none
Relacion de confianza RRS feed

  • Pregunta

  • Tengo la siguiente estructura

    192.168.210.100 / srv.spa.bar.ar / W2008 R2

    10.10.11.14 / srv2.spa.bar.ar / W2008 R2

    Ninguno de los dos tiene ningún tipo de relación, pero aun así están en redes que se ven entre si.

    Lo que quiero hacer es:

    1)Que estos dos dominios tengan una relación de confianza bidireccional, es decir que puedan loguearse en cualquiera de los dos y que puedan usar el FileServer que están en los dos.

    a) al hacer esto  se agregan los usuarios del otro en la consola de usuarios y equipos de AD o lo sigo viendo igual que antes?

    b) desde que servidor tengo que hacer la configuración o es indistinto?

    c) si tengo otros 5 servidores que quiero que tengan esta relación de confianza también solo con 10.10.11.14, se puede o no es aconsejable que este un equipo (10.10.11.14) en relación de confianza con otros 5 equipos.

    D) cuales serian los pasos a seguir para hacer la relaciond e confianza?

    Otra posibilidad que estaba analizando es que el servidor 10.10.11.14 aloje a los otros dominios como dominios secundarios, ṕero que estos dominios secundarios puedan administrarse de su propio servidor, para que en caso de que se corte la comunicacion al servidor 10.10.11.14 se pueda seguir administrando desde el otro servidor.

    Si ya tengo el esquema presentado antes es decir tengo dos dominios instalados independientemente como hago para comvertirlo a uno en el dominio padre y que los otros sean dominios secundarios sin dejarlo fuera de linea?

    Gracias!!

    martes, 10 de julio de 2012 13:45

Respuestas

  • Hola,

    Respondo tus puntos con info para que lo puedas realizar, desde ya, tienes que leer bastante :=) :

    1) Creating Forest Trusts: http://technet.microsoft.com/en-us/library/cc776940(ws.10).aspx
    Managing Trusts: http://technet.microsoft.com/en-us/library/bb727050.aspx

    a) No se agregan las cuentas de un dominio a otro, sino en simples palabras, lo que realizas en una trust bidireccional, que los recursos de un dominio, confian en los usuarios del otro dominio el cual entablaste la relacion, siendo bidireccional, esta "confianza" se establece en ambos sentidos, con esta explicacion, te confirmo que las consolas de AD, luego de la relacion de confianza, la seguiras viendo de igual forma y con los mismos objetos que antes.-

    b) La relacion de confianza la puedes realizar desde cualquier Domain Controller, lo que si es una tarea que primero la configuras en un dominio y luego tienes que ir al otro dominio para "re-validarla" y confirmar dicha relacion, es importante, que en el momento de configurar la relacion de confianza y en adelante, que el Domain Controller con rol de PDC en ambos dominios, este disponible para que la relacion de confianza funcione, dicho rol es muy importante y no solo para una relacion de confianza, pero en este punto, si bien la configuracion de la trust la puedes realizar desde cualquier DC, es importante que el equipo con rol PDC este disponible para que se realice la comunicacion.-

    c) No entiendo bien este punto..pero si tu consulta va en que tienes otros 5 dominios y quieres tambien hacer relacion de confianza con ellos, puedes hacerla sin problema y no tienes una limitacion en ese sentido, lo que tendrias que chequear, es si realmente la necesitaras para no configurar una relacion de confianza que no vayas a utilizar realmente.-

    d) Esta en los links del punto "1".-

    Con respecto a los puntos que comentas luego, puedes instalar un dominio Child y migrar los objetos que tienes en los dominios independientes, te adjunto links para que puedas ir leyendo y analizando que camino seguir segun tu necesidad, tiempo de implementacion y que realmente contemple el esfuerzo, por lo que necesitarias implementar:

    How To Create a Child Domain in Active Directory and Delegate the DNS Namespace to the Child Domain: http://support.microsoft.com/kb/255248
    Installing a New Windows Server 2008 Child Domain by Using an Answer File: http://technet.microsoft.com/en-us/library/cc731541(v=ws.10).aspx
    Installing a New Child Domain: http://technet.microsoft.com/en-us/library/cc731394(v=ws.10).aspx
    ADMT Guide: Migrating and Restructuring Active Directory Domains: http://technet.microsoft.com/en-us/library/cc974332(v=ws.10).aspx
    Active Directory Migration Tool version 3.2: http://www.microsoft.com/en-us/download/details.aspx?id=8377

    Salu2


    Leonardo Ponti
    MVP: Directory Services
    MCTS: Microsoft Certified Technology Specialist
    MCSE: Microsoft Certified Systems Engineer (Windows Server 2003)
    MCSA: Microsoft Certified Systems Administrator (Windows Server 2003)
    Blog: Link!

