Mejores prácticas para asignar nombres de dominio en Active Directory

No importa si es un administrador nuevo o experimentado, si necesita crear un nuevo dominio de Active Directory, la primera pregunta será: ¿qué debemos usar para el nombre de dominio? En este artículo, analizaremos algunos puntos clave para un administrador de red que planea implementar productos de Microsoft, como Exchange o Skype Empresarial, en un entorno empresarial.

Tienes tres opciones:

  • Opción 1: Utilice un TLD (dominio de nivel superior, también conocido como dominio de enrutamiento) válido registrado en su empresa. Algunos ejemplos de esto son company.ca o company.com;
  • opcion 2: Use un subdominio TLD real que esté registrado para su empresa. Algunos ejemplos incluyen corp.company.ca, ad.company.ca, etc.
  • Opción 3: Use un nombre que no sea TLD (o dominio sin enrutamiento). Por ejemplo, puede usar dominio.local, dominio.int o dominio.corp.

En este artículo, vamos a discutir algunos puntos en los que el nombre Active Directory afectará su entorno de producción. Con base en estas observaciones, puede decidir cuál es la mejor solución para su entorno futuro.

Índice

Acuerdos básicos de nombres de dominio de Active Directory

Cuando creamos el primer controlador de dominio para un nuevo Active Directory, creamos el primer dominio, pero también creamos un bosque que es el límite de seguridad para la organización. Puede agregar varios dominios para facilitar la replicación en el bosque. Un bosque puede ser tan simple como un solo bosque explosivo, pero también puede tener varios árboles con subdominios.

Al implementar el primer dominio/bosque, el administrador tiene la capacidad de determinar el nombre de ese bosque. Esta es una decisión simple que a veces puede pasar desapercibida, pero que puede tener varias implicaciones para el futuro de la organización. Tenga en cuenta que el nombre de NetBIOS se puede definir como parte del mismo proceso de implementación de Active Directory y no debe ser la cadena de inicio del dominio (especialmente para Opción 3), donde ad.patricio.ca tal vez, por ejemplo, NetBIOS Corporate.

Registro de Dominio

No importa qué opción decida el administrador, pero una cosa es segura: la adquisición pública debe registrarse en función del nombre de su empresa. Este es su primer paso y el más importante para construir una base fuerte y sólida para su entorno.

Según el tamaño de su empresa y su crecimiento potencial, debe planificar la configuración de una infraestructura de Active Directory para el futuro. Por ejemplo, diga mi empresa Empresas Patricio y solo operamos en Canadá, pero planeamos tener oficinas en todo el mundo. En ese caso es interesante comprar dominios públicos en todos los países y yo iría más allá y recomendaría un dominio como estándar (quizás .com).

Certificados estatales

Todos los organismos de certificación gubernamentales no aceptan los que no son TLD (Opción 3) o los nombres de NetBIOS en sus certificados, lo que obliga al administrador de la red a usar DNS de cerebro dividido cuando trabaja con un servidor de Exchange (Skype for Business también requiere DNS de cerebro dividido, pero permite una PKI interna para el certificado del servidor). Esto significa que se creará una zona DNS con el mismo nombre en la red interna que la zona DNS pública, y los clientes internos manejarán los registros enumerados en sus servidores DNS internos, y estos registros apuntarán al servidor local. También simplifica el diseño donde usamos el mismo nombre para el servicio para usuarios internos y externos.

En términos de certificado público las opciones no son muchas. El administrador debe utilizar el dominio registrado para solicitar un certificado y contratar servicios para utilizar dicho dominio (por ejemplo, Patricio.com).

Servicios de nombres de dominio (DNS) y diseño de resolución de nombres

DNS es el servicio principal de Active Directory y la clave para todos los demás productos de Microsoft. En la fase anterior, adquirimos nuestros dominios públicos (un verdadero dominio de nivel superior) y la mayoría de los registradores en línea brindan una consola DNS pública para la administración de dominios. Como administradores, podemos mover este dominio a un proveedor de DNS que se especialice en la gestión de zonas DNS, o incluso actualizar a Microsoft Azure / Office 365.

Todas las configuraciones (registros de DNS) creadas en el DNS público estarán disponibles en línea y para los usuarios que no estén conectados. El administrador de DNS público configurará los ajustes para recuperar el correo electrónico de Internet (registros MX) y los servicios de acceso de clientes para aplicaciones web, Skype empresarial, correo web, etc.

Después de todo, los administradores quieren que el trabajo del usuario final sea más fácil y transparente cuando el usuario está en línea o en línea. La mejor manera de lograr esto es usar un nombre para los servicios en ambas ubicaciones. Por ejemplo, webmail.patricio.com ser una URL de correo web para nuestros usuarios finales es mucho mejor que tratar de explicarles lo que deben usar webmail.ad.patricio.com (opcion 2) o webmail.patricio.local (Opción 3) si están dentro de la red, ¿no?

Para simplificar las cosas, debe usar DNS con un cerebro dividido. Cuando usas Opción 1, esto será automático porque la zona de Active Directory tendrá el mismo nombre que el DNS público. Cuando usas opcion 2 o Opción 3, esto requiere la creación de una nueva zona (resaltada en la figura). Podemos ver el DNS y la zona de división adicional del cerebro creada en base al siguiente script.

