信任是在域之間建立的關系,可以使一個域中的使用者由其他域中域控制器進行身份驗證。
一個林中的域之間的所有 Active Directory 信任都是雙向的、可傳遞的信任。如下圖所示:域 A 信任域 B,且域 B 信任域 C,則域 C 中的使用者可以通路域 A 中的資源(如果這些使用者被配置設定了适當的權限).
隻有 Domain Admins 組中的成員才能管理信任關系.
<a href="http://blog.51cto.com/attachment/201312/113632523.png" target="_blank"></a>
信任協定
域控制器使用兩種協定之一對使用者和應用程式進行身份驗證:Kerberos version 5 (V5) 協定或 NTLM。Kerberos V5 協定是 Active Directory 域中的計算機的預設協定。如果事務中的任何計算機都不支援 Kerberos V5 協定,則使用 NTLM 協定.
信任方向
單向信任:單向信任是在兩個域之間建立的單向身份驗證路徑。這表示在域 A 和域 B 之間的單向信任中,域 A 中的使用者可以通路域 B 中的資源。但是域 B 中的使用者無法通路域 A 中的資源。單向信任可以是不可傳遞信任,也可以是可傳遞信任,這取決于建立的信任類型。
雙向信任:Active Directory 林中的所有域信任都是雙向的、可傳遞的信任。建立新的子域時,系統将在新的子域和父域之間自動建立雙向可傳遞信任。在雙向信任中,域 A 信任域 B,并且域 B 信任域 A。這表示可以在兩個域之間雙向傳遞身份驗證請求。雙向關系可以是不可傳遞的,也可以是可傳遞的,這取決于所建立的信任類型。
信任類型
包括外部信任(不可傳遞)、快捷方式信任(可傳遞)、領域信任(可傳遞或不可傳遞)、林信任(可傳遞)。
下面以執行個體講解配置兩個域之間的信任關系。
環境概述:
域A:fengdian.info DC:pdc1.fengdian.info
域B:example.cn DC:dc1.example.cn(由于是生産環境是以隻能起名example,請諒解)
要求 域A <---> 域B 兩個域互相信任,部分使用者資源互訪。
配置雙向信任關系:
登入兩台DC中的任一台,這裡以登入域A的DC(pdc1.fengdian.info)為例:
開始->運作 輸入 domain.msc,打開活動目錄域和信任關系控制台:
定位到域名部分,右擊"屬性",切換到"信任頁籤":
<a href="http://blog.51cto.com/attachment/201312/140121735.png" target="_blank"></a>
<a href="http://blog.51cto.com/attachment/201312/140123697.png" target="_blank"></a>
<a href="http://blog.51cto.com/attachment/201312/140125511.png" target="_blank"></a>
【建立信任】,彈出建立信任向導:
可以看到,信任關系有如下幾種類型,本域和同林或者異林中的域、本域和NT4.0域、本域和kerberos V5領域、本域和另一個林。
<a href="http://blog.51cto.com/attachment/201312/140445917.png" target="_blank"></a>
信任名稱:這裡指鍵入要建立信任關系的域、林或者領域的名稱
<a href="http://blog.51cto.com/attachment/201312/140447277.png" target="_blank"></a>
信任類型:外部信任和林信任。
這裡選擇林信任,林信任使得另一個林中的各個域中的使用者都可以在本林中可用域控制器彙總得到身份驗證。相對外部信任而言,林信任放開的範圍很大,兩個林之間。
<a href="http://blog.51cto.com/attachment/201312/140449363.png" target="_blank"></a>
信任方向:
雙向: 域A <---->域B 互相信任,可以互訪。
單向(内傳): 域A <---- 域B,域B為信任域,域A為受信域,A可通路B,B不能通路A。
單向(外傳): 域A ---->域B,域A為信任域,域B為受信域,B可通路A,A不可通路B。
<a href="http://blog.51cto.com/attachment/201312/140451451.png" target="_blank"></a>
信任方: 選擇"此域和指定的域"
<a href="http://blog.51cto.com/attachment/201312/141826390.png" target="_blank"></a>
要建立域信任關系,至少是domain admins組的權限;
這裡輸入在要建立信任關系的對方域或者林中有權限的憑證
<a href="http://blog.51cto.com/attachment/201312/141828166.png" target="_blank"></a>
選擇"全林性身份驗證"
<a href="http://blog.51cto.com/attachment/201312/141830425.png" target="_blank"></a>
<a href="http://blog.51cto.com/attachment/201312/141832380.png" target="_blank"></a>
<a href="http://blog.51cto.com/attachment/201312/141834952.png" target="_blank"></a>
