Compartir a través de


Revisión de los modelos de dominio

Los siguientes factores afectan al modelo de diseño de dominio que seleccione:

  • Capacidad disponible en la red que está dispuesto a asignar a Active Directory Domain Services (AD DS). El objetivo es seleccionar un modelo que proporcione una replicación eficaz de la información con un impacto mínimo en el ancho de banda de red disponible.

  • Número de usuarios de la organización. Si su organización incluye un gran número de usuarios, la implementación de más de un dominio le permite crear particiones de los datos y le proporciona más control sobre la cantidad de tráfico de replicación que pasará a través de una conexión de red determinada. Esto le facilita controlar dónde se replican los datos y reducir la carga generada por el tráfico de replicación en vínculos lentos de la red.

El diseño de dominio más sencillo es un dominio único. En un diseño de dominio único, toda la información se replica en todos los controladores de dominio. Aun así, si es necesario, puede implementar dominios regionales adicionales. Esto podría ocurrir si hay partes de la infraestructura de red que están conectadas mediante vínculos lentos y el propietario del bosque quiere asegurarse de que el tráfico de replicación no supera la capacidad asignada a AD DS.

Es mejor minimizar el número de dominios que se implementan en el bosque. Esto reduce la complejidad general de la implementación y, como resultado, reduce el coste total de propiedad. En la tabla siguiente se indican los costes administrativos asociados a la adición de dominios regionales.

Coste Implicaciones
Administración de varios grupos de administradores de servicios Cada dominio tiene sus propios grupos de administradores de servicios que deben administrarse de forma independiente. La pertenencia de estos grupos de administradores de servicios debe controlarse cuidadosamente.
Mantenimiento de la coherencia entre los valores de configuración de la directiva de grupo que son comunes a varios dominios Los valores de configuración de la directiva de grupo que deben aplicarse en todo el bosque tienen que aplicarse por separado a cada dominio individual del bosque.
Mantenimiento de la coherencia entre los valores de configuración del control de acceso y la auditoría que son comunes a varios dominios Los valores de configuración del control de acceso y la auditoría que deben aplicarse en todo el bosque tienen que aplicarse por separado a cada dominio individual del bosque.
Mayor probabilidad de que los objetos se muevan entre dominios Cuanto mayor sea el número de dominios, más probable será que los usuarios necesiten moverse de un dominio a otro. Este movimiento podría afectar a los usuarios finales.

Nota

Las directivas de bloqueo de cuenta y contraseña específicas de Windows Server también pueden afectar al modelo de diseño de dominio que seleccione. Antes de esta versión de Windows Server 2008, solo se podía aplicar una directiva de bloqueo de cuenta y contraseña, que se especificaba en la directiva de dominio predeterminada del dominio, a todos los usuarios del dominio. Como resultado, si le interesaba tener diferentes configuraciones de bloqueo de cuenta y contraseña para diferentes conjuntos de usuarios, debía crear un filtro de contraseñas o implementar varios dominios. Ahora, puede usar directivas de contraseña específicas para establecer varias directivas de contraseña y aplicar diferentes directivas de bloqueo de cuenta y restricciones de contraseña a diferentes conjuntos de usuarios de un solo dominio. Para obtener más información sobre las directivas de bloqueo de cuenta y contraseña específicas, consulte el artículo Guía paso a paso para la configuración de directivas de bloqueo de cuenta y contraseña específicas de AD DS.

Modelo de dominio único

Un modelo de dominio único es el más fácil de administrar y el menos costoso de mantener. Consta de un bosque que contiene un único dominio. Este dominio es el dominio raíz del bosque e incluye todas las cuentas de usuario y grupo del bosque.

Un modelo de bosque de dominio único reduce la complejidad administrativa, ya que proporciona las ventajas siguientes:

  • Cualquier controlador de dominio puede autenticar a cualquier usuario del bosque.

  • Todos los controladores de dominio pueden ser catálogos globales, por lo que no es necesario planear la ubicación del servidor de catálogo global.

En un bosque de dominio único, todos los datos del directorio se replican en todas las ubicaciones geográficas que hospedan controladores de dominio. Aunque este modelo es el más fácil de administrar, también es el que crea más tráfico de replicación de los dos modelos de dominio. La creación de particiones en el directorio para dar lugar a varios dominios limita la replicación de objetos a regiones geográficas específicas, pero da lugar a una sobrecarga administrativa más elevada.

Modelo de dominio regional

Todos los datos de objeto de un dominio se replican en todos los controladores de dominio de dicho dominio. Por este motivo, si el bosque incluye un gran número de usuarios distribuidos entre diferentes ubicaciones geográficas conectadas mediante una red de área extensa (WAN), es posible que tenga que implementar dominios regionales para reducir el tráfico de replicación a través de los vínculos WAN. Los dominios regionales basados geográficamente se pueden organizar según la conectividad de WAN de la red.

El modelo de dominio regional permite mantener un entorno estable a lo largo del tiempo. Base las regiones que usa para definir los dominios del modelo en elementos estables, como los límites continentales. Los dominios basados en otros factores, como los grupos de la organización, pueden cambiar con frecuencia y podrían obligarle a reestructurar el entorno.

El modelo de dominio regional consta de un dominio raíz del bosque y uno o varios dominios regionales. La creación de un diseño de modelo de dominio regional implica identificar qué dominio es el dominio raíz del bosque y determinar el número de dominios adicionales que se necesitan para cumplir los requisitos de replicación. Si su organización incluye grupos que requieren el aislamiento de los datos o el aislamiento de los servicio con respecto a otros grupos de la organización, cree un bosque independiente para estos grupos. Los dominios no proporcionan aislamiento de los datos ni aislamiento del servicio.