Diseño

No se pueden hacer recomendaciones por este medio. Normalmente el diseño de
AD lleva muchas horas de conversación para obtener los datos necesarios.
El consultor conoce las capacidades, pero no cómo trabaja el negocio;
mientras que el encargado de sistemas conoce cómo trabaja el negocio, pero
no las capacidades.
Además hay que definir los objetivos del negocio, a corto, mediano y largo
plazo.
Resumiendo es un tema largo de conversar, confrontar y definir.

Eso de que "si se fastidia un DC afectaría todo" es una confesión de falta
de conocimientos del tema

Respecto a Exchange va a estar divertido el tema, ya que "un Exchange es un
Forest" y si vas a tener tres...


Guillermo Delprato
MVP - MCT - MCSE
Buenos Aires, Argentina
http://w2k8-server.spaces.live.com

Este mensaje se proporciona "como está" sin garantías de ninguna clase, ni
otorga ningún derecho. Ud. asume los riesgos.
This posting is provide "as is" with no warranties and confers no rights.
You assume all risk for your use.
_____________________


"Antonio Jose" wrote in message
news:

Buenos días a los dos,

Gracias Fernando y gracias Guillermo por vuestras recomendaciones.

La infraestructura quedaría de la siguiente manera:


trust trust
SERVIDORES.LOCAL<-->USUARIOS.LOCAL<-->WORKSTATION.LOCAL
(Windows 2008) (Windows 2008) (Windows 2008)

De tal manera que en el Dominio Servidores tendría solamente los objetos
relacionados
con los servidores de la corporación. El Dominio usuarios estaría formado
por los usuarios
de la corporación o clientes y en el Dominio Worstation estaría compuesto
por todos los pcs de estos usuarios. Cada uno de estos Dominios estarían
relacionados por una relación de confianza bidireccional entre cada uno de
los forests.

De esta manera de pretende que si ocurre algun problema porque alguien
realize alguna tarea de administración inadecuada por ejemplo en usuarios
no
afecte a los servidores de la corporación quedando aislados en su propio
Dominio y asi consecutivamente.

El caso es que si os soy sincero yo tampoco lo veo pero por lo visto tiene
todas las papeletas de que se acepte este diseño, además con todo esto hay
que implementar
Exchange 2007 en la corporación asi que tela.

Se os ocurre otro diseño para proporcionar este aislamiento y conseguir la
esencia del diseño de la muerte , jejeje. Nada de placeholders ni childs
domain, tampoco tener un solo forest y tener tres OUs ya que si se
fastidia
un DC afectaria a todo.

Es complicado lo se pero bueno habra que estudiarlo con detenimiento no?

Saludos.

AJ







"Fernando Reyes [MS MVP]" wrote:

La verdad, este tema huele a recomendaciones "rancias", es decir,
recomendaciones de NT, donde sí se recomendaban dominios separados para
recursos, etc. Pero por experiencia propia te digo que cuando aplicas
técnicas de implantación de dominio NT a Active Directory el resultado es
muy malo. A mí en su día me tocó "heredar" un dominio así montado y me
tocó
remodelarlo completamente, pues todo eran problemas; de hecho, hablé
posteriormente con la persona que lo montó y me dijo que vaya c*g*d*
había
montado, que entonces no sabía de Windows 2000, sólo de NT, y que había
estudiado un curso en el que vio, según progresaba en la formación, como
fue
acumulando, uno tras otro, errores de diseño y de concepto.


Un saludo
Fernando Reyes [MS MVP]
MCSE Windows 2000 / 2003
MCSA Windows Server 2003
http://freyes.svetlian.com
http://urpiano.wordpress.com
RSS: http://urpiano.wordpress.com/feed
freyes.champú@champú.mvps.org
(Aclárate la cabeza si quieres escribirme)


"Guillermo Delprato [MS-MVP]"

