单向外部域信任关系的创建与验证示例
单向外部域信任关系的创建与验证示例本节介绍的是不同林中两个Windows Server 2003域之间的单向外部信任关系的创建,因为在同一林中的Windows Server 2003各域之间是默认建立
单向外部域信任关系的创建与验证示例
本节介绍的是不同林中两个Windows Server 2003域之间的单向外部信任关系的创建,因为在同一林中的Windows Server 2003各域之间是默认建立起了双向可传递信任了的,所以无需另外创建,但可以删除它们之间的默认信任关系。 下面以创建一个grfw.com 林中的grfw.com 根域单向信任位于lycb.local 林下的BeiJing.lycb.local 子域的单向信任创建为例进行介绍。前面介绍到,信任关系的创建可以在信任域与被信任域双方各运行一次信任创建向导,各自创建自己一方的信任(在各域管理员只拥有自己域适当管理凭据时),也可以只在任意一方运行向导一次,同时创建双方的信任(在你同时拥有双方域适当管理凭据时)。本节先以在信任域与被信任域双方各运行一次信任创建向导为例进行介绍。具体创建步骤如下:
【经验之谈】要创建两个域间的信任,必须在一个DNS 服务器上为两个域创建不同区域,或者在两个域的不同DNS 服务器属性对话框中配置指向对方的转发器,如图2-23和图2-24所示;如果两个域中的DNS 区域分属于不同DNS 服务器时,则还可以在各自的DNS 服务器上为对方域创建辅助DNS 区域,以便能相互解析(注意,创建辅助DNS 区域与配置转发器,只能选择一种)。有关辅助DNS 区域的创建方法参见本系列中级认证教材——《金牌网管师——中小型企业网络组建、配置与管理》一书。
,
图2-23 BeiJing.lycb.local 域DNS 服务器配置的转发器 图2-24 grfw.com域DNS 服务器配置的转发器
1. 在BeiJing.lycb.local 子域(被信任方)上创建单向信任关系
在本示例中,信任域是grfw.com ,被信任域是BeiJing.lycb.local 。因为本节假设要在介绍在双方各运行一次信任创建向导的信任创建方式,可以在信任的任意一方先进行信任关系创建,只是要注意不同方的信任方向选择不同。在此以先在被信任域的DC 创建上信任关系为例进行介绍。
(1)在BeiJing.lycb.local 子域的一个DC 上(本示例为
BeiJinglycb-dc.BeiJing.lycb.local )执行【开始】→【管理工具】→【Active Directory域和信任关系】菜单操作,打开如图2-25所示“Active Directory域和信任关系”
,管理单元控制台。
图2-25 “Active Directory域和信任关系”管理单元控制台
(2)在BeiJing.lycb.local 节点上单击右键,在弹出菜单中选择“属性”选项,在打开的对话框中选择“信任”选项卡,如图2-26所示。从中可以看到,在
BeiJing.lycb.local 子域中默认是建立起了与父域lycb.local 的双向可传递信任关系的。
(3)单击“新建信任”按钮,打开如图2-27所示新建信任向导首页对话框。其中显示了利用此向导可以新建的信任类型,也就是前面介绍的非默认的三种信任。我们这里所建的是第一种信任。
,图2-26 BeiJing.lycb.local子域属性对话框
“信任
”选项卡 图2-27 “欢迎使用新建信任向导”对话框
(4)单击“下一步”按钮,打开如图2-28所示对话框。在其中输入要建立信任的信任方域名,可以是NetBIOS 域名,也可以是DNS 域名。但如果是林间的信任关系建立,则必须输入的是DNS 林名称。在这时里要输入grfw.com (或者grfw )名称。如果在输入DNS 域名时显示如图2-29所示错误提示,说不是有效的
Windows 域名,则基本上是因为对方DNS 服务器上没有正确配置对应DNS 服务器的的SRV 记录。这方面与在工作站加入域时只能输入NetBIOS 名称,不能输入DNS 域名时原理是一样的。具体在《金牌网管师——中小型企业网络组建、配置与管理》一书中已有介绍,不再赘述。
(5)在图2-28所示对话框中单击“下一步”按钮,打开如图2-30所示对话框。因为此处所创建的信任的目的是要让grfw.com 域(信任域)信任此处操作的
BeiJing.lycb.local 子域(被信任域)用户,也就是把外部grfw.com 的信任传入到本地BeiJing.lycb.local 子域,所以在此要选择“单向:内传”单选项。信任方向是由BeiJing.lycb.local 域→grfw.com域。
图2-28 “信任名称”对话框
,图
2-29 因对方DNS 服务器SRV 记录配置不正确时出现的错误提示
图2-30 “信任方向”对话框
