Dudas sobre dominios y subdominios

Tienes dos temas diferentes: conectividad por un lado, y resolución de
nombres por otro

Conectividad
Si están en sitios diferentes, lo normal es que entre los routers se
configure una VPN que conecte los sitios para que el tráfico de red sea
seguro mientras transita por la red insegura que conecta los sitios.
En este caso, el tráfico permitido entre los routers es la VPN, y dentro de
la VPN ya que es entre tus sitios internos, no se filtra tráfico
Si quisieras filtrar (no recomendable dentro de la VPN) deberías hacerlo por
IPs ya que por puertos deberías abrir prácticamente todos.
Hay un documento de MS si quieres ver los puertos usados, busca "Active
Directory replication over firewalls"

Resolución de nombres
Inicialmente el nuevo DC debe apuntar como DNS al que mantiene la zona
"padre", donde se creará el subdominio.
Luego es tu decisión dónde se mantendrá la zona del subdominio, si en la
sucursal o en central. Todo dependerá si necesitas tener ambos dominios en
la sucursal, el ámbito de replicación de las zonas, etc. etc.


Guillermo Delprato
MVP - MCT - MCSE
Buenos Aires, Argentina
http://w2k8-server.spaces.live.com

Este mensaje se proporciona "como está" sin garantías de ninguna clase, ni
otorga ningún derecho. Ud. asume los riesgos.
This posting is provide "as is" with no warranties and confers no rights.
You assume all risk for your use.
_____________________


"Luis Royo" wrote in message
news:

Saludos a todo el foro.

Estoy revisando la teoría sobre espacio de nombres y de dominios en
Windows Server 2003, y se me ha planteado el siguiente escenario:

Tengo un dominio en un árbol nuevo dentro de un bosque, con el nombre
"empresa.local". Quiero crear un subdominio dentro del mismo árbol, que lo
llamaré "sucursal.empresa.local". Durante el proceso de creación del
subdominio, ejecutando el asistente que viene en Windows Server, cuando le
indico que es un subdominio dentro de un árbol existente, lo primero que
intenta es autenticarse con un usuario y contraseña válido en el dominio
principal. Obviamente, si ambos servidores están en la misma red local, no
hay problema alguno.

Entiendo que en un escenario real, el servidor de la sucursal y el
servidor principal de la empresa NO están en el mismo segmento de red. Es
decir, existirá una conexión remota entre la red de la sucursal y la red
principal, normalmente mediante routers que realizarán el enrutamiento de
paquetes de forma transparente al usuario.

¿Cómo se deben configurar los routers? Me refiero a qué puertos serán
necesarios enrutar entre ambos routers para que el tráfico fluya
correctamente entre ambos servidores.

Me imagino que el servidor de la sucursal deberá tener como DNS la IP del
servidor principal, para que éste resuelva correctamente. Ambas redes NO
deben estar en el mismo segmento de red, pero los enrutadores estarán
configurados para enrutar paquetes de una red a la otra. Pero no se si
será necesario alguna cosa más.

Muchas gracias por vuestras respuestas.
Un saludo,
Luis

Muchas gracias por tu rápida respuesta.

Tal y como me indicas, he puesto como DNS del segundo servidor (DC del
subdominio) la IP del primer servidor (DC del dominio padre). Se ha creado
el subdominio aparentemente sin problemas.

Desde el servidor DC del dominio padre he probado a acceder a través de la
LAN al servidor DC del subdominio, y accedo sin problemas, incluso al C$.

Lo que me sorprende es el siguiente comportamiento:
Si abro la herramienta Usuarios y equipos de Active Directory en el DC del
dominio principal e intento conectarme al subdominio, me da el error "El
dominio sucursal.empresa.local no se encontró debido a: El dominio
especificado no existe o no se pudo establecer cnexión con él". En cambio,
si lo intento desde el DC del subdominio, ¡Si que puedo acceder a la
administración de usuarios y equipos del dominio principal! Accedo en modo
de solo lectura, pero accedo, que entiendo que es lo lógico. ¿Por qué no
puedo desde el DC del dominio principal?

Lo mismo me sucede con la herramienta "Dominios y confianzas de Active
Directory". Si intento acceder a las propiedades del dominio principal desde
el DC del subdominio, me deja en modo de solo lectura, pero si intento
acceder a las propiedades del subdominio desde el DC del dominio principal,
me da el error: "No se puede modificar la información de confianza o de
dominio porque no es posible conectar con el siguiente emulador principal de
dominio (PDC): vsrv2.almacen.empresa.local. Compruebe que el emulador PDC y
la red tienen conexión y funcionan correctamente". ¿Qué puedo tener mal
configurado? Entiendo que este comportamiento no es normal.

