none
¿cómo crear una relación de confianza entre dos dominios?

    Question

  • Buenos dias, necesitaria crear una relacion de confianza, entre dos dominios.

    Cómo podria realizarlo?

    Friday, April 30, 2010 11:11 AM

Answers

All replies

  • Depende de las versiones de los dominios (200/2003/2008). De forma general, hay que empezar por dar resolución por DNS del dominio de destino en el de origen. Es decir, que el DNS del dominio A sea capaz de resolver los nombres del dominio B y viceversa. Una vez conseguido esto se crea la confianza en Dominios y confianza de Active Directory:

    Domain and Forest Trusts Technical Reference
    http://technet.microsoft.com/en-us/library/cc738955%28WS.10%29.aspx


    Un saludo

    Fernando Reyes [MS MVP]
    MCSA 2000/2003
    MCSE 2000/2003
    MCITP EnterpriseAdministrator
    Web: http://freyes.svetlian.com
    Blog: http://urpiano.wordpress.com
    RSS: http://urpiano.wordpress.com/feed/
    freyes.champú@champú.mvps.org
    (Aclárate la cabeza si quieres escribirme)
    Friday, April 30, 2010 11:41 AM
    Moderator
  • y como puedo hacer que entre los dominios, a traves de las DNS se vean?

    Tendria que meter el servidor dns del 1º en el 2ª  como secundaria, y viceversa?

    Monday, May 03, 2010 6:44 AM
  • Depende de los servidores DNS. Si son Windows 2000 tienes que crear una zona secundaria en el dominio A que apunte al DNS del dominio B y viceversa. Si se trata de Windows 2003 puedes hacerlo igual que co 2000 o puedes configurar reenviadores condicionales, por los cuales en el DNS de dominioo A pones un reenviador que apunte al DNS del dominio B y sólo para resolver los nombres del dominio B; por supuesto los mismo en el dominio B pero de forma "vicevérsica".

    Un saludo

    Fernando Reyes [MS MVP]
    MCSA 2000/2003
    MCSE 2000/2003
    MCITP EnterpriseAdministrator
    Web: http://freyes.svetlian.com
    Blog: http://urpiano.wordpress.com
    RSS: http://urpiano.wordpress.com/feed/
    freyes.champú@champú.mvps.org
    (Aclárate la cabeza si quieres escribirme)
    Monday, May 03, 2010 7:59 AM
    Moderator
  • Son en 2003.

    y los tengo puestos asi, vamos creo yo, he puesto en el dominio A, como secundario el dns del B y viceversa, pero intento hacer un ping desde un equipo del A al hostname del B y no me llega..

     

    Monday, May 03, 2010 9:24 AM
  • No se trata de que pongas como secundario el DNS del otro dominio, eso no sirve para nada. El servidor DNS secundario, que se pone en las propiedades de TCP/IP, sólo es consultado si no se puede contactar con el DNS primario; si éste es accesible, es él quien intenta resolver el nombre que se le consulte, por tanto, en el dominio A preguntas a su DNS por un registro del dominio B y lógicamente no te devuelve nada, pues ni tiene zona secundaria ni reenviador condicional. Como son 2003, lo más fácil es que hagas reenviadores condicionales:

    Conditional Forwarding in Windows Server 2003
    http://support.microsoft.com/kb/304491/en-us

    Using forwarders
    http://technet.microsoft.com/en-us/library/cc757172%28WS.10%29.aspx

    Configure a DNS server to use forwarders
    http://technet.microsoft.com/en-us/library/cc773370%28WS.10%29.aspx

    Configure forwarders for a DNS server
    http://technet.microsoft.com/es-es/library/cc755608%28WS.10%29.aspx


    Un saludo

    Fernando Reyes [MS MVP]
    MCSA 2000/2003
    MCSE 2000/2003
    MCITP EnterpriseAdministrator
    Web: http://freyes.svetlian.com
    Blog: http://urpiano.wordpress.com
    RSS: http://urpiano.wordpress.com/feed/
    freyes.champú@champú.mvps.org
    (Aclárate la cabeza si quieres escribirme)
    Monday, May 03, 2010 9:49 AM
    Moderator
  • Perdona fernando... no me sale, vamos no entiendo varias cosas, ni lo que deberia realizar.

