Planificación de la ubicación del controlador de dominio regional
Para garantizar la rentabilidad, planee colocar el menor número posible de controladores de dominio regionales. En primer lugar, revise la hoja de cálculo "Ubicaciones geográficas y vínculos de comunicación" (DSSTOPO_1.doc) usada en Recopilar información de red para determinar si una ubicación es un centro.
Planee colocar controladores de dominio regionales para cada dominio representado en cada ubicación central. Después de colocar controladores de dominio regionales en todas las ubicaciones centrales, evalúe la necesidad de colocar controladores de dominio regionales en ubicaciones satélite. La eliminación de controladores de dominio regionales innecesarios de ubicaciones satélite reduce los costos de soporte técnico necesarios para mantener una infraestructura de servidor remoto.
Además, garantice la seguridad física de los controladores de dominio en ubicaciones centrales y satélite para que el personal no autorizado no pueda acceder a ellos. No coloque controladores de dominio grabables en ubicaciones centrales y satélite en las que no pueda garantizar la seguridad física del controlador de dominio. Una persona que tiene acceso físico a un controlador de dominio grabable puede atacar el sistema al:
- Acceder a discos físicos iniciando un sistema operativo alternativo en un controlador de dominio.
- Quitar (y posiblemente reemplazar) discos físicos en un controlador de dominio.
- Obtener y manipular una copia de una copia de seguridad del estado del sistema del controlador de dominio.
Agregue controladores de dominio regionales grabables solo a ubicaciones en las que pueda garantizar su seguridad física.
En ubicaciones con seguridad física inadecuada, la implementación de un controlador de dominio de solo lectura (RODC) es la solución recomendada. Excepto para las contraseñas de cuenta, un RODC contiene todos los objetos y atributos de Active Directory que contiene un controlador de dominio grabable. Sin embargo, no se pueden realizar cambios en la base de datos almacenada en el RODC. Los cambios se deben realizar en un controlador de dominio grabable y, después, volver a replicarse en el RODC.
Para autenticar los inicios de sesión de cliente y el acceso a servidores de archivos locales, la mayoría de las organizaciones colocan controladores de dominio regionales para todos los dominios regionales representados en una ubicación determinada. Sin embargo, debe tener en cuenta muchas variables al evaluar si una ubicación empresarial requiere que sus clientes tengan autenticación local o que los clientes puedan confiar en la autenticación y la consulta a través de un vínculo de red de área extensa (WAN). En la ilustración siguiente se muestra cómo determinar si se deben colocar controladores de dominio en ubicaciones satélite.
Disponibilidad de conocimientos técnicos in situ
Los controladores de dominio deben administrarse continuamente por varias razones. Coloque un controlador de dominio regional solo en ubicaciones que incluyan personal que pueda administrar el controlador de dominio o asegúrese de que el controlador de dominio se pueda administrar de forma remota.
En entornos de sucursales con poca seguridad física y personal con pocos conocimientos de tecnología de la información, la implementación de un RODC suele ser la solución recomendada. Los permisos administrativos locales para un RODC se pueden delegar a cualquier usuario de dominio sin concederle ningún derecho de usuario para el dominio u otros controladores de dominio. Esto permite a un usuario de una sucursal local iniciar sesión en un RODC y realizar trabajos de mantenimiento en el servidor, como actualizar un controlador. No obstante, el usuario de la sucursal no puede iniciar sesión en ningún otro controlador de dominio ni realizar ninguna otra tarea administrativa en el dominio. De este modo, se puede delegar al usuario de la sucursal la capacidad de administrar eficazmente el RODC en la sucursal sin poner en peligro la seguridad del resto del dominio o del bosque.
Disponibilidad de vínculos WAN
Los vínculos WAN que experimentan interrupciones frecuentes pueden provocar una pérdida significativa de productividad para los usuarios si la ubicación no incluye un controlador de dominio que pueda autenticarlos. Si la disponibilidad del vínculo WAN no es del 100 % y los sitios remotos no pueden tolerar una interrupción del servicio, coloque un controlador de dominio regional en ubicaciones donde los usuarios necesiten la capacidad de iniciar sesión o intercambiar el acceso al servidor cuando el vínculo WAN esté inactivo.
Disponibilidad de autenticación
Ciertas organizaciones, como los bancos, requieren que los usuarios se autentiquen en todo momento. Coloque un controlador de dominio regional en una ubicación donde la disponibilidad del vínculo WAN no sea del 100 %, pero los usuarios necesiten autenticación en todo momento.
