Windows Server 筆記(六):Active Directory域服務:域信任

時間  2020-01-02
標籤 windows server 筆記 active directory 服務 信任 欄目 Windows 简体版
原文   原文鏈接

  域使一個安全邊界,在有些狀況下,咱們須要越過這個邊界,那麼這個時候,咱們就須要使用域信任了。緩存

  舉個例子,有兩個域,nswl.localxuelan.local這兩個域,若是當nswl.local域的用戶須要訪問xuelan.local域中的資源,或xualan.local域中帳戶須要在nswl.local的域中進行帳戶驗證,那麼,你能夠經過在兩個域之間設置信任來實現;安全

 

  信任能夠分爲單向信任和雙向信任,單向信任就是A信任B,而B不信任A;雙向信任則是,A信任BB也信任A;同時域的信任也是可傳遞的,如,A信任BB信任C,那麼A也信任C;信任也分林信任和外部信任,這二者的區別在於,林信任能夠被傳遞到林中的全部域,而外部信任則不會傳遞。設置了域信任關係會不會影響安全?信任關係不會影響安全,只是容許對方訪問,至於訪問權限,仍然須要管理員受權;這也是爲何咱們應該避免在資源上給每一個人(everyone)容許權限,由於一旦創建信任,那麼受信任的域中的每一個人都將可以訪問這些資源。服務器

 

林功能級別是Windows Server 2003架構

 

實驗架構:ide

wKioL1YKHoHRqpxPAAD8030UOsg294.jpg

 

 

兩個域之間建立信任很簡單,麻煩的是怎麼才能讓兩個域都能互相解析到,方法有不少種,好比,建立輔助區域、建立反向查找區域等等,我這裏使用的是建立輔助區域:spa

1、在nswl.local的這臺域控制器上面,打開DNS管理器,右擊選擇「屬性」,選擇「區域傳送」對話框,勾選「容許區域傳送」並選擇「只容許到下列服務器」,而後選擇「編輯」並添加xuelan.local這臺域控制器的DNS地址;而後選擇「肯定」;3d

wKioL1YKHpyye9OYAAGWfmErbrc735.jpg

 

2、在xuelan.local這個域中,打開DNS管理器,右擊「正想查找區域」並選擇「新建區域」;xml

wKiom1YKHqSwuKrYAAGJKg6EtDM302.jpg

 

3、打開「歡迎使用新建區域嚮導」窗口,並選擇「下一步」;blog

wKiom1YKHq3Auqw3AAFt89hmio4571.jpg

 

4、在區域類型頁面,選擇「輔助區域」並選擇「下一步」;dns

wKioL1YKHsfiV5qoAAHNlYfjHmA002.jpg

 

5、輸入區域名稱(咱們這裏須要的是複製nswl.localDNS區域,因此這裏輸入的是nswl.local。),而後選擇「下一步」;

wKioL1YKHtLhciDeAAF8lsrGWHo156.jpg

 

6、輸入前面輸入的區域名稱所在的服務器的IP地址,並選擇「添加」,而後選擇「下一步」;

wKiom1YKHtuzlRcsAAFNc5K9FEY283.jpg

 

7、建立成功後,選擇「完成」;

wKioL1YKHvDQ3cjGAAGzP9FNBos125.jpg

 

8、此時打開DNS管理器會發現多了一個nswl.local區域;

wKioL1YKHvqgVf5PAAHtWvAxiY0587.jpg

 

使用一樣的方法,在xuelan.local這個域的DNS服務器管理裏面開啓區域傳送,並將nswl.local這個域的DNS服務器添加到容許列表中,而後再nswl.local這個域的DNS服務器管理中新建輔助區域。

建立完成後能夠經過「nslookup」看可否互相解析到;

若是有問題,能夠先嚐試:

Ipconfig  /flushdns           清除DNS緩存

ipconfig /registerdns          刷新全部dhcp租約,並從新註冊DNS名稱

Net stop netlogon                 中止netlogon

Net start netlogon                啓動netlogon

 

