¿Necesitas dimensionar Active Directory para una organización de alrededor de cuatrocientos usuarios en Windows Server 2022? Aquí encontrarás especificaciones claras, arquitectura recomendada, buenas prácticas de seguridad, guía de despliegue y un checklist operativo listo para usar.
Resumen de la recomendación
Un único controlador de dominio puede gestionar sin dificultad esta carga, pero se recomienda firmemente desplegar dos controladores de dominio por resiliencia. Con SSD, red gigabit, copia de seguridad del System State y una configuración de DNS adecuada, obtendrás rendimiento y continuidad suficientes con margen de crecimiento.
- Por controlador de dominio: mínimo cuatro vCPU y dieciséis GB de RAM; ideal ocho vCPU y treinta y dos GB.
- Almacenamiento: SSD para el sistema y para la base de datos de AD, registros de transacciones y SYSVOL en volúmenes separados.
- Red: una interfaz gigabit es suficiente; dos para redundancia. Diez gigabit es opcional si el host ya lo ofrece.
- Edición del sistema: Windows Server 2022 Standard suele ser suficiente; Datacenter si la estrategia de virtualización o licenciamiento lo requiere.
- Respaldo: System State y recuperación de hardware completa, con pruebas periódicas de restauración.
Perfil de carga y supuestos
El escenario considerado incluye aproximadamente cuatrocientos usuarios y un número similar de equipos unidos al dominio, inicios de sesión distribuidos a lo largo del día, aplicación de directivas de grupo estándar, impresoras compartidas moderadas y autenticación contra servicios internos habituales. El consumo de CPU en controladores de dominio modernos tiende a ser bajo y la memoria adicional mejora la caché de directorio y reduce operaciones de E/S.
Especificaciones recomendadas por controlador de dominio
| Componente | Mínimo | Recomendado | Motivo técnico |
|---|---|---|---|
| CPU | Cuatro vCPU o núcleos | Ocho vCPU en hardware moderno | Hilos suficientes para picos de autenticación, LDAP, KDC, DNS y cifrado de canal. |
| Memoria | Dieciséis GB | Treinta y dos GB | Mejor caché de AD y del resolvedor DNS; margen para auditoría avanzada y GC. |
| Almacenamiento para sistema | SSD ciento veinte a doscientos cincuenta GB | SSD doscientos cincuenta GB | Tiempo de arranque, parches y archivos temporales sin contención. |
| Datos de directorio | SSD doscientos GB | SSD trescientos a quinientos GB | NTDS.dit, registros ESE y SYSVOL con espacio para crecimiento y auditoría. |
| Diseño de volúmenes | Uno para sistema y otro para datos | C: sistema | D: base y registros | E: SYSVOL opcional | Evita contención y facilita el respaldo selectivo. |
| Red | Una interfaz gigabit | Dos interfaces gigabit | Redundancia de enlace y mantenimiento sin interrupción. |
| Resiliencia de disco | Espejo por software o del almacenamiento | RAID uno para sistema y datos | Tolerancia a fallos de unidad sin afectar a AD. |
| Sistema operativo | Windows Server 2022 Standard | Igual, salvo necesidades de Datacenter | Compatibilidad, soporte y seguridad actuales. |
Detalles clave de CPU y memoria
- Los controladores de dominio rara vez saturan CPU salvo en picos de autenticación o consultas LDAP intensas. Más núcleos reducen latencia en esos picos.
- Treinta y dos GB permiten que la caché de directorio y DNS trabajen en memoria, reduciendo lecturas a disco y mejorando la experiencia de inicio de sesión.
Detalles de almacenamiento
- NTFS con tamaño de unidad de asignación predeterminado y desfragmentación programada deshabilitada para la base ESE.
- Al ubicar NTDS.dit y sus registros en un volumen distinto del sistema, se minimiza la contención de E/S con el servicio de actualizaciones y el paginador.
- Evita instantáneas de máquina virtual como método de “respaldo”. Usa siempre copias con conocimiento de AD (System State) para prevenir USN rollback.
