none
Añadir nuevo dominio a bosque existente RRS feed

  • Pregunta

  • Hola tod@s,

    Tengo un dominio con ip 192.168.0.1 (server1.local) que hace de maestro de esquema, DC, DNS y DHCP. Este controlador de dominio tiene conectados 95 equipos. Hasta aquí todo ok.Evidentemente, aquí los puestos tendrían IP 192.168.0.X

    Hemos creado una VPN porque tenemos la necesidad de establecer nuevos puestos en otra localidad, a su vez estos puestos deben ir asociados a un nuevo dominio con ip 192.168.6.1 (server2.local), DC, DNS, y DHCP.

    Crear la VPN es porque debo gestionar desde el server1 el server2 y los puestos asociados a este. Podría haber hecho que todos los usuarios se logearan directamente en el server1, pero creo que iria demasiado lento por lo que opte por montar un segundo servidor (un bosque con diferentes dominios) para posteriormente establecer la relaciones de confianza oportunas

    La VPN funciona bien porque al poner en el server2.local la dirección IP 192.168.0.2, hace ping perfectamente con el server1.local y viceversa.

    El problema viene cuando cambio la ip del server2 a 192.168.6.1, ya no hay respuesta del server1. En el server2  no he ejecutado aún dcpromo puesto que para crear un nuevo árbol de dominio en un bosque existente necesito que se vean previamente.

    Si embargo si que está ya configurado como servidor DNS y los reenviadores también están configurados con la dirección del server1. Pero no hay forma. DNS preferido tengo 192.168.6.1 y el secundario 192.168.0.1.

    No se si lo que hace falta es crear una nueva zona inversa o cualquier otra cosa.

    ¿Alguna idea?

     

    Gracias y saludos

    miércoles, 9 de junio de 2010 7:50

Respuestas

  • Server1: 192.168.0.1 - Server2: 192.168.6.1 --> No responden al ping. Están configurados los reenviadores. Sin ejecutar DCPROMO.

    Con ese direccionamiento de red, a falta de saber qué máscara usas (una /24?) no se verán aunque estén conectados al mismo switch.
    Saludos,

    Marc
    MCSA/MCSE 2003
    MCITP: Enterprise Administrator
    MCITP: Enterprise Messaging Administrator
    jueves, 10 de junio de 2010 7:34
    Moderador
  • Gus,

    El problema es el que te dice Fernando y tal y como te comenta Marc con esos dos segmentos de red diferentes, y a falta de un enroutador que conecte ambas subredes, no podran verse si en ambos equipos tienes configurada una mascara de subred 255.255.255.0  que por lo que comentas parece que es la que tienes (/24 como te dice Marc). Cambia en ambos equipos la mascara por 255.255.248.0 (/21) y veras como el ping funcionara.

    Saludos!!

     


    MCTS: Windows Server 2008 Active Directory, Configuring - MCTS: Windows Server 2008 Network Infrastructure, Configuring
    jueves, 10 de junio de 2010 8:05
    Moderador
  • Sí funcionará el ping, pero no tendrá dos subredes y por tanto no tendrá dos sitios de AD. Para hacer eso, si con 254 IPs tiene bastante, no necesita cambiar nada, puede dejarlo todo en 192.168.0.0/24. Lo interesante es tener dos segmentos de red para poder tener dos sitios de AD y así que los clientes de cada sitio se validen con el DC de su sitio, sin depender del enlace WAN.
    Un saludo

    Fernando Reyes [MS MVP]
    MCSA 2000/2003
    MCSE 2000/2003
    MCITP EnterpriseAdministrator
    Web: http://freyes.svetlian.com
    Blog: http://urpiano.wordpress.com
    RSS: http://urpiano.wordpress.com/feed/
    freyes.champú@champú.mvps.org
    (Aclárate la cabeza si quieres escribirme)
    jueves, 10 de junio de 2010 8:30
    Moderador
  • Existen varias soluciones como es una de ellas que comenta Pepe.

    Ahora que si todo lo quiere instanciar en una red 192.168.0.X -como lo comenta Fernando- con una misma mascara /24, podria crear 02 OU "una para cada red" y crear un script asignada a una GPO, indicando que:

    -OU(1) tendra como servidor de catalogo, al servidor1 y los clientes de la red local.                                                                                 -OU(2) tendra como servidor de catalogo, al servidor2 y los clientes de la red remota.

