none
Validacion en AD RRS feed

  • Pregunta

  • Buenos dias a todos,

    Tengo la siguiente estructura de AD un dominio raiz (dominio.net) y dos subdominios dominio1.dominio.net y dominio2.dominio.net. Todos estan separados geograficamene y en cada localizacion hay un firewall, estos estan configurados y en principio todo el tema de replicacion funciona sin problemas.

    Mi cuestion es la siguiente si por motivos de trabajo un usuario del dominio1 tiene que desplazarse a la ubicación de dominio2 (o a la inversa un usuario de dominio2 se desplaza a la ubicacion de dominio2), si este usuario se valida contra su dominio (dominio1) como se realiza la validación. ¿Los controladores de domino2 serian capaces de validarle, o esta peticion debe ser resuelta por los controladores de dominio1? ¿Seria posible que los usuarios al validarse contra su dominio en cualquier ubicación del bosque fueran validados por los controladores de dominio locales?

    Gracias de antemano.

    Saludos


    "Saber que se sabe lo que se sabe y que no se sabe lo que no se sabe; he aquí el verdadero saber." Confucio


    • Editado GregoJ miércoles, 8 de febrero de 2012 8:38
    miércoles, 8 de febrero de 2012 8:37

Respuestas

  • Hola,

    Lamentablemente, la validacion de cuentas se realizan desde el Domain Controller del dominio al que pertenece el usuario, por mas que todos los DCs de tu Forest sean GC, vas a tener una copia de lectura de tus otros dominios pero no la validacion de las cuentas, cuando un usuario se autentica estando fisicamente en otro sitio, la atension la recibira del DC local, pero al ser usuario de otro dominio, la validacion del mismo sera direccionada al Domain Controller del mismo dominio del usuario.-

    Segun la estructura geografica/vinculos/red/etc, tendras que hacer un re-diseño de tu forest por si actualmente presentas lentitud de algun tipo...

    Salu2


    Leonardo Ponti
    MCTS: Microsoft Certified Technology Specialist
    MPN: Microsoft Partner Network
    MCC: Microsoft Community Contributor 2011
    MCSE: Microsoft Certified Systems Engineer (Windows Server 2003)
    MCSA: Microsoft Certified Systems Administrator (Windows Server 2003)
    MVA: Microsoft Virtual Academy
    MAP: Microsoft Active Professional (2010/2011)

    Este mensaje se proporciona "como está" sin garantías de ninguna clase, y no otorga ningún derecho. Ud. asume los riesgos.
    This posting is provided "AS IS" with no warranties, and confer no rights. You assume all risk for your use.

    • Marcado como respuesta GregoJ viernes, 10 de febrero de 2012 15:29
    miércoles, 8 de febrero de 2012 14:17
    Moderador
  • Hola,

    La validacion sobre el Domain Controller del usuario, la va a realizar desde el Desktop o PC donde el mismo se quiera logear, bajo referencias que le envie el primer domain controller que lo atiende (perteneciente a otro dominio), esto funciona con protocolos de autenticaciones de Kerveros y NTLM segun version habilitada y versionado de dominio que corresponda.

    Con respecto a los puertos que tienes que habilitar, te recomiendo seguir al pie de la letra el siguiente articulo: http://support.microsoft.com/kb/179442 cuando tienes Firewalls en tu estructura de Active Directory y Clientes (Servidores o PCs), tienes que tener cuidado y habilitar todos los puertos que correspondan, para no tenes inconvenientes extraños.-

    Por otro lado, un articulo que en pocas lineas explica en parte la autenticaciones entre distintos dominios, te invito a leer el siguiente link: http://technet.microsoft.com/en-us/library/cc787646(WS.10).aspx Si deseas podemos hablar mas del tema..., desde ya es extenso y dificil de comprender.-

    Salu2


    Leonardo Ponti
    MCTS: Microsoft Certified Technology Specialist
    MPN: Microsoft Partner Network
    MCC: Microsoft Community Contributor 2011
    MCSE: Microsoft Certified Systems Engineer (Windows Server 2003)
    MCSA: Microsoft Certified Systems Administrator (Windows Server 2003)
    MVA: Microsoft Virtual Academy
    MAP: Microsoft Active Professional (2010/2011)

    Este mensaje se proporciona "como está" sin garantías de ninguna clase, y no otorga ningún derecho. Ud. asume los riesgos.
    This posting is provided "AS IS" with no warranties, and confer no rights. You assume all risk for your use.

