Relación de confianza y NAT.

Hola a todos:

Tengo dos dominios, uno en modo Windows 2003 nativo (dominio1.com) y
otro en Windows 200 mixto (dominio2.com) (en el que aún quedan un par
de BDC' de NT 4.0) con una relación de confianza unidireccional en la que
dominio2
confía en dominio1.
Los dos dominios están separados por un NAT, de tal modo que dominio2
está en la parte pública y dominio1 en la privada.
El único DC accesible de dominio1 a través del NAT es el emulador de
PDC, y sólo para los DC's de dominio2.
El problema que se presenta es que cuando un usuario de dominio1, se
conecta físicamente en una máquina de dominio2 el login tarda una
barbaridad en completarse (pero llega a realizarse). Cuando el login
no es físico, sino que por ejemplo cuando un usuario de dominio1
desde un equipo de dominio1 accede a un recurso de red de cualquier
equipo de dominio2, no hay ningún retraso.
Este problema no se presentaba cuando dominio2 aún era un dominio de
NT4. Al parecer cuando el dominio era aún NT4, los clientes
utilizaban NTLM para la autentificación a través de la relación de
confianza, de modo que un cliente de dominio2 contactaba con el PDC
de dominio2 y éste con el PDC de dominio1.
Al migrar el dominio los clientes (creo) están usando Kerberos, de
modo que ellos intentan acceder directamente hacia el PDC de
dominio1, y como el tráfico de red no está permitido tardan un tiempo
hasta que finalmente utilizan NTLM.
He intentado buscar información acerca de una solución viable que no
incluya permitir él tráfico directo entre los clientes de dominio2 y
el PDC de dominio1, pero no he encontrado nada.
¿Alguien tiene alguna idea acerca de cómo solucionar ésto? Muchas
gracias.
Juan

Hola a todos:

Tengo dos dominios, uno en modo Windows 2003 nativo (dominio1.com) y otro
en Windows 200 mixto (dominio2.com) (en el que aún quedan un par de BDC'
de NT 4.0) con una relación de confianza unidireccional en la que dominio2
confía en dominio1.
Los dos dominios están separados por un NAT, de tal modo que dominio2 está
en la parte pública y dominio1 en la privada.
El único DC accesible de dominio1 a través del NAT es el emulador de PDC,
y sólo para los DC's de dominio2.
El problema que se presenta es que cuando un usuario de dominio1, se
conecta físicamente en una máquina de dominio2 el login tarda una
barbaridad en completarse (pero llega a realizarse). Cuando el login no es
físico, sino que por ejemplo cuando un usuario de dominio1 desde un equipo
de dominio1 accede a un recurso de red de cualquier equipo de dominio2, no
hay ningún retraso.
Este problema no se presentaba cuando dominio2 aún era un dominio de NT4.
Al parecer cuando el dominio era aún NT4, los clientes utilizaban NTLM
para la autentificación a través de la relación de confianza, de modo que
un cliente de dominio2 contactaba con el PDC de dominio2 y éste con el PDC
de dominio1.
Al migrar el dominio los clientes (creo) están usando Kerberos, de modo
que ellos intentan acceder directamente hacia el PDC de dominio1, y como
el tráfico de red no está permitido tardan un tiempo hasta que finalmente
utilizan NTLM.
He intentado buscar información acerca de una solución viable que no
incluya permitir él tráfico directo entre los clientes de dominio2 y el
PDC de dominio1, pero no he encontrado nada.
¿Alguien tiene alguna idea acerca de cómo solucionar ésto? Muchas gracias.

Juan

Gracias a los dos.
El no permitir el tráfico tiene su explicación.
Uno, mientras el dominio externo ha sido NT4.0 no he necesitado pasar
dicho tráfico, y dos, no quiero permitir que cualquier máquina del dominio
externo (algunas máquinas son accesibles desde internet para todo el
mundo) tenga acceso a mi LAN (aunque sólo sea al emulador de PDC).
Lo ideal es que todo siguiera funcionando como hasta ahora.

Un saludo:

Juan