Mejores prácticas para implementar Active Directory para mejorar UX y reducir costos

Active Directory es uno de los servicios más importantes en su red de Windows y es un requisito para la mayoría de los productos de Microsoft, como Exchange, Skype for Business, System Center y otros servicios relacionados.

Active Directory tiene algunos componentes que vale la pena explorar, así que echemos un vistazo a algunos de estos componentes y brindemos orientación sobre cómo los cambios simples pueden mejorar su experiencia administrativa. Al mismo tiempo, estos cambios reducirán los costos operativos de mantenimiento de Active Directory al crear coherencia entre todos los servidores en el mismo dominio.

Estaremos trabajando en algunas configuraciones y funciones que no están configuradas de forma predeterminada. Servicios y componentes que consideraremos:

  • DNS
  • tiempo de ventanas
  • Modo de recuperación de servicios de directorio
  • política de grupo
  • Cesta
  • Analizador de mejores prácticas
Índice

gestión de DNS

DNS es el servicio principal de Active Directory y requiere una atención especial por parte del administrador de la red. La mejor práctica es asegurarse de que todos sus dispositivos finales (estaciones de trabajo, dispositivos móviles, ordenadors portátiles, dispositivos de red, etc.) usen controladores de dominio locales en la configuración del cliente DNS (nivel de adaptador).

Los controladores de dominio son responsables de permitir que los clientes nombren nombres en línea. Hay varias formas de configurarlos para ayudar con la resolución de DNS, y son las siguientes:

  • Use sugerencias de raíz de Internet y los controladores de dominio almacenarán en caché las consultas y serán responsables de todas las consultas recursivas.
  • Use identificadores DNS en línea para acelerar la resolución de nombres. Podría ser Google DNS (8.8.8.8 o 8.8.4.4) o incluso sus ISP.
  • Use distribuidores de DNS pagos que puedan ayudar con la seguridad (por ejemplo, no permiten que los clientes visiten sitios sospechosos)

De cualquier manera requiere que el administrador configure el archivo Agentes de carga pestaña en las propiedades del servidor al usar el Administrador de DNS en nuevos controladores de dominio. De forma predeterminada, se agregará un controlador de dominio diferente a todos los controladores de dominio nuevos Agentes de carga camino.

Si usa sugerencias de raíz, simplemente elimine todas las entradas enumeradas, y si desea usar Google DNS o identificadores de DNS pagados, agréguelos a la lista.

Gestión del tiempo de Windows

Active Directory depende del tiempo, y todos los clientes, servidores y controladores de dominio necesitan sincronizar el tiempo en segundos. Se recomienda utilizar un controlador de dominio físico ubicado en el sitio principal del dominio/bosque para sincronizar su reloj con los relojes atómicos en Internet mediante el protocolo NTP, y este servidor debe actuar como un PDC (controlador de dominio principal).

Antes de aplicar los siguientes cambios, asegúrese de hablar con el administrador de su firewall y abra el puerto 123 (TCP/UDP) desde su controlador de dominio a Internet.

El primer paso es crear una unidad organizativa (OU) debajo de él. Controladores de dominio y mueva el controlador de dominio que actuará como PDC FSMO (Operación de maestro único flexible). La siguiente imagen muestra la nueva unidad organizativa de PDC para la administración de tiempo de Windows para la función de emulador de PDC.

nueva-pdc-org-unit

El segundo paso es crear una Política de grupo (Configuración de el ordenador> Políticas> Plantillas administrativas> Sistema> Servicio de tiempo de Windows> Proveedores de tiempo) y configurar los ajustes como se muestra en la figura a continuación. En este artículo, usamos un servidor NTP en Canadá (time.nrc.ca), pero buscar un servidor NTP suficiente en su país/región.

sincronización ntp

Una buena forma de comprobar después de aplicar la directiva de grupo a un controlador de dominio que pertenece a una unidad organizativa de PDC es utilizar w32tm / solicitud / estado. El resultado esperado es ver el servidor NTP en la lista Fuente: línea como se muestra en la siguiente figura.

w32tm

Administración de contraseñas de recuperación del servicio de directorio (DSRM).

Durante el proceso de implementación del controlador de dominio, el administrador debe determinar la contraseña de DSRM manualmente. Sin embargo, queremos mantener la coherencia, y esto se vuelve clave si tiene varios sitios en todas partes. Además, no desea compartir esta contraseña con diferentes miembros del equipo si la implementación es descentralizada.

Una buena manera de lograr esto es crear una cuenta de Active Directory y establecer una contraseña segura. En nuestro escenario, crearemos una cuenta llamada svc.dsrm. Esta es una cuenta simple sin configuración especial.

