Forums Últimos mensajes - Powered by IBM
 
Tags Palabras claves

Cómo garantizar logon en subdominios remotos con conexión débil

17/08/2005 - 14:23 por Juanma Arnau | Informe spam
Ayuda Hacer una pregunta
Buenaaassss!.

Llevo varios días buscando infructuosamente documentación que me guíe en la
resolución de un problema que tengo con el diseño del S.I. que administro;
por lo que si algún alma cartitativa arrojara algo de luz al respecto le
estaría eternamente agradecido.

En su día, y siguiendo las recomendaciones de Microsoft que leí en algún
documento técnico, implemente un bosque de dominios basado en un dominio raíz
(S.I ubicado en las oficinas centrales) y varios subdominios remotos (SS.II
ubicados en diferentes delegaciones interconectadas en estrella mediante VPNs
sobre ADSL), con el objeto de mantener una administración de AD centralizada.

Cada S.I. dispone de un DC que ofrece los servicios típicos (AD, DNS, DHCP,
WINS, servidor de ficheros y de impresoras...) a los usuarios que trabajan en
ese sitio, salvo el S.I de las oficinas centrales que dispone de mayores
recursos (varios DCs redundan los servicios críticos y distribuyen la carga
de los típicos: servidor de archivos e impresoras, servidor de terminales,
servidor de Exchange, servidor Web/FTP...) y mantiene las cuentas de todos
los usuarios de la corporación.

Todos los DCs son GC, y al menos un DC por sitio mantiene el caché de los
grupos universales.

Todo parece ir bien hasta que cae alguna VPN (algo bastante frecuente, por
desgracia). Entonces, los usuarios del sitio sin conexión no pueden iniciar
sesión, ni acceder a los recursos de su servidor local (puesto no se pueden
comprobar sus credenciales), hasta que se restablece la conexión.

Tenía entendido que los DCs locales mantenían un caché en su GC que
permitiía validar a los usuarios en el dominio raíz aún estando sin conexión
(similar al inicio de sesión desde un equipo portátil en desconexión), pero
debo estar equivocado o no he sabido configurar adecuadamente el sistema.

¿A quién se le ocurre cómo podría solucionar esto?
Teniendo en cuenta lo siguiente:
- Ya estoy buscando una solución de conectividad más robusta, pero esta no
debería ser la única solución.
- Me interesa mantener las cuentas de usuario centralizadas para simplificar
la administración, mantener un único login y password para cada usuario y su
acceso a cualquier recurso del sistema, adecuarme a las dependencias del
servidor de Exchange y del servidor Web/FTP alojados en el dominio raíz, y
alguna otra razón que no recuerdo ahora mismo.
- La solución de duplicar las cuentas de usuario en los subdominios para los
usuarios del sitio no acaba de convencerme, salvo que hubiera alguna forma de
vincularlas con las del raíz de forma que se actualizaran los cambios entre
ellas (algo que no se cómo, ni creo que se pueda hacer).

En fin, agradeceré cualquier consejo al respecto.

Salu2,
Juanma Arnau.
email Siga el debateRespuesta 9 respuestasRespuesta Tengo una respuesta
DRAGON AGE™: INQUISITION – Matadragones
 

Leer las respuestas

#1 Javier Inglés [MS MVP]
17/08/2005 - 15:59 | Informe spam
La opción de cachear la membresía a grupos universales sólo es funciona en
windows 2003.

Repasa que lo tengas bien activado; otra posibilidad es que todos los DC's
sean Global Catalog directamente en lugar de hacer el caché de los grupos
universales.

Para lo segundo, no entiendo por qué has creado varios subdominios, cuando
teniendo uno te basta de sobra para toda tu infraestructura, sñolo se
aconseja hacer subdominios en casos determinados, y ni siquiera Ms lo
aconseja salvo las excepciones adecuadas (los documentos de branch office
para AD de Ms hablan de cómo montar los dominiosy subdominios, pero con uno
sólo te valdría perfectamente). Mira en la web de Ms por el Identity
Integration Server.
Salu2!!
Javier Inglés
MS MVP, Windows Server-Directory Services





"Juanma Arnau" escribió en el
mensaje news:
Buenaaassss!.

Llevo varios días buscando infructuosamente documentación que me guíe en
la
resolución de un problema que tengo con el diseño del S.I. que administro;
por lo que si algún alma cartitativa arrojara algo de luz al respecto le
estaría eternamente agradecido.

En su día, y siguiendo las recomendaciones de Microsoft que leí en algún
documento técnico, implemente un bosque de dominios basado en un dominio
raíz
(S.I ubicado en las oficinas centrales) y varios subdominios remotos
(SS.II
ubicados en diferentes delegaciones interconectadas en estrella mediante
VPNs
sobre ADSL), con el objeto de mantener una administración de AD
centralizada.

Cada S.I. dispone de un DC que ofrece los servicios típicos (AD, DNS,
DHCP,
WINS, servidor de ficheros y de impresoras...) a los usuarios que trabajan
en
ese sitio, salvo el S.I de las oficinas centrales que dispone de mayores
recursos (varios DCs redundan los servicios críticos y distribuyen la
carga
de los típicos: servidor de archivos e impresoras, servidor de terminales,
servidor de Exchange, servidor Web/FTP...) y mantiene las cuentas de todos
los usuarios de la corporación.

Todos los DCs son GC, y al menos un DC por sitio mantiene el caché de los
grupos universales.

Todo parece ir bien hasta que cae alguna VPN (algo bastante frecuente, por
desgracia). Entonces, los usuarios del sitio sin conexión no pueden
iniciar
sesión, ni acceder a los recursos de su servidor local (puesto no se
pueden
comprobar sus credenciales), hasta que se restablece la conexión.

Tenía entendido que los DCs locales mantenían un caché en su GC que
permitiía validar a los usuarios en el dominio raíz aún estando sin
conexión
(similar al inicio de sesión desde un equipo portátil en desconexión),
pero
debo estar equivocado o no he sabido configurar adecuadamente el sistema.

¿A quién se le ocurre cómo podría solucionar esto?
Teniendo en cuenta lo siguiente:
- Ya estoy buscando una solución de conectividad más robusta, pero esta no
debería ser la única solución.
- Me interesa mantener las cuentas de usuario centralizadas para
simplificar
la administración, mantener un único login y password para cada usuario y
su
acceso a cualquier recurso del sistema, adecuarme a las dependencias del
servidor de Exchange y del servidor Web/FTP alojados en el dominio raíz, y
alguna otra razón que no recuerdo ahora mismo.
- La solución de duplicar las cuentas de usuario en los subdominios para
los
usuarios del sitio no acaba de convencerme, salvo que hubiera alguna forma
de
vincularlas con las del raíz de forma que se actualizaran los cambios
entre
ellas (algo que no se cómo, ni creo que se pueda hacer).

En fin, agradeceré cualquier consejo al respecto.

Salu2,
Juanma Arnau.

Preguntas similares

 

Busqueda sugerida :