林域間信任

2017-03-27

30871

多域間訪問的搭建與架設(shè)（建立林域間的信任關(guān)系）注意：首先注意兩個(gè)林域之間建立的信任關(guān)系一定要在有FSMO 角色的主域控間，如沒有FSMO 角色的可能會(huì)出問題。這里給出強(qiáng)行轉(zhuǎn)換角色的方法。強(qiáng)行奪取FSM

多域間訪問的搭建與架設(shè)

（建立林域間的信任關(guān)系）

注意：首先注意兩個(gè)林域之間建立的信任關(guān)系一定要在有FSMO 角色的主域控間，如沒有FSMO 角色的可能會(huì)出問題。這里給出強(qiáng)行轉(zhuǎn)換角色的方法。

強(qiáng)行奪取FSMO 主機(jī)角色了, 可使用以下方法:

命令行界面：

1、打開“命令提示符”, 鍵入：ntdsutil

2、在 ntdsutil 命令提示符下，鍵入：roles

3、在 fsmo maintenance 命令提示符下，鍵入：connections

4、在 service connections 命令提示符下，鍵入：connect to server

5、在 service connections 命令提示符下，鍵入：quit

6、在 fsmo maintenance 命令提示符下，鍵入：seize rid master

上面是以奪取RID 主機(jī)為例，其余主機(jī)奪取過程以上述類似，只是第六步稍有不同。 PDC 模擬器： seize pdc

域命名主機(jī)： seize domain naming master

結(jié)構(gòu)主機(jī)： seize infrastructure master

架構(gòu)主機(jī)： seize schema master

加外注意，如果是跨子網(wǎng)或者兩地VPN 的話，要建立WINS 服務(wù)器映射兩邊機(jī)子，并且兩邊林主域控的DNS 要指回自己（也可以為空，否則可能兩邊不能驗(yàn)證通信，這個(gè)經(jīng)過多次實(shí)驗(yàn)，原理到現(xiàn)在還搞不清楚），還要新建一個(gè)對(duì)方的的DNS Zone。并指定Zone Transfero為對(duì)方的域控IP 地址。

實(shí)驗(yàn)環(huán)境：

西安凌云高科技系統(tǒng)集成由限公司在日常辦公之中使用的域是benet.Com （一個(gè)林）；由于工程部最近接到了一個(gè)項(xiàng)目；搭建了一個(gè)域名為“project.com”（是另一個(gè)林）。然后在該域中一個(gè)共享文件夾讓benet.com 中的工程部的員工來訪問來達(dá)到不同域中的員工互相討論；如何讓不同的域之間的工程部的員工互訪？如何讓不同的域來達(dá)到網(wǎng)絡(luò)的相互信任？如何完成上面的需求？下面我們具體的來一步一步的做？

第 1 頁共 13 頁

實(shí)驗(yàn)?zāi)康模?/p>

理解信任關(guān)系的概念；

理解跨域間訪問的配置方法；

利用AGDLP 規(guī)則實(shí)驗(yàn)外部信任的互訪；

實(shí)驗(yàn)拓?fù)洌?/p>

實(shí)驗(yàn)步驟：

一、理解信任關(guān)系的概念：

首先我們要知道為什么域之間要?jiǎng)?chuàng)建信任的關(guān)系？

我們來看一個(gè)實(shí)例：西安凌云高科技的域名為“angeldevil.com”而廣州分公司的域名為“gz.angeldevil.com”；如果總公司的員工需要訪問分公司域中的資源，訪問資源就需要帳戶的身份驗(yàn)證，而一個(gè)域中的DC 只能驗(yàn)證本域的帳戶身份，不能驗(yàn)證其他域的帳戶。而這時(shí)候就需要在域之間建立信任關(guān)系，使資源所在的域（資源域或信任域）信任帳戶所在的域（賬戶域，被信任域）。

在一般的情況下，林中的默認(rèn)信任域關(guān)系的特點(diǎn)一般有3個(gè)特點(diǎn)：

自動(dòng)建立：林中的域之間的信任關(guān)系是在創(chuàng)建子域或者域樹時(shí)自動(dòng)創(chuàng)建的；

傳遞信任：林中的域的信任關(guān)系是可傳遞的：就像“張三”信任“李四”，“李四”信任“王二”，而“張三”又信任“王二”。

第 2 頁共 13 頁

雙向信任：雙向信任是指在兩個(gè)域之間有兩個(gè)方向上的兩條信任：就像“張三”相信“李四”，“李四”相信“張三”一樣；

信任的類型：林中的信任、林之間的信任；

林中的信任分為：樹根信任和父子信任；林之間的信任是自動(dòng)建立的，而且是雙向的可傳遞的信任關(guān)系；雖然信任關(guān)系的建立為跨訪問資源提供了前提條件，但是成功訪問還是必須設(shè)置權(quán)限：這就需要AGDLP 規(guī)則。

樹根信任：在同一個(gè)林中的兩個(gè)域樹之間的存在；

父子信任：在同一個(gè)域樹中父域和子域之間的存在；

林之間的信任分為：外部信任和林信任。

外部信任是指在不同林的域之間創(chuàng)建的不可信任的傳遞；林信任是在windows service 2003林中特有的信任；是windows service 2003林根域之間的建立的信任，在兩個(gè)windows service 2003 林之間創(chuàng)建林信任可為任一林內(nèi)的各個(gè)域之間提供一種單項(xiàng)或者雙向的可傳遞的信任關(guān)系。

二、配置外部信任；

為了方便我們實(shí)驗(yàn)的配置，我們?cè)谶@里已經(jīng)創(chuàng)建好了域benet.Com 和“project.com”我們只是來了解外部信任怎么來創(chuàng)建：

2.1.0在配置外部信任之前我們首先來配置“轉(zhuǎn)發(fā)器”。（配置轉(zhuǎn)發(fā)器其實(shí)是讓兩個(gè)DNS 互相能夠訪問），選擇DNS 屬性—轉(zhuǎn)發(fā)器，然后填寫對(duì)端的DNS 的IP 地址；如圖是在windows sp1上的設(shè)置；

第 3 頁共 13 頁

當(dāng)然在配置外部信任的時(shí)候雙發(fā)必須要配置，在windows r2上配置和在sp1的方法一樣；

2.1.1在project 域DC 上打開“域和信任關(guān)系的界面”的窗口，然后右擊“project.com”的域名，然后在彈出的快捷菜單中選擇屬性——信任命令，單擊新建信任按鈕就會(huì)出現(xiàn)如圖所示的界面：

第 4 頁共 13 頁

2.1.2然后在彈出的界面中，輸入信任的名，單擊下一步。

2.1.3下來我們選擇信任的方向?yàn)椤皢蜗颍和鈧鳌?。在這里我們?yōu)槭裁匆x擇單向呢？下面我們分別來了解一下這三種選項(xiàng)不同的意義：“雙向”：本地域信任指定域。同時(shí)指定域信任本地域；“單向：內(nèi)傳”：指定域信任本地域；“單向：外傳：”本地域信任指定域。所以在我們?cè)谶@里我們所選擇的是“單向：外傳：”，因?yàn)槲覀兯捎玫氖潜镜氐男湃沃付ǖ摹?/p>

第 5 頁共 13 頁