Forums Últimos mensajes - Powered by IBM
 
Tags Palabras claves

Relación de confianza y NAT.

06/03/2005 - 11:22 por Juan Bosco | Informe spam
Ayuda Hacer una pregunta
Hola a todos:

Tengo dos dominios, uno en modo Windows 2003 nativo (dominio1.com) y otro en
Windows 200 mixto (dominio2.com) (en el que aún quedan un par de BDC' de NT
4.0) con una relación de confianza unidireccional en la que dominio2 confía
en dominio1.
Los dos dominios están separados por un NAT, de tal modo que dominio2 está
en la parte pública y dominio1 en la privada.
El único DC accesible de dominio1 a través del NAT es el emulador de PDC, y
sólo para los DC's de dominio2.
El problema que se presenta es que cuando un usuario de dominio1, se conecta
físicamente en una máquina de dominio2 el login tarda una barbaridad en
completarse (pero llega a realizarse). Cuando el login no es físico, sino
que por ejemplo cuando un usuario de dominio1 desde un equipo de dominio1
accede a un recurso de red de cualquier equipo de dominio2, no hay ningún
retraso.
Este problema no se presentaba cuando dominio2 aún era un dominio de NT4.
Al parecer cuando el dominio era aún NT4, los clientes utilizaban NTLM para
la autentificación a través de la relación de confianza, de modo que un
cliente de dominio2 contactaba con el PDC de dominio2 y éste con el PDC de
dominio1.
Al migrar el dominio los clientes (creo) están usando Kerberos, de modo que
ellos intentan acceder directamente hacia el PDC de dominio1, y como el
tráfico de red no está permitido tardan un tiempo hasta que finalmente
utilizan NTLM.
He intentado buscar información acerca de una solución viable que no incluya
permitir él tráfico directo entre los clientes de dominio2 y el PDC de
dominio1, pero no he encontrado nada.
¿Alguien tiene alguna idea acerca de cómo solucionar ésto? Muchas gracias.

Juan
email Siga el debateRespuesta 5 respuestasRespuesta Tengo una respuesta
DRAGON AGE™: INQUISITION – Matadragones
 

Leer las respuestas

#1 Guillermo Delprato [MS-MVP]
06/03/2005 - 14:24 | Informe spam
Juan, el diagnóstico que haces es el correcto. Un cliente 2000 en un dominio
2000 tratará siempre de usar Kerberos, y en este caso el cliente contacta al
Controlador de Dominio de SU propio dominio, el cual le otorga un Ticket
Kerberos, para que acceda al servidor de Kerberos del otro dominio.

Realmente no creo que exista forma de suprimir el intento por Kerberos,
antes de NTLM. Esperemos a ver si algún compañero de la lista se le ocurre
alguna solución

Saludos

Guillermo Delprato
MVP - MCT - MCSE - MCP
Buenos Aires, Argentina

NOTA. Por favor, las preguntas y comentarios en los grupos, así nos
beneficiamos todos. Este mensaje se proporciona "como está" sin
garantías de ninguna clase, y no otorga ningún derecho. Ud. asume los
riesgos This posting is provided "AS IS" with no warranties, and
confers no rights. You assume all risk for your use.



Juan Bosco wrote:
Hola a todos:

Tengo dos dominios, uno en modo Windows 2003 nativo (dominio1.com) y
otro en Windows 200 mixto (dominio2.com) (en el que aún quedan un par
de BDC' de NT 4.0) con una relación de confianza unidireccional en la que
dominio2
confía en dominio1.
Los dos dominios están separados por un NAT, de tal modo que dominio2
está en la parte pública y dominio1 en la privada.
El único DC accesible de dominio1 a través del NAT es el emulador de
PDC, y sólo para los DC's de dominio2.
El problema que se presenta es que cuando un usuario de dominio1, se
conecta físicamente en una máquina de dominio2 el login tarda una
barbaridad en completarse (pero llega a realizarse). Cuando el login
no es físico, sino que por ejemplo cuando un usuario de dominio1
desde un equipo de dominio1 accede a un recurso de red de cualquier
equipo de dominio2, no hay ningún retraso.
Este problema no se presentaba cuando dominio2 aún era un dominio de
NT4. Al parecer cuando el dominio era aún NT4, los clientes
utilizaban NTLM para la autentificación a través de la relación de
confianza, de modo que un cliente de dominio2 contactaba con el PDC
de dominio2 y éste con el PDC de dominio1.
Al migrar el dominio los clientes (creo) están usando Kerberos, de
modo que ellos intentan acceder directamente hacia el PDC de
dominio1, y como el tráfico de red no está permitido tardan un tiempo
hasta que finalmente utilizan NTLM.
He intentado buscar información acerca de una solución viable que no
incluya permitir él tráfico directo entre los clientes de dominio2 y
el PDC de dominio1, pero no he encontrado nada.
¿Alguien tiene alguna idea acerca de cómo solucionar ésto? Muchas
gracias.
Juan

Preguntas similares

 

Busqueda sugerida :