Documentos de Académico
Documentos de Profesional
Documentos de Cultura
aass.com otramarca.com
d es vas
ida izati
Un gan
or
tenerife.aass.co gc.aass.com
m
Dominios
Dominios
• Es una agrupación lógica de ordenadores, usuarios y otros
recursos que comparten la base de datos del directorio (LDAP)
• Cada dominio está gestionado por un administrador
• Cada dominio incluye uno o más controladores de dominios.
Controlador de dominio: Ordenador que ejecuta Windows Server y
almacena una copia completa del DA
• No existe una relación maestro-esclavo entre los controladores
del dominio:
• Las actualizaciones se pueden realizar en cualquiera de ellos
• El sistema de replicación los mantiene sincronizados
• Excepciones a estas reglas: Maestros de operaciones
Dominios
Dominios
• Almacena los “objetos” de la organización
• Usuarios
• Grupos
• Ordenadores
• Impresoras
• Unidades de red
• ...
Árboles
• Un árbol es una agrupación jerárquica de uno o más
dominios Windows que comparten un espacio de nombres
contiguo
• Cuando se añade un dominio a un árbol ya existente, el
nuevo dominio pasa a ser el hijo y su nombre se combina
con el del dominio padre para formar su nombre DNS.
• Cada dominio hijo establece
una relación de confianza
bidireccional y transitiva con
el dominio padre.
Bosque
• Es una agrupación jerárquica de uno o más árboles
• Los árboles en el bosque no comparten un espacio de nombres
contiguo.
• Los árboles en el bosque comparten un schema común y el
catálogo global.
• El primer dominio que se crea es el conocido como dominio raíz
del bosque
• Cada dominio raíz de un árbol
tiene una relación de confianza
bidireccional transitiva con el
dominio raíz del bosque
Bosque (ii)
Cosas compartidas en el bosque:
Además del catálogo global y el schema, también se comparte:
• Administradores:
• Administradores de schema: Capacidad para modificar el schema
• Administradores de la organización:
– Capacidad para realizar operaciones que afectan a todo el bosque,
como añadir o eliminar dominios del bosque
– Automáticamente se incluye en todos los grupos locales
Administradores de los dominios del bosque.
• Configuración de confianza compartida:
• Todos los dominios del bosque se configuran para que confíen en los
restantes dominios del bosque
Catálogo global
• Es un almacén de información que contiene un subconjunto de
los atributos de todos los objetos de DA (Partial Attributes Set
- PAS).
• Almacena aquellos atributos que se usan más frecuentemente
en las consultas:
• Identificación de usuarios: nombre, apellidos,...
• Localización de impresoras,...
Funciones:
● Búsqueda de información en todo el
bosque
● Utilización de grupos universales:
permite a los usuarios entrar en cualquier
dominio del bosque.
Estructura lógica de A.D
Bosque
Dominio
ol
Árb
aass.com otramarca.com
d es vas
ida izati
Un gan
or
tenerife.aass.co gc.aass.com
m
Unidades Organizativas
● Son contenedores que permiten agrupar los objetos de
un dominio en grupos administrativos lógicos.
● Pueden contener cuentas de usuarios, grupos,
ordenadores, impresoras, ...
● También pueden contener otras OU’s
● No hay límite en la profundidad de la estructura
jerárquica (Recomendación: no hacerlas demasiado
profundas)
● Se usan para agrupar objetos de la forma que mejor se
ajuste a las necesidades de la organización
Unidades Organizativas
● Ejemplo:
etsii.ull.es
● Nombre dispositivo + ruta hasta la raíz: FQDN (Fully
Qualified Domain Name). Ejemplo: “exthost.etsii.ull.es.”
Proceso de resolución de nombres
¿Cómo conoce
los serv. “.”?
fichero ¿Qué contienen?
mapa
link
Tipos de servidores DNS
• Servidor Primario
• Es el único que contiene la copia original del fichero de la zona.
• Es donde se realizan las modificaciones de la zona.
