none
No puede hacer Relaciones de Confianza RRS feed

  • Pregunta

  • Hola a todos.

    Es comento el escenario:

    Dominio1 192.168.1.X
    Serv1 W2003 AD, DNS, Controlador con casi todos lo roles.. (192.168.1.1)
    Serv2 W2003 AD, DNS, Controlador secundario con rol de infraestructura (192.168.1.2)

    Por una punto a punto, llegamos a la otra delegación:

    Dominio2 192.168.2.X
    Serv11 W2003 AD, DNS, Controlador con casi todos lo roles.. (192.168.2.1)
    Serv21 W2000 AD, DNS, Controlador secundario con rol de infraestructura (192.168.2.2)

    El tema es que antes todo eran W2000 en ambos sitios. hemos migrado a servidores nuevos con W2003 y solo hemos dejado un W2000 en la delagación 2.

    Antes las relaciones funcionaban bien, pero durante la actualización y por una serie de problemas, eliminamos la relación de confianza.
    Ahora cuando la intentamos crear (bidireccional), la crea sin problema, incluso te la crea en el otro extremo si así lo quieres, pero dice que no la puede comprobar. Y no funciona.

    Cuando la compruebas da errores diciendo que NO encuentra un servidor disponible o error de RPC.

    Supongo que puedo tener los DNS MAL configurados. He visto en alguna documentacion que tengo que crear entradas en el fordward, pero NO indican como y me lio.

    Os puedo decir que si hago un ping a "Serv11" desde Dominio1 responde como "serv11.dominio1.dns" en lugar de "serv11.dominio2.dns" que donde está ubicado realmente y no se si esto es correcto.

    ¿Debo añadir en la configuracion de la tarjeta de red de cada servidor en DNS secundarios el servidor principal del otro dominio?
    ¿Sería necesario ademas tener WINS? (antes los servidores lo tenían por que habian PC's con W98, pero ahora todo es WXP) Lo he instalado, pero NO he notado mejoras.

    Gracias de antemano. 
    saludos.
    martes, 12 de enero de 2010 18:18

Respuestas

  • Hay varias opciones, pero es imprescindile que se resuelvan los nombres DNS entre ambos dominios.

    La forma más sencilla es en cada DNS crear una zona secundaria del otro dominio. No te olvides de permitir las transferencias de zona ya que de otra forma no va a pasar la zona.

    Otra forma es usando Reenviadores Condicionales para el nombre del otro dominio.

    Cuando hace PING nombre-maquina (sin poner el sufijo de dominio) el sistema trata siempre con su propio sufijo de dominio; por eso sucede lo que te pasa con serv11.
    Hay dos formas. Una es que cuando trates de acceder a un equipo del otro dominio pongas el nombre DNS completo "serv11.dominio2.dns"

    La otra es poner los sufijos de búsqueda en cada conexión de red de cada equipo, incluyendo el propio (mucho trabajo :-))

    Guillermo Delprato - MVP-MCT-MCITP-MCTS-MCSE MCITP: Server Administration MCTS:Active Directory/Network Infrastructure Buenos Aires, Argentina
    • Marcado como respuesta israel97 miércoles, 13 de enero de 2010 21:18
    martes, 12 de enero de 2010 20:47
    Moderador
  • Hola Israel97: Estoy de acuerdo con la respuesta que te da Guillermo Del Prato, pero intentaré ayudarte un poco con los pasos que tienes que hacer.

    Para configurar los reenviadores condicionales (conditional forwarders), en el servidor DNS de cada dominio, abres la consola de administración de DNS, sobre el nombre del servidor haces click con el botón derecho del mouse y das click en propiedades, das click sobre la ventana reenviadores y en la sección "Dominio DNS" das click en nuevo, pones el nombre del otro dominio (si estas en el servidor
    del dominio1.dns, pones dominio2.dns), das click en aceptar siguiendo seleccionado este dominio que agregamos ponemos la dirección IP del otro dominio. Repites estos pasos en ambos dominios.

    Esto hara que cuando hagas una consulta a equipo.dominio2.dns, en un equipo del dominio 1 que tiene configurado el servidor de DNS del dominio1.dns,la redirija al servidor DNS del dominio 2.

    Respondiendo a las demas preguntas, no necesitas para nada un servidor WINS si todo lo tienes con Windows XP.

    Y a la pregunta ¿Debo añadir en la configuracion de la tarjeta de red de cada servidor en DNS secundarios el servidor principal del otro dominio?. No es necesario hacer esto.
    Esto te ayudaria si tuvieras zonas secundarias, pero en este caso no las tienes.