escribió en el mensaje de
noticias:
> Algunas aclaraciones si quieres
>
> Si es por seguridad, no veo como pueden separar en dominios diferentes
> a
> Usuarios, Workstations y Servers ¿qué piensan hacer? ¿que los usuarios
> no
> toquen las workstations? ¿que las workstations no autentiquen usuarios
> contra servers?
> :-DDDDDDDDDD
>
> Pídeles a los "consultores" que por lo menos te demuestren que podrían
> estar capacitados. Uno de los elementos para ver si alguien está
> capacitado es tener la certificación correspondiente (aunque eso sólo
> no
> alcanza), por lo menos MCSE en Windows 2003.
>
> Si están certificados por Microsoft lo pueden demostrar fácilmente.
> Todos
> los certificados por Microsoft tenemos un "Transcript" en un sitio
> seguro
> del propio Microsoft, y te pueden dar un "sharing code" para que
> verifiques sus certificaciones y exámenes aprobados
>
>
> Guillermo Delprato
> MVP - MCT - MCSE
> Buenos Aires, Argentina
> http://w2k8-server.spaces.live.com
>
> Este mensaje se proporciona "como está" sin garantías de ninguna clase,
> ni
> otorga ningún derecho. Ud. asume los riesgos.
> This posting is provide "as is" with no warranties and confers no
> rights.
> You assume all risk for your use.
> _____________________
>
>
> "Antonio Jose" wrote in message
> news:
>> Buenas tardes Guillermo,
>>
>> Ante todo gracias por anticipado.
>>
>> Estoy completamente deacuerdo contigo en todo, lo que pasa que se ha
>> recomendado
>> de esta manera para aislar cada uno de los Dominios como método de
>> seguridad
>> y por
>> política de empresa, además ya te digo que los consultores de
>> Microsoft
>> recomendaron
>> esta infraestructura.
>>
>> No obstante yo tambien soy esceptico con todo esto como dicen que "el
>> movimiento se
>> demuestra andando" no tendré ningun reparo en ir contando mis
>> experiencias
>> con este
>> tipo de entorno,
>>
>> Gracias por tú interes, y saludos para Argentina.
>>
>> AJ
>>
>> "Guillermo Delprato [MS-MVP]" wrote:
>>
>>> Ningún "técnico de Microsoft" puede haberte recomendado eso
>>> ¿Técnico de Microsoft de dónde? ¿de la propia Microsoft? ¿alguna
>>> certificación que lo acredite?
>>>
>>> Ese diseño, si se puede llamar así, es lo anti-seguridad que se te
>>> pueda
>>> ocurrir :-)
>>>
>>> Además quisiera saber cómo armar un dominio sólo con usuarios y no
>>> servidores :-DDDD
>>>
>>> Ni aún 5 millones de usuarios de por sí justifican tener más de un
>>> dominio,
>>> ya que si existira un limitador este sería el mismo de todo el bosque
>>> (el
>>> GC)
>>>
>>> Tomando el tema en serio ahora, busca una "consultoría seria". Los
>>> elementos
>>> que justifican un ambiente de varios dominios son pocos y muy
>>> puntuales.
>>> Y
>>> un ambiente de varios Forests/Bosques mucho menos todavía.
>>> Cualquier configuración complicada lo único que hará será complicar
>>> la
>>> administración, bajar la seguridad, y aumentar costos de todo tipo
>>>
>>>
>>> Guillermo Delprato
>>> MVP - MCT - MCSE
>>> Buenos Aires, Argentina
>>> http://w2k8-server.spaces.live.com
>>>
>>> Este mensaje se proporciona "como está" sin garantías de ninguna
>>> clase,
>>> ni
>>> otorga ningún derecho. Ud. asume los riesgos.
>>> This posting is provide "as is" with no warranties and confers no
>>> rights.
>>> You assume all risk for your use.
>>> _____________________
>>>
>>>
>>> "Antonio Jose" wrote in
>>> message
>>> news:
>>> > Buenas tardes Fernando,
>>> >
>>> > Gracias de nuevo por tu ayuda te estoy muy agradecido.
>>> >
>>> > La verdad es que tu explicación me ha aclarado muchas cosas y estoy
>>> > totalmente
>>> > deacuerdo contigo. Segun me comenta mi compañero este diseño lo
>>> > recomendaron
>>> > unos técnicos de Microsoft. Creo que se elijió este diseño por
>>> > temas
>>> > de
>>> > seguridad corporativa, pero aun asi estoy de acuerdo contigo que es
>>> > una
>>> > locura, entonces tu crees que apesar del número tal alto de
>>> > usuarios ,
>>> > objetos,.. sería una buena solución implementar un solo Dominio que
>>> > se
>>> > divida
>>> > a su vez en tres OUs una para workstations, otra para servidores y
>>> > otra
>>> > para
>>> > usuarios no?
>>> >
>>> > Muchas gracias por tu ayuda y saludos.
>>> >
>>> > AJ
>>> >
>>> >
>>> > "Fernando Reyes [MS MVP]" wrote:
>>> >
>>> >> Tampoco tiene sentido lo del placeholder y los dominios hijos.
>>> >>
>>> >> La verdad ¿de dónde se han sacado esa recomendación? Es una
>>> >> auténtica
>>> >> locura
>>> >> y técnicamente no tiene sentido, pues los usuarios y los equipos
>>> >> pertenecen
>>> >> a dominios que existen gracias a servidores. Un dominio de 5000
>>> >> usuarios
>>> >> en
>>> >> sí, no justifica el no ser un único dominio. Ser varios dominios
>>> >> sólo
>>> >> se
>>> >> justifica por motivos de tener diferentes entornos de seguridad,
>>> >> recursos,
>>> >> diferenciaciones, geográficas etc,, y aún así se puede obtener el
>>> >> mismo
>>> >> resultado con un único dominio haciendo una estructura de OUs y
>>> >> delegando
>>> >> la
>>> >> administración, lo que rebaja la complejidad de la administración
>>> >> y
>>> >> la
>>> >> configuración. Montar un Placeholder sólo se justifica si los
>>> >> dominios
>>> >> hijos
>>> >> van a compartir servicios que sean dados por el dominio raíz. Pero
>>> >> lo
>>> >> que
>>> >> es
>>> >> un absurdo completo es pretender tener en un dominio las cuentas
>>> >> de
>>> >> usuario,
>>> >> en otro las de workstations y en otro los servidores, sean estos
>>> >> dominios
>>> >> del mismo o de otro bosque.
>>> >>
>>> >>
>>> >> Un saludo
>>> >> Fernando Reyes [MS MVP]
>>> >> MCSE Windows 2000 / 2003
>>> >> MCSA Windows Server 2003
>>> >> http://freyes.svetlian.com
>>> >> http://urpiano.wordpress.com
>>> >> RSS: http://urpiano.wordpress.com/feed
>>> >> freyes.champú@champú.mvps.org
>>> >> (Aclárate la cabeza si quieres escribirme)
>>> >>
>>> >>
>>> >> "Antonio Jose" escribió en
>>> >> el
>>> >> mensaje de
>>> >> noticias:
>>> >> > Muchas gracias a los dos de ante mano.
>>> >> >
>>> >> > Yo pienso lo mismo que vosotros pero lo que ocurre es que antes
>>> >> > de que entrara en este proyecto se decidió hacerlo asi a mi me
>>> >> > gusta
>>> >> > más la idea de un placeholder y tres dominios hijos. Pero me
>>> >> > gustaria
>>> >> > que puedo argumentar para defender dicha infraestructura
>>> >> > respecto
>>> >> > a la otra, tambien hay que tener en consideración que son +5000
>>> >> > usuarios.
>>> >> >
>>> >> > Saludos.
>>> >> >
>>> >> > AJ
>>> >> >
>>> >> >
>>> >> > "Guillermo Delprato [MS-MVP]" wrote:
>>> >> >
>>> >> >> Antonio Jose, yo te recomendaría que te informes adecuadamente
>>> >> >> qué
>>> >> >> es
>>> >> >> un
>>> >> >> dominio, porque lo que quieres hacer es totalmente imposible.
>>> >> >>
>>> >> >> Diseñar correctamente un AD para 5000 usuarios no es una tarea
>>> >> >> para
>>> >> >> alguien
>>> >> >> sin amplia experiencia en el tema, y para no tener problemas
>>> >> >> posteriormente
>>> >> >> ;-)
>>> >> >>
>>> >> >> Mi consejo es que busques un consultor con experiencia en el
>>> >> >> tema,
>>> >> >> pues
>>> >> >> te
>>> >> >> ahorrarás mucho tiempo y costo.
>>> >> >>
>>> >> >>
>>> >> >> Guillermo Delprato
>>> >> >> MVP - MCT - MCSE
>>> >> >> Buenos Aires, Argentina
>>> >> >> http://w2k8-server.spaces.live.com
>>> >> >>
>>> >> >> Este mensaje se proporciona "como está" sin garantías de
>>> >> >> ninguna
>>> >> >> clase,
>>> >> >> ni
>>> >> >> otorga ningún derecho. Ud. asume los riesgos.
>>> >> >> This posting is provide "as is" with no warranties and confers
>>> >> >> no
>>> >> >> rights.
>>> >> >> You assume all risk for your use.
>>> >> >> _____________________
>>> >> >>
>>> >> >>
>>> >> >> "Antonio Jose" wrote in
>>> >> >> message
>>> >> >> news:
>>> >> >> > Buenos días,
>>> >> >> >
>>> >> >> > Ante todo gracias por anticipado.
>>> >> >> >
>>> >> >> > Tengo que diseñar una infraestructura que tendra más de 5000
>>> >> >> > usuarios,
>>> >> >> > la idea es crear un dominio para los servidores, otro para
>>> >> >> > los
>>> >> >> > usuarios
>>> >> >> > y
>>> >> >> > otro
>>> >> >> > para las worstations. El caso es que a primera instancia se
>>> >> >> > ha
>>> >> >> > planteado
>>> >> >> > diseñar tres forest distintos con una relación de confianza
>>> >> >> > entre
>>> >> >> > ellos
>>> >> >> > porque
>>> >> >> > por lo visto mejora el rendimiento, desde mi punto de vista
>>> >> >> > me
>>> >> >> > convence
>>> >> >> > más
>>> >> >> > diseñar un placeholder y luego tres child domains, uno para
>>> >> >> > servidores,
>>> >> >> > otro
>>> >> >> > para las worstations y otro para los usuarios.
>>> >> >> >
>>> >> >> > Me gustaria saber vuestra opinión acerca de que
>>> >> >> > infraestructura
>>> >> >> > me
>>> >> >> > recomendais
>>> >> >> > a mi particularmente la de tener 3 dominios distintos no me
>>> >> >> > convence,
>>> >> >> > pero
>>> >> >> > por
>>> >> >> > lo visto por temas de rendimiento microsoft la aconseja.
>>> >> >> >
>>> >> >> > Saludos.
>>> >> >> >
>>> >> >> > AJ
>>> >> >>
>>> >> >>
>>> >>
>>>
>>>
>

No sé quién ha decidido eso, pero me parece una locura ¿Qué más da si se
estropea un DC si se tiene más de uno? 5000 usuarios no es un dominio tan
grande como para tener que hacer encaje de bolillos y, de hacerlos, no son
esos encajes lo que se deben hacer. ¿bosques separados con relaciones de
confianza? En todo caso deberían ser dominios dentro del mismo bosque, pero
aún así es una p*t* locura de administrar (solo el implantar GPOs ya es un
dolor de muelas), de hacer que sea seguro (al final habrá usuarios con
derechos a acceder a recursos de tres bosques, no con derechos a acceder a
recursos de un solo bosque y las posibilidades de escalada de privilegios
serán mayores). Luego es gracioso el tema del rendimiento ¡menudo
tráfico de red y tiempo de procesador va ha haber sólo para comprobar
credenciales de usuarios y equipos a la hora de acceder a los recursos de
otro de los bosques! De verdad, sigo intrigado con lo que dices de que lo
recomienda Microsoft, porque me parece un despropósito mayúsculo ¿es algún
documento en concreto o es personal directo de Microsoft o una subcontrata a
otra consultora? Porque más que un Best-Practices parece un
Worst-Practices -(|:o))

Yo empezaría a buscar otro trabajo para no tener que bregar con esa locura
que se va hacer, y que sea otro el que se coma ese marrón -(|:oÞ


Un saludo
Fernando Reyes [MS MVP]
MCSE Windows 2000 / 2003
MCSA Windows Server 2003
http://freyes.svetlian.com
http://urpiano.wordpress.com
RSS: http://urpiano.wordpress.com/feed
freyes.champú@champú.mvps.org
(Aclárate la cabeza si quieres escribirme)


"Antonio Jose" escribió en el
mensaje de noticias:

Buenos días a los dos,

Gracias Fernando y gracias Guillermo por vuestras recomendaciones.

La infraestructura quedaría de la siguiente manera:


trust trust
SERVIDORES.LOCAL<-->USUARIOS.LOCAL<-->WORKSTATION.LOCAL
(Windows 2008) (Windows 2008) (Windows 2008)

De tal manera que en el Dominio Servidores tendría solamente los objetos
relacionados
con los servidores de la corporación. El Dominio usuarios estaría formado
por los usuarios
de la corporación o clientes y en el Dominio Worstation estaría compuesto
por todos los pcs de estos usuarios. Cada uno de estos Dominios estarían
relacionados por una relación de confianza bidireccional entre cada uno de
los forests.

De esta manera de pretende que si ocurre algun problema porque alguien
realize alguna tarea de administración inadecuada por ejemplo en usuarios
no
afecte a los servidores de la corporación quedando aislados en su propio
Dominio y asi consecutivamente.

El caso es que si os soy sincero yo tampoco lo veo pero por lo visto tiene
todas las papeletas de que se acepte este diseño, además con todo esto hay
que implementar
Exchange 2007 en la corporación asi que tela.

Se os ocurre otro diseño para proporcionar este aislamiento y conseguir la
esencia del diseño de la muerte , jejeje. Nada de placeholders ni childs
domain, tampoco tener un solo forest y tener tres OUs ya que si se
fastidia
un DC afectaria a todo.

