Windows域信任关系建立
不懂什么是AD域服务信任关系的小伙伴先不要着急去上手部署
建议先看一下AD域信任关系和域组策略(理论篇)(ง •_•)ง
操作环境:windows 2000的两个独立域AA.com与BB.com(域已经建立好了)。
AA.com的网段为192.168.0.x,AA.com域管理服务器所在的IP为192.168.0.1,机器名为aa。
BB.com的网段为192.168.3.x,BB.com域管理服务器所在的IP为192.168.3.1,机器名为bb。
两个域用VPN建立好连接,可互相ping通。
操作目的:建立互相信任的关系(单向信任关系也可参考,基本相同)。
操作过程:
1、建立DNS。
DNS必须使用服务器的,而不能使用公网的,因为要对域进行解析。由于在AA.com和BB.com上的步骤相同,故只以AA.com为例。
在192.168.0.1上打开管理工具->DNS->连接到计算机->这台计算机(做为小公司,一般域服务器也用于DNS的解析)。在其正向搜索区域里新建区域->Active Directory集成的区域,输入aa.com,区域文件就叫aa.com.dns好了,然后完成。
右击新建的aa.com,选择属性->常规,把允许动态更新改变为是。
然后在正向搜索区域里新建区域->标准辅助区域,输入bb.com,IP地址输入192.168.3.1,然后完成。
右击新建的bb.com,选择从主服务器传输。
在反向搜索区域里新建区域->Directory集成的区域,输入网络ID192.168.0,然后完成。
右击新建的192.168.0.x Subnet,选择属性->常规,把允许动态更新改变为是。
现在aa.com的DNS已经建立好了,bb.com的也按此建立。
在192.168.0.1上进行测试,注意:DNS的传输可能需要一定的时间,最好在半个小时到一个小时后进行测试。
(1)测试域名解析:ping aa.com
正常的为
Pinging aa.com [192.168.0.1] with 32 bytes of data:
Reply from 192.168.0.1: bytes=32 time<1ms TTL=64
Reply from 192.168.0.1: bytes=32 time<1ms TTL=64
Reply from 192.168.0.1: bytes=32 time<1ms TTL=64
Reply from 192.168.0.1: bytes=32 time<1ms TTL=64
Ping statistics for 192.168.0.1:
Packets: Sent = 4, Received = 4, Lost = 0 (0% loss),
Approximate round trip times in milli-seconds:
Minimum = 0ms, Maximum = 0ms, Average = 0ms
这说明aa.com域已经解析好,如果ping bb.com也能得到类似的响应,说明bb.com的解析也完成。
(2)测试反向搜索:nslookup 192.168.0.1
正常的为
Server: aa.aa.com
Address: 192.168.0.1
Name: aa.aa.com
Address: 192.168.0.1
如果在bb.com的域服务器上也测试成功,则可以建立域信任关系了。
2、建立域信任关系
在aa机器上管理工具->Active Directory 域和信任关系里可以看到自己的域aa.com,在它上面属性->信任里,此域信任的域和信任此域的域里添加bb.com。
现在就大功告成了。
注意:如果服务器里有两块网卡,其中有一块不用的,最好将此网卡禁用了。
如果有做它用,请用route -p来明确路由方向。
Windows 多域间的访问
域树:公用连续域名空间的windows域。具有相同的域名后缀。域树的第一个域是域树的根域。单个域构成单个域的树。
向域中添加的任何新域称为子域。由本身的名字和父域域名结合成DNS名。
单个域树或者多个域树构成林。林中不同的域树不共用连续的域名空间。林中的所有域公用相同的配置架构和全局编录。
在林中创建的第一个域为林的根域。存在Enterprise admins 和schema admins 组。
Enterprise admins 企业管理员组成员,可以对活动目录中的整个林做修改。例如添加子域。
Schema admins 架构管理员组成员 , 可对活动目录中整个林做架构修改。
安装活动目录的条件:
1、 拥有本地管理员权限
2、 操作系统版本(WEB版本除外)
3、 本地磁盘至少有一个NTFS分区
4、 TCP/IP设定。(固定IP )
5、 相应的DNS支持
6、 足够的空间
创建子域时,管理权限:Enterprise admins 、domain admins成员。
在一个林中创建多域的原因:
1、 部门(或分公司)之间有不同的安全策略要求,可以针对部门或分公司创建域。
2、 有大量的活动目录对象,可以分解成多个域,使每个域活动目录对象较少。
3、 分散网络管理,而不是有一个域管理员管理,多个域多个域管理员。
4、 对复制进行更多的控制。
域之间建立信任关系
资源域(信任域):资源所在的域。账户域(被信任的域):信任账户所在的域。
林中默认的信任关系:父子信任、树根信任,不可删除的。
信任关系特点:
1、 自动建立。在创建子域或域树时自动建立。
2、 传递信任(可传递的)。A信任B,B信任C,则A信任C。
3、 双向信任。两个域两个方向上的两条信任路径。
林中跨域访问:AGDLP原则
跨域访问的两种方式:
1、 用户试用本域的计算机通过网络方式访问资源。
2、 用户使用资源域的计算机访问资源。
林之间的信任:外部信任、林信任
外部信任:在不同的域之间创建的不可传递的信任。
林信任:windows server 2003林特有的信任。Windows server 2003林根域之间建立的信任,提供单向或双向可传递的信任关系。
信任方向:
双向:本地域信任指定域,同时指定域信任本地域。
单向(外传):本地域信任指定域。
单向(内传):指定域信任本地域。
由于信任关系是在两个域之间建立的,如果域A(本地域)建立一个单向:外传信任,则需要域B(指定域)必须建立一个单向:内传信任。选择“这个域和指定的域”,就会在指定域自动建立一个单向:内传信任。
林间外部信任的特点:
1、 手动建立 2、信任关系不可传递 3、信任方向有单向和双向两种。
林信任:
前提条件:林的功能级别设置为:windows server 2003。升级林功能级别之前,需要将林中所有域的域功能级别设置为windows 2000纯模式或windows server 2003模式。
域的功能级别 支持的域控 Windows 2000混合模式 windows NT4.0 ,windows2000server ,windows server 2003 Windows2000本机(纯模式) windows 2000 server ,windows server 2003 家族 Windows server 2003 模式 windows server 2003 家
林的功能级别 支持的域控 Windows 2000 windows NT4.0 ,windows 2000, windows 2003 Windows 2003 windows server 2003
林信任的特点:
1、 林功能级别为windows server 2003 才能创建
2、 只有在林根域之间才能创建
3、 信任关系可传递
4、 信任关系为单向和双向两种。