Confianza entre dominios I

17/12/2003 - 18:11 por iDeafix | Informe spam
Veamos. Resumo rápido:

Ahora mismo tengo dos dominios con confianza entre ellos. En principio son
bosques diferentes.

Me gustaría crear una cuenta que pertenezca al grupo de administradores de
los dos dominios.

Pero me dice que "no tiene permisos para modificar el grupo
DOMINIO1.LOCAL/Builtin/Administradores


Por otro lado, no comprendo porqué no puedo hacer un ping desde el dominio1
a una máquina del dominio2, si ambos son servidores DNS y tienen
reenviadores al otro.

Preguntas similare

Leer las respuestas

#1 Javier Inglés [MS MVP]
17/12/2003 - 20:17 | Informe spam
Para modificar la membresía del grupo de administradores te debes validar con una cuenta de administrador de ese dominio previamente.

Como supongo que no tienes puesto un orden de búsqueda de sufijos DNS en las propiedades de IP, si tú haces:

ping equipo2
(entendiendo que el ping lo haces desde un equipo del dominio1.local al equipo2 que es de dominio2.local).

La query DNS hace lo sigueinte:

1.-Equipo1 revisa su caché DNS
2.-Revisa su archivo HOSTS
3.-Pregunta al server por "equipo2"

El servidor DNS hace lo sigueinte:

1.-Mira su caché DNS
2.-Mira en las zonas en la que es autoritativo (es decir, va a buscar en dominio1.local)

Respuesta: no se encuentra equipo...normal...equipo2 no existe en el dominio del DNS Server...y como no le pasas el sufijo DNS para saber en qué otro dominio puede buscar entonces no hace el forwarder.

Para evitar ésto tienes 2 opciones:

hacer un ping equipo2.dominio2.local

o en las propiedades de TCP/IP del cliente, en la pestaña DNS poner un orden de búsqueda de sufijos DNS, de éste modo, él sóloincluirá ese sufijo en las búsquedas.

Por ejemplo pones:
dominio1.local
dominio2.local

De éste modo al hacer "ping equipo2", repetirá prácticamente el proceso anterior, pero al preguntar al server hará un "búscame equipo2.DOMINIO2.LOCAL"...con l oque el server dirá...yo no llevo dominio2.local, pero sé qué DNS me lo puede resolver...y es entonces cuando hace el forwarder

Salu2!!



Javier Inglés
MS-MVP

:
<<<QUITAR "NOSPAM" PARA MANDAR MAIL>>>

Este mensaje se proporciona "como está" sin garantías de ninguna clase, y no otorga ningún derecho


"iDeafix" escribió en el mensaje news:brq2fc$6bd45$
Veamos. Resumo rápido:

Ahora mismo tengo dos dominios con confianza entre ellos. En principio son
bosques diferentes.

Me gustaría crear una cuenta que pertenezca al grupo de administradores de
los dos dominios.

Pero me dice que "no tiene permisos para modificar el grupo
DOMINIO1.LOCAL/Builtin/Administradores


Por otro lado, no comprendo porqué no puedo hacer un ping desde el dominio1
a una máquina del dominio2, si ambos son servidores DNS y tienen
reenviadores al otro.


Respuesta Responder a este mensaje
#2 iDeafix
18/12/2003 - 09:53 | Informe spam
Como siempre, gracias por tu inestimable ayuda, Javier. Ya me funciona casi
todo.

saludos

PD: En serio, que tu y algunos otros teneis pagadas unas cervecitas en
cuanto paseis por Valencia.


"Javier Inglés [MS MVP]" escribió en el
mensaje news:#
Para modificar la membresía del grupo de administradores te debes validar
con una cuenta de administrador de ese dominio previamente.

Como supongo que no tienes puesto un orden de búsqueda de sufijos DNS en las
propiedades de IP, si tú haces:

ping equipo2
(entendiendo que el ping lo haces desde un equipo del dominio1.local al
equipo2 que es de dominio2.local).

La query DNS hace lo sigueinte:

1.-Equipo1 revisa su caché DNS
2.-Revisa su archivo HOSTS
3.-Pregunta al server por "equipo2"

El servidor DNS hace lo sigueinte:

1.-Mira su caché DNS
2.-Mira en las zonas en la que es autoritativo (es decir, va a buscar en
dominio1.local)

Respuesta: no se encuentra equipo...normal...equipo2 no existe en el dominio
del DNS Server...y como no le pasas el sufijo DNS para saber en qué otro
dominio puede buscar entonces no hace el forwarder.