Es complicado lo se pero bueno habra que estudiarlo con detenimiento no?

Saludos.

AJ







"Fernando Reyes [MS MVP]" wrote:

La verdad, este tema huele a recomendaciones "rancias", es decir,
recomendaciones de NT, donde sí se recomendaban dominios separados para
recursos, etc. Pero por experiencia propia te digo que cuando aplicas
técnicas de implantación de dominio NT a Active Directory el resultado es
muy malo. A mí en su día me tocó "heredar" un dominio así montado y me
tocó
remodelarlo completamente, pues todo eran problemas; de hecho, hablé
posteriormente con la persona que lo montó y me dijo que vaya c*g*d*
había
montado, que entonces no sabía de Windows 2000, sólo de NT, y que había
estudiado un curso en el que vio, según progresaba en la formación, como
fue
acumulando, uno tras otro, errores de diseño y de concepto.


Un saludo
Fernando Reyes [MS MVP]
MCSE Windows 2000 / 2003
MCSA Windows Server 2003
http://freyes.svetlian.com
http://urpiano.wordpress.com
RSS: http://urpiano.wordpress.com/feed
freyes.champú@champú.mvps.org
(Aclárate la cabeza si quieres escribirme)


"Guillermo Delprato [MS-MVP]"

escribió en el mensaje de
noticias:
> Algunas aclaraciones si quieres
>
> Si es por seguridad, no veo como pueden separar en dominios diferentes
> a
> Usuarios, Workstations y Servers ¿qué piensan hacer? ¿que los usuarios
> no
> toquen las workstations? ¿que las workstations no autentiquen usuarios
> contra servers?
> :-DDDDDDDDDD
>
> Pídeles a los "consultores" que por lo menos te demuestren que podrían
> estar capacitados. Uno de los elementos para ver si alguien está
> capacitado es tener la certificación correspondiente (aunque eso sólo
> no
> alcanza), por lo menos MCSE en Windows 2003.
>
> Si están certificados por Microsoft lo pueden demostrar fácilmente.
> Todos
> los certificados por Microsoft tenemos un "Transcript" en un sitio
> seguro
> del propio Microsoft, y te pueden dar un "sharing code" para que
> verifiques sus certificaciones y exámenes aprobados
>
>
> Guillermo Delprato
> MVP - MCT - MCSE
> Buenos Aires, Argentina
> http://w2k8-server.spaces.live.com
>
> Este mensaje se proporciona "como está" sin garantías de ninguna clase,
> ni
> otorga ningún derecho. Ud. asume los riesgos.
> This posting is provide "as is" with no warranties and confers no
> rights.
> You assume all risk for your use.
> _____________________
>
>
> "Antonio Jose" wrote in message
> news:
>> Buenas tardes Guillermo,
>>
>> Ante todo gracias por anticipado.
>>
>> Estoy completamente deacuerdo contigo en todo, lo que pasa que se ha
>> recomendado
>> de esta manera para aislar cada uno de los Dominios como método de
>> seguridad
>> y por
>> política de empresa, además ya te digo que los consultores de
>> Microsoft
>> recomendaron
>> esta infraestructura.
>>
>> No obstante yo tambien soy esceptico con todo esto como dicen que "el
>> movimiento se
>> demuestra andando" no tendré ningun reparo en ir contando mis
>> experiencias
>> con este
>> tipo de entorno,
>>
>> Gracias por tú interes, y saludos para Argentina.
>>
>> AJ
>>
>> "Guillermo Delprato [MS-MVP]" wrote:
>>
>>> Ningún "técnico de Microsoft" puede haberte recomendado eso
>>> ¿Técnico de Microsoft de dónde? ¿de la propia Microsoft? ¿alguna
>>> certificación que lo acredite?
>>>
>>> Ese diseño, si se puede llamar así, es lo anti-seguridad que se te
>>> pueda
>>> ocurrir :-)
>>>
>>> Además quisiera saber cómo armar un dominio sólo con usuarios y no
>>> servidores :-DDDD
>>>
>>> Ni aún 5 millones de usuarios de por sí justifican tener más de un
>>> dominio,
>>> ya que si existira un limitador este sería el mismo de todo el bosque
>>> (el
>>> GC)
>>>
>>> Tomando el tema en serio ahora, busca una "consultoría seria". Los
>>> elementos
>>> que justifican un ambiente de varios dominios son pocos y muy
>>> puntuales.
>>> Y
>>> un ambiente de varios Forests/Bosques mucho menos todavía.
>>> Cualquier configuración complicada lo único que hará será complicar
>>> la
>>> administración, bajar la seguridad, y aumentar costos de todo tipo
>>>
>>>
>>> Guillermo Delprato
>>> MVP - MCT - MCSE
>>> Buenos Aires, Argentina
>>> http://w2k8-server.spaces.live.com
>>>
>>> Este mensaje se proporciona "como está" sin garantías de ninguna
>>> clase,
>>> ni
>>> otorga ningún derecho. Ud. asume los riesgos.
>>> This posting is provide "as is" with no warranties and confers no
>>> rights.
>>> You assume all risk for your use.
>>> _____________________
>>>
>>>
>>> "Antonio Jose" wrote in
>>> message
>>> news:
>>> > Buenas tardes Fernando,
>>> >
>>> > Gracias de nuevo por tu ayuda te estoy muy agradecido.
>>> >
>>> > La verdad es que tu explicación me ha aclarado muchas cosas y estoy
>>> > totalmente
>>> > deacuerdo contigo. Segun me comenta mi compañero este diseño lo
>>> > recomendaron
>>> > unos técnicos de Microsoft. Creo que se elijió este diseño por
>>> > temas
>>> > de
>>> > seguridad corporativa, pero aun asi estoy de acuerdo contigo que es
>>> > una
>>> > locura, entonces tu crees que apesar del número tal alto de
>>> > usuarios ,
>>> > objetos,.. sería una buena solución implementar un solo Dominio que
>>> > se
>>> > divida
>>> > a su vez en tres OUs una para workstations, otra para servidores y
>>> > otra
>>> > para
>>> > usuarios no?
>>> >
>>> > Muchas gracias por tu ayuda y saludos.
>>> >
>>> > AJ
>>> >
>>> >
>>> > "Fernando Reyes [MS MVP]" wrote:
>>> >
>>> >> Tampoco tiene sentido lo del placeholder y los dominios hijos.
>>> >>
>>> >> La verdad ¿de dónde se han sacado esa recomendación? Es una
>>> >> auténtica
>>> >> locura
>>> >> y técnicamente no tiene sentido, pues los usuarios y los equipos
>>> >> pertenecen
>>> >> a dominios que existen gracias a servidores. Un dominio de 5000
>>> >> usuarios
>>> >> en
>>> >> sí, no justifica el no ser un único dominio. Ser varios dominios
>>> >> sólo
>>> >> se
>>> >> justifica por motivos de tener diferentes entornos de seguridad,
>>> >> recursos,
>>> >> diferenciaciones, geográficas etc,, y aún así se puede obtener el
>>> >> mismo
>>> >> resultado con un único dominio haciendo una estructura de OUs y
>>> >> delegando
>>> >> la
>>> >> administración, lo que rebaja la complejidad de la administración
>>> >> y
>>> >> la
>>> >> configuración. Montar un Placeholder sólo se justifica si los
>>> >> dominios
>>> >> hijos
>>> >> van a compartir servicios que sean dados por el dominio raíz. Pero
>>> >> lo
>>> >> que
>>> >> es
>>> >> un absurdo completo es pretender tener en un dominio las cuentas
>>> >> de
>>> >> usuario,
>>> >> en otro las de workstations y en otro los servidores, sean estos
>>> >> dominios
>>> >> del mismo o de otro bosque.
>>> >>
>>> >>
>>> >> Un saludo
>>> >> Fernando Reyes [MS MVP]
>>> >> MCSE Windows 2000 / 2003
>>> >> MCSA Windows Server 2003
>>> >> http://freyes.svetlian.com
>>> >> http://urpiano.wordpress.com
>>> >> RSS: http://urpiano.wordpress.com/feed
>>> >> freyes.champú@champú.mvps.org
>>> >> (Aclárate la cabeza si quieres escribirme)
>>> >>
>>> >>
>>> >> "Antonio Jose" escribió en
>>> >> el
>>> >> mensaje de
>>> >> noticias:
>>> >> > Muchas gracias a los dos de ante mano.
>>> >> >
>>> >> > Yo pienso lo mismo que vosotros pero lo que ocurre es que antes
>>> >> > de que entrara en este proyecto se decidió hacerlo asi a mi me
>>> >> > gusta
>>> >> > más la idea de un placeholder y tres dominios hijos. Pero me
>>> >> > gustaria
>>> >> > que puedo argumentar para defender dicha infraestructura
>>> >> > respecto
>>> >> > a la otra, tambien hay que tener en consideración que son +5000
>>> >> > usuarios.
>>> >> >
>>> >> > Saludos.
>>> >> >
>>> >> > AJ
>>> >> >
>>> >> >
>>> >> > "Guillermo Delprato [MS-MVP]" wrote:
>>> >> >
>>> >> >> Antonio Jose, yo te recomendaría que te informes adecuadamente
>>> >> >> qué
>>> >> >> es
>>> >> >> un
>>> >> >> dominio, porque lo que quieres hacer es totalmente imposible.
>>> >> >>
>>> >> >> Diseñar correctamente un AD para 5000 usuarios no es una tarea
>>> >> >> para
>>> >> >> alguien
>>> >> >> sin amplia experiencia en el tema, y para no tener problemas
>>> >> >> posteriormente
>>> >> >> ;-)
>>> >> >>
>>> >> >> Mi consejo es que busques un consultor con experiencia en el
>>> >> >> tema,
>>> >> >> pues
>>> >> >> te
>>> >> >> ahorrarás mucho tiempo y costo.
>>> >> >>
>>> >> >>
>>> >> >> Guillermo Delprato
>>> >> >> MVP - MCT - MCSE
>>> >> >> Buenos Aires, Argentina
>>> >> >> http://w2k8-server.spaces.live.com
>>> >> >>
>>> >> >> Este mensaje se proporciona "como está" sin garantías de
>>> >> >> ninguna
>>> >> >> clase,
>>> >> >> ni
>>> >> >> otorga ningún derecho. Ud. asume los riesgos.
>>> >> >> This posting is provide "as is" with no warranties and confers
>>> >> >> no
>>> >> >> rights.
>>> >> >> You assume all risk for your use.
>>> >> >> _____________________
>>> >> >>
>>> >> >>
>>> >> >> "Antonio Jose" wrote in
>>> >> >> message
>>> >> >> news:
>>> >> >> > Buenos días,
>>> >> >> >
>>> >> >> > Ante todo gracias por anticipado.
>>> >> >> >
>>> >> >> > Tengo que diseñar una infraestructura que tendra más de 5000
>>> >> >> > usuarios,
>>> >> >> > la idea es crear un dominio para los servidores, otro para
>>> >> >> > los
>>> >> >> > usuarios
>>> >> >> > y
>>> >> >> > otro
>>> >> >> > para las worstations. El caso es que a primera instancia se
>>> >> >> > ha
>>> >> >> > planteado
>>> >> >> > diseñar tres forest distintos con una relación de confianza
>>> >> >> > entre
>>> >> >> > ellos
>>> >> >> > porque
>>> >> >> > por lo visto mejora el rendimiento, desde mi punto de vista
>>> >> >> > me
>>> >> >> > convence
>>> >> >> > más
>>> >> >> > diseñar un placeholder y luego tres child domains, uno para
>>> >> >> > servidores,
>>> >> >> > otro
>>> >> >> > para las worstations y otro para los usuarios.
>>> >> >> >
>>> >> >> > Me gustaria saber vuestra opinión acerca de que
>>> >> >> > infraestructura
>>> >> >> > me
>>> >> >> > recomendais
>>> >> >> > a mi particularmente la de tener 3 dominios distintos no me
>>> >> >> > convence,
>>> >> >> > pero
>>> >> >> > por
>>> >> >> > lo visto por temas de rendimiento microsoft la aconseja.
>>> >> >> >
>>> >> >> > Saludos.
>>> >> >> >
>>> >> >> > AJ
>>> >> >>
>>> >> >>
>>> >>
>>>
>>>
>

