Active Directory簡介
Active Directory中文意思為活動目錄,Active Directory域內的Directory Database(目錄數據庫)被用來存儲用戶賬戶、計算機賬號、打印機域共享文件夾等對象,提供目錄服務的組件就是Active Directory域服務(Active Directory Domain Service,AD DS)。AD DS負責目錄數據庫的存儲、創建、刪除、修改、查詢等工作。
Active Directory 存儲有關網絡上對象的信息,並讓管理員和用戶可以更容易地使用這些信息。 Active Directory 使用結構化數據存儲作為目錄信息的邏輯層次組織的基礎。
信任(Trust)
兩個域之間必須擁有信任關系(Trust Relationship),才可以訪問對方域內的資源。而任何一個新的AD DS域被加入到域樹后,這個域都會自動信任其上一層的父域,同時父域也會自動信任這個新子域。
一個林中的域之間所有的Active Directory信任關系都具備雙向傳遞性(Two-Way Transitive)。如圖中:域A信任域B,且域B信任域C,則域C中的用戶訪問域A中的資源。(這些用戶被分配了訪問權限)由於此信任工作是通過Kerberos security protocol來完成的,因此也被稱為Kerveros trust。
圖中域A信任域B、域B又信任域C、因此域A自動信任域C;另外域C信任域B、域B又信任域A,因此域C自動信任域A。結果是域A和域C之間會自動建立起雙向的信任關系。
所以當任何一個新域加入到域樹后,都會自動雙向信任這個域樹內所有的域,只要擁有適當的權限,這個新域內的用戶就可以訪問其他域內的資源。同理,其他域內的用戶也可以訪問這個新域內的資源。
信任協議
域控制器使用兩種協議對用戶和應用程序進行身份驗證:
Kerberos version 5(V5)或 NTML。Kerberos V5協議是Active Directory域中的計算機的默認協議。如果事務中的任何計算機都不支持Kerberos V5協議,則使用NTML協議。
信任方向
- 單向信任:單向信任是在兩個域之間創建的單向身份驗證路徑。這表示在域
A和域B之間的單向信任中,域A中的用戶可以訪問域B中的資源,但是域B中的用戶無法訪問域A中的資源。單向信任可以是不可傳遞,也可以是可傳遞信任,這取決於創建的信任類型。 - 雙向信任:
Active Directory林中的所有域信任都是雙向的、可傳遞的信任。創建新的子域時,系統將在新的子域和父域之間自動創建雙向可傳遞信任。在雙向信任中,域A信任域B,並且域B信任域A。這表示可以在兩個域之間雙向傳遞身份驗證請求。雙向關系可以是不可傳遞的,也可以是可傳遞的,這取決於所創建的信任類型。
信任類型
包括外部信任(不可傳遞)、快捷方式信任(可傳遞)、領域信任(可傳遞或不可傳遞)、林信任(可傳遞)。
環境描述
林功能級別是Windows Server 2003
環境配置:
| 域控 | IP | DNS服務器 | 子網掩碼 | 網關 |
|---|---|---|---|---|
| Windows Server 2012 | 10.211.55.20 | 10.211.55.20 | 255.0.0.0 | 10.211.55.1 |
| Windows Server 2008 | 10.211.55.25 | 10.211.55.25 | 255.0.0.0 | 10.211.55.1 |
Windows Server 2008上部署DC
配置IP
設置本地管理員密碼為21r000@2008
按住Win+R鍵,打開運行,並在運行中輸入“dcpromo”;
Active Directory域服務安裝向導自動打開,點擊下一步;
操作系統兼容性檢查,點擊下一步;
選擇在新林中新建域,點擊下一步;
設定FQDN,點擊下一步;自動檢查新的林名稱和NetBIOS名稱;
鑒於網絡中尚未部署DNS服務器,勾選DNS服務器,點擊下一步;