    Solamente puedo acceder desde la red A a la B y viceversa, a traves del servidor de DNS, pero no del resto de equipos.

    Monday, May 03, 2010 10:07 AM
  • Recapitulemos ¿Qué has hecho hasta ahora?

    Un saludo

    Fernando Reyes [MS MVP]
    MCSA 2000/2003
    MCSE 2000/2003
    MCITP EnterpriseAdministrator
    Web: http://freyes.svetlian.com
    Blog: http://urpiano.wordpress.com
    RSS: http://urpiano.wordpress.com/feed/
    freyes.champú@champú.mvps.org
    (Aclárate la cabeza si quieres escribirme)
    Monday, May 03, 2010 10:59 AM
    Moderator
  • a ver, solamente he creado los reenviadores desde el A al B, poniendo las ip en el B del A y en el A del B, que son servidores DNS
    Monday, May 03, 2010 11:02 AM
  • ¿Puedes resolver nombres de un dominio en otro? Los nombres deben ser FQDN (nombreequipo.dominio), a no ser que incluyas el sufijo DNS del dominio B en los equipos del dominio A y viceversa.

    Un saludo

    Fernando Reyes [MS MVP]
    MCSA 2000/2003
    MCSE 2000/2003
    MCITP EnterpriseAdministrator
    Web: http://freyes.svetlian.com
    Blog: http://urpiano.wordpress.com
    RSS: http://urpiano.wordpress.com/feed/
    freyes.champú@champú.mvps.org
    (Aclárate la cabeza si quieres escribirme)
    Monday, May 03, 2010 12:52 PM
    Moderator
  • Si fernando haciendo un ping desde una maquina del dominio A (nombreequipob.dominio.local) si me da respuesta, vamos me resuelve la ip del otro dominio 192.168.0.1

     

    Ahora que deberia hacer? Gracias!!

    Thursday, May 06, 2010 10:49 AM
  • Verifica que se cumplen todos los requisitos:

    Checklist: Create a Forest Trust
    http://technet.microsoft.com/en-us/library/cc770907.aspx


    Un saludo

    Fernando Reyes [MS MVP]
    MCSA 2000/2003
    MCSE 2000/2003
    MCITP EnterpriseAdministrator
    Web: http://freyes.svetlian.com
    Blog: http://urpiano.wordpress.com
    RSS: http://urpiano.wordpress.com/feed/
    freyes.champú@champú.mvps.org
    (Aclárate la cabeza si quieres escribirme)
    Thursday, May 06, 2010 10:54 AM
    Moderator
  • si si se cumplen todos ellos.
    Thursday, May 06, 2010 11:29 AM
  • Si desde el dominio A ya eres capaz de resolver nombres de equipos del dominio B (basta con que puedas resolver los de los controladores de dominio), y si hay comunicación entre ambos dominios (también aquí basta con que puedas comunicar con los controladores del dominio), solo tienes que ir a la consola de administración 'Dominios y confianzas de Active Directory', seleccionar el dominio A en la consola, y, con el botón derecho del ratón, te saldrá un menú, del que tendrás que elegir Propiedades. Una vez se haya abierto una nueva ventana, tienes que ir a la pestaña que pone 'Confía', y pinchar en el botón que pone Nueva confianza. A partir de ahí, tendrás que seguir los pasos que te marca el asistente.

     

    Saludos

     

    Thursday, May 06, 2010 12:17 PM
  • y como sabria que esta ya creado? Tiene que aparecerme algo en algun sitio?
    Thursday, May 06, 2010 1:24 PM
  • Sí, precísamente en Dominios y confianzas de Active Directory.