Un saludo y muchas gracias.
Saludos,
Luis

"Guillermo Delprato [MS-MVP]"
escribió en el mensaje de noticias:

Tienes dos temas diferentes: conectividad por un lado, y resolución de
nombres por otro

Conectividad
Si están en sitios diferentes, lo normal es que entre los routers se
configure una VPN que conecte los sitios para que el tráfico de red sea
seguro mientras transita por la red insegura que conecta los sitios.
En este caso, el tráfico permitido entre los routers es la VPN, y dentro
de la VPN ya que es entre tus sitios internos, no se filtra tráfico
Si quisieras filtrar (no recomendable dentro de la VPN) deberías hacerlo
por IPs ya que por puertos deberías abrir prácticamente todos.
Hay un documento de MS si quieres ver los puertos usados, busca "Active
Directory replication over firewalls"

Resolución de nombres
Inicialmente el nuevo DC debe apuntar como DNS al que mantiene la zona
"padre", donde se creará el subdominio.
Luego es tu decisión dónde se mantendrá la zona del subdominio, si en la
sucursal o en central. Todo dependerá si necesitas tener ambos dominios en
la sucursal, el ámbito de replicación de las zonas, etc. etc.


Guillermo Delprato
MVP - MCT - MCSE
Buenos Aires, Argentina
http://w2k8-server.spaces.live.com

Este mensaje se proporciona "como está" sin garantías de ninguna clase, ni
otorga ningún derecho. Ud. asume los riesgos.
This posting is provide "as is" with no warranties and confers no rights.
You assume all risk for your use.
_____________________


"Luis Royo" wrote in message
news:

Saludos a todo el foro.

Estoy revisando la teoría sobre espacio de nombres y de dominios en
Windows Server 2003, y se me ha planteado el siguiente escenario:

Tengo un dominio en un árbol nuevo dentro de un bosque, con el nombre
"empresa.local". Quiero crear un subdominio dentro del mismo árbol, que
lo llamaré "sucursal.empresa.local". Durante el proceso de creación del
subdominio, ejecutando el asistente que viene en Windows Server, cuando
le indico que es un subdominio dentro de un árbol existente, lo primero
que intenta es autenticarse con un usuario y contraseña válido en el
dominio principal. Obviamente, si ambos servidores están en la misma red
local, no hay problema alguno.

Entiendo que en un escenario real, el servidor de la sucursal y el
servidor principal de la empresa NO están en el mismo segmento de red. Es
decir, existirá una conexión remota entre la red de la sucursal y la red
principal, normalmente mediante routers que realizarán el enrutamiento de
paquetes de forma transparente al usuario.

¿Cómo se deben configurar los routers? Me refiero a qué puertos serán
necesarios enrutar entre ambos routers para que el tráfico fluya
correctamente entre ambos servidores.

Me imagino que el servidor de la sucursal deberá tener como DNS la IP del
servidor principal, para que éste resuelva correctamente. Ambas redes NO
deben estar en el mismo segmento de red, pero los enrutadores estarán
configurados para enrutar paquetes de una red a la otra. Pero no se si
será necesario alguna cosa más.

Muchas gracias por vuestras respuestas.
Un saludo,
Luis

Hay dos temas. El primero es darle tiempo a que se arme la replicación entre
ambos, puede pasar a veces hasta un par de horas.

Y el segundo a tener en cuenta es con quien inicias sesión y en dónde.
El Administrador del dominio raíz es también administrador del subdominio,
pero no a la inversa

Ten cuidado con un detalle, si inicias sesión en la sucursal con el
Administrador del dominio raíz, cuando habras el ADUC, mostrará el dominio
raíz, aunque físicamente estés en el DC del subdominio. Con botón derecho
sobre el nodo superior puedes cambiarlo


Guillermo Delprato
MVP - MCT - MCSE
Buenos Aires, Argentina
http://w2k8-server.spaces.live.com

Este mensaje se proporciona "como está" sin garantías de ninguna clase, ni
otorga ningún derecho. Ud. asume los riesgos.
This posting is provide "as is" with no warranties and confers no rights.
You assume all risk for your use.
_____________________


"Luis Royo" wrote in message
news:

Muchas gracias por tu rápida respuesta.

Tal y como me indicas, he puesto como DNS del segundo servidor (DC del
subdominio) la IP del primer servidor (DC del dominio padre). Se ha creado
el subdominio aparentemente sin problemas.

