Por: Sebastian del Rio / Revisión Técnica: Diana Hernández

 

 1. Por qué no se ve la opción de Forest Trust en el Asistente de New Trust?

 

 ForestTrust1

En esta ocasión nos ha tocado trabajar en un caso en el cual el cliente precisaba hacer una Forest Trust entre dos dominios. El problema que nos encontramos es que cuando el cliente seleccionaba la opción de New Trust en Active Directory Domains And Trust ingresábamos el nombre del dominio pero luego, el wizard no mostraba la opción de crear una Forest Trust.

   ForestTrust3

 

Si todo saliera bien deberíamos ver la opción de Forest Trust pero como ya nos suponíamos la misma no aparece.

 

 Forest14

 


2. Solución

Antes de comenzar aquí tenemos la checklist para crear una Forest Trust.

Entre los aspectos más importantes debemos tener en cuenta que ambos forest deben estar en Nivel Funcional Windows 2003 tanto de Forest como de Dominio.

En caso que el dominio este en otro Nivel funcional podemos ver el siguiente articulo 322692

Bien, volviendo al problema en nuestro caso el ambos forest estaban en modo funcional Windows 2003 , claro ... si no hubiera sido mucho mas fácil la solución. El problema se daba que al intentar hacer la Forest Trust el Wizard no nos daba la opción de hacer la misma.

Haciendo algunas pruebas notamos que existía problema de networking utilizando la herramienta Port Query, y seleccionando la opción Domain And Trust,  notamos varios puertos filtrados lo que nos llevo a a verificar el firewall del cliente los siguientes puertos deben estar habilitados entre los dos Forest para poder hacer correctamente la Forest Trust.

 

Puertos de cliente

Puerto de servidor

Servicio

137/UDP

137/UDP

Nombre NetBIOS

138/UDP

138/UDP

Netlogon y exploración de NetBIOS

1024-65535/TCP

139/TCP

Sesión de NetBIOS

1024-65535/TCP

42/TCP

Replicación de WINS

Windows Server 2003 y Windows 2000 Server

 

En un dominio de modo mixto que usa controladores de dominio de Windows NT, clientes heredados o relaciones de confianza entre dos controladores de dominio de Windows Server 2003 o Windows 2000 Server que no están en el mismo bosque, es posible que tengan que estar abiertos todos los puertos para Windows NT citados en la tabla anterior y, además, los puertos siguientes:

 

Puertos de cliente

 

Puerto de servidor

 

Servicio

 

1024-65535/TCP

135/TCP

RPC

1024-65535/TCP

1024-65535/TCP

Servicios LSA RPC (*)

1024-65535/TCP/UDP

389/TCP/UDP

LDAP

1024-65535/TCP

636/TCP

LDAP SSL

1024-65535/TCP

3268/TCP

LDAP GC

1024-65535/TCP

3269/TCP

LDAP GC SSL

53,1024-65535/TCP/UDP

53/TCP/UDP

DNS

1024-65535/TCP/UDP

88/TCP/UDP

Kerberos

1024-65535/TCP

445/TCP

SMB

 

3. Conclusión

Al ingresar el nombre del Forest remoto,  el wizard verifica que del otro lado realmente haya otro Forest, si cumplimos con las condiciones correctas el wizard nos mostrara la opción de Forest Trust. En caso que no dispongamos de un Forest con nombre distinto o bien tengamos inconvenientes de comunicación (Networking), el wizard solo mostrará las opciones de Forest Trust o External Trust.

En  nuestro caso configuramos el firewall según este 
documento y pudimos hacer normalmente la Forest Trust.

Y ahora tenemos la opción correcta para seleccionar la Forest Trust.

 

 ForestTrust4

 

Información Adicional :

Por otro lado otro inconveniente también detectado en este caso es que nuestro dominio A tenia el mismo nombre NetBIOS que el dominio B, el wizard va a detectar una colisión de nombres y la relación de confianza no puede ser creada, hay un documento que habla de este tema: Collision Detection

NetBIOS es utilizado en el proceso de creación de la relación de confianza , Dos dominios con el mismo nombre NetBIOS no serán capaces de setear una relación de confianza. El único método es reinstalar uno de los dominios o bien utilizar las Rename Tools de Windows 2003.

Espero una vez más sea de utilidad este blog.