none
Problemas para establecer Relacion de confianza entre dos dominios RRS feed

  • Pregunta

  • hola

    No podemos establecer la relación de confianza entre dos servidores windows server standard 2016, ambos dominios están en redes diferentes, la cual están conectadas por una vpn site to site. En ambos dominios se crearon los dns condicionales, se dio de baja el firewall, se utilizaron credenciales con los permisos necesarios, los nombres de los servidores de dominio y dns, se resuelven correctamente, pero no logra establecer la confianza.El mensaje que muestra el asistente, casi al finalizar el proceso , es solo "Esta operacion no se puede realizar en este dominio".No hemos encontrado nada en los logs que nos ayude con este problema. La relación de confianza se intento en ambos dominios, ambos arrojan el mismo mensaje. En ambos dominios se realizo la configuración necesaria, estamos necesitan ayuda con este problema. Agradecería cualquier idea . Muchas gracias
    miércoles, 11 de diciembre de 2019 16:12

Todas las respuestas

  • Hola Daniel, es algo raro pero me ha sucedido un par de veces y lo he solucionado de una forma que todavía no comprendo totalmente cómo funciona, pero se arregló el problema con la relación entre dos Dominios en redes diferentes

    Se supone que sólo se usa resolución DNS, pero lo he solucionado a través de NetBIOS

    Creando en ambos Controladores de Dominio un archivo C:\Windows\System32\Drivers\Etc\LMHOSTS (así, que no tenga extensión) e incluyendo la entrada correspondiente a la dirección IP y al nombre

    Por supuesto que la comunicación utiliza RPC así que no tiene que haber ningún tipo de filtrado de seguridad

    Y algo más para que tengas en cuenta, cuidado que las VPNs son muy lentas y consumen recursos por el trabajo de cifrado/descifrado

     


    Guillermo Delprato
    Buenos Aires, Argentina
    El Blog de los paso a paso

    MCSE - MCSA2012
    MCITP: Enterprise Administrator / Server Administrator
    MCTS: Active Directory/Network Configuration/Applications Configuration/Server Virtualization/Windows 7 Configuration/Windows 7 & Office 2010 Deployment/Vista Configuration

    Este mensaje se proporciona "como está" sin garantías de ninguna clase. Usted asume todos los riesgos.

    miércoles, 11 de diciembre de 2019 18:26
    Moderador
  • Hola Guillermo, voy a probar tu sugerencia. Muchas Gracias!. 


    miércoles, 11 de diciembre de 2019 18:39
  • Hola Daniel, es algo raro pero me ha sucedido un par de veces y lo he solucionado de una forma que todavía no comprendo totalmente cómo funciona, pero se arregló el problema con la relación entre dos Dominios en redes diferentes

    Se supone que sólo se usa resolución DNS, pero lo he solucionado a través de NetBIOS

    Creando en ambos Controladores de Dominio un archivo C:\Windows\System32\Drivers\Etc\LMHOSTS (así, que no tenga extensión) e incluyendo la entrada correspondiente a la dirección IP y al nombre

    Por supuesto que la comunicación utiliza RPC así que no tiene que haber ningún tipo de filtrado de seguridad

    Y algo más para que tengas en cuenta, cuidado que las VPNs son muy lentas y consumen recursos por el trabajo de cifrado/descifrado

     


    Guillermo Delprato
    Buenos Aires, Argentina

    MCSE - MCSA2012
    MCITP: Enterprise Administrator / Server Administrator
    MCTS: Active Directory/Network Configuration/Applications Configuration/Server Virtualization/Windows 7 Configuration/Windows 7 & Office 2010 Deployment/Vista Configuration

    Este mensaje se proporciona "como está" sin garantías de ninguna clase. Usted asume todos los riesgos.

    No tuve suerte Guillermo, cree el archivo sin extencion con las entradas,en ambos dominio pero sin exito en mi caso.
    jueves, 12 de diciembre de 2019 12:28
  • Trato de poner más info a ver si lo solucionas. Es necesario indicar el nombre del Controlador de Dominio y además el nombre NetBIOS del Dominio. Me refiero al "otro" Dominio

    <DirIP> <NombreDC> #PRE #DOM:<NombreDominio>

    <DirIP> <NombreDominio> \0x1b #PRE

    ¿Los has agregado así?

    Y algo más para tener en cuenta que no dices: dependiendo el nivel de funcionalidad de los Bosques/Dominios es el tipo de relación de confianza que quieres

    Revisa estos enlaces a ver si ayudan

    Relaciones de Confianza (Trusts) – “Forest Trusts” | WindowServer
    https://windowserver.wordpress.com/2014/04/29/relaciones-de-confianza-trusts-forest-trusts/

    Relaciones de Confianza (Trusts) – “External Trusts” | WindowServer
    https://windowserver.wordpress.com/2014/05/05/relaciones-de-confianza-trusts-external-trusts/

    Relaciones de Confianza (Trusts) – “Parent-Child” y “Tree-Root” | WindowServer
    https://windowserver.wordpress.com/2014/04/16/relaciones-de-confianza-trusts-parent-child-y-tree-root/

    Relaciones de Confianza (Trusts) – Optimizando la Autenticación y Autorización – “Shortcut Trusts” | WindowServer
    https://windowserver.wordpress.com/2014/04/22/relaciones-de-confianza-trusts-optimizando-la-autenticacin-y-autorizacin-shortcut-trusts/

     

     


