实验背景:
一个企业如果没有分公司,在单域环境下是可以实现大部分的用户需求的;但是,当公司的规模越来越多,在多个地区都建立了自己的分公司,用户账户和各种资源比较多,不同的分总司对用户的要求不一样(比如说密码策略,访问权限的设置等等),大量的活动目录给管理造成了一定的麻烦,域之间的复制负担过重等等,而公司又需要统一管理,这在单域环境下是很难完成的,维护起来也是相当的困难。因此,多域环境便应运而生,大型企业通过多个区域管理企业内部的用户和资源,而各个区域之间又存在上下级之间的关系,相当于总公司和分公司之间的关系,这样更有利于层次规划管理,从而提高了企业整体办公效率。总公司和分公司之间通过建立树根信任或者父子信任关系,进行单向或者双向的网络资源互访,不同两个公司之间可以通过建立外不信任或者林信任进行单向或者双向的网络资源互访,最终实现多个企业之间的网络互连和资源共享。
实验目的:
1、 理解区域之间的上下级关系
2、 掌握林、域树和子域的部署过程
3、 掌握林中的信任关系(父子信任和树根信任)
4、 掌握林之间的信任关系(外部信任和林信任)
5、 掌握AGDLP规则,并利用其规则进行区域间资源的访问
实验环境:
本实验搭建了两个独立的林(两家独立的公司),其中一个林(企业―1)里建有一棵域树(也称之为一个林),通过根域和子域构成;根域和子域之间通过父子信任进行互访;另一个林(企业―2)里建有两棵域树(也称之为一个林),域树之间通过树根信任进行互访;另外两个林(企业―1与企业―2)之间通过外部信任或林信任进行互访。
实验网络拓扑:
图片看不清楚?请点击这里查看原图(大图)。
图片看不清楚?请点击这里查看原图(大图)。
实验步骤
1. 准备实验环境,并创建林、子域和域树。
1.1、 首先,将Srv 1和Srv3分别升级为域控制器,升级过程中选择“新林中的域”,做为两个企业的根域,并将Srv 2加入到Srv 1域中,Srv 4加入到Srv 3中,加入域之后,在各自的根域DNS中会默认添加相应的主机记录。如下图Srv 1中DNS的记录
图片看不清楚?请点击这里查看原图(大图)。
1.2、 添加用户xiaonuo和danuo分别到域beijing.com和guangzhou.com中,并将它们都加入各自的Enterprise Admins组中,通过这两个用户分别对各自的林的修改进行管理,也避免了管理员密码的多次使用造成泄露。在根域中存在两个全局安全组,分别为Enterprise Admins和Schema Admins,其他域是没有的。(以beijing.com为例)
Enterprise Admins:企业管理组,可以对活动目录中整个林作修改,例如添加子域(Domain admins组中的成员也可以添加子域)。
Schema Admins:架构管理组:可以对活动目录整个林做架构修改,也就是用户或组的一些属性选项卡之类的架构,比如说Windows server 2003 R2和Windows server 2003 SP1的架构信息默认就不相同,如果SP1为根域,那么R2是不能够新建一个独立的域树的,原因是架构信息不一样造成的。
1.3、 在Srv 2上创建现有域树beijing.com中的一个子域
Srv 1上已经创建好了域根,也称之为一棵域树,也可以称之为一个林。向域树中添加的新域叫做子域(xiaonuo.beijing.com),名称是由子域本身的名称和父域域名结合而成的DNS名,子域上层的域是父域(beijing.com)。
在beijing.com存在且在线的情况下,在Srv 2上运行“dcpromo”选择“在现有域树中的子域”即可
键入网络凭据,键入具有beijing.com域的管理权限的账户和密码(administrator或者xiaonuo,也就是该账户必须是Enterprise Admins或者Domain Admins成员)
输入父域(beijing.com),然后输入添加子域的NETBIOS名称(xiaonuo),最终形成的域名为xiaonuo.beijing.com(域名必须符合DNS的命名规则)
输入域的NetBIOS名称,默认为域名的最前部分,到这一步的时候,安装向导会在同一网段检查是否有重名,如果有重名,会在默认NetBIOS后面加上1,也可以更改成其它NetBIOS名称,客户端在登陆域的时候,只显示域的NetBIOS名称;客户端在加入域的时候,如果没有填写DNS,输入NetBIOS名称是可以加入到域的,使用的是NetBIOS协议,不过,前提是加入域的用户必须和域在同一个网段。