    Este mensaje se proporciona "como está" sin garantías de ninguna clase, y no otorga ningún derecho. Ud. asume los riesgos.
    This posting is provided "AS IS" with no warranties, and confer no rights. You assume all risk for your use.

    martes, 10 de julio de 2012 14:43
    Moderador

Todas las respuestas

  • Hola,

    Respondo tus puntos con info para que lo puedas realizar, desde ya, tienes que leer bastante :=) :

    1) Creating Forest Trusts: http://technet.microsoft.com/en-us/library/cc776940(ws.10).aspx
    Managing Trusts: http://technet.microsoft.com/en-us/library/bb727050.aspx

    a) No se agregan las cuentas de un dominio a otro, sino en simples palabras, lo que realizas en una trust bidireccional, que los recursos de un dominio, confian en los usuarios del otro dominio el cual entablaste la relacion, siendo bidireccional, esta "confianza" se establece en ambos sentidos, con esta explicacion, te confirmo que las consolas de AD, luego de la relacion de confianza, la seguiras viendo de igual forma y con los mismos objetos que antes.-

    b) La relacion de confianza la puedes realizar desde cualquier Domain Controller, lo que si es una tarea que primero la configuras en un dominio y luego tienes que ir al otro dominio para "re-validarla" y confirmar dicha relacion, es importante, que en el momento de configurar la relacion de confianza y en adelante, que el Domain Controller con rol de PDC en ambos dominios, este disponible para que la relacion de confianza funcione, dicho rol es muy importante y no solo para una relacion de confianza, pero en este punto, si bien la configuracion de la trust la puedes realizar desde cualquier DC, es importante que el equipo con rol PDC este disponible para que se realice la comunicacion.-

    c) No entiendo bien este punto..pero si tu consulta va en que tienes otros 5 dominios y quieres tambien hacer relacion de confianza con ellos, puedes hacerla sin problema y no tienes una limitacion en ese sentido, lo que tendrias que chequear, es si realmente la necesitaras para no configurar una relacion de confianza que no vayas a utilizar realmente.-

    d) Esta en los links del punto "1".-

    Con respecto a los puntos que comentas luego, puedes instalar un dominio Child y migrar los objetos que tienes en los dominios independientes, te adjunto links para que puedas ir leyendo y analizando que camino seguir segun tu necesidad, tiempo de implementacion y que realmente contemple el esfuerzo, por lo que necesitarias implementar:

    How To Create a Child Domain in Active Directory and Delegate the DNS Namespace to the Child Domain: http://support.microsoft.com/kb/255248
    Installing a New Windows Server 2008 Child Domain by Using an Answer File: http://technet.microsoft.com/en-us/library/cc731541(v=ws.10).aspx
    Installing a New Child Domain: http://technet.microsoft.com/en-us/library/cc731394(v=ws.10).aspx
    ADMT Guide: Migrating and Restructuring Active Directory Domains: http://technet.microsoft.com/en-us/library/cc974332(v=ws.10).aspx
    Active Directory Migration Tool version 3.2: http://www.microsoft.com/en-us/download/details.aspx?id=8377

    Salu2


    Leonardo Ponti
    MVP: Directory Services
    MCTS: Microsoft Certified Technology Specialist
    MCSE: Microsoft Certified Systems Engineer (Windows Server 2003)
    MCSA: Microsoft Certified Systems Administrator (Windows Server 2003)
    Blog: Link!