一路默認,設定目錄還原模式密碼為21r000@666,點擊下一步;
確認域控制器設置,點擊下一步;
Active Directory域服務開始自動安裝;
Active Directory域服務安裝向導完成,點擊完成;
提示重啟計算機,根據需要選擇稍后重啟,或者立即重啟。
創建信任
兩個域之間創建信任很簡單,麻煩的是怎么才能讓兩個域都能互相解析到,方法有很多種,比如,創建輔助區域、創建反向查找區域等等,這里使用的是創建輔助區域。
建立DNS輔助區域
1、在21r000.org的這台域控制器上面,在DNS頁面右鍵打開DNS管理器
在DNS管理器頁面選中域名,右鍵打開‘屬性’
選擇“區域傳送”對話框,勾選“允許區域傳送”並選擇“只允許到下列服務器”,然后選擇“編輯”並添加21r000.local這台域控制器的DNS地址;然后選擇“確定”;
然后登錄到21r000.local域服務器,轉到DNS服務器
找到dns配置后右鍵打開屬性面板
同樣在DNS的轉發器面板中建立到21r000.org的區域傳送。
在接口面板選擇“只在下列IP地址”
回到21r000.org,在DNS正向查找區域新建區域。
新建區域向導選擇輔助區域。下一步。
輸入21r000.local的區域名稱
在主DNS服務器中添加21r000.local的服務器地址。
完成區域向導建立
在21r000.local域中用同樣的方法建立21r000.org的輔助區域。
創建完成后可以通過“nslookup”看能否互相解析到;
如果有問題,可以先嘗試:
Ipconfig /flushdns #清除DNS緩存
ipconfig /registerdns #刷新所有dhcp租約,並重新注冊DNS名稱
Net stop netlogon #停止netlogon
Net start netlogon #啟動netlogon
建立林信任關系
創建好輔助區域后,下面就應該創建信任了:
1.1、登錄21r000.local,打開active directory域和信任關系,打開域的屬性。
1.2、選擇“信任”對話框,並選擇“新建信任”;
打開“新建域信任向導”,選擇“下一步”;
1.3、輸入加入信任域的名稱,然后選擇“下一步”;
1.4、在“信任傳遞”選擇“可傳遞”,然后選擇“下一步”;
1.5、在“信任方向”選擇“雙向”,然后選擇“下一步”;
1.6、在“信任密碼”輸入21r000@555,然后選擇“下一步”;
1.7、完成建立信任向導
可以看到信任類型。
2.1、在21r000.org中同樣建立信任關系
2.2、在“工具”選擇“active directory域和信任關系”
2.3、在“信任名稱”輸入21r000.local,然后選擇“下一步”;
2.4、在信任方向選擇“雙向”,然后選擇“下一步”;
2.5、因為在21r000.local域中已經建立了信任關系,所以這里在“信任方”選擇“只是這個域”,然后選擇“下一步”;(ps:看大佬博文這里選擇“此域和指定的域”卡住了好久!!!)
2.6、在傳出信任身份驗證級別窗口選擇“全域身份驗證”(一般情況下,我們都會選擇“全局性身份驗證”;但如果有不同的需求可以選擇下面一個“選擇性身份驗證”,每個選項都有相關說明,這里我就不說了。),然后選擇“下一步”;
2.7、建立信任密碼為:21r000@555,下一步;
2.8、在“選擇信任完畢”窗口選擇“下一步”;
2.9、在“信任創建完畢”窗口,選擇“下一步”;
2.10、在“確認傳出信任”窗口,選擇“是,確認傳出信任”並選擇“下一步”;
2.11、在“確認傳入信任”窗口,選擇“是,確認傳入信任”並選擇“下一步”;
2.12、在“正在完成新建信任向導”窗口,選擇“完成”;
2.13、在彈出“Active Directory 域服務”選擇“確定”;
此時,在信任屬性窗口中,可以看到,相關域之間的屬性;
到另一個域中打開域信任屬性窗口,同樣也可以看到兩個域之間的信任。
至此,域信任關系建立完畢!!!
感言:
yep,卡了好久,果然不是按大佬博文的操作來進行就能完全成功的,還得靠自己,自己動手豐衣足食嘛!!!
