分类: 系统运维
2011-10-19 23:29:51
本节介绍的是不同林中两个Windows Server 2003域之间的单向外部信任关系的创建,因为在同一林中的Windows Server 2003各域之间是默认建立起了双向可传递信任了的,所以无需另外创建,但可以删除它们之间的默认信任关系。
下面以创建一个grfw.com林中的grfw.com根域单向信任位于lycb.local林下的BeiJing.lycb.local子域的单向信任创建为例进行介绍。前面介绍到,信任关系的创建可以在信任域与被信任域双方各运行一次信任创建向导,各自创建自己一方的信任(在各域管理员只拥有自己域适当管理凭据时),也可以只在任意一方运行向导一次,同时创建双方的信任(在你同时拥有双方域适当管理凭据时)。本节先以在信任域与被信任域双方各运行一次信任创建向导为例进行介绍。具体创建步骤如下:
【经验之谈】要创建两个域间的信任,必须在一个DNS服务器上为两个域创建不同区域,或者在两个域的不同DNS服务器属性对话框中配置指向对方的转发器,如图2-23和图2-24所示;如果两个域中的DNS区域分属于不同DNS服务器时,则还可以在各自的DNS服务器上为对方域创建辅助DNS区域,以便能相互解析(注意,创建辅助DNS区域与配置转发器,只能选择一种)。有关辅助DNS区域的创建方法参见本系列中级认证教材——《金牌网管师——中小型企业网络组建、配置与管理》一书。
图2-23 BeiJing.lycb.local域DNS服务器配置的转发器 图2-24 grfw.com域DNS服务器配置的转发器
1. 在BeiJing.lycb.local子域(被信任方)上创建单向信任关系
在本示例中,信任域是grfw.com,被信任域是BeiJing.lycb.local。因为本节假设要在介绍在双方各运行一次信任创建向导的信任创建方式,可以在信任的任意一方先进行信任关系创建,只是要注意不同方的信任方向选择不同。在此以先在被信任域的DC创建上信任关系为例进行介绍。
(1)在BeiJing.lycb.local子域的一个DC上(本示例为BeiJinglycb-dc.BeiJing.lycb.local)执行【开始】→【管理工具】→【Active Directory域和信任关系】菜单操作,打开如图2-25所示“Active Directory域和信任关系”管理单元控制台。
图2-25 “Active Directory域和信任关系”管理单元控制台
(2)在BeiJing.lycb.local节点上单击右键,在弹出菜单中选择“属性”选项,在打开的对话框中选择“信任”选项卡,如图2-26所示。从中可以看到,在BeiJing.lycb.local子域中默认是建立起了与父域lycb.local的双向可传递信任关系的。
(3)单击“新建信任”按钮,打开如图2-27所示新建信任向导首页对话框。其中显示了利用此向导可以新建的信任类型,也就是前面介绍的非默认的三种信任。我们这里所建的是第一种信任。
图2-26 BeiJing.lycb.local子域属性对话框“信任”选项卡 图2-27 “欢迎使用新建信任向导”对话框
(4)单击“下一步”按钮,打开如图2-28所示对话框。在其中输入要建立信任的信任方域名,可以是NetBIOS域名,也可以是DNS域名。但如果是林间的信任关系建立,则必须输入的是DNS林名称。在这时里要输入grfw.com(或者grfw)名称。如果在输入DNS域名时显示如图2-29所示错误提示,说不是有效的Windows域名,则基本上是因为对方DNS服务器上没有正确配置对应DNS服务器的的SRV记录。这方面与在工作站加入域时只能输入NetBIOS名称,不能输入DNS域名时原理是一样的。具体在《金牌网管师——中小型企业网络组建、配置与管理》一书中已有介绍,不再赘述。
(5)在图2-28所示对话框中单击“下一步”按钮,打开如图2-30所示对话框。因为此处所创建的信任的目的是要让grfw.com域(信任域)信任此处操作的BeiJing.lycb.local子域(被信任域)用户,也就是把外部grfw.com的信任传入到本地BeiJing.lycb.local子域,所以在此要选择“单向:内传”单选项。信任方向是由BeiJing.lycb.local域→grfw.com域。
图2-28 “信任名称”对话框
图2-29 因对方DNS服务器SRV记录配置不正确时出现的错误提示
图2-30 “信任方向”对话框
(6)单击“下一步”按钮,打开如图2-31所示对话框。在这里因为要以在信任双方各自创建信任为例进行介绍,所以要选择“只是这个域”单选项(当你只有本地域的适当管理凭据时),如果要以运行一次向导同时创建双方的信任,则要选择“这个域和指定的域”单选项,当然这时你必须同时拥有双方域的适当管理凭据。同时创建双方信任的示例将在下节介绍。