    Suerte y si tienes mas dudas no dudes en consultarlo.

    Juan Valenzuela
    MCT, MCSA, MCSE, MCITP,

    • Marcado como respuesta israel97 miércoles, 13 de enero de 2010 21:18
    martes, 12 de enero de 2010 21:11

Todas las respuestas

  • Hay varias opciones, pero es imprescindile que se resuelvan los nombres DNS entre ambos dominios.

    La forma más sencilla es en cada DNS crear una zona secundaria del otro dominio. No te olvides de permitir las transferencias de zona ya que de otra forma no va a pasar la zona.

    Otra forma es usando Reenviadores Condicionales para el nombre del otro dominio.

    Cuando hace PING nombre-maquina (sin poner el sufijo de dominio) el sistema trata siempre con su propio sufijo de dominio; por eso sucede lo que te pasa con serv11.
    Hay dos formas. Una es que cuando trates de acceder a un equipo del otro dominio pongas el nombre DNS completo "serv11.dominio2.dns"

    La otra es poner los sufijos de búsqueda en cada conexión de red de cada equipo, incluyendo el propio (mucho trabajo :-))

    Guillermo Delprato - MVP-MCT-MCITP-MCTS-MCSE MCITP: Server Administration MCTS:Active Directory/Network Infrastructure Buenos Aires, Argentina
    • Marcado como respuesta israel97 miércoles, 13 de enero de 2010 21:18
    martes, 12 de enero de 2010 20:47
    Moderador
  • Hola Israel97: Estoy de acuerdo con la respuesta que te da Guillermo Del Prato, pero intentaré ayudarte un poco con los pasos que tienes que hacer.

    Para configurar los reenviadores condicionales (conditional forwarders), en el servidor DNS de cada dominio, abres la consola de administración de DNS, sobre el nombre del servidor haces click con el botón derecho del mouse y das click en propiedades, das click sobre la ventana reenviadores y en la sección "Dominio DNS" das click en nuevo, pones el nombre del otro dominio (si estas en el servidor
    del dominio1.dns, pones dominio2.dns), das click en aceptar siguiendo seleccionado este dominio que agregamos ponemos la dirección IP del otro dominio. Repites estos pasos en ambos dominios.

    Esto hara que cuando hagas una consulta a equipo.dominio2.dns, en un equipo del dominio 1 que tiene configurado el servidor de DNS del dominio1.dns,la redirija al servidor DNS del dominio 2.

    Respondiendo a las demas preguntas, no necesitas para nada un servidor WINS si todo lo tienes con Windows XP.

    Y a la pregunta ¿Debo añadir en la configuracion de la tarjeta de red de cada servidor en DNS secundarios el servidor principal del otro dominio?. No es necesario hacer esto.
    Esto te ayudaria si tuvieras zonas secundarias, pero en este caso no las tienes.

    Suerte y si tienes mas dudas no dudes en consultarlo.

    Juan Valenzuela
    MCT, MCSA, MCSE, MCITP,

    • Marcado como respuesta israel97 miércoles, 13 de enero de 2010 21:18
    martes, 12 de enero de 2010 21:11
  • Hola.
    Muchas gracias a los dos.
    Habéis dado en el clavo.

    Con los reenviadores condicionales ha funcionado.
    De paso he repasado los DNS y he quitado alguna cosa que parece que no servia ya que a pesar de quitarlo sigue funcionando.

    ¿Sería necesario añadir las IP's de los servidores del otro dominio en 
    Zona de busqueda directa --> Dominio1 --> Propiedades --> servidor de nombres --> Y poner las IP's con los nombre servidor11.dominio2.dns
    Y la la Zona Inversa.

    Por otro lados, cuando hago un ping a servidor11 desde servidor1 me sigue poniendo servidor11.dominio1.dns y da la IP correcta.
    Si pongo servidor11.dominio2.dns, pues tambien da la IP correcta.
    ¿Esto es normal?

    Y ya para terminar, desde "Mis sitios de red" NO veo, a veces, el otro domino y cuando lo veo e intento entrar en uno de los servidores da error.
    En cambio, si accedo desde aplicaciones o "Conectando unidad de red" \\servidor11\carpetacompartida, sin problema.

    ¿Alguna idea? ¿Me aclarais conceptos?

    Muchas gracias, como siempre.

    Saludos.
    miércoles, 13 de enero de 2010 21:18