none
2008 Nueva relación de confianza no se puede continuar RRS feed

  • Pregunta

  • Hola a todos, me presento con este problema, ya que estoy haciendo mis primeras armas en la administración y he buscado dentro del foro en situaciones similares sin lograr solucion.

    El error aparece al finalizar el asistente para nueva confianza. Paso a comentar el escenario.

    Tengo corriendo en Vmware Workstation 12 dos servidores 2008 R2 de 64bits.

    El servidor 1 con un dominio llamado. mauri.casa
    Ip: 174.128.109.1
    sub: 255.255.255.0
    sin puerta de enlace
    dns primario: 174.128.109.1
    dns secundario: 174.129.109.3

    El servidor 2 con un dominio llamado. puentes.computacion
    Ip: 174.128.109.3
    sub: 255.255.255.0
    sin puerta de enlace
    dns primario: 174.128.109.3
    dns secundario: 174.129.109.1

    Desde ambos dominos puedo hacer ping al otro domino y tengo respuesta. El nslookup me resuelve los nombres en ambos dominos.
    Agregue los reenviadores en cada DNS y me los valido ok.

    Cuando inicio el asistente de nueva confianza los pasos son los siguientes.

    * Confianza bosque
    * Birideccional
    * Ambos dominios
    * Pide usuario del otro dominio (lo agrego y pasa)
    * Autenticación todo el bosque (2 vecces)

    Luego de mostrar el detalle de lo elegido aparece el siguiente mensaje

    "No se puede continuar, error en la operacion. El error es: Esta operacion no se puede realizar en este dominio"

    Aguardo por su ayuda. Gracias.

    jueves, 29 de octubre de 2015 23:46

Respuestas

  • Ponerle al otro DNS como alternativo, no lo hagas, no sólo no va a dar resultados para resolver nombres sino que va a traer otros problemas. El cambio de utilización del DNS Preferido al Alternativo, sucede solamente si el Preferido no responde, y una respuesta negativa, es una respuesta :)

    Personalmente en mi experiencia no conviene crear registros manualmente en el archivo HOSTS para casos como este, ya que ocultan si hay un problema en la resolución de nombres por DNS, que es un requisito para que todo funcione

    El cortafuegos no tiene incidencia normalmente, si no haz cambiado las reglas por omisión. Entiendo que en ambos Dominios, detecta la red como de "Dominio" ¿es así?

    Si el único error que aparece es el "no se puede establecer ..." entonces hay que revisar en los visores de eventos de los Controladores de Dominio con los "FSMO Roles", o los que estén interviniendo por eventos relacionados

    Y ahora me salta una duda ¿lo estás haciendo con los dos Dominios Raíz de cada Bosque?

     

    [Edito] Al crear la relación ¿usas los nombres DNS (dominio.sufijo)? ¿o simplemente "dominio"? hay que usar nombres DNS

     


    Guillermo Delprato
    Buenos Aires, Argentina
    El Blog de los paso a paso

    MVP - MCSE - MCSA2012
    MCITP: Enterprise Administrator / Server Administrator
    MCTS: Active Directory/Network Configuration/Applications Configuration/Server Virtualization/Windows 7 Configuration/Windows 7 & Office 2010 Deployment/Vista Configuration

    Este mensaje se proporciona "como está" sin garantías de ninguna clase. Usted asume todos los riesgos.


    miércoles, 2 de diciembre de 2015 12:15
    Moderador

Todas las respuestas

  • Hola "RiverPergamino" como estas,

    Primero recomiendo saber como funciona el asistente trust domain:

    How Domain and Forest Trusts Work
    https://technet.microsoft.com/en-us/library/cc773178(v=ws.10).aspx

    Para poder darte un buen apoyo necesitamos de algunas preguntas, por ejemplo:

    1 - El sistema operativo tiene el ultimo service pack instalado ?
    2 - Se realizó algun restore anteriormente ?
    3 - Desde que DC de dominio y con que rol haces el trust ?

    Acciones:

    1 - Desde un DC de cada dominio ejecuta "netdom query fsmo".
    2 - Desde cada DC ejeucta "_ldap._tcp.Domain.com".
    3 - Deshabilita tmp firewall y antivirus.
    4 - Desde el DC que ejcutas el asistente, ejecuta event viewer busca solo los errores con el # y el source.
    5 - Verifica que esten todos los servicios ejecutandose.
    6 - Verifica de los dos dominios "Default Domain Controller Policy".

    Dato tecnico:

    Administering Domain and Forest Trusts
    https://technet.microsoft.com/en-us/library/cc816880(v=ws.10).aspx

    Espero sea de ayuda. Saludos.

    viernes, 30 de octubre de 2015 0:57
  • Hola RiverPegamino, lo primero es que no hace falta, y además no deben tener como DNS alternativo al del otro Dominio, alcanza con que tengan configurados Reenviadores, o mejor Reenviadores Condicionales

    Por lo que entiendo son dos Dominios en Bosques diferentes, y quieres hacer una una relación de confianza entre Bosques, en el enlace que pongo abajo está el paso a paso, dale una leída a ver si te está faltando algo

    Relaciones de Confianza (Trusts) – “Forest Trusts” | WindowServer
    https://windowserver.wordpress.com/2014/04/29/relaciones-de-confianza-trusts-forest-trusts/

    Si fuera otro tipo de relación de confianza busca en el mismo blog con "relaciones confianza" que están también detalladas cada una de las cinco posibles clases de relaciones de confianza

     


    Guillermo Delprato
    Buenos Aires, Argentina
    El Blog de los paso a paso

    MVP - MCSE - MCSA2012
    MCITP: Enterprise Administrator / Server Administrator
    MCTS: Active Directory/Network Configuration/Applications Configuration/Server Virtualization/Windows 7 Configuration/Windows 7 & Office 2010 Deployment/Vista Configuration

