¿Está buscando una forma fácil y efectiva de mejorar la administración y gestión de su Active Directory? Una de las mejores formas de lograrlo es eligiendo un nombre de dominio adecuado. En este artículo, le mostraremos cómo elegir el mejor nombre de dominio para su Active Directory y por qué es importante. Siga leyendo para obtener más información.
Es un paso realmente importante en la fase de planificación al considerar qué Active Directory (AD) Nombre de dominio a seleccionar. Esto es especialmente cierto cuando los administradores se encuentran en una situación en la que un mala elección de nombre se hizo y ahora pueden estar considerando un nombre de dominio rebautizar.
eso es realmente mala situacion estar, a pesar de que se admite un cambio de nombre de dominio a partir de AD 2003. En general, hay tres opciones para elegir al decidir qué nombre usar:
- usa lo mismo Nombre de dominio DNS interno y externo (interno/externo: empresa.com).
- Utilice un diferente Nombre de dominio DNS interno y externo (interno: empresa.loc frente a externo: empresa.com)
- Usar un subdominio del nombre de dominio DNS externo para el espacio de nombres interno (interno: int.company.com frente a externo: company.com).
Para este artículo, vamos a suponer que usted decidió Opción 1. Personalmente, considero que la primera opción es la mejor, aunque es la menos recomendada por Microsoft. La razón principal por la que no se recomienda es que si no está muy familiarizado con administración de DNSes posible exponer sus registros de Active Directory a Internet.
Sin embargo, si usted diseñar la infraestructura correctamentebrindará servicios de manera transparente a sus usuarios internos y externos que acceden a los recursos utilizando el mismo nombre de dominio.
Experimenté de primera mano este “te pillé” con mi primera implementación de Active Directory usando el mismo nombre interno y externo. El problema era que los usuarios internos accedían al sitio web de la empresa con el mismo nombre de dominio. Por ejemplo, digamos que el nombre de dominio es “widgets.com”.
Nuestros administradores de DNS correctamente separados el entorno DNS para que una infraestructura DNS externa dedicada admita el tráfico de Internet externo, mientras que la infraestructura DNS interna admite la infraestructura de Active Directory. Sin embargo, cuando los usuarios internos abren un navegador y escriben widgets.comsolo son capaces de acceso la pagina web un cierto porcentaje del tiempo. La mayoría de las veces, los usuarios simplemente obtendrían una “Página no encontrada”.
Mientras investigaba este tema, me di cuenta de que el Controladores de dominio en el dominio widgets.com estaban registrando un “registro principal” en blanco para el nombre de dominio con la dirección IP de cada DC. Este es el comportamiento por defecto de controladores de dominio de Active Directory. Este registro se llama en realidad el LdapIPAddress. Por lo tanto, la zona DNS interna de widgets.com tenía los siguientes registros:
- widgets.com
65.85.0.1(IP pública para sitio web, simplemente un ejemplo) - widgets.com
192.168.0.1 - widgets.com
192.168.0.2 - widgets.com
192.168.0.3 - www.widgets.com
65.85.0.1(IP pública para el sitio web)
Como puede notar en este ejemplo, las IP privadas 192.168.0.1-3 pertenecen a los Controladores de Dominio. El 65.85.0.1 es la IP pública del servidor web externo, creado por el administrador de DNS. En este escenario, cuando llega una solicitud al servidor DNS interno para “widgets.com”, el servidor DNS responde con el 4 registros.
Entonces su navegador se conectaría en el primera IP que resolvió el nombre. En este escenario hipotético, se esperaría que solo el 25% de sus usuarios internos podrían acceder al sitio web (25% debido a la rotación de DNS).
Hay algunas maneras de manejar esta situación:
- Instruya a sus usuarios para que accedan al sitio web utilizando el registro “www” en cambio del nombre de dominio principal.
- Instalar IIS en cada controlador de dominio y redirigir a los usuarios a la página “www”.
- Prevenir los DC de actualizar el
LdapIPAddress.
Educa a tus usuarios
Educar a los usuarios puede ser desafiante de hacer. Además, en entornos más grandes, esta tarea se vuelve demasiado difícil de seguir debido a la rotación de empleados.
Además, los usuarios no técnicos realmente no entienden la diferencia entre https://www.ITGeared.com y https://ITGeared.compor lo que incluso si los educa, lo más probable es que intenten registrar cualquier registro hasta que se muestre una página.
Instalar IIS en DC
El segundo método de instalación de IIS en los DC mitigará fácilmente este problema. El motivo es que si el cliente resuelve el nombre de dominio en las IP de los DC, el el cliente accederá los servicios web instalados en los DC.
Todo lo que tendría que hacer es redirigir el usuario a través de herramientas nativas de IIS o crear una página predeterminada que redirige al usuario mediante programación.
Ediciones del registro
El tercer método puede funcionar muy bien en situaciones en las que políticas de seguridad no permita que IIS se instale en los controladores de dominio. Previniendo el LdapIPAddress registrarse en DNS puede ser una solución fácil.
Pero requiere un entrada manual en el registro de cada controlador de dominio y un entrada manual en DNS para aquellos DC que también son servidores como el servidor de catálogo global. La entrada de registro debe crearse antes de la DCPROMO proceso.
Para prevenir un DC registre el nombre de dominio con su dirección IP, cree un DWORD llamado RegisterDnsARecords en esta ubicación: HKLM\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters
Este DWORD especifica si el controlador de dominio registra registros del sistema de nombres de dominio (DNS) A (dirección) para el dominio. Si el controlador de dominio es un recurso de catálogo globalesta entrada también determina si el controlador de dominio registra registros DNS A para el catálogo global.
A valor de 0 no permitirá que el DC registre estos registros (nombre de dominio y registro GC si corresponde), y un valor de 1 permitirá que el DC registre los registros.
Dado que esto también evita que el DC registre el Registro GC en DNStambién tendrás que crear ese registro a mano en la zona AD DNS. En nuestro ejemplo, este registro sería requerido para cada DC en el que modificó el registro. Supondremos que todos los DC en este ejemplo también son servidores de catálogo global.
gc._msdcs.widgets.com A 192.168.0.1gc._msdcs.widgets.com A 192.168.0.2gc._msdcs.widgets.com A 192.168.0.3
NOTA importante sobre la dirección LdapIPA
Si estás considerando impidiendo este registro de estar registrado en DNS, existen algunas implicaciones que pueden afectar su capacidad para ubicar ciertos servicios en el dominio. Usted debería ser plenamente consciente de cuáles son estas implicaciones y cómo superarlas.
Leer más sobre LdapIPAdress
AD DS: este controlador de dominio debe registrar sus registros de recursos de host DNS (A/AAAA) para el dominio: http://technet.microsoft.com/en-us/library/dd378858(WS.10).aspx
