DNS y dominio de confianza

15/07/2007 - 15:46 por Ricardo | Informe spam
Buenos Dias, necesito que me orienten en dos temas. El primero DNS
secundario. Yo tenia un arbol con 2003 y otro con win2000. Pero necesitaba
resolucion de nombres de las PC que estan el el dominio 2000, para solucionar
eso cree en win2003 una zona secundaria que apuntaba al dns del win2000 y
funciono perfectamente. Bien ahora migre el server con win2000 a 2003 y no
puedo realizar la misma operacion.

Y segundo necestio que los usuario de un dominio 2003 puedan tener
privilegios en otro dominio. Para ello quiero armar un dominio de confianza
unidireccional. El problema es que nunca he realizado una tarea asi y
necesito una pequeña orientacion para ello. Todos los dominio que tengo son
de bosques diferentes.

Apreciaria cualquier link, sugerencia o consejo que me puedas brindar.
Desde ya muchas gracias

Preguntas similare

Leer las respuestas

#1 Rodrigo de los Santos
15/07/2007 - 16:15 | Informe spam
Primero que nada ten en cuenta que cuando migraste de 2000 a 2003, las
ópciones de seguridad que aplica 2003 puede hacer que cosas que antes
funcionaban sin tocar nada... ahora dejen de funcionar :D (eso es porque
Win2003 es más seguro que Win2000 por default - lo cual no quiere decir que
win2000 no sea seguro... simplemente hay que asegurarlo! :D )

Una de estas opciones es que en Win2000 la transferencia de zona estaba para
todos habilitada (cualquier mortal podía transferir zonas en DNS Win2000) -
ahora en win2003 no está habilitada x default por lo que
1. Abre tu consola de administración DNS
2. Propiedades sobre la zona en cuestión
3. Solapa Transferencia de zona - marca habilitar transferencia de zona y
como seguridad pone solamente a los siguientes equipos y poné la dirección
del equipo que va a tener la zona secundaria (o si ambos estan configurados
como responsables de zona, puedes elegir la segunda opción)

Listo... proba desde el otro servidor hacer un transfer for master y voilla!
:D

Relaciones de confianza
Las relaciones de confianza permiten que usuarios de un dominio A puedan
acceder a recursos del dominio B. Para ello A y B deben configurar
relaciones de confianza.
Tienes 3 tipos de relaciones de confianza, Incoming, outgoing y
bidireccional (esta última je.. es la suma de las otras dos!!)

Dado que la perspectiva cambia todo... una relación incoming en una via,
será outgoing del otro lado!!

Si los recursos de A deben ser vistos por los usuarios de B entonces B hace
una relación Outgoing contra A. Y como es lógico A va a tener una relación
Incoming de B)

Llevado en la práctica, por default todos los dominios DENTRO de un forest
tienen una relación de confianza bidireccional transitiva (esto quiere decir
que si A confia de B y B de C => A confia de C)

Inter forest hasta Windows 2000 vos podías hacer relaciones de confianza
externas unicamente (incoming, outgoing y bidireccional) pero NO
transitivas! es decir que A confia de B y B confia de C.. pero A no confia
de C salvo que ... trust a manopla!

Ahora con Windows 2003 Y FOREST en MODO NATIVO 2003 de ambos lados te
permite establecer relaciones de confianza interforest basadas en FOREST!
esto significa poder hacer transitividad y además poder hacer que los
usuarios se logueen en otros dominios con sus UPNs!

Te paso un link que está interesante que inclusive te da guías y todo!!!

http://www.examcram2.com/articles/a...5&rl=1


Saludos

Rodrigo de los Santos
rodrigo.delossantos at mug.org.ar
rodrigo at dlssolutions.net

MVP - Windows Server - Group Policy
MCP - CCA - CNA
Miembro del MUG Argentina (suscribite! http://www.mug.org.ar)

Url: http://www.dlssolutions.net
Blog: http://nerdsupport.blogspot.com


"Ricardo" wrote in message
news:
Buenos Dias, necesito que me orienten en dos temas. El primero DNS
secundario. Yo tenia un arbol con 2003 y otro con win2000. Pero necesitaba
resolucion de nombres de las PC que estan el el dominio 2000, para
solucionar
eso cree en win2003 una zona secundaria que apuntaba al dns del win2000 y
funciono perfectamente. Bien ahora migre el server con win2000 a 2003 y
no
puedo realizar la misma operacion.

Y segundo necestio que los usuario de un dominio 2003 puedan tener
privilegios en otro dominio. Para ello quiero armar un dominio de
confianza
unidireccional. El problema es que nunca he realizado una tarea asi y
necesito una pequeña orientacion para ello. Todos los dominio que tengo
son
de bosques diferentes.

