Ir ao conteúdo
  • Cadastre-se
Entre para seguir isso  
gunboltvt

[Resolvido] Forest Trust de 2003 para 2012 (Ajuda!)

Recommended Posts

Galera, boa noite.

Estamos em um dilema na nossa empresa:

Temos um cenário de vários servidores físicos e fechamos com a Dell um projeto de virtualização usando Vmware Vsphere + Storage, e adquirimos um novo servidor para ser o AD + Vcenter.

Atualmente temos o AD roda no 2003 e gostaria de saber se é possível fazer um forest trust entre o 2003 (atual) com o 2012 que vamos montar do 0, para ir migrando as estações aos poucos.

Nesse tipo de cenário qual seria a sugestão? Ou seria melhor pedir a Dell para trocar o 2012 para 2008? Aguardo sugestões.

obrigado!!!!!!!!!!!!!!!

Compartilhar este post


Link para o post
Compartilhar em outros sites

Olá

É perfeitamente possível ter uma floresta Active Directory com servidores domain controller com sistema Operacional Windows 2003 Server, Windows Server 2008 e 2012, desde que o nível functional esteja configurado para o SO mais antigo. Neste caso Windows 2003 Server.

Se você deseja criar uma nova floresta e migrar os objetos, você pode subir a nova floresta no Windows Server 2012.

Para isso você deve integrar a resolução de nomes DNS, configurando o forward DNS no servidor antigo apontando para o domínio novo e vice e versa.

Feito isso você pode criar a relação de confiança entre os dois domínios e fazer a migração dos objetos.

Entre em contato se precisar de ajuda.

Marcos Eduardo de Oliveira

MCP | MCT | MCSA | MCITP | MCTS AD | MCTS Network

MCTS Virtualization | Small Business Specialist

Lead Auditor ISO 27001 | ITIL Foundation | Green IT Citizen

  • Curtir 1

Compartilhar este post


Link para o post
Compartilhar em outros sites
Olá

É perfeitamente possível ter uma floresta Active Directory com servidores domain controller com sistema Operacional Windows 2003 Server, Windows Server 2008 e 2012, desde que o nível functional esteja configurado para o SO mais antigo. Neste caso Windows 2003 Server.

Se você deseja criar uma nova floresta e migrar os objetos, você pode subir a nova floresta no Windows Server 2012.

Para isso você deve integrar a resolução de nomes DNS, configurando o forward DNS no servidor antigo apontando para o domínio novo e vice e versa.

Feito isso você pode criar a relação de confiança entre os dois domínios e fazer a migração dos objetos.

Entre em contato se precisar de ajuda.

Marcos Eduardo de Oliveira

MCP | MCT | MCSA | MCITP | MCTS AD | MCTS Network

MCTS Virtualization | Small Business Specialist

Lead Auditor ISO 27001 | ITIL Foundation | Green IT Citizen

Muito obrigado pelos esclarecimentos!!!!!!!!!!!!

Compartilhar este post


Link para o post
Compartilhar em outros sites

Olá

Antes de criar o trust você deve integrar a resolução de nomes DNS.

Abra o console do DNS Server no Domain Controller (DC) do domínio antigo, selecione a opção de Foward DNS, informe o nome FQDN do novo domínio (novodominio.local) e o IP do novo DC.

No novo DC faça o inverso, vá até o console do DNS Server, em conditional fowarding, e informe o nome FQDN do domínio antigo e o IP do DC.

Após isto você poderá criar a relação de confiança (trust) bidirecional.

Entre em contato se precisar de ajuda.

Marcos Eduardo de Oliveira

Diretor de Tecnologia

MCP | MCT | MCSA | MCITP | MCTS AD | MCTS Network

MCTS Virtualization | Small Business Specialist

Lead Auditor ISO 27001 | ITIL Foundation | Green IT Citizen

Compartilhar este post


Link para o post
Compartilhar em outros sites
Olá

Antes de criar o trust você deve integrar a resolução de nomes DNS.

Abra o console do DNS Server no Domain Controller (DC) do domínio antigo, selecione a opção de Foward DNS, informe o nome FQDN do novo domínio (novodominio.local) e o IP do novo DC.

No novo DC faça o inverso, vá até o console do DNS Server, em conditional fowarding, e informe o nome FQDN do domínio antigo e o IP do DC.

Após isto você poderá criar a relação de confiança (trust) bidirecional.

Entre em contato se precisar de ajuda.

Marcos Eduardo de Oliveira

Diretor de Tecnologia

MCP | MCT | MCSA | MCITP | MCTS AD | MCTS Network

MCTS Virtualization | Small Business Specialist

Lead Auditor ISO 27001 | ITIL Foundation | Green IT Citizen

Boa noite, obrigado pelo retorno, irei tentar isso amanhã.

Irei retornar com um feedback.