    • Marcado como respuesta GregoJ viernes, 10 de febrero de 2012 15:29
    miércoles, 8 de febrero de 2012 20:07
    Moderador

Todas las respuestas

  • Hola,

    Lamentablemente, la validacion de cuentas se realizan desde el Domain Controller del dominio al que pertenece el usuario, por mas que todos los DCs de tu Forest sean GC, vas a tener una copia de lectura de tus otros dominios pero no la validacion de las cuentas, cuando un usuario se autentica estando fisicamente en otro sitio, la atension la recibira del DC local, pero al ser usuario de otro dominio, la validacion del mismo sera direccionada al Domain Controller del mismo dominio del usuario.-

    Segun la estructura geografica/vinculos/red/etc, tendras que hacer un re-diseño de tu forest por si actualmente presentas lentitud de algun tipo...

    Salu2


    Leonardo Ponti
    MCTS: Microsoft Certified Technology Specialist
    MPN: Microsoft Partner Network
    MCC: Microsoft Community Contributor 2011
    MCSE: Microsoft Certified Systems Engineer (Windows Server 2003)
    MCSA: Microsoft Certified Systems Administrator (Windows Server 2003)
    MVA: Microsoft Virtual Academy
    MAP: Microsoft Active Professional (2010/2011)

    Este mensaje se proporciona "como está" sin garantías de ninguna clase, y no otorga ningún derecho. Ud. asume los riesgos.
    This posting is provided "AS IS" with no warranties, and confer no rights. You assume all risk for your use.

    • Marcado como respuesta GregoJ viernes, 10 de febrero de 2012 15:29
    miércoles, 8 de febrero de 2012 14:17
    Moderador
  • Gracias Leonardo por tu respuesta,

    ¿Sabrias decirme como se realiza el proceso de autenticacion? , es decir, Si mi usario se valida en dominio2 como dominio1\usuario, la autenticación la va ha realizar un controlador de dominio1, pero la conversación se establece entre el equipo del usuario y un controlador de dominio2, ¿Es este controlador de dominio2 el que va a realizar la conversación con el controlador de dominio1, o es el equipo del usuario el que intentara negociar directamente con un controlador del dominio1?. Mas que nada tendria que saber como es exactamente la negociación ya que esta situación implicara abrir nuevos puertos en los firewalls.

    Gracias de antemano.

    Un saludo.

    GregoJ


    "Saber que se sabe lo que se sabe y que no se sabe lo que no se sabe; he aquí el verdadero saber." Confucio

    miércoles, 8 de febrero de 2012 15:17
  • Hola,

    La validacion sobre el Domain Controller del usuario, la va a realizar desde el Desktop o PC donde el mismo se quiera logear, bajo referencias que le envie el primer domain controller que lo atiende (perteneciente a otro dominio), esto funciona con protocolos de autenticaciones de Kerveros y NTLM segun version habilitada y versionado de dominio que corresponda.

