林域间信任.docx
《林域间信任.docx》由会员分享,可在线阅读,更多相关《林域间信任.docx(19页珍藏版)》请在冰豆网上搜索。
林域间信任
多域间访问的搭建与架设
(建立林域间的信任关系)
注意:
首先注意两个林域之间建立的信任关系一定要在有FSMO角色的主域控间,如没有FSMO角色的可能会出问题。
这里给出强行转换角色的方法。
_U$_0h_S_@0强行夺取FSMO主机角色了,可使用以下方法:
LUPA开源社区+x_E_`w"w&Pf.@_F
命令行界面:
LUPA开源社区1f_r;Y8g%u1g_P
1、打开“命令提示符”,键入:
ntdsutilLUPA开源社区*{_[!
h_s_NN_@'C_W
2、在ntdsutil命令提示符下,键入:
rolesLUPA开源社区_t1~9Q_B;E^#m-x_m0L
3、在fsmomaintenance命令提示符下,键入:
connections
;e*v_^.M_m,b4O04、在serviceconnections命令提示符下,键入:
connecttoserver
)_*R:
}
f&|:
~_~05、在serviceconnections命令提示符下,键入:
quit
J_v_|{%V_X06、在fsmomaintenance命令提示符下,键入:
seizeridmasterLUPA开源社区_d1V(s_z7?
@
LUPA开源社区_B_B0E~(`x上面是以夺取RID主机为例,其余主机夺取过程以上述类似,只是第六步稍有不同。
LUPA开源社区"\_R_O_W_Q
LUPA开源社区_S_b_p_b0B.cPDC模拟器:
seizepdc
\A8Pg_O0域命名主机:
seizedomainnamingmaster
_x_C+I8u_y_w_T_m0结构主机:
seizeinfrastructuremaster
#c_T_y_o_x0架构主机:
seizeschemamaster
_t7A_lG)rI#Z8~0LUPA开源社区_d.A1sd6__n0p$j
加外注意,如果是跨子网或者两地VPN的话,要建立WINS服务器映射两边机子,并且LUPA开源社区_j!
c_}O#w_Xy两边林主域控的DNS要指回自己(也可以为空,否则可能两边不能验证通信,这个经过LUPA开源社区$|!
zL_Pb_E%I/u多次实验,原理到现在还搞不清楚),还要新建一个对方的的DNSZone。
并指定ZoneTransfero为对方的域控IP地址。
LUPA开源社区_}_`h8O9Z_[7K;l
_x_F(J.q"T_a_w_b_u*r!
}0LUPA开源社区0x4`_y_Xa
实验环境:
LUPA开源社区$a_@$__e.~
西安凌云高科技系统集成由限公司在日常办公之中使用的域是benet.Com(一个林);由于工程部最近接到了一个项目;搭建了一个域名为“”(是另一个林)。
然后在该域中一个共享文件夹让中的工程部的员工来访问来达到不同域中的员工互相讨论;如何让不同的域之间的工程部的员工互访?
如何让不同的域来达到网络的相互信任?
如何完成上面的需求?
下面我们具体的来一步一步的做?
LUPA开源社区.Qo8Z8g_qT_^
0`x_m_p_D#X_{_{0 实验目的:
LUPA开源社区m\#u_E7X_r1O
1^7F$j_u_z0 理解信任关系的概念;LUPA开源社区5Q|1c,_2q-o
LUPA开源社区5\:
n_t8D_A_y6}1S_w 理解跨域间访问的配置方法;
_|4w&ce+P_c'P0_a)z_W7n3R_c;~0 利用AGDLP规则实验外部信任的互访;
7u_s_t_X4R%c_u0_lV_v_@1L
g_P_D;B0 实验拓扑:
Fm)J_hU_F#X0
0g8}D_q_b_{/H;}_S0LUPA开源社区u-{_W_[$a_D_kr
Z4a.n实验步骤:
LUPA开源社区1t!
m__E_U_y
一、理解信任关系的概念:
'\(Dl_R^_k0 首先我们要知道为什么域之间要创建信任的关系?
