Remove From My Forums

Problema con Active directory creacion de confianzas en Windows server 2008 R2

Pregunta
0

Inicie sesión para votar

Hola, soy estudiante de Administrador de redes. En clase, estamos dando el active directory (empleamos la versión para estudiantes, no se si eso es trascendente). Estamos utilizando máquinas virtuales con Windows server 2008 R2. En principio hemos creado 4 máquinas, las cuales tienen los mismos recursos (misma ram, etc) y se les ha ejecutado el sysgrep y son, por tanto "virtualmente" diferentes.

La primera de ellas es el controlador de dominio, servidor dns, su nombre asir.local (el servidor principal)

La segunda es delegacion.asir.local

La tercera es grupoasir.local y es controlador de dominio (árbol nuevo en un bosque ya existente)

Por último la cuarta se llama aso.local y es un controlador de un nuevo dominio, con lo que se pretende estudiar las relaciones de confianza EXPLICITAS (uniderccional de salida y no transisitva entre asir.local y aso.local).

He configurado correctamente los reenviadores DNS entre asir.local y aso.local, por lo que ambos responden a un ping en ambas direcciones ya sea a través del nombre de la máquina, FQDN o la dirección IP.

En la pestaña confianzas de asir.local, me salen las relaciones IMPLÍCITAS que tiene asir.local con delegacion.asir.local y grupoasir.local (dos en confianzas entrantes, y otras dos en confianzas salientes)

En la pestaña de confianzas de aso.local, no me sale ninguna, lógicamente puesto que es independiente del resto.

Cuando voy a crear una nueva confianza desde propiedades de aso.local (o asir.local) y añado todo correctamente en el asistente para nueva confianza, me lanza un error tal que:

No se puede continuar

No se puede crear la relación de confianza debido al siguiente error:

Error en la operación. El error es: No se puede crear un archivo que ya existe.

Para cerrar el asistente, haga clic en Finalizar

Al finalizar el asistente si voy a la pestaña confianzas, en aso.local, o en asir.local sale exactamente lo mismo que tenía antes de ejecutar el asistente. He probado todas las combinaciones posibles y no me deja crear una relación de esta naturaleza entre ambos servidores.

Mi pregunta es, ¿dónde puedo ver esos archivos que ya existen?¿Hay alguna manera de solucionar esto sin desmontar todos los dominios?Alguna sugerencia sería de buena ayuda. Muchas gracias.

He mirado que en este hilo http://social.technet.microsoft.com/Forums/es-ES/facfb7a5-382e-4510-988c-b73c178caeac/problemas-con-relacion-de-confianza-windows-server-2003-r2?forum=wssmes alguien pregunta lo mismo, pero no se le responde. Se le manda a diferentes páginas que explican como realizar una relación de confianza y a diferenciar un tipo de confianza de la otra. Yo no pregunto eso, tengo bien claro que quiero y como hacerlo.

miércoles, 8 de octubre de 2014 7:47

Responder

|

Citar

Respuestas

0

Inicie sesión para votar
Según veo en esta conversación, debe ser un error de igualdad de SIDs ¿Seguro que se ha hecho Sysprep de forma correcta en esas máquinas?

http://social.technet.microsoft.com/Forums/windowsserver/en-US/7fb5a7e9-fe40-4eff-855b-f2414ff1b860/creation-of-trust-fails-cannot-continue
Un saludo

Fernando Reyes
MCSA 2000/2003/2012
MCSE 2000/2003
MCITP Enterprise Administrator
Web: http://freyes.svetlian.com
Blog: http://urpiano.wordpress.com
RSS: http://urpiano.wordpress.com/feed/
- Propuesto como respuesta Moderador M miércoles, 8 de octubre de 2014 22:19
- Marcado como respuesta Moderador M jueves, 9 de octubre de 2014 14:40
miércoles, 8 de octubre de 2014 9:42

Responder

|

Citar

Moderador

Todas las respuestas

0

Inicie sesión para votar
Según veo en esta conversación, debe ser un error de igualdad de SIDs ¿Seguro que se ha hecho Sysprep de forma correcta en esas máquinas?

http://social.technet.microsoft.com/Forums/windowsserver/en-US/7fb5a7e9-fe40-4eff-855b-f2414ff1b860/creation-of-trust-fails-cannot-continue
Un saludo

