none
Confianza entre dominios RRS feed

  • Pregunta

  • Tengo un dominio principal sanctuary.local y tengo un dominio hijo flodge.sanctuary.local, todos mi usuarios cuando se autentifican pasan por el dominio principal, al momento que rompo el enlace y los dominio ya no se ven en la red los usuarios creados en Flodge no pueden autentificarse, como puedo separar el sub-domino sin que afecte otras funciones y convertir el dominio Flodge en principal y romper la confianza entre los dos.

    Espero recibir su ayuda,

    Gracias..

    viernes, 4 de enero de 2013 14:06

Respuestas

  • Todo depende a qué llames "poder usar" :-)

    En cuanto desconectes los dominio, que va a tener que ser por red, porque la relación de confianza no te dejará quitarla, aparentemente seguirá funcionando mientras que no tenga que acceder al dominio raíz
    De por sí, no tendrás ni Schema Admins ni Enterprise Admins (por ejemplo para instalar alguna aplicación que modificque el Schema o simplemente autorizar a un DHCP)

    Que un usuario pueda iniciar sesión, si el DC es DNS y GC puede que siga funcionando, pero lo errores  que se generarán en *ambos* dominios no serán nada buenos, ni tendrán solución en el subdominio ya que no hay forma de convertirlo en Dominio Raíz

    Siempre hay que trabajar un poco en el diseño de AD *antes* de comenzar porque hay cosas que luego no se pueden arreglar fácilmente. En tu caso "desconectar" un subdominio y pasarlo a raíz es imposible. En otros casos han creado Bosques separados y luego quieren unirlos en uno único, tampoco se puede. Renombrar un dominio en algunos casos puede ser un "dolor de cabeza", etc.

    Siempre, el principio de diseño es "tener un único Dominio", y sólo tener más de uno sólo si tiene una buena justificación técnica, que no es cantidad de usuarios, o porque es otro sitio, o porque es un grupo de gente diferente. Aunque por supuesto hay también motivos que lo justifican

     


    Guillermo Delprato - Buenos Aires, Argentina
    Visite Windows Server - Todos los Paso a Paso
    MVP [Directory Services] - MCT - MCSE - MCSA
    MCSA Windows Server 2012
    MCSA Windows Server 2008 MCITP: Enterprise Administrator / Server Administrator
    MCTS: Active Directory / Network Configuration / Applications Configuration / Server Virtualization / Windows 7 Configuration / Windows 7 & Office 2010 Deployment / Vista Configuration
    Este mensaje se proporciona "como está" sin garantías de ninguna clase. Usted asume todos los riesgos.

    viernes, 4 de enero de 2013 21:16
    Moderador

Todas las respuestas

  • Hola Hector, una vez que se ha creado una estructura de Árbol (Tree) no hay forma de separar un subdominio y que siga funcionando. Depende totalmente del "Dominio Raíz" como cualquier subdominio

    El Dominio Raíz tiene "cosas" que ningún subdominio tiene

     


    Guillermo Delprato - Buenos Aires, Argentina
    Visite Windows Server - Todos los Paso a Paso
    MVP [Directory Services] - MCT - MCSE - MCSA
    MCSA Windows Server 2012
    MCSA Windows Server 2008 MCITP: Enterprise Administrator / Server Administrator
    MCTS: Active Directory / Network Configuration / Applications Configuration / Server Virtualization / Windows 7 Configuration / Windows 7 & Office 2010 Deployment / Vista Configuration
    Este mensaje se proporciona "como está" sin garantías de ninguna clase. Usted asume todos los riesgos.

    viernes, 4 de enero de 2013 15:58
    Moderador
  • Entonces, esto quiere decir que inmediatamente desconecte, no voy a poder usar el dominio flodge
    viernes, 4 de enero de 2013 20:44
  • Todo depende a qué llames "poder usar" :-)

    En cuanto desconectes los dominio, que va a tener que ser por red, porque la relación de confianza no te dejará quitarla, aparentemente seguirá funcionando mientras que no tenga que acceder al dominio raíz
    De por sí, no tendrás ni Schema Admins ni Enterprise Admins (por ejemplo para instalar alguna aplicación que modificque el Schema o simplemente autorizar a un DHCP)

    Que un usuario pueda iniciar sesión, si el DC es DNS y GC puede que siga funcionando, pero lo errores  que se generarán en *ambos* dominios no serán nada buenos, ni tendrán solución en el subdominio ya que no hay forma de convertirlo en Dominio Raíz

    Siempre hay que trabajar un poco en el diseño de AD *antes* de comenzar porque hay cosas que luego no se pueden arreglar fácilmente. En tu caso "desconectar" un subdominio y pasarlo a raíz es imposible. En otros casos han creado Bosques separados y luego quieren unirlos en uno único, tampoco se puede. Renombrar un dominio en algunos casos puede ser un "dolor de cabeza", etc.

    Siempre, el principio de diseño es "tener un único Dominio", y sólo tener más de uno sólo si tiene una buena justificación técnica, que no es cantidad de usuarios, o porque es otro sitio, o porque es un grupo de gente diferente. Aunque por supuesto hay también motivos que lo justifican

     


    Guillermo Delprato - Buenos Aires, Argentina
    Visite Windows Server - Todos los Paso a Paso
    MVP [Directory Services] - MCT - MCSE - MCSA
    MCSA Windows Server 2012
    MCSA Windows Server 2008 MCITP: Enterprise Administrator / Server Administrator
    MCTS: Active Directory / Network Configuration / Applications Configuration / Server Virtualization / Windows 7 Configuration / Windows 7 & Office 2010 Deployment / Vista Configuration
    Este mensaje se proporciona "como está" sin garantías de ninguna clase. Usted asume todos los riesgos.

    viernes, 4 de enero de 2013 21:16
    Moderador