Compartilhar este post


Link para o post
Compartilhar em outros sites
Boa noite, obrigado pelo retorno, irei tentar isso amanhã.

Irei retornar com um feedback.

Marcos bom dia,

Onde eu encontro essa opção?

Poderia detalhar melhor.

Tenho acesso ao AD1(10.150.66.1) e o AD2(172.17.175.1), quero fazer o trust entre ambos.

Acesso eles entre a WAN e tenho zona reversa entre eles, consigo pingar, capturar, acessa diretórios de rede.

Um dos detalhes que está ocorrendo é que na rede do AD2 eu consigo pingar o domínio ****.local, responde ok, agora da rede AD1 (10.150.66.1) eu não consigo pingar o outro domínio ****.local, isso deve ser uma das causas da falha do trust.

Aguardo retorno!

Obrigado!

Compartilhar este post


Link para o post
Compartilhar em outros sites

Olá

No console do DNS, você deve clicar com o botão direito do mouse no nome do servidor e selecionar a opção propriedades.

Na tela que irá se abrir, selecione a guia Forwarders.

Nesta tela você deverá adicionar o IP / Server FQDN.

Entre em contato se precisar de ajuda.

Marcos Eduardo de Oliveira

Diretor de Tecnologia

MCP | MCT | MCSA | MCITP | MCTS AD | MCTS Network

MCTS Virtualization | Small Business Specialist

Lead Auditor ISO 27001 | ITIL Foundation | Green IT Citizen

Compartilhar este post


Link para o post
Compartilhar em outros sites
Olá

No console do DNS, você deve clicar com o botão direito do mouse no nome do servidor e selecionar a opção propriedades.

Na tela que irá se abrir, selecione a guia Forwarders.

Nesta tela você deverá adicionar o IP / Server FQDN.

Entre em contato se precisar de ajuda.

Marcos Eduardo de Oliveira

Diretor de Tecnologia

MCP | MCT | MCSA | MCITP | MCTS AD | MCTS Network

MCTS Virtualization | Small Business Specialist

Lead Auditor ISO 27001 | ITIL Foundation | Green IT Citizen

Opa! então está dando um erro:

The server forwarders cannot be updated!

A zone configuration problem occured.

Boa tarde,

resolvi o problema de não conseguir pingar, na verdade tinha um dos AD's que era replica, deu problema no principal, ai atualizamos o dns, estava com o IP do AD antigo, enfim, agora em ambos ad's/servidores conseguimos pingar.

Mas no caso quando entramos na aba forwarders e tentamos adicionar o FQDN do outro AD e o IP ele dá um erro de zona e não aceita a adição.

Em ambos os AD.

Tentamos fazer a trust mas sem sucesso, dá erro de SC.

Compartilhar este post


Link para o post
Compartilhar em outros sites

Olá

Você está tentando criar o forward DNS entre dois domínios diferentes, correto?

Domínio atual

Nome do domínio: domínioatual.local

IP: 10.0.10.100

Forward DNS: criar forward DNS para dominionovo.local IP 10.0.20.100

Domínio novo

Nome do domínio: domínionovo.local

IP: 10.0.20.100

Forward DNS: criar forward DNS para dominioatual.local IP 10.0.10.100

Entre em contato se precisar de ajuda.

Marcos Eduardo de Oliveira

Diretor de Tecnologia

MCP | MCT | MCSA | MCITP | MCTS AD | MCTS Network

MCTS Virtualization | Small Business Specialist

Lead Auditor ISO 27001 | ITIL Foundation | Green IT Citizen

Compartilhar este post


Link para o post
Compartilhar em outros sites
Olá

Você está tentando criar o forward DNS entre dois domínios diferentes, correto?

Domínio atual

Nome do domínio: domínioatual.local

IP: 10.0.10.100

Forward DNS: criar forward DNS para dominionovo.local IP 10.0.20.100

Domínio novo

Nome do domínio: domínionovo.local

IP: 10.0.20.100

Forward DNS: criar forward DNS para dominioatual.local IP 10.0.10.100

Entre em contato se precisar de ajuda.

Marcos Eduardo de Oliveira

Diretor de Tecnologia

MCP | MCT | MCSA | MCITP | MCTS AD | MCTS Network

MCTS Virtualization | Small Business Specialist

Lead Auditor ISO 27001 | ITIL Foundation | Green IT Citizen

Sim, no AD1, voce coloca o IP do AD2, é isso mesmo..mas dá aquele erro acima... que eu falei

Compartilhar este post


Link para o post
Compartilhar em outros sites

Olá

Nos dois domínios não podem existir zonas DNS com o nome do outro.

Verifique se no servidor antigo existe zona DNS com o nome do domínio novo.

E se no domínio novo existe zona DNS com o nome do domínio novo.

Se existir, remova estas zonas antes de criar o forward DNS.

Entre em contato se precisar de ajuda.