Para mantener la coherencia y mantener su contraseña segura, para cada nuevo controlador de dominio en su entorno, agregue los siguientes pasos y tendrá una sola contraseña en todos los controladores de dominio.

NotaNota: si desea cambiar la contraseña de DSRM más adelante, el método correcto es cambiar la contraseña de la cuenta de Active Directory y realizar el mismo procedimiento en todos los servidores nuevamente.

Ntdsutil
Establecer contraseña dsrm
Sincronizar desde la cuenta de dominio svc.dsrm

contraseña

Gestión de los políticos del grupo

Al usar la Política de grupo, un administrador puede administrar la configuración desde una ubicación central para los usuarios y los objetos de el ordenador en Active Directory.

De manera predeterminada, todas las definiciones de políticas (todas las configuraciones que se abren cuando se usa el Editor de políticas de grupo desde los archivos ADMX) se encuentran en el ordenador local, lo que significa que la coherencia no es la regla, especialmente si el administrador agrega nuevos archivos ADMX a cualquier controlador de dominio dado. .

Cuando editamos cualquier política de grupo e implementamos Plantillas Administrativas, Editor de administración de directivas de grupo hacerle saber de dónde provienen los ajustes. En la imagen a continuación, vemos que esto proviene de una ordenador local.

editor de administración de políticas de grupo

Para mantener la coherencia entre todos los controladores de dominio, podemos configurar un repositorio central que se replicará automáticamente en el dominio de Active Directory. El proceso es simple. El primer paso es crear una carpeta llamada Definiciones de políticas bajo \ patricio.ca SYSVOL patricio.ca Política (reemplace patricio.ca con su nombre de dominio) como se muestra en la imagen a continuación.

archivos de políticas de grupo

El último paso es copiar los archivos locales (C:WindowsPolicyDefinitions) del controlador de dominio a la nueva ubicación. De ahora en adelante, el administrador solo tiene la carpeta PolicyDefinitions para administrar las actualizaciones, y los nuevos archivos admx estarán disponibles automáticamente en todos los controladores de dominio.

Copiando-políticas-admx

Para confirmar el cambio, cierre todas las instancias del Editor de administración de directivas de grupo y luego edite cualquier directiva de grupo existente. En este momento, cuando c Plantillas Administrativas implementado, el mensaje debe ser Definiciones de políticas (archivos ADMX) obtenidas del repositorio central.

política de grupo-tienda central

Gestión de carros

De forma predeterminada, la función Papelera de reciclaje está deshabilitada en los nuevos entornos de Active Directory y requiere al menos la funcionalidad de bosque de Windows Server 2008 R2. Sin embargo, la función Papelera de reciclaje es muy útil porque el administrador puede restaurar usuarios y membresías de grupos, y también tiene una GUI extremadamente fácil de usar.

Para habilitar esta función, abra Centro de administración de Active Directoryseleccione el dominio a la izquierda y luego haga clic en enciende el carro. Aparecerá un cuadro de diálogo de confirmación. Confirme haciendo clic en bien y luego aparecerá otro cuadro de diálogo pidiéndole que actualice; haga clic en bien.

Centro de administración de Active Directory

Después de la actualización, el Centro de administración de Active Directory llamó a un nuevo contenedor Objetos eliminados estará disponible. Haga clic en él y todos los objetos eliminados estarán disponibles (sin embargo, tenga en cuenta que por defecto hay un límite de 20.000 objetos en la lista). El proceso de recuperación es simple. Simplemente haga clic derecho en el objeto deseado y haga clic en Restaurar.

recuperar objetos borrados

Analizador de gestión de mejores prácticas (BPA)

El analizador de mejores prácticas existe en el universo de Exchange desde hace mucho tiempo y se introdujo en Active Directory durante el lanzamiento de Windows Server 2008 y permaneció en Windows Server 2012 R2.

Para comprobar el entorno, abra Administrador del servidorhaga clic en ANUNCIO DS (Ítem 1) y desplácese hacia abajo hasta Analizador de mejores prácticas sección (elemento 2), haga clic en Tareas (elemento 3) y luego Ejecutar un escaneo BPA y esperar a que se complete el proceso. Los resultados para Active Directory se enumerarán en la misma sección (elemento 4).

anuncios

Entonces, ¿cómo es una excelente configuración de Windows Active Directory? Nosotros también lo pensamos. Con cambios menores, hemos trabajado en varios componentes de Active Directory que mantienen la coherencia entre varios controladores de dominio al tiempo que reducen la complejidad de administrar los controladores de dominio de Active Directory.


Artículos de interés

Subir

Si continuas utilizando este sitio aceptas el uso de cookies. Más información