Active Directory域服务:域信任
Active Directory简介
Active Directory中文意思为活动目录,Active Directory域内的Directory Database(目录数据库)被用来存储用户账户、计算机账号、打印机域共享文件夹等对象,提供目录服务的组件就是Active Directory域服务(Active Directory Domain Service,AD DS)。AD DS负责目录数据库的存储、创建、删除、修改、查询等工作。
Active Directory 存储有关网络上对象的信息,并让管理员和用户可以更容易地使用这些信息。 Active Directory 使用结构化数据存储作为目录信息的逻辑层次组织的基础。
信任(Trust)
两个域之间必须拥有信任关系(Trust Relationship),才可以访问对方域内的资源。而任何一个新的AD DS域被加入到域树后,这个域都会自动信任其上一层的父域,同时父域也会自动信任这个新子域。
一个林中的域之间所有的Active Directory信任关系都具备双向传递性(Two-Way Transitive)。如图中:域A信任域B,且域B信任域C,则域C中的用户访问域A中的资源。(这些用户被分配了访问权限)由于此信任工作是通过Kerberos security protocol来完成的,因此也被称为Kerveros trust。
图中域A信任域B、域B又信任域C、因此域A自动信任域C;另外域C信任域B、域B又信任域A,因此域C自动信任域A。结果是域A和域C之间会自动建立起双向的信任关系。
所以当任何一个新域加入到域树后,都会自动双向信任这个域树内所有的域,只要拥有适当的权限,这个新域内的用户就可以访问其他域内的资源。同理,其他域内的用户也可以访问这个新域内的资源。
信任协议
域控制器使用两种协议对用户和应用程序进行身份验证:
Kerberos version 5(V5)或 NTML。Kerberos V5协议是Active Directory域中的计算机的默认协议。如果事务中的任何计算机都不支持Kerberos V5协议,则使用NTML协议。
信任方向
- 单向信任:单向信任是在两个域之间创建的单向身份验证路径。这表示在域
A和域B之间的单向信任中,域A中的用户可以访问域B中的资源,但是域B中的用户无法访问域A中的资源。单向信任可以是不可传递,也可以是可传递信任,这取决于创建的信任类型。 - 双向信任:
Active Directory林中的所有域信任都是双向的、可传递的信任。创建新的子域时,系统将在新的子域和父域之间自动创建双向可传递信任。在双向信任中,域A信任域B,并且域B信任域A。这表示可以在两个域之间双向传递身份验证请求。双向关系可以是不可传递的,也可以是可传递的,这取决于所创建的信任类型。
信任类型
包括外部信任(不可传递)、快捷方式信任(可传递)、领域信任(可传递或不可传递)、林信任(可传递)。
环境描述
林功能级别是Windows Server 2003
环境配置:
| 域控 | IP | DNS服务器 | 子网掩码 | 网关 |
|---|---|---|---|---|
| Windows Server 2012 | 10.211.55.20 | 10.211.55.20 | 255.0.0.0 | 10.211.55.1 |
| Windows Server 2008 | 10.211.55.25 | 10.211.55.25 | 255.0.0.0 | 10.211.55.1 |
Windows Server 2008上部署DC
配置IP
设置本地管理员密码为21r000@2008
按住Win+R键,打开运行,并在运行中输入“dcpromo”;
Active Directory域服务安装向导自动打开,点击下一步;
操作系统兼容性检查,点击下一步;
选择在新林中新建域,点击下一步;
设定FQDN,点击下一步;自动检查新的林名称和NetBIOS名称;
鉴于网络中尚未部署DNS服务器,勾选DNS服务器,点击下一步;
一路默认,设定目录还原模式密码为21r000@666,点击下一步;
确认域控制器设置,点击下一步;
Active Directory域服务开始自动安装;
Active Directory域服务安装向导完成,点击完成;
提示重启计算机,根据需要选择稍后重启,或者立即重启。
创建信任
两个域之间创建信任很简单,麻烦的是怎么才能让两个域都能互相解析到,方法有很多种,比如,创建辅助区域、创建反向查找区域等等,这里使用的是创建辅助区域。
建立DNS辅助区域
1、在21r000.org的这台域控制器上面,在DNS页面右键打开DNS管理器
在DNS管理器页面选中域名,右键打开‘属性’
选择“区域传送”对话框,勾选“允许区域传送”并选择“只允许到下列服务器”,然后选择“编辑”并添加21r000.local这台域控制器的DNS地址;然后选择“确定”;
然后登录到21r000.local域服务器,转到DNS服务器
找到dns配置后右键打开属性面板
同样在DNS的转发器面板中建立到21r000.org的区域传送。
在接口面板选择“只在下列IP地址”
回到21r000.org,在DNS正向查找区域新建区域。
新建区域向导选择辅助区域。下一步。
输入21r000.local的区域名称
在主DNS服务器中添加21r000.local的服务器地址。
完成区域向导建立
在21r000.local域中用同样的方法建立21r000.org的辅助区域。
创建完成后可以通过“nslookup”看能否互相解析到;
如果有问题,可以先尝试:
Ipconfig /flushdns #清除DNS缓存
ipconfig /registerdns #刷新所有dhcp租约,并重新注册DNS名称
Net stop netlogon #停止netlogon
Net start netlogon #启动netlogon
建立林信任关系
创建好辅助区域后,下面就应该创建信任了:
1.1、登录21r000.local,打开active directory域和信任关系,打开域的属性。
1.2、选择“信任”对话框,并选择“新建信任”;
打开“新建域信任向导”,选择“下一步”;
1.3、输入加入信任域的名称,然后选择“下一步”;
1.4、在“信任传递”选择“可传递”,然后选择“下一步”;
1.5、在“信任方向”选择“双向”,然后选择“下一步”;
1.6、在“信任密码”输入21r000@555,然后选择“下一步”;
1.7、完成建立信任向导
可以看到信任类型。
2.1、在21r000.org中同样建立信任关系
2.2、在“工具”选择“active directory域和信任关系”
2.3、在“信任名称”输入21r000.local,然后选择“下一步”;
2.4、在信任方向选择“双向”,然后选择“下一步”;
2.5、因为在21r000.local域中已经建立了信任关系,所以这里在“信任方”选择“只是这个域”,然后选择“下一步”;(ps:看大佬博文这里选择“此域和指定的域”卡住了好久!!!)
2.6、在传出信任身份验证级别窗口选择“全域身份验证”(一般情况下,我们都会选择“全局性身份验证”;但如果有不同的需求可以选择下面一个“选择性身份验证”,每个选项都有相关说明,这里我就不说了。),然后选择“下一步”;
2.7、建立信任密码为:21r000@555,下一步;
2.8、在“选择信任完毕”窗口选择“下一步”;
2.9、在“信任创建完毕”窗口,选择“下一步”;
2.10、在“确认传出信任”窗口,选择“是,确认传出信任”并选择“下一步”;
2.11、在“确认传入信任”窗口,选择“是,确认传入信任”并选择“下一步”;
2.12、在“正在完成新建信任向导”窗口,选择“完成”;
2.13、在弹出“Active Directory 域服务”选择“确定”;
此时,在信任属性窗口中,可以看到,相关域之间的属性;
到另一个域中打开域信任属性窗口,同样也可以看到两个域之间的信任。
至此,域信任关系建立完毕!!!
感言:
yep,卡了好久,果然不是按大佬博文的操作来进行就能完全成功的,还得靠自己,自己动手丰衣足食嘛!!!