    Se puede establecer un servidor de catálogo global predefinido y concreto para los clientes XP, vista y seven modificando una llave en el registro -REGEDIT-

    Saludos.

    jueves, 10 de junio de 2010 9:25

Todas las respuestas

  • ¿Responde el ping por nombre y/o IP desde el server2 al server1? ¿Qué tabla de rutas ves cuando cambias la IP? Tienes que asegurarte que cuando se vaya a la otra red la ruta sea correcta. Es decir, que tienes que poner la IP del servidor VPN del otro lado como ruta a su red.

    De todas maneras ¿seguro que es necesario crear un nuevo dominio, no puedes tener dos sitios en un mismo dominio? Sólo por tener grandes tamaños de redes o por cuestiones de política de las compañias es necesario crear subdominio, es preferible un dominio único, por simplificarse la admninistración y el mantenimiento.


    Un saludo

    Fernando Reyes [MS MVP]
    MCSA 2000/2003
    MCSE 2000/2003
    MCITP EnterpriseAdministrator
    Web: http://freyes.svetlian.com
    Blog: http://urpiano.wordpress.com
    RSS: http://urpiano.wordpress.com/feed/
    freyes.champú@champú.mvps.org
    (Aclárate la cabeza si quieres escribirme)
    miércoles, 9 de junio de 2010 8:58
    Moderador
  • GUS.GDLC además de lo que comenta Fernando que es totalmente correcto, agrego algunos datos que te pueden servir.

    No hay una relación directa entre dominio y red IP, esto es, el dominio no está asociado a ninguna red. Simplemente usa la conectividad que provee IP.
    Un dominio puede estar en varias redes, y en una red pueden haber varios dominios.

    Por otro lado, revisa el tema de nombres, puede ser porque como es lógico no muestras acá el nombre real del dominio, pero éste no puede ser "server1.local"
    En todo caso supongo que será "dominio.local" y el nombre del servidor "server1.dominio.local".

    Es altamente recomendable tratar siempre de tener un único dominio, te será mucho más fácil de administrar y mantener, además de bajar costos.
    El tema de tener más de un dominio se podría justificar, en general, sólo por diferentes políticas de cuentas en W2003, separación administrativa, seguridad, "desbalanceo de usuarios", y alguna más.

    Hacer otro Arbol, tampoco justifica si no hay un motivo valedero para no usar continuidad de nombres. Es mucho más complicado que tener un subdominio del que ya tienes.
    Piensa solamente que tienes que solucionar la resolución de nombres DNS entre ellos.

    Igual, en cualquiera de los casos, si están dentro del mismo Bosque no tienes que armar relaciones de confianza ya que éstas se crean automáticamente, y no las puedes quitar.

     


    Guillermo Delprato - MVP-MCT-MCSE-MCSA MCITP: Enterprise/Server Administrator MCTS: Active Directory/Network/Applications Configuration --- Este mensaje se proporciona "como está" sin garantías de ninguna clase. Usted asume todos los riesgos. --- Buenos Aires, Argentina
    miércoles, 9 de junio de 2010 9:10
    Moderador
  • Gracias por responder,

     

    Haciendo ping desde el server2 al server1 responde tanto a la IP como al nombre. En cuanto a la VPN esta configurada de tal forma que a efectos reales es como si estuviesen dentro de la misma LAN, por lo que si hago un ping de la direccion 192.168.0.2 a la 192.168.0.1 a traves del tunel vpn me responde si mas, como he dicho antes igual que se tratase de una LAN. Lo dispositivos en los que esta configurada el túnel VPN se encargan de mantener ese túnel siempre activo.

    ¿Como puedo crear un nuevo sitio dentro de server1.local para añadir el server2.local?¿Debo ejecutar DCPROMO en el server2 para seleccionar que opcion?

    Gracias por vuestra paciencia, pero es que hasta ahora solo había trabajado con un servidor (aunque tengo un secundario del server 1, por si falla )

     

    Saludos,

    miércoles, 9 de junio de 2010 10:02
  • Entonces entiendo que el problema es porque la VPN está en ese segmento de red y al ponerle una IP a server2 que está en otro segmento de red, lógicamente no es capaz de alcanzar la otra red si no hay un enrutador entre ellas. ¿Cómo estableces esa VPN?

