Principales respuestas
Problema con Active directory creacion de confianzas en Windows server 2008 R2

Pregunta
-
Hola, soy estudiante de Administrador de redes. En clase, estamos dando el active directory (empleamos la versión para estudiantes, no se si eso es trascendente). Estamos utilizando máquinas virtuales con Windows server 2008 R2. En principio hemos creado 4 máquinas, las cuales tienen los mismos recursos (misma ram, etc) y se les ha ejecutado el sysgrep y son, por tanto "virtualmente" diferentes.
La primera de ellas es el controlador de dominio, servidor dns, su nombre asir.local (el servidor principal)
La segunda es delegacion.asir.local
La tercera es grupoasir.local y es controlador de dominio (árbol nuevo en un bosque ya existente)
Por último la cuarta se llama aso.local y es un controlador de un nuevo dominio, con lo que se pretende estudiar las relaciones de confianza EXPLICITAS (uniderccional de salida y no transisitva entre asir.local y aso.local).
He configurado correctamente los reenviadores DNS entre asir.local y aso.local, por lo que ambos responden a un ping en ambas direcciones ya sea a través del nombre de la máquina, FQDN o la dirección IP.
En la pestaña confianzas de asir.local, me salen las relaciones IMPLÍCITAS que tiene asir.local con delegacion.asir.local y grupoasir.local (dos en confianzas entrantes, y otras dos en confianzas salientes)
En la pestaña de confianzas de aso.local, no me sale ninguna, lógicamente puesto que es independiente del resto.
Cuando voy a crear una nueva confianza desde propiedades de aso.local (o asir.local) y añado todo correctamente en el asistente para nueva confianza, me lanza un error tal que:
No se puede continuar
No se puede crear la relación de confianza debido al siguiente error:
Error en la operación. El error es: No se puede crear un archivo que ya existe.
Para cerrar el asistente, haga clic en Finalizar
Al finalizar el asistente si voy a la pestaña confianzas, en aso.local, o en asir.local sale exactamente lo mismo que tenía antes de ejecutar el asistente. He probado todas las combinaciones posibles y no me deja crear una relación de esta naturaleza entre ambos servidores.
Mi pregunta es, ¿dónde puedo ver esos archivos que ya existen?¿Hay alguna manera de solucionar esto sin desmontar todos los dominios?Alguna sugerencia sería de buena ayuda. Muchas gracias.
He mirado que en este hilo http://social.technet.microsoft.com/Forums/es-ES/facfb7a5-382e-4510-988c-b73c178caeac/problemas-con-relacion-de-confianza-windows-server-2003-r2?forum=wssmes alguien pregunta lo mismo, pero no se le responde. Se le manda a diferentes páginas que explican como realizar una relación de confianza y a diferenciar un tipo de confianza de la otra. Yo no pregunto eso, tengo bien claro que quiero y como hacerlo.
Respuestas
-
Según veo en esta conversación, debe ser un error de igualdad de SIDs ¿Seguro que se ha hecho Sysprep de forma correcta en esas máquinas?
Un saludo
Fernando Reyes
MCSA 2000/2003/2012
MCSE 2000/2003
MCITP Enterprise Administrator
Web: http://freyes.svetlian.com
Blog: http://urpiano.wordpress.com
RSS: http://urpiano.wordpress.com/feed/- Propuesto como respuesta Moderador M miércoles, 8 de octubre de 2014 22:19
- Marcado como respuesta Moderador M jueves, 9 de octubre de 2014 14:40
Todas las respuestas
-
Según veo en esta conversación, debe ser un error de igualdad de SIDs ¿Seguro que se ha hecho Sysprep de forma correcta en esas máquinas?
Un saludo
Fernando Reyes
MCSA 2000/2003/2012
MCSE 2000/2003
MCITP Enterprise Administrator
Web: http://freyes.svetlian.com
Blog: http://urpiano.wordpress.com
RSS: http://urpiano.wordpress.com/feed/- Propuesto como respuesta Moderador M miércoles, 8 de octubre de 2014 22:19
- Marcado como respuesta Moderador M jueves, 9 de octubre de 2014 14:40
-
He mirado en el registro de windows, en HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion \ProfileList para ver los SIDs. Mi primera sorpresa es ver que en ProfileList hay 4 "carpetas", aunque únicamente dos tienen una entrada de SID (yo pensaba que por ordenador había 1 SID, no 2); adjunto unas imágenes
En primer lugar el SID del SERVER_1, el segundo es el SID del SERVER_4:
Como se puede comprobar, son SID diferentes...por lo que deduzco que el sysprep se ejecutó correctamente. Por otra parte, si nos fijamos, hay una carpeta que se llama S-1-5-18 que es igual en ambos servidores, dentro de esa carpeta hay un valor de registro binario de SID, en este caso ambos coinciden:
¿Alguna idea?¿Por qué hay dos SIDs?
-
Esos 3 SID que ves son correspondientes SYSTEM (s-1-5-18), Servicio Local (S-1-5-19) y Servicio de Red (S-1-5-20) y son iguales par todos los equipos; son algunos de los SIDs bien conocidos:
Well-known security identifiers in Windows operating systems
http://support.microsoft.com/kb/243330Para comprobar el SID de esos equipos puedes usar PsGetSid de Sysinternals.
Instructions on how to use PSGetSID
http://blogs.technet.com/b/markrussinovich/archive/2009/11/03/3291024.aspxEn esa conversación que te puse, también hablan de la posibilidad de que una anterior relación de confianza sea la que está dando el problema:
<pego>
Have you create the new domain again? It seems that there was old domain and the trust relationship still exit.I would recommend to check the ADSIEdit to delete the trustDomain object if present:
- Click Start, click Run, type adsiedit.msc, and then click OK
- Expand the Domain NC container.
- Expand DC=<var>Your Domain</var>, DC=COM
- Expand CN=System.
- Right-click the Trust Domain object, and then clickDelete.
You can also use ntdsutil to check does the trusted domain exit:http://support.microsoft.com/kb/216498/en-us
</pego>
Un saludo
Fernando Reyes
MCSA 2000/2003/2012
MCSE 2000/2003
MCITP Enterprise Administrator
Web: http://freyes.svetlian.com
Blog: http://urpiano.wordpress.com
RSS: http://urpiano.wordpress.com/feed/- Editado Fernando ReyesModerator martes, 14 de octubre de 2014 14:20
-
Bueno, he mirado el ADSIedit con al intención de eliminar, a bajo nivel, la posible confianza que exista entre aso.local y asir.local pero no hay absolutamente nada, únicamente las confianzas implícitas con los otros dos servidores, grupoasir.local y delegacion.asir.local. He decidido ejecutar el SYSPREP, pese a que son diferentes los SID del servidor1 como del 4. Ahora parece que funciona correctamente. ¿Cómo puedo saber si el sysprep se ha ejecutado correctamente?
-
Mira si te puede valer esto:
http://www.symantec.com/business/support/index?page=content&id=TECH31433
Un saludo
Fernando Reyes
MCSA 2000/2003/2012
MCSE 2000/2003
MCITP Enterprise Administrator
Web: http://freyes.svetlian.com
Blog: http://urpiano.wordpress.com
RSS: http://urpiano.wordpress.com/feed/