none
Comunicación entre dominios (bosques) diferentes RRS feed

  • Pregunta

  • Hola a tod@s,

    Me he decidido a escribir mi primer post tras usar el buscador del foro para ver si resolvia mi problema.

    Tengo la necesidad de establecer  comunicación entre dos dominios:

    - midominio1.local: Se compone de un único DC (192.168.0.1), es el maestro de esquema, y es servidor DNS (responde perfectamente a NSLOOKUP), DHCP y WINS. Este servidor da servicio a unos cien equipos, y no hay ningún problema.

    - midominio2.local: Un único DC (192.168.1.1), tambien es servidor DNS (responde a NSLOOKUP), DHCP, WINS. Este servidor da servicio a unos cuarenta equipos, y todo OK.

    Los equipos de cada una de las sedes se logean en sus respectivos servidores, y tambien acceden unicamente a los recursos de dichos servidores. Estos dos dominios estan unidos via VPN, la VPN unicamente esta creada para gestionar remotamente los equipos desde el maestro de esquema, puesto que yo me encuentro en la sede de 'midominio1.local'

    Esta relación, esta reflejada en 'Sitios y Servicios de AC', donde estan creados los sites con sus respectivas subredes y sus link, y en 'Dominios y Confianzas de AC', donde esta establecida la relación de confianza.

    Hasta aquí todo perfecto, porque este sistema por decirlo de alguna forma lo he heredado. Ahora necesito crear un nuevo dominio 'midominio3.local', con su DC (192.168.3.1) y todo igual que 'midominio1.local' para una nueva sede. De momento el nuevo dc esta unido al maestro de esquema via swicht (cuando todo este ok, ya me ocupare de la VPN). Este nuevo dominio tambien tendra sus respectivos equipos, al igual que los otros dos.

    El problema es que no consigo que se vean (ping), el nuevo DC tiene correctamente configurado el DNS pues responde NSLOOKUP. En los reenviadores del maestro de esquema, he puesto la ip del nuevo DC (192.168.0.1), y en la de el nuevo DC, la ip del maestro de esquema y nada. He observado que en la consola DNS del maestro de esquema en las zonas directas hay una carpeta con el nombre del DC de midominio1.local y dentro de esta carpeta un Host(A) conla ip y nombre del DC de midominio1.local. Tambien en las zonas inversas , esta configurada con la carpeta '168.192-in-........' y dentro de esta la carpeta '1' que corresponde al rango de red de 'midominio2.local'. En la carepta '1' se encuentran todos los equipos de ese dominio identificados mediante PTR.

    Como he dicho antes, he intentado crear nuevas zonas secundarias, he probado con reenviadores y nada, y entiendo que antes de crear el nuevo site y las relaciones de confianza es necesario que ambos dominios se vean.

     

    Gracias y saludos

     

    miércoles, 29 de septiembre de 2010 16:16

Respuestas

  • Hola Gustavo, comencemos por aclaraciones y preguntas :-)

    El "Maestro de Esquema" es una función que cumple un controlador de dominio del "Dominio Raiz". No tiene ninguna relación con DNS, ni conectividad, ni relaciones de confianza entre dominios.

    Antes de entrar en creación de dominios, o resolución de nombres, hay que tener conectividad IP. Así que es fundamental verificar "PING dir_IP"
    Si están en diferentes subredes, hay que conocer la máscara de subred de cada una, y además trabajar o bien sobre Puerta de Enlace, o agregar entradas en la tabla de Routing

     Luego para resolución de nombres, hay que configurar, zonas secundarias, o reenviadores condicionales o stub zones

    Editado: no había leído en el asunta que eran bosques diferentes :-)


    Guillermo Delprato - Buenos Aires, Argentina
    MVP-MCT-MCSE-MCSA MCITP: Enterprise/Server Administrator MCTS: Active Directory/Network/Applications Configuration
    Este mensaje se proporciona "como está" sin garantías de ninguna clase. Usted asume todos los riesgos.
    miércoles, 29 de septiembre de 2010 17:35
    Moderador
  • No está bien la configuración de DNS...