 

建立好輔助區域後,下面就應該建立信任了:

1、打開「Active Directory 域和信任關係」右擊域名,選擇「屬性」;

wKioL1YKH0fCkbI5AAEZP5nTSoI249.jpg

 

2、選擇「信任」對話框,並選擇「新建信任」;

wKiom1YKH07yzE8bAAEpoTp-UF4516.jpg

 

3、打開「新建域信任嚮導」,選擇「下一步」;

wKioL1YKH2KB4iEKAAF3bAd3E3Y371.jpg

 

4、輸入加入信任域的名稱,而後選擇「下一步」;

wKiom1YKH2ThDguXAAEmh0jBIUY298.jpg

 

5、在「信任類型」選擇「外部信任」(這種信任是不可傳遞的。),而後選擇「下一步」;

wKioL1YKH3zDW9k6AAF48sk2vKE863.jpg

 

6、在信任方向選擇「雙向」,而後選擇「下一步」;

wKiom1YKH36RijalAAFXmYtLbjs629.jpg

 

7、在信任方選擇「此域和指定的域」;而後選擇「下一步」;

wKiom1YKH4qg8a7fAAGjAIuszqI459.jpg

 

8輸入xuelan.local域的管理員帳戶密碼,而後選擇「下一步」;

wKioL1YKH62Bo0kNAAEhvEKpyu8063.jpg

 

9、在傳出信任身份驗證級別窗口選擇「全域身份驗證」(通常狀況下,咱們都會選擇「全局性身份驗證」;但若是有不一樣的需求能夠選擇下面一個「選擇性身份驗證」,每一個選項都有相關說明,這裏我就不說了。),而後選擇「下一步」;

wKiom1YKH7HCIsuNAAHOTg2vD1k026.jpg

 

10、選擇傳出新任身份驗證級別,通常選擇「全局性身份驗證」,即全部用戶;若是選擇「選擇性身份驗證」則須要過後手動選擇用戶;而後選擇「下一步」;

wKioL1YKH8axbmZ5AAGsfDInpRo020.jpg

 

11、在「選擇信任完畢」窗口選擇「下一步」;

wKiom1YKH8ex-k6yAAFscZVd5Kw136.jpg

 

12、在「信任建立完畢」窗口,選擇「下一步」;

wKiom1YKH9uhPBwCAAFtuF0fKUc733.jpg

 

13、在「確認傳出信任」窗口,選擇「是,確認傳出信任」並選擇「下一步」;

wKioL1YKH_fSupliAAEO6yRtbYQ101.jpg

 

14、在「確認傳入信任」窗口,選擇「是,確認傳入信任」並選擇「下一步」;

wKiom1YKH_eRl9tJAAD-Sfw9c3Q415.jpg

 

15、在「正在完成新建信任嚮導」窗口,選擇「完成」;

wKioL1YKIAqiNgqvAAE2rN5AFKI393.jpg

 

16、在彈出「Active Directory 域服務」選擇「肯定」;

wKiom1YKIArBT7NZAAD2J7zV5jM817.jpg

 

17、此時,在信任屬性窗口中,能夠看到,相關域之間的屬性;

wKioL1YKICHgg58iAAE6GFfHS9U140.jpg

 

18、到另外一個域中打開域信任屬性窗口,一樣也能夠看到兩個域之間的信任。

wKiom1YKICPjldLiAAFMv-m5yew223.jpg

相關文章
相關標籤/搜索
每日一句
    每一个你不满意的现在,都有一个你没有努力的曾经。
本站公眾號
   歡迎關注本站公眾號,獲取更多信息
聯繫我們 最近搜索 最新文章 沪ICP备13005482号-10 MyBatis教程 SQL 教程 MySQL教程 Java 教程 Thymeleaf 教程 Hibernate教程 Spring教程 Redis教程