Buenos días a los dos,

De nuevo gracias por todo.

El caso es que se quiere implementar Exchange 2007 en el Dominio de los
servidores,
pero el tinglado que se puede montar es considerable, ya de por si me parece
una locura establecer una relación de confianza entre los tres Dominios, para
colmo la idea es por ejemplo intalar el exchange en este Dominio y los
usuarios en el Dominio usuarios y toda relación que tienen entre ellos es un
relación de confianza, si falla la relación de confianza imaginaros que todo
dejaria de funcionar.

La verdad es que me parece una verdadera locura y yo soy unos de los
encargados de montar esa infraestructura y de luego administrarla, creo que
lo voy a flipara porque sigo sin entender tanta complejidad.

Saludos.

AJ









"Fernando Reyes [MS MVP]" wrote:

No sé quién ha decidido eso, pero me parece una locura ¿Qué más da si se
estropea un DC si se tiene más de uno? 5000 usuarios no es un dominio tan
grande como para tener que hacer encaje de bolillos y, de hacerlos, no son
esos encajes lo que se deben hacer. ¿bosques separados con relaciones de
confianza? En todo caso deberían ser dominios dentro del mismo bosque, pero
aún así es una p*t* locura de administrar (solo el implantar GPOs ya es un
dolor de muelas), de hacer que sea seguro (al final habrá usuarios con
derechos a acceder a recursos de tres bosques, no con derechos a acceder a
recursos de un solo bosque y las posibilidades de escalada de privilegios
serán mayores). Luego es gracioso el tema del rendimiento ¡menudo
tráfico de red y tiempo de procesador va ha haber sólo para comprobar
credenciales de usuarios y equipos a la hora de acceder a los recursos de
otro de los bosques! De verdad, sigo intrigado con lo que dices de que lo
recomienda Microsoft, porque me parece un despropósito mayúsculo ¿es algún
documento en concreto o es personal directo de Microsoft o una subcontrata a
otra consultora? Porque más que un Best-Practices parece un
Worst-Practices -(|:o))

Yo empezaría a buscar otro trabajo para no tener que bregar con esa locura
que se va hacer, y que sea otro el que se coma ese marrón -(|:oÞ


Un saludo
Fernando Reyes [MS MVP]
MCSE Windows 2000 / 2003
MCSA Windows Server 2003
http://freyes.svetlian.com
http://urpiano.wordpress.com
RSS: http://urpiano.wordpress.com/feed
freyes.champú@champú.mvps.org
(Aclárate la cabeza si quieres escribirme)