• Después de modificar estos datos, se replican a los servidores secundarios
⇒transferencia de zona
• Servidores Secundarios
• Contienen una copia (sólo lectura) del fichero de zona
• Se actualizan a través de transferencias de zona (completas o incrementales)
• Proporcionan balanceo de carga (no tolerancia a fallos)
• Servidores cache
• No contienen copia de ningún fichero
• Almacenan temporalmente las resoluciones anteriores
Windows - Active Directory - DNS
DNS y Active Directory
• Resolución de nombres:La resolución de nombres de las distintas
máquinas en el dominio se realiza usando DNS
• Esquema de nombres en el dominio: El directorio Activo sigue el
mismo esquema de nombres que el servicio DNS:
Localización de servicios
• Los controladores de dominio en Windows 2000 se identifican
además de por su FQDN (Fully Qualified Domain Name), por
los servicios que proporciona. Registros SRV
• Cuando se arranca un controlador de dominio, el servicio Net Logon
usa el “DNS dynamic update” para registrarse automáticamente en
DNS.
• Windows (> 2000) usa DNS también para localizar servicios
en la red.
• Ejemplo: Para encontrar las distintas impresoras ⇒ catálogo global. En
Windows NT, el sistema de resolución de nombres utilizado era
NetBIOS
• Ejemplo: Cada controlador de dominio registraba el nombre dominio
con <1C> en el carácter 16, en el servidor WINS correspondiente.
Registros de recursos
• Para facilitar la localización de controladores de dominio se utilizan los
siguientes registros
Component Example Explanation
Service _ldap The service that this record identifies. Additional services include _kerberos, _kpassword, and
_gc.
Protocol _tcp The protocol used for this service. Can be either TCP or user datagram protocol (UDP).
Name contoso.com The domain name that this record refers to.
_ldap._tcp.contoso.com.
TTL 600
600 IN SRV 0 100 389 dc2.contoso.com
The default Time to Live for this record (in seconds).
Class IN The standard DNS Internet class.
Resource SRV Identifies the record as an SRV record.
Record
Priority 0 Identifies the priority of this record for the client. If multiple SRV records exist for the same
service, the clients will try to connect first to the server with the lowest priority value.
Weight 100 A load balancing mechanism. If multiple SRV records exist for the same service and the priority
is identical for all the records, clients will choose the records with the higher weights more
often.
Port 389 The port used by this service.
Target dc2.contoso. The host that provides the service identified by this record.
com
Registros de recursos
• Ejemplo de servicios registrados por el primer controlador del bosque:
contoso.com. 600 IN A 192.168.1.201
_ldap._tcp.contoso.com. 600 IN SRV 0 100 389 dc2.contoso.com.
_ldap._tcp.Default-First-Site-Name._sites.contoso.com. 600 IN SRV 0 100 389
dc2.contoso.com.
gc._msdcs.contoso.com. 600 IN A 192.168.1.201
175170ad-0263-439f-bb4c-89eacc410ab1._msdcs.contoso.com. 600 IN CNAME
dc2.contoso.com.
_kerberos._tcp.dc._msdcs.contoso.com. 600 IN SRV 0 100 88 dc2.contoso.com.
_kerberos._tcp.Default-First-Site-Name._sites.dc._msdcs.contoso.com. 600 IN
SRV 0 100 88 dc2.contoso.com.
_kpasswd._tcp.contoso.com. 600 IN SRV 0 100 464 dc2.contoso.com.
_kpasswd._udp.contoso.com. 600 IN SRV 0 100 464 dc2.contoso.com.
Proceso de inicio de sesión
(login)
Gestión DNS Windows
• Se realiza a través de servidores DNS (MS-Windows o no)
Varias posibilidades:
• Número de servidores para una zona. Recomendable más de uno
• Tolerancia a fallos y balanceo de carga
• Modelo Maestro- esclavos
• Modelo Multimaster
• Diferentes zonas: Delegación de zona
• Reparte la responsabilidad
• Distribuye la información
Zonas integradas en Active
Directory
• Una de las principales ventajas de DNS en W2k es la
posibilidad de integrar DNS con el AD
Ventajas:
• La información de la zona no se almacena en el fichero DNS sino en
la base de datos de AD ⇒Seguridad
• El proceso de transferencia de zona se sustituye por la replicación
de AD
• Sólo componentes modificados
• Replicación entre sitios optimizada
• Ofrece la posibilidad de configuración multimaster de servidores
• Evita tener un solo servidor primario
• Los cambios pueden realizarse en cualquier controlador del dominio
• Opción de actualización segura (secure updates)
• Se controla quién puede hacer modificaciones (dynamic updates)
Combinación modelos DNS
• Combinaciones zona integrada – zonas secundarias
CD
CD
DNS-AD
Transferencias de
zona
CD
DNS
Secundario
Dominio
Active Directory
Usuarios y grupos
Usuarios y cuentas de
usuarios
Un usuario se entiende como cada persona que puede entrar (iniciar
sesión) en el sistema
○ Para controlar la entrada y sus acciones se utiliza el concepto
de “cuenta de usuario”
Cuenta de usuario:
○ Es la entrada LDAP donde se almacena toda la información
del usuario:
■ Nombre + Nombre completo
■ Contraseña
■ Directorio de conexión
■ Horas de conexión
■ Activación de la cuenta
■ ...
