Principales respuestas
Relacion de confianza entre dominios.

Pregunta
-
Hola a todos!..queria pedirles ayuda para las relaciones de confianza entre dominios. que tengo 2 servidores en distintas sedes fisicas.
Tengo instalada una Netlan (vpn telefonica), en todas las sedes, quiero que tengan relacion de confianza pero no lo consigo, las maquinas en las redes separadas se ven , hago ping y me responden, me puedo conectar mediante terminal services sin ningun problema.....Pero no se porque no puedo crear la relacion.
Mi configuracion es la siguente.
SEDE 1
Server es un windows 2003 standard ed, con servidor dns, el nombre del domino se llama promedios.mad y en netbios llamado promedios, con la ip 172.16.0.2
SEDE 2
Es un Server con windows 2003 standard ed, con servidor dns, el nombre de domino se llama promedios.bcn y el netbios llamado promediosbcn, con la ip 192.168.0.250
Como os digo antes, las maquinas se ven perfectamente aunque esten en distintas redes (son las que me oblogo a poner telefonica para su netlan).
Cuando intento crear la relacion de confianza , pongo en cada servidor el nombre del dominio al que quiero hacer la relacion, y me pasa a la siguente pagina y me pone que no es un domio existente o puede ser un dominio kerberos v5...
No se que hacer para unir esto, les he forzado a poner el nombre del dominio en el fichero hots, y tampoco..
Por favor me podeis ayudar??
Muchas gracias
ferrec
Respuestas
-
Decidir como se implementará AD (Diseño y Planificacion) es mucho más complejo de lo que crees, para que quede "bien"
Para nombrarte algunas cosas que tienes que preguntarte y responderte:
-
¿Quién se ocupa de administra la red remota?
-
¿Hay personal de soporte en la sucursal?
-
OK, el 99% del tiempo no lo usan, pero cuando lo necesitan ¿cuán crítico es?
-
¿Cuál es la confiabilidad del enlace WAN?
-
Si el enlace se cae ¿cuánto demora en reponerse?
-
¿El enlace es simétrico o asimétrico?
-
Si todos los usuarios tienen que acceder a todos los recursos como si fuera una única red, entonces no son nada independientes
-
¿Hay problemas de seguridad? ¿se necesita independencia o aislamiento?
-
...
-
...
Respecto a tráfico WAN
Si son dominios en el mismo bosque, lo que hay que replicar no es mucho, cambios en esquema o en la configuración (muy raro que suceda).
Lo que puede influir es que necesitas Catalogo Global en cada sitio. Esto puede generar un poco de tráfico en el momento de la creación de usuarios/grupos/máquinas, aunque no demasiado. O cuando haces algún cambio en un atributo replicado en el Catalogo Global
Si son dominios independientes, tienes que hacer una relación de confianza, que se debe mantener (hay una cuenta específica que hace eso) y las validaciones deben ir obligatoriamente por el enlace WAN
Resumiendo, falta mucha información para poder asesorarte correctamente. La información necesaria para hacer un diseño de AD correcto sale de "largas conversaciones" con la empresa
- Marcado como respuesta Atilla ArrudaModerator miércoles, 25 de noviembre de 2009 18:54
-
Todas las respuestas
-
-
Hola compañeros,
yo también estoy metido en el tema de comunicar dos dominios active directory a través de una vpn netlan de telefónica. Actualmente tengo un dominio nativo windows 2000 con todos los servers 2000 sp4 y otro con linux y samba. Este segundo lo voy a substituir por otro dominio 2000 nativo, pero me asalta la duda de como es mejor crearlo, si como secundario del primero o como arbol nuevo dentro del bosque.
Al ser redes ip diferentes, creo que seria mejor crear un arbol nuevo, pero al ser necesaria una comunicación total entre recursos y usuarios, creo que sería mas eficiente y claro de gestionar como un subdominio del primero.
Agradecería me pudieseis ayudar a dedicir como implementarlo y si me pudieseis recomendar alguna guia para seguir el proceso.
