locked
relação de confiança entre dois domínio distintos RRS feed

  • Pergunta

  • Srs boa noite!

    Por favor como faço p/ criar uma relação de confiança, para que dois domínios independentes possam se comunicar?

    estão em redes separadas porem tem comunicação.

    atenciosamente

    terça-feira, 16 de setembro de 2008 21:16

Respostas

Todas as Respostas

  • Você deseja criar a relação para conseguir dar acesso

    aos usuários em ambos os dominios ou você quer ir mais além e carregar perfis móveis

    e também aplicação de ditretivas remotamente.

     

    abs,

     

    terça-feira, 16 de setembro de 2008 21:23
  • a principio dar o acesso aos usuários em ambos os dominios, mas acredito logo vou ter esta necessidade.

    atenciosamente

     

    quarta-feira, 17 de setembro de 2008 15:49
  • Ok..

    como você falou que há comunicação entre os dominios

    o próximo passo seria a configuração dos servidores DNS's para que um aponte para o outro

    você pode realizar esta configuração criando zonas secundárias ou configurando encaminhadores..

    para simplificar o processo a configuração de encaminhadores é mais rápido..

    você pode utilizar este post como exemplo:

    http://forums.microsoft.com/TechNet-BR/ShowPost.aspx?PostID=3825016&SiteID=29

     

    Agora você criará a relação de confiança

    abra o console (domain.msc) Active Directory Domains and Trusts

    propriedade do dominio , guia Trust, nova relação, avança, informa o nome do outro dominio (dominio.xxx),

    e segue o passo-a-passo, no seu caso uma relação bi-direcional http://technet2.microsoft.com/windowsserver/pt-br/library/1fa50f2f-52b2-4985-84aa-4fb95486828c1046.mspx?mfr=true, next , next , finish..

     

    Futuramente , quando você quiser puxar perfis móveis e aplicação de diretivas

    segue este post:

    http://forums.microsoft.com/TechNet-BR/ShowPost.aspx?PostID=3741287&SiteID=29

     

    abs,

     

     

     

     

     

    quarta-feira, 17 de setembro de 2008 16:23
  • A Explicação ajudou ?

     

    abs,

     

     

    sábado, 20 de setembro de 2008 17:25
  • ajudou muito obrigado!

     

    terça-feira, 23 de setembro de 2008 21:22
  •  

    Felipe ajudou sim, bom dia!

    Só não tive tempo de implementar, estou retornando o processo e tenhoa umas duvidas.

    A comunicação que mencionei entre os dominio é fisica de rede.

    Ou seja de uma rede onde existe um dominio eu comunico com a outra que tem outro dominio na rede.

    Por favor me esclarece umas dúvidas:

    Os dns eu devo apontar como? pois cada dominio tem seu dns. 

    Atenciosamente

     

    terça-feira, 9 de dezembro de 2008 13:19
  • Vinicius..

     

    O interessante é ter encaminhamento condicional no seu servidor DNS.

    Sendo assim quando existir uma consulta ao dominio Y partindo do X ele encaminha essa solicitação ao DNS repsonsavel e vice versa...

     

    E as demais consultas são executadas normalmente.

     

     

    Espero ter ajudado.

     

    Se util nao esuqeça de classificar

     

    abraços

     

    terça-feira, 9 de dezembro de 2008 15:02
  • Exatamente como o Luiz citou

     

     Felipe Rocha wrote:

     

    o próximo passo seria a configuração dos servidores DNS's para que um aponte para o outro

    você pode realizar esta configuração criando zonas secundárias ou configurando encaminhadores..

    para simplificar o processo a configuração de encaminhadores é mais rápido..

    você pode utilizar este post como exemplo:

    http://forums.microsoft.com/TechNet-BR/ShowPost.aspx?PostID=3825016&SiteID=29

     

     

    abs,

     

    terça-feira, 9 de dezembro de 2008 17:03
  •  

    Boa tarde,

     

    Estou tendo problema parecido, porém acho que alguma coisa não foi feita antes.

     

    Peguei um local onde só tinha um servidor Win2k3 com AD+Sharepoint. Montamos mais 2 servidores, um com ISA Server 2004 e outro instalamos o Sharepoint 3.0 e este também servirá aplicativos.

     

    A questão é a relação de confiança entre eles. No ISA, sempre que tento implementar uma regra para usuários autenticados, dá erro de Chamada de procedimento remoto. Vou tentar configurar novamente os encaminhadores e ver no que dá.

     

    Detalhe: Também não estou conseguindo incluir o servidor do ISA no domínio. Chego a colocar meu login e senha (Admin. do Domínio), porém ele retorna erro informando que o nome do usuário já existe(!). Seria o caso de formatar o servidor do AD?

     

    Outra coisa esquisita que andou ocorrendo, o mmc.exe não está abrindo os .msc corretamente e ainda não descobri o motivo.