"Antonio Jose" escribió en el
mensaje de noticias:
> Buenos días a los dos,
>
> Gracias Fernando y gracias Guillermo por vuestras recomendaciones.
>
> La infraestructura quedaría de la siguiente manera:
>
>
> trust trust
> SERVIDORES.LOCAL<-->USUARIOS.LOCAL<-->WORKSTATION.LOCAL
> (Windows 2008) (Windows 2008) (Windows 2008)
>
> De tal manera que en el Dominio Servidores tendría solamente los objetos
> relacionados
> con los servidores de la corporación. El Dominio usuarios estaría formado
> por los usuarios
> de la corporación o clientes y en el Dominio Worstation estaría compuesto
> por todos los pcs de estos usuarios. Cada uno de estos Dominios estarían
> relacionados por una relación de confianza bidireccional entre cada uno de
> los forests.
>
> De esta manera de pretende que si ocurre algun problema porque alguien
> realize alguna tarea de administración inadecuada por ejemplo en usuarios
> no
> afecte a los servidores de la corporación quedando aislados en su propio
> Dominio y asi consecutivamente.
>
> El caso es que si os soy sincero yo tampoco lo veo pero por lo visto tiene
> todas las papeletas de que se acepte este diseño, además con todo esto hay
> que implementar
> Exchange 2007 en la corporación asi que tela.
>
> Se os ocurre otro diseño para proporcionar este aislamiento y conseguir la
> esencia del diseño de la muerte , jejeje. Nada de placeholders ni childs
> domain, tampoco tener un solo forest y tener tres OUs ya que si se
> fastidia
> un DC afectaria a todo.
>
> Es complicado lo se pero bueno habra que estudiarlo con detenimiento no?
>
> Saludos.
>
> AJ
>
>
>
>
>
>
>
> "Fernando Reyes [MS MVP]" wrote:
>
>> La verdad, este tema huele a recomendaciones "rancias", es decir,
>> recomendaciones de NT, donde sí se recomendaban dominios separados para
>> recursos, etc. Pero por experiencia propia te digo que cuando aplicas
>> técnicas de implantación de dominio NT a Active Directory el resultado es
>> muy malo. A mí en su día me tocó "heredar" un dominio así montado y me
>> tocó
>> remodelarlo completamente, pues todo eran problemas; de hecho, hablé
>> posteriormente con la persona que lo montó y me dijo que vaya c*g*d*
>> había
>> montado, que entonces no sabía de Windows 2000, sólo de NT, y que había
>> estudiado un curso en el que vio, según progresaba en la formación, como
>> fue
>> acumulando, uno tras otro, errores de diseño y de concepto.
>>
>>
>> Un saludo
>> Fernando Reyes [MS MVP]
>> MCSE Windows 2000 / 2003
>> MCSA Windows Server 2003
>> http://freyes.svetlian.com
>> http://urpiano.wordpress.com
>> RSS: http://urpiano.wordpress.com/feed
>> freyes.champú@champú.mvps.org
>> (Aclárate la cabeza si quieres escribirme)
>>
>>
>> "Guillermo Delprato [MS-MVP]"
>>
>> escribió en el mensaje de
>> noticias:
>> > Algunas aclaraciones si quieres
>> >
>> > Si es por seguridad, no veo como pueden separar en dominios diferentes
>> > a
>> > Usuarios, Workstations y Servers ¿qué piensan hacer? ¿que los usuarios
>> > no
>> > toquen las workstations? ¿que las workstations no autentiquen usuarios
>> > contra servers?
>> > :-DDDDDDDDDD
>> >
>> > Pídeles a los "consultores" que por lo menos te demuestren que podrían
>> > estar capacitados. Uno de los elementos para ver si alguien está
>> > capacitado es tener la certificación correspondiente (aunque eso sólo
>> > no
>> > alcanza), por lo menos MCSE en Windows 2003.
>> >
>> > Si están certificados por Microsoft lo pueden demostrar fácilmente.
>> > Todos
>> > los certificados por Microsoft tenemos un "Transcript" en un sitio
>> > seguro
>> > del propio Microsoft, y te pueden dar un "sharing code" para que
>> > verifiques sus certificaciones y exámenes aprobados
>> >
>> >
>> > Guillermo Delprato
>> > MVP - MCT - MCSE
>> > Buenos Aires, Argentina
>> > http://w2k8-server.spaces.live.com
>> >
>> > Este mensaje se proporciona "como está" sin garantías de ninguna clase,
>> > ni
>> > otorga ningún derecho. Ud. asume los riesgos.
>> > This posting is provide "as is" with no warranties and confers no
>> > rights.
>> > You assume all risk for your use.
>> > _____________________
>> >
>> >
>> > "Antonio Jose" wrote in message
>> > news:
>> >> Buenas tardes Guillermo,
>> >>
>> >> Ante todo gracias por anticipado.
>> >>
>> >> Estoy completamente deacuerdo contigo en todo, lo que pasa que se ha
>> >> recomendado
>> >> de esta manera para aislar cada uno de los Dominios como método de
>> >> seguridad
>> >> y por
>> >> política de empresa, además ya te digo que los consultores de
>> >> Microsoft
>> >> recomendaron
>> >> esta infraestructura.
>> >>
>> >> No obstante yo tambien soy esceptico con todo esto como dicen que "el
>> >> movimiento se
>> >> demuestra andando" no tendré ningun reparo en ir contando mis
>> >> experiencias
>> >> con este
>> >> tipo de entorno,
>> >>
>> >> Gracias por tú interes, y saludos para Argentina.
>> >>
>> >> AJ
>> >>
>> >> "Guillermo Delprato [MS-MVP]" wrote:
>> >>
>> >>> Ningún "técnico de Microsoft" puede haberte recomendado eso
>> >>> ¿Técnico de Microsoft de dónde? ¿de la propia Microsoft? ¿alguna
>> >>> certificación que lo acredite?
>> >>>
>> >>> Ese diseño, si se puede llamar así, es lo anti-seguridad que se te
>> >>> pueda
>> >>> ocurrir :-)
>> >>>
>> >>> Además quisiera saber cómo armar un dominio sólo con usuarios y no
>> >>> servidores :-DDDD
>> >>>
>> >>> Ni aún 5 millones de usuarios de por sí justifican tener más de un
>> >>> dominio,
>> >>> ya que si existira un limitador este sería el mismo de todo el bosque
>> >>> (el
>> >>> GC)
>> >>>
>> >>> Tomando el tema en serio ahora, busca una "consultoría seria". Los
>> >>> elementos
>> >>> que justifican un ambiente de varios dominios son pocos y muy
>> >>> puntuales.
>> >>> Y
>> >>> un ambiente de varios Forests/Bosques mucho menos todavía.
>> >>> Cualquier configuración complicada lo único que hará será complicar
>> >>> la
>> >>> administración, bajar la seguridad, y aumentar costos de todo tipo
>> >>>
>> >>>
>> >>> Guillermo Delprato
>> >>> MVP - MCT - MCSE
>> >>> Buenos Aires, Argentina
>> >>> http://w2k8-server.spaces.live.com
>> >>>
>> >>> Este mensaje se proporciona "como está" sin garantías de ninguna
>> >>> clase,
>> >>> ni
>> >>> otorga ningún derecho. Ud. asume los riesgos.
>> >>> This posting is provide "as is" with no warranties and confers no
>> >>> rights.
>> >>> You assume all risk for your use.
>> >>> _____________________
>> >>>
>> >>>
>> >>> "Antonio Jose" wrote in
>> >>> message
>> >>> news:
>> >>> > Buenas tardes Fernando,
>> >>> >
>> >>> > Gracias de nuevo por tu ayuda te estoy muy agradecido.
>> >>> >
>> >>> > La verdad es que tu explicación me ha aclarado muchas cosas y estoy
>> >>> > totalmente
>> >>> > deacuerdo contigo. Segun me comenta mi compañero este diseño lo
>> >>> > recomendaron
>> >>> > unos técnicos de Microsoft. Creo que se elijió este diseño por
>> >>> > temas
>> >>> > de
>> >>> > seguridad corporativa, pero aun asi estoy de acuerdo contigo que es
>> >>> > una
>> >>> > locura, entonces tu crees que apesar del número tal alto de
>> >>> > usuarios ,
>> >>> > objetos,.. sería una buena solución implementar un solo Dominio que
>> >>> > se
>> >>> > divida
>> >>> > a su vez en tres OUs una para workstations, otra para servidores y
>> >>> > otra
>> >>> > para
>> >>> > usuarios no?
>> >>> >
>> >>> > Muchas gracias por tu ayuda y saludos.
>> >>> >
>> >>> > AJ
>> >>> >
>> >>> >
>> >>> > "Fernando Reyes [MS MVP]" wrote:
>> >>> >
>> >>> >> Tampoco tiene sentido lo del placeholder y los dominios hijos.
>> >>> >>
>> >>> >> La verdad ¿de dónde se han sacado esa recomendación? Es una
>> >>> >> auténtica
>> >>> >> locura
>> >>> >> y técnicamente no tiene sentido, pues los usuarios y los equipos
>> >>> >> pertenecen
>> >>> >> a dominios que existen gracias a servidores. Un dominio de 5000
>> >>> >> usuarios
>> >>> >> en
>> >>> >> sí, no justifica el no ser un único dominio. Ser varios dominios
>> >>> >> sólo
>> >>> >> se
>> >>> >> justifica por motivos de tener diferentes entornos de seguridad,
>> >>> >> recursos,
>> >>> >> diferenciaciones, geográficas etc,, y aún así se puede obtener el
>> >>> >> mismo
>> >>> >> resultado con un único dominio haciendo una estructura de OUs y
>> >>> >> delegando
>> >>> >> la
>> >>> >> administración, lo que rebaja la complejidad de la administración
>> >>> >> y
>> >>> >> la
>> >>> >> configuración. Montar un Placeholder sólo se justifica si los
>> >>> >> dominios
>> >>> >> hijos
>> >>> >> van a compartir servicios que sean dados por el dominio raíz. Pero
>> >>> >> lo
>> >>> >> que
>> >>> >> es
>> >>> >> un absurdo completo es pretender tener en un dominio las cuentas
>> >>> >> de
>> >>> >> usuario,
>> >>> >> en otro las de workstations y en otro los servidores, sean estos
>> >>> >> dominios
>> >>> >> del mismo o de otro bosque.
>> >>> >>

Como te decía Guillermo, Exchange 2007 requiere que los buzones sean de
usuario DEL MISMO BOSQUE, por lo que cada vez que un usuario sea dado de
alta en el dominio de usuario, tendrá que ser dado de alta también en el
dominio de servidores, por lo que esa "estructura" (no creo ni que merezca
ese nombre) no se justifica porque se quiera implantar Exchange 2007.

Recurriendo a una expresión muy de moda "la van a liar parda". -(|:oÞ

En serio, si te va tocar administrar eso, búscate otro curro o cómprate un
camión de ALMAX y otro Valium (y cuidado, lo mismo acabas teniendo que
comprarte también un camión de V 1 @ G R @) -(|:oÞ


Un saludo
Fernando Reyes [MS MVP]
MCSE Windows 2000 / 2003
MCSA Windows Server 2003
http://freyes.svetlian.com
http://urpiano.wordpress.com
RSS: http://urpiano.wordpress.com/feed
freyes.champú@champú.mvps.org
(Aclárate la cabeza si quieres escribirme)


"Antonio Jose" escribió en el
mensaje de noticias:

Buenos días a los dos,

De nuevo gracias por todo.

El caso es que se quiere implementar Exchange 2007 en el Dominio de los
servidores,
pero el tinglado que se puede montar es considerable, ya de por si me
parece
una locura establecer una relación de confianza entre los tres Dominios,
para
colmo la idea es por ejemplo intalar el exchange en este Dominio y los
usuarios en el Dominio usuarios y toda relación que tienen entre ellos es
un
relación de confianza, si falla la relación de confianza imaginaros que
todo
dejaria de funcionar.