    Un saludo

    Fernando Reyes [MS MVP]
    MCSA 2000/2003
    MCSE 2000/2003
    MCITP EnterpriseAdministrator
    Web: http://freyes.svetlian.com
    Blog: http://urpiano.wordpress.com
    RSS: http://urpiano.wordpress.com/feed/
    freyes.champú@champú.mvps.org
    (Aclárate la cabeza si quieres escribirme)
    Thursday, May 06, 2010 1:57 PM
    Moderator
  • Pues Fernando, si tendria que salirme en dominios y confianzas, el dominio A y B. Solamente me sale uno de ellos. no ambos.
    Thursday, May 06, 2010 2:30 PM
  • En A tiene que salirte la relación de confianza con B, y en B la relación de confianza con A. Si la has hecho mutua, te tiene que salir una entrada en dominio en los que se confía y otra en dominios que confían.

    Un saludo

    Fernando Reyes [MS MVP]
    MCSA 2000/2003
    MCSE 2000/2003
    MCITP EnterpriseAdministrator
    Web: http://freyes.svetlian.com
    Blog: http://urpiano.wordpress.com
    RSS: http://urpiano.wordpress.com/feed/
    freyes.champú@champú.mvps.org
    (Aclárate la cabeza si quieres escribirme)
    Thursday, May 06, 2010 2:49 PM
    Moderator
  • si eso si que me sale, pero por ejemplo desde mis sitios de red, metiendome en el otro dominio, deberia de tener acceso a los recursos no? Y haciendo un ping desde cualquier equipo del dominio A deberia de llegar a cualquier equipo del dominio B? un saludo y muchas gracias
    Thursday, May 06, 2010 3:01 PM
  • Para tener acceso a los recursos de un dominio que confía en otro, hay que dar los permisos necesarios. Pero antes de eso, tiene que haber conectividad IP entre las máquinas que van a acceder a esos recursos y las que alojan esos recursos.

     

    Me explico: si el dominio A confía en el dominio B, significa que los usuarios del dominio B podrán acceder a recursos compartidos en equipos del dominio A. Pero para ello, primero tiene que haber conectividad, y después, permisos.

     

    En la conectividad influyen varias cosas: routers que haya entre máquinas de un dominio y otro, firewalls que puedan bloquear la comunicación..

     

    En todo caso, para que un equipo del dominio A llegue con ping a uno del dominio B no hace falta ninguna relación de confianza, pero si no llega, aunque haya relación de confianza no podrán conectarse a sus recursos.

     

     

    Thursday, May 06, 2010 3:36 PM
  • Cuando quiero logear con un usuario en el dominio de confianza, me sale que no tengo los permisos necesarios. Donde se establece el permiso para que los usuarios puedan validarse en el otro dominio ?

    Gracias

    Sol. Agregar al usuario o usuarios a uno de los grupos predeterminados del equipo en mencion. Con scripts podemos hacer este procedimiento con cuantos equipos querramos. Sorry por el off topic.

    • Edited by DiegoGuindows Wednesday, July 07, 2010 11:00 PM solucion
    Wednesday, July 07, 2010 10:43 PM
  • No te puedes logar con un usuario del dominio A en el dominio B ni viceversa. Los usuarios sólo se pueden logar en su propio dominio.

    Respecto al off topic, para hacer eso no es necesario ningún script, se puede usar una GPO de grupos restringidos.


    Un saludo

    Fernando Reyes [MS MVP]
    MCSA 2000/2003
    MCSE 2000/2003
    MCITP EnterpriseAdministrator
    Web: http://freyes.svetlian.com
    Blog: http://urpiano.wordpress.com
    RSS: http://urpiano.wordpress.com/feed/
    freyes.champú@champú.mvps.org
    (Aclárate la cabeza si quieres escribirme)
    Thursday, July 08, 2010 7:36 AM
    Moderator