    Este mensaje se proporciona "como está" sin garantías de ninguna clase, y no otorga ningún derecho. Ud. asume los riesgos.
    This posting is provided "AS IS" with no warranties, and confer no rights. You assume all risk for your use.

    martes, 10 de julio de 2012 14:43
    Moderador
  • Ok, si primero establezco la relacion de confianza entre estos dos dominios que estan en bosques distintos y mas adelante ver la posibilidad de que uno de estos dos dominios sea secundario del otro o es recomendable directamente hacer dominios secundarios directamente?
    lunes, 16 de julio de 2012 13:19
  • Hola,

    Ambas posibilidades son viables, todo depende la estructura de tu empresa, aplicaciones que consumen servicios de tus dominios y demas.. pero tecnicamente, ambas opciones son soportadas, tanto por recursos de dominios como resolucion de nombres.-

    Salu2


    Leonardo Ponti
    MVP: Directory Services
    MCTS: Microsoft Certified Technology Specialist
    MCSE: Microsoft Certified Systems Engineer (Windows Server 2003)
    MCSA: Microsoft Certified Systems Administrator (Windows Server 2003)
    Blog - Facebook - Twitter

    Este mensaje se proporciona "como está" sin garantías de ninguna clase, y no otorga ningún derecho. Ud. asume los riesgos.
    This posting is provided "AS IS" with no warranties, and confer no rights. You assume all risk for your use.

    lunes, 16 de julio de 2012 16:52
    Moderador
  • Si hay dos Bosques separados, "mueren" separados :)

    La única forma de unirlos de verdad, que compartan Esquema, Configuración, GC, etc. es que crees un nuevo sub-Dominio y utilizar alguna aplicación de migración desde un Dominio a otro.

    Hay aplicaciones de terceros, pero tienes en forma gratuita de Microsoft el ADMT (Active Directory Migration Tools)

     


    Guillermo Delprato - Buenos Aires, Argentina
    Visite Notas Windows Server
    MVP - MCT - MCSE - MCSA
    MCITP: Enterprise Administrator / Server Administrator
    MCTS: Active Directory/Network Configuration/Applications Configuration/Server Virtualization/Windows 7 Configuration/Windows 7 & Office 2010 Deployment/Vista Configuration
    Este mensaje se proporciona "como está" sin garantías de ninguna clase. Usted asume todos los riesgos.

    lunes, 16 de julio de 2012 17:56
    Moderador
  • Hola gente!

    Aclaro un punto no menor, cuando hablamos de un dominio "primario" o "secundario" (si bien no esta bien dicho) lo tomo como dos dominios con relacion de confianza, donde se pueden tomar recursos de uno y otro, entiendo que es lo que quiere realizar Renzo, ahora si la idea es de los dos dominios realizar uno solo, ahi si hay que implementar un nuevo dominio y migrar los objetos como comenta Guillermo.-

    Salu2


    Leonardo Ponti
    MVP: Directory Services
    MCTS: Microsoft Certified Technology Specialist
    MCSE: Microsoft Certified Systems Engineer (Windows Server 2003)
    MCSA: Microsoft Certified Systems Administrator (Windows Server 2003)
    Blog - Facebook - Twitter

    Este mensaje se proporciona "como está" sin garantías de ninguna clase, y no otorga ningún derecho. Ud. asume los riesgos.
    This posting is provided "AS IS" with no warranties, and confer no rights. You assume all risk for your use.

    lunes, 16 de julio de 2012 18:06
    Moderador
  • Bueno decidi ir primero por la relacion de confianza, pero estoy teniendo problemas porque nose como configurar correctamente los dns para que se vean entre si los dominios ya que en el asistente de relacion de confianza cuando agrego el nombre del otro dominio y clickeo siguiente me dice que, El nombre que especifico no es un nombre de dominio de windows valido.

    Si ejecuto ping desde cualquiera de los dos dominios hacia el otro me responde correctamente.

