none
Error en relacion de confianza entre dominios RRS feed

  • Pregunta

  • buenos días!

    tengo dos dominios independientes windows server 2012 R2que son alpha.local y bravo.local y quiero hacer una relación de confianza entre ellos. En DNS de cada uno creo un reenviador condicional, también agrego los dos servidores AD.alpha.local y AD.bravo.local en zonas de búsqueda directa e inversa en los dos servidores.

    Cuando le doy a nueva relacion de confianza en alpha.local y añado bravo.local me sale un error que dice "el nombre que especificó no es un nombre de dominio de windows valido"

    Hago ping entre los dos servidores y también tengo el puerto 53 abierto. Algo más que se me escape?

    muchas gracias

    miércoles, 19 de abril de 2017 11:25

Respuestas

Todas las respuestas

  • Lo primero y más importante es que cada uno resuelva los nombres del otro Dominio, esto lo puedes verificar con NSLOOKUP, que si están bien configurados los Reenviadores Condicionales no debería haber problemas

    No hace falta agregar ningún registro a mano, en ninguno de los DNSs

    Pero hay algo importante, entiendo que ocultes los nombres reales, pero si el nombre de ambos Controladores de Dominio comienza con "AD. ..." entonces ahí hay otro problema, hay colisión de nombres, no pueden tener el mismo nombre NetBIOS

    Por otra parte ¿hay algún enlace entre sitios geográficamente diferentes?

     


    Guillermo Delprato
    Buenos Aires, Argentina
    El Blog de los paso a paso

    MVP - MCSE - MCSA2012
    MCITP: Enterprise Administrator / Server Administrator
    MCTS: Active Directory/Network Configuration/Applications Configuration/Server Virtualization/Windows 7 Configuration/Windows 7 & Office 2010 Deployment/Vista Configuration

    Este mensaje se proporciona "como está" sin garantías de ninguna clase. Usted asume todos los riesgos.

    • Propuesto como respuesta Moderador M miércoles, 19 de abril de 2017 20:33
    • Votado como útil Moderador M jueves, 20 de abril de 2017 14:54
    miércoles, 19 de abril de 2017 15:06
    Moderador
  • Hola Guillermo! muchas gracias por la respuesta.

    Los dos nombre AD los puse como ejemplo, los nombres son diferentes. He probado nslookup y no me resuelve! sin embargo si me hace ping desde uno a otro...

    He agregado cada dominio en cada reenviador condicional, nombre del dominio, su ip y cliqué la casilla de almacenar este reenviador condicional en Active Directory y replicarlo en todos los servidores dns de este bosque.

    Los dos dominios están virtualizados en vmware y las vlans están separadas por un crossbeam, por lo que si necesitan algún puerto específico lo tienen que abrir.

    muchas gracias!

    jueves, 20 de abril de 2017 6:16
  • hola!

    he quitado los reenviadores condicionales y los he vuelto a añadir y ya me resuelve con el nslookup al nombre del dominio, pero al darle a nueva relacion de confianza me sigue saltando el mismo error, no reconoce a ese dominio como uno windows.

    alguna idea? necesita algun otro puerto que el 53?

    jueves, 20 de abril de 2017 9:41
  • Hola asturianin, no alcanza con UDP-53. La relación de confianza utiliza RPC por lo tanto no tiene que haber ninguna restricción de comunicación entre los Controladores de Dominio de uno y otro

     


    Guillermo Delprato
    Buenos Aires, Argentina
    El Blog de los paso a paso

    MVP - MCSE - MCSA2012
    MCITP: Enterprise Administrator / Server Administrator
    MCTS: Active Directory/Network Configuration/Applications Configuration/Server Virtualization/Windows 7 Configuration/Windows 7 & Office 2010 Deployment/Vista Configuration

    Este mensaje se proporciona "como está" sin garantías de ninguna clase. Usted asume todos los riesgos.

    jueves, 20 de abril de 2017 9:58
    Moderador
  • ok...ya tengo el puerto 53 abierto tanto para UDP como para TCP y bidireccional asique no hay ninguna restricción en ese puerto
    jueves, 20 de abril de 2017 10:39
  • Creo que no fue claro, todos es todos :)

    TCP y UDP 1 a 65535, si no quieres complicarte

    Si quieres ir al detalle, para poder crear la relación se necesita lo siguiente:

    How to configure a firewall for domains and trusts
    https://support.microsoft.com/en-us/help/179442/how-to-configure-a-firewall-for-domains-and-trusts
     

    Pero luego y de acuerdo al uso hay que abrir aún más, revisa el siguiente enlace:

    Active Directory Firewall Ports – Let’s Try To Make This Simple | Ace Fekay
    http://blogs.msmvps.com/acefekay/2011/11/01/active-directory-firewall-ports-let-s-try-to-make-this-simple/ 
     

    Y por último, si llegaran a haber Controladores de Dominio del mismo Dominio en las diferentes redes, revisa:

    Active Directory Replication Over Firewalls - TechNet Articles - United States (English) - TechNet Wiki
    https://social.technet.microsoft.com/wiki/contents/articles/584.active-directory-replication-over-firewalls.aspx 

    Además, y muy importante, debe haber "routing puro", no puede haber NAT por ser unidireccional

     


    Guillermo Delprato
    Buenos Aires, Argentina
    El Blog de los paso a paso

    MVP - MCSE - MCSA2012
    MCITP: Enterprise Administrator / Server Administrator
    MCTS: Active Directory/Network Configuration/Applications Configuration/Server Virtualization/Windows 7 Configuration/Windows 7 & Office 2010 Deployment/Vista Configuration

    Este mensaje se proporciona "como está" sin garantías de ninguna clase. Usted asume todos los riesgos.

    • Propuesto como respuesta Moderador M jueves, 20 de abril de 2017 14:55
    • Marcado como respuesta Moderador M miércoles, 26 de abril de 2017 15:35
    jueves, 20 de abril de 2017 11:53
    Moderador