Administrar redes con AD DS

Hola tengo varias consultas espero me puedan orientar; tengo que administrar dos redes que están en ubicaciones diferentes en el mismo edificio; se tienen dos conexiones a internet esto es porque la velocidad en nuestra región es muy poca y en cada red se tienen como 12 equipos. Tengo 2 equipos con windows server 2012 r2 cada uno con tres tarjetas de red. En cada red hay un switch de 30 puertos y un router con wifi de 4 puertos. Actualmente tengo una red que comparto la conexión a internet con el router todos se conectan libremente a la red el router lo conecto al switch y este está con DHCP. En la otra red he conectado uno de los equipos con windows server y he configurado un dominio local con AD DS con DNS y DCHP, pues la configuración la hice basándome en varios tutoriales y en los cuales recomiendan que el servidor de dominio no se use la configuración NAT para compartir internet a los clientes, así que conecté el otro router al modem ASDL y le desactive el DHCP al router y este lo conecté al switch de 30 puertos para que sirva de puerta de enlace, el equipo con windows server una de las tarjetas la conecté al switch con ip fija en el rango de la configuración LAN del router 10.1.3.10 (para el ordenador server) y con DNS la misma ip. La cosa es que quiero que todos los clientes se conecten al dominio, esto funciona bien y el DHCP también, pero como el router se conecta al switch los ordenadores igualmente se pueden conectar a internet sin necesidad de conectarse al dominio y quiero poder poner restricciones desde el dominio. También quiero poner el otro equipo con windows y conectar las dos redes pero que el otro equipo sea un sub dominio y tener un solo dhcp que sea el dominio principal y cada red con su conexión a internet. Y por ultimo no se si es posible digamos en caso que una conexión falle poder conectar la otra red ya sea del dominio o subdominio.
No se si me di a entender espero puedan ayudarme u orientarme.

Hola DOC, pues primero te comento que hay que separar conceptos o al menos me dio la impresion de que crees que con el windows server 2012 podras controlar el acceso a internet. Esto no es asi solo con active directory o dns, para ello requieres de un programa extra que actue como firewall,proxy.
Microsoft tiene el programa "Forefront Tmg 2010" para controlar el acceso a internet utilizando la autenticacion de active directory, pero pues es caro y necesitaras otro servidor y otra licencia windows server.

Bueno ahora te doy mi recomendacion:

- No hagas sub dominios de active directory, mejor crea un controlador adicional del actual solo por backup.
- forefront es bueno pero caro. Mejor busca PFSENSE y montalo en un pc con recursos moderados y este tambien puede incorporarse con la autenticacion de AD y es gratuito.
- Puedes unir todas las redes con el pfsense y quitar los routercitos y solo utilizarlos como access point para wifi.
- si quieres un solo dhcp en windows server lo puedes hacer si al pfsense le habilitas la opcion de dhcp relay. Solo necesitas hacer los Scops correspondientes en el dhcp windows.
- no olvides crear las zonas de busqueda inversa en el dns de windows
- finalmente te comento que pfsense tiene la funcionalidad de loadbalancing y failover para que aproveches tus dos internets y los fuciones como uno.

Pues espero que te ayude en algo mis consejos, cualquier duda con las etapas de tu proyecto con gusto te ayudamos.

Hola larrysys gracias por tu recomendación; lo que me comentas de Windows me he percatado en estos días que estado configurando el servidor y leyendo la documentación de Microsoft que lamento decir no es muy precisa :(
Tengo una consulta con tus sugerencias y es con la fusión de las dos conexiones de Internet ya que están las conexiones separadas físicamente en el mismo edificio cada una cerca de un switch de 30 puertos; según entiendo tengo que conectar a cada switch el módem de cada conexión y con PFSENSE configurar el loadbalancing y failover; tendría en mi caso dos puertas de enlace y PFSENSE se encargará de enrutar las conexiones salientes es lo que entiendo no se si estoy en lo correcto. Otra consulta es si puedo instalar PFSENSE en el servidor ya que necesito tener toda la administración en uno de los equipos con windows server; ya que los otros equipos son de usuarios.

Hola DOC buenos dias. Te comento que al principio cuesta acostumbrarse a los terminos y a comprender cada tecnologia de la marca que sea. Active Directory es algo que involucra muchas cosas y hace muchas cosas por lo que te recomiendo lo estudies lo mas posible para que lo comprendas mas ampliamente y sobre todo lo saques todo el jugo a esta excelente herramienta.