    Cada Controlador de Dominio con servicio DNS, debe apuntarse como DNS *sólo a sí mismo*. Sólo si existiera otro Controlador de Dominio *del mismo dominio* podría usarlo como alternativo

    Con lo anterior, cada DNS es capaz de resolver sólo su zona.

    ¿Cómo se hace si tiene que resolver nombres de Internet? La opción más común es configurale en las propiedades del DNS los Reenviadores, a los DNSs del ISP

    ¿Cómo se hace para que pueda resolver los nombres de los otros dominios internos? hay varias alternativas

    Alternativa 1: En cada DNS creas zonas secundarias de los otros dominios. No te olvides de permitir la transferencia de zona en el DNS origen

    Alternativa 2: Configurar en cada DNS Reenviadores Condicionales para cada uno de los otros dominios

    Descuento que hay conectividad IP (PING dir_IP) ¿si?

    La resolución inversa no tiene importancia en este caso; AD no la utiliza

     


    Guillermo Delprato - Buenos Aires, Argentina
    MVP-MCT-MCSE-MCSA MCITP: Enterprise/Server Administrator MCTS: Active Directory/Network/Applications Configuration
    Este mensaje se proporciona "como está" sin garantías de ninguna clase. Usted asume todos los riesgos.
    miércoles, 29 de septiembre de 2010 21:39
    Moderador

Todas las respuestas

  • Hola Gustavo, comencemos por aclaraciones y preguntas :-)

    El "Maestro de Esquema" es una función que cumple un controlador de dominio del "Dominio Raiz". No tiene ninguna relación con DNS, ni conectividad, ni relaciones de confianza entre dominios.

    Antes de entrar en creación de dominios, o resolución de nombres, hay que tener conectividad IP. Así que es fundamental verificar "PING dir_IP"
    Si están en diferentes subredes, hay que conocer la máscara de subred de cada una, y además trabajar o bien sobre Puerta de Enlace, o agregar entradas en la tabla de Routing

     Luego para resolución de nombres, hay que configurar, zonas secundarias, o reenviadores condicionales o stub zones

    Editado: no había leído en el asunta que eran bosques diferentes :-)


    Guillermo Delprato - Buenos Aires, Argentina
    MVP-MCT-MCSE-MCSA MCITP: Enterprise/Server Administrator MCTS: Active Directory/Network/Applications Configuration
    Este mensaje se proporciona "como está" sin garantías de ninguna clase. Usted asume todos los riesgos.
    miércoles, 29 de septiembre de 2010 17:35
    Moderador
  • Hola Guillermo, gracias por la respuesta.

     

    Efectivamente entiendo que lo primero de todo es tener conectividad ip entre ambos dc. Los dos dominios (bosques) que tienen conectividad entre si via vpn, tienen la siguiente configuracion:

    -midominio1.local:

         192.168.0.1 --> ip

         255.255.255.0 --> mascara

         192.168.0.5 --> puerta de enlace

         192.168.0.1 --> dns 1

         192.168.1.1 --> dns 2

     

    -midominio2.local:

         192.168.1.1 --> ip

         255.255.255.0 --> mascara

         192.168.1.5 --> puerta de enlace

         192.168.1.1 --> dns 1

         192.168.0.1 --> dns 2

     

    El dominio midominio3.local, tendría la siguiente configuración:

         192.168.2.1 --> ip

         255.255.255.0 --> mascara

         192.168.2.5 --> puerta de enlace

         192.168.2.1 --> dns 1

     

    Esta es la configuración, y así es como actualmente se ven midominio1.local y midominio2.local

    Creo que lo he comentado en el primer post; el dc del midominio1.local tiene configurada una zona inversa como 192.168.X.X, de tal forma que dentro de esta existen una carpeta '0' con lo que sería 192.168.0.X y otra carpeta '1'  con lo que sería 192.168.1.X. Entiendo que debería crear, despues de asegurarme la conectividad ping entre dominios, crear la carepta '2', de tal forma que quedaria 192.168.2.X.

