在現實的業務場景中,有時為了更好的管理域用戶和服務。我們往往會創建多個分散式的域,每個域的Administrator專注於維護特定域中的用戶和資源,Administrator也可以定義安全策略,比如賬號策略等。
場景介紹
現有如下場景,一個二層拓撲的SharePoint Farm包含一台SharePoint Server,DB Server,AD(假設Contoso.com) ,毫無疑問AD Contoso.com承載了SharePoint的身份認證。現需要再加入一台AD(假設為Mintcode.Local),如下圖所示:
如上圖所示那樣,contoso.com與mintcode.local之間建立了單向(One-Way)的外傳信任關系,即Contoso.com信任Mintcode.Local。這樣Mintcode.local域中用戶能被Contoso.com域驗證,但Contoso.com域中用戶不能被mintcode.local域認證。
理清了業務場景后,接下來就是怎樣去實現了。
准備工作
回顧下上述的拓撲圖,有如下兩台AD域服務器:
Contoso.com的IP 地址:192.168.123.14
Mintcode.local的IP 地址:192.168.16.7
好了,磨刀不誤砍柴工,讓我們開始實現吧,首先需准備如下工作——
- 域服務器之間必須有同樣的域功能級別(Domain Functional Level),因為承載了SharePoint 身份認證的域服務器已經是域控了,那么另一台AD也必須提升域功能級別為域控。
打開Active Directory域和信任關系à選中Domainà提升域功能級別
- DNS或者NETBIOS能夠互相被解析,即 Ping 域名可以解析成對應的IP 地址或者nslookup域名也可以成功診斷DNS結構信息。要實現這個有3種方式——
1.DNS指向
設置IP地址,使其DNS指向目標服務器,如下所示:
記得刷新DNS解析緩存
2.建立條件轉發器
在Contoso.com DNS中新建條件轉發器,記得刷新
3.建立輔助區域
3.1.打開mintcode.local(192.168.16.7)DNS
3.2.選中mintcode.localà屬性à允許區域傳送à只允許到下列服務器
3.3.打開contoso.com(192.168.123.14)DNS
3.4.新建輔助區域
3.5.指定主服務器IP地址
上述3中實現方式,采用任意一種實現方式都行。不管怎樣實現,最總的目的都是相同的,能將域名解析成IP地址,如下所示:
建立域之間的信任關系
怎樣建立域之間的信任關系,One-Way、Two-Way,微軟給了詳細的操作步驟(http://technet.microsoft.com/zh-cn/library/cc816837(v=WS.10).aspx)。
按照上述的拓撲圖,需要Mintcode.local中的用戶能夠在Contoso.com域中認證,為此我需要建立一種One-Way的信任,即Contoso.com信任Mintcode.local。
有了上述的准備工作后,讓我們來實現One-Way Trust吧,當然你也可以Two-Way,只不過在我的場景中One-Way足矣了。
- 打開Active Directory域和信任關系à屬性à信任選項卡à新建信任
- 指定信任名稱
- 信任類型為外部信任
- 信任方向為單向:外傳,即指定域的用戶可以在這個域中得到身份驗證
- 確定下信任方
- 輸入mintcode.local的用戶名和密碼
- 選擇身份驗證范圍
- 成功創建信任關系
- 信任創建完畢
- 確認傳出信任
- 成功創建好了信任關系
- 創建成功后,在信任選項卡中已成功創建了外向信任mintcode.local
- 登陸mintcode.local(192.168.16.7),檢查下是否已經自動創建了內向信任(contoso.com)
自定義SharePoint PeoplePicker
結束了嗎,當然沒,可以做的更好,對人員選擇器進行搜索的定制,使其在指定的域中抓取人員信息。
在SharePoint Server上鍵入如下命令行:
微軟也給了很好的解釋,詳見http://technet.microsoft.com/en-us/library/gg602075(v=office.15).aspx
最后記得同步下User Profile Service,在Populate Containers把mintcode.local包含進來(怎樣配置UPS,這是個繁瑣的事,詳見后續文章)
小結
根據不同的場景,你可以選擇一個或者多個AD域服務器,優勢利弊,不做過多分析,根據實際的需求來即可。