La verdad es que me parece una verdadera locura y yo soy unos de los
encargados de montar esa infraestructura y de luego administrarla, creo
que
lo voy a flipara porque sigo sin entender tanta complejidad.

Saludos.

AJ









"Fernando Reyes [MS MVP]" wrote:

No sé quién ha decidido eso, pero me parece una locura ¿Qué más da si se
estropea un DC si se tiene más de uno? 5000 usuarios no es un dominio tan
grande como para tener que hacer encaje de bolillos y, de hacerlos, no
son
esos encajes lo que se deben hacer. ¿bosques separados con relaciones de
confianza? En todo caso deberían ser dominios dentro del mismo bosque,
pero
aún así es una p*t* locura de administrar (solo el implantar GPOs ya es
un
dolor de muelas), de hacer que sea seguro (al final habrá usuarios con
derechos a acceder a recursos de tres bosques, no con derechos a acceder
a
recursos de un solo bosque y las posibilidades de escalada de privilegios
serán mayores). Luego es gracioso el tema del rendimiento ¡menudo
tráfico de red y tiempo de procesador va ha haber sólo para comprobar
credenciales de usuarios y equipos a la hora de acceder a los recursos de
otro de los bosques! De verdad, sigo intrigado con lo que dices de que lo
recomienda Microsoft, porque me parece un despropósito mayúsculo ¿es
algún
documento en concreto o es personal directo de Microsoft o una
subcontrata a
otra consultora? Porque más que un Best-Practices parece un
Worst-Practices -(|:o))

Yo empezaría a buscar otro trabajo para no tener que bregar con esa
locura
que se va hacer, y que sea otro el que se coma ese marrón -(|:oÞ


Un saludo
Fernando Reyes [MS MVP]
MCSE Windows 2000 / 2003
MCSA Windows Server 2003
http://freyes.svetlian.com
http://urpiano.wordpress.com
RSS: http://urpiano.wordpress.com/feed
freyes.champú@champú.mvps.org
(Aclárate la cabeza si quieres escribirme)


"Antonio Jose" escribió en el
mensaje de noticias:
> Buenos días a los dos,
>
> Gracias Fernando y gracias Guillermo por vuestras recomendaciones.
>
> La infraestructura quedaría de la siguiente manera:
>
>
> trust
> trust
> SERVIDORES.LOCAL<-->USUARIOS.LOCAL<-->WORKSTATION.LOCAL
> (Windows 2008) (Windows 2008) (Windows
> 2008)
>
> De tal manera que en el Dominio Servidores tendría solamente los
> objetos
> relacionados
> con los servidores de la corporación. El Dominio usuarios estaría
> formado
> por los usuarios
> de la corporación o clientes y en el Dominio Worstation estaría
> compuesto
> por todos los pcs de estos usuarios. Cada uno de estos Dominios
> estarían
> relacionados por una relación de confianza bidireccional entre cada uno
> de
> los forests.
>
> De esta manera de pretende que si ocurre algun problema porque alguien
> realize alguna tarea de administración inadecuada por ejemplo en
> usuarios
> no
> afecte a los servidores de la corporación quedando aislados en su
> propio
> Dominio y asi consecutivamente.
>
> El caso es que si os soy sincero yo tampoco lo veo pero por lo visto
> tiene
> todas las papeletas de que se acepte este diseño, además con todo esto
> hay
> que implementar
> Exchange 2007 en la corporación asi que tela.
>
> Se os ocurre otro diseño para proporcionar este aislamiento y conseguir
> la
> esencia del diseño de la muerte , jejeje. Nada de placeholders ni
> childs
> domain, tampoco tener un solo forest y tener tres OUs ya que si se
> fastidia
> un DC afectaria a todo.
>
> Es complicado lo se pero bueno habra que estudiarlo con detenimiento
> no?
>
> Saludos.
>
> AJ
>
>
>
>
>
>
>
> "Fernando Reyes [MS MVP]" wrote:
>
>> La verdad, este tema huele a recomendaciones "rancias", es decir,
>> recomendaciones de NT, donde sí se recomendaban dominios separados
>> para
>> recursos, etc. Pero por experiencia propia te digo que cuando aplicas
>> técnicas de implantación de dominio NT a Active Directory el resultado
>> es
>> muy malo. A mí en su día me tocó "heredar" un dominio así montado y me
>> tocó
>> remodelarlo completamente, pues todo eran problemas; de hecho, hablé
>> posteriormente con la persona que lo montó y me dijo que vaya c*g*d*
>> había
>> montado, que entonces no sabía de Windows 2000, sólo de NT, y que
>> había
>> estudiado un curso en el que vio, según progresaba en la formación,
>> como
>> fue
>> acumulando, uno tras otro, errores de diseño y de concepto.
>>
>>
>> Un saludo
>> Fernando Reyes [MS MVP]
>> MCSE Windows 2000 / 2003
>> MCSA Windows Server 2003
>> http://freyes.svetlian.com
>> http://urpiano.wordpress.com
>> RSS: http://urpiano.wordpress.com/feed
>> freyes.champú@champú.mvps.org
>> (Aclárate la cabeza si quieres escribirme)
>>
>>
>> "Guillermo Delprato [MS-MVP]"
>>
>> escribió en el mensaje de
>> noticias:
>> > Algunas aclaraciones si quieres
>> >
>> > Si es por seguridad, no veo como pueden separar en dominios
>> > diferentes
>> > a
>> > Usuarios, Workstations y Servers ¿qué piensan hacer? ¿que los
>> > usuarios
>> > no
>> > toquen las workstations? ¿que las workstations no autentiquen
>> > usuarios
>> > contra servers?
>> > :-DDDDDDDDDD
>> >
>> > Pídeles a los "consultores" que por lo menos te demuestren que
>> > podrían
>> > estar capacitados. Uno de los elementos para ver si alguien está
>> > capacitado es tener la certificación correspondiente (aunque eso
>> > sólo
>> > no
>> > alcanza), por lo menos MCSE en Windows 2003.
>> >
>> > Si están certificados por Microsoft lo pueden demostrar fácilmente.
>> > Todos
>> > los certificados por Microsoft tenemos un "Transcript" en un sitio
>> > seguro
>> > del propio Microsoft, y te pueden dar un "sharing code" para que
>> > verifiques sus certificaciones y exámenes aprobados
>> >
>> >
>> > Guillermo Delprato
>> > MVP - MCT - MCSE
>> > Buenos Aires, Argentina
>> > http://w2k8-server.spaces.live.com
>> >
>> > Este mensaje se proporciona "como está" sin garantías de ninguna
>> > clase,
>> > ni
>> > otorga ningún derecho. Ud. asume los riesgos.
>> > This posting is provide "as is" with no warranties and confers no
>> > rights.
>> > You assume all risk for your use.
>> > _____________________
>> >
>> >
>> > "Antonio Jose" wrote in
>> > message
>> > news:
>> >> Buenas tardes Guillermo,
>> >>
>> >> Ante todo gracias por anticipado.
>> >>
>> >> Estoy completamente deacuerdo contigo en todo, lo que pasa que se
>> >> ha
>> >> recomendado
>> >> de esta manera para aislar cada uno de los Dominios como método de
>> >> seguridad
>> >> y por
>> >> política de empresa, además ya te digo que los consultores de
>> >> Microsoft
>> >> recomendaron
>> >> esta infraestructura.
>> >>
>> >> No obstante yo tambien soy esceptico con todo esto como dicen que
>> >> "el
>> >> movimiento se
>> >> demuestra andando" no tendré ningun reparo en ir contando mis
>> >> experiencias
>> >> con este
>> >> tipo de entorno,
>> >>
>> >> Gracias por tú interes, y saludos para Argentina.
>> >>
>> >> AJ
>> >>
>> >> "Guillermo Delprato [MS-MVP]" wrote:
>> >>
>> >>> Ningún "técnico de Microsoft" puede haberte recomendado eso
>> >>> ¿Técnico de Microsoft de dónde? ¿de la propia Microsoft? ¿alguna
>> >>> certificación que lo acredite?
>> >>>
>> >>> Ese diseño, si se puede llamar así, es lo anti-seguridad que se te
>> >>> pueda
>> >>> ocurrir :-)
>> >>>
>> >>> Además quisiera saber cómo armar un dominio sólo con usuarios y no
>> >>> servidores :-DDDD
>> >>>
>> >>> Ni aún 5 millones de usuarios de por sí justifican tener más de un
>> >>> dominio,
>> >>> ya que si existira un limitador este sería el mismo de todo el
>> >>> bosque
>> >>> (el
>> >>> GC)
>> >>>
>> >>> Tomando el tema en serio ahora, busca una "consultoría seria". Los
>> >>> elementos
>> >>> que justifican un ambiente de varios dominios son pocos y muy
>> >>> puntuales.
>> >>> Y
>> >>> un ambiente de varios Forests/Bosques mucho menos todavía.
>> >>> Cualquier configuración complicada lo único que hará será
>> >>> complicar
>> >>> la
>> >>> administración, bajar la seguridad, y aumentar costos de todo tipo
>> >>>
>> >>>
>> >>> Guillermo Delprato
>> >>> MVP - MCT - MCSE
>> >>> Buenos Aires, Argentina
>> >>> http://w2k8-server.spaces.live.com
>> >>>
>> >>> Este mensaje se proporciona "como está" sin garantías de ninguna
>> >>> clase,
>> >>> ni
>> >>> otorga ningún derecho. Ud. asume los riesgos.
>> >>> This posting is provide "as is" with no warranties and confers no
>> >>> rights.
>> >>> You assume all risk for your use.
>> >>> _____________________
>> >>>
>> >>>
>> >>> "Antonio Jose" wrote in
>> >>> message
>> >>> news:
>> >>> > Buenas tardes Fernando,
>> >>> >
>> >>> > Gracias de nuevo por tu ayuda te estoy muy agradecido.
>> >>> >
>> >>> > La verdad es que tu explicación me ha aclarado muchas cosas y
>> >>> > estoy
>> >>> > totalmente
>> >>> > deacuerdo contigo. Segun me comenta mi compañero este diseño lo
>> >>> > recomendaron
>> >>> > unos técnicos de Microsoft. Creo que se elijió este diseño por
>> >>> > temas
>> >>> > de
>> >>> > seguridad corporativa, pero aun asi estoy de acuerdo contigo que
>> >>> > es
>> >>> > una
>> >>> > locura, entonces tu crees que apesar del número tal alto de
>> >>> > usuarios ,
>> >>> > objetos,.. sería una buena solución implementar un solo Dominio
>> >>> > que
>> >>> > se
>> >>> > divida
>> >>> > a su vez en tres OUs una para workstations, otra para servidores
>> >>> > y
>> >>> > otra
>> >>> > para
>> >>> > usuarios no?
>> >>> >
>> >>> > Muchas gracias por tu ayuda y saludos.
>> >>> >
>> >>> > AJ
>> >>> >
>> >>> >
>> >>> > "Fernando Reyes [MS MVP]" wrote:
>> >>> >
>> >>> >> Tampoco tiene sentido lo del placeholder y los dominios hijos.
>> >>> >>
>> >>> >> La verdad ¿de dónde se han sacado esa recomendación? Es una
>> >>> >> auténtica
>> >>> >> locura
>> >>> >> y técnicamente no tiene sentido, pues los usuarios y los
>> >>> >> equipos
>> >>> >> pertenecen
>> >>> >> a dominios que existen gracias a servidores. Un dominio de 5000
>> >>> >> usuarios
>> >>> >> en
>> >>> >> sí, no justifica el no ser un único dominio. Ser varios
>> >>> >> dominios
>> >>> >> sólo
>> >>> >> se
>> >>> >> justifica por motivos de tener diferentes entornos de
>> >>> >> seguridad,
>> >>> >> recursos,
>> >>> >> diferenciaciones, geográficas etc,, y aún así se puede obtener
>> >>> >> el
>> >>> >> mismo
>> >>> >> resultado con un único dominio haciendo una estructura de OUs y
>> >>> >> delegando
>> >>> >> la
>> >>> >> administración, lo que rebaja la complejidad de la
>> >>> >> administración
>> >>> >> y
>> >>> >> la
>> >>> >> configuración. Montar un Placeholder sólo se justifica si los
>> >>> >> dominios
>> >>> >> hijos
>> >>> >> van a compartir servicios que sean dados por el dominio raíz.
>> >>> >> Pero
>> >>> >> lo
>> >>> >> que
>> >>> >> es
>> >>> >> un absurdo completo es pretender tener en un dominio las
>> >>> >> cuentas
>> >>> >> de
>> >>> >> usuario,
>> >>> >> en otro las de workstations y en otro los servidores, sean
>> >>> >> estos
>> >>> >> dominios
>> >>> >> del mismo o de otro bosque.
>> >>> >>

