Remove From My Forums

Problemas para establecer Relacion de confianza entre dos dominios

Pregunta
0

Inicie sesión para votar

hola

No podemos establecer la relación de confianza entre dos servidores windows server standard 2016, ambos dominios están en redes diferentes, la cual están conectadas por una vpn site to site. En ambos dominios se crearon los dns condicionales, se dio de baja el firewall, se utilizaron credenciales con los permisos necesarios, los nombres de los servidores de dominio y dns, se resuelven correctamente, pero no logra establecer la confianza.El mensaje que muestra el asistente, casi al finalizar el proceso , es solo "Esta operacion no se puede realizar en este dominio".No hemos encontrado nada en los logs que nos ayude con este problema. La relación de confianza se intento en ambos dominios, ambos arrojan el mismo mensaje. En ambos dominios se realizo la configuración necesaria, estamos necesitan ayuda con este problema. Agradecería cualquier idea . Muchas gracias

miércoles, 11 de diciembre de 2019 16:12

Responder

|

Citar

Todas las respuestas

1

Inicie sesión para votar

Hola Daniel, es algo raro pero me ha sucedido un par de veces y lo he solucionado de una forma que todavía no comprendo totalmente cómo funciona, pero se arregló el problema con la relación entre dos Dominios en redes diferentes

Se supone que sólo se usa resolución DNS, pero lo he solucionado a través de NetBIOS

Creando en ambos Controladores de Dominio un archivo C:\Windows\System32\Drivers\Etc\LMHOSTS (así, que no tenga extensión) e incluyendo la entrada correspondiente a la dirección IP y al nombre

Por supuesto que la comunicación utiliza RPC así que no tiene que haber ningún tipo de filtrado de seguridad

Y algo más para que tengas en cuenta, cuidado que las VPNs son muy lentas y consumen recursos por el trabajo de cifrado/descifrado

Guillermo Delprato
Buenos Aires, Argentina
El Blog de los paso a paso
MCSE - MCSA2012
MCITP: Enterprise Administrator / Server Administrator
MCTS: Active Directory/Network Configuration/Applications Configuration/Server Virtualization/Windows 7 Configuration/Windows 7 & Office 2010 Deployment/Vista Configuration

Este mensaje se proporciona "como está" sin garantías de ninguna clase. Usted asume todos los riesgos.

miércoles, 11 de diciembre de 2019 18:26

Responder

|

Citar

Moderador
0

Inicie sesión para votar

Hola Guillermo, voy a probar tu sugerencia. Muchas Gracias!.

miércoles, 11 de diciembre de 2019 18:39

Responder

|

Citar
0

Inicie sesión para votar

Hola Daniel, es algo raro pero me ha sucedido un par de veces y lo he solucionado de una forma que todavía no comprendo totalmente cómo funciona, pero se arregló el problema con la relación entre dos Dominios en redes diferentes

Se supone que sólo se usa resolución DNS, pero lo he solucionado a través de NetBIOS

Creando en ambos Controladores de Dominio un archivo C:\Windows\System32\Drivers\Etc\LMHOSTS (así, que no tenga extensión) e incluyendo la entrada correspondiente a la dirección IP y al nombre

Por supuesto que la comunicación utiliza RPC así que no tiene que haber ningún tipo de filtrado de seguridad

Y algo más para que tengas en cuenta, cuidado que las VPNs son muy lentas y consumen recursos por el trabajo de cifrado/descifrado

Guillermo Delprato
Buenos Aires, Argentina

MCSE - MCSA2012
MCITP: Enterprise Administrator / Server Administrator
MCTS: Active Directory/Network Configuration/Applications Configuration/Server Virtualization/Windows 7 Configuration/Windows 7 & Office 2010 Deployment/Vista Configuration

Este mensaje se proporciona "como está" sin garantías de ninguna clase. Usted asume todos los riesgos.

No tuve suerte Guillermo, cree el archivo sin extencion con las entradas,en ambos dominio pero sin exito en mi caso.

jueves, 12 de diciembre de 2019 12:28

Responder

|

Citar
0

Inicie sesión para votar

Trato de poner más info a ver si lo solucionas. Es necesario indicar el nombre del Controlador de Dominio y además el nombre NetBIOS del Dominio. Me refiero al "otro" Dominio

<DirIP> <NombreDC> #PRE #DOM:<NombreDominio>

<DirIP> <NombreDominio> \0x1b #PRE

¿Los has agregado así?

Y algo más para tener en cuenta que no dices: dependiendo el nivel de funcionalidad de los Bosques/Dominios es el tipo de relación de confianza que quieres

Revisa estos enlaces a ver si ayudan

Relaciones de Confianza (Trusts) – “Forest Trusts” | WindowServer
https://windowserver.wordpress.com/2014/04/29/relaciones-de-confianza-trusts-forest-trusts/

Relaciones de Confianza (Trusts) – “External Trusts” | WindowServer
https://windowserver.wordpress.com/2014/05/05/relaciones-de-confianza-trusts-external-trusts/

Relaciones de Confianza (Trusts) – “Parent-Child” y “Tree-Root” | WindowServer
https://windowserver.wordpress.com/2014/04/16/relaciones-de-confianza-trusts-parent-child-y-tree-root/

Relaciones de Confianza (Trusts) – Optimizando la Autenticación y Autorización – “Shortcut Trusts” | WindowServer
https://windowserver.wordpress.com/2014/04/22/relaciones-de-confianza-trusts-optimizando-la-autenticacin-y-autorizacin-shortcut-trusts/

