Trabajo sobre relaciones de

confianza
Erixon Arce Justiniano

Indice
1. Que son las relaciones de confianza entre dominios........................................................................1
2. Tipos de relaciones de confianza: unidirecionales / bidireccionales, transitivas / intransitivas.......1
Confianza unidireccional.................................................................................................................1
Confianza bidireccional...................................................................................................................2
Confianza transitiva.........................................................................................................................2
Confianza intransitiva......................................................................................................................2
3. Qué relaciones crea automáticamente Windows al crear un subdominio, otro dominio dentro del
mismo bosque o un dominio en un nuevo bosque................................................................................2
4. Como podemos, en Windows Server 2012, ver las relaciones de confianza explícitas de nuestro
dominio y crear nuevas relaciones.......................................................................................................3
Bibliografía.........................................................................................................................................19

1. Que son las relaciones de confianza entre dominios

Es una relación establecida entre dos dominios de forma que permite a los usuarios de un dominio
ser reconocidos por los Controladores de Dominio de otro dominio. Estas relaciones permiten a los
usuarios acceder a los recursos de otro dominio, y a los administradores definir los permisos y
derechos de usuario para los usuarios del otro dominio.
Una confianza entre dominios es una relación que se establece entre dominios y que permite a los
usuarios de un dominio ser autenticados por un controlador de dominio de otro dominio. Las
solicitudes de autenticación siguen una ruta de confianza.

2. Tipos de relaciones de confianza: unidirecionales /

bidireccionales, transitivas / intransitivas.

Confianza unidireccional
Es una sola relación de confianza, en la que el dominio A confía en el dominio B. Las solicitudes de
autenticación sólo se pueden transmitir desde el dominio que confía al dominio en el que se confía.
Esto significa que si el dominio A tiene una confianza unidireccional con el dominio B y éste la
tiene con el dominio C, el dominio A no tiene una relación de confianza con el dominio C.
Confianza bidireccional
Todas las confianzas entre dominios de un bosque son confianzas transitivas bidireccionales. En una
confianza bidireccional, el dominio A confía en el dominio B y el dominio B confía en el A. Esto
significa que las solicitudes de autenticación se pueden transmitir entre dos dominios en ambas
direcciones.
Para crear una confianza bidireccional intransitiva, debe crear dos confianzas unidireccionales entre
los dominios implicados.

Confianza transitiva
Todas las confianzas entre dominios de un bosque son transitivas. Son siempre bidireccionales.
Siempre que se crea un nuevo dominio secundario, implícitamente (es decir, automáticamente) se
crea una relación de confianza transitiva bidireccional entre el dominio principal y el nuevo
dominio secundario. De esta forma, las relaciones de confianza transitivas fluyen hacia arriba a
través del árbol de dominios a medida que éste se forma, con lo que se crean relaciones de
confianza transitivas entre todos los dominios del árbol de dominios.

Confianza intransitiva
Está limitada por los dos dominios de la relación y no fluye a cualquier otro dominio del bosque. En
la mayor parte de los casos, debe crear las confianzas intransitivas explícitamente.

3. Qué relaciones crea automáticamente Windows al

crear un subdominio, otro dominio dentro del mismo
bosque o un dominio en un nuevo bosque.
Siempre que se crea un nuevo dominio secundario, implícitamente (es decir, automáticamente) se
crea una relación de confianza transitiva bidireccional entre el dominio principal y el nuevo
dominio secundario. De esta forma, las relaciones de confianza transitivas fluyen hacia arriba a
través del árbol de dominios a medida que éste se forma, con lo que se crean relaciones de
confianza transitivas entre todos los dominios del árbol de dominios.
Cada vez que se crea un árbol de dominios en un bosque, se forma una relación de confianza
transitiva bidireccional entre el dominio raíz del bosque y el nuevo dominio (la raíz del nuevo árbol
de dominios). Si no se agrega ningún dominio secundario al dominio nuevo, la ruta de confianza
está entre este nuevo dominio raíz y el dominio raíz del bosque.
Si se agregan dominios secundarios al dominio nuevo, con lo que se crea un árbol de dominios, la
confianza fluye hacia arriba a través del árbol de dominios hasta el dominio raíz del árbol de
dominios y, de este modo, se extiende la ruta de confianza inicial creada entre la raíz del dominio y
el dominio raíz del bosque.

4. Como podemos, en Windows Server 2012, ver las

relaciones de confianza explícitas de nuestro dominio
y crear nuevas relaciones.

Vamos a crear una relación de confianza entre un dominio bajo Windows Server 2012 R2 y otro con
Windows Server 2008 R2.
Los datos son los siguientes :
-Lab.Lab – W2012R2 – 192.168.192.133
-Data.test – W2008R2 – 192.168.192.137
Obviamente hay conectividad TCP/IP entre ellos.
Empezamos por ejemplo desde la consola de administración de DNS, del servidor 2012R2 y
agregamos un reenviador condicional, que sera la IP del otro dominio.

Agregamos los datos del dominio data.test y su IP

Seguidamente volvemos a revisarlo y vemos que es correcto.
Realizamos la misma acción, en el DC 2008R2, agregamos el reenviador condicional del dominio
lab.lab
Una vez realizadas esas configuraciones previas, vamos a la consola de dominios y confianzas de
AD, lo realizaremos desde el DC W2012 R2 , pestaña propiedades.

Nueva confianza.
Indicamos el nombre del dominio con el que la vamos a establecer : data.test
Confianza de bosque, para que tanto los usuarios de un dominio como del otro puedan validarse
correctamente.
Bidireccional, lo mismo, para que sea lo mas transparente posible.

El asistente nos da la opción de configurar también la relación en el otro DC, por eso selecciono
crear la relación en ambos.
Hemos de indicar las credenciales de un usuario con permisos del dominio DATA.

Autentificación de bosque, tanto entrante como saliente.

Pantallas de confirmación.
Y confirmamos la confianza tanto saliente como entrante.
Como vemos ya aparecen las confianzas.
En la consola de W2008R2 también aparece.

Ahora podemos ver que desde el dominio LAB, podemos agregar usuarios del dominio DATA a un
recurso compartido.
Y funciona!
Al revés también funciona, esa es la idea!
Desde la ventana de Dominios y confianzas de Active Directory, se puede crear una relación de
confianza.
Y si hacemos click-derecho a nuestro dominio desde la misma ventana y elegimos propiedades.
En la ventana nueva que nos aparece nos vamos a confianzas y ahí aparecen las relaciones de
confianzas.
Bibliografía
https://www.ecured.cu/Relaciones_de_confianza#Confianza_unidireccional
https://blogs.itpro.es/espinosaitpro/2017/01/22/windows-server-2012-r2-relacion-de/