配置完成之后,可以通过下一步进行域信息的复查,如果配置错误,可以单击“上一步”继续配置。确定无误之后,向导便开始安装域环境,首先会从以前加入的域(beijing.com)中脱离出来,然后,创建新的域。DNS中也会将此用户的记录删除。
图片看不清楚?请点击这里查看原图(大图)。
1.4、 在Srv 4上创建现有的林guangzhou.com中的域树tianjing.com
假如您不想使新域成为现有域的子域,想拥有属于自己的一个域名,可以建立一个与现有树分开的、新的域树,它和域根之间通过建立树根信任进行互相通信,单个域树(只有一台DC)或多棵域树构成一个林。
键入网络凭据,键入具有beijing.com域的管理权限的账户和密码(administrator或者danuo,也就是该账户必须是Enterprise Admins或者Domain Admins成员)
输入与guangzhou.com不同的域名,此域名没有父域和子域之间的关系,只要符合DNS的域名命名标准就可以,输入完成之后,开始检查tianjing.com的NetBIOS名称tianjing是否在同一网段中使用,如果没有,默认域的NetBIOS名就为tianjing。
创建子域和创建域树的一个重要区别就是,子域是通过父域的DNS进行名称解析的,而另外一棵域树是通过自己搭建的DNS进行名称解析的,当然,子域也可以搭建自己的DNS,一般在公司里,子域用于一些部门,而域树用于一些分公司,管理的范围大小不同。所以,子域是没有必要搭建一台独立的DNS,而域树需要搭建一台独立的DNS服务器进行本域树以及所有子域的名称解析。
图片看不清楚?请点击这里查看原图(大图)。
本实验搭建如果出现一下问题,说明您的两台域控制器版本不一样,比如说windows server 2003 SP1和windows server 2003 R2之间由于版本不一样,所以搭建的域架构信息也不一样。
2. 林中的信任关系
2.1、 查看林中的信任关系
林中的信任关系默认在安装域控制器时自动创建,父域和子域之间形成父子信任,如beijing.com和xiaonuo.beijing.com之间的信任;域树和域树之间形成树根信任,如guangzhou.coom和tianjing.com之间的信任。
林中信任关系的特点是自动创建;而且可以传递信任,也就是说域A直接信任域B,域B直接信任域C,那么域A直接信任域C;还可以双向信任,两个域之间可以互相信任,处于平等地位。
打开“Active Directory 域和信任关系”右击域的属性,可以查看域在林中的信任关系
图片看不清楚?请点击这里查看原图(大图)。
2.2、 使用ADGLP规则实现林中跨域访问
林中的所有域之间的信任关系时自动创建的,而且时双向的和棵传递的信任关系,这会不会造成林中的任何账户都能轻易访问其他域的资源呢?答案是否定的。信任关系的建立仅仅只为跨域访问资源提供了前提条件,但是要成功访问资源还必须设置要访问文件夹的共享和安全权限。
AGDLP规则:首先将具有相同访问权限的用户加入的全局组,然后,将所有具有相同性质的全局组加入到一个本地域组,然后给本地域组赋予权限即可。
现在存在这样一个环境,域beijing.com全局组quanjuzu里的一个用户ceshi想访问域xiaonuo.beijing.com中的共享资源。
首先,在域bingjing.com上创建一个用户ceshi,然后创建一个全局组quanjuzu,将ceshi加入到quanjuzu中,而实际应用中,quanjuzu中应该有多个具有同样性质的用户,然后,在子域xiaonuo.beijing.com上创建一个本地域组bendiyuzu,并将域beijing.com中全局组quanjuzu加入到子域xiaonuo.beijing.com中的本地域组bendiyuzu中。
注意:加入的时候,需要修改查找位置,将当前位置改为beijing.com
然后在子域xiaonuo.beijing.com上新建一个文件夹,命名为ceshi,并设置其共享权限为bendiyuzu读取,NSFS权限为bendiyuzu读取和运行,最终的权限为两者的叠加,即为读取权限。
然后在加入域beijing.com的机器上使用用户ceshi登陆到域beijing.com上,通过UNC路径访问域xiaonuo.beijing.com上的共享文件。
