Principales respuestas
Relación de confianza entre 2 dominios (Microsoft Active Directory 2003 y 2012 R2)

Pregunta
-
Buen día;
Me encuentro en un proyecto de migración de Active Directory (de Windows Server 2003 AD a Windows Server 2012 R2); en el interin que se migren todos los usuarios y recursos al dominio 2012 R2 necesito mantener relaciones de confianza para que los usuarios migrados al nuevo dominio puedan acceder a los recursos del dominio basado en 2003. Se que esta soportado esta implementación pero me gustaría contar con una guia de implementación para este escenario en particular (de 2003 a 2012).
Mi ambiente esta conformado por un Forest Windows Server 2003 (Nivel Funcional del forest Windows 2000 y del Dominio 2000 nativo) con un Child que tiene tanto DCs Windows 2000 como 2003 y mi nuevo Forest esta totalmente basado en Windows Server 2012 R2 tanto para el root como para el child.
¿Alguna sugerencia?
Gracias de antemano.
Banier García.
Respuestas
-
Hola "Banier" como estas,
Puedes aplicar:
Raise the forest functional level
https://technet.microsoft.com/en-us/library/cc780862(v=ws.10).aspxActive Directory Functional Levels Tools and Settings
https://technet.microsoft.com/en-us/library/cc787385(v=ws.10).aspxActive Directory Domains and Trusts
https://technet.microsoft.com/en-us/library/cc770299.aspxHow Domain and Forest Trusts Work
https://technet.microsoft.com/en-us/library/cc773178(v=ws.10).aspxEspero sea de ayuda. Saludos
- Marcado como respuesta Banier viernes, 6 de noviembre de 2015 16:02
-
Banier, entiendo que lo que te conviene es una "Forest Trusts" totalmente transitiva así todos los dominios de un Bosque confían en todos los Dominios del otro Bosque, lo que te facilitará la migración
Para poder crear este tipo de relación de confianza ambos Bosques deben tener nivel funcional, por lo menos W2003
Para lograr esto, debes asegurarte primero que todos los Controladores de Dominio (servidores miembros no influyen) tenga sistema operativo por lo menos W2003.
Luego en Usuarios y Equipos de AD, con botón derecho te aparece la opción para elevar el nivel funcional del Dominio, debes hacerlo en todosUna vez que esa información sea replicada en todos los Controladores de Dominio del Bosque, en Dominios y Confianzas de AD (sobre la raíz de la consola) tienes la opción para elevar el nivel funcional del Bosque
Una vez que esa información fue replicada a todos los Controladores de Dominio de los Bosques ya puede crear la "Forest Trust"
Te dejo un enlace con el paso a paso Relaciones de Confianza (Trusts) – “Forest Trusts” | WindowServer
https://windowserver.wordpress.com/2014/04/29/relaciones-de-confianza-trusts-forest-trusts/Si quisieras crear otro tipo de relación de confianza, al final de la nota, bajo "Recomendado" tienes enlaces a los otros tipos de relaciones de confianza
[Edito] Banier, borro el otro post que hiciste que quedó duplicado :)
Guillermo Delprato
MVP - MCSE - MCSA2012
Buenos Aires, Argentina
El Blog de los paso a paso
MCITP: Enterprise Administrator / Server Administrator
MCTS: Active Directory/Network Configuration/Applications Configuration/Server Virtualization/Windows 7 Configuration/Windows 7 & Office 2010 Deployment/Vista Configuration
Este mensaje se proporciona "como está" sin garantías de ninguna clase. Usted asume todos los riesgos.
- Editado Guillermo Delprato []Moderator viernes, 6 de noviembre de 2015 10:47
- Marcado como respuesta Banier viernes, 6 de noviembre de 2015 16:02
Todas las respuestas
-
Hola Banier, te hago una pregunta porque no me queda claro ¿lo que buscas es una guía de implementación para hacer las relaciones de confianza? ¿o para la migración?