Para evitar ésto tienes 2 opciones:

hacer un ping equipo2.dominio2.local

o en las propiedades de TCP/IP del cliente, en la pestaña DNS poner un orden
de búsqueda de sufijos DNS, de éste modo, él sóloincluirá ese sufijo en las
búsquedas.

Por ejemplo pones:
dominio1.local
dominio2.local

De éste modo al hacer "ping equipo2", repetirá prácticamente el proceso
anterior, pero al preguntar al server hará un "búscame
equipo2.DOMINIO2.LOCAL"...con l oque el server dirá...yo no llevo
dominio2.local, pero sé qué DNS me lo puede resolver...y es entonces cuando
hace el forwarder

Salu2!!



Javier Inglés
MS-MVP

:
<<<QUITAR "NOSPAM" PARA MANDAR MAIL>>>

Este mensaje se proporciona "como está" sin garantías de ninguna clase, y no
otorga ningún derecho


"iDeafix" escribió en el mensaje
news:brq2fc$6bd45$
Veamos. Resumo rápido:

Ahora mismo tengo dos dominios con confianza entre ellos. En principio son
bosques diferentes.

Me gustaría crear una cuenta que pertenezca al grupo de administradores de
los dos dominios.

Pero me dice que "no tiene permisos para modificar el grupo
DOMINIO1.LOCAL/Builtin/Administradores


Por otro lado, no comprendo porqué no puedo hacer un ping desde el


dominio1
a una máquina del dominio2, si ambos son servidores DNS y tienen
reenviadores al otro.


Respuesta Responder a este mensaje
#3 iDeafix
18/12/2003 - 10:03 | Informe spam
sólo una cosa más, aunque ya por curiosidad

Ayer, en el DOMINIO2 a la MAQUINA-X le puse SERVER2 como segundo servidor
dns (la primera era de un ISP (*) y no quise tocarla).
Pues bien, a pesar que existen otras máquinas en el DOMINIO2, es MAQUINA-X
la única que acepta un ping desde DOMINIO1. Es coherente ¿no? ¿Es necesario
que las maquinas del DOMINIO2, además de pertener al dominio, tengan este
dns especificado?

(*) Me imagino que la situación normal sería (la que tantas veces se ha
dicho) que SERVER2 tenga un reenviador al ISP y que el servidor DNS de las
máquinas sea SERVER2 ¿estoy equivocado?

saludos





"Javier Inglés [MS MVP]" escribió en el
mensaje news:#
Para modificar la membresía del grupo de administradores te debes validar
con una cuenta de administrador de ese dominio previamente.

Como supongo que no tienes puesto un orden de búsqueda de sufijos DNS en las
propiedades de IP, si tú haces:

ping equipo2
(entendiendo que el ping lo haces desde un equipo del dominio1.local al
equipo2 que es de dominio2.local).

La query DNS hace lo sigueinte:

1.-Equipo1 revisa su caché DNS
2.-Revisa su archivo HOSTS
3.-Pregunta al server por "equipo2"

El servidor DNS hace lo sigueinte:

1.-Mira su caché DNS
2.-Mira en las zonas en la que es autoritativo (es decir, va a buscar en
dominio1.local)

Respuesta: no se encuentra equipo...normal...equipo2 no existe en el dominio
del DNS Server...y como no le pasas el sufijo DNS para saber en qué otro
dominio puede buscar entonces no hace el forwarder.

Para evitar ésto tienes 2 opciones:

hacer un ping equipo2.dominio2.local

o en las propiedades de TCP/IP del cliente, en la pestaña DNS poner un orden
de búsqueda de sufijos DNS, de éste modo, él sóloincluirá ese sufijo en las
búsquedas.

Por ejemplo pones:
dominio1.local
dominio2.local

De éste modo al hacer "ping equipo2", repetirá prácticamente el proceso
anterior, pero al preguntar al server hará un "búscame
equipo2.DOMINIO2.LOCAL"...con l oque el server dirá...yo no llevo
dominio2.local, pero sé qué DNS me lo puede resolver...y es entonces cuando
hace el forwarder

Salu2!!



Javier Inglés
MS-MVP

:
<<<QUITAR "NOSPAM" PARA MANDAR MAIL>>>

Este mensaje se proporciona "como está" sin garantías de ninguna clase, y no
otorga ningún derecho


"iDeafix" escribió en el mensaje
news:brq2fc$6bd45$
Veamos. Resumo rápido:

Ahora mismo tengo dos dominios con confianza entre ellos. En principio son
bosques diferentes.

Me gustaría crear una cuenta que pertenezca al grupo de administradores de
los dos dominios.

