實戰詳解域信任關係
上篇博文中我們對域信任關係作了一下概述,本文中我們將通過一個實例爲大家介紹如何創建域信任關係。拓撲如下圖所示,當前網絡中有兩個域,一個域是ITET.COM,另一個域是HOMEWAY.COM。兩個域內各有一個域控制器,分別是Florence和Firenze,我們讓兩個域使用了同一個DNS服務器。
創建域信任關係要注意DNS服務器的設置,因爲DNS服務器要負責定位域控制器,關鍵之處在於域控制器使用的DNS服務器要能夠把兩個域的域控制器都定位出來。我們在實驗中規劃讓兩個域使用同一個DNS服務器,顯然是出於這個考慮。如果兩個域都使用域控制器作DNS,那麼要使用輔助區域,轉發器等技術才能保證DNS服務器可以把兩個域的域控制器都解析出來。如下圖所示,我們可以看到兩個域的區域數據都在同一個DNS服務器上。
我們準備構建一個單向信任關係,讓ITET.COM域信任HOMEWAY.COM域,根據之前的分析,ITET想信任HOMEWAY,必須徵得被信任域的同意,因此我們先在HOMEWAY.COM域上進行操作。在HOMEWAY.COM的域控制器Firenze上打開管理工作中的域和信任關係,如下圖所示,右鍵點擊HOMEWAY.COM域,選擇“屬性”。
在域的屬性中切換到信任標籤,如下圖所示,點擊“新建信任”。
如下圖所示,出現信任信任嚮導,點擊“下一步”繼續。
輸入有信任關係域的名稱,如下圖所示,我們輸入域名爲ITET.COM。
選擇信任方向,內傳指的是被其他域信任,外傳則是信任其他域。由於ITET.COM信任HOMEWAY.COM,因此Firenze的信任方向應該選擇單向內傳。
接下來我們要選擇是在兩個域控制器上分別設置信任關係還是同時設置信任關係,爲了更清晰地展示這個過程,我們選擇在兩個域控制器上分別進行信任關係的設置。如果對域信任關係已經熟練掌握,完全可以選擇在兩個域控制器上同時進行操作。
如下圖所示,爲了保證不被其他域惡意信任,HOMEWAY.COM設置了一個信任口令,只有信任域能回答出這個口令,信任關係纔可以建立。
如下圖所示,信任嚮導已經做好準備,點擊下一步繼續。
信任關係已經創建成功,HOMEWAY.COM已經允許ITET.COM信任自己了。
接下來要選擇是否確認傳入信任關係,由於我們還沒有在ITET.COM域中進行設置,因此我們先選擇“否,不確認傳入信任”。
如下圖所示,信任關係創建成功,點擊完成結束HOMEWAY.COM域的設置工作。
HOMEWAY.COM允許被ITET.COM信任後,我們接下來就可以在ITET.COM的域控制器Florence上設置信任關係,讓ITET.COM主動信任HOMEWAY.COM。我們在Florence的管理工具中打開域和信任關係,在域的屬性中切換到信任標籤,如下圖所示,點擊“新建信任”。
出現新建信任嚮導,點擊“下一步”繼續。
信任域的名稱爲HOMEWAY.COM。
對ITET.COM來說,信任方向應該是單向外傳。
我們選擇只是在ITET.COM域進行信任關係的設置,並不涉及HOMEWAY.COM域。
接下來我們要選擇用戶身份驗證的範圍,我們選擇全域性身份驗證,這樣分配資源時會更加靈活。
接下來要輸入域信任口令,我們輸入homeway.com設置的信任口令。
如下圖所示,域信任嚮導已經做好了準備,點擊下一步繼續。
如下圖所示,域信任關係設置成功!
由於homeway.com已經允許被itet.com信任,因此我們現在可以在itet.com上確認傳出信任了。
如下圖所示,信任關係創建完成。
我們來看看設置信任後的效果,我們在itet.com的域控制器Flroence上找到一個文件夾,看看能否把文件夾的訪問權限分配給homeway.com的用戶。我們在文件夾屬性中找到安全標籤,點擊添加按鈕,如下圖所示,點擊“位置”。
如下圖所示,我們發現位置列表中已經有homeway.com域了,我們現在已經可以把資源分配給homeway.com域的用戶了,單向域信任關係創建成功了。
本文出自 “嶽雷的微軟網絡課堂” 博客,請務必保留此出處http://yuelei.blog.51cto.com/202879/177534