Usuarios y cuentas de
usuarios
Internamente se le asigna dos números de identifcación
○ Número de identificador único global GUID
■ Número de 128 bits asignado a cada objeto en AD
■ Es único en el bosque … y más allá
■ Asociado al objeto hasta que se borra
○ Número de identificador de seguridad SID
■ Este número es único en el dominio
■ Si un usuario cambia de dominio, se le asigna un nuevo SID
■ Es el número que se utiliza para las ACLs
■ No se modifica cuando se renombra la cuenta
○ User Principal Name (UPN)
■ Permite identificar al usuario en
cualquier parte del bosque
Tipos de cuentas de usuarios
Tipo de
cuenta de Descripción
usuario
Cuenta de •Permite a un usuario entrar a un ordenador específico y
usuario acceder a los recursos de ese ordenador
local •La cuenta reside en la SAM (Security Accounts Manager)
del ordenador
b) Estrategia A G G DL P
Usuario o Usuario o
computador computador
Pertenece a
Grupo Grupo
global global
Pertenece a
Grupo Grupo
local local
Permisos
Recurso Recurso
Dominio A Dominio B
Aeropuerto TFN Usuarios
Tipos de empleados
● Controladores (CTL)
● Gestores de vuelos (GV)
● Pilotos (PLT)
Aeropuerto TFN Recursos
Recursos y accesos
Vuelos
Pista Aterrizaje
TFN.aerop.org
Vuelos
Pista Aterrizaje
TFN.aerop.org aerop.org
a) Almacenamiento
distribuido
b) Almacenamiento
centralizado
● Backups
● Tolerancia a fallos
redundancia de la información
(sistemas RAID)
Formato de la información
Windows soporta diferentes formatos:
○ FAT,FAT32
■ Sin soporte de seguridad.
■ Límites al tamaño de la partición y al tamaño de los archivos
○ extFAT
■ Pensado para flash drives
○ NTFS
■ Soporta seguridad a nivel de archivos mediante ACLs
■ Compresión
■ Cifrado
■ Cuotas,...
Acceso a la información
● Acceso local
● Acceso remoto (mediante conexión de red)
Control de acceso (seguridad)
● Permisos NTFS (a nivel de sistema de
archivos)
● Permisos compartidos. Sólo se aplican
cuando se accede por la red
● Protocolo SMB (Server Message Block), Puerto 139
Para acceder a la carpeta compartida se usa el “Universal Naming
Convention” (UNC)
\\NombreServidor\NombreCarpetaCompartida
● Ej: Si la carpeta está en el servidor “Server1”:
Permisos compartidos
Se establecen a nivel de carpeta y se aplica a
todo lo que cuelga de esa carpeta
Recursos compartidos
Permisos NTFS
Se aplican tanto cuando se accede tanto de forma local como
cuando se accede de forma remota
• NTFS almacena una lista de control de acceso (ACL) para cada
fichero y directorio de la unidad NTFS.
• La ACL contiene una lista de todas las cuentas de usuarios y
grupos a los que se le ha asignado permisos para ese directorio o
fichero así como el tipo de acceso
• Cuando un usuario intenta acceder a un recurso, es
necesario que éste contenga una entrada en la lista
(access control entry ACE) para el usuario o algún grupo
al que el usuario pertenece.
• Si no existe ningún ACE para el usuario, se deniega el
permiso.
