none
Relacion de confianza ? RRS feed

  • Pregunta

  • Tengo un Servidor que es mi DC principal y unico, por ahora,...esta en Windows 2003 Server Estandar, y me han dejado como tarea levantar otro servidor de las mismas caracteristicas, pero que estara en otra red---vale decir tendra otro IP y funcionara como DC de dicha red. Es una red DMZ. Como podria realizar dicha relacion de confianza, ambas redes pasan por un Firewall, usando tarjetas de red diferentes.

    Espero su ayuda, muchas gracias.


    Milton SIfuentes
    miércoles, 18 de enero de 2012 3:19

Respuestas

  • Cuando se agrega un nuevo dominio, hay que dejar pasar casi 1 hora hasta que se arman los objetos conexión para poder replicar y que se comuniquen los dominios

    Si pasó más de ese tiempo, el problema puede estar en el firewall, o en la configuración de los equipos

     


    Guillermo Delprato - Buenos Aires, Argentina
    Visite Notas Windows Server
    MVP-MCT-MCSE-MCSA MCITP: Enterprise/Server Administrator MCTS: Active Directory/Network/Applications Configuration
    Este mensaje se proporciona "como está" sin garantías de ninguna clase. Usted asume todos los riesgos.
    • Propuesto como respuesta Ismael Borche martes, 24 de enero de 2012 17:02
    • Marcado como respuesta Ismael Borche miércoles, 25 de enero de 2012 21:56
    viernes, 20 de enero de 2012 17:17
    Moderador

Todas las respuestas

  • Hola, cambié el foro ya que la por la pregunta, este foro es más adecuado

    No queda claro de la pregunta, si harás un nuevo Bosque, o Dominio, o si simplemente será un DC adicional al dominio existente

    De todas formas, tener un firewall entre dos DCs que deben comunicarse no es fácil, por la cantidad de protocolos y puertos que hay que abrir, y que son muchos

    Tienes un artículo referente al tema en: Active Directory Replication Over Firewalls - TechNet Articles - Home - TechNet Wiki:
    http://social.technet.microsoft.com/wiki/contents/articles/active-directory-replication-over-firewalls.aspx

     


    Guillermo Delprato - Buenos Aires, Argentina
    Visite Notas Windows Server
    MVP-MCT-MCSE-MCSA MCITP: Enterprise/Server Administrator MCTS: Active Directory/Network/Applications Configuration
    Este mensaje se proporciona "como está" sin garantías de ninguna clase. Usted asume todos los riesgos.
    miércoles, 18 de enero de 2012 10:40
    Moderador
  • HOla gracias por responder Guillermo, mi idea es que sea un nuevo dominio, pero que tenga o que pueda acceder a los recursos de mi otro dominio (el principal) ...con respecto al firewall no hay problema, eso si sabemos como enfrentarlo, la idea es que este dominio tenga un rango de ip diferente ya que estara en o sera una red DMZ. Gracias.
    Milton SIfuentes
    miércoles, 18 de enero de 2012 15:41
  • Si va a ser un nuevo dominio, debes crearlo como tal en el Asistente del "DCPromo".

    Si luego quieres acceder a recursos del otro, deberás crear una Relación de Confianza entre ambos entornos.

    Y una vez los dominio "confían" entre ellos (hay varios tipos de confianza) podrás asignar permisos cruzados para acceder a recursos de uno u de otro.

    En cuanto al direccionamiento IP, a los DCs esto "les da igual" dado que nunca ven lo que hay por debajo. Para eso están los routers, switches, etc.


    Saludos,

    Marc
    MCSA/MCSE 2003
    MCITP: Enterprise Administrator (Windows Server 2008)
    MCITP: Enterprise Messaging Administrator (Microsoft Exchange 2007 & Exchange 2010)
    MCITP: Lync Server Administrator 2010
    MCC: Microsoft Community Contributor 2011
    Citrix CCA
    Visita mi blog en ITPro.es
    MCP Virtual Bussines Card

    miércoles, 18 de enero de 2012 16:33
    Moderador
  • Excelente, eso mismo pensaba yo, pero en que casos debo elegir estas opciones: dominio en nu nuevo bosque, o dominio secundario en un arbol de dominio o arbol de dominio en un bosque existente... estas 3 me salen al momento de elegir la opcion NUevo Dominio.....
    Milton SIfuentes
    miércoles, 18 de enero de 2012 17:10
  • Ok. La elección depende de lo que quieras obtener.