Socio, yo reitero también lo que te han dicho ya Fernando y Guillermo; los
consultores que te han hecho ese "des-diseño" no tienen idea alguna de
infraestructuras de Windows...

Sinceramente, a menos que te den un motivo para montarlo así -cosa que no
han hecho, lo que comentas que te dicen por mejorar rendimiento es una
soberana memez- yo directamente les mandaba ya a tomar vientos, no creo que
estés para perder el tiempo con gente de ese calado que lo único que te van
a ocasionar son problemas.

Salu2!!
Javier Inglés
https://mvp.support.microsoft.com/p...B5567431B0
MS MVP, Windows Server-Directory Services



"Antonio Jose" escribió en el
mensaje news:

Buenos días a los dos,

De nuevo gracias por todo.

El caso es que se quiere implementar Exchange 2007 en el Dominio de los
servidores,
pero el tinglado que se puede montar es considerable, ya de por si me
parece
una locura establecer una relación de confianza entre los tres Dominios,
para
colmo la idea es por ejemplo intalar el exchange en este Dominio y los
usuarios en el Dominio usuarios y toda relación que tienen entre ellos es
un
relación de confianza, si falla la relación de confianza imaginaros que
todo
dejaria de funcionar.

La verdad es que me parece una verdadera locura y yo soy unos de los
encargados de montar esa infraestructura y de luego administrarla, creo
que
lo voy a flipara porque sigo sin entender tanta complejidad.

Saludos.

AJ









"Fernando Reyes [MS MVP]" wrote:

No sé quién ha decidido eso, pero me parece una locura ¿Qué más da si se
estropea un DC si se tiene más de uno? 5000 usuarios no es un dominio tan
grande como para tener que hacer encaje de bolillos y, de hacerlos, no
son
esos encajes lo que se deben hacer. ¿bosques separados con relaciones de
confianza? En todo caso deberían ser dominios dentro del mismo bosque,
pero
aún así es una p*t* locura de administrar (solo el implantar GPOs ya es
un
dolor de muelas), de hacer que sea seguro (al final habrá usuarios con
derechos a acceder a recursos de tres bosques, no con derechos a acceder
a
recursos de un solo bosque y las posibilidades de escalada de privilegios
serán mayores). Luego es gracioso el tema del rendimiento ¡menudo
tráfico de red y tiempo de procesador va ha haber sólo para comprobar
credenciales de usuarios y equipos a la hora de acceder a los recursos de
otro de los bosques! De verdad, sigo intrigado con lo que dices de que lo
recomienda Microsoft, porque me parece un despropósito mayúsculo ¿es
algún
documento en concreto o es personal directo de Microsoft o una
subcontrata a
otra consultora? Porque más que un Best-Practices parece un
Worst-Practices -(|:o))

Yo empezaría a buscar otro trabajo para no tener que bregar con esa
locura
que se va hacer, y que sea otro el que se coma ese marrón -(|:oÞ


Un saludo
Fernando Reyes [MS MVP]
MCSE Windows 2000 / 2003
MCSA Windows Server 2003
http://freyes.svetlian.com
http://urpiano.wordpress.com
RSS: http://urpiano.wordpress.com/feed
freyes.champú@champú.mvps.org
(Aclárate la cabeza si quieres escribirme)