Permisos NTFS
• Reglas para la asignación de permisos NTFS
• Los usuarios pueden acceder a un objeto sólo con permiso,
ya sea como usuario o como miembro de algún grupo
• Los permisos son acumulativos.
• La excepción es el permiso “Denegar” que prevalece sobre
los demás
Permisos NTFS
• Herencia de permisos NTFS
• Por defecto, los permisos que se asignan a un directorio son heredados
y propagados a los subdirectorios y ficheros que contiene.
• Se puede prevenir que los permisos se hereden
• Cuando se inhabilita la herencia de permisos en una carpeta, ésta se
convierte en la carpeta padre, de modo que los hijos heredan sus
permisos
Opciones cuando se elimina la herencia:
Copiar: Copia los permisos del
directorio padre y evita cualquier
propagación posterior
Todos
CT Fichero1
L Fichero2
Usuario 2
Active Directory
Directivas de Grupo (GPOs)
Introducción
Es un mecanismo que implementa a partir deWindows 2000 para
aumentar la eficiencia de las organizaciones:
■ En las empresas se observa habitualmente una pérdida de
productividad como consecuencia de errores en la
manipulación del sistema (ficheros de configuración, entorno,
instalación de aplicaciones,…)
○ Una directiva de grupo es una colección de parámetros de
configuración que se pueden establecer a distintos ámbitos: sitios,
dominios o Unidades Organizativas.
“Group Policy, as the name suggest, is a group of policies that includes several
settings that can be enforced in a single computer or multiple computers at a
once.”
“As its name implies, a group policy is a group of policies that are applied
together.”
Definición de directivas de
grupo
Algunos críticos (con el nombre):
Drew Heywood's Windows 2000 Network Services
ou: Desarrollo
Ocultar C: Deshabilitado
GPOs: Quitar ejecutar: Deshabilitado
(herencia forzada)
juani
manolo
GG_aspirantes
Pantalla: Azul
GPOl:
Quitar ejecutar: Habilitado
site: LaPalma
DFS
Distributed File System
Conceptos Básicos
DFS
● Mejora el uso de carpetas compartidas, permitiendo su
organización y el reparto por múltiples servidores.
● Conjunto de tecnologías:
○ Espacio de nombres DFS (namespace):
■ Organización de ficheros compartidos (SMB)
■ Pueden residir en distintos servidores
■ Facilita el acceso a datos para los usuarios
○ Replicación DFS :
■ Proporciona redundancia. Aumenta la disponibilidad de los datos.
■ Minimiza el tráfico a través de conexiones WAN
DFS
● Visión actual
\\server1\recurso1
c:
\\server2\recurso2
p:
q:
\\server3\recurso3
r:
DFS
● Visión dfs \\dominio\dfsroot
\\server1\recurso1
c:
r
\\server2\recurso2
fold1
fold2
\\server3\recurso3
fold3
Ejemplo
https://msdn.microsoft.com/en-us/library/cc730736.aspx
Roles en Server 2012
Tipos de espacios de nombres
● Existen dos tipos de espacios de nombres DFS:
○ Basado en un dominio
■ La configuración se almacena en Active Directory
■ No dependemos de un único servidor para el espacio de nombres
■ Pueden cambiar los servidores DFS sin cambiar el espacio de
nombres
■ Admite redundancia en los enlaces
○ Autónomo
■ La configuración se guarda en el servidor DFS
■ El nombre del servidor aparece en el espacio de nombres
Referencias (Referrals)
● Un “referral” es una lista ordenada de servidores
○ Cada cliente lo recibe de un “controlador de dominio” o un “servidor
de espacio de nombres” cuando accede a la raíz del DFS o a una de sus
carpetas.
■ Se intenta escoger un servidor en el mismo “site” que el cliente
■ También se pueden ordenar aleatoriamente el resto de servidores
(balanceo de carga)
○ El cliente accede al primer servidor de la lista
○ Si no responde, al segundo, etc.
Replicación DFS
● La replicación DFS permite replicar carpetas entre
múltiples servidores.
● Usa la red de forma eficiente:
○ Sólo se propagan los cambios (los bloques modificados y no el fichero
entero) y utiliza compresión (Remote Differential Compression -
RDC).
