Principales respuestas
Domains and trusts

Pregunta
-
Escenario de laboratorio:
Primer Forest
DC: srv1.stany.com
Domain: stany.com
IP: 192.168.1.1
DNS AD integrated: 192.168.1.1
Domain functional level: 2003DC: srv2.child.stany.com
Domain: child.stany.com
IP: 192.168.1.2
DNS AD integrated: 192.168.1.2
Domain functional level: 2003Workstation: xp.stany.com
IP: 192.168.1.11
DNS: 192.168.1.1Segundo Forest
DC: dc4.sidus.com
Domain: sidus.com
IP: 192.168.1.4
DNS AD integrated: 192.168.1.4
Domain functional level: 2003Cuando intento mapear un share desde xp.stany.com a dc4.sidus.com, pregunta por autenticación, como es posible si no configuré ningun trust entre stany.com y sidus.com ? esto es normal ?
Como configuro para que no deje ingresar el dominio ?
Respuestas
-
ignaba, como comenta Julio, si "se ven a través de la red..." va a pedir autenticación es el comportamiento normal y que la mayoría de las veces ayuda, aunque ahora no te sirva
Si realmente quieres aislar los dominios, por ejemplo por un tema de seguridad, se podría hacer por ejemplo usando redes IP diferentes aunque estén sobre el mismo cable.
Se complicaría un poco por temas de "routing" entre las redes. Si en algún momento deseas acceder desde una a otra, habría que colocar una máquina que funcione como Router (la que sería visible desde ambas redes)
Esto últimio hasta se puede hacer fácil, con una PC con una única placa de red, con dos IPs, y configurando "routing" desde el registroSi el tema tiene que ser más seguro entonces dos redes con cortafuegos en el medio, o inclusive cableado separado
Guillermo Delprato - Buenos Aires, Argentina
Visite Notas Windows Server
MVP - MCT - MCSE - MCSA
MCITP: Enterprise Administrator / Server Administrator
MCTS: Active Directory/Network Configuration/Applications Configuration/Server Virtualization/Windows 7 Configuration/Windows 7 & Office 2010 Deployment/Vista Configuration
Este mensaje se proporciona "como está" sin garantías de ninguna clase. Usted asume todos los riesgos.- Marcado como respuesta Ignacio Barrios miércoles, 23 de mayo de 2012 23:53
Todas las respuestas
-
Hola Ignaba,
El hecho de que te pregunte por autenticación es normal.
Crear un trust entre dominios implica que puedas acceder o logarte desde una cuenta del dominio externo en un recurso del otro dominio. En este caso, te está pidiendo autenticación simplemente por que la máquina es visible a nivel IP (o bien tienes algún forward a nivel DNS y puede resolver el nombre) y puede conectarse a la máquina.
En cualquier caso, si no existe trust como es el caso que comentas, sólo podrás acceder a los recursos locales de cada dominio con un usuario del mismo dominio.
Otra cosa es que no quieras que el dominio sea visible a nivel DNS o IP, para eso deberías eliminar cualquier forward a nivel DNS que pudiera existir (o si es un mismo bosque configurar las zonas ADI para que se repliquen en el ámbito de dominio únicamente), o a nivel IP teniendo dos segmentos de red diferentes no enrutables entre sí.
Saludos.
Julio Rosua
- Propuesto como respuesta Eduardo PorteschellerModerator miércoles, 23 de mayo de 2012 14:59
-
-
Ignaba,
Entiendo que intentas acceder al recurso del otro dominio por \\ip_server\share ya que sino es así, por nombre no debería resolverte al ser bosques diferentes y tener el client la config DNS del dominio stany.com
Como te comento, el comportamiento es normal y no supone un riesgo en seguridad, simplemente la estación te está diciendo que ve el servidor y el share a nivel CIFS pero debes autenticarte con las credenciales del dominio sidus.com para acceder al recurso.