Apreciaria cualquier link, sugerencia o consejo que me puedas brindar.
Desde ya muchas gracias
Respuesta Responder a este mensaje
#2 Ricardo
15/07/2007 - 16:24 | Informe spam
Muchas Gracias Rodrigo, probare tus sugerencias. En cuanto al DNS entre a
habilitar la transferencia de Zona y no tuve exito. Seguramente cometi algun
error controlare de nuevo todas las opciones
Gracias

"Rodrigo de los Santos" wrote:

Primero que nada ten en cuenta que cuando migraste de 2000 a 2003, las
ópciones de seguridad que aplica 2003 puede hacer que cosas que antes
funcionaban sin tocar nada... ahora dejen de funcionar :D (eso es porque
Win2003 es más seguro que Win2000 por default - lo cual no quiere decir que
win2000 no sea seguro... simplemente hay que asegurarlo! :D )

Una de estas opciones es que en Win2000 la transferencia de zona estaba para
todos habilitada (cualquier mortal podía transferir zonas en DNS Win2000) -
ahora en win2003 no está habilitada x default por lo que
1. Abre tu consola de administración DNS
2. Propiedades sobre la zona en cuestión
3. Solapa Transferencia de zona - marca habilitar transferencia de zona y
como seguridad pone solamente a los siguientes equipos y poné la dirección
del equipo que va a tener la zona secundaria (o si ambos estan configurados
como responsables de zona, puedes elegir la segunda opción)

Listo... proba desde el otro servidor hacer un transfer for master y voilla!
:D

Relaciones de confianza
Las relaciones de confianza permiten que usuarios de un dominio A puedan
acceder a recursos del dominio B. Para ello A y B deben configurar
relaciones de confianza.
Tienes 3 tipos de relaciones de confianza, Incoming, outgoing y
bidireccional (esta última je.. es la suma de las otras dos!!)

Dado que la perspectiva cambia todo... una relación incoming en una via,
será outgoing del otro lado!!

Si los recursos de A deben ser vistos por los usuarios de B entonces B hace
una relación Outgoing contra A. Y como es lógico A va a tener una relación
Incoming de B)

Llevado en la práctica, por default todos los dominios DENTRO de un forest
tienen una relación de confianza bidireccional transitiva (esto quiere decir
que si A confia de B y B de C => A confia de C)

Inter forest hasta Windows 2000 vos podías hacer relaciones de confianza
externas unicamente (incoming, outgoing y bidireccional) pero NO
transitivas! es decir que A confia de B y B confia de C.. pero A no confia
de C salvo que ... trust a manopla!

Ahora con Windows 2003 Y FOREST en MODO NATIVO 2003 de ambos lados te
permite establecer relaciones de confianza interforest basadas en FOREST!
esto significa poder hacer transitividad y además poder hacer que los
usuarios se logueen en otros dominios con sus UPNs!

Te paso un link que está interesante que inclusive te da guías y todo!!!

http://www.examcram2.com/articles/a...5&rl=1


Saludos

Rodrigo de los Santos
rodrigo.delossantos at mug.org.ar
rodrigo at dlssolutions.net

MVP - Windows Server - Group Policy
MCP - CCA - CNA
Miembro del MUG Argentina (suscribite! http://www.mug.org.ar)

Url: http://www.dlssolutions.net
Blog: http://nerdsupport.blogspot.com


"Ricardo" wrote in message
news:
> Buenos Dias, necesito que me orienten en dos temas. El primero DNS
> secundario. Yo tenia un arbol con 2003 y otro con win2000. Pero necesitaba
> resolucion de nombres de las PC que estan el el dominio 2000, para
> solucionar
> eso cree en win2003 una zona secundaria que apuntaba al dns del win2000 y
> funciono perfectamente. Bien ahora migre el server con win2000 a 2003 y
> no
> puedo realizar la misma operacion.
>
> Y segundo necestio que los usuario de un dominio 2003 puedan tener
> privilegios en otro dominio. Para ello quiero armar un dominio de
> confianza
> unidireccional. El problema es que nunca he realizado una tarea asi y
> necesito una pequeña orientacion para ello. Todos los dominio que tengo
> son
> de bosques diferentes.
>
> Apreciaria cualquier link, sugerencia o consejo que me puedas brindar.
> Desde ya muchas gracias

Respuesta Responder a este mensaje
#3 Rodrigo de los Santos
15/07/2007 - 16:37 | Informe spam
Asegurate de tener visibilidad entre las zonas (un firewall tal vez?)