■ La replicación DFS replica también SYSVOL (Reemplaza a FRS -
File Replication Service - a partir de WS 2012)
○ Se puede definir una planificación de réplicas (optimización de la red)
● Limitaciones
○ Un grupo de replicación (conjunto de servidores de réplica) puede
tener hasta:
■ 256 miembros
■ 256 carpetas replicadas
○ Cada servidor puede ser miembro de hasta 256 grupos de replicación
○ Un servidor puede soportar 1TB de ficheros replicados
○ Hasta 8 millones de ficheros replicados por volumen
Active Directory
Diseño de la infraestructura
Estructura lógica y física
Diseño lógico
No existe un diseño “único” para una organización
○ Diferentes administradores pueden ofrecer diseños diferentes
que son igual de válidos
○ Como norma general, la solución más sencilla es la mejor
■ Diseños con un único dominio
Restricciones a considerar cuando se realiza el diseño
○ La frontera de seguridad en AD es el bosque. Alguien con
privilegios de Administrador de Empresa tiene control sobre
todos los dominios
○ No se puede eliminar el CD raíz del bosque
○ Cada CD puede gestionar un único dominio
○ Diseños complejos de GPOs afectan a la eficiencia del sistema
Diseño lógico. Ejemplos
Diseño de una
organización con un
único dominio pero
con una gran
complejidad de
Unidades
Organizativas
Diseño lógico. Ejemplos
Diseño de una
organización
con múltiples
dominios y
múltiples sedes
(sites)
Diseño lógico. Pasos previos
Información necesaria para realizar el diseño
○ Estructura de la organización donde se describan las diferentes
unidades de negocio / departamentos
○ Estructura geográfica de la organización: sedes, oficinas
descentralizadas,...
○ Diagrama de las redes de comunicaciones en la empresa,
indicando los anchos de banda de las diferentes conexiones.
○ Información de los sistemas que van a interactuar con Active
Directory.
■ Algún servicio de directorio ya existente
■ Aplicaciones que hacen uso de LDAP
Fases en el diseño lógico.
El diseño de la estructura AD consta de dos grandes fases
○ Diseño del espacio de nombres
■ Definir número de dominios
■ Estructura del bosque: número de árboles
■ Criterio de nombres para los elementos de la red:
● Servidores, equipos de usuarios, elementos de red,...
○ Diseño de la estructura interna de cada dominio
■ Organizar la información “interna” del dominio
■ Aplicar configuraciones homogéneas (GPO’s)
■ Delegación de control
Diseño del espacio de
nombres
Paso 1: Decidir número de bosques.
replicación
WAN
Tenerife Gran Canaria
puchero.com
WAN
Tenerife Gran Canaria
puchero.com sancocho.co
m
Diseño de la estructura del
bosque
Elección del dominio raíz del bosque.
● Implementar un dominio raíz vacío
○ Aislamos a los administradores de empresa.co
m
empresa
○ Necesitamos CDs para gestionarlo
○ Útil en organizaciones de tamaño europa.empresa.co asia.empresa.com
m
grande
● Emplear un dominio raíz que va a
perdurar lo mismo que la empresa.co
m
organización
○ Modelo aplicado en
organizaciones simples gc.empresa.com
Diseño de la estructura del
bosque
Elección de los nombres de los dominios
Dominio raíz
● Hacer coincidir el nombre del dominio raíz con el nombre DNS
de la organización. Ejemplo: empresa.com
● Usar una zona hija como nombre para la infraestructura AD.
○ Ejemplo: ad.empresa.com
● Espacio de nombres paralelo. Ejemplo: empresa.local
Otros dominios
● Selección de diferentes árboles cuando se tengan diferentes
“marcas”
Diseño de la estructura interna
del dominio: Unidades
Organizativas
Este diseño tiene que hacerse de forma independiente en cada uno de
los dominios implementados
Unidades Organizativas
● Contenedores que permiten almacenar objetos: usuarios,
grupos, ordenadores, carpetas compartidas, impresoras
● Son flexibles: pueden crearse, eliminarse, moverse dentro del
dominio,...
