none
Relacion de confianza entre 2 redes distintas. RRS feed

  • Pregunta

  • Buen dia, tengo un dominio( XX )  Windows 2008 en español, y tengo un  dominio  (XXX) windows 2008 r2 ( cuanto con uno primario y secundario)

    Estos Dominios estan en diferentes redes, lo que tengo que hacer es  que se vean esas 2 redes, haciendo ping a la otra desde el  servidor. De ahi, hacer la relacion de que manera?  DNS?

    Tengo esa duda. Espero me puedan ayudar

    miércoles, 20 de junio de 2012 15:27

Respuestas

  • Hola,

    Vamos a ver, la relación de confianza entre dominios es útil para que los usuarios de un dominio puedan acceder a los recursos de otro con las credenciales de su propio dominio, o bien hacer directamente logon en los equipos del dominio remoto con sus credenciales.

    Esto es una cosa, y que tengan visibilidad es otra. Por un lado, asegúrate de los siguientes pasos:

     - Las 2 redes tienes visibilidad (puedes hacer ping a las diferentes IPs de ambos dominios, por ejemplo...)

     - Deberás configurar en los servidores DNS de cada dominio un conditional forwarding para que los clientes de cada dominio puedan resolver los FQDNS del dominio target. Si no sabes como consulta este enlace: http://technet.microsoft.com/en-us/library/cc794735(v=ws.10).aspx  

     - Una vez visibles a nivel DNS puedes establecer una relación de confianza entre ambos dominios. Existen varios tipos de relación entre dominios así como posibilidad de transitividad, o hacerla sólo entrante... Revísate que opción te interesa más. En un supuesto standard (ambos dominios confian mutuamente sería un forest bidireccional, tu verás...) 

    http://technet.microsoft.com/en-us/library/cc740018(v=ws.10).aspx

    Suerte.

    Julio Rosua

    PS: Como dices que necesitas "que se vean", configurando los confitional forwarders a nivel DNS, podrás acceder (resolver) a los recursos de cualquiera de los dos dominios, pero SÓLO podrás autenticarte con credenciales del dominio donde pertenece el recurso. Toma esta opción en consideración si te vale.





    miércoles, 20 de junio de 2012 15:53
  • El servicio DNS escucha por el puerto tcp/udp 53.

    Si exiten firewalls entre los diferentes servidores DNS, asegúrate de que los puertos tcp/udp 53 estan abiertos entre ellos.

    Puedes verificar con nslookup que puedes conectar desde el servidor A al B (desde CMD ServerA):

    nslookup

    server <ip server B>

    Introduce el nombre de cualquier registro de la zona DNS del dominio y verifica que resuelve.


    miércoles, 20 de junio de 2012 21:13
  • Buenos dias vcamacho,

    Deberias asegurarte que todos los puertos marcados en la siguiente lista esten abiertos entre ambos dominios http://support.microsoft.com/kb/179442 , con esto me refiero a que todos los DCs del dominio A deberian poder comunicarse mediante esos puertos con todos los DCs del dominio B.


    Sebastian del Rio - MCP - MCSA +S - MCSE +S - MCITP:Enterprise Administrator Buenos Aires - Argentina Este mensaje se proporciona "como está" sin garantías de ninguna clase, y no otorga ningún derecho. Ud. asume los riesgos

    jueves, 21 de junio de 2012 11:30
    Moderador
  • Ahora que tienes visibilidad DNS y puedes resolver los espacios de nombres de ambos dominios, configura la relación de confianza. 

    En principio, según lo que comentabas, debería ser tipo forest (transitiva) y bidireccional. Guíate por este enlace:

    http://technet.microsoft.com/es-es/library/cc780479(v=ws.10).aspx 


    jueves, 21 de junio de 2012 15:12
  • El problema es que cuando seleccionas la relación de confianza tipo bosque no te está detectando el dominio target como "windows based". Cuando introduces el dominio remoto a confiar utilizas FQDN de dominio o netbios. Prueba con el nombre netbios si no lo has utilizado.