Red y conectividad
- Una interfaz gigabit es suficiente en la mayoría de entornos. El agregado o duplicación de NIC aporta continuidad en caso de fallo de puerto o switch.
- Coloca los controladores de dominio en redes confiables. Si hay sedes remotas, define sitios de AD y subredes para optimizar la replicación.
Alimentación y continuidad
- Protege con un sistema de alimentación ininterrumpida dimensionado para apagado limpio del host o del servidor físico.
- Se recomienda distribuir cada controlador de dominio en circuitos eléctricos y hosts distintos.
Configuración de ejemplo
Para cada controlador de dominio:
- Ocho vCPU y treinta y dos GB de RAM.
- SSD doscientos cincuenta GB para sistema.
- SSD trescientos GB para NTDS, registros y SYSVOL, en volumen separado.
- Espejo de discos o almacenamiento redundante del hipervisor.
- Dos interfaces gigabit.
- Roles AD DS y DNS, con catálogo global habilitado.
Capacidad y crecimiento
Con el volumen de objetos típico para un entorno de esta magnitud, la base de datos de directorio suele quedarse en el rango de cientos de megabytes hasta alrededor de un gigabyte, dependiendo de atributos, grupos anidados, auditoría y objetos de servicio. Reservar entre doscientos y quinientos GB para datos y registros deja margen para varios años de crecimiento y para almacenar eventos de auditoría avanzada.
| Componente | Estimación inicial | Reserva aconsejada | Comentario |
|---|---|---|---|
| Base de datos NTDS | Quinientos a mil MB | Hasta cinco GB | Depende de grupos, OU, atributos personalizados y auditoría. |
| Registros ESE | Decenas de GB | Cien GB | Crece con operaciones de escritura; rotación de registros en respaldo. |
| SYSVOL | Uno a cinco GB | Veinte GB | Varía según la complejidad de GPO y scripts. |
Buenas prácticas críticas
- Despliega al menos dos controladores de dominio en hosts y ubicaciones eléctricas diferentes.
- Usa DNS integrado en AD en ambos. Configura cada controlador para que se resuelva a sí mismo como preferido y al otro como alternativo.
- No combines cargas pesadas en controladores de dominio. Evita motores de base de datos, servidores de escritorio remoto o servicios de actualización en ellos.
- No uses instantáneas de máquina virtual para volver en el tiempo. Restaura siempre con System State o recuperación autoritativa cuando corresponda.
- Configura correctamente la hora. El emulador de PDC debe sincronizarse con un origen NTP confiable.
- Activa elementos de seguridad: papelera de reciclaje de AD, LAPS o Windows LAPS, bloqueo de SMB obsoleto, endurecimiento de protocolos TLS y firma de LDAP.
- Supervisa replicación, salud de DNS, espacio libre y eventos relevantes; automatiza alertas.
- Define sitios y subredes si existen sedes remotas. Para ubicaciones no confiables, considera controladores de dominio de solo lectura.
Diseño de alta disponibilidad y sitios
La continuidad parte de una topología sana. Distribuye controladores de dominio en hosts distintos y, si es posible, en salas o edificios diferentes. Activa catálogo global en ambos para evitar dependencia cruzada innecesaria. Si manejas enlaces de red de baja capacidad, configura costos de enlace y programación de replicación apropiados en Sitios y Servicios.
Para oficinas remotas con conectividad inestable, un controlador de dominio de solo lectura mejora la experiencia de inicio de sesión local y reduce el riesgo al no exponer credenciales de escritura completa.
Seguridad y endurecimiento
- Papelera de reciclaje de AD: permite recuperar objetos eliminados sin realizar restauraciones autoritativas complejas.
- LAPS o Windows LAPS: gestiona credenciales locales únicas y rotadas para equipos unidos al dominio.
- Firma y canal seguro de LDAP: habilita firma obligatoria y canalización (canal seguro) en controladores de dominio; prioriza TLS moderno para vínculos cifrados.
- Protocolos: deshabilita SMBv uno y versiones antiguas de TLS; prioriza TLS reciente disponible en el sistema.