    Si quieres dominios independientes pero dentro de una misma estructura de seguridad, deberás crearlo dentro del mismo bosque (los Enterprise Admin podrán administrar ambos dominios). Además, en este caso se crear Relaciones de confianza "implícitas" (e "internas") entre ambos dominios.

    Si quieres que sean totalmente independientes, bosque nuevo y creación de relaciones de confianza explícitas (y "externas")

    Un subdominio no le veo la utilidad para lo que necesitas.


    Saludos,

    Marc
    MCSA/MCSE 2003
    MCITP: Enterprise Administrator (Windows Server 2008)
    MCITP: Enterprise Messaging Administrator (Microsoft Exchange 2007 & Exchange 2010)
    MCITP: Lync Server Administrator 2010
    MCC: Microsoft Community Contributor 2011
    Citrix CCA
    Visita mi blog en ITPro.es
    MCP Virtual Bussines Card
    miércoles, 18 de enero de 2012 17:25
    Moderador
  • Gracias Guillermo, eso mismo pénsaba, utilizare la 2da opcion, Dominio Secundario en un arbol de dominios existentes. Creo que es lo mas conveniente para mi organizacion. No hay problema, muy aparte del firewall, si a estos dos dominios les asigno ips diferentes o los coloco en redes diferentes no es asi ?
    Milton SIfuentes
    miércoles, 18 de enero de 2012 17:48
  • No, tampoco hay problemas si están en redes diferentes con direccionamiento diferente. Es más, aunque estuvieran en la misma red tampoco tendrías problemas (excepto con servicios de DHCP)
    Saludos,

    Marc
    MCSA/MCSE 2003
    MCITP: Enterprise Administrator (Windows Server 2008)
    MCITP: Enterprise Messaging Administrator (Microsoft Exchange 2007 & Exchange 2010)
    MCITP: Lync Server Administrator 2010
    MCC: Microsoft Community Contributor 2011
    Citrix CCA
    Visita mi blog en ITPro.es
    MCP Virtual Bussines Card
    miércoles, 18 de enero de 2012 18:19
    Moderador
  • Ya instale el AD Secundario, pero cuando intento crear la relacion de ocnfianza me inidica que no encuentra el otro dominio, me estoy slatando algun paso ?
    Milton SIfuentes
    miércoles, 18 de enero de 2012 19:13
  • Algo no me cuadra.

    Para generar un dominio dentro de un bosque ya existente - que es lo que dices que quieres - el "futuro DC" debe ser member server del dominio principal.

    Create a new domain tree

    http://technet.microsoft.com/en-us/library/cc782483(WS.10).aspx

    Y la relación de confianza se genera sola.


    Saludos,

    Marc
    MCSA/MCSE 2003
    MCITP: Enterprise Administrator (Windows Server 2008)
    MCITP: Enterprise Messaging Administrator (Microsoft Exchange 2007 & Exchange 2010)
    MCITP: Lync Server Administrator 2010
    MCC: Microsoft Community Contributor 2011
    Citrix CCA
    Visita mi blog en ITPro.es
    MCP Virtual Bussines Card
    miércoles, 18 de enero de 2012 19:18
    Moderador
  • MIltoncito, no existe "dominio secundario" ¿te refieres a un sub-dominio?

    Si el primer dominio se llamara "dominio.sufijo", el otro debería llamarse "comoquieras.dominio.sufijo"

    Si no contiene el nombre del dominio "padre" entonces no es un sub-dominio. O es un Árbol en el mismo Bosque, o estás haciendo un Bosque diferente.

    Si no encuentra al otro dominio, es porque no está bien configurado DNS. Si explicaras bien lo que estás haciendo quizás podamos ayudarte mejor :)

    En los siguientes enlaces tienes un paso a paso para crear un Dominio Raíz, y un Sub-Dominio
    Está pensado para diferentes Sites, que en tu caso no aplica, pero el procedimiento es el mismo salvo la configuración de Sites.
    Específicamente la nota primera y tercera, son tu caso

    Creación de un Bosque (Forest) – Parte 1 Instalación del Primer Controlador del Dominio del Dominio Raíz:
    http://windowserver.wordpress.com/2011/05/27/creacin-de-un-bosque-forest/

    Creación de un Bosque (Forest) – Parte 2 Instalación del Segundo Controlador de Dominio del Dominio Raíz – Controlador Adicional – Controlador de Dominio Réplica:
    http://windowserver.wordpress.com/2011/05/28/creacin-de-un-bosque-forest-parte-2/

