunta, para hacer las cosas "como se debe" hay que tener mucha información, desde los objetivos a alcanzar, presupuesto, tiempo disponible, personal, etc. Inclusive muchos datos sobre cómo se piensa que evolucionará la empresa y su red

    Si el objetivo es disminuir el tráfico WAN, con RODCs vas a tener poco beneficio. Si en esos sitios remotos no hay seguridad física, o personal de soporte, entonces sí obtendrás beneficios importantes con RODCs


    Guillermo Delprato
    Buenos Aires, Argentina
    El Blog de los paso a paso

    MVP - MCT - MCSE - MCSA-2012
    MCITP: Enterprise Administrator / Server Administrator
    MCTS: Active Directory/Network Configuration/Applications Configuration/Server Virtualization/Windows 7 Configuration/Windows 7 & Office 2010 Deployment/Vista Configuration

    Este mensaje se proporciona "como está" sin garantías de ninguna clase. Usted asume todos los riesgos.

    • Marcado como respuesta silverio2015 martes, 16 de junio de 2015 20:54
    martes, 16 de junio de 2015 20:13
    Moderador

Todas las respuestas

  • Hola silverio2015, ya que pides comentarios ... :)

    El hecho de poner RODCs no es mucho lo que vas a disminuir tráfico de red, ya que la única diferencia es que no se replicarán las contraseñas de todos los usuarios; el resto es totalmente igual. Además debe ser Global Catalog aunque si tienes un único Dominio eso no influirá en el tráfico

    El objetivo de los RODCs es para sitios donde no hay seguridad física, ya que ni acepta cambios, ni replica hacia otros DCs

    Además que puedes delegar una cuenta para que administre el RODC sin necesidad de que sea administrador del Dominio

     


    Guillermo Delprato
    Buenos Aires, Argentina
    El Blog de los paso a paso

    MVP - MCT - MCSE - MCSA-2012
    MCITP: Enterprise Administrator / Server Administrator
    MCTS: Active Directory/Network Configuration/Applications Configuration/Server Virtualization/Windows 7 Configuration/Windows 7 & Office 2010 Deployment/Vista Configuration

    Este mensaje se proporciona "como está" sin garantías de ninguna clase. Usted asume todos los riesgos.

    martes, 16 de junio de 2015 19:09
    Moderador
  • Gracias por la respuesta Guillermo:

    Aquí en la empresa no están muy convencidos de que mi modelo propuesto sea el más acertado, en tu experiencia ¿Qué nos puedes comentar al respecto, mejor nos quedamos como estamos o existe algún modelo de AD más efectivo y que responda a las necesidades mencionadas y que no he vislumbrado?.

    Saludos.

    martes, 16 de junio de 2015 19:32
  • Ni idea qué es "quedamos como estamos" :)

    Implementar AD, requiere 3 fases: Diseñar, planificar, y por último implementar

    En la primera debes definir los alcances y objetivos, todo lo que sea fundamental

    Durante la planificación debe decidir qué vas a priorizar, implementar y cómo lo harás. Hasta puede incluir ambiente de pruebas, documentación, y hasta los documentación de los procesos de instalación

    Si se han hecho las dos anteriores bien, entonces la implementación suele ser lo más sencillo

    Volviendo a tu pregunta, para hacer las cosas "como se debe" hay que tener mucha información, desde los objetivos a alcanzar, presupuesto, tiempo disponible, personal, etc. Inclusive muchos datos sobre cómo se piensa que evolucionará la empresa y su red

    Si el objetivo es disminuir el tráfico WAN, con RODCs vas a tener poco beneficio. Si en esos sitios remotos no hay seguridad física, o personal de soporte, entonces sí obtendrás beneficios importantes con RODCs


    Guillermo Delprato
    Buenos Aires, Argentina
    El Blog de los paso a paso

    MVP - MCT - MCSE - MCSA-2012
    MCITP: Enterprise Administrator / Server Administrator
    MCTS: Active Directory/Network Configuration/Applications Configuration/Server Virtualization/Windows 7 Configuration/Windows 7 & Office 2010 Deployment/Vista Configuration

    Este mensaje se proporciona "como está" sin garantías de ninguna clase. Usted asume todos los riesgos.