Te comento que Microsoft hace cursos para todos sus cachibaches que hace. En el caso de Active Directory te recomiendo el "Configuration and Troubleshooting Active Directory Domain Services 2008 R2", bueno ese fue el que tome Yo me imagino que ya hay uno nuevo para 2012, aunque me comentan que no ha cambiado gran cosa.
Asi que puedes darle una buscada por internet a ver si algun buen samaritano lo compartio,,jejeje.

Ahora en cuanto a tus dos pisos con tus dos switches y tus dos routers y tus dos conexiones a internet. Lo mejor seria que el PFSENSE fuera el centro de todos estos. No se si los switches que tienes soporten VLANs, asi puedes pasar por el mismo cable el enlace del otro piso sin tirar otro cable. De lo contrario pues si es recomendable tirar otro cable. Mi idea seria algo asi:

- Tus dos internets que se conecten a una tarjeta del PFSENSE, cada uno, si es que no soportan VLANs tus switches.

- Tu "red_piso1" a una tarjeta y tu "red_piso2" a otra tarjeta.

- El servidor PFSENSE es sistema operativo FREEBSD, por lo que se, asi que tiene que ir instalado solo en un equipo, a menos que este virtualizado, pero eso es otra cosa. Por eso te comentaba que podias usar un equipo con recursos limitados en disco duro y ram, y eso si con unas 4 tarjetas de red, sino tienes VLANS.

- Aunque pusieras el TMG de windows que corre sobre windows server NO es para nada recomendable mezclar el Active Directory con este porque te causara problemas y te creara una brecha en la seguridad como tal. Por eso te comentaba que se prefiere otro servidor.

- comentas que tienes dos servers, uno para el AD. Y el otro si lo tienes libre lo puedes utilizar para hacer el Firewall/Proxy con PFSENSE o TMG 2010

- Sin duda tu proyecto maneja muchas cosas y cada estapa tendra sus contratiempos y su estudio.

Te recomiendo que comiences por partes. Por ahorita ver que marca y modelo de switches tienes y routers para ver que soportan. Y ver si tendras que aventar otro cable al otro piso, de ser factible, o puedes utilizar el mismo con VLANs.

Si nos pudieras ir comentando la marca y modelo de tus switches y routers y la distancia del cable de red que une tu red1 con tu red2. Y me imagino que la linea del proveedor de internet una llega a un piso y la otra al otro o las dos te llegan en un piso y luego bajas un cable o como.....

Tambien pon la marca, modelo y caracteristicas del otro servidor y si lo estas usando o que tiene instalado. Para ver si puedes pasar todo en uno y te quede libre uno para el PFSENSE

Ya que tengas bien claro esto y solucionado podemos pasar a armar el equipo PFNSENSE y realizar pruebas antes de cambiar todo el entorno.....

Ahi nos comentas como te va.... buen dia

Hola larrysys te comento te comento que voy algo lento en la estructura de la red porque ocupan los ordenadores durante el día y necesitan la conexión a internet. Te comento que la estructura del edifico no es uniforme no sabría como describirlo digamos que tiene 3 niveles.
-El primer nivel está una conexión a internet es una conexión ASDL con un módem Eltel ET5300 esta conexión es de 6MB en este mismo piso está un switch Nexxt NW223NXT66 (de estos hay 3 y corrijo son de 24 puertos) y hay un router linksys wrt54g2 ahí he instalado una computadora con Windows Server 2012 r2 la computadora tiene es una core 2 duo E7400 de 2.8Ghz con 4GB de RAM :( esta la he dejado como dominio principal , con el DNS y DHCP.

-El segundo nivel no es un sólo piso sino que se divide por dos salas no comunicadas una de las salas está justamente sobre la sala donde está la conexión por ASDL de ahí parte un cable del switch y se conecta a otro switch Nexxt del modelo ya mencionado, de ahí se conectan otros equipos a esta red. La otra sala del segundo nivel ahí está la otra conexión a internet esta es por coaxial con un módem Motorola SB5101 ahí hay un cable que parte del switch de la sala del nivel 1; actualmente este cable está desconectado es el que se pretende usar para unir la dos redes. La conexión de internet del módem motorola es de 8MB y actualmente se conecta a un router D-Link DIR-610 y este sirve de DHCP para conectar sólo los equipos de esta sala con 2 equipos más del nivel 3. Pensaba ocupar el otro ordenador con windows Server para ponerlo como segundo controlador de dominio pero con tu sugerencia ya cambia el asunto, este segundo ordenador tiene un procesador core 2 duo la velocidad no me recuerdo pero es menor que el que deje como controlador de dominio y tiene 3GB de ram.