Fernando Reyes
MCSA 2000/2003/2012
MCSE 2000/2003
MCITP Enterprise Administrator
Web: http://freyes.svetlian.com
Blog: http://urpiano.wordpress.com
RSS: http://urpiano.wordpress.com/feed/
- Propuesto como respuesta Moderador M miércoles, 8 de octubre de 2014 22:19
- Marcado como respuesta Moderador M jueves, 9 de octubre de 2014 14:40
miércoles, 8 de octubre de 2014 9:42

Responder

|

Citar

Moderador
0

Inicie sesión para votar

He mirado en el registro de windows, en HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion \ProfileList para ver los SIDs. Mi primera sorpresa es ver que en ProfileList hay 4 "carpetas", aunque únicamente dos tienen una entrada de SID (yo pensaba que por ordenador había 1 SID, no 2); adjunto unas imágenes

En primer lugar el SID del SERVER_1, el segundo es el SID del SERVER_4:

Como se puede comprobar, son SID diferentes...por lo que deduzco que el sysprep se ejecutó correctamente. Por otra parte, si nos fijamos, hay una carpeta que se llama S-1-5-18 que es igual en ambos servidores, dentro de esa carpeta hay un valor de registro binario de SID, en este caso ambos coinciden:

¿Alguna idea?¿Por qué hay dos SIDs?

martes, 14 de octubre de 2014 8:18

Responder

|

Citar
0

Inicie sesión para votar
Esos 3 SID que ves son correspondientes SYSTEM (s-1-5-18), Servicio Local (S-1-5-19) y Servicio de Red (S-1-5-20) y son iguales par todos los equipos; son algunos de los SIDs bien conocidos:

Well-known security identifiers in Windows operating systems
http://support.microsoft.com/kb/243330

Para comprobar el SID de esos equipos puedes usar PsGetSid de Sysinternals.

Instructions on how to use PSGetSID
http://blogs.technet.com/b/markrussinovich/archive/2009/11/03/3291024.aspx

En esa conversación que te puse, también hablan de la posibilidad de que una anterior relación de confianza sea la que está dando el problema:

<pego>

Have you create the new domain again? It seems that there was old domain and the trust relationship still exit.I would recommend to check the ADSIEdit to delete the trustDomain object if present:

Click Start, click Run, type adsiedit.msc, and then click OK
Expand the Domain NC container.
Expand DC=<var>Your Domain</var>, DC=COM
Expand CN=System.
Right-click the Trust Domain object, and then clickDelete.

You can also use ntdsutil to check does the trusted domain exit:http://support.microsoft.com/kb/216498/en-us

</pego>

Un saludo

Fernando Reyes
MCSA 2000/2003/2012
MCSE 2000/2003
MCITP Enterprise Administrator
Web: http://freyes.svetlian.com
Blog: http://urpiano.wordpress.com
RSS: http://urpiano.wordpress.com/feed/
- Editado Fernando ReyesModerator martes, 14 de octubre de 2014 14:20
martes, 14 de octubre de 2014 14:18

Responder

|

Citar

Moderador
0

Inicie sesión para votar

Bueno, he mirado el ADSIedit con al intención de eliminar, a bajo nivel, la posible confianza que exista entre aso.local y asir.local pero no hay absolutamente nada, únicamente las confianzas implícitas con los otros dos servidores, grupoasir.local y delegacion.asir.local. He decidido ejecutar el SYSPREP, pese a que son diferentes los SID del servidor1 como del 4. Ahora parece que funciona correctamente. ¿Cómo puedo saber si el sysprep se ha ejecutado correctamente?

miércoles, 15 de octubre de 2014 8:52

Responder

|

Citar
0

Inicie sesión para votar

Mira si te puede valer esto:

http://www.symantec.com/business/support/index?page=content&id=TECH31433
Un saludo

Fernando Reyes
MCSA 2000/2003/2012
MCSE 2000/2003
MCITP Enterprise Administrator
Web: http://freyes.svetlian.com
Blog: http://urpiano.wordpress.com
RSS: http://urpiano.wordpress.com/feed/

viernes, 31 de octubre de 2014 12:17

Responder

|

Citar

Moderador

Productos

Resources

Solutions

Actualizaciones

Pruebas

Sitios relacionados

Aprendizaje

Certificaciones

Otros recursos

Por producto

Otros vínculos

¿No es experto en TI?

Principales respuestas

Problema con Active directory creacion de confianzas en Windows server 2008 R2

Pregunta

Respuestas

Todas las respuestas