none
Mover un dominio a otro bosque RRS feed

  • Pregunta

  • buenos dias, me encuentro con el siguiente escenario: un dominio1.local y un dominio2.local, cada uno perteneciente a un bosque diferente con su correspondiente GC y dos DC en cada dominio. El problema con que me encuentro ahora mismo es que tengo configurada una relacion de confianza bidireccional entre ambos dominios pero en ocasiones algunos inicios de sesion me fallan. Pra resolverlo accedo a la relacción de confianza, la valido, y vuelve a funcionar inmediatamente. Pero se esta volviendo bastante repetitivo.

    Lo primero que me gustaría saber es como puedo diagnosticar y resolver este problema. Y por otro lado me gustaría saber si es posible crear un nuevo dominio3.local y migrar los dos dominios anteriores a este nuevo dominio para que pertenezcan al mismo bosque y compartan GC. He estado consultado la guia de ADMT pero no me queda claro si esta es la herramienta adecuada para hacer esto

    Y tambien me gustaria saber que consecuencias podria traer esta modificacion. Es decir, que ventajas e inconvenientes tiene la existencia de dos dominios en el mismo bosque frente a tener cada dominio en bosques separados y su correspondiente relacion de confianza bidireccional.

    Gracias de antemano y saludos.



    Sergio Teijido

    jueves, 12 de noviembre de 2015 10:33

Respuestas

Todas las respuestas

  • Hola Sergio, sólo tú puedes saber cuál es la mejor opción, ya que hay varias posibles, de acuerdo a tu conocimiento de cómo funciona y se utiliza la red

    Como regla general, y salvo casos muy particulares, lo recomendable es tener un único Dominio. Como ventajas y para nombrar algunas, más controlable, más fácilmente administrable, más seguro, y sobre todo más económico

    Por otro lado, si tienes problemas con la relación de confianza ya hecha, esto puede deberse a varias causas, pero en primera instancia puede estar relacionado a falta de conectividad aunque sea transitoria, ya que hay contraseñas que se cambian periódicamente

    Y si como tienes la idea de consolidar ambos Dominios, creo que sería mucho más fácil que en lugar de crear un tercero, trataras de migrar "el más chico" al "más grande", o quizás más que por tamaño por criticidad de funcionamiento

    Para la migración de cuentas entre Dominios es justamente que se utiliza el ADMT, aunque antes de usarlo te recomiendo leas la documentación, y hagas pruebas en un ambiente de laboratorio antes de hacerlo en ambiente productivo

     


    Guillermo Delprato
    Buenos Aires, Argentina
    El Blog de los paso a paso

    MVP - MCSE - MCSA2012
    MCITP: Enterprise Administrator / Server Administrator
    MCTS: Active Directory/Network Configuration/Applications Configuration/Server Virtualization/Windows 7 Configuration/Windows 7 & Office 2010 Deployment/Vista Configuration

    Este mensaje se proporciona "como está" sin garantías de ninguna clase. Usted asume todos los riesgos.

    jueves, 12 de noviembre de 2015 11:13
    Moderador
  • Por otro lado, si tienes problemas con la relación de confianza ya hecha, esto puede deberse a varias causas, pero en primera instancia puede estar relacionado a falta de conectividad aunque sea transitoria, ya que hay contraseñas que se cambian periódicamente

    El usuario con el que se creo la relación del confianza es el administrador de dominio, el cual esta configurado para que la contraseña no caduque nunca. Por otro lado, los controladores de dominio son maquinas virtuales ubicadas en el mismo host, por lo que problemas fisicos de conectividad creo que es imposible que los sufran. No se si te refieres a estas cuestiones cuando comentas que puede ser un problema de conectitividad.