    Con respecto a los puertos que tienes que habilitar, te recomiendo seguir al pie de la letra el siguiente articulo: http://support.microsoft.com/kb/179442 cuando tienes Firewalls en tu estructura de Active Directory y Clientes (Servidores o PCs), tienes que tener cuidado y habilitar todos los puertos que correspondan, para no tenes inconvenientes extraños.-

    Por otro lado, un articulo que en pocas lineas explica en parte la autenticaciones entre distintos dominios, te invito a leer el siguiente link: http://technet.microsoft.com/en-us/library/cc787646(WS.10).aspx Si deseas podemos hablar mas del tema..., desde ya es extenso y dificil de comprender.-

    Salu2


    Leonardo Ponti
    MCTS: Microsoft Certified Technology Specialist
    MPN: Microsoft Partner Network
    MCC: Microsoft Community Contributor 2011
    MCSE: Microsoft Certified Systems Engineer (Windows Server 2003)
    MCSA: Microsoft Certified Systems Administrator (Windows Server 2003)
    MVA: Microsoft Virtual Academy
    MAP: Microsoft Active Professional (2010/2011)

    Este mensaje se proporciona "como está" sin garantías de ninguna clase, y no otorga ningún derecho. Ud. asume los riesgos.
    This posting is provided "AS IS" with no warranties, and confer no rights. You assume all risk for your use.

    • Marcado como respuesta GregoJ viernes, 10 de febrero de 2012 15:29
    miércoles, 8 de febrero de 2012 20:07
    Moderador
  • Gracias por tu respuesta y por los links.

    Creo que es un tema interesante y desde luego podemos seguir hablando sobre el mismo. Desde mi modesta opinion y considerando que los dominios estan dentro del mismo bosque y comparten catalogo seria algo muy interesante que un usuario puediera ser validado contra su dominio por cualquiera de los controladores del bosque, independientemente de su ubicación fisica.

    Gracias de nuevo

    Un saludo

    GregorioJ


    "Saber que se sabe lo que se sabe y que no se sabe lo que no se sabe; he aquí el verdadero saber." Confucio

    viernes, 10 de febrero de 2012 8:44
  • Los únicos Controladores de Dominio que pueden autenticar a un usuario son los correspondientes al Dominio donde está la cuenta de usuario.

    Aunque un Catálogo Global tiene réplica de todos los objetos del Bosque, no tiene todos los atributos de los objetos, y específicamente no tiene conocimiento de la contraseña de usuarios.

    Cuando un usuario va a iniciar sesión, la pregunta que envía el equipo al DNS es algo así como: "Quienes son los DCs del 'dominio_de_usuario' en el sitio del equipo"
    Luego contacta a un DC del 'dominio_de_usuario'. No contacta en ese momento a un DC del 'dominio_de_equipo'


    Guillermo Delprato - Buenos Aires, Argentina
    Visite Notas Windows Server
    MVP-MCT-MCSE-MCSA MCITP: Enterprise/Server Administrator MCTS: Active Directory/Network/Applications Configuration
    Este mensaje se proporciona "como está" sin garantías de ninguna clase. Usted asume todos los riesgos.

    lunes, 13 de febrero de 2012 10:51
    Moderador
  • Hola Guillermo gracias por tu puntualizacion.

    Esta problematica de la validacion surge para usuarios moviles. Cuando un usuario del dominio1 con su equipo tambien del dominio1 se traslada a la ubicación de dominio2, el usuario en cuestión conecta su equipo en la red de dominio2 (del mismo bosque que dominio1) e intentanta validarse en dominio1. ¿como se realiza la negociación? ¿la realizan los controladores de dominio2 con los de dominio1, o al final el equipo del usuario va ha intentar validarse contra los controladores de dominio1?. Lo digo mas que nada por el tema de los firewalls, ahora mismo todo el trafico entre controladores si esta permitido, pero este tráfico de equipos en un dominio hacia controladores del otro dominio no, entonces me imagino que al final si las peticiones se realizan contra los DC´s de su dominio directamente no va ha poder validarse.

    Gracias de antemano.

    Un saludo

    Gregorio J.