● Se pueden anidar, aunque no es recomendable muchos niveles
de anidamiento
Diseño de Unidades
Organizativas
Requerimientos para la creación de OUs
● Representar el modelo de negocios
Produ comer
de…)
● Delegación de control
○ Permite delegar ciertas tareas de
administración sobre un conjunto
Conta comer
de objetos a un usuario/grupo. bilidad ciales
contraseñas de Contabilidad
Diseño de Unidades
Organizativas
Requerimientos para la creación de OUs
● Aplicación de directivas: GPO’s
Producción GPO2:
GPO1: ● Ocultar panel de control
● Redirección de carpetas ● No permitir medios extraíbles
● Fondo de escritorio
corporativo
Gran
Tenerife Canaria
Estructura lógica y física
Diseño físico
Estructura física del Directorio Activo
• En Active Directory, la estructura lógica del
dominio está separada de la estructura física
• La estructura lógica permite organizar los recursos de la
red
• La estructura física permite configurar y gestionar el
tráfico de la red.
• Involucra dos conceptos clave:
• Sitios (Sites)
• Replicación
Diseño físico. Sites
● Proporcionan la conexión entre la estructura
lógica de la organización y la infraestructura
física de red
● Se define como un área de la red donde los
equipos están conectados por una conexión
rápida, fiable y barata
● Normalmente contiene una o más subredes IP
● Se conectan al resto de la red por redes WAN
(más lentas).
● La principal razón de su existencia es la de
optimizar el tráfico que viaja por las líneas de
baja velocidad.
● Un site puede contener varios dominios
● No hay relación entre dominios y sites. ● Un dominio puede distribuirse en varios
sites
Diseño físico. Sites. ¿Por qué?
Directorio de dominio Una por Cualquier DC de ese Objetos del dominio: usuarios,
dominio dominio computadores, OUs, ...
Catálogo global Una por Réplicas de sólo Algunos atributos de cada uno de
bosque lectura. Se replican los objetos del bosque
desde otras
particiones del
dominio.
Replicación
- ¿Qué replicar?
- Información de los naming Contexts que gestiona
cada controlador
- Sólo se replican las modificaciones
- Topología de replicación
- Intrasite site Gran
Canaria
- Intersite
Replicación intra-site
Objetivo: Conseguir que los CD se encuentren
sincronizados en el menor tiempo posible
(convergencia)
• La replicación ocurre casi
inmediatamente después de realizarse
un cambio en DA
• Los datos no se comprimen
• Se usa topología en anillo
• El CD que modifica la base de datos
informa a sus partners
• Cada partner inicia el proceso de
replicación solicitando sólo aquellas
modificaciones que no tenga
actualizadas
Replicación inter-site
Objetivo: Reducir el ancho de banda utilizado para
la replicación por las líneas de baja velocidad
• La replicación se inicia atendiendo
a una planificación
• Para gestionar la replicación, hay
que configurar las vinculaciones a
sitios (horas de replicación, etc)
• Se comprimen los datos a replicar
• El administrador tiene un papel
importante
• El tráfico de replicación se realiza a
través de servidores cabeza de
puente (por partición), en lugar de
replicaciones multimaster
Implementación de sites
Sitios (sites):
• Redes que forman parte del site
• Controladores de dominio que pertenecen al site
Enlaces a sitios (site links)
• Factores:
• Protocolo transporte (IP/SMTP)
• Coste:
– Es un número que representa la velocidad y fiabilidad de la línea de
comunicaciones que une los sitios
– Si hay múltiples vínculos, la replicación se realizará por el vínculo con menor
coste (entre 1 y 32767)
– Planificación de las replicaciones
– Intervalo de replicación. Sólo aplicable durante el horario de la planificación
P.ej: Planificación de 10PM a 7 AM. Intervalo: 180 minutos
Implementación de sites.
