Uno de los aspectos importantes cuando se configura o crea por primera vez el dominio de una empresa u organización es aplicar buenas prácticas al ambiente de directorio activo con el fin de garantizar un buen funcionamiento del mismo. No obstante, este artículo tiene la intención de que las recomendaciones indicadas también sean revisadas en ambientes de directorio activo ya existentes. A continuación se indica las recomendaciones:
1. Mantener la simplicidad: es importante mantener las cosas lo más sencillo posible y no buscar de crear complejidades dentro del directorio activo. Sabemos que el directorio activo ofrece muchas bondades y flexibilidades, pero eso no implica que estamos obligados a implementarlas todas. La simplicidad ayuda al mantenimiento del AD, así como la solución de problemas en caso de que aparezcan.
2. Utilizar una topología de sitios apropiado: La simplicidad en la configuración de los sitios de directorio activo también es algo deseable, sin embargo, dependiendo de la complejidad de la organización esto puede cambiar. En empresas pequeñas con una LAN altamente conectada, es posible mantener un solo sitio. No obstante, si la empresa se encuentra dispersa geográficamente con conexiones WAN, seguramente la topología de varios sitios será necesaria. La topología de sitios no representa el tamaño o topología de la red. Cada sitio representa una ubicación lógica de una localidad geográfica donde es necesario tener la presentación de algún o algunos controladores de dominio.
3. Usar controladores de dominio dedicados y al menos dos: no es saludable para un controlador de dominio tener instalado otros roles y servicios que no sean los de directorio activo, ya que puede afectar el rendimiento del equipo, reducir la seguridad y complicar el respaldo y recuperación del servidor. Hay empresas que instalan y configuran otros roles en un controlador de dominio, como lo puede ser: impresión, dhcp, correo, etc. Lo importante es que el controlador de dominio debe estar corriendo en un servidor físico o máquina virtual (es importante leer las consideraciones de instalar un DC en una máquina virtual, http://support.microsoft.com/?id=888794, http://www.microsoft.com/downloads/details.aspx?FamilyID=64db845d-f7a3-4209-8ed2-e261a117fc6b&displaylang=en). De igual manera se recomienda tener al menos dos controladores de dominio por redundancia y alta disponibilidad en caso de fallas.
4. Tener al menos dos DNS: La plataforma de directorio activo depende del servicio de resolución de nombres, el cual es importante, ya que controla la zona del dominio. Por ende, muchas empresas economizan configurando solo un servidor DNS, pero en caso de una falla, el servicio de directorio activo se vería altamente afectado, al igual que los usuarios y servidores. Es necesario, configurar más de un servidor de DNS. En la mayoría de los casos el servicio de directorio activo puede ser combinado con el rol de DNS, lo cual es totalmente válido y recomendado (especialmente si se integra la zona de DNS con el AD).
5. Evitar colocar todos los controladores de dominio en un ambiente virtualizado: la configuración de más de un controlador de dominio como esquema de redundancia y alta disponibilidad es importante y necesario, pero no se debe instalar todos los controladores de dominio en un ambiente virtualizado sobre el mismo servidor físico, ya que si el mismo falla, se verían afectado todas las maquinas virtuales. Es importante tomar en consideración lo mencionado en el punto número 3, así mismo, colocar al menos uno de los controladores de dominio en un servidor físico dedicado.
6. No olvidar y abandonar los roles FSMO: Los roles FSMO (Flexible Single Master Operation) que inicialmente son configurados y asignados al primer controlador de dominio son importantes para el funcionamiento del directorio activo y por ende deben ser consideración para respaldo y configuración. Cuando se poseen más de un controlador de dominio en un mismo sitio, el sitio principal debería alojar dichos roles de manera distribuida entre los controladores de dominio para evitar total afectación en caso de que se encuentre todos en un mismo controlador de dominio. Por ello, se recomienda distribuir los roles de bosque (naming and schema) en un DC y los roles de Dominio (PDC, Infrastructure and RID) en otro DC.
7. Planea tu estructura de dominio y apégate a ella: Cuando el directorio activo es instalado y configurado la estructura del directorio se inicia y manejada cuidadosamente. Sin embargo, con el transcurrir del tiempo, la estructura puede crecer. No sé puede predecir cuánto crecerá la estructura del directorio activo, pero es necesario planificar la misma para tener cierto control de cómo serán utilizada la estructura creada.
8. Definir un plan de administración en sitio antes de iniciar la configuración de los servidores: cuando se configuran los controladores de dominio es importante definir un buen plan de administración, comenzando por preguntarse ¿quién se encargara del directorio activo, personas, equipo u otros? Es necesario definir las responsabilidades y esquemas de delegación antes de completar la configuración de los servidores. Este punto llevara consigo la definición de las políticas de seguridad y los permisos de acuerdo a las responsabilidades definidas.
9. Evitar hacer mayores de cambios de logística: El directorio activo está diseñado para ser extremadamente flexible, permitiendo realizar grandes reestructuraciones sin interrupciones o pérdida de datos. Sin embargo, es recomendable evitar estos cambios mayores sino están justificados, ya que puede traer consecuencias mayores innecesarias. Es importante validar cualquier cambio mayor en un ambiente de laboratorio previamente.
10. Colocar al menos un catálogo global en cada sitio de la topología de directorio activo: Cuando se manejan múltiples sitios en la topología de AD, es recomendable asignar al menos un catálogo global por cada sitio. De esta manera se evita tráfico innecesario entre sitios remoto en búsqueda de información por parte de los clientes.
11. Pensar y diseñar un plan de desastre y recuperación de la plataforma de directorio activo: es importante tomar en consideración que cuando se configura por primera vez el directorio activo, se deben iniciar las primeras actividades para preparar un plan de desastre y recuperación de la plataforma para los distintos escenarios. De esta manera, se podrán realizar simulacros y pruebas para certificar los escenarios considerados.
12. Preparar un ambiente de desarrollo o laboratorio del Directorio Activo: cuando se configura por primera vez un directorio activo, es oportuno preparar un ambiente de laboratorio que sea un replica o casi igual al ambiente de producción, con el fin de probar y certificar cualquier tipo de cambio en la plataforma antes de realizarlo en producción. Este ambiente puede ser virtual.
13. Programar respaldos de la plataforma de Directorio Activo: no se puede pasar por alto realizar el respaldo de los controladores de dominio, una vez que el ambiente de directorio activo empiece a funcionar. Se deben programar los respaldos y certificar los mismos como política de garantía, así como control de calidad.
14. Iniciar las gestiones de monitoreo de la plataforma de directorio activo: para poder tener control de la plataforma y evitar interrupciones que puedan ser prevenidas es necesario utilizar algunas aplicaciones y herramientas para monitorear el funcionamiento del ambiente y evitar acciones reactivas de gran presión.
En esta oportunidad se mencionaron aspectos importantes y relevantes. En próximas entregas se complementara esta información.
