none
Relación de confianza al añadir usuario requiere autenticación RRS feed

  • Pregunta

  • Hola,

    He establecido una relación de confianza de bosque bidireccional entre dos dominios de la organización configurados de la misma forma que otras relaciones que tenemos.

    Cuando voy a agregar un usuario del dominio en el que confío para asiganrle permisos ntfs, selecciono el dominio al que pertenece el usuario, realizo un busqueda escribiendo el nombre (hasta ahí bien), pero en cuanto intento comprobar el nombre, me solicita crdenciales de una cuenta con permisos en el dominio en el que confío, cosa que con otras relaciones no me hace falta introducir ningun credencial.

    Un saludo.

    viernes, 4 de diciembre de 2015 11:20

Todas las respuestas

  • Hola Endik,

    Colaborando con el equipo, tenemos para ti la siguiente respuesta:

    "Ingeniero de acuerdo a su pregunta, necesitamos tener más información, nos podría ayudar con las siguientes preguntas:

    1-      ¿Cuál es el nivel funcional de ambos dominios?

    2-      ¿Qué sistema operativo tienen los controladores de dominio?

    3-      ¿La relación de confianza es de una o dos vías?

    4-      ¿el usuario con el que está realizando pruebas es administrador del dominio?

    5-      ¿están actualizados estos controladores de dominio?

    Necesitamos estar seguros que los DNS estén bien configurados, en la siguiente liga puede ver esta informacion:

    Accessing Resources across forest and achieve Single Sign ON (Part1)

    http://blogs.technet.com/b/mir/archive/2011/06/12/accessing-resources-across-forest-and-achieve-single-sign-on-part1.aspx

    As we discussed above to establish a trust we do need a healthy name resolution mechanism between the forests, let’s see what options do we have using Active Directory DNS, third party DNS is out of the scope of this document

    Best practices for designing the DNS namespace and providing DNS support for deployment of a single Active Directory forest are provided in the “Best Practice Active Directory Design for Managing Windows Networks.” You can view this document on the Microsoft TechNet Web site at http://go.microsoft.com/fwlink/?LinkId=10478 . In the process of designing your multiforest Active Directory deployment, follow these recommendations for each individual forest. After you have completed the DNS design for each individual Active Directory forest, you must analyze the requirements to enable name resolution across the forest boundaries.

    The ability to resolve the names from the namespace of a different forest is required by the following activities:

    User or computer needs to locate a resource (for example, an Exchange server, file share, or service) that is hosted on a computer that is joined to a different forest.

    User or computer needs to locate a domain controller in a different forest for the purpose of authenticating to a resource in that forest.

    There are multiple ways of configure DNS name resolution across the forest, for example

           Conditional Forwarding
           Creating a secondary zone
           DNS zone delegation

    También puede revisar el siguiente documento:

    Accessing resources across forests

    https://technet.microsoft.com/en-us/library/cc772808(v=ws.10).aspx

    Pendiente de sus comentarios,

    "

    Gracias por usar los foros de TechNet.

    Marco

    _____


    Por favor recuerde "Marcar como respuesta" las respuestas que hayan resuelto su problema, es una forma común de reconocer a aquellos que han ayudado, y hace que sea más fácil para los otros visitantes encontrar la solución más tarde.

    Microsoft ofrece este servicio de forma gratuita, con la finalidad de ayudar a los usuarios y la ampliación de la base de datos de conocimientos relacionados con los productos y tecnologías de Microsoft.

    Este contenido es proporcionado "tal cual" y no implica ninguna responsabilidad de parte de Microsoft.


    • Editado Moderador M miércoles, 9 de diciembre de 2015 15:25
    miércoles, 9 de diciembre de 2015 15:23
  • Hola Marco,Te respondo a las preguntas:

      ¿¿ ¿Cuál es el nivel funcional de ambos dominios?

    Elni El nivel funcional es el mismo en ambos dominios, y es Windows server 2003

    2-      ¿Qué sistema operativo tienen los controladores de dominio?

           El SO es el mismo también Windows Server 2008 R2

    3-     ¿La relación de confianza es de una o dos vías?

