10 consejos rápidos para un diseño eficiente de Active Directory

El diseño de Active Directory es una ciencia y es demasiado complejo para cubrir todos los matices dentro de los límites de un solo artículo. Pero quiero compartir contigo 10 consejos rápidos que te ayudarán a que tu diseño de AD sea más eficiente y más fácil de solucionar y gestionar.

Índice de Contenido
  1. Manténlo simple
  2. Utiliza la topología de sitio adecuada
  3. Utiliza controladores de dominio dedicados
  4. Ten al menos dos servidores de DNS
  5. Asegúrate de no poner todos los huevos en una sola canasta (virtualización)
  6. No descuides los roles FSMO (copia de seguridad)
  7. Planifica la estructura de tu dominio y cúmplela
  8. Ten un plan de gestión antes de comenzar a configurar servidores
  9. Evita hacer cambios logísticos importantes si es posible
  10. Coloca al menos un servidor de catálogo global en cada sitio
  11. ¿Más consejos?

Manténlo simple

El primer consejo es mantener las cosas lo más simples posible. Active Directory está diseñado para ser flexible y ofrece numerosos tipos de objetos y componentes. Pero solo porque puedas usar algo no significa que debas hacerlo. Mantener tu Active Directory lo más simple posible ayudará a mejorar la eficiencia general y facilitará el proceso de solución de problemas cuando surjan problemas.

Utiliza la topología de sitio adecuada

Aunque definitivamente hay algo que decir sobre la simplicidad, no debes evitar de crear estructuras más complejas cuando sea apropiado. Las redes más grandes casi siempre requerirán múltiples sitios de Active Directory. La topología del sitio debe reflejar la topología de tu red. Las partes de la red que están altamente conectadas deben estar dentro de un solo sitio. Los enlaces del sitio deben reflejar las conexiones WAN, con cada instalación física separada por un enlace WAN que abarque un sitio de Active Directory separado.

Utiliza controladores de dominio dedicados

He visto a muchas organizaciones pequeñas intentar ahorrar unos cuantos dólares configurando sus controladores de dominio para desempeñar funciones dobles. Por ejemplo, una organización puede tener un controlador de dominio que también actúa como servidor de archivos o como servidor de correo. Siempre que sea posible, tus controladores de dominio deben ejecutarse en servidores dedicados (físicos o virtuales). Agregar roles adicionales a un controlador de dominio puede afectar el rendimiento del servidor, reducir la seguridad y complicar el proceso de copia de seguridad o restauración del servidor.

Ten al menos dos servidores de DNS

Otra forma en que las organizaciones más pequeñas a veces intentan economizar es teniendo solo un servidor de DNS. El problema con esto es que Active Directory depende totalmente de los servicios de DNS. Si tienes un solo servidor de DNS y ese servidor falla, Active Directory dejará de funcionar.

Asegúrate de no poner todos los huevos en una sola canasta (virtualización)

Una de las principales razones por las que las organizaciones utilizan múltiples controladores de dominio es proporcionar un grado de tolerancia a fallos en caso de que uno de los controladores de dominio falle. Sin embargo, esta redundancia a menudo se ve socavada por la virtualización del servidor. A menudo veo a organizaciones colocar todos sus controladores de dominio virtualizados en un solo servidor de virtualización. Así que si ese servidor de alojamiento falla, todos los controladores de dominio fallarán con él. No hay nada de malo en virtualizar tus controladores de dominio, pero debes distribuir los controladores de dominio en varios servidores de alojamiento.

Cómo garantizar la validación local de los clientes en un dominio multi-sitio

No descuides los roles FSMO (copia de seguridad)

Aunque Windows 2000 y todas las versiones posteriores de Windows Server han admitido el modelo de controlador de dominio multimaestro, algunos controladores de dominio son más importantes que otros. Los controladores de dominio que alojan roles de Flexible Single Master Operations (FSMO) son críticos para la salud de Active Directory. Active Directory está diseñado de manera que si un controlador de dominio que aloja roles FSMO falla, AD puede continuar funcionando, al menos por un tiempo. Sin embargo, una falla de controlador de dominio FSMO puede ser muy disruptiva.

He escuchado a algunos profesionales de TI decir que no es necesario hacer copias de seguridad de todos los controladores de dominio de la red debido a la forma en que se replica la información de Active Directory entre los controladores de dominio. Si bien hay algo de verdad en esa afirmación, hacer copias de seguridad de los titulares de los roles FSMO es fundamental.

Una vez tuve que ayudar en el esfuerzo de recuperación de una organización en la que había fallado un controlador de dominio. Desafortunadamente, este controlador de dominio tenía todos los roles FSMO y actuaba como el único servidor de catálogo global y como el único servidor de DNS de la organización. Para empeorar las cosas, no había una copia de seguridad del controlador de dominio. Terminamos teniendo que reconstruir Active Directory desde cero. Este es un ejemplo extremo, pero muestra lo importante que pueden ser las copias de seguridad del controlador de dominio.

Planifica la estructura de tu dominio y cúmplela

La mayoría de las organizaciones comienzan con una arquitectura bien planificada de Active Directory. A medida que pasa el tiempo, sin embargo, Active Directory puede evolucionar de manera más desorganizada. Para evitar esto, recomiendo planificar con anticipación el crecimiento eventual de Active Directory. Es posible que no puedas predecir exactamente cómo crecerá Active Directory, pero al menos puedes establecer alguna gobernanza para dictar la estructura que se utilizará cuando eso suceda.

Ten un plan de gestión antes de comenzar a configurar servidores

Así como necesitas planificar la estructura de tu Active Directory desde el principio, también necesitas tener un buen plan de gestión en su lugar. ¿Quién administrará Active Directory? ¿Una persona o un equipo se encargará de todo o las responsabilidades de gestión se dividirán según el dominio o la unidad organizativa? Este tipo de decisiones de gestión deben tomarse antes de comenzar a configurar los controladores de dominio.

Evita hacer cambios logísticos importantes si es posible

Active Directory está diseñado para ser extremadamente flexible y es posible realizar una reestructuración importante sin tiempo de inactividad ni pérdida de datos. Sin embargo, te recomendaría que evites reestructurar tu Active Directory si es posible. He visto más de una situación en la que el proceso de reestructuración resultó en objetos de Active Directory corruptos, especialmente al mover objetos entre controladores de dominio que ejecutan diferentes versiones de Windows Server.

Cuál es la mejor opción de protocolo de enrutamiento para una red empresarial

Coloca al menos un servidor de catálogo global en cada sitio

Finalmente, si estás operando un Active Directory que consiste en múltiples sitios, asegúrate de que cada uno tenga su propio servidor de catálogo global. De lo contrario, los clientes de Active Directory deberán atravesar enlaces WAN para buscar información en un catálogo global.

¿Más consejos?

¿Qué otras prácticas de diseño recomendarías? ¿Alguna vez te has arrepentido de una decisión que tomaste al implementar AD?

En Newsmatic nos especializamos en tecnología de vanguardia, contamos con los artículos mas novedosos sobre Redes, allí encontraras muchos artículos similares a 10 consejos rápidos para un diseño eficiente de Active Directory , tenemos lo ultimo en tecnología 2023.

Artículos Relacionados

Subir

Utilizamos cookies para mejorar su experiencia de navegación, mostrarle anuncios o contenidos personalizados y analizar nuestro tráfico. Al hacer clic en “Aceptar todo” usted da su consentimiento a nuestro uso de las cookies.