none
Domains and trusts RRS feed

  • Pregunta

  • Escenario de laboratorio:

    Primer Forest
    DC: srv1.stany.com
    Domain: stany.com
    IP: 192.168.1.1
    DNS AD integrated: 192.168.1.1
    Domain functional level: 2003

    DC: srv2.child.stany.com
    Domain: child.stany.com
    IP: 192.168.1.2
    DNS AD integrated: 192.168.1.2
    Domain functional level: 2003

    Workstation: xp.stany.com
    IP: 192.168.1.11
    DNS: 192.168.1.1

    Segundo Forest
    DC: dc4.sidus.com
    Domain: sidus.com
    IP: 192.168.1.4
    DNS AD integrated: 192.168.1.4
    Domain functional level: 2003

    Cuando intento mapear un share desde xp.stany.com a dc4.sidus.com, pregunta por autenticación, como es posible si no configuré ningun trust entre stany.com y sidus.com ? esto es normal ?
    Como configuro para que no deje ingresar el dominio ?

    domingo, 20 de mayo de 2012 23:30

Respuestas

  • ignaba, como comenta Julio, si "se ven a través de la red..." va a pedir autenticación es el comportamiento normal y que la mayoría de las veces ayuda, aunque ahora no te sirva

    Si realmente quieres aislar los dominios, por ejemplo por un tema de seguridad, se podría hacer por ejemplo usando redes IP diferentes aunque estén sobre el mismo cable.

    Se complicaría un poco por temas de "routing" entre las redes. Si en algún momento deseas acceder desde una a otra, habría que colocar una máquina que funcione como Router (la que sería visible desde ambas redes)
    Esto últimio hasta se puede hacer fácil, con una PC con una única placa de red, con dos IPs, y configurando "routing" desde el registro

    Si el tema tiene que ser más seguro entonces dos redes con cortafuegos en el medio, o inclusive cableado separado

     


    Guillermo Delprato - Buenos Aires, Argentina
    Visite Notas Windows Server
    MVP - MCT - MCSE - MCSA
    MCITP: Enterprise Administrator / Server Administrator
    MCTS: Active Directory/Network Configuration/Applications Configuration/Server Virtualization/Windows 7 Configuration/Windows 7 & Office 2010 Deployment/Vista Configuration
    Este mensaje se proporciona "como está" sin garantías de ninguna clase. Usted asume todos los riesgos.

    • Marcado como respuesta Ignacio Barrios miércoles, 23 de mayo de 2012 23:53
    miércoles, 23 de mayo de 2012 17:50
    Moderador

Todas las respuestas

  • Hola Ignaba,

    El hecho de que te pregunte por autenticación es normal.

    Crear un trust entre dominios implica que puedas acceder o logarte desde una cuenta del dominio externo en un recurso del otro dominio. En este caso, te está pidiendo autenticación simplemente por que la máquina es visible a nivel IP (o bien tienes algún forward a nivel DNS y puede resolver el nombre) y puede conectarse a la máquina.

    En cualquier caso, si no existe trust como es el caso que comentas, sólo podrás acceder a los recursos locales de cada dominio con un usuario del mismo dominio.

    Otra cosa es que no quieras que el dominio sea visible a nivel DNS o IP, para eso deberías eliminar cualquier forward a nivel DNS que pudiera existir (o si es un mismo bosque configurar las zonas ADI para que se repliquen en el ámbito de dominio únicamente), o a nivel IP teniendo dos segmentos de red diferentes no enrutables entre sí.

    Saludos.

    Julio Rosua

    lunes, 21 de mayo de 2012 7:24
  • Comprendo, no tengo forwarders a nivel DNS o IP, como puedo configurar para que no deje autenticar a otro dominio ? Gracias.

    lunes, 21 de mayo de 2012 11:23
  • Ignaba,

    Entiendo que intentas acceder al recurso del otro dominio por \\ip_server\share ya que sino es así, por nombre no debería resolverte al ser bosques diferentes y tener el client la config DNS del dominio stany.com

    Como te comento, el comportamiento es normal y no supone un riesgo en seguridad, simplemente la estación te está diciendo que ve el servidor y el share a nivel CIFS pero debes autenticarte con las credenciales del dominio sidus.com para acceder al recurso.