Saludos
-
Se necesita mucha información de tu red para poder aconsejarte adecuadamente, pero ten en cuenta lo siguiente:
-
Siempre es preferible tener un único dominio. Es más sencillo, barato, fácil de soportar, seguro, etc. Pero no siempre se puede. Algunos motivos: diferentes directivas de cuenta o bajar tráfico WAN por ejemplo
-
Si no va la primera, entonces dos dominio (padre/hijo) dentro del mismo bosque. Esto te facilitará la administración. Motivos a tener en cuenta, es la independencia o aislamiento entre ambos dominios
-
Como última alternativa, dos dominios independienes en bosques separados. Tendrás más trabajo de administración y probablemente que crear y mantener relaciones de confianza.
-
-
-
Hola Guillermo, primero de todo gracias por contestar y por hacerlo tan rápido.
Te describo un poco las redes y lo que queremos hacer:
Red 1: 10.1.0.0/16 (red grande y actualmente con active directory y windows 2000 servers)
Red 2: 10.2.0.0/16 (red pequeña y donde se tiene que crear el nuevo dominio)
Por la idea de funcionamiento que queremos tener, creo que lo mejor seria crear un subdominio, por ejemplo dominio.com y red2.dominio.com, ya que creo que de esta manera, la gestión de usuarios, permisos y recursos es casi directa. Pero al realizarse la comunicación entre sedes via WAN, creo que es mejor crear los dominios en arboles diferentes dentro del mismo bosque, por ejemplo dominiored1.com y dominiored2.com.
El tema es que al tratarse de redes ip diferentes, creo que es mas facil separar dominios, además, por funcionamiento interno, la comunicación entre sedes sera puntual (consultas esporádicas de cualquier documento y un programa de gestión centralizado en la sede 1 pero cuyo uso en la sede 2 es bajo y concentrado en 3 semanas al año), pero debe ser sin límites (salvo los definidos por la configuración de permisos y grupos), por lo que no nos interesa que los datos de cada red esten totalmente distribuidos.
Resumiendo que todos los usuarios deberían poder trabajar como si solo hubiese una red, y por tanto, teniendo acceso a todos los recursos de esta, pero dado que el trabajo diario de los usuarios de cada sede, en el 99% de los casos, será con datos y recursos fisicamente ubicados en su red, la distribución de estos será en redes distintas.
No sé si me he explicado bien. Gracias otra vez
-
Decidir como se implementará AD (Diseño y Planificacion) es mucho más complejo de lo que crees, para que quede "bien"
Para nombrarte algunas cosas que tienes que preguntarte y responderte:
-
¿Quién se ocupa de administra la red remota?
-
¿Hay personal de soporte en la sucursal?
-
OK, el 99% del tiempo no lo usan, pero cuando lo necesitan ¿cuán crítico es?
-
¿Cuál es la confiabilidad del enlace WAN?
-
Si el enlace se cae ¿cuánto demora en reponerse?
-
¿El enlace es simétrico o asimétrico?
-
Si todos los usuarios tienen que acceder a todos los recursos como si fuera una única red, entonces no son nada independientes
-
¿Hay problemas de seguridad? ¿se necesita independencia o aislamiento?
-
...
-
...
Respecto a tráfico WAN
Si son dominios en el mismo bosque, lo que hay que replicar no es mucho, cambios en esquema o en la configuración (muy raro que suceda).
Lo que puede influir es que necesitas Catalogo Global en cada sitio. Esto puede generar un poco de tráfico en el momento de la creación de usuarios/grupos/máquinas, aunque no demasiado. O cuando haces algún cambio en un atributo replicado en el Catalogo Global
Si son dominios independientes, tienes que hacer una relación de confianza, que se debe mantener (hay una cuenta específica que hace eso) y las validaciones deben ir obligatoriamente por el enlace WAN
Resumiendo, falta mucha información para poder asesorarte correctamente. La información necesaria para hacer un diseño de AD correcto sale de "largas conversaciones" con la empresa
- Marcado como respuesta Atilla ArrudaModerator miércoles, 25 de noviembre de 2009 18:54
-