- Grupos privilegiados: usa cuentas administrativas separadas, Admin Tiering y estaciones de trabajo privilegiadas para administración de alto nivel.
- Directivas de contraseñas: aplica directivas de complejidad y, si procede, políticas granulares para grupos específicos.
- Cuentas de servicio: prefiere cuentas de servicio administradas de grupo para rotación automática de secretos.
- Auditoría avanzada: habilita categorías de auditoría de cambios en objetos críticos, inicios de sesión y acceso a directorio.
- Replicación de SYSVOL: verifica que se use el mecanismo moderno de replicación de carpetas distribuidas y no mecanismos heredados.
Copias de seguridad y recuperación
Un plan de respaldo sólido debe cubrir el estado del sistema, la recuperación completa y pruebas periódicas. Documenta con precisión los procedimientos de restauración autoritativa y no autoritativa, así como la ubicación del emulador de PDC para reconstrucción de la jerarquía de tiempo.
| Elemento | Frecuencia | Retención | Notas |
|---|---|---|---|
| Estado del sistema | Diaria | Treinta días o más | Fundamental para restaurar directorio, DNS y registro de seguridad. |
| Recuperación de hardware completo | Semanal | Cuatro a ocho semanas | Permite reconstruir un controlador de dominio completo en hardware nuevo. |
| Prueba de restauración | Trimestral | N. A. | Ejecútala en red aislada para validar procedimientos y tiempos. |
Evita restauraciones que no sean conscientes de AD. Nunca retrocedas una instantánea de hipervisor de un controlador de dominio que ya replicó cambios a otros nodos.
Monitorización y mantenimiento
Incluye validaciones periódicas y alertas. Comandos prácticos:
repadmin /replsummary
repadmin /showrepl * /csv
dcdiag /v /c /e
wevtutil qe Security /q:"*[System[(EventID=4625 or EventID=4624)]]" /f:text /c:10
- Eventos a vigilar: problemas de topología, fallos de DNS al localizar controladores, objetos persistentes y advertencias de tiempo.
- Contadores útiles: actualizaciones de replicación pendientes, búsquedas LDAP por segundo, uso de CPU, memoria disponible y latencias de disco.
- Parcheo: aplica actualizaciones de seguridad con ventanas de mantenimiento alternadas entre controladores.
Procedimiento de despliegue
- Preparación del sistema: instala Windows Server 2022, aplica controladores, parches y nombre de host adecuado. Configura direcciones IP fijas.
- Instalación de roles:
Install-WindowsFeature AD-Domain-Services -IncludeManagementTools - Creación del bosque o unión al dominio:
# Primer controlador creando el bosque Install-ADDSForest -DomainName "contoso.local" -InstallDNS ` -DatabasePath "D:\NTDS" -LogPath "D:\NTDS" -SysvolPath "D:\SYSVOL" Segundo controlador en dominio existente Install-ADDSDomainController -DomainName "contoso.local" -InstallDNS \` -DatabasePath "D:\NTDS" -LogPath "D:\NTDS" -SysvolPath "D:\SYSVOL" - Configuración de DNS: integra zonas en AD, habilita listas de transferencia solo hacia servidores autorizados y define reenviadores si procede.
- Hora del sistema:
# En el emulador de PDC w32tm /config /manualpeerlist:"pool.ntp.org,0x9" /syncfromflags:manual /reliable:yes /update w32tm /resync /rediscover - Catálogo global: habilita catálogo global en ambos para redundancia de consultas.
- Validación:
dcdiag /e /c repadmin /replsummary Get-ADDomainController -Filter * | Select-Object HostName,IsGlobalCatalog,Site,IPv4Address
Lista de comprobación
- Crear dos controladores de dominio en hosts distintos.
- Instalar AD DS y DNS; promover y habilitar catálogo global.
- Definir sitios y subredes, programar replicación y configurar NTP.
- Separar volúmenes de sistema y datos del directorio.
- Configurar copias del estado del sistema y pruebas de restauración.