    Creación de un Bosque (Forest) – Parte 3 Creación de un Subdominio (Child Domain) en un Sitio (Site) diferente – Primer Controlador de Dominio:
    http://windowserver.wordpress.com/2011/05/28/creacin-de-un-bosque-forest-parte-3/

    Creación de un Bosque (Forest) – Parte 4 Creación de un Subdominio (Child Domain) en un Sitio (Site) diferente – Segundo Controlador de Dominio (Core Server):
    http://windowserver.wordpress.com/2011/06/04/creacin-de-un-bosque-forest-parte-4/

     

    Y quizás lo más importante :) ¿cuál es la justificación para tener otro Dominio? porque dependiendo de eso es si te conviene sub-Dominio, o Bosque diferente

     


    Guillermo Delprato - Buenos Aires, Argentina
    Visite Notas Windows Server
    MVP-MCT-MCSE-MCSA MCITP: Enterprise/Server Administrator MCTS: Active Directory/Network/Applications Configuration
    Este mensaje se proporciona "como está" sin garantías de ninguna clase. Usted asume todos los riesgos.
    miércoles, 18 de enero de 2012 22:44
    Moderador
  • Bueno el porque de la creacion de otro dominio es por seguridad, mi idea es que se conecten mis usuarios externos desde la nube a el dominio (dominio 3) que quiero crear (para que no vean mi dominio principal - dominio 1) y que una vez que se logueen a ese dominio (dominio 3) puedan acceder a los recursos compartidos que estan en mi otro dominio (dominio 1), en un pc de mi dominio principal (dominio 1). Anoche por fin pude realizar la relacion de confianza, pero al terminar de promocionar no me levanto el Servidor DNS y al parecer se quedo grabada en cache un intento anterior (dominio3) de instalacion de el dominio...ya logre borrarlo del servidor principal , pero del que acabo de crear no, sigue figurando en la lista izquierda de DOminios y confianzas de Active directory...creo que me ya me hice bolas...
    Milton SIfuentes
    jueves, 19 de enero de 2012 15:18
  • Tienes un problema de diseño, no se debe hacer así como comentas según mi opinión

    1.- Nunca un equipo que está en la red interna debe poder ser accedido desde afuera

    2.- Si un usuario "externo" accede a un equipo de tu dominio interno, no sólo lo "ve" como dices, sino que además tiene acceso directo al equipo, lo cual es mucho peor que ver

    Ideas que te doy, pero habría que conocer a fondo todo para hacer alguna mejor recomendación

    - Los datos a acceder desde afuera deben estar en la DMZ; no en la red interna

    - Hay que tener cuidado de cómo acceden estos usuarios externos al equipo ¿con una VPN?

    - Teniendo "externos" y por seguridad, lo mejor es diferente Bosque

    - Y la relación de confianza debería ser *unidireccional*. Que tus usuarios internos puedan acceder a los recursos en la DMZ, y *nunca* que los externos a tu dominio interno
    Si están dentro del mismo Bosque, la relación es *Bidireccional*; no hay alternativa

    - Habría que analizar si realmente conviene un Dominio para esos accesos externos, o alcanzaría con cuentas locales; depende de la cantidad de servidores

    Resumiendo, creo que hay que planterlo al revés de la propuesta original. No que los externos accedan a equipos internos, sino que los internos puedan dejar los datos que necesiten compartir en los servidores de la DMZ (externos)

     


    Guillermo Delprato - Buenos Aires, Argentina
    Visite Notas Windows Server
    MVP-MCT-MCSE-MCSA MCITP: Enterprise/Server Administrator MCTS: Active Directory/Network/Applications Configuration
    Este mensaje se proporciona "como está" sin garantías de ninguna clase. Usted asume todos los riesgos.
    jueves, 19 de enero de 2012 16:42
    Moderador
  • Mis usuarios externos ingresan a traves de un software, un middleware llamado tarantela, que ofrece un ingreso via Browser a nuestros servicios que ofrecemos, esos servicios son nuestro Sistema de ventas y las carpeta personal de informacion de los usuarios logueados, ya que tenemos vendedores que asi como tambien realizan ventas dentro de nuestra red (fisicamente) tambien realizan ventas fuera de nuestra red (geograficamente hablando) y para eso necesitan acceder a nuestro Sistema y data que esta en nuestro dominio y red principal. Tarantela se acopla con nuestro Active directory (del dominio 2)  para que nuestros usuarios se logueen.

