El otro día estuve haciendo una instalación de un entorno no productivo en el cual siempre había tenido problemas con el acceso con las cuentas de dominio. La configuración exacta del dominio la desconozco pero debido a otro proyecto diferente se me han aclarado unas cuantas cosas que voy a intentar explicar.
Partamos de un bosque de un sólo dominio al que vamos a llamar contoso.msft (viejos tiempos del MCSE...todo queda). Para publicarlo a internet definimos un alias de dominio mediante las herramientas del DA y lo enmascaramos como contoso.es. El nombre NetBios del dominio será contonso.
Este escenario se presenta de cara a unificar dominios del Directorio Activo que la dirección del dominio de la empresa no coincide con el nombre del dominio Directorio Activo. Siendo que esto no es en ningún caso necesario para su funcionamiento correcto.
El tema es el siguiente,para el usuario conesosojitos tendremos los siguientes cuentas o maneras de acceder a un recursos, arrancar un servicio, etc.
- contoso.msft\conesosojitos
- conesosojitos@contoso.msft
- contoso\conesosojitos
- contoso.es\conesosojitos
- conesosojitos@contoso.es
Al realizar la instalación si configuramos los usuarios utilizando el nombre del dominio enmascarado mediante UPN, funcionará correctamente y realizará la instalación siempre que el usuario cumpla con los requisitos de seguridad de instalación.
De la misma manera al realizar la configuración de productos y servicios de MOSS 2007 no indicará ningún problema. Menos aún al acceder a la consola de administración.
Los problemas empezarán justo en este punto, en el que empezaremos a ver errores en el registro de los frontales web, en los que empieza a indicar errores referentes a cuentas con contraseña o password incorrectas o que no encuentran un contexto de seguridad válido.
Para agrabar los problemas, si se intenta crear un Shared Service Provider o SSP o Proveedor de Servicios Compartidos (ya no sé ni como llamarlos), este se quedará "cruzado", es decir no conseguirá aprovisionar el SSP y no habrá manera de eliminarlo ni reconfigurado. Por mucho que se cambien las cuentas (es decir el dominio) no habrá manera de solucionarlo.
Todo pasará por desconectar el frontal y volver a conectarlo, configurando las cuentas de manera adecuada. Llegados a este punto, yo en todo momento optaría por desconectar de la granja, demontar las BBDD del SQL Server y eliminarlas. Empezar de nuevo pero con una configuración correcta. Asumo que esto es posible, ya que si se está instalando el servidor y no se consigue hacer funcionar será que no hay información en el entorno.....digo yo :).
Este error lo reproducí en un escenario de pruebas pero con una configuración de dos bosques con relación de confianza bi-direccional en el que uno de ellos contaba con un alias UPN, al haberlo dejado de manera estándar, es decir configurarlo a través de las herramientas administrativas no sabía resolver correctamente los dominios y se hacía el lío.
A través de los registros del DNS esto lo solucioné inicando los registros necesarios para realizar la configuración correcta del alias UPN. Adicionalmente si se dispone de una infraestructura Kerberos para la autenticación se deberá revisar que los "dominios" Kerberos estén correctamente configurados.
0 comentarios:
Publicar un comentario