Ejemplo
Caso práctico de diseño con AD
Empresa con dos nombres registrados:
todogofio.com, mojopicon.com
Requisitos:
● Bosques ● Sites
● Dominios ● Controladores de dominio
○ Árboles ● Replicación
● DNS ● Distribución de servidores
● Unidades Organizativas
○ GPOs
○ Delegación de control
● Grupos
● Permisos
Diseño lógico
Objetivo:
Realizar el diseño más sencillo que cumpla con las restricciones. Situación
ideal: 1 bosque con 1 dominio. La pregunta es: ¿Nos vale esta solución?
replicación
WAN
WAN
Tenerife Gran
Tenerif Gran
Canaria
e puchero.co Canaria
m puchero.com sancocho.com
Diseño lógico
2. ¿Cuántos dominios? En principio 1, salvo
● Administradores diferentes (no confundir con delegación de control)
● Políticas kerberos diferentes
En nuestro caso:
● 2 dominios
Optimización tráfico de replicación
replicación
WAN
WAN
Tenerife Gran
Tenerif Gran
Canaria
e puchero.co Canaria
m puchero.com sancocho.com
Diseño lógico
Estructura del bosque y espacio de nombres
3. ¿Cuántos árboles?
● Viene dado por los nombres que le vayamos a asignar a los dominios
empresa.co empresa.co
m ? m
3. ¿Cuántos árboles?
●
En nuestro caso 2 árboles:
Viene dado por los nombres que le vayamos a asignar a los dominios
todogofio.com mojopicon.com
Estructura del bosque
empresa.co empresa.co
m ? m
Contabilidad Contabilidad
TF TF
GC GC
LP LP
Producción Producción
TF TF
GC GC
LP LP
GPO1
Comercial Comercial
GPO2
TF TF
GC GC
GPO3
LP LP
Posible diseño
Para la información compartida:
● Compartir la carpeta en el servidor. Asignar permisos compartidos (ej. Todos
control total)
● Crear grupos globales en cada dominio (incluir usuarios)
● Crear grupos locales en dominio donde se encuentra el recurso.
○ Un grupo local por tipo de permiso diferente
● Incluir grupos globales (de los distintos dominios) en los grupos locales
● Asignar permisos NTFS a los grupos locales
● Mapear el recurso compartido para que el usuario tenga acceso.
○ Nombre del recurso \\maquina\recurso\<subdir>
○ Posibilidad de implementar DFS.
Diseño físico
● Sites / Site-links
● Controladores de dominio
● Replicación
● Distribución de servidores
- En principio no guarda relación con el diseño lógico, aunque hay algunas
dependencias.
Sites
● Pueden ser considerados como el conjunto de redes de área local de la
organización (conectadas entre sí por alta velocidad >10Mbps)
● Están conectados entre sí por enlaces de baja velocidad (WAN)
● Optimizan las comunicaciones
Diseño físico
Sites
En nuestro caso tenemos 3 sites: Tenerife, Gran Canaria y La Palma
Site-links
Establece las características de las conexiones entre los sitios. Lo utilliza Active
Directory para optimizar el tráfico de replicación.
El administrador debe indicar sus preferencias.
Por cada site-link, el administrador debe especificar:
● Protocolo para la replicación (IP/SMTP)
● Coste del enlace (número < 32767)
● Horario / frecuencia de replicación
Diseño físico
Site-links
En nuestro caso, como la línea de TF-GC está saturada, podemos hacer:
TF-La Palma
● Protocolo: IP
● Coste: 100
● Planificación: Todo el día/cada 15 minutos
La Palma-Gran Canaria
● Protocolo: IP
● Coste: 200
● Planificación: Todo el día/cada 15 minutos
TF-Gran Canaria
● Protocolo: IP
● Coste: 400
● Planificación: de 17:00 a 08:00 cada 15 minutos
Diseño físico
Servidores
Como norma general, debemos implantar, al menos:
● 1 CD /dominio en cada site
● 1 Catálogo Global en cada site (tiene que ser algún CD de algún dominio del
bosque)
● 1 Servidor DNS/dominio en cada site
● Pueden estar integrados en AD, por lo que puede ser desempeñados por los
CDs elegidos para ello
● Evaluar Delegación de zona
● Un servidor puede gestionar más de un dominio
● Modelo Maestro/secundarios
Diseño físico
CD TG
Posible propuesta: /CG
fileserver.mojopicon.com
CD
MP DNS (M)
TG/MP
CD TG
DNS (S) CD
TG/MP MP
/CG CD
MP
CD TG /CG
TG: todogofio.com
MP: mojopicon.com
CG: Catálogo global
M: Maestro
S: Secundario DNS (S)
TG/MP