Forums Últimos mensajes - Powered by IBM
 
Tags Palabras claves

Problemas con relación de confianza

27/03/2006 - 13:53 por Raül Vidiella | Informe spam
Ayuda Hacer una pregunta
Tengo 2 DC w2003 server que no tienen nada que ver uno con el otro
(distintos dominios, arboles bosques, ips, ...) ahora para realizar
copias necesito establecer una relación de confianza. Hasta aqui todo
perfecto, ya he creado las relaciones de confianza (solo necesito que
sea direccional pero para probar ahora es bidireccional). el problema
final es que en uno de ellos no puedo autenticar los usuario del otro
(típico error de el servidor no es operacional) y en el otro funciona
perfectamente.
Notas.
-Relaciones de confianza establecidas y validadas.
- responden perfectamente al ping (tanto por nombre como por ip)
- acceso a recursos a trabes de netbios (mipc) a recursos compartidos OK
- dns propios + renenviador condicional (creo que bien), para probar si
este era el fallo elimino el reenviador y configuro zonas secundarias
duplicando la principal de cada dominio en el otro, una funciona
perfectamente, la otra no hay manera de cargarla, por lo que creo que el
problema esta aqui, pero no se donde en concreto.

A alguien se le ocurre lo que puede estar pasando, se esta convirtiendo
en un hobby, todas las mañanas paso una horita probando cualquier cosa
que se me ocurra.

Saludos
Raül Vidiella
email Siga el debateRespuesta 14 respuestasRespuesta Tengo una respuesta

Preguntas similare

Leer las respuestas

#11 Guillermo Delprato [MS-MVP]
30/03/2006 - 14:16 | Informe spam
Respondo abajo


Saludos

Guillermo Delprato
MVP-MCT-MCSE-MCSA-MCP
Buenos Aires, Argentina

NOTA. Por favor, las preguntas y comentarios en los grupos, así nos
beneficiamos todos.

Este mensaje se proporciona "como está" sin garantías de ninguna clase,
y no otorga ningún derecho. Ud. asume los riesgos This posting is
provided "AS IS" with no warranties, and confers no rights. You assume
all risk for your use.




Raül Vidiella wrote:
Concretemos. Tenemos server1.dominio1 y server2.dominio2.
Desde server1:
ping server2.dominio2.local OK
ping ip_server2 OK
nslookup
server2.dominio2.local OK
SERVER ip_server2
server2.dominio2.local OK
server1.dominio1.local FALLA





[Guillermo]
Server1 no puede resolver *su propio nombre*!!!
Ahí hay un problema, revisa qué IP tiene server1 en su propia zona
Atención si tiene dos placas de red, porque registra ambas, y una puede ser
no alcanzable desde server2


Desde server 2
ping server1.dominio1.local OK
ping ip_server1 OK
nslookup
server1.dominio1.local FALLA
SERVER ip_server1 (DNS request timed out, timeout as 2 secons, pero


parece conectar)
server1.dominio1.local (DNS request timed out, timeout as 2 secons,
caducado)





[Guillermo]
Si Server2 puede resolver la IP de Server1; pero Server1 no puede resolver
su propia IP ahí tienes para ver dónde está el problema
Además y respecto al firewall ¿qué relación hay entre las redes? ¿Route o
NAT? porque NAT es unidireccional


Configuración firewall
LAN =server 1
DMZ =server 2
Politicas LAN-DMZ
Todos los protocolos permitidos desde ip_server1 a ip_server2
Politicas DMZ-LAN
Todos los protocolos permitidos desde ip_server2 a ip_server3

Eliminadas las entradas LMHOST y purgada la cache.
Ip/mascaras de los servidores correctas.
DNS apuntando cada uno a si mismo.



[Guillermo]
NSLOOKUP no usa el cache hosts del cliente, pero PING sí lo usa
La información "cacheada" la puedes ver con IPCONFIG /DISPLAYDNS
Y la puedes eliminar con IPCONFIG /FLUSHDNS


.. no se donde revisar, se me han agotado las ideas.



