Principales respuestas
Recomendaciones para publicar un Active Directory en publico

Pregunta
-
Buenas a todos.
Tengo una red bastante grande, y hay sedes en la que no tenemos VPN, y las estaciones de trabajo y servidores de esas sedes, queremos meterlas en nuestro dominio.
(Cuando digo que no hay VPN, es que no hay un proveedor confiables con el tema de internet y hay constantes caidas, NO SE ENFOQUEN EN ESTO)
Lo que quiero saber es cual es la mejor practica para publicar el active directory de nuestra red, habiamos pensado en colocar RODC en una DMZ y que las estaciones de trabajo accedan alli.
Que recomiendan?
Saludos
Respuestas
-
Publicar un Dominio Active Directory, sería peor aún que si publicaras los datos de tu cuenta bancaria, afectaría a mucha más gente. Ja ja ja
Si no hay conectividad de red, no hay forma de tener un único Bosque, y poner dos separados duplicaría la administración, además por supuesto que no podrías por ejemplo ni siquiera hacer relaciones de confianza
Si el enlace es "no confiable" habría que ver cuánto "no confiable" es realmente, en esos casos se suele evaluar tener dos Dominios diferentes pero dentro del mismo Bosque. Con esto se disminuye el tráfico de replicación, y además adecuadamente configurado pueden estar tiempo sin conexión
El RODC tiene un uso muy específico que es para sitios geográficos donde no hay seguridad física
Si comentas un poco más quizás se puediera ayudar mejor
Guillermo Delprato
MVP - MCSE - MCSA2012
Buenos Aires, Argentina
El Blog de los paso a paso
MCITP: Enterprise Administrator / Server Administrator
MCTS: Active Directory/Network Configuration/Applications Configuration/Server Virtualization/Windows 7 Configuration/Windows 7 & Office 2010 Deployment/Vista Configuration
Este mensaje se proporciona "como está" sin garantías de ninguna clase. Usted asume todos los riesgos.
- Marcado como respuesta Moderador M viernes, 19 de mayo de 2017 21:46
-
Hola.
La probabilidad de que se materialice la amenaza y produzca un impacto (riesgo) en tu Organización sería muy alta si pones un Servidor Controlador de Dominio en una DMZ pública. Puedes hacer un análisis de riesgo utilizando el CVSS Calculator y sacarás tus propias conclusiones.
Personalmente, en tu caso, te recomendaría que trabajes con Azure, y que repliques los directorios locales en tu cuenta en la Nube. Tal vez implementar también ROCD en cada subsidiaria y trabajar con la Integración de los directorios locales con Azure Active Directory sería una buena opción si tu organización lo ve factible.
Si tienes alguna duda o consulta, nos avisas por favor.
- Editado Julio Iglesias PérezModerator viernes, 12 de mayo de 2017 15:57 Agregando enlace CVSS
- Marcado como respuesta Moderador M viernes, 19 de mayo de 2017 21:48
Todas las respuestas
-
Publicar un Dominio Active Directory, sería peor aún que si publicaras los datos de tu cuenta bancaria, afectaría a mucha más gente. Ja ja ja
Si no hay conectividad de red, no hay forma de tener un único Bosque, y poner dos separados duplicaría la administración, además por supuesto que no podrías por ejemplo ni siquiera hacer relaciones de confianza
Si el enlace es "no confiable" habría que ver cuánto "no confiable" es realmente, en esos casos se suele evaluar tener dos Dominios diferentes pero dentro del mismo Bosque. Con esto se disminuye el tráfico de replicación, y además adecuadamente configurado pueden estar tiempo sin conexión
El RODC tiene un uso muy específico que es para sitios geográficos donde no hay seguridad física
Si comentas un poco más quizás se puediera ayudar mejor
Guillermo Delprato
MVP - MCSE - MCSA2012
Buenos Aires, Argentina
El Blog de los paso a paso
MCITP: Enterprise Administrator / Server Administrator
MCTS: Active Directory/Network Configuration/Applications Configuration/Server Virtualization/Windows 7 Configuration/Windows 7 & Office 2010 Deployment/Vista Configuration
Este mensaje se proporciona "como está" sin garantías de ninguna clase. Usted asume todos los riesgos.
- Marcado como respuesta Moderador M viernes, 19 de mayo de 2017 21:46
-
Hola.
La probabilidad de que se materialice la amenaza y produzca un impacto (riesgo) en tu Organización sería muy alta si pones un Servidor Controlador de Dominio en una DMZ pública. Puedes hacer un análisis de riesgo utilizando el CVSS Calculator y sacarás tus propias conclusiones.
Personalmente, en tu caso, te recomendaría que trabajes con Azure, y que repliques los directorios locales en tu cuenta en la Nube. Tal vez implementar también ROCD en cada subsidiaria y trabajar con la Integración de los directorios locales con Azure Active Directory sería una buena opción si tu organización lo ve factible.
Si tienes alguna duda o consulta, nos avisas por favor.
- Editado Julio Iglesias PérezModerator viernes, 12 de mayo de 2017 15:57 Agregando enlace CVSS
- Marcado como respuesta Moderador M viernes, 19 de mayo de 2017 21:48