Me preocupa que dices que para usar PFSENSE para unir las dos conexiones a internet debe tener 4 tarjetas de red, y cada equipo sólo tiene 3 tarjetas y ya no tienen para instalar otra tarjeta adicional :( bueno no se si es posible hacer la configuración sólo con 3 tarjetas.

Hola, pues ya me e comenzando a hacer un mejor esquema de como esta tu red y como la deseas o como seria lo mejor, segun Yo,,,jajaja, ya sabes que siempre hay muchas ideas y opciones. Te adjunto una imagen para ver si asi es como esta tu red y lo que me imagino seria lo que quieres..

http://www.subeimagenes.com/img/diag...c-1285578.html


- La pregunta de si puedes usar menos tarjetas de red es SI, hasta solo dos, si pones los routers de internet en una sola red digamos 192.168.2.254, uno, y el otro en 192.168.2.253,
y tu red LAN la conviertes en un solo segmento digamos 10.10.10.x con mascara 255.255.255.0 para que soporte hasta 253 equipos. No se si te pases de esta cantidad en tu red. jejeje, que no creo.

- El servidor 2012 que esta conectado al Linksys lo tienes conectado a un puerto de LAN (azul) o al WAN (amarillo)??? mi imagino que al LAN, verdad??


Se que complicado meterle mano asi por asi porque siempre estan en servicio la red. Te recomiendo...

- Vayas formateando el servidor con PFSENSE para que te familiarices. Conectada una tarjeta de red a uno de los routers que dan internet. Y la otra tarjeta de red la vayas tomando como si de tu red lan se tratara obviamente sin conectarla a la red real aun.

- Ya que lo instales y logres tener internet en el PFSENSE y hagas pruebas con un equipo conectado en la tarjeta de LAN para ver si ya tiene internet y demas. Realiza pruebas para que te acostumbres al firewall y al manejo de sus opciones. Tambien realizar pruebas con el DHCP del mismo PFSENSE y con su opcion de DHCP Relay.

- Ya que estes comodo pues a realizar los movimientos por la tarde/noche y hacer pruebas. Si algo no sale del todo bien recuerda que te puedes regresar!!!..
Digo porque normalmente tendras que estar tempranito despues del cambio para ver si no hay eventualidades, y si se te complica y terminas muy noches o no te presentaras temprano o estaras muy desvelado para ver con claridad...jejejeje.. ya me a pasado..jejeje.

- Ya que todos tengan internet a travez de tu PFSENSE con un solo internet pues a realizar el cambioe interconectar el segundo internet a la red del primero con ips que conincidan en la misma red. Para realizar el balanceo de cargas y fail over.

En cada paso puesdes ir buscando el youtube tutoriales PFSENSE loadbalancing, PFSENSE DHCP, y asi te la llevas y mira varios para que te vayas acostumbrando y familiarizando... Hay algunos en portugues o ingles que igual no les entiendo nada...jejjeje. pero con solo ver la trama del video ya te das cuenta de lo que esta haciendo.

hola larrysys gracias por tomarte el tiempo de dibujar un diagrama de red si mas o menos eso estoy pensando sólo que quitando los routers con wifi y ponerlos como acces point conectados a los switch. Te cuento que he comenzado a ver para instalar fpsense me descargue el iso del sitio oficial https://www.pfsense.org/download/?se...wnloadsVerify; ahora bien no he querido comenzar la instalación directamente en el equipo así que he intentado instalarlo en una máquina virtual usando hyper-v y me descargue la iso para amd64 porque el procesador que tiene el equipo dónde lo instalaré es de 64 bit. Lastimosamente no he podido instalar el PFSENSE en la máquina vitual. Llega a un punto y luego pasa a una opción que me pide configurar VLans ??? no se si antes has instalado el PFSENSE en máquinas virtuales. Pon las capturas tal vez tienes idea que es lo que pasa.

http://www.subeimagenes.com/img/pfsense1-1287040.html

http://www.subeimagenes.com/img/pfsense2-1287044.html

HOLA DOC, en el siguiente tuto https://www.youtube.com/watch?v=wePYSTOaEnY en el minuto 4.55 ahi se ve lo de las VLANS y no ocupas configurarlas porque tus switches no manejan VLANS.

