none
Relación de confianza entre 2 dominios (Microsoft Active Directory 2003 y 2012 R2) RRS feed

 > 

  • Pregunta

  • Question
    Inicie sesión para votar
    0
    Inicie sesión para votar

    Buen día;

    Me encuentro en un proyecto de migración de Active Directory (de Windows Server 2003 AD a Windows Server 2012 R2); en el interin que se migren todos los usuarios y recursos al dominio 2012 R2 necesito mantener relaciones de confianza para que los usuarios migrados al nuevo dominio puedan acceder a los recursos del dominio basado en 2003. Se que esta soportado esta implementación pero me gustaría contar con una guia de implementación para este escenario en particular (de 2003 a 2012).

    Mi ambiente esta conformado por un Forest Windows Server 2003 (Nivel Funcional del forest Windows 2000 y del Dominio 2000 nativo) con un Child que tiene tanto DCs Windows 2000 como 2003 y mi nuevo Forest esta totalmente basado en Windows Server 2012 R2 tanto para el root como para el child.

    ¿Alguna sugerencia?

    Gracias de antemano.

    Banier García.

    jueves, 5 de noviembre de 2015 20:14
    |

Respuestas

  • Question
    Inicie sesión para votar
    0
    Inicie sesión para votar

    Hola "Banier" como estas,

    Puedes aplicar:

    Raise the forest functional level
    https://technet.microsoft.com/en-us/library/cc780862(v=ws.10).aspx

    Active Directory Functional Levels Tools and Settings
    https://technet.microsoft.com/en-us/library/cc787385(v=ws.10).aspx

    Active Directory Domains and Trusts
    https://technet.microsoft.com/en-us/library/cc770299.aspx

    How Domain and Forest Trusts Work
    https://technet.microsoft.com/en-us/library/cc773178(v=ws.10).aspx

    Espero sea de ayuda. Saludos

    • Marcado como respuesta Banier viernes, 6 de noviembre de 2015 16:02
    viernes, 6 de noviembre de 2015 3:34
    |
  • Question
    Inicie sesión para votar
    0
    Inicie sesión para votar

    Banier, entiendo que lo que te conviene es una "Forest Trusts" totalmente transitiva así todos los dominios de un Bosque confían en todos los Dominios del otro Bosque, lo que te facilitará la migración

    Para poder crear este tipo de relación de confianza ambos Bosques deben tener nivel funcional, por lo menos W2003

    Para lograr esto, debes asegurarte primero que todos los Controladores de Dominio (servidores miembros no influyen) tenga sistema operativo por lo menos W2003.
    Luego en Usuarios y Equipos de AD, con botón derecho te aparece la opción para elevar el nivel funcional del Dominio, debes hacerlo en todos

    Una vez que esa información sea replicada en todos los Controladores de Dominio del Bosque, en Dominios y Confianzas de AD (sobre la raíz de la consola) tienes la opción para elevar el nivel funcional del Bosque

    Una vez que esa información fue replicada a todos los Controladores de Dominio de los Bosques ya puede crear la "Forest Trust"

    Te dejo un enlace con el paso a paso Relaciones de Confianza (Trusts) – “Forest Trusts” | WindowServer
    https://windowserver.wordpress.com/2014/04/29/relaciones-de-confianza-trusts-forest-trusts/

    Si quisieras crear otro tipo de relación de confianza, al final de la nota, bajo "Recomendado" tienes enlaces a los otros tipos de relaciones de confianza

    [Edito] Banier, borro el otro post que hiciste que quedó duplicado :)

     

    Guillermo Delprato
    Buenos Aires, Argentina
    El Blog de los paso a paso

    MVP - MCSE - MCSA2012
    MCITP: Enterprise Administrator / Server Administrator
    MCTS: Active Directory/Network Configuration/Applications Configuration/Server Virtualization/Windows 7 Configuration/Windows 7 & Office 2010 Deployment/Vista Configuration

    Este mensaje se proporciona "como está" sin garantías de ninguna clase. Usted asume todos los riesgos.


    viernes, 6 de noviembre de 2015 10:46
    |
    Moderador

Todas las respuestas

  • Question
    Inicie sesión para votar
    1
    Inicie sesión para votar

    Hola Banier, te hago una pregunta porque no me queda claro ¿lo que buscas es una guía de implementación para hacer las relaciones de confianza? ¿o para la migración?

    Para lo primero es sencillo, para lo segundo seguro buscando hay, pero para dominio a dominio, y no con subdominios

    Por otro lado, y si me permites ¿está decidido hacer una migración y no una actualización? Porque la segunda opción se consigue fácilmente agregando de a uno Controladores de Dominio con W2012R2; en cambio la tarea de una migración es bastante más compleja

     

    Guillermo Delprato
    Buenos Aires, Argentina
    El Blog de los paso a paso

    MVP - MCSE - MCSA2012
    MCITP: Enterprise Administrator / Server Administrator
    MCTS: Active Directory/Network Configuration/Applications Configuration/Server Virtualization/Windows 7 Configuration/Windows 7 & Office 2010 Deployment/Vista Configuration

    Este mensaje se proporciona "como está" sin garantías de ninguna clase. Usted asume todos los riesgos.

    jueves, 5 de noviembre de 2015 22:08
    |
    Moderador
  • Question
    Inicie sesión para votar
    0
    Inicie sesión para votar

    Hola Guillermo;

    Gracias por tus comentarios.