"Antonio Jose" escribió en el
mensaje de noticias:
> Buenos días a los dos,
>
> Gracias Fernando y gracias Guillermo por vuestras recomendaciones.
>
> La infraestructura quedaría de la siguiente manera:
>
>
> trust
> trust
> SERVIDORES.LOCAL<-->USUARIOS.LOCAL<-->WORKSTATION.LOCAL
> (Windows 2008) (Windows 2008) (Windows
> 2008)
>
> De tal manera que en el Dominio Servidores tendría solamente los
> objetos
> relacionados
> con los servidores de la corporación. El Dominio usuarios estaría
> formado
> por los usuarios
> de la corporación o clientes y en el Dominio Worstation estaría
> compuesto
> por todos los pcs de estos usuarios. Cada uno de estos Dominios
> estarían
> relacionados por una relación de confianza bidireccional entre cada uno
> de
> los forests.
>
> De esta manera de pretende que si ocurre algun problema porque alguien
> realize alguna tarea de administración inadecuada por ejemplo en
> usuarios
> no
> afecte a los servidores de la corporación quedando aislados en su
> propio
> Dominio y asi consecutivamente.
>
> El caso es que si os soy sincero yo tampoco lo veo pero por lo visto
> tiene
> todas las papeletas de que se acepte este diseño, además con todo esto
> hay
> que implementar
> Exchange 2007 en la corporación asi que tela.
>
> Se os ocurre otro diseño para proporcionar este aislamiento y conseguir
> la
> esencia del diseño de la muerte , jejeje. Nada de placeholders ni
> childs
> domain, tampoco tener un solo forest y tener tres OUs ya que si se
> fastidia
> un DC afectaria a todo.
>
> Es complicado lo se pero bueno habra que estudiarlo con detenimiento
> no?
>
> Saludos.
>
> AJ
>
>
>
>
>
>
>
> "Fernando Reyes [MS MVP]" wrote:
>
>> La verdad, este tema huele a recomendaciones "rancias", es decir,
>> recomendaciones de NT, donde sí se recomendaban dominios separados
>> para
>> recursos, etc. Pero por experiencia propia te digo que cuando aplicas
>> técnicas de implantación de dominio NT a Active Directory el resultado
>> es
>> muy malo. A mí en su día me tocó "heredar" un dominio así montado y me
>> tocó
>> remodelarlo completamente, pues todo eran problemas; de hecho, hablé
>> posteriormente con la persona que lo montó y me dijo que vaya c*g*d*
>> había
>> montado, que entonces no sabía de Windows 2000, sólo de NT, y que
>> había
>> estudiado un curso en el que vio, según progresaba en la formación,
>> como
>> fue
>> acumulando, uno tras otro, errores de diseño y de concepto.
>>
>>
>> Un saludo
>> Fernando Reyes [MS MVP]
>> MCSE Windows 2000 / 2003
>> MCSA Windows Server 2003
>> http://freyes.svetlian.com
>> http://urpiano.wordpress.com
>> RSS: http://urpiano.wordpress.com/feed
>> freyes.champú@champú.mvps.org
>> (Aclárate la cabeza si quieres escribirme)
>>
>>
>> "Guillermo Delprato [MS-MVP]"
>>
>> escribió en el mensaje de
>> noticias:
>> > Algunas aclaraciones si quieres
>> >
>> > Si es por seguridad, no veo como pueden separar en dominios
>> > diferentes
>> > a
>> > Usuarios, Workstations y Servers ¿qué piensan hacer? ¿que los
>> > usuarios
>> > no
>> > toquen las workstations? ¿que las workstations no autentiquen
>> > usuarios
>> > contra servers?
>> > :-DDDDDDDDDD
>> >
>> > Pídeles a los "consultores" que por lo menos te demuestren que
>> > podrían
>> > estar capacitados. Uno de los elementos para ver si alguien está
>> > capacitado es tener la certificación correspondiente (aunque eso
>> > sólo
>> > no
>> > alcanza), por lo menos MCSE en Windows 2003.
>> >
>> > Si están certificados por Microsoft lo pueden demostrar fácilmente.
>> > Todos
>> > los certificados por Microsoft tenemos un "Transcript" en un sitio
>> > seguro
>> > del propio Microsoft, y te pueden dar un "sharing code" para que
>> > verifiques sus certificaciones y exámenes aprobados
>> >
>> >
>> > Guillermo Delprato
>> > MVP - MCT - MCSE
>> > Buenos Aires, Argentina
>> > http://w2k8-server.spaces.live.com
>> >
>> > Este mensaje se proporciona "como está" sin garantías de ninguna
>> > clase,
>> > ni
>> > otorga ningún derecho. Ud. asume los riesgos.
>> > This posting is provide "as is" with no warranties and confers no
>> > rights.
>> > You assume all risk for your use.
>> > _____________________
>> >
>> >
>> > "Antonio Jose" wrote in
>> > message
>> > news:
>> >> Buenas tardes Guillermo,
>> >>
>> >> Ante todo gracias por anticipado.
>> >>
>> >> Estoy completamente deacuerdo contigo en todo, lo que pasa que se
>> >> ha
>> >> recomendado
>> >> de esta manera para aislar cada uno de los Dominios como método de
>> >> seguridad
>> >> y por
>> >> política de empresa, además ya te digo que los consultores de
>> >> Microsoft
>> >> recomendaron
>> >> esta infraestructura.
>> >>
>> >> No obstante yo tambien soy esceptico con todo esto como dicen que
>> >> "el
>> >> movimiento se
>> >> demuestra andando" no tendré ningun reparo en ir contando mis
>> >> experiencias
>> >> con este
>> >> tipo de entorno,
>> >>
>> >> Gracias por tú interes, y saludos para Argentina.
>> >>
>> >> AJ
>> >>
>> >> "Guillermo Delprato [MS-MVP]" wrote:
>> >>
>> >>> Ningún "técnico de Microsoft" puede haberte recomendado eso
>> >>> ¿Técnico de Microsoft de dónde? ¿de la propia Microsoft? ¿alguna
>> >>> certificación que lo acredite?
>> >>>
>> >>> Ese diseño, si se puede llamar así, es lo anti-seguridad que se te
>> >>> pueda
>> >>> ocurrir :-)
>> >>>
>> >>> Además quisiera saber cómo armar un dominio sólo con usuarios y no
>> >>> servidores :-DDDD
>> >>>
>> >>> Ni aún 5 millones de usuarios de por sí justifican tener más de un
>> >>> dominio,
>> >>> ya que si existira un limitador este sería el mismo de todo el
>> >>> bosque
>> >>> (el
>> >>> GC)
>> >>>
>> >>> Tomando el tema en serio ahora, busca una "consultoría seria". Los
>> >>> elementos
>> >>> que justifican un ambiente de varios dominios son pocos y muy
>> >>> puntuales.
>> >>> Y
>> >>> un ambiente de varios Forests/Bosques mucho menos todavía.
>> >>> Cualquier configuración complicada lo único que hará será
>> >>> complicar
>> >>> la
>> >>> administración, bajar la seguridad, y aumentar costos de todo tipo
>> >>>
>> >>>
>> >>> Guillermo Delprato
>> >>> MVP - MCT - MCSE
>> >>> Buenos Aires, Argentina
>> >>> http://w2k8-server.spaces.live.com
>> >>>
>> >>> Este mensaje se proporciona "como está" sin garantías de ninguna
>> >>> clase,
>> >>> ni
>> >>> otorga ningún derecho. Ud. asume los riesgos.
>> >>> This posting is provide "as is" with no warranties and confers no
>> >>> rights.
>> >>> You assume all risk for your use.
>> >>> _____________________
>> >>>
>> >>>
>> >>> "Antonio Jose" wrote in
>> >>> message
>> >>> news:
>> >>> > Buenas tardes Fernando,
>> >>> >
>> >>> > Gracias de nuevo por tu ayuda te estoy muy agradecido.
>> >>> >
>> >>> > La verdad es que tu explicación me ha aclarado muchas cosas y
>> >>> > estoy
>> >>> > totalmente
>> >>> > deacuerdo contigo. Segun me comenta mi compañero este diseño lo
>> >>> > recomendaron
>> >>> > unos técnicos de Microsoft. Creo que se elijió este diseño por
>> >>> > temas
>> >>> > de
>> >>> > seguridad corporativa, pero aun asi estoy de acuerdo contigo que
>> >>> > es
>> >>> > una
>> >>> > locura, entonces tu crees que apesar del número tal alto de
>> >>> > usuarios ,
>> >>> > objetos,.. sería una buena solución implementar un solo Dominio
>> >>> > que
>> >>> > se
>> >>> > divida
>> >>> > a su vez en tres OUs una para workstations, otra para servidores
>> >>> > y
>> >>> > otra
>> >>> > para
>> >>> > usuarios no?
>> >>> >
>> >>> > Muchas gracias por tu ayuda y saludos.
>> >>> >
>> >>> > AJ
>> >>> >
>> >>> >
>> >>> > "Fernando Reyes [MS MVP]" wrote:
>> >>> >
>> >>> >> Tampoco tiene sentido lo del placeholder y los dominios hijos.
>> >>> >>
>> >>> >> La verdad ¿de dónde se han sacado esa recomendación? Es una
>> >>> >> auténtica
>> >>> >> locura
>> >>> >> y técnicamente no tiene sentido, pues los usuarios y los
>> >>> >> equipos
>> >>> >> pertenecen
>> >>> >> a dominios que existen gracias a servidores. Un dominio de 5000
>> >>> >> usuarios
>> >>> >> en
>> >>> >> sí, no justifica el no ser un único dominio. Ser varios
>> >>> >> dominios
>> >>> >> sólo
>> >>> >> se
>> >>> >> justifica por motivos de tener diferentes entornos de
>> >>> >> seguridad,
>> >>> >> recursos,
>> >>> >> diferenciaciones, geográficas etc,, y aún así se puede obtener
>> >>> >> el
>> >>> >> mismo
>> >>> >> resultado con un único dominio haciendo una estructura de OUs y
>> >>> >> delegando
>> >>> >> la
>> >>> >> administración, lo que rebaja la complejidad de la
>> >>> >> administración
>> >>> >> y
>> >>> >> la
>> >>> >> configuración. Montar un Placeholder sólo se justifica si los
>> >>> >> dominios
>> >>> >> hijos
>> >>> >> van a compartir servicios que sean dados por el dominio raíz.
>> >>> >> Pero
>> >>> >> lo
>> >>> >> que
>> >>> >> es
>> >>> >> un absurdo completo es pretender tener en un dominio las
>> >>> >> cuentas
>> >>> >> de
>> >>> >> usuario,
>> >>> >> en otro las de workstations y en otro los servidores, sean
>> >>> >> estos
>> >>> >> dominios
>> >>> >> del mismo o de otro bosque.
>> >>> >>