    He tenido un par de meses horribles, mejor te explico en si como ha sido toda esta situacion. Antes teniamos W2000 para ambos AD, el dominio 1 prinicpal y el dominio 2; en el dominio 2 solo teniamos agregados nuestros usuarios externos. Ambos no replicaban usuarios, pero si se podian conectar desde ambos a cualquiera de ellos y crear usuarios, digamos si por ejemplo estoy en el entorno de crear usuarios de mi dominio1 y queria crear usuarios en mi dominio 2, me conectaba dando click derecho a la raiz del dominio 1 y elegia el dominio (dominio2) y lo creaba normalmente. Imagino que estaban en diferentes bosques pero se podian ver, es decir habia una relacion de confianza. Vale decir que el dominio 2 estaba en una red DMZ, con diferente rango de IP. Y asi estuvo trabajando mucho tiempo, nuestros usuarios entraban por tarantela a traves de nuestro AD del dominio 2, una vez logueados Tarantela mostraba en el Browser nuestro Sistema y la carpeta de datos del usuario, solamente del usuario y este trabajaba normal, al ejecutar el Sistema o ingresar a su data, que estaba en nuestro dominio principal (dominio 1) , ambos ejecutaban de manera normal y sin problemas....vale decir que la aplicacion del Sistema si estaba alojado en la DMZ, pero la Base de datos y la data de los usuarios si estaban en el dominio principal (dominio 1)

    Lamentablmente yo no hice esa configuracion, la encontre as, entonces decidimos migrar a W2008 nuestros servidores de dominio, ambos, por un plan de migracion de Servidores que habiamos planeado, comenzamos por el principal (dominio 1), y como sabras para pasar a w2008 hay que pasar primero a 2003, tuvimos algunos problemas pero logramos migrar a W2003, pero se perdio la confianza con el dominio2 que aun tenia w2000 entonces, es ahi donde me he kedado, quiero que eser server w2000 pase a ser un w2003 y trabaje como solia hacerlo y es ahi donde me he quedado....

    Ademas, vale decir que Tarantella se instala en una PC que pertenece al dominio 2, que a su vez tiene un IIS levantado donde esta Tarantella. Y que bueno a su vez sale a traves de nuestro firewall usando una ip publica que hace posible el trabajo que te explique....

    Espero puedas ayudarme, gracias.


    Milton SIfuentes
    jueves, 19 de enero de 2012 17:30
  • No conozco esa aplicación, y no me hagas analizarla por favor :)

    Además con los temas de seguridad entran a jugar muchos factores que no podríamos evaluar acá.

    Lástima que no se documentó la estructura antes de comenzar la migración, porque con eso se sabría cómo estaban relacionados ambos dominios, si en el mismo Bosque o Bosques separados :(

    Para que te sirva de referencia:

    - Si ambos Dominios están en el mismo Bosque, entonces hay una relación de confianza bidireccional requerida.
    Una relación bidireccional implica que los usuarios de ambos dominios pueden acceder a los recursos del otro, siempre y cuando tengan permisos.
    Pero además implica que pueden hacer búsquedas de objetos sobre todo el Bosque (a través del catálogo global), e iniciar sesión interactiva en cualquier máquina de cualquiera de los dominios

    - Habría que analizar el acceso a la aplicación y a los datos para ver si se puede hacer sólo unidireccional a la relación de confianza.
    Para esto último, tienen que estar en Bosques diferentes, y hacer una relación de tipo Externa, donde el dominio que tiene los recursos *confía* (outgoing-salida) en el dominio que tiene las cuentas (entrante)

    Verás si por la aplicación es esto último posible, ya que eso es lo que da seguridad

     


    Guillermo Delprato - Buenos Aires, Argentina
    Visite Notas Windows Server
    MVP-MCT-MCSE-MCSA MCITP: Enterprise/Server Administrator MCTS: Active Directory/Network/Applications Configuration
    Este mensaje se proporciona "como está" sin garantías de ninguna clase. Usted asume todos los riesgos.
    jueves, 19 de enero de 2012 19:13
    Moderador
  • BUeno volvere a hacerlo nuevamente, es mas ya lo estaba haciendo y peor haora tengo 2 dudas, el dominio que quiero rehacer se llama digamos segundo.com  entonces como estaba creandolo todo nuevamente desde cero decidi llamarlo digamos tercero.com, pero ahora que lo estoy haciendo nuevamente y quieor ponerle nuevamente el nombre anterior (es decir segundo.com) me sale un error que indica que el usuario aun tiene una cuenta con ese nombre en servidor primario ....como puedo solucionar eso ya lo he buscado por todos lados en el servidor primario y no encuentro rastro de el....
    Milton SIfuentes
    jueves, 19 de enero de 2012 19:49
  • Si el primero se llama "dominio.com" y el segundo dominio se llama "segundo.com", entonces aunque están en el mismo Bosque, son Arboles diferentes

    Para eliminar la cuenta que nombras, prueba primero si figura en Active Directory Domain and Trusts, y elimínala desde ahí.