    Pero primero tengoque solucionar la conectividad ping entre midominio1.local y midominio3.local.

     

    Gracias de nuevo y saludos.

    miércoles, 29 de septiembre de 2010 20:01
  • No está bien la configuración de DNS...

    Cada Controlador de Dominio con servicio DNS, debe apuntarse como DNS *sólo a sí mismo*. Sólo si existiera otro Controlador de Dominio *del mismo dominio* podría usarlo como alternativo

    Con lo anterior, cada DNS es capaz de resolver sólo su zona.

    ¿Cómo se hace si tiene que resolver nombres de Internet? La opción más común es configurale en las propiedades del DNS los Reenviadores, a los DNSs del ISP

    ¿Cómo se hace para que pueda resolver los nombres de los otros dominios internos? hay varias alternativas

    Alternativa 1: En cada DNS creas zonas secundarias de los otros dominios. No te olvides de permitir la transferencia de zona en el DNS origen

    Alternativa 2: Configurar en cada DNS Reenviadores Condicionales para cada uno de los otros dominios

    Descuento que hay conectividad IP (PING dir_IP) ¿si?

    La resolución inversa no tiene importancia en este caso; AD no la utiliza

     


    Guillermo Delprato - Buenos Aires, Argentina
    MVP-MCT-MCSE-MCSA MCITP: Enterprise/Server Administrator MCTS: Active Directory/Network/Applications Configuration
    Este mensaje se proporciona "como está" sin garantías de ninguna clase. Usted asume todos los riesgos.
    miércoles, 29 de septiembre de 2010 21:39
    Moderador
  • Gracias por la respuesta Guillermo,

    No consigo hacer ping entre midominio3.local y midominio1.local. He corregido el tema delas DNS y quedaría así:

    -midominio1.local:

         192.168.0.1 --> ip

         255.255.255.0 --> mascara

         192.168.0.5 --> puerta de enlace

         192.168.0.1 --> dns 1

      -midominio2.local:

         192.168.1.1 --> ip

         255.255.255.0 --> mascara

         192.168.1.5 --> puerta de enlace

         192.168.1.1 --> dns 1

    El dominio midominio3.local, tendría la siguiente configuración:

         192.168.2.1 --> ip

         255.255.255.0 --> mascara

         192.168.2.5 --> puerta de enlace

         192.168.2.1 --> dns 1

     

    He probado con las dos opciones que me has comentado: reenviadores y zonas secundarias.

    En los reenviadores en el DC de midominio3.local he puesto como dominio DNS 'midominio1.local' (puesto que es con este dominio con quien quiero establecer comunicacion), y como IP del dominio 192.168.0.1. Es lo único que tengo en reenviadores, ya que en la opcion 'Todos los otros dominios DNS' no tengo ip's asociadas, puesto que ahora mismo este DC (midominio3.local) no tiene salida a internet.

    En los reenviadores en el DC de midominio1.local, tengo lo contrario, es decir, puesto como reenviador la ip 192.168.3.1, asociada al dominio 'midominio3.local'. En este DC ademas esta la ip 192.168.1.1 asociada al dominio 'midominio2.local'. Entre los DC de 'midominio1.local' y 'midominio3.local' si existe comunicacion ip.

    Con las zonas secundarias me da error cuando la creo, puesto que no es capaz de cargar el servidor DNS.

    Gracias y saludos.

     

     

     

    jueves, 30 de septiembre de 2010 8:41
  • Descartemos primero que nada problemas de conectividad de la red o Router. Verifica que puedes acceder usando "PING dir_IP"

    Si desde la máquina con dirección IP 192.168.0.1 hace "PING 192.168.1.1" ¿responde o no?

    Esto deberías probarlo desde los 3 equipos haciendo PING a los otros dos

    Revisa eso por favor.