La forma mas facil de probar es
te logueas en la máquina QUE realizará la transferencia de zona... es decir
el DNS secundario.
Ejecutas NSLookup y escribis

ls -d lazonaquequeres.transferir


Si te da un error de permisos quiere decir que configuraste algo mal en la
solapa en la otra zona.
Si te la trae... el error puede estar en la configuración de la secundaria
(quizás cambiaste de IP en la primara y no lo reflejaste en la zona
secundaria)


Saludos

Rodrigo de los Santos
rodrigo.delossantos at mug.org.ar
rodrigo at dlssolutions.net

MVP - Windows Server - Group Policy
MCP - CCA - CNA
Miembro del MUG Argentina (suscribite! http://www.mug.org.ar)

Url: http://www.dlssolutions.net
Blog: http://nerdsupport.blogspot.com


"Ricardo" wrote in message
news:
Muchas Gracias Rodrigo, probare tus sugerencias. En cuanto al DNS entre a
habilitar la transferencia de Zona y no tuve exito. Seguramente cometi
algun
error controlare de nuevo todas las opciones
Gracias

"Rodrigo de los Santos" wrote:

Primero que nada ten en cuenta que cuando migraste de 2000 a 2003, las
ópciones de seguridad que aplica 2003 puede hacer que cosas que antes
funcionaban sin tocar nada... ahora dejen de funcionar :D (eso es porque
Win2003 es más seguro que Win2000 por default - lo cual no quiere decir
que
win2000 no sea seguro... simplemente hay que asegurarlo! :D )

Una de estas opciones es que en Win2000 la transferencia de zona estaba
para
todos habilitada (cualquier mortal podía transferir zonas en DNS
Win2000) -
ahora en win2003 no está habilitada x default por lo que
1. Abre tu consola de administración DNS
2. Propiedades sobre la zona en cuestión
3. Solapa Transferencia de zona - marca habilitar transferencia de zona y
como seguridad pone solamente a los siguientes equipos y poné la
dirección
del equipo que va a tener la zona secundaria (o si ambos estan
configurados
como responsables de zona, puedes elegir la segunda opción)

Listo... proba desde el otro servidor hacer un transfer for master y
voilla!
:D

Relaciones de confianza
Las relaciones de confianza permiten que usuarios de un dominio A puedan
acceder a recursos del dominio B. Para ello A y B deben configurar
relaciones de confianza.
Tienes 3 tipos de relaciones de confianza, Incoming, outgoing y
bidireccional (esta última je.. es la suma de las otras dos!!)

Dado que la perspectiva cambia todo... una relación incoming en una via,
será outgoing del otro lado!!

Si los recursos de A deben ser vistos por los usuarios de B entonces B
hace
una relación Outgoing contra A. Y como es lógico A va a tener una
relación
Incoming de B)

Llevado en la práctica, por default todos los dominios DENTRO de un
forest
tienen una relación de confianza bidireccional transitiva (esto quiere
decir
que si A confia de B y B de C => A confia de C)

Inter forest hasta Windows 2000 vos podías hacer relaciones de confianza
externas unicamente (incoming, outgoing y bidireccional) pero NO
transitivas! es decir que A confia de B y B confia de C.. pero A no
confia
de C salvo que ... trust a manopla!

Ahora con Windows 2003 Y FOREST en MODO NATIVO 2003 de ambos lados te
permite establecer relaciones de confianza interforest basadas en FOREST!
esto significa poder hacer transitividad y además poder hacer que los
usuarios se logueen en otros dominios con sus UPNs!

Te paso un link que está interesante que inclusive te da guías y todo!!!

http://www.examcram2.com/articles/a...5&rl=1


Saludos

Rodrigo de los Santos
rodrigo.delossantos at mug.org.ar
rodrigo at dlssolutions.net

MVP - Windows Server - Group Policy
MCP - CCA - CNA
Miembro del MUG Argentina (suscribite! http://www.mug.org.ar)

Url: http://www.dlssolutions.net
Blog: http://nerdsupport.blogspot.com


"Ricardo" wrote in message
news:
> Buenos Dias, necesito que me orienten en dos temas. El primero DNS
> secundario. Yo tenia un arbol con 2003 y otro con win2000. Pero
> necesitaba
> resolucion de nombres de las PC que estan el el dominio 2000, para
> solucionar
> eso cree en win2003 una zona secundaria que apuntaba al dns del win2000
> y
> funciono perfectamente. Bien ahora migre el server con win2000 a 2003
> y
> no
> puedo realizar la misma operacion.
>
> Y segundo necestio que los usuario de un dominio 2003 puedan tener
> privilegios en otro dominio. Para ello quiero armar un dominio de
> confianza
> unidireccional. El problema es que nunca he realizado una tarea asi y
> necesito una pequeña orientacion para ello. Todos los dominio que tengo
> son
> de bosques diferentes.
>
> Apreciaria cualquier link, sugerencia o consejo que me puedas brindar.
> Desde ya muchas gracias

email Siga el debate Respuesta Responder a este mensaje
Ads by Google
Help Hacer una preguntaRespuesta Tengo una respuesta
Search Busqueda sugerida