Domains and trusts

Todas las respuestas

• 

  

  0

  Inicie sesión para votar

  Hola Ignaba,

  El hecho de que te pregunte por autenticación es normal.

  Crear un trust entre dominios implica que puedas acceder o logarte desde una cuenta del dominio externo en un recurso del otro dominio. En este caso, te está pidiendo autenticación simplemente por que la máquina es visible a nivel IP (o bien tienes algún forward a nivel DNS y puede resolver el nombre) y puede conectarse a la máquina.

  En cualquier caso, si no existe trust como es el caso que comentas, sólo podrás acceder a los recursos locales de cada dominio con un usuario del mismo dominio.

  Otra cosa es que no quieras que el dominio sea visible a nivel DNS o IP, para eso deberías eliminar cualquier forward a nivel DNS que pudiera existir (o si es un mismo bosque configurar las zonas ADI para que se repliquen en el ámbito de dominio únicamente), o a nivel IP teniendo dos segmentos de red diferentes no enrutables entre sí.

  Saludos.

  Julio Rosua

  • Propuesto como respuesta Eduardo PorteschellerModerator miércoles, 23 de mayo de 2012 14:59

  lunes, 21 de mayo de 2012 7:24

  Responder

  |

  Citar
• 

  

  0

  Inicie sesión para votar

  Comprendo, no tengo forwarders a nivel DNS o IP, como puedo configurar para que no deje autenticar a otro dominio ? Gracias.

  lunes, 21 de mayo de 2012 11:23

  Responder

  |

  Citar
• 

  

  0

  Inicie sesión para votar

  Ignaba,

  Entiendo que intentas acceder al recurso del otro dominio por \\ip_server\share ya que sino es así, por nombre no debería resolverte al ser bosques diferentes y tener el client la config DNS del dominio stany.com

  Como te comento, el comportamiento es normal y no supone un riesgo en seguridad, simplemente la estación te está diciendo que ve el servidor y el share a nivel CIFS pero debes autenticarte con las credenciales del dominio sidus.com para acceder al recurso.

  Si quieres que no se pueda abrir el share a nivel IP, debes configurar a través de un firewall el bloqueo de los puertos SMB y Netbios contra el dominio (UDP 137-139 y TCP445) o bien configurarlo en tu entorno de pruebas en dos segmentos de red distintos sin visibilidad.

  un saludo.

  Julio Rosua

  • Propuesto como respuesta Eduardo PorteschellerModerator miércoles, 23 de mayo de 2012 14:59

  lunes, 21 de mayo de 2012 12:29

  Responder

  |

  Citar
• 

  

  0

  Inicie sesión para votar

  No va a dejar autenticar, simplemente da la opción. Si no tienes usuario/contraseña en el otro dominio no hay forma ni siquiera de ver los recursos compartidos en máquinas del otro equipo (salvo compartidos con permiso a Todos (Everyone)

  Se "ven" ambos dominios, porque aunque no lo tengas configurado a nivel DNS, lo termina resolviendo por NetBIOS

  Si comentaras el objetivo final, quizás pueda darte alguna idea

   

  ---

  Guillermo Delprato - Buenos Aires, Argentina
  Visite Notas Windows Server
  MVP - MCT - MCSE - MCSA
  MCITP: Enterprise Administrator / Server Administrator
  MCTS: Active Directory/Network Configuration/Applications Configuration/Server Virtualization/Windows 7 Configuration/Windows 7 & Office 2010 Deployment/Vista Configuration
  Este mensaje se proporciona "como está" sin garantías de ninguna clase. Usted asume todos los riesgos.

  • Propuesto como respuesta Eduardo PorteschellerModerator miércoles, 23 de mayo de 2012 14:59

  lunes, 21 de mayo de 2012 18:36

  Responder

  |

  Citar

  Moderador
• 

  

  0

  Inicie sesión para votar

  Julio, gracias por tu explicación

  Guillermo, como puedo hacer para que todos los usuarios por ejemplo de stany.com, no se vinculen de ninguna forma con sidus.com, es decir cuando mapeo \\xp\share o \\xp no aparezca ninguna autenticación, esto se puede hacer ? Gracias.

  martes, 22 de mayo de 2012 2:25

  Responder

  |

  Citar
• 

  

  0

  Inicie sesión para votar

  Ignaba,

  Piensa que Netbios funciona en modo broadcast con lo que una vez ejecutes \\computername va a hacer un lookup en toda la subnet 192.168.1.0\24 para este nombre.

  La única posibilidad es aislar ambos dominios en dos subredes diferentes o bien configurar las excepciones pertinentes en el FW para los puertos netbios (UDP 137-139) y SMB (TCP445)

  Aunque no sea alcanzable a nivel netbios, seguirás pudiendo acceder via IP, con lo cual te recomiendo configurar estas excepciones en la estación y DC para que el cliente del otro dominio no pueda realizar la conexión.

  Un saludo.

  Julio Rosua

  • Propuesto como respuesta Eduardo PorteschellerModerator miércoles, 23 de mayo de 2012 14:59

  miércoles, 23 de mayo de 2012 7:47

  Responder

  |

  Citar
• 

  

  0

  Inicie sesión para votar

  ignaba, como comenta Julio, si "se ven a través de la red..." va a pedir autenticación es el comportamiento normal y que la mayoría de las veces ayuda, aunque ahora no te sirva

  Si realmente quieres aislar los dominios, por ejemplo por un tema de seguridad, se podría hacer por ejemplo usando redes IP diferentes aunque estén sobre el mismo cable.

  Se complicaría un poco por temas de "routing" entre las redes. Si en algún momento deseas acceder desde una a otra, habría que colocar una máquina que funcione como Router (la que sería visible desde ambas redes)
  Esto últimio hasta se puede hacer fácil, con una PC con una única placa de red, con dos IPs, y configurando "routing" desde el registro

  Si el tema tiene que ser más seguro entonces dos redes con cortafuegos en el medio, o inclusive cableado separado

   

  ---

  Guillermo Delprato - Buenos Aires, Argentina
  Visite Notas Windows Server
  MVP - MCT - MCSE - MCSA
  MCITP: Enterprise Administrator / Server Administrator
  MCTS: Active Directory/Network Configuration/Applications Configuration/Server Virtualization/Windows 7 Configuration/Windows 7 & Office 2010 Deployment/Vista Configuration
  Este mensaje se proporciona "como está" sin garantías de ninguna clase. Usted asume todos los riesgos.

  • Marcado como respuesta Ignacio Barrios miércoles, 23 de mayo de 2012 23:53

  miércoles, 23 de mayo de 2012 17:50

  Responder

  |

  Citar

  Moderador