    Cuando creas zonas secundarias, debes permitir la "transferencia de zona". Esto es, debes ir a las propiedades de la zona del servidor DNS que tiene la primaria, y permitir específicamente la tansferencia de zona al servidor que tendrá la zona secundaria.

    Luego de lo anterior, suele demorar alrededor de 5 minutos hasta que permite la transferencia. Puedes forzar con "Transfer from Master", pero igual hay que esperar unos minutos, y no olvidarse de darle a F5 para que  refresque la vista

     


    Guillermo Delprato - Buenos Aires, Argentina
    MVP-MCT-MCSE-MCSA MCITP: Enterprise/Server Administrator MCTS: Active Directory/Network/Applications Configuration
    Este mensaje se proporciona "como está" sin garantías de ninguna clase. Usted asume todos los riesgos.
    jueves, 30 de septiembre de 2010 18:07
    Moderador
  • Gracias de nuevo por la respuesta,

    Desde el DC con ip 192.168.0.1 al DC con ip 192.168.1.1 y viceversa hay ping,  se puede acceder a los recursos de uno y otro. Con esto dos dominios todo esta bien.

    Desde el DC con ip 192.168.0.1  no consigo hacer ping al 192.168.2.1, ni desde 192.168.2.1 hago ping a 192.168.0.1.

    He creado las zonas secundarias haciendo lo que me comentas y desde el DC 192.168.2.1 no configo hacer hacer ping al 192.168.0.1, al contrario tampoco se ven. El dc 192.168.0.1 es el maestro de esquema, despues de hacer un netdom query fsmo, esto es loq ue me sale:

     

    Schema owner                   midominio1.local

    Domain role owner              midominio1.local

    PDC Role                            midominio1.local

    RID Pool Manager               midominio1.local

    Infrastructure owner           midominio1.local

     

    Te comento, por si te puede aportar algo,  la estructura DNS que hay ahora en el DC 192.168.0.1 (maestro de esquema) y 192.168.1.1:

     

     

    midominio1.local (192.168.0.1)

    busqueda directa

      _msdcs.dominio1.local

                 dc

                           sites

                                           midominio1 (192.168.0.1)

                                           midominio2 (192.168.1.1)

                 domains

                 gc

                           sites

                                            midominio1 (192.168.0.1)

                                           midominio2 (192.168.1.1)

                 local

                 pdc

    midominio1.local

                 _msdcs

                 _sites

                 _tcp

                 _udp

                 midominio2

                            Host(A) --> serverdominio2 --> 192.168.1.1

                 domaindnszones

                            sites

                                          midominio1 --> _tcp  -->  _ldap --> registro de servicios srv --> serverdominio1

                                          midominio2  --> _tcp  -->  _ldap --> registro de servicios srv --> serverdominio1

                forestdnszones

                           sites

                                          midominio1 --> _tcp  -->  _ldap --> registro de servicios srv --> serverdominio1

                                          midominio2  --> _tcp  -->  _ldap --> registro de servicios srv --> serverdominio2

    busqueda inversa

              168.192.in.addr.arpa

                         1  --> Puntero PTR  -->  serverdominio1.local -192.168.0.1 - (Hay un pntero PTR por cada uno de los equipos que hay conectado a ese DC)

                         2  --> Puntero PTR  -->  serverdominio2.local  - 192.168.1.1 - (Hay un pntero PTR por cada uno de los equipos que hay conectado a ese DC) 

     

     

    midominio2.local (192.168.1.1)

    busqueda directa

      _msdcs.dominio1.local --> Es lo mismo y tiene la misma estructura que _msdcs.dominio1.local en el arbol DNS de midominio1.local

     

     

      midominio1.local

                 _msdcs

                                 dc --> sites --> misma estructura que la caprte _sites de abajo

                 _sites

                           midominio1 (192.168.0.1) --> tcp --> Aqui hay un registro ldap y otro kerberos apuntando a  servermidominio2.local los dos

                           midominio2 (192.168.1.1) --> tcp --> Aqui hay un registro ldap y otro kerberos apuntando a  servermidominio2.local los dos

                 _tcp

                 _udp

                DomainDnsZones

                             sites

                                midominio1 (192.168.0.1) --> tcp --> Aqui hay un registro de servicio (SRV) ldap apuntando a  servermidominio2.local

                                midominio2 (192.168.1.1) --> tcp --> Aqui hay un registro de servicio (SRV) ldap apuntando a  servermidominio2.local

               

    Este DC no tiene zona de busqueda inversa.               

