理解域信任关系，Active Directory系列之十六

在同一个域内，成员服务器根据 Active Directory 中的用户账号，可以很容易地把资源分配给域内的用户。但一个域的作用范围毕竟有限，有些企业会用到多个域，那么在多域环境下，我们该如何进行资源的跨域分配呢？也就是说，我们该如何把 A 域的资源分配给 B 域的用户呢？一般来说，我们有两种选择，一种是使用镜像账户。也就是说，我们可以在 A 域和 B 域内各自创建一个用户名和口令都完全相同的用户账户，然后在 B 域把资源分配给这个账户后， A 域内的镜像账户就可以访问 B 域内的资源了。

         镜像账户的方法显然不是一个好的选择，至少账户的重复建设就很让管理员头疼。资源跨域分配的主流方法还是创建域信任关系，在两个域之间创建了信任关系后，资源的跨域分配就非常容易了。域信任关系是有方向性的，如果 A 域信任 B 域，那么 A 域的资源可以分配给 B 域的用户；但 B 域的资源并不能分配给 A 域的用户，如果想达到这个目的，需要让 B 域信任 A 域才可以。

         如果 A 域信任了 B 域，那么 A 域的域控制器将把 B 域的用户账号复制到自己的 Active Directory 中，这样 A 域内的资源就可以分配给 B 域的用户了。从这个过程来看， A 域信任 B 域首先需要征得 B 域的同意，因为 A 域信任 B 域需要先从 B 域索取资源。这点和我们习惯性的理解不同，信任关系的主动权掌握在被信任域手中而不是信任域。

         A 域信任 B 域，意味着 A 域的资源有分配给 B 域用户的可能性，但并非必然性！如果不进行资源分配， B 域的用户无法获得任何资源！有些朋友误以为只要两个域之间存在信任关系，被信任域的用户就一定可以无条件地获得信任域内的所有资源，这个理解是错误的。我刚工作时在一家港资企业担任网络管理工作，企业的香港公司是一个域，深圳公司也是一个域。有一次我们需要把两家公司的 Exchange 服务器进行站点连接，这个操作需要两个域建立信任关系，但当时一位老工程师坚决不同意建立信任关系。他的理由是只要建立信任关系，香港公司的资料就全被深圳公司的员工看到了。这个理由很山寨，很明显对域信任关系的理解有些是是而非。我通过一个实验纠正了他的错误概念，事实证明，深圳公司和香港公司建立了域信任关系后，安全性并没有因此降低。

         在 NT4 的域时代，信任关系是不具有传递性的。也就是说如果 A 域信任 B 域， B 域信任 C 域，那么 A 域和 C 域没有任何关系。如果信任关系有传递性，那么我们就可以推导出 A 域是信任 C 域的。信任关系没有传递性极大地降低了灵活性，你可以想象一下如果 70 个域都要建立完全信任关系，那么需要多么大的工作量。而且这种牺牲灵活性的做法也没有获得安全上的补偿，因此微软在 Win2000 发布时，允许在域树和域林内进行信任关系的传递，在 Win2003 中更是允许在域林之间进行信任关系的传递。

 

 

 

上篇博文中我们对域信任关系作了一下概述，本文中我们将通过一个实例为大家介绍如何创建域信任关系。拓扑如下图所示，当前网络中有两个域，一个域是ITET.COM，另一个域是HOMEWAY.COM。两个域内各有一个域控制器，分别是Florence和Firenze，我们让两个域使用了同一个DNS服务器。

         创建域信任关系要注意 DNS 服务器的设置，因为 DNS 服务器要负责定位域控制器，关键之处在于域控制器使用的 DNS 服务器要能够把两个域的域控制器都定位出来。我们在实验中规划让两个域使用同一个 DNS 服务器，显然是出于这个考虑。如果两个域都使用域控制器作 DNS ，那么要使用辅助区域，转发器等技术才能保证 DNS 服务器可以把两个域的域控制器都解析出来。如下图所示，我们可以看到两个域的区域数据都在同一个 DNS 服务器上。

        

 

我们准备构建一个单向信任关系，让 ITET.COM 域信任 HOMEWAY.COM 域，根据之前的分析， ITET 想信任 HOMEWAY ，必须征得被信任域的同意，因此我们先在 HOMEWAY.COM 域上进行操作。在 HOMEWAY.COM 的域控制器 Firenze 上打开管理工作中的域和信任关系，如下图所示，右键点击 HOMEWAY.COM 域，选择“属性”。

 

 

在域的属性中切换到信任标签，如下图所示，点击“新建信任”。

 

 

如下图所示，出现信任信任向导，点击“下一步”继续。

 

输入有信任关系域的名称，如下图所示，我们输入域名为 ITET.COM 。

 

选择信任方向，内传指的是被其他域信任，外传则是信任其他域。由于 ITET.COM 信任 HOMEWAY.COM ，因此 Firenze 的信任方向应该选择单向内传。

 

接下来我们要选择是在两个域控制器上分别设置信任关系还是同时设置信任关系，为了更清晰地展示这个过程，我们选择在两个域控制器上分别进行信任关系的设置。如果对域信任关系已经熟练掌握，完全可以选择在两个域控制器上同时进行操作。

 

如下图所示，为了保证不被其他域恶意信任， HOMEWAY.COM 设置了一个信任口令，只有信任域能回答出这个口令，信任关系才可以建立。

 

如下图所示，信任向导已经做好准备，点击下一步继续。

 

信任关系已经创建成功， HOMEWAY.COM 已经允许 ITET.COM 信任自己了。

 

接下来要选择是否确认传入信任关系，由于我们还没有在 ITET.COM 域中进行设置，因此我们先选择“否，不确认传入信任”。

 

如下图所示，信任关系创建成功，点击完成结束 HOMEWAY.COM 域的设置工作。

 

HOMEWAY.COM 允许被 ITET.COM 信任后，我们接下来就可以在 ITET.COM 的域控制器 Florence 上设置信任关系，让 ITET.COM 主动信任 HOMEWAY.COM 。我们在 Florence 的管理工具中打开域和信任关系，在域的属性中切换到信任标签，如下图所示，点击“新建信任”。

 

出现新建信任向导，点击“下一步”继续。

 

信任域的名称为 HOMEWAY.COM 。

 

对 ITET.COM 来说，信任方向应该是单向外传。

 

我们选择只是在 ITET.COM 域进行信任关系的设置，并不涉及 HOMEWAY.COM 域。

 

接下来我们要选择用户身份验证的范围，我们选择全域性身份验证，这样分配资源时会更加灵活。

 

接下来要输入域信任口令，我们输入 homeway.com 设置的信任口令。

 

如下图所示，域信任向导已经做好了准备，点击下一步继续。

 

如下图所示，域信任关系设置成功！

 

由于 homeway.com 已经允许被 itet.com 信任，因此我们现在可以在 itet.com 上确认传出信任了。

 

如下图所示，信任关系创建完成。

 

我们来看看设置信任后的效果，我们在 itet.com 的域控制器 Flroence 上找到一个文件夹，看看能否把文件夹的访问权限分配给 homeway.com 的用户。我们在文件夹属性中找到安全标签，点击添加按钮，如下图所示，点击“位置”。

 

如下图所示，我们发现位置列表中已经有 homeway.com 域了，我们现在已经可以把资源分配给 homeway.com 域的用户了，单向域信任关系创建成功了。

本文出自 “ 岳雷的微软网络课堂” 博客，请务必保留此出处 http://yuelei.blog.51cto.com/202879/177534

本文出自 51CTO.COM技术博客