    A parte, revísate los ports necesarios para establecer la trust y asegúrate que el firewall permite este tráfico entre ambos dominios.

    http://support.microsoft.com/kb/179442 

    viernes, 22 de junio de 2012 15:35
  • Añade los sufijos de cada dominio en la default domain policy de cada dominio:

    http://technet.microsoft.com/en-us/library/bb847901.aspx

    Cada estación del dominio debe tener 2 sufijos de búsqueda para las consultas DNS, la nativa de su dominio y la del dominio de confianza.

    Prueba si esto corrige el problema. He visto muchos hilos con este problema por la red (nunca me paso, la verdad) y apuntan a causas diversas, o sea que podemos ir probando, quizá alguien lo haya experimentado y pueda arrojar alguna idea más.

    En cualquier caso, si puedes asignar permisos de acceso a un recurso (carpetas de un FileServer p.ejemplo) del dominio A para un usuario del B, y puedes acceder con este la relación esta bien establecida y funcional.

    saludos.

    jueves, 28 de junio de 2012 9:04
  • En el dominio A debes añadir los sufijos de búsqueda de ambos dominios.

    En el dominio B exactamente lo mismo.

    GRACIAS POR EL APOYO JULIO, QUEDO RESUELTO.  REVISE TODOS LOS PUERTOS DEL DOMINIOB Y ME FALTO 1.

    GRACIAS POR TODO.!!!!!!!!!!!!!!!

    jueves, 5 de julio de 2012 22:08

Todas las respuestas

  • Hola,

    Vamos a ver, la relación de confianza entre dominios es útil para que los usuarios de un dominio puedan acceder a los recursos de otro con las credenciales de su propio dominio, o bien hacer directamente logon en los equipos del dominio remoto con sus credenciales.

    Esto es una cosa, y que tengan visibilidad es otra. Por un lado, asegúrate de los siguientes pasos:

     - Las 2 redes tienes visibilidad (puedes hacer ping a las diferentes IPs de ambos dominios, por ejemplo...)

     - Deberás configurar en los servidores DNS de cada dominio un conditional forwarding para que los clientes de cada dominio puedan resolver los FQDNS del dominio target. Si no sabes como consulta este enlace: http://technet.microsoft.com/en-us/library/cc794735(v=ws.10).aspx  

     - Una vez visibles a nivel DNS puedes establecer una relación de confianza entre ambos dominios. Existen varios tipos de relación entre dominios así como posibilidad de transitividad, o hacerla sólo entrante... Revísate que opción te interesa más. En un supuesto standard (ambos dominios confian mutuamente sería un forest bidireccional, tu verás...) 

    http://technet.microsoft.com/en-us/library/cc740018(v=ws.10).aspx

    Suerte.

    Julio Rosua

    PS: Como dices que necesitas "que se vean", configurando los confitional forwarders a nivel DNS, podrás acceder (resolver) a los recursos de cualquiera de los dos dominios, pero SÓLO podrás autenticarte con credenciales del dominio donde pertenece el recurso. Toma esta opción en consideración si te vale.





    miércoles, 20 de junio de 2012 15:53
  • Gracias Julio, haber si me dices que son diferentes cosas. Estoy de acuerdo. Necesito la visibilidad entre ellos para asi poder realizar la relacion de confianza entre los 2 dominios. correcto?

    Deja pongo en marcha esto y te comento.

    Gracias.

    miércoles, 20 de junio de 2012 16:17
  • Efectivamente, si configuras los conditional forwarders a ambos lados podrás resolver los nombres de recursos de ambos dominios y acceder a estos con credenciales del dominio target. Si estableces la relación, podrás autenticarte/logarte con las credenciales del dominio origen.


    miércoles, 20 de junio de 2012 16:23
  • Estimado Julio  que puede estar faltando? desde un server al otro ya me puedo conectar remotamente, pero al momento de  agregar un   un conditional forwarding  me marca error de tiempo de espera.
    miércoles, 20 de junio de 2012 17:29
  • Que puertos deben de ver los 2 servidores? es el  389 vdd?

    miércoles, 20 de junio de 2012 17:37
  • El servicio DNS escucha por el puerto tcp/udp 53.

    Si exiten firewalls entre los diferentes servidores DNS, asegúrate de que los puertos tcp/udp 53 estan abiertos entre ellos.