_O0e;O_ZR_p4@0g_{_P-p0 我们来看一个实例:
西安凌云高科技的域名为“”而广州分公司的域名为“”;如果总公司的员工需要访问分公司域中的资源,访问资源就需要帐户的身份验证,而一个域中的DC只能验证本域的帐户身份,不能验证其他域的帐户。
而这时候就需要在域之间建立信任关系,使资源所在的域(资源域或信任域)信任帐户所在的域(账户域,被信任域)。
LUPA开源社区n_x&be_m_N-G_[_d
在一般的情况下,林中的默认信任域关系的特点一般有3个特点:
LUPA开源社区_X_S8y/t%n_@_Ulb
自动建立:
林中的域之间的信任关系是在创建子域或者域树时自动创建的;
_i_`"V6z#mt:
^;O0 传递信任:
林中的域的信任关系是可传递的:
就像“张三”信任“李四”,“李四”信任“王二”,而“张三”又信任“王二”。
1Y_i8r_B_i_H_}
~_y0 双向信任:
双向信任是指在两个域之间有两个方向上的两条信任:
就像“张三”相信“李四”,“李四”相信“张三”一样;LUPA开源社区,}j,?
%S4d
f7`_c_S]_|!
K_B0 信任的类型:
林中的信任、林之间的信任;LUPA开源社区_N2J_f_|_l_U!
f2P
林中的信任分为:
树根信任和父子信任;林之间的信任是自动建立的,而且是双向的可传递的信任关系;虽然信任关系的建立为跨访问资源提供了前提条件,但是成功访问还是必须设置权限:
这就需要AGDLP规则。
树根信任:
在同一个林中的两个域树之间的存在;LUPA开源社区_Sw5Rd_op,{4m_L
:
G?
2g2z_A,i9v0 父子信任:
在同一个域树中父域和子域之间的存在;LUPA开源社区\&rE
p_y't&V2~7i
%d
`_z3s.u/[_B:
u$S0 林之间的信任分为:
外部信任和林信任。
LUPA开源社区"G/g_i0x/N%@5p_^
外部信任是指在不同林的域之间创建的不可信任的传递;林信任是在windowsservice2003林中特有的信任;是windowsservice2003林根域之间的建立的信任,在两个windowsservice2003林之间创建林信任可为任一林内的各个域之间提供一种单项或者双向的可传递的信任关系。
Q_}_J_z-sr'g.[_N6Z~&A0 二、配置外部信任;LUPA开源社区_D7qh7U_B_P_G_S:
C4@
"F_|j
a_Q/[_z0 为了方便我们实验的配置,我们在这里已经创建好了域benet.Com和“”我们只是来了解外部信任怎么来创建:
LUPA开源社区3o_a_G4b
Gl8y6?
I_V2u
6^!
d-A"a9S_o(R_v0 2.1.0在配置外部信任之前我们首先来配置“转发器”。
(配置转发器其实是让两个DNS互相能够访问),选择DNS属性—转发器,然后填写对端的DNS的IP地址;如图是在windowssp1上的设置;LUPA开源社区)e_d_}PS*\_g
LUPA开源社区_f&[:
d_V*k0k)w*B3Y
_J_q_D_a/l4~_M_x4U2w0当然在配置外部信任的时候双发必须要配置,在windowsr2上配置和在sp1的方法一样;LUPA开源社区/t
PA_K_N
`_J_n_N'T?
_l09M_w2P_^3fi0 2.1.1在project域DC上打开“域和信任关系的界面”的窗口,然后右击“”的域名,然后在弹出的快捷菜单中选择属性——信任命令,单击新建信任按钮就会出现如图所示的界面:
6T_@_M&I9\m+P_T+c0:
B_|_B_@;K
Dv0
LUPA开源社区:
q&@&O_O&W}_b
LUPA开源社区_V"a_]_K_@9S 2.1.2然后在弹出的界面中,输入信任的名,单击下一步。
X_z_o_u)i_Ur0LUPA开源社区_?
/rs_z`#?
_o_e
LUPA开源社区_kW!
j!
GKY_i
K;}*r:
oH_y_p[_s_M0 2.1.3下来我们选择信任的方向为“单向:
外传”。
在这里我们为什么要选择单向呢?
下面我们分别来了解一下这三种选项不同的意义:
“双向”:
本地域信任指定域。
同时指定域信任本地域;“单向:
内传”:
指定域信任本地域;“单向:
外传:
”本地域信任指定域。
所以在我们在这里我们所选择的是“单向:
外传:
”,因为我们所采用的是本地的信任指定的。
_F#?