    Un saludo

    Fernando Reyes [MS MVP]
    MCSA 2000/2003
    MCSE 2000/2003
    MCITP EnterpriseAdministrator
    Web: http://freyes.svetlian.com
    Blog: http://urpiano.wordpress.com
    RSS: http://urpiano.wordpress.com/feed/
    freyes.champú@champú.mvps.org
    (Aclárate la cabeza si quieres escribirme)
    jueves, 10 de junio de 2010 5:12
    Moderador
  • Gracias por responder,

    Creo que ese no es el problema, ya que ahora mismo tengo los dos servidores (fui al por el servidor de la otra delegación para salir de dudas) conectados a través de switch, y tengo el mismo problema:

    Server1: 192.168.0.1 - Server2: 192.168.0.2 --> Se ven sin problemas y ambos responden al ping.

    Server1: 192.168.0.1 - Server2: 192.168.6.1 --> No responden al ping. Están configurados los reenviadores. Sin ejecutar DCPROMO.

    No se si debo crear en el server2 alguna otra zona de búsqueda directa o inversa para hacer posible que se vean . ¿Que puedo hacer?

    Gracias y saludos.

    jueves, 10 de junio de 2010 7:28
  • Server1: 192.168.0.1 - Server2: 192.168.6.1 --> No responden al ping. Están configurados los reenviadores. Sin ejecutar DCPROMO.

    Con ese direccionamiento de red, a falta de saber qué máscara usas (una /24?) no se verán aunque estén conectados al mismo switch.
    Saludos,

    Marc
    MCSA/MCSE 2003
    MCITP: Enterprise Administrator
    MCITP: Enterprise Messaging Administrator
    jueves, 10 de junio de 2010 7:34
    Moderador
  • Gus,

    El problema es el que te dice Fernando y tal y como te comenta Marc con esos dos segmentos de red diferentes, y a falta de un enroutador que conecte ambas subredes, no podran verse si en ambos equipos tienes configurada una mascara de subred 255.255.255.0  que por lo que comentas parece que es la que tienes (/24 como te dice Marc). Cambia en ambos equipos la mascara por 255.255.248.0 (/21) y veras como el ping funcionara.

    Saludos!!

     


    MCTS: Windows Server 2008 Active Directory, Configuring - MCTS: Windows Server 2008 Network Infrastructure, Configuring
    jueves, 10 de junio de 2010 8:05
    Moderador
  • Sí funcionará el ping, pero no tendrá dos subredes y por tanto no tendrá dos sitios de AD. Para hacer eso, si con 254 IPs tiene bastante, no necesita cambiar nada, puede dejarlo todo en 192.168.0.0/24. Lo interesante es tener dos segmentos de red para poder tener dos sitios de AD y así que los clientes de cada sitio se validen con el DC de su sitio, sin depender del enlace WAN.
    Un saludo

    Fernando Reyes [MS MVP]
    MCSA 2000/2003
    MCSE 2000/2003
    MCITP EnterpriseAdministrator
    Web: http://freyes.svetlian.com
    Blog: http://urpiano.wordpress.com
    RSS: http://urpiano.wordpress.com/feed/
    freyes.champú@champú.mvps.org
    (Aclárate la cabeza si quieres escribirme)
    jueves, 10 de junio de 2010 8:30
    Moderador
  • Perdona Fernando, igual me equivoco yo, por esto te pregunto ya que confio mas en tu criterio que en el mio, pero al margen de que configure una mascara de subred /21 en los equipos para asegurarse la visibilidad entre ellos ( yo tambien soy mas partidario de hacerlo via electronica de red pero creo que no es el caso ) , a nivel de sitios puede definir un sitio A 192.168.0.0/24 y otro B 192.168.6.0/24 y seria funcional siempre y cuando el pool de direcciones asignadas por los DHCP del cada sitio sean dentro de esos rangos no?  es decir, separar conceptualmente los equipos en dos sub-redes en sitios y servicios pero mantener una unica subred a nivel de conectividad.

    ¿Me equivoco?


    MCTS: Windows Server 2008 Active Directory, Configuring - MCTS: Windows Server 2008 Network Infrastructure, Configuring
    jueves, 10 de junio de 2010 8:44
    Moderador
  • Existen varias soluciones como es una de ellas que comenta Pepe.

    Ahora que si todo lo quiere instanciar en una red 192.168.0.X -como lo comenta Fernando- con una misma mascara /24, podria crear 02 OU "una para cada red" y crear un script asignada a una GPO, indicando que:

    -OU(1) tendra como servidor de catalogo, al servidor1 y los clientes de la red local.                                                                                 -OU(2) tendra como servidor de catalogo, al servidor2 y los clientes de la red remota.

    Se puede establecer un servidor de catálogo global predefinido y concreto para los clientes XP, vista y seven modificando una llave en el registro -REGEDIT-

    Saludos.

    jueves, 10 de junio de 2010 9:25