     

    Abraço

    terça-feira, 9 de dezembro de 2008 19:59
  • Olá,

    Verifique no Ad se a conta de computador já existe...

    Se existir exclua a conta de computador e tente colocar no dominio novamente.

    Até mais,

    Jesiel
    terça-feira, 9 de dezembro de 2008 20:06
  • Feito, porém sem efeito. 

    Continua dizendo que o nome do usuário já existe. Acho que precisarei formatar, reinstalar, configurar corretamente do zero...
    quarta-feira, 10 de dezembro de 2008 10:44
  • Fabiano,

    É um servidor que não irá impactar em nada sua rede se você formatar???? Porque formatar seria a última solução..

    Verifique o eventviewer do DC se gera algum log quando dá essa mensagem para você.

    Até mais,

    Jesiel
    quarta-feira, 10 de dezembro de 2008 10:54
  • Srs bom dia!

    Por favor se na for pedir muito, quais são as premissas e os procedimentos, para que eu possa fazer dois dominios distintos se comunicar?

    O que é preciso fazer nos ads? O esquema do dns vem antes vem depois de alguma ação no ad?

    quem puder ajudar por favor post.

    To meio perdido.

    Atenciosamente

    quarta-feira, 10 de dezembro de 2008 12:00
  • Vinicius...

    O primeiro procedimento, como dito anteriormente é o DNS... eles terão que conversarem (os dois dominios)

    Se os dois servidores, for 2003, você pode configurar o Conditional Forwarders.

    Aí sim no AD você cria a relação de confiança.

    Até mais,

    Jesiel
    quarta-feira, 10 de dezembro de 2008 12:21
  • Obrigado pela ajuda, agora como faço para criar a relação de confiança?

    Atenciosamente.

     

    quarta-feira, 10 de dezembro de 2008 12:53
  • No Domain and Trust você clica nas propriedades, guia Trust clica em new trust e segue o wizard.

    No wizard tem as opções: bi direcional, inter forest.. é auto explicativo.

    Até mais,

    Jesiel
    quarta-feira, 10 de dezembro de 2008 13:05
  •  Felipe Rocha wrote:

    Ok..

    como você falou que há comunicação entre os dominios

    o próximo passo seria a configuração dos servidores DNS's para que um aponte para o outro

    você pode realizar esta configuração criando zonas secundárias ou configurando encaminhadores..

    para simplificar o processo a configuração de encaminhadores é mais rápido..

    você pode utilizar este post como exemplo:

    http://forums.microsoft.com/TechNet-BR/ShowPost.aspx?PostID=3825016&SiteID=29

     

    Agora você criará a relação de confiança

    abra o console (domain.msc) Active Directory Domains and Trusts

    propriedade do dominio , guia Trust, nova relação, avança, informa o nome do outro dominio (dominio.xxx),

    e segue o passo-a-passo, no seu caso uma relação bi-direcional http://technet2.microsoft.com/windowsserver/pt-br/library/1fa50f2f-52b2-4985-84aa-4fb95486828c1046.mspx?mfr=true, next , next , finish..

     

    Futuramente , quando você quiser puxar perfis móveis e aplicação de diretivas

    segue este post:

    http://forums.microsoft.com/TechNet-BR/ShowPost.aspx?PostID=3741287&SiteID=29

     

    abs,

     

     

     

     

     

    quarta-feira, 10 de dezembro de 2008 14:08
  • Olá Jesiel, obrigado pela atenção.

    O servidor é o principal da instituição, porém as férias estão chegando é aí que nós mais trabalhamos, aproveitando que está todo mundo de férias (menos o suporte).

    Vou verificar direitinho o DNS, pelo que vi, não está configurado corretamente.

    No DC o DNS é primário e não tem encaminhador. No ISA, já tinha configurado o DNS e apontado pro DC. O DNS do ISA tem que ser secundário, certo?

    No DC, só crio um encaminhador apontado pro ISA ou tenho que configurar a zona secundária nele também?

    Até mais,

    quarta-feira, 10 de dezembro de 2008 16:44
  • Olá Fabiano,

    Vamos lá... Confirme se estou correto:

    Sua estrutura é UM DC, e UM ISA (que você quer deixá-lo como dc secundário). correto??

    Os dois servidores estão em uma mesma rede, ou seja, não tem DMZ separando o ISA do AD, nem estão em dominios diferentes. correto???

    Ok. Se for essa a estrutura, vamos às configurações:

    No DC primário... verifique o dns se está correto (se estiver com algum erro, execute o dcdiag e o netdiag para checar erros)

    No DC secundário (ISA server) crie uma regra que permita local conversar com o AD e o AD conversar com local.
    Instale o DNS nesse servidor e veja se está replicando todas as zonas.
    Se estiver tudo replicando certinho... coloque o IP do dns primário como sendo ele mesmo e o secundário o IP do DC primário.
    Agora instale o AD, seguindo o wizard.

