不懂什么是AD域服務信任關系的小伙伴先不要着急去上手部署
建議先看一下AD域信任關系和域組策略(理論篇)(ง •_•)ง
操作環境:windows 2000的兩個獨立域AA.com與BB.com(域已經建立好了)。
AA.com的網段為192.168.0.x,AA.com域管理服務器所在的IP為192.168.0.1,機器名為aa。
BB.com的網段為192.168.3.x,BB.com域管理服務器所在的IP為192.168.3.1,機器名為bb。
兩個域用VPN建立好連接,可互相ping通。
操作目的:建立互相信任的關系(單向信任關系也可參考,基本相同)。
操作過程:
1、建立DNS。
DNS必須使用服務器的,而不能使用公網的,因為要對域進行解析。由於在AA.com和BB.com上的步驟相同,故只以AA.com為例。
在192.168.0.1上打開管理工具->DNS->連接到計算機->這台計算機(做為小公司,一般域服務器也用於DNS的解析)。在其正向搜索區域里新建區域->Active Directory集成的區域,輸入aa.com,區域文件就叫aa.com.dns好了,然后完成。
右擊新建的aa.com,選擇屬性->常規,把允許動態更新改變為是。
然后在正向搜索區域里新建區域->標准輔助區域,輸入bb.com,IP地址輸入192.168.3.1,然后完成。
右擊新建的bb.com,選擇從主服務器傳輸。
在反向搜索區域里新建區域->Directory集成的區域,輸入網絡ID192.168.0,然后完成。
右擊新建的192.168.0.x Subnet,選擇屬性->常規,把允許動態更新改變為是。
現在aa.com的DNS已經建立好了,bb.com的也按此建立。
在192.168.0.1上進行測試,注意:DNS的傳輸可能需要一定的時間,最好在半個小時到一個小時后進行測試。
(1)測試域名解析:ping aa.com
正常的為
Pinging aa.com [192.168.0.1] with 32 bytes of data:
Reply from 192.168.0.1: bytes=32 time<1ms TTL=64
Reply from 192.168.0.1: bytes=32 time<1ms TTL=64
Reply from 192.168.0.1: bytes=32 time<1ms TTL=64
Reply from 192.168.0.1: bytes=32 time<1ms TTL=64
Ping statistics for 192.168.0.1:
Packets: Sent = 4, Received = 4, Lost = 0 (0% loss),
Approximate round trip times in milli-seconds:
Minimum = 0ms, Maximum = 0ms, Average = 0ms
這說明aa.com域已經解析好,如果ping bb.com也能得到類似的響應,說明bb.com的解析也完成。
(2)測試反向搜索:nslookup 192.168.0.1
正常的為
Server: aa.aa.com
Address: 192.168.0.1
Name: aa.aa.com
Address: 192.168.0.1
如果在bb.com的域服務器上也測試成功,則可以建立域信任關系了。
2、建立域信任關系
在aa機器上管理工具->Active Directory 域和信任關系里可以看到自己的域aa.com,在它上面屬性->信任里,此域信任的域和信任此域的域里添加bb.com。
現在就大功告成了。
注意:如果服務器里有兩塊網卡,其中有一塊不用的,最好將此網卡禁用了。
如果有做它用,請用route -p來明確路由方向。
Windows 多域間的訪問
域樹:公用連續域名空間的windows域。具有相同的域名后綴。域樹的第一個域是域樹的根域。單個域構成單個域的樹。
向域中添加的任何新域稱為子域。由本身的名字和父域域名結合成DNS名。
單個域樹或者多個域樹構成林。林中不同的域樹不共用連續的域名空間。林中的所有域公用相同的配置架構和全局編錄。
在林中創建的第一個域為林的根域。存在Enterprise admins 和schema admins 組。
Enterprise admins 企業管理員組成員,可以對活動目錄中的整個林做修改。例如添加子域。
Schema admins 架構管理員組成員 , 可對活動目錄中整個林做架構修改。
安裝活動目錄的條件:
1、 擁有本地管理員權限
2、 操作系統版本(WEB版本除外)
3、 本地磁盤至少有一個NTFS分區
4、 TCP/IP設定。(固定IP )
5、 相應的DNS支持
6、 足夠的空間
創建子域時,管理權限:Enterprise admins 、domain admins成員。
在一個林中創建多域的原因:
1、 部門(或分公司)之間有不同的安全策略要求,可以針對部門或分公司創建域。
2、 有大量的活動目錄對象,可以分解成多個域,使每個域活動目錄對象較少。
3、 分散網絡管理,而不是有一個域管理員管理,多個域多個域管理員。
4、 對復制進行更多的控制。
域之間建立信任關系
資源域(信任域):資源所在的域。賬戶域(被信任的域):信任賬戶所在的域。
林中默認的信任關系:父子信任、樹根信任,不可刪除的。
信任關系特點:
1、 自動建立。在創建子域或域樹時自動建立。
2、 傳遞信任(可傳遞的)。A信任B,B信任C,則A信任C。
3、 雙向信任。兩個域兩個方向上的兩條信任路徑。
林中跨域訪問:AGDLP原則
跨域訪問的兩種方式:
1、 用戶試用本域的計算機通過網絡方式訪問資源。
2、 用戶使用資源域的計算機訪問資源。
林之間的信任:外部信任、林信任
外部信任:在不同的域之間創建的不可傳遞的信任。
林信任:windows server 2003林特有的信任。Windows server 2003林根域之間建立的信任,提供單向或雙向可傳遞的信任關系。
信任方向:
雙向:本地域信任指定域,同時指定域信任本地域。
單向(外傳):本地域信任指定域。
單向(內傳):指定域信任本地域。
由於信任關系是在兩個域之間建立的,如果域A(本地域)建立一個單向:外傳信任,則需要域B(指定域)必須建立一個單向:內傳信任。選擇“這個域和指定的域”,就會在指定域自動建立一個單向:內傳信任。
林間外部信任的特點:
1、 手動建立 2、信任關系不可傳遞 3、信任方向有單向和雙向兩種。
林信任:
前提條件:林的功能級別設置為:windows server 2003。升級林功能級別之前,需要將林中所有域的域功能級別設置為windows 2000純模式或windows server 2003模式。
域的功能級別 支持的域控 Windows 2000混合模式 windows NT4.0 ,windows2000server ,windows server 2003 Windows2000本機(純模式) windows 2000 server ,windows server 2003 家族 Windows server 2003 模式 windows server 2003 家
林的功能級別 支持的域控 Windows 2000 windows NT4.0 ,windows 2000, windows 2003 Windows 2003 windows server 2003
林信任的特點:
1、 林功能級別為windows server 2003 才能創建
2、 只有在林根域之間才能創建
3、 信任關系可傳遞
4、 信任關系為單向和雙向兩種。