(6)单击“下一步”按钮,打开如图2-31所示对话框。在这里因为要以在信任双方各自创建信任为例进行介绍,所以要选择“只是这个域”单选项(当你只有本地域的适当管理凭据时),如果要以运行一次向导同时创建双方的信任,则要选择“这个域和指定的域”单选项,当然这时你必须同时拥有双方域的适当管理凭据。同时创建双方信任的示例将在下节介绍。
(7)单击“下一步”按钮,打开如图2-32所示对话框。在这里配置一个用于确定信任关系的初始密码。这个密码在后面会由Active Directory定期动态更新,以确保信任安全。但在信任双方创建信任关系时所输入的密码必须完全一样。这里的密码不受帐户密码复杂性策略影响。
(8)单击“下一步”按钮,打开如图2-33所示信任创建设置摘要对话框。在其中显示了本次信任创建的设置摘要。如果发现某项设置不妥时,可通过单击“上一步”按钮返回到相应步骤重新设置。在这里要注意的是“传递”属性中显示的是“否”,那是因为这里所创建的是外部信任,不具有可传递性。
(9)单击“下一步”按钮,开始创建信任,成功后会打开如图2-34所示对话框。其中显示创建信任成功及信任的状态及设置。
(10)单击“下一步”按钮,打开如图2-35所示对话框。在这里要选择是否要立即传入(由信任域向被信任域传入信任关系)信任关系。由于本节采用的是双方中单独信任创建方式,对方还没有创建该信任,没有确认该信任,所以也就没有信任关系传入,在此选择“否,不确认传入信任”单选项。
(11)单击“下一步”按钮,打开如图2-36所示信任向导完成对话框,提示必须在另一个域中创建此信任才能起作用。单击“完成”按钮,在被信任域
BeiJing.lycb.local 的信任关系中可以见到已新建了信任此域的传入信任关系。信
,任域是
grfw.com ,如图
2-37所示。
图2-31 “信任方”对话框
图2-32 “信任密码”对话框
,图
2-33
“
选择信任完毕”对话框
图2-34 “信任创建完毕”对话框
图2-35 “确认传入信任”对话框
,图
2-36
“正在完成新建信任向导”对话框
图2-37 在被信任域BeiJing.lycb.local 中创建的单向信任
2. 在grfw.com 域(信任方)上创建单向信任关系
在被信任方创建好单向信任后,接下来还需要在信任方创建同样的单向信任(因为七节采用的是单独信任创建方式)。下面是具体的步骤(在信任域grfw.com 的DC 上进行操作)。
(1)在grfw.com 的一个DC 的“Active Directory域和信任关系”管理单元的
grfw.com 节点上单击右,在弹出菜单中选择“属性”选项,然后在打开的对话框中选择“信任”选项卡,从中可以看出,此时该域上没有创建任何信任关系。这也证明了双方单独创建信任的真正含义,那就是那次只在本地域上创建没有确认的信任,在对方域上不同时创建该信任,需要在对方域上单独运行信任创建向导。
(2)单击“新建信任”按钮,同样会打开如图2-27所示新建信任向导首页对话框。
,图
2-38 grfw.com域属性对话框“信任”选项卡
(3)单击“下一步”按钮,打开如图2-39所示对话框。在其中输入要建立信任的被信任方域名。可以是DNS 域名(本示例为BeiJing.lycb.local ),也可以是NetBIOS 域名(本示例为BeijIng )。
图2-39 “信任名称”对话框
(4)单击“下一步”按钮,打开如图2-40所示对话框。因为此处创建的是单向信任,而且信任方向是由BeiJing.lycb.local 域→grfw.com域,此处创建信任的目的就是由把本地域grfw.com 向外传出信任到对方域,所以此处要选择“单向:外传”单选项。这与在被信任域上操作时的图2-30是不一样的(创建的信任关系方向不一样)。大家注意理解。
(5)单击“下一步”按钮,同样会打开如图2-31所示对话框。同样因为采用的是单独创建信任方式,所以要选择“只是这个域”单选项。
(6)单击“下一步”按钮,打开如图2-41所示对话框。在这里要选择信任方对被信任方用户身份验证的方式(如果所创建的是单向信任,则只会在信任方创建信任时才会有这个对话框)。如果是同一个公司的不同林中的域,则通常是选择“全域性身份验证”单选项,这样被信任域就可以自动对被信任域访问本地域中所有资源按照管理设置进行身份验证;如果两个域是不同的公司,则出于安全考虑,则需要手动设置允许被信任域用户访问的资源了。这时就要选择“选择性身份验证”单选项,以限制被信任域用户访问某些资源。在此选择“全域性身份验证”单
,选项。
图2-40 “信任方向”对话框
图2-41 “传出信任身份验证”对话框
(7)单击“下一步”按钮,同样会打开如图2-32所示对话框。在这里要指定一个与在图2-32所示对话框中一样设置的的信任密码。
(8)单击“下一步”按钮,同样会打开如图2-42所示对话框。在这里显示了本次信任创建向导中的设置摘要。注意与前面的图2-33进行比较。