    • Marcado como respuesta silverio2015 martes, 16 de junio de 2015 20:54
    martes, 16 de junio de 2015 20:13
    Moderador
  • El quedar como se está, se refiere a lo comentado en el esquema original.

    Gracias por tus amables respuestas.

    martes, 16 de junio de 2015 20:54
  • Es que lo comentado en la pregunta inicial, no es suficiente para conocer los datos necesarios

    Te lo digo por experiencia en consultoría, conocer todos los datos es algo que lleva varios días de conversaciones entre "el que sabe cómo se opera, qué se espera, y cómo evolucionará" y "el que sabe qué se puede hacer pero no sabe qué realmente necesitan". Más de una vez cuando aparenta estar todo definido aparece alguien con un "pequeño detalle" que tira todo el esquema planificado por la borda

    Y no, no estoy haciendo consultoría, no vayas a pensar que me estoy buscando un posible cliente

     


    Guillermo Delprato
    Buenos Aires, Argentina
    El Blog de los paso a paso

    MVP - MCT - MCSE - MCSA-2012
    MCITP: Enterprise Administrator / Server Administrator
    MCTS: Active Directory/Network Configuration/Applications Configuration/Server Virtualization/Windows 7 Configuration/Windows 7 & Office 2010 Deployment/Vista Configuration

    Este mensaje se proporciona "como está" sin garantías de ninguna clase. Usted asume todos los riesgos.

    martes, 16 de junio de 2015 21:29
    Moderador
  • Hola Silverio,

    Coincido rotundamente con Guillermo. Si el mas pequeño detalle se escapa, te puede tirar al traste un despliegue de esa magnitud, asi como darte multiples quebraderos de cabeza.

    Por ser un poco mas concreto, yo normalmente me pongo sobre el papel, y empiezo a hacer el mapa y poco a poco me van saltando fallos y mas fallos para ir corrigiendo sobre plano:

    • Ubicaciones
    • Capa de red (RPV, Publica, Tunnel)
    • ISP, disponibilidad de IP estatica o dinamicas y ancho de banda entre ubicaciones. 
    • Nº de maquinas por ubicacion y su hardware
    • Funcion de cada maquina y el S.O, Software y servicios. Verificar disponibilidad de S.O. actual y valorar upgrade segun hardware.
    • Dominio, DC´s RODCs, Sites y Subnets. Compatibilidad de S.O. y niveles funcionales.
    • Cuentas y privilegios, Cuentas de servicio y de Usuarios, Grupos de Seguridad.

    y mucho mas....

    En concreto lo que tu indicas? Si, parece viable. La unica pega que le veo es si quieres poner un DC con 2012 R2 en un DFL 2003 deberias elevar el DFL al menos a 2008 R2.

    Un saludo.

    jueves, 18 de junio de 2015 14:34
  • Hola Alvaro ¿todo bien hoy? ;)

    Esta vez soy yo quien no coincido :D

    Con DFL 2003, se puede poner un DC W2012R2. Es la "última oportunidad" para actualizar W2003

    https://windowserver.wordpress.com/2013/10/04/actualizar-dominio-windows-2003-a-windows-server-2012-r2/

    Saludos

     


    Guillermo Delprato
    Buenos Aires, Argentina
    El Blog de los paso a paso

    MVP - MCT - MCSE - MCSA-2012
    MCITP: Enterprise Administrator / Server Administrator
    MCTS: Active Directory/Network Configuration/Applications Configuration/Server Virtualization/Windows 7 Configuration/Windows 7 & Office 2010 Deployment/Vista Configuration

    Este mensaje se proporciona "como está" sin garantías de ninguna clase. Usted asume todos los riesgos.

    jueves, 18 de junio de 2015 16:04
    Moderador
  • Correcto, amigo. Y excelente post.

    En mi caso, por experiencia me he encontrado igualmente multitud de problemas, a pesar de la correcta instalacion. Comento la casuistica que he encontrado literalmente docenas de veces (a modo informativo, y por cortesia profesional). Se trata de un problema de FRS, que al estar deprecado en 2012R2 no se transfieren los shares de NETLOGON y SYSVOL:

    El proceso finaliza correctamente y todo funciona bien, pero en el momento que se desconecta el 2003 (aun habiendo pasado los FSMO al 2012R2) nos encontramos con:

      • La consola de gpmc.msc no abre
      • La consola de UEAD no abre
      • Eventos de Group Policy y Netlogon en los equipos cliente
      • etc...