     

    No he visto creada ninguna zona secundaria en ninguno de los dos DC. Y la opcion de "transferencia de zona" esta desmarcada en las zonas DNS primaria de cada DC.

    Los reenviadores si estan bien configurados en cada dc, pues tienen el nombre del otro dominio asiciado a su ip.

    No se si la información que he dado aporta algo.

    Gracias por vuestra paciencia y saludos.

     

     

     

    viernes, 1 de octubre de 2010 11:54
  • Me uno tarde a la conversación.... lo que dice Guillermo es correcto, antes que nada (aún de la resolución DNS) hay que resolver el tema de la conectividad, y eso es independiente de todos los servicios que montes arriba y sus configuraciones.

    Leí en la pregunta original que tienes los equipos de la red 192.168.0.x y los de la red 192.168.3.x en un mismo switch. Este switch está funcionando en L3 y está ruteando entre esas redes? Tienes algún otro router que tenga visibilidad de las 2 redes y haga ese ruteo?

    Si no tienes nada que haga ese ruteo, prueba a ponerle otra NIC al DC nuevo y que esa NIC esté en la red ip 192.168.0.x, creo que debería andar (pueden corregirme si me equivoco).

    viernes, 1 de octubre de 2010 12:20
  • Gracias por la respuesta Ricardo,

    Lo primero de todo disculpadme, pues en el primer post, como bien dice Ricardo, tengo midominio3.local con rango 192.168.3.X, cuando es 192.168.2.X.

    El DC con el rango 192.168.0.1, que es el maestro de esquema, es en el que estoy situado fisicamente, se ve perfectamente con el DC 192.168.1.1. Estan conectado via VPN. El DC con rango 192.168.2.1 esta unido via switch con el DC de rango 192.168.0.1. El DC y los equipos  con rango 192.168.0.X, tienen salida a internet y  comportan switch con el DC midominio3.local con ip 192.168.2.X.

    Ricardo, ignoro lo que es que un swtich funciones en L3, y si según la situación que te he descrito arriba puede o no interferir en la cominicacion de ambos DC. La situación de la red es la siguiente:

     

          midominio1.local(192.168.0.X)   - - - -  - - - swtich- - -  - - - - RouterVPN----------Internet-----------RouterVPN---------swtich-----midominio2.local(192.168.1.X)

                    sede1                                               |                                                                                                                                   sede2

                                                                            |

                                                                          switch -------midominio3.local(192.168.2.X)

                                                                                                      sede1 (futura sede 3)

    Yo tembien creo que lo primero de todo es solucionar el problema de conectividad entre ambos DC. Esta claro que si no se hacen ping mutuamente, lo demas sera imposible. Lo que me estraña es que por mas que he revisado la configuracion de los dc que se ven, es decir, midominio1.local y miominio2.local, no consigo establecer como; He probado con las zonas seundarias y conlos reenviadores y nada.

    Seguire intentandolo.

    Gracias a todos y saludos

    viernes, 1 de octubre de 2010 15:12
  • Lo de L3 (layer 3 o capa 3) es básicamente un switch que está funcionando como router, que puede saber cómo encaminar los paquetes de una red IP a la otra. Mencionaste el default gateway 192.168.2.5, eso es algo que ya tienes ahora? desde ahi se llega a la red 192.168.0.x?

