实验环境:
西安凌云高科技系统集成由限公司在日常办公之中使用的域是benet.Com(一个林);由于工程部最近接到了一个项目;搭建了一个域名为“project.com”(是另一个林)。然后在该域中一个共享文件夹让benet.com中的工程部的员工来访问来达到不同域中的员工互相讨论;如何让不同的域之间的工程部的员工互访?如何让不同的域来达到网络的相互信任?如何完成上面的需求?下面我们具体的来一步一步的做?
实验目的:
理解信任关系的概念;
理解跨域间访问的配置方法;
利用AGDLP规则实验外部信任的互访;
实验拓扑:
实验步骤:
一、理解信任关系的概念:
首先我们要知道为什么域之间要创建信任的关系?
我们来看一个实例:西安凌云高科技的域名为“angeldevil.com”而广州分公司的域名为“gz.angeldevil.com”;如果总公司的员工需要访问分公司域中的资源,访问资源就需要帐户的身份验证,而一个域中的DC只能验证本域的帐户身份,不能验证其他域的帐户。而这时候就需要在域之间建立信任关系,使资源所在的域(资源域或信任域)信任帐户所在的域(账户域,被信任域)。
在一般的情况下,林中的默认信任域关系的特点一般有3个特点:
自动建立:林中的域之间的信任关系是在创建子域或者域树时自动创建的;
传递信任:林中的域的信任关系是可传递的:就像“张三”信任“李四”,“李四”信任“王二”,而“张三”又信任“王二”。
双向信任:双向信任是指在两个域之间有两个方向上的两条信任:就像“张三”相信“李四”,“李四”相信“张三”一样;
信任的类型:林中的信任、林之间的信任;
林中的信任分为:树根信任和父子信任;林之间的信任是自动建立的,而且是双向的可传递的信任关系;虽然信任关系的建立为跨访问资源提供了前提条件,但是成功访问还是必须设置权限:这就需要AGDLP规则。
树根信任:在同一个林中的两个域树之间的存在;
父子信任:在同一个域树中父域和子域之间的存在;
林之间的信任分为:外部信任和林信任。
外部信任是指在不同林的域之间创建的不可信任的传递;林信任是在windows service 2003林中特有的信任;是windows service 2003林根域之间的建立的信任,在两个windows service 2003 林之间创建林信任可为任一林内的各个域之间提供一种单项或者双向的可传递的信任关系。
二、配置外部信任;
为了方便我们实验的配置,我们在这里已经创建好了域benet.Com和“project.com”我们只是来了解外部信任怎么来创建:
2.1.0在配置外部信任之前我们首先来配置“转发器”。(配置转发器其实是让两个DNS互相能够访问),选择DNS属性—转发器,然后填写对端的DNS的IP地址;如图是在windows sp1上的设置;
![clip_image004[1]](http://devliangel.blog.51cto.com/attachment/200905/16/469347_124248769674rg.jpg)
当然在配置外部信任的时候双发必须要配置,在windows r2上配置和在sp1的方法一样;
![clip_image006[1]](http://devliangel.blog.51cto.com/attachment/200905/16/469347_1242487700cYet.jpg)
2.1.1在project域DC上打开“域和信任关系的界面”的窗口,然后右击“project.com”的域名,然后在弹出的快捷菜单中选择属性——信任命令,单击新建信任按钮就会出现如图所示的界面:
![clip_image008[1]](http://devliangel.blog.51cto.com/attachment/200905/16/469347_1242487704rU9S.jpg)
2.1.2然后在弹出的界面中,输入信任的名,单击下一步。
![clip_image010[1]](http://devliangel.blog.51cto.com/attachment/200905/16/469347_1242487708mZFW.jpg)
2.1.3下来我们选择信任的方向为“单向:外传”。在这里我们为什么要选择单向呢?下面我们分别来了解一下这三种选项不同的意义:“双向”:本地域信任指定域。同时指定域信任本地域;“单向:内传”:指定域信任本地域;“单向:外传:”本地域信任指定域。所以在我们在这里我们所选择的是“单向:外传:”,因为我们所采用的是本地的信任指定的。
![clip_image012[1]](http://devliangel.blog.51cto.com/attachment/200905/16/469347_1242487712YFN2.jpg)
2.1.4在如图所示的界面中我们选择“这个域和指定的域”,由于是信任关系是在两个域之间建立的,如果我们在域“project.com”(本地域)建立一个“单向:外部”信任,则需要在域“benet.com”上建立一个“单向:内传”信任。
![clip_image014[1]](http://devliangel.blog.51cto.com/attachment/200905/16/469347_1242487717Fe9o.jpg)