    Que es loq ue tengo que modificar en el DNS para que las dos subredes se resulvan por nombre y que el asistente resulva los nombres?

    lunes, 16 de julio de 2012 19:32
  • Desde cada dominio se tiene que poder resolver los nombres del otro

    Podés configurar zonas secundarias, o reenviadores condicionales, la que te pareca mejor

    Si utilizas zonas secundarias, recuerda permitir la transferencia de zona, porque por omisión no permite

     


    Guillermo Delprato - Buenos Aires, Argentina
    Visite Notas Windows Server
    MVP - MCT - MCSE - MCSA
    MCITP: Enterprise Administrator / Server Administrator
    MCTS: Active Directory/Network Configuration/Applications Configuration/Server Virtualization/Windows 7 Configuration/Windows 7 & Office 2010 Deployment/Vista Configuration
    Este mensaje se proporciona "como está" sin garantías de ninguna clase. Usted asume todos los riesgos.

    lunes, 16 de julio de 2012 19:49
    Moderador
  • Hola,

    Con respecto a DNS, para que se puedan ver entre si, puedes realizar lo que se llama Delegacion DNS, te paso dos links para que puedas ver los pasos a realizar al configurar la relacion de confianza:

    Checklist: Create a Forest Trust: http://technet.microsoft.com/en-us/library/cc770907.aspx
    Checklist: Creating a forest trust: http://technet.microsoft.com/en-us/library/cc756852(WS.10).aspx

    Salu2


    Leonardo Ponti
    MVP: Directory Services
    MCTS: Microsoft Certified Technology Specialist
    MCSE: Microsoft Certified Systems Engineer (Windows Server 2003)
    MCSA: Microsoft Certified Systems Administrator (Windows Server 2003)
    Blog - Facebook - Twitter

    Este mensaje se proporciona "como está" sin garantías de ninguna clase, y no otorga ningún derecho. Ud. asume los riesgos.
    This posting is provided "AS IS" with no warranties, and confer no rights. You assume all risk for your use.

    lunes, 16 de julio de 2012 19:50
    Moderador
  • Al final lo que hice fue agregar reenviador en cada dns y tuve que en la configuracion ip de tcp/ip en la solapa de DNS tildar : Anexar estos sufijos DNS y agregue los dos nombres de dominio de los servidores.

    Con esto si pude crear la relacion de confianza,

    Ahora el problema esta cuando: me logueo al servidor srv2.spa.bar.ar con un windows seven (Este equipo en realidad esta unido al dominio srv.spa.bar.ar) y al querer acceder al servicio de caprtas compartidas (Previo a esto di acceso al usuario con el cual inicie sesion sobre esta carpeta), llego a abrir esta carpeta pero al momento de crear una carpeta dentro de esta me da un cartel que dice con el titulo: Acceso a la carpeta de destino denegado y dentro del cartel dice: Necesita permisos para realizar esta accion , las opciones que me da son: intente de nuevo y cancelar.

    Sobre la carpeta tiene Control total.

    Hay que habilitar alguna otra cosa en la relacion de confianza o en el servicio de carpetas compartidas? o que es lo que esta pasando?

    martes, 17 de julio de 2012 19:28
  • ¿Qué tipo de relación de confianza? ¿externa o Forest Trust? y si fuera está última ¿qué tipo de autenticación se ha seleccionado?

    Además recuerda que debe tener los permisos tanto en compartido como en seguridad

     


    Guillermo Delprato - Buenos Aires, Argentina
    Visite Notas Windows Server
    MVP - MCT - MCSE - MCSA
    MCITP: Enterprise Administrator / Server Administrator
    MCTS: Active Directory/Network Configuration/Applications Configuration/Server Virtualization/Windows 7 Configuration/Windows 7 & Office 2010 Deployment/Vista Configuration
    Este mensaje se proporciona "como está" sin garantías de ninguna clase. Usted asume todos los riesgos.

    martes, 17 de julio de 2012 19:54
    Moderador
  • Guillermo, es una confianza externa
    martes, 17 de julio de 2012 19:57
  • Entonces revisa lo que puse antes

    Recuerda que por omisión cuando compartes el permiso de compartido es de sólo lectura

    Y el permiso efectivo es el más restrictivo entre Compartido y Seguridad

     


    Guillermo Delprato - Buenos Aires, Argentina
    Visite Notas Windows Server
    MVP - MCT - MCSE - MCSA
    MCITP: Enterprise Administrator / Server Administrator
    MCTS: Active Directory/Network Configuration/Applications Configuration/Server Virtualization/Windows 7 Configuration/Windows 7 & Office 2010 Deployment/Vista Configuration
    Este mensaje se proporciona "como está" sin garantías de ninguna clase. Usted asume todos los riesgos.

    martes, 17 de julio de 2012 20:25
    Moderador