[Guillermo]
No desesperar que todavía quedan más opciones :-)


Saludos
Raül Vidiella






En/na Guillermo Delprato [MS-MVP] ha escrit:
¡Bien! no solucionado, pero si ubicado el problema

Respecto al LMHOSTS te conviene quitar la entrada, ya que LMHOSTS es
para nombres NetBIOS, y el PING de MS a veces usa NetBIOS (esto es
horrible pero es así)

Si cuando haces NSLOOKUP de un sitio al servidor DNS en el otro,
entonces el problema seguramente está en la conectividad. Prueba con
PING Dir_IP_del_DNS Debería funcionar, si no funciona entonces el
problema casi seguro que está en IP (dirección, máscara o puerta de
enlace). Puede ser un lado o en el otro. Por ejemplo, revisa que el
servidor DNS remoto tenga puesta la puerta de enlace adecuada, para
poder responder
Respuesta Responder a este mensaje
#12 Guillermo Delprato [MS-MVP]
30/03/2006 - 14:17 | Informe spam
Además de crear zona secundaria se puede probar usando Reenviadores
(Forwarders)


Saludos

Guillermo Delprato
MVP-MCT-MCSE-MCSA-MCP
Buenos Aires, Argentina

NOTA. Por favor, las preguntas y comentarios en los grupos, así nos
beneficiamos todos.

Este mensaje se proporciona "como está" sin garantías de ninguna clase,
y no otorga ningún derecho. Ud. asume los riesgos This posting is
provided "AS IS" with no warranties, and confers no rights. You assume
all risk for your use.




Raül Vidiella wrote:
Mas datos. Configuración de la zona secundaria que no carga. Ip del
servidor principal correcta (el mismo resuelve el nombre), En general
->estado pone caducado, en la zona primaria e incrementado el numero
de serie para ver si actualiza pero no lo hace, notificaciones
activadas.
Gracias
Raül Vidiella
Respuesta Responder a este mensaje
#13 Raül Vidiella
30/03/2006 - 19:43 | Informe spam
ya habia probado con reenviadores y tampoco funcionaba.
Ya he encontrado el problema. El firewall tenia configurado un dns con
la dirección ip del segundo servidor, por lo que aunque en politicas de
seguridad tenia especificado el traspaso libre de todos los protocolos,
este interceptaba los del dns.
Perdona por haberte hecho perder el tiempo por esta tonteria,lo siento y
gracias por tu ayuda.
Raül Vidiella

En/na Guillermo Delprato [MS-MVP] ha escrit:
Además de crear zona secundaria se puede probar usando Reenviadores
(Forwarders)

Respuesta Responder a este mensaje
#14 Guillermo Delprato [MS-MVP]
31/03/2006 - 13:11 | Informe spam
:-)


Saludos

Guillermo Delprato
MVP-MCT-MCSE-MCSA-MCP
Buenos Aires, Argentina

NOTA. Por favor, las preguntas y comentarios en los grupos, así nos
beneficiamos todos.

Este mensaje se proporciona "como está" sin garantías de ninguna clase,
y no otorga ningún derecho. Ud. asume los riesgos This posting is
provided "AS IS" with no warranties, and confers no rights. You assume
all risk for your use.




Raül Vidiella wrote:
ya habia probado con reenviadores y tampoco funcionaba.
Ya he encontrado el problema. El firewall tenia configurado un dns con
la dirección ip del segundo servidor, por lo que aunque en politicas
de seguridad tenia especificado el traspaso libre de todos los
protocolos, este interceptaba los del dns.
Perdona por haberte hecho perder el tiempo por esta tonteria,lo
siento y gracias por tu ayuda.
Raül Vidiella

En/na Guillermo Delprato [MS-MVP] ha escrit:
Además de crear zona secundaria se puede probar usando Reenviadores
(Forwarders)
email Siga el debate Respuesta Responder a este mensaje
Ads by Google
Help Hacer una pregunta AnteriorRespuesta Tengo una respuesta
Search Busqueda sugerida