Question

Estimados Colegas

Tengo el siguiente escenario.

Tenemos 6 sedes dentro de un mismo ámbito geográfico (departamento o Localidad), estas 6 sedes los tengo interconectados vía Fibra óptica. Adicionalmente tengo 2 sedes que se encuentra fuera de de la ciudad, tengo montado una VPN en linux con estas DOS sedes.

Tengo un controlador principal de Dominio en mi sede principal y otro de replicación también en la misma sede principal y todas las demás sedes están trabajando en grupos de trabajos.

Necesito hacer lo siguiente:

Cada localidad cuente con su propio controlador de dominio, y que cada usuario solo se pueda loguear en cada una de sus sedes. (cada sede tienen 2 segmentos de red, una para PC's y otra para teléfonos ip)
Si por algún motivo mi controlador principal caiga, las otras localidades puedan seguir trabajando sin ningún problema.
Las políticas si deben ser aplicados a todas las sedes.Cada localidades tienen segmentos red ya definido.

10.1.x, 10.2.x, para la sede principal y 10.1.20.x para los telefonos IP
10.3.x para otra sede y  10.3.20.x para los telefonos ip de esa sede
10.4.1.x para otra sede y  10.4.20.x para los telefonos ip de esa sede
10.5.1.x para otra sede y  10.5.20.x para los telefonos ip de esa sede
10.6.1.x para otra sede y  10.6.20.x para los telefonos ip de esa sede
10.7.1.x para otra sede y  10.7.20.x para los telefonos ip de esa sede

Cualquier comentario es bien recibido.

Saludos,

Luis

PD.

Trabajamos sobre windows 2008R2 y los clientes tienen desde windows xp hasta windows 8.1, el numero de usuarios por cada sede a excepción de la principal son 50 usuarios aproximadamente.

Answer 1

Hola Anónimo,

Cuando tienes una topología de Active Directory con varios sitios, antes de comenzar a instalar nuevos controladores de dominio en las sucursales, debes crear una representación de cada sucursal y las subredes de estas en tu Active Directory Sites and Services, de esta manera el servicio de Active Directory topology, podrá generar una topología de replicación correcta.

Por ejemplo, crea cada una de las sub-redes que tienes en tus sucursales y  crea un nuevo sitio para cada sucursal como se ve en la siguiente imagen:

Luego de esto, podrás ir a una de las sucursales donde quieras instalar un nuevo controlador de dominio y realiza los siguientes pasos:

1. Configura el servidor para que el DNS primario, sea la dirección IP de tu DNS que está en la sucursal principal, de esta manera podrás resolver los nombres de tu dominio desde este servidor mientras lo promueves como controlador de dominio.
2. Luego, verifica que desde este nuevo servidor tengas comunicación con el controlador de dominio de la sucursal remota, esto lo puedes lograr con un Ping o con un nslookup.
3. Cuando ya hayas verificado la correcta comunicación entre el nuevo servidor y el servidor remoto, ahora puedes agregar este nuevo servidor al dominio tal y como agregarías una máquina al dominio.
4. Cuando el servidor sea miembro del dominio, ahora ya puedes promoverlo. Dependiendo de la versión de Windows que tengas, puede que sea mediante DCPromo o mediante el asistente.
5. Cuando te pregunte que si este servidor va a ser miembro de un nuevo dominio o de un dominio existente, selecciona que será controlador de un dominio existente. La idea es que todas tus sucursales estén en el mismo dominio.
6. Cuando el servidor termine el proceso y sea un controlador de dominio (verifica el visor de eventos para  que estés seguro que todo está bien), puedes configurar que su DNS primario sea él mismo y que el secundario sea el controlador de dominio de la sucursal remota.

Te recomiendo también instalar el servicio de DHCP en este nuevo servidor para que tus clientes reciban la configuración TCP/IP de manera automática.

A partir de este momento puedes comenzar a unir las máquinas clientes de tu sucursal al dominio porque ya tienen un controlador de dominio local.

Cuando una máquina va a autenticarse, primero identifica cuál es el controlador de dominio más cercano (qué esté en su misma su-bred) basado en la dirección IP que tiene el cliente actualmente y así la autenticación será local para cada sucursal.

Si el cliente no pudiese conectarse con el servidor local, entonces trataría de autenticarse con un servidor que se encuentre en otra sucursal.

Básicamente los clientes de cada sucursal usarán como DNS primario el controlador de dominio local y como secundario puedes configurar que usen uno de los controladores de dominio de tu sucursal principal.

Luego puedes crear las políticas de Active Directory a nivel de OUs o a nivel de sitios de Active Diretory.

Espero te sirva la respuesta.

Answer 2

Hola mira este tema es muy amplio y la información que proporcionas es muy general, así que te doy una respuesta general, primero debes asegurarte que tengas un dominio global, después creas dom2.local, dom3. local, dom4.local, dom5.local y dom6.local para las sucursales en la intranet. Con lo anterior tendrás 6 dominios en tu árbol de dominio, deberás definir una relación de confianza entre ellos para replicar las políticas globales del dominio principal. Para la parte de las 2 sucursales remotas puedes crear SITE o RODC yo te recomiendo si la sucursal es pequeña que sean RODC debido que solo tendrán en un equipo las políticas replicadas y no serán administrables desde la sucursal.
En cuanto a las IPs puedes definir los pool de Ips desde el servidor de DHCP, si tienes mas de un servidor instalado,configura un servicio de DNS secundario y replicalo al principal, esto te ayudara a tener la disponibilidad de la red en cualquier momento