     

    viernes, 1 de octubre de 2010 15:36
  • No, simplemente esa será la puerta del enlace del dc midominio3.local. Aun no esta operativo. Ahora simplemente esta el esquema que puse en mi anterior post. La puerta de enlace será la 192.168.2.5, simplemente por seguir con la misma politica que en los otros dc, 192.168.0.5 y 192.168.1.5.
    Ahora simplemente hay un swtich entre el dc midomio1.local y el dcmidomio3.local.
    viernes, 1 de octubre de 2010 20:59
  • Se me ocurre que una solución rápida podría ser ponerle una IP adicional al equipo midominio3.local, en la red 192.168.0.x, para que tenga visibilidad del otro controlador de dominio.

     

    viernes, 1 de octubre de 2010 22:39
  • Gracias por la respuesta Ricardo,

     

    No podria hacer eso, pues al dominio midominio3.local van a estar conectados muchos equipos clientes, que junto con los de midominio1.local, serían cerca de 200 equipos; a parte de los equipos con wifi, impresoras con IP, etc. No quiero estar limitado en ese sentido.

    Por otra parte, quiero saber como enlazar los dos dominios con diferentes redes.

    Seguire probando.

     

    Gracias y saludos.

    martes, 5 de octubre de 2010 7:59
  • Gustavo, retomo el tema desde varios post anteriores.

    En el post del 1 de Octubre a las 11:54 dices que no hay conectividad IP de uno de los DCs.

    Por lo tanto, no tiene nada que ver la resolución de DNS y mucho menos los maestros de operaciones.
    Si no hay conectividad a nivel IP, entonces no hay nada más.
    Primero hay que solucionar ese tema.

    No comprendo del post anterior cómo están conectados. Entre Sede1 y Sede2 hay un tunel VPN, pero no comprendo cómo pretendes conectar Sede3

    Además, si el servidor se llama "dominioX.local" estás en un problema. Primero porque no está clara la diferencia entre "servidor controlador de dominio" y "dominio"; y además los múltples problemas que trae.

    Los nombres de dominio deben ser de la forma "dominio.sufijo" (con por lo menos un punto)
    Y por lo tanto el nombre de un servidor toma la forma "servidor.dominio.sufijo"

     


    Guillermo Delprato - Buenos Aires, Argentina
    MVP-MCT-MCSE-MCSA MCITP: Enterprise/Server Administrator MCTS: Active Directory/Network/Applications Configuration
    Este mensaje se proporciona "como está" sin garantías de ninguna clase. Usted asume todos los riesgos.
    martes, 5 de octubre de 2010 17:56
    Moderador
  • Hola Guillermo,

    Si, estoy de acuerdo contigo en que lo primero es solucionar el problema de conectividad ping entre ambos DC, pero al no dar yo con ello, opte por poner la configuracion DNS por si os servia de algo.

    Tal y como comentas y como puse yo en mi primer post, la sede 1 que es midominio1.local, con ip 192.168.0.X, esta conectada via VPN con la sede 2 que es midominio2.local, con ip 192.168.1.X. Estos dos DC (bosques), que cada uno de ellos tiene sus usuarios y recursos, se ven perfectamente y no hay ningún problema.

    El servidor de midominio1.local es serverppal.midominio1.local, y el de midominio2.local es serverdelegacion1.midominio2.local. No habia puesto antes el nombre de los DC porque pense que no era importante.

    Un tema que se me paso comentarte y que no se si es relevante, es que en midominio1.local, esta el DC principal serverppal.midominio1.local (192.168.0.1) y un DC de respaldo, serverrespaldo.midominio1.local (192.168.0.2), por si el DC principal cae.  Entre estos dos DC tambien esta todo ok, pues se replican perfectamente.

    Ahora queremos establecer una nueva delegacion conectada, en un futuro, via vpn. El dominio seria midominio3.local (192.168.2.X), y el nombre del servidor serverdelegacion2.midominio3.local (192.168.2.1). Actualmente este DC esta unido via switch a la red de midominio1.local. La conexion a nivel de hardware esta ok, pues nada mas instalar W2003 server y antes de ejecutar dcpromo, puse al equipo en el rango de red 192.168.0.X, y repondia al ping perfectamente con serverppal.midominio1.local y serverrespaldo.midominio1.local. Posteriormente cambie la ip a 192.168.2.1 , puse la mascara 255.255.255.0, la puerta de enlace 192.168.2.5,  dns primario 192.168.2.1 y ejecute dcpromo.