(7)单击“下一步”按钮,打开如图2-32所示对话框。在这里配置一个用于确定信任关系的初始密码。这个密码在后面会由Active Directory定期动态更新,以确保信任安全。但在信任双方创建信任关系时所输入的密码必须完全一样。这里的密码不受帐户密码复杂性策略影响。
(8)单击“下一步”按钮,打开如图2-33所示信任创建设置摘要对话框。在其中显示了本次信任创建的设置摘要。如果发现某项设置不妥时,可通过单击“上一步”按钮返回到相应步骤重新设置。在这里要注意的是“传递”属性中显示的是“否”,那是因为这里所创建的是外部信任,不具有可传递性。
(9)单击“下一步”按钮,开始创建信任,成功后会打开如图2-34所示对话框。其中显示创建信任成功及信任的状态及设置。
(10)单击“下一步”按钮,打开如图2-35所示对话框。在这里要选择是否要立即传入(由信任域向被信任域传入信任关系)信任关系。由于本节采用的是双方中单独信任创建方式,对方还没有创建该信任,没有确认该信任,所以也就没有信任关系传入,在此选择“否,不确认传入信任”单选项。
(11)单击“下一步”按钮,打开如图2-36所示信任向导完成对话框,提示必须在另一个域中创建此信任才能起作用。单击“完成”按钮,在被信任域BeiJing.lycb.local的信任关系中可以见到已新建了信任此域的传入信任关系。信任域是grfw.com,如图2-37所示。
图2-31 “信任方”对话框
图2-32 “信任密码”对话框
图2-33 “选择信任完毕”对话框
图2-34 “信任创建完毕”对话框
图2-35 “确认传入信任”对话框
图2-36 “正在完成新建信任向导”对话框
图2-37 在被信任域BeiJing.lycb.local中创建的单向信任
2. 在grfw.com域(信任方)上创建单向信任关系
在被信任方创建好单向信任后,接下来还需要在信任方创建同样的单向信任(因为七节采用的是单独信任创建方式)。下面是具体的步骤(在信任域grfw.com的DC上进行操作)。
(1)在grfw.com的一个DC的“Active Directory域和信任关系”管理单元的grfw.com节点上单击右,在弹出菜单中选择“属性”选项,然后在打开的对话框中选择“信任”选项卡,从中可以看出,此时该域上没有创建任何信任关系。这也证明了双方单独创建信任的真正含义,那就是那次只在本地域上创建没有确认的信任,在对方域上不同时创建该信任,需要在对方域上单独运行信任创建向导。
(2)单击“新建信任”按钮,同样会打开如图2-27所示新建信任向导首页对话框。
图2-38 grfw.com域属性对话框“信任”选项卡
(3)单击“下一步”按钮,打开如图2-39所示对话框。在其中输入要建立信任的被信任方域名。可以是DNS域名(本示例为BeiJing.lycb.local),也可以是NetBIOS域名(本示例为BeijIng)。
图2-39 “信任名称”对话框
(4)单击“下一步”按钮,打开如图2-40所示对话框。因为此处创建的是单向信任,而且信任方向是由BeiJing.lycb.local域→grfw.com域,此处创建信任的目的就是由把本地域grfw.com向外传出信任到对方域,所以此处要选择“单向:外传”单选项。这与在被信任域上操作时的图2-30是不一样的(创建的信任关系方向不一样)。大家注意理解。
(5)单击“下一步”按钮,同样会打开如图2-31所示对话框。同样因为采用的是单独创建信任方式,所以要选择“只是这个域”单选项。
(6)单击“下一步”按钮,打开如图2-41所示对话框。在这里要选择信任方对被信任方用户身份验证的方式(如果所创建的是单向信任,则只会在信任方创建信任时才会有这个对话框)。如果是同一个公司的不同林中的域,则通常是选择“全域性身份验证”单选项,这样被信任域就可以自动对被信任域访问本地域中所有资源按照管理设置进行身份验证;如果两个域是不同的公司,则出于安全考虑,则需要手动设置允许被信任域用户访问的资源了。这时就要选择“选择性身份验证”单选项,以限制被信任域用户访问某些资源。在此选择“全域性身份验证”单选项。
图2-40 “信任方向”对话框
图2-41 “传出信任身份验证”对话框
(7)单击“下一步”按钮,同样会打开如图2-32所示对话框。在这里要指定一个与在图2-32所示对话框中一样设置的的信任密码。
(8)单击“下一步”按钮,同样会打开如图2-42所示对话框。在这里显示了本次信任创建向导中的设置摘要。注意与前面的图2-33进行比较。
(9)单击“下一步”按钮,开始创建信任,成功后会打开如图2-43所示对话框。其中显示创建信任成功及信任设置。注意与前面的图2-34进行比较。