    "Saber que se sabe lo que se sabe y que no se sabe lo que no se sabe; he aquí el verdadero saber." Confucio

    lunes, 13 de febrero de 2012 15:21
  • Hola,

    Como puntualizo Guillermo y tambien comente yo, la validacion la realizas contra el DC del dominio del usuario, con lo cual ahi se te presenta el problema si tienes Firewalls y entre los mismos, no tienes las habilitaciones correspondientes, chequea y aplica el articulo que te comente en un post: http://support.microsoft.com/kb/179442 y solucionaras el inconveniente.-

    Salu2


    Leonardo Ponti
    MCTS: Microsoft Certified Technology Specialist
    MPN: Microsoft Partner Network
    MCC: Microsoft Community Contributor 2011
    MCSE: Microsoft Certified Systems Engineer (Windows Server 2003)
    MCSA: Microsoft Certified Systems Administrator (Windows Server 2003)
    MVA: Microsoft Virtual Academy
    MAP: Microsoft Active Professional (2010/2011)

    Este mensaje se proporciona "como está" sin garantías de ninguna clase, y no otorga ningún derecho. Ud. asume los riesgos.
    This posting is provided "AS IS" with no warranties, and confer no rights. You assume all risk for your use.

    lunes, 13 de febrero de 2012 15:26
    Moderador
  • Hola

    Usando Active Directory Federation Services podría conseguir que los usuarios se validaran en la ubicación en la que estuvieran aunque no pertenecieran al dominio local?.

    Gracias

    Un saludo


    "Saber que se sabe lo que se sabe y que no se sabe lo que no se sabe; he aquí el verdadero saber." Confucio

    martes, 14 de febrero de 2012 11:52
  • Hola,

    Con ADFS los usuarios tambien se autenticaran en el Domain Controller de su dominio, ADFS es util por ejemplo para aplicaciones las cuales tengan que consultar multidominios, pero la autenticaciones en los Desktops/Servidores, te seguira funcionando como hasta ahora.-

    Salu2


    Leonardo Ponti
    MCTS: Microsoft Certified Technology Specialist
    MPN: Microsoft Partner Network
    MCC: Microsoft Community Contributor 2011
    MCSE: Microsoft Certified Systems Engineer (Windows Server 2003)
    MCSA: Microsoft Certified Systems Administrator (Windows Server 2003)
    MVA: Microsoft Virtual Academy
    MAP: Microsoft Active Professional (2010/2011)

    Este mensaje se proporciona "como está" sin garantías de ninguna clase, y no otorga ningún derecho. Ud. asume los riesgos.
    This posting is provided "AS IS" with no warranties, and confer no rights. You assume all risk for your use.

    viernes, 17 de febrero de 2012 3:34
    Moderador
  • Hola,

    Gracias por tus aclaraciones,

    Solo una última pregunta, en principio podría forzar la replica del password de los usuarios en el catalogo global, si lo hiciera, ¿seria capaz cualquier controlador de validar a cualquier usuario? , entendemos que dentro del mismo bosque.

    Un saludo

    GregoJ


    "Saber que se sabe lo que se sabe y que no se sabe lo que no se sabe; he aquí el verdadero saber." Confucio

    lunes, 20 de febrero de 2012 9:45
  • Hola,

    No, el funcionamiento normal y que siempre sincronizara el OK o no ante la utenticacion de un usuario, es mediante el logon al Domain Controller del dominio al que pertenece el usuario, eso no hay forma de modificarlo y como te comente, ADFS tiene otra finalidad a la que vos quieres implementar.-

    Salu2


    Leonardo Ponti
    MCTS: Microsoft Certified Technology Specialist
    MPN: Microsoft Partner Network
    MCC: Microsoft Community Contributor 2011
    MCSE: Microsoft Certified Systems Engineer (Windows Server 2003)
    MCSA: Microsoft Certified Systems Administrator (Windows Server 2003)
    MVA: Microsoft Virtual Academy
    MAP: Microsoft Active Professional (2010/2011)

    Este mensaje se proporciona "como está" sin garantías de ninguna clase, y no otorga ningún derecho. Ud. asume los riesgos.
    This posting is provided "AS IS" with no warranties, and confer no rights. You assume all risk for your use.

    lunes, 20 de febrero de 2012 17:39
    Moderador