Chinaunix首页 | 论坛 | 博客

王达CU博客

首页 |  博文目录 |  关于我

茶乡浪子

  • 博客访问: 2035828
  • 博文数量: 433
  • 博客积分: 4775
  • 博客等级: 上校
  • 技术积分: 8054
  • 用 户 组: 普通用户
  • 注册时间: 2009-10-19 16:15
文章分类

全部博文(433)

文章存档

2014年(9)

2013年(20)

2012年(77)

2011年(323)

2009年(4)

我的朋友
最近访客
推荐博文
相关博文
快捷信任的创建示例

分类: 系统运维

2011-10-19 23:39:10

在如图2-98所示的示例中,域树A与域树1是同一林中的,默认情况下,Windows Server 2003活动目录已为它们创建好了各条父域与子域间的信任关系(包括三条信任路径:域A-B-C,域A-D-E,域1-2-3),以及两个树根域之间的信任关系(域树A与域树1之间)。

如果想要在这个林中的不同域之间(如域B与域D之间)创建信任关系,默认情况下,在创建信任中后进行相互身份验证时需要按照默认所创建的信任路径依次进行身份验证(如域B到域D的访问需要先到域A,再由域到域D进行两次身份验证),这显然会消耗一次的网络资源,在大型的林网络中,这种身份验证资源消耗就更明显了。为了减少这种不必要的资源消耗,微软的Windows Server 2003系统中提供一种信任双方直接域对域的信任身份验证方式,这种信任就称之为快捷信任

快捷信任可直接在对方进行身份验证,不必层层验证(就像不用中间人介绍一样)。它绕过中间的身份验证过程,减化了身份验证程序,缩短了身份验证时间,提高了身份验证效率。如图2-98中的域B与域D之间,域D与域2之间,域A与域1之间,域C与域D之间等等都可以创建快捷信任。而且这种快捷信任中可传递的。如域B与域D之间,域D与域2之间分别创建了快捷信任,则域B与域2就自动建立起了快捷信任。但要注意的是,快捷信任只能在同一林中的不同域中进行创建,不能跨林。

2-98 快捷信任示例

快捷信任也可以是单向或者双向的,同时也可以分别在不同域中创建(适用于各域管理员只拥有本地域管理凭据时),或者在一个域中同时为信任双方创建(适用于某管理员同时拥有双主域管理凭据时)。下面以在lycb.local林下的BeiJing.lycb.local子域DC上同时为BeiJing.lycb.local子域与ShangHai.lycb.local子域间创建双向可传递快捷信任为例进行介绍。这种同林间不同域间的信任创建系统自动会选择快捷信任方式进行。因为整个过程与不同林中的域的外部信任创建过程基本一样。

1)按照2.4.2节介绍的方法,打开如图2-25所示BeiJing.lycb.local子域的“Active Directory域和信任关系管理单元控制台窗口和如图2-26所示的BeiJing.lycb.local子域属性对话框信任选项卡。

2)单击新建信任按钮,打开如图2-27所示新建信任向导首页对话框。

3)单击下一步按钮,打开如图2-99所示对话框。在其中输入对方域DNS名称ShangHai.lycb.local

2-99  信任名称对话框

4)单击下一步按钮,打开如图2-100所示对话框。因为本示例要创建的是双向信任,所以选择双向单选项。

2-100  信任方向对话框

5)单击下一步按钮,打开如图2-101所示对话框。因为本示例要在BeiJing.lycb.local域上同时为信任双方创建这个快捷信任,所以选择这个域和指定域单选项。

6)单击下一步按钮,打开如图2-102所示对话框。在这里要输入对方域(ShangHai.lycb.local)的适当管理凭据,以验证你是否具有在对方域上创建信任的权限。

7)单击下一步按钮,打开如图2-103所示对话框。在这里显示了本次信任创建的设置摘要,特别要注意的是此处的信任类型中自动显示的是快捷方式,表示所创建的信任是快捷信任。

2-101  信任方对话框

2-102  用户名和密码对话框

2-103  选择信任完毕对话框

8)单击下一步按钮,系统开始在双主创建信任,完成后打开如图2-104所示对话框。在其中显示信任创建成功的提示,以及最后的信任状态改变(也是可传递的)。

2-104  信任创建完毕对话框

9)单击下一步按钮,打开如图2-105所示对话框。在这里要选择是否立即把本地域所创建的信任关系传出到对方域。因此时双方都已创建了同样的信任,所以选择是,确认传出信任单选项。

2-105  确认信任传出对话框

10)单击下一步按钮,打开如图2-105所示对话框。在这里要选择是否立即把对方域创建的信任关系传入到本地域。因此时双方都已创建了同样的信任,所以选择是,确认传入信任单选项。

2-106  确认传入信任对话框

11)单击下一步按钮,打开如图2-106所示向导完成对话框。在这其中显示信任已成功创建。单击完成按钮完成本示例的双向可传递快捷信任的创建过程。

2-107 信任创建成功的向导完成对话框

这时我们可以在双方的“Active Directory域和信任关系管理单元控制台中打开对应域的属性对话框信任选项卡查看是否真的已创建了刚才的快捷信任。如图2-107是在BeiJing.lycb.local子域的信任选项卡,而如图2-108ShangHai.lycb.local子域的信任选项卡。从它们都可以明显地看出双方已同时创建了这个双向可传递快捷信任。

 

2-108  BeiJing.lycb.local子域上成功创建的快捷信任 2-109 ShangHai.lycb.local子域成功创建的快捷信任

当然还可以按照本章前面2.4.2节介绍的三种方法对信任创建成功与否进行验证。具体验证过程在此就不再重复了。

本文摘自《(金牌网管师——大中型企业网络组建》第二章

阅读(628) | 评论(0) | 转发(1) |
0

上一篇:双向可传递林信任的创建与验证示例

下一篇:SID安全筛选

给主人留下些什么吧!~~
关于我们 | 关于IT168 | 联系方式 | 广告合作 | 法律声明 | 免费注册

Copyright 2001-2010 ChinaUnix.net All Rights Reserved 北京皓辰网域网络信息技术有限公司. 版权所有

感谢所有关心和支持过ChinaUnix的朋友们

16024965号-6