none
Relacion de confianza entre dominios. RRS feed

  • Pregunta

  • Hola a todos!..queria pedirles ayuda para las relaciones de confianza entre dominios. que tengo 2 servidores en distintas sedes fisicas.

    Tengo instalada una Netlan (vpn telefonica), en todas las sedes, quiero que tengan relacion de confianza pero no lo consigo, las maquinas en las redes separadas se ven , hago ping y me responden, me puedo conectar mediante terminal services sin ningun problema.....Pero no se porque no puedo crear la relacion.

    Mi configuracion es la siguente.

    SEDE 1

    Server  es un windows 2003 standard ed, con servidor dns, el nombre del domino se llama promedios.mad y en netbios llamado promedios, con la ip 172.16.0.2

    SEDE 2

    Es un Server con windows 2003 standard ed, con servidor dns, el nombre de domino se llama promedios.bcn y el netbios llamado promediosbcn, con la ip 192.168.0.250


    Como os digo antes, las maquinas se ven perfectamente aunque esten en distintas redes (son las que me oblogo a poner telefonica para su netlan).

    Cuando intento crear la relacion de confianza , pongo en cada servidor el nombre del dominio al que quiero hacer la relacion, y me pasa a la siguente pagina y me pone que no es un domio existente o puede ser un dominio kerberos v5...

    No se que hacer para unir esto, les he forzado a poner el nombre del dominio en el fichero hots, y tampoco..

    Por favor me podeis ayudar??

    Muchas gracias

    ferrec
    sábado, 24 de enero de 2009 15:12

Respuestas

  • Decidir como se implementará AD (Diseño y Planificacion) es mucho más complejo de lo que crees, para que quede "bien"

     

    Para nombrarte algunas cosas que tienes que preguntarte y responderte:

    • ¿Quién se ocupa de administra la red remota?
    • ¿Hay personal de soporte en la sucursal?
    • OK, el 99% del tiempo no lo usan, pero cuando lo necesitan ¿cuán crítico es?
    • ¿Cuál es la confiabilidad del enlace WAN?
    • Si el enlace se cae ¿cuánto demora en reponerse?
    • ¿El enlace es simétrico o asimétrico?
    • Si todos los usuarios tienen que acceder a todos los recursos como si fuera una única red, entonces no son nada independientes
    • ¿Hay problemas de seguridad? ¿se necesita independencia o aislamiento?
    • ...
    • ...

    Respecto a tráfico WAN

    Si son dominios en el mismo bosque, lo que hay que replicar no es mucho, cambios en esquema o en la configuración (muy raro que suceda).

    Lo que puede influir es que necesitas Catalogo Global en cada sitio. Esto puede generar un poco de tráfico en el momento de la creación de usuarios/grupos/máquinas, aunque no demasiado. O cuando haces algún cambio en un atributo replicado en el Catalogo Global

     

    Si son dominios independientes, tienes que hacer una relación de confianza, que se debe mantener (hay una cuenta específica que hace eso) y las validaciones deben ir obligatoriamente por el enlace WAN

     

    Resumiendo, falta mucha información para poder asesorarte correctamente. La información necesaria para hacer un diseño de AD correcto sale de "largas conversaciones" con la empresa

     

    jueves, 29 de enero de 2009 21:08
    Moderador

Todas las respuestas

  • Tienes dos opciones:

     

    • Crear en cada dominio zonas secundarias del otro. Asegúrate que permitas la transferencia de zonas
    • O, poner Reenviadores condicionales en los DNSs para el otro dominio

     

     

    lunes, 26 de enero de 2009 11:02
    Moderador
  • Hola compañeros,

     

    yo también estoy metido en el tema de comunicar dos dominios active directory a través de una vpn netlan de telefónica. Actualmente tengo un dominio nativo windows 2000 con todos los servers 2000 sp4 y otro con linux y samba. Este segundo lo voy a substituir por otro dominio 2000 nativo, pero me asalta la duda de como es mejor crearlo, si como secundario del primero o como arbol nuevo dentro del bosque.

     

    Al ser redes ip diferentes, creo que seria mejor crear un arbol nuevo, pero al ser necesaria una comunicación total entre recursos y usuarios, creo que sería mas eficiente y claro de gestionar como un subdominio del primero.

     

    Agradecería me pudieseis ayudar a dedicir como implementarlo y si me pudieseis recomendar alguna guia para seguir el proceso.