Rendimiento de inicio de sesión a través de vínculos WAN
Si la disponibilidad del vínculo WAN es muy fiable, colocar un controlador de dominio en la ubicación depende de los requisitos de rendimiento de inicio de sesión a través del vínculo WAN. Los factores que influyen en el rendimiento del inicio de sesión en la WAN incluyen velocidad de vínculo y ancho de banda disponible, número de usuarios y perfiles de uso, y la cantidad de tráfico de red de inicio de sesión frente al tráfico de replicación.
Velocidad del vínculo WAN y uso del ancho de banda
Las actividades de un solo usuario pueden congestionar un vínculo WAN lento. Coloque un controlador de dominio en una ubicación si el rendimiento de inicio de sesión a través del vínculo WAN es inaceptable.
El porcentaje medio de uso del ancho de banda indica el nivel de congestión de un vínculo de red. Si un vínculo de red tiene un uso medio de ancho de banda superior a un valor aceptable, coloque un controlador de dominio en esa ubicación.
Número de usuarios y perfiles de uso
El número de usuarios y sus perfiles de uso en una ubicación determinada puede ayudar a determinar si necesita colocar controladores de dominio regionales en esa ubicación. Para evitar la pérdida de productividad si se produce un error en un vínculo WAN, coloque un controlador de dominio regional en una ubicación que tenga 100 o más usuarios.
Los perfiles de uso indican cómo usan los usuarios los recursos de red. No es necesario colocar un controlador de dominio en una ubicación que contenga solo unos pocos usuarios que no accedan con frecuencia a los recursos de red.
Tráfico de red de inicio de sesión en comparación con el tráfico de replicación
Si un controlador de dominio no está disponible en la misma ubicación que el cliente de Active Directory, el cliente crea tráfico de inicio de sesión en la red. La cantidad de tráfico de red de inicio de sesión que se crea en la red física se ve afectada por varios factores, incluidas las pertenencias a grupos; el número y tamaño de objetos de directiva de grupo (GPO); scripts de inicio de sesión y características como carpetas sin conexión, redireccionamiento de carpetas y perfiles móviles.
Por otro lado, un controlador de dominio que se coloca en una ubicación determinada genera tráfico de replicación en la red. La frecuencia y la cantidad de actualizaciones realizadas en las particiones hospedadas en los controladores de dominio influyen en la cantidad de tráfico de replicación que se crea en la red. Los diferentes tipos de actualizaciones que se pueden realizar en las particiones hospedadas en los controladores de dominio incluyen agregar o cambiar usuarios y atributos de usuario, cambiar contraseñas y agregar o cambiar grupos globales, impresoras o volúmenes.
Para determinar si necesita colocar un controlador de dominio regional en una ubicación, compare el costo del tráfico de inicio de sesión creado por una ubicación sin un controlador de dominio frente al costo del tráfico de replicación creado al colocar un controlador de dominio en la ubicación.
Por ejemplo, considere una red que tenga sucursales conectadas a través de vínculos lentos a la sede central y en la que se puedan agregar fácilmente controladores de dominio. Si el tráfico de búsqueda de directorios y de inicio de sesión diario de algunos usuarios remotos del sitio provoca más tráfico de red que la replicación de todos los datos de la empresa en la sucursal, considere la posibilidad de agregar un controlador de dominio a la sucursal.
Si reducir el coste de mantener controladores de dominio es más importante que el tráfico de red, centralice los controladores de dominio para ese dominio y no coloque ningún controlador de dominio regional en la ubicación, o bien considere la posibilidad de colocar controladores de dominio de solo lectura en la ubicación.
Para obtener una hoja de cálculo que le ayude a documentar la ubicación de los controladores de dominio regionales y el número de usuarios para cada dominio representado en cada ubicación, consulte Kit de implementación de Ayudas al trabajo para Windows Server 2003, descargue Job_Aids_Designing_and_Deploying_Directory_and_Security_Services.zip y abra "Ubicación del controlador de dominio" (DSSTOPO_4.doc).
Tendrá que consultar la información sobre las ubicaciones en las que necesita colocar controladores de dominio regionales al implementar dominios regionales. Para obtener más información sobre la implementación de dominios regionales, consulte Implementación de dominios regionales de Windows Server 2008.