活动目录域结构和域信任关系建立实验
域信任关系是一种建立在域间的关系,它使得一个域中的用户可以由另一个域中的域控制器进行验证。在所有域关系中只有两种域,即信任关系域和被信任关系域。在Windows Server 之间可以建立如下信任关系。
传递信任关系。
(1)传递信任关系不受关系中两个域的约束,而是经父域向上传递给域目录树中的下一个域。传递信任关系是双向的,关系中的两个域相互信任。默认情况下,域目录树或林中的所有信任关系都是传递的。
(2)不传递信任关系。
不传递信任关系受关系中两个域的约束,并且不经父域向上传递给目录树中的下一个域。默认情况下,不传递信任关系是单向的。
(3)单向信任关系。
单向信任关系是单独的委托关系,所有单向信任关系都是不传递的。默认情况下,所有不传递信任关系都是单向的。
(4)双向信任关系。
双向信任关系也是一对单独的委托关系,即域A信任域B,而域B也信任域A,所有传递信任关系都是双向的。为使不传递信任关系成为双向,必须在域间创建两个单向信任关系。
本次实验图如下所示
1)一开始所有的服务器都还没有添加AD服务,所以我我们要将服务器一个个添加AD服务,并升级为域控服务器,首先将192.168.10.2升级为域控(DC)服务器做为林根域,安装的时候勾选安装DNS服务,域名为yzy.com,然后我们要构建一个活动目录域树,这样就要在192.168.10.2的DNS服务器上创建委派域,打开DNS管理控制台--->右击正向查找区域--->新建委派域指向子域192.168.20.2(这台为子域),目前还为超时状态,主要是因为xm.yzy.com还没有安装DNS服务。
2)登录到192.168.20.2添加DNS服务,并升级为DC。先将这台服务器的首先DNS设置为自己的IP。然后添加DNS角色,然后再升为DC:添加完DNS角色,在DNS管理控制台上右击正向查找区域--->新建区域--->主区域-->区域名称为xm.yzy.com-->允许动态更新-->完成。在反向查找区域也新建区域。然后再新建主机A记录,名称为本主机服务器名,IP为本服务器IP(192.168.20.2)。为了让子域服务器能够查寻得到父域,所以必须在此服务器的DNS建立条件转发器,DNS名为:yzy.com,IP地址为192.168.10.2。在属性上的条件转发器上添加本地区的电信DNS服务器。然后测试DNS。最后将此台服务器升级为DC(运行DCPROMO)。注意安装到域林的时候要填入yzy.com并凭据为yzy.com的管理员。安装完成后,现两台服务器就会自动建立起了信任关系,因为父子域本身就会自动建立双向信任关系。
3)现在要在192.168.30.2构建域林,同样首先将DNS首选项设为本服务器的IP地址,然后添加DNS角色,然后在DNS上的正、反向查找区域新建区域,再新建主机记录,指向本台主机,接着在条件转发器上新建转发器指向yzy.com。同样在192.168.10.2和192.168.20.2上的DNS上的条件转发器上新建条件转发器都指向abc.net。将192.168.30.2服务器升级为DC,并且勾选“新建域树而不是新子域”,凭据为yzy.com新域树为abc.net且不创建域委派,完成后,和yzy.com的树根域也会自动建立起来了,如下图所示:
经过上面的建立,可以在各域服务器上的AD域用户和计算机中建立一些帐户加入到建立的组中并授权给其它域的用户权限
4)此实验中192.168.40.2服务器同样也是林根域(我们可认为此域为新收购的公司,要与之前的域整合,实现可互相访问)具体如下:
在xyz.com服务器上的DNS管理器上的条件转发器新建两个条件转发器分别指向yzy.com和abc.net,且编辑到达外部任何域的条件转发器(右击DNS服务器---》属性---》转发器选项卡---》编辑---》添加本地服务商的DNS地址---》确定),测试DNS解析。然后在反向查找区域新建区域并新建PTR指针记录,接着在yzy.com\xm.yzy.com\abc.net域服务器上的DNS条件转发器上分别新建条件转发器,都指向xyz.com。
5)由于不同林之间是不会自动建立信任关系的,所以我们要手动建立:
在xyz.com上建立与yzy.com的外部信任或林信任,打开xzy.com上的AD域和信任关系---》右击xyz.com属性---》信任选项卡---》新建信任---》键入yzy.com域名---》可选林信任或外部信任---》信任的方向---》此域和指定的域(知道指定域密码的情况下可选此项)---》全域性身份验证---》完成。这样在这两台域之间就可以进行授权了。
6)在林根域下xm.yzy.com和abc.net之间如果有大量的数据传输,我们就可以进行快捷方式信任(前提是要有父子域关系的前提下)。只要在xm.yzy.com上进行信任设置就可以了,步骤和第5步差不多,在此所有的信任关系都建立了。
补充:领域信任是在不同的平台下建立的,如Linux和Windows平台,大家可以到网上去了解。