    Puedes verificar con nslookup que puedes conectar desde el servidor A al B (desde CMD ServerA):

    nslookup

    server <ip server B>

    Introduce el nombre de cualquier registro de la zona DNS del dominio y verifica que resuelve.


    miércoles, 20 de junio de 2012 21:13
  • Gracias, ya ando revisando el listados de todos los puertos que necesita el Active Directory.   Te aviso cuando quede.  Gracias.
    miércoles, 20 de junio de 2012 21:32
  • Buenos dias vcamacho,

    Deberias asegurarte que todos los puertos marcados en la siguiente lista esten abiertos entre ambos dominios http://support.microsoft.com/kb/179442 , con esto me refiero a que todos los DCs del dominio A deberian poder comunicarse mediante esos puertos con todos los DCs del dominio B.


    Sebastian del Rio - MCP - MCSA +S - MCSE +S - MCITP:Enterprise Administrator Buenos Aires - Argentina Este mensaje se proporciona "como está" sin garantías de ninguna clase, y no otorga ningún derecho. Ud. asume los riesgos

    jueves, 21 de junio de 2012 11:30
    Moderador
  • Sebastian  gracias.!

    Ya logre que en el dominio1 en los DNS, ya puedo ver todos los equipos del dominio1 y 2, ahorita no se por que en el dominio2 no puedo ver los equipos del dominio1.  Estoy revisandolo.  y les comento

    jueves, 21 de junio de 2012 13:50
  • Estimados, tanto en el dominioA y dominioB ya veo  en los DNS  en forward look up los 2 dominios con sus 2 maquinas.

    Que me queda hacer, para al momento de conectarme a una pc o servidor me aparezcan los 2 dominios.

    Gracias.

    jueves, 21 de junio de 2012 15:07
  • Ahora que tienes visibilidad DNS y puedes resolver los espacios de nombres de ambos dominios, configura la relación de confianza. 

    En principio, según lo que comentabas, debería ser tipo forest (transitiva) y bidireccional. Guíate por este enlace:

    http://technet.microsoft.com/es-es/library/cc780479(v=ws.10).aspx 


    jueves, 21 de junio de 2012 15:12
  • Ya realize esos pasos en los 2 servidores.   ahora que tengo que realizar?

    jueves, 21 de junio de 2012 15:37
  • EFECTUE ESTOS PASOS DE ESTA LIGA  http://asir1012.wikispaces.com/relaciones_de_confianza   (los ultimos) ademas de los que me comentaste  Julio ( http://technet.microsoft.com/es-es/library/cc780479(v=ws.10).aspx )  que  sigue de realizar o que ando haciendo mal.?

    jueves, 21 de junio de 2012 16:24
  • Desde la consola de "Dominios y confianzas de activedirectory" de ambos dominios...

    ¿Puedes ver que la relación está creada? Si es así, pulsa sobre validar y asegúrate de que el proceso concluye correctamente.

    Una vez validada y confirmada, las estaciones de ambos dominios deberán mostrar ambos dominios en el combo de dominios de inicio de sesión de los equipos. A parte, deberás poder añadir usuarios/grupos del dominio remoto en recurso del dominio local.

    Debes ver algo como esto desde esta consola, seleccionando tu dominio, botón derecho propiedades (pestaña trusts):


    Aqui selecciona el dominio de confianza, propiedades y validar.

    come on! que casi lo tienes :-)




    • Editado Julian Ros jueves, 21 de junio de 2012 16:56
    jueves, 21 de junio de 2012 16:51
  • Amigo, elimine esa configuracion y al tratar de hacerla nuevamente. coloco el nombre del dominio ( dominioA.com ) pero me aparece seleccione el tipo de confianza:1.Confianza en dominio Kerberos 2.Confianza con un dominio de windows. Y esto aparece en dominioA y dominioB. 

    jueves, 21 de junio de 2012 17:41
  • Sera  algo que tenga que ver la VPN entre esos 2 equipos?
    jueves, 21 de junio de 2012 17:49
  • Ya  vamos saliendo, ya veo en el dominioA,  autotenficar usuarios del dominioB. Me marca un error, espero que sea por que todavia no hago la relacion de confianza del dominioB al dominioA.