- Aplicar endurecimiento, LAPS, papelera de reciclaje y deshabilitar protocolos obsoletos.
- Activar monitorización de replicación, DNS y eventos clave.
Preguntas frecuentes y notas
Virtualización: es completamente válida. Evita sobreasignación extrema de CPU y de operaciones por segundo del almacenamiento. Reserva recursos según picos observados y usa almacenamiento con latencia predecible.
Licenciamiento: la edición Standard suele ser suficiente. Elige Datacenter si hospedas gran cantidad de máquinas virtuales o necesitas características avanzadas del host de almacenamiento.
Nomenclatura y niveles funcionales: selecciona un nombre de dominio estable y aplica el nivel funcional más alto compatible con todos los controladores. En entornos modernos, el nivel de bosque y dominio actual disponible ofrece las características necesarias sin sacrificar compatibilidad.
Actualizaciones de catálogo: después de cambios de esquema o promociones, verifica que los controladores hayan recibido todas las particiones de directorio, especialmente en topologías con varios sitios.
Puertos y reglas de firewall habituales
| Servicio | Protocolo | Puerto | Uso |
|---|---|---|---|
| DNS | TCP y UDP | Cincuenta y tres | Resolución de nombres para clientes y controladores. |
| Kerberos | TCP y UDP | Ochenta y ocho | Autenticación segura. |
| LDAP | TCP y UDP | Trescientos ochenta y nueve | Consultas y actualizaciones de directorio. |
| LDAP sobre TLS | TCP | Seiscientos treinta y seis | Cifrado del canal LDAP. |
| Catálogo global | TCP | Tres mil doscientos sesenta y ocho y tres mil doscientos sesenta y nueve | Búsquedas globales, con y sin TLS. |
| SMB | TCP | Cuatrocientos cuarenta y cinco | SYSVOL y scripts de inicio de sesión. |
| Asignador de extremos RPC | TCP | Ciento treinta y cinco | Inicialización de conexiones RPC. |
| Rango dinámico RPC | TCP | Desde cuarenta y nueve mil ciento cincuenta y dos hasta sesenta y cinco mil quinientos treinta y cinco | Operaciones RPC variadas de AD. |
| NTP | UDP | Ciento veintitrés | Sincronización de hora. |
Consejos prácticos que marcan diferencia
- Zonas DNS integradas: réplicalas en todos los controladores de dominio y habilita depuración selectiva solo cuando investigues incidencias.
- GPO: crea una unidad organizativa específica para controladores y aplica una línea base endurecida separada de la de estaciones.
- Registro: rota y centraliza logs; asigna cuotas para evitar que crezcan sin control.
- Inventario: documenta ubicaciones de FSMO, contraseñas de modo de restauración y contactos de escalamiento.
- Sitios: si la latencia entre sedes es elevada, planifica programaciones de replicación fuera de horas pico.
Plantillas y fragmentos reutilizables
Consulta rápida de replicación y catálogo:
Get-ADDomainController -Filter * |
Select-Object HostName,Site,IsGlobalCatalog,IPv4Address |
Format-Table -Auto
Comprobación del servicio de tiempo:
w32tm /query /status
w32tm /query /configuration
Verificación de salud básica:
dcdiag /test:dns /v
repadmin /queue
repadmin /syncall /APeD
Resumen accionable
- Dos controladores con SSD, ocho vCPU y treinta y dos GB cada uno cubren sobradamente la carga objetivo.
- Separa sistema, base de datos y SYSVOL en volúmenes distintos y protege con espejo.
- Integra DNS, configura tiempo correcto y activa catálogo global en ambos.
- Implementa LAPS, papelera de reciclaje y firma de LDAP; deshabilita protocolos antiguos.
- Establece respaldo del estado del sistema con pruebas reales de restauración.
- Automatiza monitorización de replicación, eventos y capacidad de disco.
Con esta guía tendrás una arquitectura de Active Directory sólida para alrededor de cuatrocientos usuarios, con margen de crecimiento, seguridad moderna y procesos operativos claros para mantener alta disponibilidad.