    Guillermo Delprato
    Buenos Aires, Argentina
    El Blog de los paso a paso

    MCSE - MCSA2012
    MCITP: Enterprise Administrator / Server Administrator
    MCTS: Active Directory/Network Configuration/Applications Configuration/Server Virtualization/Windows 7 Configuration/Windows 7 & Office 2010 Deployment/Vista Configuration

    Este mensaje se proporciona "como está" sin garantías de ninguna clase. Usted asume todos los riesgos.

    jueves, 12 de diciembre de 2019 12:49
    Moderador
  • Trato de poner más info a ver si lo solucionas. Es necesario indicar el nombre del Controlador de Dominio y además el nombre NetBIOS del Dominio. Me refiero al "otro" Dominio

    <DirIP> <NombreDC> #PRE #DOM:<NombreDominio>

    <DirIP> <NombreDominio> \0x1b #PRE

    ¿Los has agregado así?

    Y algo más para tener en cuenta que no dices: dependiendo el nivel de funcionalidad de los Bosques/Dominios es el tipo de relación de confianza que quieres


     


    Guillermo Delprato
    Buenos Aires, Argentina

    MCSE - MCSA2012
    MCITP: Enterprise Administrator / Server Administrator
    MCTS: Active Directory/Network Configuration/Applications Configuration/Server Virtualization/Windows 7 Configuration/Windows 7 & Office 2010 Deployment/Vista Configuration

    Este mensaje se proporciona "como está" sin garantías de ninguna clase. Usted asume todos los riesgos.

    Estoy tratando de establecer una confianza de bosque bidireccional, pero al no poder establecerlo, pobre las otras variantes, solo pude establecer la relación si lo hago a traves de kerberos, pero no me sirve. 

    Tengo configurado un dns condicional en ambos dominios. Los puertos están ok. 

    El archivo editado quedó así (los nombres fueron cambiados por seguridad) 

    10.31.1.94 VEDCEA #DOM:ve.e.la #PRE 
    10.31.1.94 "ve.e.la        \0x1b"#PRE

    el otro servidor 

    192.168.0.50 dom03 #DOM:e-c2.la #PRE
    192.168.0.50 "e-c2.la        \0x1b"#PRE

    comprobé con nbtstat -c , y me trae bien los valores. 

    Gracias Guillermo por la ayuda. 


    jueves, 12 de diciembre de 2019 19:36
  • Estamos hablando de NetBIOS, no DNS :)

    Así que los nombres de los Dominios son: "ve" y "e-c2"

    El LMHOSTS debe estar en todos los Controladores de Dominio de ambos Dominios

    Algo más por las dudas, dices que has configurado Reenviadores en DNS, pero ¿has probado que desde todos los DCs se resuelven correctamente las IPs de los otros? Esto lo debes probar con NSLOOKUP y estos sí con el FQDN completo

    Ambos Dominios deben poder resolver los nombres del otro Dominio

     


    Guillermo Delprato
    Buenos Aires, Argentina
    El Blog de los paso a paso

    MCSE - MCSA2012
    MCITP: Enterprise Administrator / Server Administrator
    MCTS: Active Directory/Network Configuration/Applications Configuration/Server Virtualization/Windows 7 Configuration/Windows 7 & Office 2010 Deployment/Vista Configuration

    Este mensaje se proporciona "como está" sin garantías de ninguna clase. Usted asume todos los riesgos.

    jueves, 12 de diciembre de 2019 21:08
    Moderador
  • Estamos hablando de NetBIOS, no DNS :)

    Así que los nombres de los Dominios son: "ve" y "e-c2"

    El LMHOSTS debe estar en todos los Controladores de Dominio de ambos Dominios

    Algo más por las dudas, dices que has configurado Reenviadores en DNS, pero ¿has probado que desde todos los DCs se resuelven correctamente las IPs de los otros? Esto lo debes probar con NSLOOKUP y estos sí con el FQDN completo

    Ambos Dominios deben poder resolver los nombres del otro Dominio

     


    Guillermo Delprato
    Buenos Aires, Argentina

    MCSE - MCSA2012
    MCITP: Enterprise Administrator / Server Administrator
    MCTS: Active Directory/Network Configuration/Applications Configuration/Server Virtualization/Windows 7 Configuration/Windows 7 & Office 2010 Deployment/Vista Configuration

    Este mensaje se proporciona "como está" sin garantías de ninguna clase. Usted asume todos los riesgos.


    Hola Guillermo

    Ya hice los cambios, pero sin conectar. 

    Las ip resuelven correctamente de un dominio a otro, y también se muestran los nombres completos. 

    Para mi debe haber un tema en el trafico entre las vpn. 

    lunes, 16 de diciembre de 2019 13:52
  • Pueden quedar varios motivos

    - Que esté filtrado algún protocolo o puerto

    - Lentitud de la VPN, que generalmente lo son, y además si las conexiones a Internet son asimétricas, la que manda es la menor

    Si se me ocurre algo más aviso

     


    Guillermo Delprato
    Buenos Aires, Argentina
    El Blog de los paso a paso

    MCSE - MCSA2012
    MCITP: Enterprise Administrator / Server Administrator
    MCTS: Active Directory/Network Configuration/Applications Configuration/Server Virtualization/Windows 7 Configuration/Windows 7 & Office 2010 Deployment/Vista Configuration

    Este mensaje se proporciona "como está" sin garantías de ninguna clase. Usted asume todos los riesgos.

    lunes, 16 de diciembre de 2019 15:37
    Moderador