Pero me dice que "no tiene permisos para modificar el grupo
DOMINIO1.LOCAL/Builtin/Administradores


Por otro lado, no comprendo porqué no puedo hacer un ping desde el


dominio1
a una máquina del dominio2, si ambos son servidores DNS y tienen
reenviadores al otro.


Respuesta Responder a este mensaje
#4 Javier Inglés [MS MVP]
18/12/2003 - 13:23 | Informe spam
Como bien apuntas, el único DNS de un DC y de una estación
del dominio debe ser el DNS de ese dominio, no el de un
ISP.

Cuando un cliente intenta localizar cualquier recurso en
el AD (por ejemplo, un servidor de inicio de sesión, un
servidor para hacer consultas LDAP, un GC, etc..) irá a
preguntar a su DNS...evidentemente el DNS del ISP no tiene
ni pajorera idea de qué se le está preguntando...eso sólo
lo podrás resolver el DNS de tu red que para eso está :-))

Lo que comentas, el ping cómo lo hiciste...a nombre sólo o
a nombre+sufijoDNS??

Si fue a nombre...cómo te respondió...con el nombre entero
con sufijo DNS o sólo con nombre???

Salu2!!
Javier Inglés
MS MVP


sólo una cosa más, aunque ya por curiosidad

Ayer, en el DOMINIO2 a la MAQUINA-X le puse SERVER2 como


segundo servidor
dns (la primera era de un ISP (*) y no quise tocarla).
Pues bien, a pesar que existen otras máquinas en el


DOMINIO2, es MAQUINA-X
la única que acepta un ping desde DOMINIO1. Es coherente


¿no? ¿Es necesario
que las maquinas del DOMINIO2, además de pertener al


dominio, tengan este
dns especificado?

(*) Me imagino que la situación normal sería (la que


tantas veces se ha
dicho) que SERVER2 tenga un reenviador al ISP y que el


servidor DNS de las
máquinas sea SERVER2 ¿estoy equivocado?

saludos





"Javier Inglés [MS MVP]"


escribió en el
mensaje news:#
Para modificar la membresía del grupo de administradores


te debes validar
con una cuenta de administrador de ese dominio


previamente.

Como supongo que no tienes puesto un orden de búsqueda de


sufijos DNS en las
propiedades de IP, si tú haces:

ping equipo2
(entendiendo que el ping lo haces desde un equipo del


dominio1.local al
equipo2 que es de dominio2.local).

La query DNS hace lo sigueinte:

1.-Equipo1 revisa su caché DNS
2.-Revisa su archivo HOSTS
3.-Pregunta al server por "equipo2"

El servidor DNS hace lo sigueinte:

1.-Mira su caché DNS
2.-Mira en las zonas en la que es autoritativo (es decir,


va a buscar en
dominio1.local)

Respuesta: no se encuentra equipo...normal...equipo2 no


existe en el dominio
del DNS Server...y como no le pasas el sufijo DNS para


saber en qué otro
dominio puede buscar entonces no hace el forwarder.

Para evitar ésto tienes 2 opciones:

hacer un ping equipo2.dominio2.local

o en las propiedades de TCP/IP del cliente, en la pestaña


DNS poner un orden
de búsqueda de sufijos DNS, de éste modo, él sóloincluirá


ese sufijo en las
búsquedas.

Por ejemplo pones:
dominio1.local
dominio2.local

De éste modo al hacer "ping equipo2", repetirá


prácticamente el proceso
anterior, pero al preguntar al server hará un "búscame
equipo2.DOMINIO2.LOCAL"...con l oque el server dirá...yo


no llevo
dominio2.local, pero sé qué DNS me lo puede resolver...y


es entonces cuando
hace el forwarder

Salu2!!



Javier Inglés
MS-MVP

:
<<<QUITAR "NOSPAM" PARA MANDAR MAIL>>>

Este mensaje se proporciona "como está" sin garantías de


ninguna clase, y no
otorga ningún derecho


"iDeafix" escribió en el mensaje
news:brq2fc$6bd45$
Veamos. Resumo rápido:

Ahora mismo tengo dos dominios con confianza entre




ellos. En principio son
bosques diferentes.

Me gustaría crear una cuenta que pertenezca al grupo de




administradores de
los dos dominios.

Pero me dice que "no tiene permisos para modificar el




grupo
DOMINIO1.LOCAL/Builtin/Administradores


Por otro lado, no comprendo porqué no puedo hacer un




ping desde el
dominio1
a una máquina del dominio2, si ambos son servidores DNS




y tienen
reenviadores al otro.






.

email Siga el debate Respuesta Responder a este mensaje
Ads by Google
Help Hacer una preguntaRespuesta Tengo una respuesta
Search Busqueda sugerida