    Este mensaje se proporciona "como está" sin garantías de ninguna clase. Usted asume todos los riesgos.

    viernes, 30 de octubre de 2015 9:57
    Moderador
  • Revisa que en los registros TIPO NS en tus servidores DNS, si existe alguno invalido, esa puede ser la causa de que falle el asistente.
    sábado, 31 de octubre de 2015 18:15
  • HOla!
    Conseguiste hacerlo? llevo 3 días con el mismo problema. Probando de todo. El nslookup me responde. me responde todo a ping, la IP, el dominio... En el último paso me dice el mismo error"esta operación no se puede ralizar en este dominio". Me estoy volviendo loco! jejejeje.
    Si conseguiste solucionarlo, quizás me pudieras ayudar...
    Muchísimas gracias de antemano!
    Un saludo.
    martes, 1 de diciembre de 2015 16:31
  • Hola Bittor56, para poder ayudarte por favor da más datos

    - ¿Qué tipo de relación de confianza? ¿entre Bosques? ¿entre Dominios?

    - Niveles funcionales de Bosque y Dominio

    - Cómo haz implementado la resolución de nombres entre ambos?

    Y cualquier otro dato que creas puede ayudar a comprender la situación

     


    Guillermo Delprato
    Buenos Aires, Argentina
    El Blog de los paso a paso

    MVP - MCSE - MCSA2012
    MCITP: Enterprise Administrator / Server Administrator
    MCTS: Active Directory/Network Configuration/Applications Configuration/Server Virtualization/Windows 7 Configuration/Windows 7 & Office 2010 Deployment/Vista Configuration

    Este mensaje se proporciona "como está" sin garantías de ninguna clase. Usted asume todos los riesgos.

    martes, 1 de diciembre de 2015 20:11
    Moderador
  • Estimado,

    Bittor56 y RiverPergamino.

    Necesito que hagan una cosa para probar en el archivo host de cada servidor ingresen los servidores AD.En la ruta: C:\Windows\System32\drivers\etc.

    Y escriban lo siguiente, en un servidor escribes el servidor conrtrario.

    174.128.109.3  servidorAD.puentes.computacion

    174.128.109.3  servidorAD

    Luego intente hacer la  relacion de connfianza.

    En espera de sus comentarios.

    Saludos,


    Edwin Duran Ospina Si la respuesta ha Colaborado con tu solución, favor marcarla como correcta.

    martes, 1 de diciembre de 2015 21:13
  • Hola de nuevo

    Primero muchas gracias, Guillermo y Edwin.

    Respecto a las preguntas, comentarte Edwin que he probado metiendo en el hosts como dices los nombres de los DC contratrios y tampoco...

    Guillermo:
    He probado de todo. Relación entre dominios, aunque lo que me interesa sea relación entre bosques. 

    Ambos controladores de dominio tienen como rango 192.168.10.x y están en el mismo swith.

    He creado reenviadores condicionales, por lo que desde el dominio A me responde bien a ping el dominio B y viceversa. Lo mismo el nslookup. Si entro en nslookup desde el dominio A me responden todas las máquinas y me resuelven nombres del dominio B. 

    He probado a poner como dice Edwin los nombres en el host para que resuelvan, he probado a poner como dns secundario la IP del otro controlador, he probado a desactivar el firewall, 

    Y haga lo que haga, me devuelve el error que os ocmento...

    Decir que ambos dominios son Windows Server 2012 con nivel funcional 2012. 

    Muchas gracias!


    miércoles, 2 de diciembre de 2015 10:16
  • Ponerle al otro DNS como alternativo, no lo hagas, no sólo no va a dar resultados para resolver nombres sino que va a traer otros problemas. El cambio de utilización del DNS Preferido al Alternativo, sucede solamente si el Preferido no responde, y una respuesta negativa, es una respuesta :)

    Personalmente en mi experiencia no conviene crear registros manualmente en el archivo HOSTS para casos como este, ya que ocultan si hay un problema en la resolución de nombres por DNS, que es un requisito para que todo funcione

    El cortafuegos no tiene incidencia normalmente, si no haz cambiado las reglas por omisión. Entiendo que en ambos Dominios, detecta la red como de "Dominio" ¿es así?

    Si el único error que aparece es el "no se puede establecer ..." entonces hay que revisar en los visores de eventos de los Controladores de Dominio con los "FSMO Roles", o los que estén interviniendo por eventos relacionados

    Y ahora me salta una duda ¿lo estás haciendo con los dos Dominios Raíz de cada Bosque?

     

    [Edito] Al crear la relación ¿usas los nombres DNS (dominio.sufijo)? ¿o simplemente "dominio"? hay que usar nombres DNS

     


    Guillermo Delprato
    Buenos Aires, Argentina
    El Blog de los paso a paso

    MVP - MCSE - MCSA2012
    MCITP: Enterprise Administrator / Server Administrator
    MCTS: Active Directory/Network Configuration/Applications Configuration/Server Virtualization/Windows 7 Configuration/Windows 7 & Office 2010 Deployment/Vista Configuration

    Este mensaje se proporciona "como está" sin garantías de ninguna clase. Usted asume todos los riesgos.


    miércoles, 2 de diciembre de 2015 12:15
    Moderador
  • Estimado,

    Nos puede colaborar con algun error que se presente en el Event Viewer

    Saludos,


    Edwin Duran Ospina Si la respuesta ha Colaborado con tu solución, favor marcarla como correcta.

    miércoles, 2 de diciembre de 2015 12:51
  • nada loco, ome. A ver
    lunes, 6 de enero de 2020 22:08