Desde el servidor DC del dominio padre he probado a acceder a través de la
LAN al servidor DC del subdominio, y accedo sin problemas, incluso al C$.

Lo que me sorprende es el siguiente comportamiento:
Si abro la herramienta Usuarios y equipos de Active Directory en el DC del
dominio principal e intento conectarme al subdominio, me da el error "El
dominio sucursal.empresa.local no se encontró debido a: El dominio
especificado no existe o no se pudo establecer cnexión con él". En cambio,
si lo intento desde el DC del subdominio, ¡Si que puedo acceder a la
administración de usuarios y equipos del dominio principal! Accedo en modo
de solo lectura, pero accedo, que entiendo que es lo lógico. ¿Por qué no
puedo desde el DC del dominio principal?

Lo mismo me sucede con la herramienta "Dominios y confianzas de Active
Directory". Si intento acceder a las propiedades del dominio principal
desde el DC del subdominio, me deja en modo de solo lectura, pero si
intento acceder a las propiedades del subdominio desde el DC del dominio
principal, me da el error: "No se puede modificar la información de
confianza o de dominio porque no es posible conectar con el siguiente
emulador principal de dominio (PDC): vsrv2.almacen.empresa.local.
Compruebe que el emulador PDC y la red tienen conexión y funcionan
correctamente". ¿Qué puedo tener mal configurado? Entiendo que este
comportamiento no es normal.

Un saludo y muchas gracias.
Saludos,
Luis

"Guillermo Delprato [MS-MVP]"
escribió en el mensaje de
noticias:

Tienes dos temas diferentes: conectividad por un lado, y resolución de
nombres por otro

Conectividad
Si están en sitios diferentes, lo normal es que entre los routers se
configure una VPN que conecte los sitios para que el tráfico de red sea
seguro mientras transita por la red insegura que conecta los sitios.
En este caso, el tráfico permitido entre los routers es la VPN, y dentro
de la VPN ya que es entre tus sitios internos, no se filtra tráfico
Si quisieras filtrar (no recomendable dentro de la VPN) deberías hacerlo
por IPs ya que por puertos deberías abrir prácticamente todos.
Hay un documento de MS si quieres ver los puertos usados, busca "Active
Directory replication over firewalls"

Resolución de nombres
Inicialmente el nuevo DC debe apuntar como DNS al que mantiene la zona
"padre", donde se creará el subdominio.
Luego es tu decisión dónde se mantendrá la zona del subdominio, si en la
sucursal o en central. Todo dependerá si necesitas tener ambos dominios
en la sucursal, el ámbito de replicación de las zonas, etc. etc.


Guillermo Delprato
MVP - MCT - MCSE
Buenos Aires, Argentina
http://w2k8-server.spaces.live.com

Este mensaje se proporciona "como está" sin garantías de ninguna clase,
ni otorga ningún derecho. Ud. asume los riesgos.
This posting is provide "as is" with no warranties and confers no rights.
You assume all risk for your use.
_____________________


"Luis Royo" wrote in message
news:

Saludos a todo el foro.

Estoy revisando la teoría sobre espacio de nombres y de dominios en
Windows Server 2003, y se me ha planteado el siguiente escenario:

Tengo un dominio en un árbol nuevo dentro de un bosque, con el nombre
"empresa.local". Quiero crear un subdominio dentro del mismo árbol, que
lo llamaré "sucursal.empresa.local". Durante el proceso de creación del
subdominio, ejecutando el asistente que viene en Windows Server, cuando
le indico que es un subdominio dentro de un árbol existente, lo primero
que intenta es autenticarse con un usuario y contraseña válido en el
dominio principal. Obviamente, si ambos servidores están en la misma red
local, no hay problema alguno.

Entiendo que en un escenario real, el servidor de la sucursal y el
servidor principal de la empresa NO están en el mismo segmento de red.
Es decir, existirá una conexión remota entre la red de la sucursal y la
red principal, normalmente mediante routers que realizarán el
enrutamiento de paquetes de forma transparente al usuario.

¿Cómo se deben configurar los routers? Me refiero a qué puertos serán
necesarios enrutar entre ambos routers para que el tráfico fluya
correctamente entre ambos servidores.

Me imagino que el servidor de la sucursal deberá tener como DNS la IP
del servidor principal, para que éste resuelva correctamente. Ambas
redes NO deben estar en el mismo segmento de red, pero los enrutadores
estarán configurados para enrutar paquetes de una red a la otra. Pero no
se si será necesario alguna cosa más.

Muchas gracias por vuestras respuestas.
Un saludo,
Luis