图2-42 “选择信任完毕”对话框
图2-43 “信任创建完毕”对话框
(10)单击“下一步”按钮,打开如图2-44所示对话框。在这里要选择是否要把信任域(也就是本地域grfw.com)的信任关系向被信任方BeiJing.lycb.local的信任关系传出。由于此时信任与被信任方都已创建好这个信任关系,所以在此要选择确认传出(选择“是,确认传出信任”单选项)。
(11)单击“下一步”按钮,打开如图2-45所示信任向导完成对话框。
(12)单击“完成”按钮,打开如图2-46所示的系统提示框。提示可以启用SID筛选功能,以防用户非法用户利用域信任进行破坏活动。有关SID的筛选功能及配置方法将在本章后面介绍。此时在grfw.com信任域的信任关系中可以见到已新建了信任此域的传出信任关系。被信任域是BeiJing.lycb.local,如图2-47所示。
图2-44 “确认信任传出”对话框
图2-45 “正在完成新建信任向导”对话框
图2-46 SID筛选提示框
图2-47 在信任域grfw.com上创建的单向信任
3. 单向信任验证
通过上面双方同一信任的创建,本示例中的单向非传递信任就创建完成了。但是如何验证信任创建成功了呢?我们需要在双方验证信任是否已成功传入,或者传出。这个验证有几种方式:一是在信任方的文件夹或者文件的NTFS安全权限配置中进行验证,二是在双方的信任属性对话框中进行验证,三是通过在信任方任意主机登录界面中进行验证。下面分别予以介绍。
l 在信任方文件夹或文件NTFS权限配置中进行验证
对于本示例因为是单向信任,所以这时只要在本示例信任方grfw.com域的任意NTFS文件夹或者文件属性对话框“安全”选项卡单击“添加”按钮,在打开的如图2-48所示的“选择用户、计算机和组”对话框中单击“位置”按钮,在打开的如图2-49所示对话框中可以见到,除了有本地域grfw.com域,还有被grfw.com域信任的BeiJing.lycb.local子域。这就证明了,本次信任创建成功。同时从中可以看出,在图2-49所示对话框中只添加了一个单一BeiJing.lycb.local子域,由此可见,它是非传递的信任,因为这是外部信任。
图2-48 “选择用户、计算机或组”对话框
图2-49 信任方的“位置”对话框
那如何证明这个信任是单向的呢?这时只需要在被信任方BeiJing.lycb.local子域的任意主机任意NTFS文件夹或者文件上执行以上相同的操作,打开图2-49所示的“位置”对话框。在其中可以看到,信任方grfw.com并没有在其中,只有同一域树默认创建信任的另外两个域,如图2-50所示。这就证明本次创建的信任是单向的,只是grfw.com域信任BeiJing.lycb.local子域中的用户,而BeiJing.lycb.local子域并不信任grfw.com域中的用户。
l 在双方信任关系的属性对话框中进行验证
要在信任关系属性对话框中验证,要验证传入信任,必须要有对方域的适当管理凭据(验证传出信任时无需对方域的管理凭据,因为信任是由本地域传出的),否则无法进行。而且采用这种方式验证会重置信任,所以通过不要采用这种验证方式。
首先在被信任域BeiJing.lycb.local上前面所创建的传入信任。方法是在如图2-37所示对话框中选择所创建的传入信任grfw.com选项,然后单击“属性”按钮,打开如图2-51所示对话框。然后在其中单击“验证”按钮,打开如图2-52所示对话框。选择“是,验证传入信任”单选项,然后在下面输入对方信任域grfw.com具有创建信任的管理凭据,如对方域的administrator帐户。最后单击“确定”按钮,验证通过后会有如图2-53所示的提示框。
同样在信任方(本示例为grfw.com)所创建的以上与BeiJing.lycb.local域的单向信任的如图2-54所示属性对话框中单击“验证”按钮,直接对本地域的信任传出进行验证。验证成功后, 同样会有如图2-53所示的提示框。
l 在信任域用户登录界面中验证
如果受信任的域,则在信任域的登录界面中会显示受信任域选项,表示在信任域中也可登录到受信任域(当然所输入的用户帐户必须是受信任域中合法的),因为信任域信任受信任域中的用户。
如图2-55所示的是在本示例信任域grfw.com的客户端登录界面,在“登录到”下拉列表中除了显示所加入的域grfw.com外,还显示了它所信任的域BeiJing.lycb.local。
图2-50 被信任方的“位置”对话框
图2-51 传入信任属性对话框
图2-52 传入信任验证凭据指定对话框
图2-53 信任验证成功的提示框
图2-54 传出信任属性对话框
图2-55 信任域的用户登录界面
本文摘自《(金牌网管师——大中型企业网络组建》第二章