Guillermo Delprato
Buenos Aires, Argentina
El Blog de los paso a paso
MCSE - MCSA2012
MCITP: Enterprise Administrator / Server Administrator
MCTS: Active Directory/Network Configuration/Applications Configuration/Server Virtualization/Windows 7 Configuration/Windows 7 & Office 2010 Deployment/Vista Configuration

Este mensaje se proporciona "como está" sin garantías de ninguna clase. Usted asume todos los riesgos.

jueves, 12 de diciembre de 2019 12:49

Responder

|

Citar

Moderador
0

Inicie sesión para votar

Trato de poner más info a ver si lo solucionas. Es necesario indicar el nombre del Controlador de Dominio y además el nombre NetBIOS del Dominio. Me refiero al "otro" Dominio

<DirIP> <NombreDC> #PRE #DOM:<NombreDominio>

<DirIP> <NombreDominio> \0x1b #PRE

¿Los has agregado así?

Y algo más para tener en cuenta que no dices: dependiendo el nivel de funcionalidad de los Bosques/Dominios es el tipo de relación de confianza que quieres

Guillermo Delprato
Buenos Aires, Argentina

MCSE - MCSA2012
MCITP: Enterprise Administrator / Server Administrator
MCTS: Active Directory/Network Configuration/Applications Configuration/Server Virtualization/Windows 7 Configuration/Windows 7 & Office 2010 Deployment/Vista Configuration

Este mensaje se proporciona "como está" sin garantías de ninguna clase. Usted asume todos los riesgos.

Estoy tratando de establecer una confianza de bosque bidireccional, pero al no poder establecerlo, pobre las otras variantes, solo pude establecer la relación si lo hago a traves de kerberos, pero no me sirve.

Tengo configurado un dns condicional en ambos dominios. Los puertos están ok.

El archivo editado quedó así (los nombres fueron cambiados por seguridad)

10.31.1.94 VEDCEA #DOM:ve.e.la #PRE
10.31.1.94 "ve.e.la \0x1b"#PRE

el otro servidor

192.168.0.50 dom03 #DOM:e-c2.la #PRE
192.168.0.50 "e-c2.la \0x1b"#PRE

comprobé con nbtstat -c , y me trae bien los valores.

Gracias Guillermo por la ayuda.

jueves, 12 de diciembre de 2019 19:36

Responder

|

Citar
0

Inicie sesión para votar

Estamos hablando de NetBIOS, no DNS :)

Así que los nombres de los Dominios son: "ve" y "e-c2"

El LMHOSTS debe estar en todos los Controladores de Dominio de ambos Dominios

Algo más por las dudas, dices que has configurado Reenviadores en DNS, pero ¿has probado que desde todos los DCs se resuelven correctamente las IPs de los otros? Esto lo debes probar con NSLOOKUP y estos sí con el FQDN completo

Ambos Dominios deben poder resolver los nombres del otro Dominio

Guillermo Delprato
Buenos Aires, Argentina
El Blog de los paso a paso
MCSE - MCSA2012
MCITP: Enterprise Administrator / Server Administrator
MCTS: Active Directory/Network Configuration/Applications Configuration/Server Virtualization/Windows 7 Configuration/Windows 7 & Office 2010 Deployment/Vista Configuration

Este mensaje se proporciona "como está" sin garantías de ninguna clase. Usted asume todos los riesgos.

jueves, 12 de diciembre de 2019 21:08

Responder

|

Citar

Moderador
0

Inicie sesión para votar

Estamos hablando de NetBIOS, no DNS :)

Así que los nombres de los Dominios son: "ve" y "e-c2"

El LMHOSTS debe estar en todos los Controladores de Dominio de ambos Dominios

Algo más por las dudas, dices que has configurado Reenviadores en DNS, pero ¿has probado que desde todos los DCs se resuelven correctamente las IPs de los otros? Esto lo debes probar con NSLOOKUP y estos sí con el FQDN completo

Ambos Dominios deben poder resolver los nombres del otro Dominio

Guillermo Delprato
Buenos Aires, Argentina

MCSE - MCSA2012
MCITP: Enterprise Administrator / Server Administrator
MCTS: Active Directory/Network Configuration/Applications Configuration/Server Virtualization/Windows 7 Configuration/Windows 7 & Office 2010 Deployment/Vista Configuration

Este mensaje se proporciona "como está" sin garantías de ninguna clase. Usted asume todos los riesgos.

Hola Guillermo

Ya hice los cambios, pero sin conectar.

Las ip resuelven correctamente de un dominio a otro, y también se muestran los nombres completos.

Para mi debe haber un tema en el trafico entre las vpn.

lunes, 16 de diciembre de 2019 13:52

Responder

|

Citar
0

Inicie sesión para votar

Pueden quedar varios motivos

- Que esté filtrado algún protocolo o puerto

- Lentitud de la VPN, que generalmente lo son, y además si las conexiones a Internet son asimétricas, la que manda es la menor

Si se me ocurre algo más aviso

Guillermo Delprato
Buenos Aires, Argentina
El Blog de los paso a paso
MCSE - MCSA2012
MCITP: Enterprise Administrator / Server Administrator
MCTS: Active Directory/Network Configuration/Applications Configuration/Server Virtualization/Windows 7 Configuration/Windows 7 & Office 2010 Deployment/Vista Configuration

Este mensaje se proporciona "como está" sin garantías de ninguna clase. Usted asume todos los riesgos.

lunes, 16 de diciembre de 2019 15:37

Responder

|

Citar

Moderador