      Siempre ha sido necesario recuperar el W2k3, hacerle un seize de los roles, copiar manualmente los datos de los Shares y tras transferir de nuevo los FSMO al nuevo DC, despromoverlo, y hacer un metadata clean up. En algunos casos incluso solucionar una situacion de USN Rollback si se ha tenido que hacer Recovery del DC 2k3.

      De ahi que, como bien comentas estos "pequeños detalles" pueden llevar al traste un despliegue.

      Ambos datos los puedes encontrar a nivel Oficial de Microsof aqui:

      https://technet.microsoft.com/es-es/library/dn303411.aspx

      • El servicio de replicación de archivos (FRS, que forma parte del rol Servicios de dominio de Active Directory) ha quedado en desuso. Deberá migrar cualquier SYSVOL basado en FRS para que use Replicación del sistema de archivos distribuido.
    • El nivel funcional de Windows Server 2003 está desusado. Al crear un dominio en un servidor que ejecute Windows Server 2012 R2, el nivel funcional de dominio debe ser Windows Server 2008 o posterior. 

    Pero si, el proceso de instalacion, te lo finaliza correctamente. :)

    PD: Tu guia fue realizada en 2003, y el articulo de Microsoft está actualizado en octubre de 2014, asi que es posible que la información no estuviese disponible por aquel entonces.

    PD2: Como bien indicas en tu post:

    https://windowserver.wordpress.com/2013/11/02/actualizar-dominios-active-directory-replicacin-sysvol-frs-a-dfs-r/ (Muy elegante, si señor :D)

    jueves, 18 de junio de 2015 18:26
  • Hola Alvaro, en el artículo del blog, que es de 2013 y no de 2013, no tuve los inconvenientes que comentas. No tengo ya las máquinas virtuales para reconfirmar, pero si te fijas despromoví el W2003 y te aseguro que no tuvo errores. Inclusive fue sin haber transferido antes los FSMO, lo dejé que se hiciera automáticamente al único DC que quedaba como explico en la nota

    Queda a tu favor, que fue un ambiente de pruebas que utilizo para las notas, que por supuesto no es productivo, ni tiene aplicaciones o servicios adicionales a los necesarios

    Respecto a FRS/DFS-R, aunque W2012R2 no lo utiliza por omisión, cuando se hace la actualización del Dominio queda W2012R2 con FRS

    Si miras en la nota que hice siguiente a la nombrada antes, justamente es donde hago el cambio (https://windowserver.wordpress.com/2013/11/02/actualizar-dominios-active-directory-replicacin-sysvol-frs-a-dfs-r/)

    Voy a ver si en algún momento puedo hacerme tiempo para instalar las máquinas virtuales y ver si se me presentara alguno de los errores que comentas, y que creo posibles, pero que a mí no me han sucedido, porque te puedo asegurar, como puse en la nota, que despromoví al DC con W2003, luego lo apagué, y finalmente probé usuarios que nunca habían abierto sesión

     


    Guillermo Delprato
    Buenos Aires, Argentina
    El Blog de los paso a paso

    MVP - MCT - MCSE - MCSA-2012
    MCITP: Enterprise Administrator / Server Administrator
    MCTS: Active Directory/Network Configuration/Applications Configuration/Server Virtualization/Windows 7 Configuration/Windows 7 & Office 2010 Deployment/Vista Configuration

    Este mensaje se proporciona "como está" sin garantías de ninguna clase. Usted asume todos los riesgos.

    jueves, 18 de junio de 2015 19:11
    Moderador
  • Totalmente correcto. Por eso añadí el post en mi postdata 2 ya que me he dado una vuelta en tu blog y me he marcado algunos favoritos... y me quito el sombrero. Perdoname si a veces peco de ser algo Aristotelico, pero "tirando del hilo" siempre sa halla conocimiento. Ademas, si la ingenieria de sistemas fuese una ciencia exacta, estabas todos desempleados :D

    Un saludo, Maestro.

    jueves, 18 de junio de 2015 19:57