Marcos Eduardo de Oliveira

Diretor de Tecnologia

MCP | MCT | MCSA | MCITP | MCTS AD | MCTS Network

MCTS Virtualization | Small Business Specialist

Lead Auditor ISO 27001 | ITIL Foundation | Green IT Citizen

Compartilhar este post


Link para o post
Compartilhar em outros sites
Olá

Nos dois domínios não podem existir zonas DNS com o nome do outro.

Verifique se no servidor antigo existe zona DNS com o nome do domínio novo.

E se no domínio novo existe zona DNS com o nome do domínio novo.

Se existir, remova estas zonas antes de criar o forward DNS.

Entre em contato se precisar de ajuda.

Marcos Eduardo de Oliveira

Diretor de Tecnologia

MCP | MCT | MCSA | MCITP | MCTS AD | MCTS Network

MCTS Virtualization | Small Business Specialist

Lead Auditor ISO 27001 | ITIL Foundation | Green IT Citizen

Boa tarde, deixa eu explicar melhor:

Hoje temos 2 AD's em 2 sites diferentes conectados via WAN onde podemos acessar a rede do outro usando o DNS. no caso em ambos DNS dos 2 AD's temos as zonas de forward lookp zones configuradas com o domínio local e o domínio do outro AD.

No caso o que você citou ai seria fazer o que?

Excluir o domínio em Forward Lookup Zones?

Outra coisa, o nslookup se eu dar name ele não identifica o nome do servidor,somente o IP, isso num domínio, no outro domínio aparece o nome do servidor. Como posso corrigir isso?

Aguardo retorno.

Obrigado!

cenário:

domínio A

IP: 10.150.66.1 (IP do DC/DNS/DHCP)

IP: 10.150.66.7 (réplica do AD A)

===interconectados via WAN=== sites diferentes

domínio B

IP: 172.17.175.3 (IP do DC/DNS/DHCP)

IP: 172.17.175.4 (réplica do AD B)

==========

Queremos criar um trust entre esses 2 DC's para aparecer no logon das estações os 2 domínios, ambos os lados.

===========

Problema:

Não conseguimos criar o trust.

===========

Como estamos fazendo?

Vamos lá acessar ADD e Trusts em ferramentas administrativa, botão direito no domínio, NEW TRUST, colocamos o nome do outro domínio, escolhemos a opção:

TWO-WAY - BOTH THIS DOMAIN AND THE SPECIFIED DOMAIN

autenticamos com o domain admin, ele diz que criou. até aqui tudo ok!

Confirmamos OUTGOING TRUST

Confirmamos INCOMING TRUST

ai aparece o erro ao VALIDAR

The outgoing trust was successfully validated.

The secure channel (SC) reset on domain controller \\servidorA of domain A to domain B failed with error: There are currently no logon servers available to service the logon request.

No caso, depois eu teria que fazer todo esse processo do outro lado, mas já começa dando erros ai.

Esta melhor explicado? Agradeço demais a ajuda que estão nos passando.

obrigado!

Compartilhar este post


Link para o post
Compartilhar em outros sites

Olá

A primeira coisa a ser feita é corrigir a resolução de nomes DNS e depois fazer a relação de confiança.

No DNS server do domínio antigo não pode ter zona DNS (Forward Lookup Zones) do domínio novo e vice-e-versa.

Quando o domínio antigo tentar resolver algum nome DNS do domínio novo, ele irá encaminhar para o DNS Server do outro domínio, em vez de resolver localmente na zona Forward Lookup Zones local.

Entre em contato se precisar de ajuda.

Marcos Eduardo de Oliveira

Diretor de Tecnologia

MCP | MCT | MCSA | MCITP | MCTS AD | MCTS Network

MCTS Virtualization | Small Business Specialist

Lead Auditor ISO 27001 | ITIL Foundation | Green IT Citizen

Compartilhar este post


Link para o post
Compartilhar em outros sites

Ola consegui resolver, tive que elevar o dominio e floresta do ad antigo para 2003 e ativar o transfer zone do dns em ambos domínios.

Consegui identificar isso basicamente analisando o event viewer.

Obrigado

Compartilhar este post


Link para o post
Compartilhar em outros sites

Caso o autor do tópico necessite, o mesmo será reaberto, para isso deverá entrar em contato com a moderação solicitando o desbloqueio.

Compartilhar este post


Link para o post
Compartilhar em outros sites
Visitante
Este tópico está impedido de receber novos posts.
Entre para seguir isso  





Sobre o Clube do Hardware

No ar desde 1996, o Clube do Hardware é uma das maiores, mais antigas e mais respeitadas publicações sobre tecnologia do Brasil. Leia mais

Direitos autorais

Não permitimos a cópia ou reprodução do conteúdo do nosso site, fórum, newsletters e redes sociais, mesmo citando-se a fonte. Leia mais

×