           Es bidireccional

    4-      ¿el usuario con el que está realizando pruebas es administrador del dominio?

           Las pruebas las he realziado con el admin de mi dominio

    5-      ¿están actualizados estos controladores de dominio?

           Sí, están actualizados

            A nivel de DNS tenemos configurado los reenviadores condicionales y responden a ping perfectamente.

    Un saludo.

          

    martes, 15 de diciembre de 2015 8:30
  • Hola Endik,

    Continuando con la colaboración...

    "Ing. Agradecemos su respuesta a nuestras preguntas,
     
    Por el evento que se tiene que al  intentar dar permisos a un share a un usuario del otro dominio se piden credenciales, es un comportamiento anormal, es posible que la relación de confianza no fuera creada correctamente.
     
    Sugerencia:
     
    1.- Borrar y volver a crear la relación de confianza
     
    Creating Domain and Forest Trusts
    https://technet.microsoft.com/en-us/library/cc740018(v=ws.10).aspx
     
    Trust Relationships
    https://technet.microsoft.com/en-us/library/cc977993.aspx
     
    2.- Crear grupos de seguridad, añadir los usuarios deseados e intentar de añadir el grupo a los permisos del share en vez de el usuario
     
    Best practices for controlling access to shared resources across domains
    https://technet.microsoft.com/en-us/library/cc787646(v=ws.10).aspx "

    Quedamos atentos.

    Gracias por usar los foros de TechNet.

    Marco

    ____


    Por favor recuerde "Marcar como respuesta" las respuestas que hayan resuelto su problema, es una forma común de reconocer a aquellos que han ayudado, y hace que sea más fácil para los otros visitantes encontrar la solución más tarde.

    Microsoft ofrece este servicio de forma gratuita, con la finalidad de ayudar a los usuarios y la ampliación de la base de datos de conocimientos relacionados con los productos y tecnologías de Microsoft.

    Este contenido es proporcionado "tal cual" y no implica ninguna responsabilidad de parte de Microsoft.

    miércoles, 16 de diciembre de 2015 21:06
  • Hola Endik, y perdona que me entrometa Marco

    No puedo comprobarlo ahora, no tengo una estructura de máquinas para confirmarlo, pero si mal no recuerdo es el comportamiento esperado, que no permita comprobar cuentas del otro Dominio

    El tema está relacionado con seguridad, si por ejemplo, dejaras en blanco y dieras a comprobar podrías obtener un listado completo de las cuentas del otro Dominio, lo cual no siempre es algo deseable, y por eso te permite agregar cuentas (deberías usar grupos Globales, no cuentas de usuario) pero no comprobarlas

    Lo importante es que puedas dar los permisos necesarios, y que los usuarios puedan acceder

     

    [Edito] Me quedo con la duda porque no puedo comprobarlo, pero creo que es así

     


    Guillermo Delprato
    Buenos Aires, Argentina
    El Blog de los paso a paso

    MVP - MCSE - MCSA2012
    MCITP: Enterprise Administrator / Server Administrator
    MCTS: Active Directory/Network Configuration/Applications Configuration/Server Virtualization/Windows 7 Configuration/Windows 7 & Office 2010 Deployment/Vista Configuration

    Este mensaje se proporciona "como está" sin garantías de ninguna clase. Usted asume todos los riesgos.


    miércoles, 16 de diciembre de 2015 21:38
    Moderador
  • Hola Guillermo,

    No hay ningún problema, genial recibir tu ayuda :)

    Tus aportes son muy valiosos para todos nosotros en la comunidad.

    Gracias por usar los foros de TechNet.

    Marco

    _____


    Por favor recuerde "Marcar como respuesta" las respuestas que hayan resuelto su problema, es una forma común de reconocer a aquellos que han ayudado, y hace que sea más fácil para los otros visitantes encontrar la solución más tarde.

    Microsoft ofrece este servicio de forma gratuita, con la finalidad de ayudar a los usuarios y la ampliación de la base de datos de conocimientos relacionados con los productos y tecnologías de Microsoft.

    Este contenido es proporcionado "tal cual" y no implica ninguna responsabilidad de parte de Microsoft.

    miércoles, 16 de diciembre de 2015 22:19