    El objetivo tanto de la vpn existente como de la que se creara con el nuevo dominio es controlar los equipos  via remota desde serverppal.midominio1.local con el DameWare.  Esto ya esta operativo entre midominio1.local y midominio2.local, es decir, desde serverppal.midominio1.local puedo acceder via remota a los pc cliente de midominio2.local para su mantenimiento.

    Gracias y saludos.

     

     

     

     

     

    miércoles, 6 de octubre de 2010 8:23
  • [Guillermo]
    Anoto en línea

    Hola Guillermo,

    Si, estoy de acuerdo contigo en que lo primero es solucionar el problema de conectividad ping entre ambos DC, pero al no dar yo con ello, opte por poner la configuracion DNS por si os servia de algo.
    [Guillermo] De nada sirve poner las luces si no hay corriente :-)

    Tal y como comentas y como puse yo en mi primer post, la sede 1 que es midominio1.local, con ip 192.168.0.X, esta conectada via VPN con la sede 2 que es midominio2.local, con ip 192.168.1.X. Estos dos DC (bosques), que cada uno de ellos tiene sus usuarios y recursos, se ven perfectamente y no hay ningún problema.

    El servidor de midominio1.local es serverppal.midominio1.local, y el de midominio2.local es serverdelegacion1.midominio2.local. No habia puesto antes el nombre de los DC porque pense que no era importante.
    [Guillermo]
    Con eso ya dejas claro que no hay problemas con el nombre de dominio (tiene ".")

    Un tema que se me paso comentarte y que no se si es relevante, es que en midominio1.local, esta el DC principal serverppal.midominio1.local (192.168.0.1) y un DC de respaldo, serverrespaldo.midominio1.local (192.168.0.2), por si el DC principal cae.  Entre estos dos DC tambien esta todo ok, pues se replican perfectamente.
    [Guillermo]
    Ningún problema, es lo mejor, dos DCs por dominio como mínimo

    Ahora queremos establecer una nueva delegacion conectada, en un futuro, via vpn. El dominio seria midominio3.local (192.168.2.X), y el nombre del servidor serverdelegacion2.midominio3.local (192.168.2.1). Actualmente este DC esta unido via switch a la red de midominio1.local. La conexion a nivel de hardware esta ok, pues nada mas instalar W2003 server y antes de ejecutar dcpromo, puse al equipo en el rango de red 192.168.0.X, y repondia al ping perfectamente con serverppal.midominio1.local y serverrespaldo.midominio1.local. Posteriormente cambie la ip a 192.168.2.1 , puse la mascara 255.255.255.0, la puerta de enlace 192.168.2.5,  dns primario 192.168.2.1 y ejecute dcpromo.
    [Guillermo]
    Acá es donde está el problema
    O el "switch" no está ruteando entre esas VLANs, o no están correctas las puertas de enlace, o falta una entrada en la tabla de routing

    El objetivo tanto de la vpn existente como de la que se creara con el nuevo dominio es controlar los equipos  via remota desde serverppal.midominio1.local con el DameWare.  Esto ya esta operativo entre midominio1.local y midominio2.local, es decir, desde serverppal.midominio1.local puedo acceder via remota a los pc cliente de midominio2.local para su mantenimiento.
    [Guillermo]
    ¿Y por qué no usas Remote Desktop, en lugar de control remoto? mucho más seguro y con menos tráfico, y como si fuera poco ya está incluido y no necesitas adquirir nada ;-)

    Gracias y saludos.

     

     

     

     

     



    Guillermo Delprato - Buenos Aires, Argentina
    MVP-MCT-MCSE-MCSA MCITP: Enterprise/Server Administrator MCTS: Active Directory/Network/Applications Configuration
    Este mensaje se proporciona "como está" sin garantías de ninguna clase. Usted asume todos los riesgos.
    miércoles, 6 de octubre de 2010 18:03
    Moderador
  • Gracias por la repuesta Guillermo,

    Entonces, ¿No es posible establecer dicha conectividad ping aislando los dos DC en un único switch a modo de prueba sin necesidad de conectar routers?