注意:上面只是其中的一种访问方法,另外一种是可以到加入域xiaonuo.beijing.com的机器上登陆到域beijing.com,然后进行共享资源的访问。
图片看不清楚?请点击这里查看原图(大图)。
3. 林之间的信任之一:外部信任
外部信任是指在不同林的域之间创建的不可传递的信任,外部信任在windows 2000混合模式、windows 2000 纯模式或者windows 2003上都可以做。
假如现在有这样一个环境,域bejing.com里的用户ceshi想访问guangzhou.com中资源,而域guangzhou.com中的用户不能够访问域beijing.com中资源。
3.1、 配置各自根域DNS的转发器指向对方的DNS上。
要使两个根域的计算机互相解析出对方的DNS域名,需要将各自在DNS上配置“转发器”,互相指向对方。例如,下面是将Srv 1上DNS的“转发器”指向Srv 3的DNS上。
注意:配置完成之后,一定要在各自的DNS服务器上解析一些对方的域名,看是否能够解析成功。
打开域beijing.com的属性窗口,并选择“新建信任”
输入将要信任或者被信任的域guangzhou.com
选择“单向:内传”也就是说这个域bejing.com中的用户可以到域guangzhou.com中得到身份验证。
由于信任关系是在两个域之间建立的,如果在域beijing.com建立一个“单向:内传”信任,则需要在域guangzhou.com上必须建立一个“单向:外传”信任。如下图所示,选择第二项,可以在对方域中自动创建一个“单向:外传”的信任。
接下来键入指定域guangzhou.com中具有管理权限的账户名称和密码,输入用户administrator和danuo都可以。只要是Enterprise admins组中用户都可以。
联系到域guangzhou.com之后,便显示了信任的基本设置,确认无误之后,选择“下一步”建立信任关系。
在这一步的时候,一定要选择“是,确定传入信任”,否则,刚做的操作都实现不了了。
创建完成之后,可以通过打开“Active Directory”在beijing.com或者guangzhou.com的属性选项卡上进行查看,然后以利用AGDLP规则进行测试。
注意:如果两个林域根建立的外部信任之后,林中的每个域都可以和另外一个林中其中的一个域建立信任关系,这个叫快捷信任。
4. 林之间的信任之一:外部信任
4.1、 搭建林信任之间的必须条件
林信任是windows server 2003林特有的信任,是windows server 2003林根域之间建立的信任。在两个windows server 2003林之间创建林信任棵为任一林内的各个域之间提供一种单向或双向的可传递信任关系。它的传递性区别于外部信任。
林信任适用于应用程序服务提供商、正在经历合并或收购的公司、合作企业Extranet以及寻求管理自治解决方案的公司。
创建林信任和创建外部信任类似,不同的是创建林信任之前要升级为林功能级别为windows server 2003,这是创建林信任的前提条件。升级林功能级别之前,需要将林中所有域的域功能级别设置为windows 2000纯模式或windows server 2003
打开“Active Directory 域和信任关系”,将所有的域提升为windows 2000纯模式。
提升完域控制器之后,右击“Active Directory 域和信任关系”,选择“提升林功能级别”,然后提升为windows server 2003,注意,如果域控制器没有提升为windows 2000 纯模式或者windows 2003,那么提升域功能级别就会报一个警告。
4.2、 创建林信任
打开域bejing.com的属性,选择“信任”,然后选择“新建信任”输入被信任或者将要信任的域guangzhou.com
然后,选择“林信任”
创建一个双向信任,也可以创建单向(内传,外传)信任,根据具体情况而定。
选择第二项,域guangzhou.com上同时创建双向的林信任关系。
接下来键入指定域guangzhou.com中具有管理权限的账户名称和密码,输入用户administrator和danuo都可以,前提必须是Enterprise admins组中用户。
选择“全林性身份验证”,windows 将自动对指定林(guangzhou.com)的所有用户使用本地林(beijing.com)的所有资源进行身份验证。
|