    Sergio Teijido

    jueves, 12 de noviembre de 2015 12:17
  • Hola "Sergio Teijido" como estas,

    1 - Como sabes que es un problema de trust domain ? haz aplicado alguna nota o tool (tanto para la configuración y el troubleshoot)
    2 - Verifica la configuración de red de cada DC de los dos dominios.
    3 - Ejecuta dcdiag en todos los DC.
    4 - Siendo DC fisicos o VM actualiza el driver de red de los mismos.
    5 - Promueve tmp un DC nuevo en cada dominio y vuelve realizar el trust domain desde estos.
    6 - Desde el DC e cada dominio ve a event viewer y postea solo los errores con # y source.

    Recomiendo comprender y ver un poco:

    How Domain and Forest Trusts Work
    https://technet.microsoft.com/en-us/library/cc773178(v=ws.10).aspx

    Aplica:

    Network Connectivity
    https://technet.microsoft.com/en-us/library/cc961803.aspx

    Trust Relationship between Workstation and Primary Domain failed
    http://social.technet.microsoft.com/wiki/contents/articles/9157.troubleshooting-ad-trust-relationship-between-workstation-and-primary-domain-failed.aspx

    "The trust relationship between this workstation and the primary domain failed" error when you log on to a computer that is running Windows 7
    https://support.microsoft.com/en-us/kb/2771040
    https://support.microsoft.com/en-us/kb/2914474

    Espero sea de ayuda. Saludos.

    • Propuesto como respuesta Moderador M viernes, 13 de noviembre de 2015 16:44
    • Marcado como respuesta Moderador M jueves, 19 de noviembre de 2015 18:38
    jueves, 12 de noviembre de 2015 12:44
  • Para crear la relación de confianza, en realidad se usaron los dos administradores :) uno de cada Dominio

    La contraseña de la cuenta entre los Dominios no tiene relación con la cuenta de administrador, así que por ese lado no es el problema

    La falta de conectividad puede tener muchas causas, aunque por lo que dices es difícil, pero por ejemplo, un DC apagado ya la genera :)

    Lo que quedaría por revisar en cuanto a la relación de confianza que se interrumpe son dos cosas:

    - Por una parte yo revisaría la resolución de nombres entre ambos Dominios ¿zonas secundarias? ¿reenviadores condicionales' ¿o stub zones?

    - Cuando se produce el problema revisar en el visor de eventos de cada DC a ver si se encuentran eventos relacionados justo antes del problema, o inclusive cuál es el error que da en el momento

     


    Guillermo Delprato
    Buenos Aires, Argentina
    El Blog de los paso a paso

    MVP - MCSE - MCSA2012
    MCITP: Enterprise Administrator / Server Administrator
    MCTS: Active Directory/Network Configuration/Applications Configuration/Server Virtualization/Windows 7 Configuration/Windows 7 & Office 2010 Deployment/Vista Configuration

    Este mensaje se proporciona "como está" sin garantías de ninguna clase. Usted asume todos los riesgos.

    • Propuesto como respuesta Moderador M viernes, 13 de noviembre de 2015 16:45
    • Marcado como respuesta Moderador M jueves, 19 de noviembre de 2015 18:38
    jueves, 12 de noviembre de 2015 13:02
    Moderador
  • Estimado,

    lo primero que debe de hacer es verificar Firewall:

    Cómo configurar un firewall para dominios y confianzas

    De igual manera verifica la relacion de confianza con el siguiente comando:

    nltest / domain_trusts

    Comprobar relaciones de confianza

    Comprobar relaciones de confianza V2

    Comprobar relaciones de confianza V3

    Problemas en la relacion de confianza entre reenviadores y zonas secundarias

    Para solucionar problemas de relacion de confianza

    De igual manera, si quieres algo mas grafico, puedes ir a este link

    Y descargar las herramientas. Una de ellas es trustViewer.

    Saludos,


    Edwin Duran Ospina Si la respuesta ha Colaborado con tu solución, favor marcarla como correcta.

    • Marcado como respuesta Moderador M jueves, 19 de noviembre de 2015 18:38
    jueves, 12 de noviembre de 2015 20:13