    Busco una guía para establecer la relación de confianza entre mi actual forest basado en AD 2003 y mi nuevo forest basado en AD DS 2012 R2; la decisión de crear un nuevo forest y no migrar se sustenta en la salud actual del dominio 2003 (realmente el dominio esta deshauciado; esta en muy malas condiciones); sería mayor el esfuerzo en remediar y adecuar la infraestructura actual Vs el esfuerzo de crear un nuevo forest; el dominio actual incumple todas la normas y mejores practicas de MS.

    Mi inquietud respecto al procedimiento de establecer la relación de confianza es porque no tengo claro sí por tratarse de un dominio bajo 2003 (con nivel funcional 2000) debo seguir algún procedimiento particular o tener en cuenta alguna consideración particular por la diferencia de versiones entre ambos forest (de 2003 a 2012 R2).

    De antemano agradecido con el apoyo que me puedas dar.

    Banier García.

    jueves, 5 de noviembre de 2015 23:52
    |
  • Question
    Inicie sesión para votar
    0
    Inicie sesión para votar

    Hola "Banier" como estas,

    Puedes aplicar:

    Raise the forest functional level
    https://technet.microsoft.com/en-us/library/cc780862(v=ws.10).aspx

    Active Directory Functional Levels Tools and Settings
    https://technet.microsoft.com/en-us/library/cc787385(v=ws.10).aspx

    Active Directory Domains and Trusts
    https://technet.microsoft.com/en-us/library/cc770299.aspx

    How Domain and Forest Trusts Work
    https://technet.microsoft.com/en-us/library/cc773178(v=ws.10).aspx

    Espero sea de ayuda. Saludos

    • Marcado como respuesta Banier viernes, 6 de noviembre de 2015 16:02
    viernes, 6 de noviembre de 2015 3:34
    |
  • Question
    Inicie sesión para votar
    0
    Inicie sesión para votar

    Banier, entiendo que lo que te conviene es una "Forest Trusts" totalmente transitiva así todos los dominios de un Bosque confían en todos los Dominios del otro Bosque, lo que te facilitará la migración

    Para poder crear este tipo de relación de confianza ambos Bosques deben tener nivel funcional, por lo menos W2003

    Para lograr esto, debes asegurarte primero que todos los Controladores de Dominio (servidores miembros no influyen) tenga sistema operativo por lo menos W2003.
    Luego en Usuarios y Equipos de AD, con botón derecho te aparece la opción para elevar el nivel funcional del Dominio, debes hacerlo en todos

    Una vez que esa información sea replicada en todos los Controladores de Dominio del Bosque, en Dominios y Confianzas de AD (sobre la raíz de la consola) tienes la opción para elevar el nivel funcional del Bosque

    Una vez que esa información fue replicada a todos los Controladores de Dominio de los Bosques ya puede crear la "Forest Trust"

    Te dejo un enlace con el paso a paso Relaciones de Confianza (Trusts) – “Forest Trusts” | WindowServer
    https://windowserver.wordpress.com/2014/04/29/relaciones-de-confianza-trusts-forest-trusts/

    Si quisieras crear otro tipo de relación de confianza, al final de la nota, bajo "Recomendado" tienes enlaces a los otros tipos de relaciones de confianza

    [Edito] Banier, borro el otro post que hiciste que quedó duplicado :)

     

    Guillermo Delprato
    Buenos Aires, Argentina
    El Blog de los paso a paso

    MVP - MCSE - MCSA2012
    MCITP: Enterprise Administrator / Server Administrator
    MCTS: Active Directory/Network Configuration/Applications Configuration/Server Virtualization/Windows 7 Configuration/Windows 7 & Office 2010 Deployment/Vista Configuration

    Este mensaje se proporciona "como está" sin garantías de ninguna clase. Usted asume todos los riesgos.


    viernes, 6 de noviembre de 2015 10:46
    |
    Moderador
  • Question
    Inicie sesión para votar
    0
    Inicie sesión para votar

    Excelente Guillermo!

    Gracias por tu respuesta... Un abrazo!

    Saludos;

    Banier.

    Banier García.

    viernes, 6 de noviembre de 2015 16:01
    |
  • Question
    Inicie sesión para votar
    0
    Inicie sesión para votar

    Muchisimas gracias Ignacio!

    Saludos;

    Banier.

    Banier García.

    viernes, 6 de noviembre de 2015 16:01
    |