在前面的文章中我们已经知道了配置外部信任的方法,外部信任可以在特定的两个域之间建立信任关系,对与域和林的级别也没有要求。但是如果两个林之间想要互相信任,是不是还要采用外部信任呢?如果继续采用外不信任,那就意味着要在两个林之间的不同域之间建立很多次双向的信任关系,显然这不是可取的方法。
这篇文章将讲述上述问题的解决办法:建立林信任。我们只需要在林根域之间建立双向的林信任关系,那么就可以达到两个林之间任意域的相互访问,因为林信任是可传递的,而外部信任不可传递。
在做这个实验之前,我们要先明白几个关于信任关系的概念。什么是默认信任,什么是林信任,什么是外部信任,他们之间有什么不同。
首先说说默认信任关系,在一个林内部,不管是域树还是子域,他们之间会建立一种默认的信任关系,这种关系是在创建子域或域树时自动创建的。并且他们之间是可以相互传递这种关系,信任的方向也是双向的。举个例子:A信任B,而B信任C,那么A也信任C,同样,A信任B,B也信任A。
林中默认的信任关系有两种:
树根信任:在同一个林中的两个域树之间存在。
父子信任:在同一个域树中父域和子域之间存在。
在两个林之间进行跨域访问的时候,我们要用到外部信任和林信任,那么这两种信任关系有什么区别呢?
外部信任是在不同的林之间创建的不可传递的信任,手动建立,信任的方向有单向和双向两种。
林信任是在不同的林之间创建的可传递的信任,手动建立,信任的方向也有单向和双向两种。并且创建林信任时,只能在林根域之间才能创建,林功能的级别必须为windows server 2003 或2000模式,不能为混合模式。
好了,说了这么一大堆理论,相信大家对于这几种信任关系有了一个初步的了解。下面我们看看这次实验的拓扑,和相关的准备工作。
准备工作
在做林信任之前,我们要搭建好图中的试验环境。
Dc.com作为林2的林根域,创建时选择“在新林中的域”。
Google.net作为林2中的一棵域树,创建时选择“在现有林中的域树”。
Bj.dc.com作为dc.com域树中的一个子域,创建时选择“在现有域树中的子域”。
Benet.edu作为林1的林根域。
试验环境搭建好了之后我们就开始实现林信任吧。
(一)、在benet.edu和dc.com上配置双向的转发器。在dc.com和Google.net上配置双向的转发器。因为这三个域树都有各自不同的DNS指向,所以要配置转发,保证他们之间可以进行基本的DNS解析。
注意:在创建google.net域树的时候,DNS要指向林的根域,等域创建完成后DNS会自动变为指向自己。
这里以dc.com为例,需要配置两个转发器,到benet.edu和google.net的
以同样的方法添加google.net,添加完成后如下图所示
以同样的方式,在benet.edu上配置转发指向dc.com,在google.net上配置转发指向dc.com
(二)、在做林信任前,还要提升一下域和林的默认功能级别,这里我们全部提升到2003模式,注意,提升林功能级别是不可逆的。
在提升之前先看一下dc.com林内部默认的信任关系,如下图,林内默认信任关系是自动建立且是双向的可传递的
提升域功能级别到2003模式,以dc.com域为例
以同样的方式提升其他几个域的功能级别
注意:我们在dc.com上提升google.net的域功能级别是可以的,是因为配置了转发器,但是可能会遇到下面的情况:就是dc.com找不到他的子域bj.dc.com,是因为在dc.com的DNS中没有关于bj.dc.com的主机记录,这个时候我们只要在dc.com的DNS中新建一下bj.dc.com的主机就可以了,如下图
建立主机记录后,要重启一下DC才能让配置生效,在dc.com上才可以管理子域,才可以提升林功能级别
下面提升林功能级别到2003模式,以dc.com为例,如下图
以同样的方式提升benet.edu林的功能级别
(三)、创建林信任,林信任关系在林根域dc.com和benet.edu之间配置
在此以在benet.edu上做为例
输入被信任域的名称
注意:下面这一步要勾选“这个域和指定的域”,如果选第一项,则同样的操作还要在dc.com上做一次
然后,输入有权限的用户和密码
按照向导完成操作后,我们可以看到刚刚建立的林信任关系,可以看到该信任关系是双向的可传递的林信任
至此实验结束,有兴趣的朋友可以创建帐户组进行林间的访问,以验证实验效果,创建用户和组时可遵循AGDLP规则,即:
把用户加入到本地域全局组
把全局组加入到资源域的本地域组
在资源域为本地域组父权限
777
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
