Oops donde está la opción de Forest Trust?



Por: Sebastian del Rio / Revisión Técnica: Diana Hernández







 



 1. Por qué no se ve la opción de Forest Trust en el Asistente de New Trust?


 



 ForestTrust1


En esta ocasión nos ha tocado trabajar en un caso en el cual el cliente precisaba hacer una Forest Trust entre dos dominios. El problema que nos encontramos es que cuando el cliente seleccionaba la opción de New Trust en Active Directory Domains And Trust ingresábamos el nombre del dominio pero luego, el wizard no mostraba la opción de crear una Forest Trust.





   ForestTrust3


 


Si todo saliera bien deberíamos ver la opción de Forest Trust pero como ya nos suponíamos la misma no aparece.


 



 Forest14


 




2. Solución






Antes de comenzar aquí tenemos la checklist para crear una Forest Trust.






Entre los aspectos más importantes debemos tener en cuenta que ambos forest deben estar en Nivel Funcional Windows 2003 tanto de Forest como de Dominio.






En caso que el dominio este en otro Nivel funcional podemos ver el siguiente articulo 322692






Bien, volviendo al problema en nuestro caso el ambos forest estaban en modo funcional Windows 2003 , claro … si no hubiera sido mucho mas fácil la solución. El problema se daba que al intentar hacer la Forest Trust el Wizard no nos daba la opción de hacer la misma.






Haciendo algunas pruebas notamos que existía problema de networking utilizando la herramienta Port Query, y seleccionando la opción Domain And Trust,  notamos varios puertos filtrados lo que nos llevo a a verificar el firewall del cliente los siguientes puertos deben estar habilitados entre los dos Forest para poder hacer correctamente la Forest Trust.






 
























Puertos de cliente


Puerto de servidor


Servicio


137/UDP


137/UDP


Nombre NetBIOS


138/UDP


138/UDP


Netlogon y exploración de NetBIOS


1024-65535/TCP


139/TCP


Sesión de NetBIOS


1024-65535/TCP


42/TCP


Replicación de WINS


Windows Server 2003 y Windows 2000 Server

 


En un dominio de modo mixto que usa controladores de dominio de Windows NT, clientes heredados o relaciones de confianza entre dos controladores de dominio de Windows Server 2003 o Windows 2000 Server que no están en el mismo bosque, es posible que tengan que estar abiertos todos los puertos para Windows NT citados en la tabla anterior y, además, los puertos siguientes:


 










































Puertos de cliente



 




Puerto de servidor



 




Servicio



 




1024-65535/TCP





135/TCP





RPC





1024-65535/TCP





1024-65535/TCP





Servicios LSA RPC (*)





1024-65535/TCP/UDP





389/TCP/UDP





LDAP





1024-65535/TCP





636/TCP





LDAP SSL





1024-65535/TCP





3268/TCP





LDAP GC





1024-65535/TCP





3269/TCP





LDAP GC SSL





53,1024-65535/TCP/UDP





53/TCP/UDP





DNS





1024-65535/TCP/UDP





88/TCP/UDP





Kerberos





1024-65535/TCP





445/TCP





SMB





 





3. Conclusión






Al ingresar el nombre del Forest remoto,  el wizard verifica que del otro lado realmente haya otro Forest, si cumplimos con las condiciones correctas el wizard nos mostrara la opción de Forest Trust. En caso que no dispongamos de un Forest con nombre distinto o bien tengamos inconvenientes de comunicación (Networking), el wizard solo mostrará las opciones de Forest Trust o External Trust.

En  nuestro caso configuramos el firewall según este 
documento y pudimos hacer normalmente la Forest Trust.





Y ahora tenemos la opción correcta para seleccionar la Forest Trust.






 



 ForestTrust4


 


Información Adicional :






Por otro lado otro inconveniente también detectado en este caso es que nuestro dominio A tenia el mismo nombre NetBIOS que el dominio B, el wizard va a detectar una colisión de nombres y la relación de confianza no puede ser creada, hay un documento que habla de este tema: Collision Detection





NetBIOS es utilizado en el proceso de creación de la relación de confianza , Dos dominios con el mismo nombre NetBIOS no serán capaces de setear una relación de confianza. El único método es reinstalar uno de los dominios o bien utilizar las Rename Tools de Windows 2003.






Espero una vez más sea de utilidad este blog.

Comments (0)