    En cuanto a las puertas de enlace, el serverppal.midominio1.local (192.168.0.1) y los equipos cliente (192.168.0.X - 255.255.255.0) tienen salida a internet por la puerta de enlace 192.168.0.5 (direccion LAN del router) y como DNS tienen 192.168.0.1.

    El  serverdelegacion2.midominio3.local  (192.168.2.1) tiene como mascara 255.255.255.0, puerta de enlace 192.168.2.5 ( Esta puerta de enlace  en realidad no existe, no hay ningun router en el rango 192.168.2.X, es una direccion de red ficticia). Por lo tanto el DC serverdelegacion2.midominio3.local tiene como router el de serverppal.midominio1.local, 192.168.0.5; con lo cual es evidente que se encuentra en un rango de red diferente.

    Si el problema es que serverdelegacion2.midominio3.local no tiene puerta de enlace real, porque la direccion 192.168.2.5 no existe como tal; es mas, el router esta ya en la sede3. Como hago para establecer una puerta de enlace válida para el dc serverdelegacion2.midominio3.local si esta en otro rango de red.......¿Necesitaría tener el router de la sede3, pornerle la ip 192.168.2.5 y conectarle al DC serverdelegacion2.midominio3.local (192.168.2.1) para pode tener conectividad via ping con serverppal.midominio1.local?

    Gracias por tu paciencia y slaudos

     

     

    jueves, 7 de octubre de 2010 10:34
  • Gustavo, para poder conectar subredes diferentes, es absolutamente necesario que en el medio exista un Router. Pero eso no quita que hay Switch que pueden trabajar con funcionalidad básica de Router, interconectando VLANs (que son redes diferentes)
    Si la máquina tiene configurado como puerta de enlace una IP que no existe, o no es un Router capaz de encaminar el paquete a su destino, es evidente que no se comunicará con ningún equipo que no esté en su propia red.

    A la vez tienes que considerar que si la salida a Internet la provee un Router que es diferente al que lo conecta a las otras redes, hay que hacer entradas en la tabla de routing de los equipos.

     


    Guillermo Delprato - Buenos Aires, Argentina
    MVP-MCT-MCSE-MCSA MCITP: Enterprise/Server Administrator MCTS: Active Directory/Network/Applications Configuration
    Este mensaje se proporciona "como está" sin garantías de ninguna clase. Usted asume todos los riesgos.
    jueves, 7 de octubre de 2010 10:42
    Moderador
  • Gracias por la respuesta Guillermo,

    Entonces, y dado que ya tengo el tunel vpn creado, me llevaré el server a la nueva sede y desde allí intentaré que los dos DC se respondan al ping usando reenviadores.

    Ya me pasaré por aqui para comentar los resultados, no se si es mejor cerrar el hilo, o dejarle abierto para cuando tenga los resultados.

     

    Gracias y saludos.

     

    jueves, 7 de octubre de 2010 16:38
  • Gustavo, separa los temas :-)

    Usando PING por dirección IP permite saber si hay conexión entre los equipos

    Reenviadores, es para ayudar a la resolución de nombres

    Cuando, por ejemplo, haces "PING SRV.DOMINIO.SUF" suceden varios procesos, pero uno de los primeros es la resolución de nombre (averiguar qué IP tiene el equipo destino).
    Recién cuando se sabe qué IP tiene, comienza la comunicación.

     


    Guillermo Delprato - Buenos Aires, Argentina
    MVP-MCT-MCSE-MCSA MCITP: Enterprise/Server Administrator MCTS: Active Directory/Network/Applications Configuration
    Este mensaje se proporciona "como está" sin garantías de ninguna clase. Usted asume todos los riesgos.
    jueves, 7 de octubre de 2010 18:19
    Moderador