Создание доверительных отношений в Active Directory между доменами

Доверительные отношения между несколькими разными доменами позволяют пользователю использовать аутентификацию учетной записи с разных доменов. Если создавать структуру леса, то доверительные отношения будут установлены в автоматическом порядке. Однако, если есть необходимость сделать объединение двух разных доменных имен от разных компаний, а также если они ранее функционировали независимо друг от друга, то придется приступить к настройке доверительных отношений между ними.

Для начала необходимо будет рассмотреть, как настраивается транзитивное доверие между доменными именами domen1.local (192.168.200.1) и domen2.local (192.168.200.2). Сам процесс можно будет разделить на две стадии. Первая из них потребует изменение конфигурации DNS-сервера, а также создания доверительных отношений. Такой вариант прекрасно подходит для операционной системы Windows Server.

Определение типа доверия

Действительно, доверие может быть совершенно разным. Именно по этой причиной, перед настройкой, нужно будет разобраться в данном вопросом.

Одностороннее и двустороннее доверие

В такое случае нужно будет определить куда отправить направление доверительных отношений.

То есть одностороннее доверие будет работать таким образом, что только единственный домен начнет доверять другому. То есть пользователь сможет проходить авторизацию на одном компьютере с помощью другого пользователя. Пользователю необходимо будет в обязательном порядке указать направление входящего и исходящего направления. То есть именно так можно будет определить какие пользователи и на каком доменном имени смогут пройти авторизацию.

Двусторонние отношения будут уже доверять друг другу в двух направлениях. Таким образом пользователь может без лишних проблем авторизовываться из любого компьютера на любом домене.

Внешнее доверие

Внешнее доверие представляет собой отношение, которое настраивается между доменными именами напрямую, без использования леса. В таком случае доверительные отношения будут касаться всего леса, а также его доменных имен.

Настройка системы доменных имен DNS

Чтобы создать доверительные отношения, контроллер доменов должны будут видеть друг друга. То есть поиск узла в AD будет происходить через специальные службы.

На двух доменах создадим сервер пересылки в domen1 на domen2, и наоборот. В домене domen2 на domen1.

ВАЖНО! Если мы это не сделаем, в дальнейшем не получится создать доверия в AD, так как не будут разрешатся доменные имена.

На машине domen1

Пользователю необходимо будет сделать следующие действия:

  1. Открыть раздел Диспетчер серверов и выбрать в верхней части Средства. Далее нужно выбрать DNS.ДНС
  2. В новом окне нужно будет выбрать подходящий сервер. Если их больше одного, то нужно будет раскрывать их и кликнуть ПКМ. Остается только выбрать Серверы условной пересылки, а потом Создать сервер условной пересылки.Создание
  3. Далее пользователю необходимо будет открыть командную строку и ввести команду nslookup domen2.local.
  4. Пользователь увидит ответ консоли следующего вида:
    1. Server:  localhost
    2. Address:  127.0.0.1
    3. Non-authoritative answer:
    4. Name:    domen2.local
    5. Address:  192.168.200.2

После этого все готово.

На машине domen2

Тоже самое делаем на контроллере домене domen2.local:

  • Заходим в ДНС.
    ДНС
  • Нажимаем создать сервер условной пересылки.Создание
  • В «DNS домене» необходимо будет написать второй контроллер в формате domen2.local. Далее нужно будет оказать необходимый IP-адрес и поставить соглашение на пункте Сохранять условный сервер пересылки в Active Directory и реплицировать ее следующим образом. Далее нужно будет выбрать пункт DNS-серверы в этом домене.

Настройка доверительных отношений в AD

После настроек DNS сервера, пользователю нужно настроить доверительные отношения:

  1. В домене нужно выбрать Диспетчер серверов.
  2. Перейти в Средства.
  3. Выбрать СредстваActive Directory — домены и доверие.Доверие
  4. В новом окне выбрать ПКМ и выбрать нужный домен ПКМ. В меню выбрать «Свойства».Свойства
  5. Перейти во вкладку Отношения доверия.Создание
  6. Выбрать дополнительный пункт Создать отношения доверия.
  7. Далее пользователю необходимо будет следовать рекомендациям программы и настроить доверие.

 

Ссылка на основную публикацию