活动目录应用系列文章之二

作者:许本新

 

         合肥迅杰公司为了拓展上海市场,所以与上海的远丝公司搭成了战略合作伙伴关系的企业,所以两家企业决定实现企业之间的员工可以相互访问彼此之间的部分资源,所以为了实现彼此的访问就需要在两家网络之间搭建信任关系。如图1所示。此处还有一点大家注意的,由于信任关系类型非常过,在这两家企业间该创建何种信任关系呢?
 

 

 

图1多域间访问
 
一、      熟悉各种信任关系
         为了有效的在两家企业见创建信任关系,我们必须对各种信任关系做个详细的介绍。一般在域环境网络中存在下面几中类型的信任,主要信任是内部信任和外部信任。
1.      默认信任
        默认信任就是在一个林内部,不管是域树还是子域,他们之间会建立一种默认的信任关系,这种关系是在创建子域或域树时自动创建的。并且他们之间是可以相互传递这种关系,信任的方向也是双向的。这种信任关系也称为内部信任。内部信任主要有下面两种情况。
树根信任:在同一个林中的两个域树之间存在。
父子信任:在同一个域树中父域和子域之间存在
2.      快捷信任
        如果目录林中的两棵域树都很大,而且每棵域树的子域层数比较多,当两棵域树底端的子域彼此之间访问就会出现验证传递的路径很长,当然验证所花费的时间也就很长,这种情况下如果这两个底端子域是经常访问的就可以手动创建一个信任关系,这样一来就可以得到很快验证,减少验证的时间,那么这种信任关系就叫快捷信任。
3.      外部信任
        默认识情况下不同目录林之间是不存在信任关系,为了实现目录林间的用户相互访问可以手动创建信任关系,这中信任的方向可以有单向和双向两种。
4.      林信任
         林信任是在不同的林之间创建的可传递的信任,手动建立,信任的方向也有单向和双向两种。并且创建林信任时,只能在林根域之间才能创建,林功能的级别必须为windows server 2003 或2000模式,不能为混合模式。另外还有一种信任叫着邻域信任。
       那么最后我们可以根据两家企业的实际情况选择一种适合两家企业的信任关系,现在为了满足这两家企业的需求我们应该为这两家企业创建林信任!
二、      创建林信任
        需要说明一点在创建林信任之前需要将两家企业林功能全部提升为windows server 2003模式,而且为了能够提升林功能级别,还需要先将所有域和子域的功能级别全部提升为windows server 2003模式才可以。
1.   设置DNS转发器
        在实际企业中每个企业都有自己独立的DNS为自己企业实现域名解析,所以为能够实现两个不同企业域之间可以相互解析,就需要在两个企业林间配置转发器让两家企业的DNS可以相互访问。设置DNS转发器,是在己方DNS转发器地址中指向对方DNS地址即可。如图2所示设置DNS转发器。
 

 

 

图2设置DNS转发器

 

1.   创建林信任
        林信任的创建是在两个企业林根间进行的创建完成后主要是为了解决两企业合并后各子域员工可以相互访问对方林中的资源。如图3所示,通过xunjie.com的属性,然后选择属性,在弹出的窗口中选择“信任”选项卡,然后选择新建信任关系,书写上被信任林“yuansi.com”,并选择“林信任”,如图4所示。
 

 

图3

 

图4

 

       接着需要设置林的信任方向,由于是两企业的员工彼此访问所以此次创建林信任是需要选择双向信任的。并设置好信任方,因为我们在这是为xunjie.com创建信任所以我们选择的信任方为“只是这个域”,如图5和图6所示。
 

 

图5

 

 

图6

 

在接下来的“传出信任身份验证级别”界面中的两个选项目:
Ø                全林性身份验证:该选项使指定林的用户可以访问本地林中的所有计算机,当两个林属于同一个组织时,使用该项。
Ø                     选择性身份验证:该选择将限制指定的林中特定用户和组的身份验证,当两个林不属于同一个组织时,选择该项。
根据当前企业需要显然我们应该选择第一个选项。如图7所示。在接下来的窗口中设置好信任密码,这里需要注意由于信任的两个林都需要创建所以双方的信任密码需要设置相同。在所有事情搞定后就可以在两个林的子域或子域用户来访问对方林中的资源了。

 

图7

         请大家继续关注我的blog后续将会介绍活动目录其他内容的介绍.