     

    Saludos

    jueves, 29 de enero de 2009 8:58
  • Se necesita mucha información de tu red para poder aconsejarte adecuadamente, pero ten en cuenta lo siguiente:

    1. Siempre es preferible tener un único dominio. Es más sencillo, barato, fácil de soportar, seguro, etc. Pero no siempre se puede. Algunos motivos: diferentes directivas de cuenta o bajar tráfico WAN por ejemplo
    2. Si no va la primera, entonces dos dominio (padre/hijo) dentro del mismo bosque. Esto te facilitará la administración. Motivos a tener en cuenta, es la independencia o aislamiento entre ambos dominios
    3. Como última alternativa, dos dominios independienes en bosques separados. Tendrás más trabajo de administración y probablemente que crear y mantener relaciones de confianza.
    4.  
    jueves, 29 de enero de 2009 10:27
    Moderador
  •  

    Hola Guillermo, primero de todo gracias por contestar y por hacerlo tan rápido.

     

    Te describo un poco las redes y lo que queremos hacer:

     

    Red 1: 10.1.0.0/16 (red grande y actualmente con active directory y windows 2000 servers)

    Red 2: 10.2.0.0/16 (red pequeña y donde se tiene que crear el nuevo dominio)

     

    Por la idea de funcionamiento que queremos tener, creo que lo mejor seria crear un subdominio, por ejemplo dominio.com y red2.dominio.com, ya que creo que de esta manera, la gestión de usuarios, permisos y recursos es casi directa. Pero al realizarse la comunicación entre sedes via WAN, creo que es mejor crear los dominios en arboles diferentes dentro del mismo bosque, por ejemplo dominiored1.com y dominiored2.com.

     

    El tema es que al tratarse de redes ip diferentes, creo que es mas facil separar dominios, además, por funcionamiento interno, la comunicación entre sedes sera puntual (consultas esporádicas de cualquier documento y un programa de gestión centralizado en la sede 1 pero cuyo uso en la sede 2 es bajo y concentrado en 3 semanas al año), pero debe ser sin límites (salvo los definidos por la configuración de permisos y grupos), por lo que no nos interesa que los datos de cada red esten totalmente distribuidos.

     

    Resumiendo que todos los usuarios deberían poder trabajar como si solo hubiese una red, y por tanto, teniendo acceso a todos los recursos de esta, pero dado que el trabajo diario de los usuarios de cada sede, en el 99% de los casos, será con datos y recursos fisicamente ubicados en su red, la distribución de estos será en redes distintas.

     

    No sé si me he explicado bien. Gracias otra vez

    jueves, 29 de enero de 2009 11:20
  • Decidir como se implementará AD (Diseño y Planificacion) es mucho más complejo de lo que crees, para que quede "bien"

     

    Para nombrarte algunas cosas que tienes que preguntarte y responderte:

    • ¿Quién se ocupa de administra la red remota?
    • ¿Hay personal de soporte en la sucursal?
    • OK, el 99% del tiempo no lo usan, pero cuando lo necesitan ¿cuán crítico es?
    • ¿Cuál es la confiabilidad del enlace WAN?
    • Si el enlace se cae ¿cuánto demora en reponerse?
    • ¿El enlace es simétrico o asimétrico?
    • Si todos los usuarios tienen que acceder a todos los recursos como si fuera una única red, entonces no son nada independientes
    • ¿Hay problemas de seguridad? ¿se necesita independencia o aislamiento?
    • ...
    • ...

    Respecto a tráfico WAN

    Si son dominios en el mismo bosque, lo que hay que replicar no es mucho, cambios en esquema o en la configuración (muy raro que suceda).

    Lo que puede influir es que necesitas Catalogo Global en cada sitio. Esto puede generar un poco de tráfico en el momento de la creación de usuarios/grupos/máquinas, aunque no demasiado. O cuando haces algún cambio en un atributo replicado en el Catalogo Global

     

    Si son dominios independientes, tienes que hacer una relación de confianza, que se debe mantener (hay una cuenta específica que hace eso) y las validaciones deben ir obligatoriamente por el enlace WAN

     

    Resumiendo, falta mucha información para poder asesorarte correctamente. La información necesaria para hacer un diseño de AD correcto sale de "largas conversaciones" con la empresa

     

    jueves, 29 de enero de 2009 21:08
    Moderador