Para lo primero es sencillo, para lo segundo seguro buscando hay, pero para dominio a dominio, y no con subdominios
Por otro lado, y si me permites ¿está decidido hacer una migración y no una actualización? Porque la segunda opción se consigue fácilmente agregando de a uno Controladores de Dominio con W2012R2; en cambio la tarea de una migración es bastante más compleja
Guillermo Delprato
MVP - MCSE - MCSA2012
Buenos Aires, Argentina
El Blog de los paso a paso
MCITP: Enterprise Administrator / Server Administrator
MCTS: Active Directory/Network Configuration/Applications Configuration/Server Virtualization/Windows 7 Configuration/Windows 7 & Office 2010 Deployment/Vista Configuration
Este mensaje se proporciona "como está" sin garantías de ninguna clase. Usted asume todos los riesgos.
-
Hola Guillermo;
Gracias por tus comentarios.
Busco una guía para establecer la relación de confianza entre mi actual forest basado en AD 2003 y mi nuevo forest basado en AD DS 2012 R2; la decisión de crear un nuevo forest y no migrar se sustenta en la salud actual del dominio 2003 (realmente el dominio esta deshauciado; esta en muy malas condiciones); sería mayor el esfuerzo en remediar y adecuar la infraestructura actual Vs el esfuerzo de crear un nuevo forest; el dominio actual incumple todas la normas y mejores practicas de MS.
Mi inquietud respecto al procedimiento de establecer la relación de confianza es porque no tengo claro sí por tratarse de un dominio bajo 2003 (con nivel funcional 2000) debo seguir algún procedimiento particular o tener en cuenta alguna consideración particular por la diferencia de versiones entre ambos forest (de 2003 a 2012 R2).
De antemano agradecido con el apoyo que me puedas dar.
Banier García.
-
Hola "Banier" como estas,
Puedes aplicar:
Raise the forest functional level
https://technet.microsoft.com/en-us/library/cc780862(v=ws.10).aspxActive Directory Functional Levels Tools and Settings
https://technet.microsoft.com/en-us/library/cc787385(v=ws.10).aspxActive Directory Domains and Trusts
https://technet.microsoft.com/en-us/library/cc770299.aspxHow Domain and Forest Trusts Work
https://technet.microsoft.com/en-us/library/cc773178(v=ws.10).aspxEspero sea de ayuda. Saludos
- Marcado como respuesta Banier viernes, 6 de noviembre de 2015 16:02
-
Banier, entiendo que lo que te conviene es una "Forest Trusts" totalmente transitiva así todos los dominios de un Bosque confían en todos los Dominios del otro Bosque, lo que te facilitará la migración
Para poder crear este tipo de relación de confianza ambos Bosques deben tener nivel funcional, por lo menos W2003
Para lograr esto, debes asegurarte primero que todos los Controladores de Dominio (servidores miembros no influyen) tenga sistema operativo por lo menos W2003.
Luego en Usuarios y Equipos de AD, con botón derecho te aparece la opción para elevar el nivel funcional del Dominio, debes hacerlo en todosUna vez que esa información sea replicada en todos los Controladores de Dominio del Bosque, en Dominios y Confianzas de AD (sobre la raíz de la consola) tienes la opción para elevar el nivel funcional del Bosque
Una vez que esa información fue replicada a todos los Controladores de Dominio de los Bosques ya puede crear la "Forest Trust"
Te dejo un enlace con el paso a paso Relaciones de Confianza (Trusts) – “Forest Trusts” | WindowServer
https://windowserver.wordpress.com/2014/04/29/relaciones-de-confianza-trusts-forest-trusts/Si quisieras crear otro tipo de relación de confianza, al final de la nota, bajo "Recomendado" tienes enlaces a los otros tipos de relaciones de confianza
[Edito] Banier, borro el otro post que hiciste que quedó duplicado :)
Guillermo Delprato
MVP - MCSE - MCSA2012
Buenos Aires, Argentina
El Blog de los paso a paso
MCITP: Enterprise Administrator / Server Administrator
MCTS: Active Directory/Network Configuration/Applications Configuration/Server Virtualization/Windows 7 Configuration/Windows 7 & Office 2010 Deployment/Vista Configuration
Este mensaje se proporciona "como está" sin garantías de ninguna clase. Usted asume todos los riesgos.
- Editado Guillermo Delprato []Moderator viernes, 6 de noviembre de 2015 10:47
- Marcado como respuesta Banier viernes, 6 de noviembre de 2015 16:02
-
-