    Verifique se as pastas sysvol e netlogon foram replicadas.

    Se você quiser deixar esse servidor assumir as requisições dos clientes coloque ele como global catalog.

    Espero ter ajudado.

    Até mais,

    Jesiel

    Obs.: Se útil, classifique
    quarta-feira, 10 de dezembro de 2008 17:37
  • Não, não, sem DC secundário. O ISA é só ele e DNS mesmo. Tudo na mesma rede, mesmo  domínio* e sem DMZ.

     

    Não sei por que, mas ISA ainda não entra no domínio.

     

    Vou tentar colocar ele no domínio de novo, qualquer novidade eu posto aqui.

     

    Detalhe, a pasta netlogon não existe (ou não estou vendo), no DC.

     

    Tks

     

     

     

    quarta-feira, 10 de dezembro de 2008 20:32
  • Fabiano,

     

    É um ISA que você quer deixar como member server e ele não entra no domínio??? Verifique no ISA se não está bloqueando alguma porta quando você tenta entrar no dominio.

     

    Você deletou a conta de computador correto? Verifique se não tem sujeira (wins x dns)

     

    Até mais,

     

    Jesiel

    quinta-feira, 11 de dezembro de 2008 01:56
  • Exato, o ISA tem que entrar como mais um server no domínio, que é controlado pelo DC-01.

    O ISA estava no domínio antes, porém eu não conseguia implementar regras para usuários autenticados, dava (continua dando) erro de chamada de procedimento remoto.

    Bom, como o ISA saiu num sei como do domínio, fui lá no DC-01 e apaguei a conta dele lá. Era a única "xxxxxxx-isa" que tinha lá. Já confirmei, apaguei a certa mesmo.

    O que eu não to entendendo, é por que ele informa: "o nome de usuário já existe". Ele considera o computador como usuário também?

    Também não consigo instalar um AD secundário no servidor do ISA, dá o mesmo erro de chamada de procedimento remoto. Porém se eu tentar instalar um AD adicional, sem ser secundário, tipo, criando um novo domínio, acho que dará certo. Só não sei se é boa prática fazer isso.

    Abraço
    quinta-feira, 11 de dezembro de 2008 02:18
  • Então.. esse erro é relacionado à conta de computador.. porque quando você adiciona a maquina no dominio ele cria uma conta no AD.

    Faz o seguinte: (não sei se você pode) renomeie o nome da maquina antes de tentar colocar no dominio e tenta colocar no dominio pra ver se vai.

    No ISA você tem a regra Allow do ISA para o servidor AD e do AD para o ISA ?? Tem que ter essa regra. (coloque todos os protocolos, depois se você quiser, você monitora e cria uma nova só com os protocolos que precisa)

    Até mais,

    Jesiel
    quinta-feira, 11 de dezembro de 2008 10:22
  • As regras no ISA estão todas OK.


    Então, parti pra renomear a máquina do ISA e o mais engraçado de tudo, o DC-01 não permitiu renomear, porém no conteúdo do erro ele dizia que o DC iria colocar ela no domínio com o nome original! vai entender... Smile

    Bom, brigadão pela força Jesiel e todos, a bronca continua pra criar a relação de confiança entre os dois. Vou revisar direitinho os primeiros posts e ver no que dá.

    Abraço
    quinta-feira, 11 de dezembro de 2008 18:48
  • Fabiano,

    Então deu certo??? Entrou no dominio???

    Quanto à relação de confiança, é entre o ISA e o DC??

    Se for não tem relação, pois eles estão no mesmo dominio e na mesma rede.

    Até mais,

    Jesiel
    quinta-feira, 11 de dezembro de 2008 18:58
  • Sim, deu certinho. O estranho é que quando tentei colocar o ISA (renomeado) no domínio, o DC informou que não poderia colocar a mesma máquina com nome diferente no domínio e por conta disso, iria colocá-la no domínio com o nome original.

    Ou seja, saiu melhor que a encomenda! Mais uma vez, muito obrigado! 

    Então, não precisa criar relação de confiança entre o ISA e o DC? 

    Abração
    sexta-feira, 12 de dezembro de 2008 01:00
  • Olá Fabiano,

    Não... Relaçao de confiança é somente entre domain controllers....

    Exemplo:
    Um dominio filho automaticamente tem uma relação de confiança com dominio Pai.(intraforest)
    Você tem um dominio chamado fabiano.local e outro dominio (em outra floresta) chamado lucena.msft e você quer conectar os dois. aí você precisa de relação de confiança entre os dois domain controllers (interforest)

    Ficou claro???

    Até mais,

    Jesiel
    sexta-feira, 12 de dezembro de 2008 10:50
  • obrigado pela ajuda de todos

     

    quinta-feira, 29 de janeiro de 2009 20:44