Windows Server 笔记(六):Active Directory域服务:域信任

时间  2020-01-02
标签 windows server 笔记 active directory 服务 信任 栏目 Windows 繁體版
原文   原文链接

  域使一个安全边界,在有些状况下,咱们须要越过这个边界,那么这个时候,咱们就须要使用域信任了。缓存

  举个例子,有两个域,nswl.localxuelan.local这两个域,若是当nswl.local域的用户须要访问xuelan.local域中的资源,或xualan.local域中帐户须要在nswl.local的域中进行帐户验证,那么,你能够经过在两个域之间设置信任来实现;安全

 

  信任能够分为单向信任和双向信任,单向信任就是A信任B,而B不信任A;双向信任则是,A信任BB也信任A;同时域的信任也是可传递的,如,A信任BB信任C,那么A也信任C;信任也分林信任和外部信任,这二者的区别在于,林信任能够被传递到林中的全部域,而外部信任则不会传递。设置了域信任关系会不会影响安全?信任关系不会影响安全,只是容许对方访问,至于访问权限,仍然须要管理员受权;这也是为何咱们应该避免在资源上给每一个人(everyone)容许权限,由于一旦创建信任,那么受信任的域中的每一个人都将可以访问这些资源。服务器

 

林功能级别是Windows Server 2003架构

 

实验架构:ide

wKioL1YKHoHRqpxPAAD8030UOsg294.jpg

 

 

两个域之间建立信任很简单,麻烦的是怎么才能让两个域都能互相解析到,方法有不少种,好比,建立辅助区域、建立反向查找区域等等,我这里使用的是建立辅助区域:spa

1、在nswl.local的这台域控制器上面,打开DNS管理器,右击选择“属性”,选择“区域传送”对话框,勾选“容许区域传送”并选择“只容许到下列服务器”,而后选择“编辑”并添加xuelan.local这台域控制器的DNS地址;而后选择“肯定”;3d

wKioL1YKHpyye9OYAAGWfmErbrc735.jpg

 

2、在xuelan.local这个域中,打开DNS管理器,右击“正想查找区域”并选择“新建区域”;xml

wKiom1YKHqSwuKrYAAGJKg6EtDM302.jpg

 

3、打开“欢迎使用新建区域向导”窗口,并选择“下一步”;blog

wKiom1YKHq3Auqw3AAFt89hmio4571.jpg

 

4、在区域类型页面,选择“辅助区域”并选择“下一步”;dns

wKioL1YKHsfiV5qoAAHNlYfjHmA002.jpg

 

5、输入区域名称(咱们这里须要的是复制nswl.localDNS区域,因此这里输入的是nswl.local。),而后选择“下一步”;

wKioL1YKHtLhciDeAAF8lsrGWHo156.jpg

 

6、输入前面输入的区域名称所在的服务器的IP地址,并选择“添加”,而后选择“下一步”;

wKiom1YKHtuzlRcsAAFNc5K9FEY283.jpg

 

7、建立成功后,选择“完成”;

wKioL1YKHvDQ3cjGAAGzP9FNBos125.jpg

 

8、此时打开DNS管理器会发现多了一个nswl.local区域;

wKioL1YKHvqgVf5PAAHtWvAxiY0587.jpg

 

使用一样的方法,在xuelan.local这个域的DNS服务器管理里面开启区域传送,并将nswl.local这个域的DNS服务器添加到容许列表中,而后再nswl.local这个域的DNS服务器管理中新建辅助区域。

建立完成后能够经过“nslookup”看可否互相解析到;

若是有问题,能够先尝试:

Ipconfig  /flushdns           清除DNS缓存

ipconfig /registerdns          刷新全部dhcp租约,并从新注册DNS名称

Net stop netlogon                 中止netlogon

Net start netlogon                启动netlogon

 

 

建立好辅助区域后,下面就应该建立信任了:

1、打开“Active Directory 域和信任关系”右击域名,选择“属性”;

wKioL1YKH0fCkbI5AAEZP5nTSoI249.jpg

 

2、选择“信任”对话框,并选择“新建信任”;

wKiom1YKH07yzE8bAAEpoTp-UF4516.jpg

 

3、打开“新建域信任向导”,选择“下一步”;

wKioL1YKH2KB4iEKAAF3bAd3E3Y371.jpg

 

4、输入加入信任域的名称,而后选择“下一步”;

wKiom1YKH2ThDguXAAEmh0jBIUY298.jpg

 

5、在“信任类型”选择“外部信任”(这种信任是不可传递的。),而后选择“下一步”;

wKioL1YKH3zDW9k6AAF48sk2vKE863.jpg

 

6、在信任方向选择“双向”,而后选择“下一步”;

wKiom1YKH36RijalAAFXmYtLbjs629.jpg

 

7、在信任方选择“此域和指定的域”;而后选择“下一步”;

wKiom1YKH4qg8a7fAAGjAIuszqI459.jpg

 

8输入xuelan.local域的管理员帐户密码,而后选择“下一步”;

wKioL1YKH62Bo0kNAAEhvEKpyu8063.jpg

 

9、在传出信任身份验证级别窗口选择“全域身份验证”(通常状况下,咱们都会选择“全局性身份验证”;但若是有不一样的需求能够选择下面一个“选择性身份验证”,每一个选项都有相关说明,这里我就不说了。),而后选择“下一步”;

wKiom1YKH7HCIsuNAAHOTg2vD1k026.jpg

 

10、选择传出新任身份验证级别,通常选择“全局性身份验证”,即全部用户;若是选择“选择性身份验证”则须要过后手动选择用户;而后选择“下一步”;

wKioL1YKH8axbmZ5AAGsfDInpRo020.jpg

 

11、在“选择信任完毕”窗口选择“下一步”;

wKiom1YKH8ex-k6yAAFscZVd5Kw136.jpg

 

12、在“信任建立完毕”窗口,选择“下一步”;

wKiom1YKH9uhPBwCAAFtuF0fKUc733.jpg

 

13、在“确认传出信任”窗口,选择“是,确认传出信任”并选择“下一步”;

wKioL1YKH_fSupliAAEO6yRtbYQ101.jpg

 

14、在“确认传入信任”窗口,选择“是,确认传入信任”并选择“下一步”;

wKiom1YKH_eRl9tJAAD-Sfw9c3Q415.jpg

 

15、在“正在完成新建信任向导”窗口,选择“完成”;

wKioL1YKIAqiNgqvAAE2rN5AFKI393.jpg

 

16、在弹出“Active Directory 域服务”选择“肯定”;

wKiom1YKIArBT7NZAAD2J7zV5jM817.jpg

 

17、此时,在信任属性窗口中,能够看到,相关域之间的属性;

wKioL1YKICHgg58iAAE6GFfHS9U140.jpg

 

18、到另外一个域中打开域信任属性窗口,一样也能够看到两个域之间的信任。

wKiom1YKICPjldLiAAFMv-m5yew223.jpg

相关文章
相关标签/搜索
每日一句
    每一个你不满意的现在,都有一个你没有努力的曾经。
本站公众号
   欢迎关注本站公众号,获取更多信息
联系我们 最近搜索 最新文章 沪ICP备13005482号-10 MyBatis教程 SQL 教程 MySQL教程 Java 教程 Thymeleaf 教程 Hibernate教程 Spring教程 Redis教程