    Si con lo anterior no puedes solucionarlo: How to remove orphaned domains from Active Directory:
    http://support.microsoft.com/kb/230306

     


    Guillermo Delprato - Buenos Aires, Argentina
    Visite Notas Windows Server
    MVP-MCT-MCSE-MCSA MCITP: Enterprise/Server Administrator MCTS: Active Directory/Network/Applications Configuration
    Este mensaje se proporciona "como está" sin garantías de ninguna clase. Usted asume todos los riesgos.
    viernes, 20 de enero de 2012 11:44
    Moderador
  • Si guillermo gracias ya lo pude realizar! Ya pude levantar mi dominio secundario e incluso ya puedo ver el active directory de mi otro dominio (del principal), pero tengo dos problemitas, uno es que desde mi dominio principal no puedo ver el active directory del dominio recien creado, y el otro es que aunque puedo ver desde mi dominio recien creado el active directory de mi dominio principal no puedo hacer modificaciones ni crear nuevos usuarios en dicho dominio...es solo cuestion de permisos o me he comido algun paso ? Gracias por todo tu tiempo y ayuda...
    Milton SIfuentes
    viernes, 20 de enero de 2012 13:23
  • Todavía no me he enterado si son dos dominios en el mismo Bosque pero en Arboles diferentes, o si están en dos Bosques diferentes, así que nada te puedo decir a lo que preguntas

    Por otro lado, no digas "no puedo ver" porque eso no aporta para ayudarte. Pon exactamente cuál es el procedimiento, cuál es el error que da.

    Si están en Bosques diferentes pon qué tipo de relación se ha hecho

    Si están en el mismo Bosque que se haya efectuado correctamente la replicación.

    Y además ten en cuenta, que tú "debes poner lo tuyo también" :)
    En un foro ayudamos, pero no hacemos :)

     


    Guillermo Delprato - Buenos Aires, Argentina
    Visite Notas Windows Server
    MVP-MCT-MCSE-MCSA MCITP: Enterprise/Server Administrator MCTS: Active Directory/Network/Applications Configuration
    Este mensaje se proporciona "como está" sin garantías de ninguna clase. Usted asume todos los riesgos.
    viernes, 20 de enero de 2012 15:55
    Moderador
  • Son dos dominios en el mismo bosque pero en Arboles diferentes, la relacion de confianza se realizo al parecer de manera correcta, ya que como te digo puedo conectarme desde mi nuevo dominio al active directory de mi servidor principal pero no puedo agregar ni modificar ususarios,  me sale deshabilitada esa opcion; es mas cuando quiero agregar un permisos a una carpeta y busco el otro dominio y busco los usuarios sale un mensaje que dice "Este Servidor no es operaicional"  por otro lado cuando quiero conectarme desde mi servidor principal al active directory de el otro dominio no puedo, sale un mensaje indicandome lo siguiente: El dominio no existe, no se pudo establecer una conexion con el... "
    Milton SIfuentes
    viernes, 20 de enero de 2012 16:26
  • Cuando se agrega un nuevo dominio, hay que dejar pasar casi 1 hora hasta que se arman los objetos conexión para poder replicar y que se comuniquen los dominios

    Si pasó más de ese tiempo, el problema puede estar en el firewall, o en la configuración de los equipos

     


    Guillermo Delprato - Buenos Aires, Argentina
    Visite Notas Windows Server
    MVP-MCT-MCSE-MCSA MCITP: Enterprise/Server Administrator MCTS: Active Directory/Network/Applications Configuration
    Este mensaje se proporciona "como está" sin garantías de ninguna clase. Usted asume todos los riesgos.
    • Propuesto como respuesta Ismael Borche martes, 24 de enero de 2012 17:02
    • Marcado como respuesta Ismael Borche miércoles, 25 de enero de 2012 21:56
    viernes, 20 de enero de 2012 17:17
    Moderador