Si quieres que no se pueda abrir el share a nivel IP, debes configurar a través de un firewall el bloqueo de los puertos SMB y Netbios contra el dominio (UDP 137-139 y TCP445) o bien configurarlo en tu entorno de pruebas en dos segmentos de red distintos sin visibilidad.
un saludo.
Julio Rosua
- Propuesto como respuesta Eduardo PorteschellerModerator miércoles, 23 de mayo de 2012 14:59
-
No va a dejar autenticar, simplemente da la opción. Si no tienes usuario/contraseña en el otro dominio no hay forma ni siquiera de ver los recursos compartidos en máquinas del otro equipo (salvo compartidos con permiso a Todos (Everyone)
Se "ven" ambos dominios, porque aunque no lo tengas configurado a nivel DNS, lo termina resolviendo por NetBIOS
Si comentaras el objetivo final, quizás pueda darte alguna idea
Guillermo Delprato - Buenos Aires, Argentina
Visite Notas Windows Server
MVP - MCT - MCSE - MCSA
MCITP: Enterprise Administrator / Server Administrator
MCTS: Active Directory/Network Configuration/Applications Configuration/Server Virtualization/Windows 7 Configuration/Windows 7 & Office 2010 Deployment/Vista Configuration
Este mensaje se proporciona "como está" sin garantías de ninguna clase. Usted asume todos los riesgos.- Propuesto como respuesta Eduardo PorteschellerModerator miércoles, 23 de mayo de 2012 14:59
-
Julio, gracias por tu explicación
Guillermo, como puedo hacer para que todos los usuarios por ejemplo de stany.com, no se vinculen de ninguna forma con sidus.com, es decir cuando mapeo \\xp\share o \\xp no aparezca ninguna autenticación, esto se puede hacer ? Gracias.
-
Ignaba,
Piensa que Netbios funciona en modo broadcast con lo que una vez ejecutes \\computername va a hacer un lookup en toda la subnet 192.168.1.0\24 para este nombre.
La única posibilidad es aislar ambos dominios en dos subredes diferentes o bien configurar las excepciones pertinentes en el FW para los puertos netbios (UDP 137-139) y SMB (TCP445)
Aunque no sea alcanzable a nivel netbios, seguirás pudiendo acceder via IP, con lo cual te recomiendo configurar estas excepciones en la estación y DC para que el cliente del otro dominio no pueda realizar la conexión.
Un saludo.
Julio Rosua
- Propuesto como respuesta Eduardo PorteschellerModerator miércoles, 23 de mayo de 2012 14:59
-
ignaba, como comenta Julio, si "se ven a través de la red..." va a pedir autenticación es el comportamiento normal y que la mayoría de las veces ayuda, aunque ahora no te sirva
Si realmente quieres aislar los dominios, por ejemplo por un tema de seguridad, se podría hacer por ejemplo usando redes IP diferentes aunque estén sobre el mismo cable.
Se complicaría un poco por temas de "routing" entre las redes. Si en algún momento deseas acceder desde una a otra, habría que colocar una máquina que funcione como Router (la que sería visible desde ambas redes)
Esto últimio hasta se puede hacer fácil, con una PC con una única placa de red, con dos IPs, y configurando "routing" desde el registroSi el tema tiene que ser más seguro entonces dos redes con cortafuegos en el medio, o inclusive cableado separado
Guillermo Delprato - Buenos Aires, Argentina
Visite Notas Windows Server
MVP - MCT - MCSE - MCSA
MCITP: Enterprise Administrator / Server Administrator
MCTS: Active Directory/Network Configuration/Applications Configuration/Server Virtualization/Windows 7 Configuration/Windows 7 & Office 2010 Deployment/Vista Configuration
Este mensaje se proporciona "como está" sin garantías de ninguna clase. Usted asume todos los riesgos.- Marcado como respuesta Ignacio Barrios miércoles, 23 de mayo de 2012 23:53