    Nota: se va hacer lo mismo en el dominioB verdad?

    No e dado validar, pregunta... que pasa si valido o no????

    Saludos.!

    jueves, 21 de junio de 2012 22:26
  • el error que  arroja es  "The security database on the server does not have a computer account for this workstation trust relationship."
    jueves, 21 de junio de 2012 23:32
  • Puedes darnos más información, por ejemplo:

    ¿Donde aparece el error? ¿En la ventana de inicio de sesión de un equipo del dominio A intentado hacer logon en dominio B?

    ¿Te pasa con cualquier ordenador que intenta hacer logon en el dominio trusted o sólo has probado uno?

    Se más descriptivo, este error puede significar varias cosas, se necesita más información.

    Validar, como su nombre indica significa para verificar que la relación de confianza es correcta, ejecútalo y verífica que recibes el OK. Por otro lado, si creas la primera relación desde un dominio bidireccionalmente, las entradas de confianza se crean en ambos, comprueba que tienes la misma información en "Dominios y Confianzas de Active Directory MMC" en ambos dominios.



    • Editado Julian Ros viernes, 22 de junio de 2012 7:13
    viernes, 22 de junio de 2012 7:11
  • Julio una disculpa.

    Efectivamente, el error aparece cuando intento inicio de sesion de un equipo del dominio A al dominio B, y  al reves.

    Y Pasa con cualquier ordenador.

    Estoy validando con apoyo de los expertos en redes de la empresa, por que la relacion del servidor B al A no esta lista. me marca  se debe a que no "identifica" el dominio A?

    viernes, 22 de junio de 2012 14:50
  • ¿Has elegido confianza con un dominio Windows? Esto no me cuadra... ¿que nombre de dominio has puesto en el form anterior? Utiliza el nombre netbios del dominio (sin sufijo) al establecer la relación.

    La confianza que debes seleccionar es tipo bosque y bidireccional.



    • Editado Julian Ros viernes, 22 de junio de 2012 15:28
    viernes, 22 de junio de 2012 15:22
  • SI asi es, elegi CONFIANZA CON UN DOMINIO DE WINDOWS,  pero al darle siguiente, me marca finalizar asistente por una falla no conocida.

    Estoy seguro que es algo de la vpn andamos en ello.

    Julio, ya teniendo la relacion entre los 2 dominios tanto A y B. Automaticamente al logon en algun eequipo en dominio me aparesera DominioA y DominioB?  O hay que aplicar algo mas.

    viernes, 22 de junio de 2012 15:31
  • El problema es que cuando seleccionas la relación de confianza tipo bosque no te está detectando el dominio target como "windows based". Cuando introduces el dominio remoto a confiar utilizas FQDN de dominio o netbios. Prueba con el nombre netbios si no lo has utilizado.

    A parte, revísate los ports necesarios para establecer la trust y asegúrate que el firewall permite este tráfico entre ambos dominios.

    http://support.microsoft.com/kb/179442 

    viernes, 22 de junio de 2012 15:35
  • Julio que tal gracias ,  en el dominioB ya inicio sesion con una cuenta del dominioA.  Agrege el usuario del DominioA como administrador del equipo.

    Al intentar dar de alta el usuario ( como administrador) del DominioB en el dominioA. Me lanza el mismo error

    Nota: Ya valide las 2 relaciones  en la opcion validar y me dijo OK.

    martes, 26 de junio de 2012 16:08
  • Julio que tal mira, tanto como en el domnioA y dominioB ya tengo la relacion de confianza de esta manera:

    Ya me puedo logear con un usuario del dominioA en el domonioB y al revez.

    Pero si yo quiero dar de alta un usuario del dominioB en el dominioA: Inicio, panel de control, usuarios, agregar cuenta ( me cambio de  ubicacion al dominioB)  no me  valida ese usuario. y de  igual manera si quiero dar de alta un usuairo del dominioA en el dominioB.  Simplemente marca error que no se pueden validar.