    Si quieres que no se pueda abrir el share a nivel IP, debes configurar a través de un firewall el bloqueo de los puertos SMB y Netbios contra el dominio (UDP 137-139 y TCP445) o bien configurarlo en tu entorno de pruebas en dos segmentos de red distintos sin visibilidad.

    un saludo.

    Julio Rosua

    lunes, 21 de mayo de 2012 12:29
  • No va a dejar autenticar, simplemente da la opción. Si no tienes usuario/contraseña en el otro dominio no hay forma ni siquiera de ver los recursos compartidos en máquinas del otro equipo (salvo compartidos con permiso a Todos (Everyone)

    Se "ven" ambos dominios, porque aunque no lo tengas configurado a nivel DNS, lo termina resolviendo por NetBIOS

    Si comentaras el objetivo final, quizás pueda darte alguna idea

     


    Guillermo Delprato - Buenos Aires, Argentina
    Visite Notas Windows Server
    MVP - MCT - MCSE - MCSA
    MCITP: Enterprise Administrator / Server Administrator
    MCTS: Active Directory/Network Configuration/Applications Configuration/Server Virtualization/Windows 7 Configuration/Windows 7 & Office 2010 Deployment/Vista Configuration
    Este mensaje se proporciona "como está" sin garantías de ninguna clase. Usted asume todos los riesgos.

    lunes, 21 de mayo de 2012 18:36
    Moderador
  • Julio, gracias por tu explicación

    Guillermo, como puedo hacer para que todos los usuarios por ejemplo de stany.com, no se vinculen de ninguna forma con sidus.com, es decir cuando mapeo \\xp\share o \\xp no aparezca ninguna autenticación, esto se puede hacer ? Gracias.

    martes, 22 de mayo de 2012 2:25
  • Ignaba,

    Piensa que Netbios funciona en modo broadcast con lo que una vez ejecutes \\computername va a hacer un lookup en toda la subnet 192.168.1.0\24 para este nombre.

    La única posibilidad es aislar ambos dominios en dos subredes diferentes o bien configurar las excepciones pertinentes en el FW para los puertos netbios (UDP 137-139) y SMB (TCP445)

    Aunque no sea alcanzable a nivel netbios, seguirás pudiendo acceder via IP, con lo cual te recomiendo configurar estas excepciones en la estación y DC para que el cliente del otro dominio no pueda realizar la conexión.

    Un saludo.

    Julio Rosua

    miércoles, 23 de mayo de 2012 7:47
  • ignaba, como comenta Julio, si "se ven a través de la red..." va a pedir autenticación es el comportamiento normal y que la mayoría de las veces ayuda, aunque ahora no te sirva

    Si realmente quieres aislar los dominios, por ejemplo por un tema de seguridad, se podría hacer por ejemplo usando redes IP diferentes aunque estén sobre el mismo cable.

    Se complicaría un poco por temas de "routing" entre las redes. Si en algún momento deseas acceder desde una a otra, habría que colocar una máquina que funcione como Router (la que sería visible desde ambas redes)
    Esto últimio hasta se puede hacer fácil, con una PC con una única placa de red, con dos IPs, y configurando "routing" desde el registro

    Si el tema tiene que ser más seguro entonces dos redes con cortafuegos en el medio, o inclusive cableado separado

     


    Guillermo Delprato - Buenos Aires, Argentina
    Visite Notas Windows Server
    MVP - MCT - MCSE - MCSA
    MCITP: Enterprise Administrator / Server Administrator
    MCTS: Active Directory/Network Configuration/Applications Configuration/Server Virtualization/Windows 7 Configuration/Windows 7 & Office 2010 Deployment/Vista Configuration
    Este mensaje se proporciona "como está" sin garantías de ninguna clase. Usted asume todos los riesgos.

    • Marcado como respuesta Ignacio Barrios miércoles, 23 de mayo de 2012 23:53
    miércoles, 23 de mayo de 2012 17:50
    Moderador