建立的信任摘要,可按【上一步】進行更改,檢查無誤,直接【下一步】
<a href="http://blog.51cto.com/attachment/201312/141836112.png" target="_blank"></a>
建立信任狀态:
<a href="http://blog.51cto.com/attachment/201312/142415831.png" target="_blank"></a>
<a href="http://blog.51cto.com/attachment/201312/142417213.png" target="_blank"></a>
<a href="http://blog.51cto.com/attachment/201312/142419436.png" target="_blank"></a>
<a href="http://blog.51cto.com/attachment/201312/142421964.png" target="_blank"></a>
選擇"是,傳出信任"
<a href="http://blog.51cto.com/attachment/201312/142423432.png" target="_blank"></a>
選擇"是,傳入信任"
<a href="http://blog.51cto.com/attachment/201312/142425472.png" target="_blank"></a>
确認"傳出"和"傳入"信任後,雙方的信任關系就建立完成了,不需要再登入另一台DC建立彼此信任了。
<a href="http://blog.51cto.com/attachment/201312/142754619.png" target="_blank"></a>
回到"屬性" 切換到"信任"頁籤,發現"外向信任"和"内向信任"中都有了對方林或者域的名稱。
<a href="http://blog.51cto.com/attachment/201312/142756852.png" target="_blank"></a>
<a href="http://blog.51cto.com/attachment/201312/142758814.png" target="_blank"></a>
登入另一台DC,檢視信任關系:
<a href="http://blog.51cto.com/attachment/201312/143118800.png" target="_blank"></a>
可以看到,信任關系配置完成了,下面進行驗證。
驗證信任關系及資源互訪:
域A(fengdian.info) 的DC上 ADUC中建立使用者fengdian,
域B(example.cn) 的DC上 ADUC中建立使用者example,如下圖:
<a href="http://blog.51cto.com/attachment/201312/144023805.png" target="_blank"></a>
域A的DC執行以下操作:
建立共享目錄fengdian,包含子檔案fengdian.txt,設定域B的使用者example讀取權限;
域B的DC執行以下操作:
建立共享目錄example,包含子檔案example.txt,設定域A的使用者fengdian讀取權限;
<a href="http://blog.51cto.com/attachment/201312/144158759.png" target="_blank"></a>
模拟測試資源互訪:
<a href="http://blog.51cto.com/attachment/201312/144817295.png" target="_blank"></a>
<a href="http://blog.51cto.com/attachment/201312/144819767.png" target="_blank"></a>
可以看到,可是順利打開目錄及檔案。說明 "域A<---- 域B" 已沒有問題。
如圖:
<a href="http://blog.51cto.com/attachment/201312/144821213.png" target="_blank"></a>
<a href="http://blog.51cto.com/attachment/201312/150145300.png" target="_blank"></a>
<a href="http://blog.51cto.com/attachment/201312/145340249.png" target="_blank"></a>
<a href="http://blog.51cto.com/attachment/201312/145342203.png" target="_blank"></a>
也可以正常通路目錄及檔案。說明 "域 A ----> 域B" 已沒有問題
<a href="http://blog.51cto.com/attachment/201312/145344177.png" target="_blank"></a>
經過測試,可以确認 域A <-----> 域B 信任關系已經形成。
通常情況下,測試環境和生産環境更多的是單向信任。這樣在建立信任指定信任方向時,隻選擇單向内傳或者單向外傳就可以實作了。
本文轉自marbury 51CTO部落格,原文連結:http://blog.51cto.com/magic3/1341911,如需轉載請自行聯系原作者
![Winrunner的一些技巧[圖]](data:image/gif;base64,R0lGODlhAQABAIAAAP///wAAACwAAAAAAQABAAACAkQBADs=)