    Nota. nada mas  me los valida en los Controladores de dominio. pero en los demas  equipos ( desktops o sevidores ) no lo permite.

    miércoles, 27 de junio de 2012 21:13
  • Cuando quiero  agregar un usuario y veo la ubicacion me lo muestra asi:

    miércoles, 27 de junio de 2012 21:22
  • Añade los sufijos de cada dominio en la default domain policy de cada dominio:

    http://technet.microsoft.com/en-us/library/bb847901.aspx

    Cada estación del dominio debe tener 2 sufijos de búsqueda para las consultas DNS, la nativa de su dominio y la del dominio de confianza.

    Prueba si esto corrige el problema. He visto muchos hilos con este problema por la red (nunca me paso, la verdad) y apuntan a causas diversas, o sea que podemos ir probando, quizá alguien lo haya experimentado y pueda arrojar alguna idea más.

    En cualquier caso, si puedes asignar permisos de acceso a un recurso (carpetas de un FileServer p.ejemplo) del dominio A para un usuario del B, y puedes acceder con este la relación esta bien establecida y funcional.

    saludos.

    jueves, 28 de junio de 2012 9:04
  • Gracias ya estoy en ello Julio, en el DominioA agregare esa politica apuntando al dominioB? y en el DOminioB lo mismo ?
    jueves, 28 de junio de 2012 13:43
  • En el dominio A debes añadir los sufijos de búsqueda de ambos dominios.

    En el dominio B exactamente lo mismo.

    jueves, 28 de junio de 2012 14:06
  • Julio, estos sufijos se pueden agregar tambien en las propiedades de de conexion local>ipv4>opciones avanzadas >dns>sufijo?
    jueves, 28 de junio de 2012 15:49
  • Si, puedes añadirlo en una de las estaciones de cada dominio para realizar la prueba en cualquier caso.

    jueves, 28 de junio de 2012 16:11
  • Te paso lo que realize.

    dominioA = w2k8 r2 64 bits
    dominioB = w2k8    64 bits

    1. Reenvio condicional del dominioA al dominioB.
    2. Reenvio condicional al domionioB al dominioA.
    3. Agregar la relacion de confianza en el dominioA al dominioB ( desde  Dominios y confianzas de A.D)
        1.Click derecho, propiedades,confia,nueva confianza.
        2.Nombre NetBios o por DNS, yo puse dominioA.com
        3.Tipo de relacion: Bosque, Bidireccional,transitoria,autentificacion en todo el bosque
    4. Agregar la relacion de confianza en el dominioB al dominioA ( desde  Dominios y confianzas de A.D)
        1.Click derecho, propiedades,confia,nueva confianza.
        2.Nombre NetBios o por DNS, yo puse dominioB.com
       3.Tipo de relacion: Bosque, Bidireccional,transitoria,autentificacion en todo el bosque
    5. Validar la relacion en dominioA, resultado: OK
    6. Validar la relacion en dominioB, resultado: OK
    7. Estando en el DC del dominioA, puedo agregar como administrador usuarios del dominioB. Inicio sesion sin problema.
    8.  Estando en el DC del dominioB, puedo agregar como administrador usuarios del dominioA. Inicio sesion sin problema
      NOTA:  SOLAMENTE PUEDO AGREGAR USUARIOS EN LOS DC e iniciar sesion. en los demas equipos que son w2k8, w2k3 no puedo.
    9.Agrege los sufijos dns en conexion local>ipv4>opciones avanzadas >dns>sufijo de cada servidor, agrege dominioA y dominioB en cada DC.
        y sigue  igual no puedo autotenficar usuarios de un dominio al otro, nada mas puedo hacerlo en los DC.

    Ese es el error que aparece.


    • Editado vcamacho jueves, 28 de junio de 2012 23:27
    jueves, 28 de junio de 2012 22:26
  • En el dominio A debes añadir los sufijos de búsqueda de ambos dominios.

    En el dominio B exactamente lo mismo.

    GRACIAS POR EL APOYO JULIO, QUEDO RESUELTO.  REVISE TODOS LOS PUERTOS DEL DOMINIOB Y ME FALTO 1.

    GRACIAS POR TODO.!!!!!!!!!!!!!!!

    jueves, 5 de julio de 2012 22:08
  • Me alegra saberlo vcamacho.

    Un placer haberte ayudado.

    saludos.

    Julio Rosua

    viernes, 6 de julio de 2012 7:03