En lo personal nunca e trabajado con Hyper-V, todo mi entorno esta virtualizado con Vmware Vsphere, y tambien trabajo con Citrix Xenserver. Y pues todo es muy parecido en cierta manera.

Asi que no creo que tengas mayor problema con Hyper-V, mas bien hay que comprender los conceptos que iras viendo como WAN, LAN, tarjetas virtuales, NAT, Bridge, y demas cosas..

Mira varios videos, realiza pruebas, investiga un poco, siguenos preguntando aquie en el foro, vuelve a formatear lo que salio mal,,,jejejej, tomate un cafe, y vuelve a comenzar, asi es esto no hay de otra..jejejje.. Animo en no mas de dos semanas estaras volando con PFSENSE

Hola larrysys aquí saludándote y agradecido por tu tiempo y apoyo.
Te comento que tendré que abandonar a PFSENSE ya que aquí donde estoy implementando la red son anti Linux :( y yo no lo sabía; así que quieren que todo lo haga sin usar Linux. Investigué sobre ForeFront tmg la otra herramientas que me propusiste al principio pero lamentablemente no es compatible en Windows Server 2012 R2. Así que estoy como empecé con un puño de dudas cómo hacer.

Investigando un poco he encontrado que WS 2012 tiene soporte para failover y loadbalancing; tiene algo así de NIC Teaming pero esto no me sirve para mis propósitos.

He leído un poco sobre cluster network load balancing (NLB) pero me parece que sólo es para IIS no para compartir o administrar las conexiones ISP.

Si tienes conocimiento de otra herramienta o cómo puedo hacer con la nueva problemática que no quieren que use Linux o similares te lo agradecería.

Hay esos de Microsoft a veces si quela riegan bien y bonito. Incompatible con su mismo software y que yo sepa no han sacado tmg para 2012. Bueno me acabas de actualizar, jejejeje.

Pues lo de pfsense fue una propuesta, soluciones hay varias. Te recomiendo el siguiente aparato que e visto que algunos conocidos utilizan y a lo que evisto en youtube hace un monton de cosas muy buenas y no se ve tan caro. No se si traiga integracion con AD pero sino pueS lo puedes hacer por ip.

http://routerboard.com/RB2011iL-IN

Si lo unico que quieren es el balanceo de cargas pues tambien hay de marca tp-link, Linksys, etc

Con la solución de adquirir un router o hardware adicional. Lo que sucede que anteriormente los equipos tenían Linux y otra persona que estuvo antes hizo una configuración que permitía cambiar de puerta de enlace hacia la otra red cambiando la tabla de enrutamiento. Ahora los equipos fallaron por problemas de disco y se pusieron dos equipos con windows server 2012 r2 esperando hacer la misma configuración pero Windows no administra igual. Estoy pensando que no es posible hacer esto sin un equipo adicional pero me insisten que si se pudo hacer con Linux se debe poder hacer con Windows; ahí mi dilema.

Hola Doc, pues si solo lo quieres para hacer balanceo de carga o cambiar ruta te podrias apoyar con las funciones "RRAS" y "Nic teaming".

En cuanto a que si se puede hacer o no ciertas cosas con windows o linux pues es basicamente que programas existen y que funcionalidades les puedes poner al sistemaoperativo.

Por ejemplo lo que te comentaba que si quieres que un windows server actue como proxy pues la solucion antes era comprar el programa TMG 2010, aunque ahora pues ya no es compatible y habra que ver que sacan o productos de terceros. Y en linux pues hay que descargar los programas squid, iptables y no recuerdo que mas. Se que estan pidiendo esto con windows 2012 pero sinceramente es un desperdicio una licencia de windows server 2012 solo para esto cuando podrias instalar algo que te daria un monton de funcionalidades mas como web filter por usuarios, controlar en ancho de banda a cada usuario, y un sin fin de cosas mas.

Bueno te tocara investigar estas opciones de rras y nic teaming.