+{_Y_^2^&e_Zu0LUPA开源社区_w"X_B&J_u/n5I;P{
(Bz[9j)G_@#]_n_n#s02.1.4在如图所示的界面中我们选择“这个域和指定的域”,由于是信任关系是在两个域之间建立的,如果我们在域“”(本地域)建立一个“单向:
外部”信任,则需要在域“”上建立一个“单向:
内传”信任。
LUPA开源社区:
mXem_P_n
!
`^Y3FG_t+c7d_w_?
M0;o8X,g$y_U_s_y"},W0 2.1.5在指定的域中输入具有管理权限的用户名称和密码。
T_l%P?
(I_NZ_h'~0
_y/h;f.t_`_N3i_U0LUPA开源社区_]"v!
A4{&[O8[_l 2.1.6.我们在身份验证之中我们选择“全域性身份验证”当我们选择此项的时候它会自动的分配资源;而当我们选择“选择性身份验证”就会有选择的进行身份验证:
LUPA开源社区0D.^+W(^_~*D
!
J_PsHb,r0
LUPA开源社区_i,m_U-U)\1L@
LUPA开源社区"q2q_J0j!
|8~.JR 2.1.7.创建完毕后,会出现如图所示的界面:
单击下一步。
在这里面我们可以知道信任关系创建成功;然后会显示它的方向;信任的类型;是不是可传递等一些详细的信息:
_G_h_O_Kw'R0B_e_T_fe%D2W0
LUPA开源社区_c#j6@-b-C&?
Q
2.1.8.选择“是,确认传入信任”单选按钮,单击下一步,表示信任关系已经建立了,单击完成即可OK。
_`}8`___P_A@.B_L!
P0
_t,R$Y_v6q
_0LUPA开源社区:
c_q)]
B_u_}__9y 2.1.9.如图是完成所的新建界面的向导界面:
__Qk_L_d_S0
5m_~/t3`#tq_s_p_i_]d2S0 2.2.0.创建信任关系完成后,可以看到有集中方式验证。
_z_I5w_|_s7m_f"B!
T"w3g0,F_T8?
y(T-H,n0^0 在“”域的DC上使用“域和信任关系”,可以看到如图所示的界面:
LUPA开源社区_y0b*d_R,T
P"Pf_y0o}0LUPA开源社区\_D_h#\_m_F_s
三、利用ADGLP规则来实现网络的互访;
_~_U*yi:
Qj_{0iS/f0_u_?
2U0~_@1S_r*G6N_s0 3.1.0.在“”上创建用户“xiaohei”和安全组“xiaobai”;如图所示:
LUPA开源社区+ho
s;r2h_D"l,l_T&Wd
_^_g"~*O3\$A0
LUPA开源社区2]_s,b_\%x
3.1.1.然后登陆到“”中,创建本地域组“bendiyu”;如图所示:
x_u__:
l_}w-i)`%v&j'w0
LUPA开源社区_|f&\_FA
LUPA开源社区(n_f'b;k/g4l
1B_X_L_Y/H_j_Q0 3.1.2.然后把在中的安全组添加到”中,单击“位置”然后选择“”,然后选择“高级”即可完成;
_f_z_G_h*N_Y_[*`!
d_v0S6@_^0,`5?
_j6ni*G0
LUPA开源社区S"D_?
_Zz_`_@7c7V
LUPA开源社区_fJ4y_Lu;w-i
3.1.3.如图是查找安全组“xiaobai”的界面:
LUPA开源社区]#r_@3pB
/L_C_Xr;of_U6J5b0K_R2n$K#Y4e;G-s$V_zs0 3.1.4.然后我们在“”的域中:
让用户“xiaohei”登录上去;如图是所登录的界面:
_j&X+^0r2d0LUPA开源社区-m_W4X.w9l1V_kT*v}_o
LUPA开源社区l9a'E0m#i
LUPA开源社区_si_R-A4eI/K6h
3.1.5.当用户“xiaohei”登录之后看是不是能够访问“”域中的共享文件夹“share”如图是登录的界面:
LUPA开源社区_l_xnZ_N_X
-k1o/Y3j_c_z0
LUPA开源社区_gC.p_n_i_}
-U_r8z_GB_U%f0 3.1.6.如图是通过“”中的用户“xiaohei”登录的界面所访问到“”上的“share”文件夹的共享;LUPA开源社区
{_P_m_f_]
5v_S_sIh_k0
_P3\_H_w)Z
J9`_o0