Configuración del nombre de dominio de Active Directory

Según el diseño de algunas tecnologías de Microsoft (Skype for Business y Exchange, por nombrar algunas), casi se requiere el uso de DNS con cerebros divididos (tenemos algunas soluciones, como zonas precisas. El miembro del personal de MVP, Steve Goodman, escribió cómo configurarlas aquí).

Microsoft Exchange: Se aceptan políticas de dominio y correo electrónico

Cuando implemente el primer servidor de Exchange que prepara una organización de Exchange, el dominio de Active Directory existente será la primera dirección SMTP de la organización como parte de este proceso. Si usamos un TLD válido (Opción 1), no es necesario crear dominios aceptados, configurar políticas de correo electrónico, etc. Todo se configurará automáticamente y todos los buzones nuevos obtendrán la dirección SMTP correcta sin cambios. El siguiente dominio de Active Directory se creó como infralab.org y Exchange eligió este como el dominio predeterminado en se aceptan dominios que también es parte de política de correo electrónico.

Centro de administración de intercambio

Utilizando opcion 2 y Opción 3 requerirá que agregue uno nuevo Dominio aceptadoentonces cambia política de correo electrónico use este nuevo dominio y finalmente elimine el dominio predeterminado creado para la limpieza.

Microsoft Azure y el nombre principal de usuario (UPN)

Al sincronizar directorios entre local y Microsoft Azure Active Directory (AAD), el administrador debe verificar el dominio público en Microsoft Azure y, en base a esto, todas las cuentas que tengan el mismo dominio instalado en su UPN se sincronizarán con Azure Active Directory.

En el pasado, el estándar era la autenticación mediante DOMINIO nombre de usuario, y todavía funciona para aplicaciones internas. Sin embargo, tener SaaS (software como servicio) y Active Directory requiere que use un formato UPN que parece [email protected], Se recomienda el mismo formato al iniciar sesión en Windows, Skype for Business y Exchange (al usar Outlook Anywhere). Al sincronizar con Microsoft Azure Active Directory, el UPN del usuario debe coincidir con el dominio en Microsoft Azure.

Utilizando Opción 1, no hay cambios de configuración adicionales porque el UPN predeterminado será el dominio actual o el nombre de dominio raíz. Cuando usas opcion 2 o Opción 3el administrador debe agregar un dominio válido al archivo Dominio y confianza Active Directoryy luego asegúrese de que todos los usuarios usen un UPN válido en las propiedades de sus usuarios.

actualización válida

Poniendolo todo junto

Supongamos que hemos registrado un dominio patricio.com para nuestra empresa. Al crear un Active Directory, según las opciones discutidas, estos son los elementos que deben tenerse en cuenta para cada opción.

Opción 1: patricio.comOpción 2: ad.patricio.comOpción 3: patricio.local
Registrar una compra públicaDefinitivamente. Dominio registrado Patricio.com.Definitivamente. Dominio registrado Patricio.com.Definitivamente. Dominio registrado Patricio.com.
DNS con un cerebro divididoAutomático. No se requiere ninguna configuración adicional.La zona DNS de Patricio.com debe estar creada en el directorio activo.La zona DNS de Patricio.com debe estar creada en Active Directory.
Certificados públicosDefinitivamente. Utilizará un nombre público.Definitivamente. Utilizará un nombre público.Definitivamente. Utilizará un nombre público.*
La política de dominios aceptados y direcciones de intercambio de correo electrónicoAutomático. No se requiere ninguna configuración adicional.Requiere un nuevo dominio aceptado, un cambio en la política de correo electrónico y la eliminación del dominio predeterminado aceptable.Requiere un nuevo dominio aceptado, un cambio en la política de correo electrónico y la eliminación del dominio predeterminado aceptable.
Directorio activo UPNAutomático. No se requiere ninguna configuración adicional.Se debe agregar un nuevo UPN y todos los usuarios están configurados para usar este nuevo UPN.Se debe agregar un nuevo UPN y todos los usuarios están configurados para usar este nuevo UPN.

* Bueno, no es necesario; sin embargo, se recomienda enfáticamente que utilice un certificado público para implementar Exchange/Skype for Business.

El administrador que crea el nuevo Active Directory debe mirarlo Opción 1opción 2. personalmente, prefiero Opción 1 porque facilita el camino. opción 2 factible, pero su trabajo requiere más cambios en el entorno, y de la lista de tareas pendientes es casi lo mismo que Opción 3.

La conclusión de este artículo es que ha registrado su dominio y luego se ha asegurado de haber configurado su Active Directory para que funcione con la solución que eligió y planea trabajar con todos los demás productos (DNS públicos e internos, certificados, Microsoft Azure, Exchange, Skype Empresarial, etc.).


Si quieres conocer otros artículos similares a Mejores prácticas para asignar nombres de dominio en Active Directory puedes visitar la categoría Tutoriales.

Artículos de interés

Subir

Si continuas utilizando este sitio aceptas el uso de cookies. Más información