2.1.5在指定的域中输入具有管理权限的用户名称和密码。
![clip_image016[1]](http://devliangel.blog.51cto.com/attachment/200905/16/469347_1242487721FhtT.jpg)
2.1.6.我们在身份验证之中我们选择“全域性身份验证”当我们选择此项的时候它会自动的分配资源;而当我们选择“选择性身份验证”就会有选择的进行身份验证:
![clip_image018[1]](http://devliangel.blog.51cto.com/attachment/200905/16/469347_1242487727NAC5.jpg)
2.1.7.创建完毕后,会出现如图所示的界面:单击下一步。在这里面我们可以知道信任关系创建成功;然后会显示它的方向;信任的类型;是不是可传递等一些详细的信息:
![clip_image020[1]](http://devliangel.blog.51cto.com/attachment/200905/16/469347_1242487732Cf8k.jpg)
2.1.8.选择“是,确认传入信任”单选按钮,单击下一步,表示信任关系已经建立了,单击完成即可OK。
![clip_image022[1]](http://devliangel.blog.51cto.com/attachment/200905/16/469347_1242487737etAY.jpg)
2.1.9.如图是完成所的新建界面的向导界面:
![clip_image024[1]](http://devliangel.blog.51cto.com/attachment/200905/16/469347_1242487741qiNB.jpg)
2.2.0.创建信任关系完成后,可以看到有集中方式验证。
在“project.com”域的DC上使用“域和信任关系”,可以看到如图所示的界面:
![clip_image026[1]](http://devliangel.blog.51cto.com/attachment/200905/16/469347_1242487745wh2o.jpg)
三、利用ADGLP规则来实现网络的互访;
3.1.0.在“benet.com”上创建用户“xiaohei”和安全组“xiaobai”;如图所示:
![clip_image028[1]](http://devliangel.blog.51cto.com/attachment/200905/16/469347_124248775189yy.jpg)
3.1.1.然后登陆到“project.com”中,创建本地域组“bendiyu”;如图所示:
![clip_image030[1]](http://devliangel.blog.51cto.com/attachment/200905/16/469347_1242487761BzA7.jpg)
3.1.2.然后把在benet.com中的安全组添加到project.com”中,单击“位置”然后选择“benet.com”,然后选择“高级”即可完成;
![clip_image032[1]](http://devliangel.blog.51cto.com/attachment/200905/16/469347_1242487767QD58.jpg)
3.1.3.如图是查找安全组“xiaobai”的界面:
![clip_image034[1]](http://devliangel.blog.51cto.com/attachment/200905/16/469347_1242487771gwhn.jpg)
3.1.4.然后我们在“benet.com”的域中:让用户“xiaohei”登录上去;如图是所登录的界面:
![clip_image036[1]](http://devliangel.blog.51cto.com/attachment/200905/16/469347_1242487779Vy2D.jpg)
3.1.5.当用户“xiaohei”登录之后看是不是能够访问“project.com”域中的共享文件夹“share”如图是登录的界面:
![clip_image038[1]](http://devliangel.blog.51cto.com/attachment/200905/16/469347_1242487785lGji.jpg)
3.1.6.如图是通过“benet.com”中的用户“xiaohei”登录的界面所访问到“project.com”上的“share”文件夹的共享;
![clip_image040[1]](http://devliangel.blog.51cto.com/attachment/200905/16/469347_1242487788LiFT.jpg)
本文转自devilangel 51CTO博客,原文链接:http://blog.51cto.com/devliangel/158622,如需转载请自行联系原作者
