Как создать и проверить внешнее доверие леса Active Directory

Вам необходимо создать доверительные отношения между доменами Active Directory и лесами Active Directory, чтобы обеспечить доступ к ресурсам в каждом каталоге для пользователей в другом каталоге в зависимости от требований. Нет необходимости создавать доверительные отношения между доменами в одном и том же лесу Active Directory, поскольку все домены в одном и том же лесу AD доверяют друг другу и разрешают доступ к ресурсам, если пользователь в ресурсном домене авторизован для доступа к ресурсам. Однако если вам нужно разрешить пользователям из другого леса Active Directory доступ к ресурсам в рабочей Active Directory, вам потребуется создать внешнее доверие. В этой статье описываются два способа создания внешнего доверия, а также объясняется, как вы можете проверить доверие, чтобы убедиться в его наличии.

Настройка внешнего доверия

Создать внешнее доверие между лесами Active Directory очень просто. Однако вам необходимо убедиться, что вы соответствуете требованиям, указанным ниже, прежде чем приступить к созданию траста:

• Убедитесь, что вы входите в Active Directory, используя учетную запись пользователя, который является членом администраторов домена или администраторов предприятия. Для создания внешнего доверия требуются самые высокие привилегии, поскольку вы разрешаете пользователям из другого леса Active Directory доступ к ресурсам в вашей производственной Active Directory.
• Обязательно правильно настройте DNS в обоих лесах Active Directory. Важно понимать, что настройка DNS является обязательным требованием перед созданием внешнего доверия. Это связано с тем, что доменное имя лесов Active Directory необходимо разрешить, прежде чем можно будет создать доверие. Вам необходимо создать зону условной пересылки на корневом DNS-сервере обоих лесов Active Directory.
• Убедитесь, что порты брандмауэра открыты между двумя каталогами, чтобы операция доверия прошла успешно.

После того, как вы выполнили эти требования, вы можете приступить к созданию внешнего доверия. Есть два способа создать траст; с помощью оснастки Active Directory Domains and Trusts или с помощью инструмента командной строки NetDom. Хотя командная строка NetDom помогает быстро создать доверие, но, поскольку создание внешнего доверия является одноразовой операцией, многие администраторы Active Directory используют оснастку Active Directory Domains and Trusts, чтобы избежать каких-либо сложностей и следовать простым шагам, указанным во время мастер создания доверия.

Шаги для создания внешнего траста

1. Войдите в контроллер домена Active Directory, используя учетную запись пользователя, который является членом группы безопасности «Администраторы домена» или «Администраторы предприятия».
2. Откройте оснастку Active Directory Domains and Trusts из меню «Пуск». Вы также можете ввести Domain.msc в поле «Начать поиск».
3. Находясь в оснастке Active Directory Domains and Trusts, прямо в домене, а затем щелкните действие «Свойства». На вкладке «Свойства» вам нужно перейти на вкладку «Доверия».
4. На вкладке «Доверия» нажмите кнопку «Новое доверие», а затем нажмите кнопку «Далее», чтобы отобразить мастер создания доверия.
5. Вот несколько вещей, которые вам нужно рассмотреть, прежде чем продолжить:
6. Если вы получили учетные данные для обоих лесов Active Directory, вы можете создать обе стороны внешних доверительных отношений одновременно, щелкнув « Оба этого домена и указанного домена » в мастере создания доверительных отношений.
7. Если вы хотите разрешить пользователям из домена получать доступ ко всем ресурсам в целевом домене, вы должны выбрать параметр « Разрешить аутентификацию для всех ресурсов », который отображается на странице «Свойства исходящего доверия» во время мастера создания доверия.
8. Далее вам потребуется ввести имя целевого домена, а доменное имя может быть либо в формате FQDN, либо в формате NetBIOS.
9. На странице типа доверия нажмите «Внешнее доверие», а затем нажмите «Далее».
10. На странице «Каталог доверия» вы можете выбрать «одностороннее» или «двустороннее» доверие. В зависимости от вашего выбора, вы получите различные варианты.
11. Наконец, следуйте инструкциям мастера, чтобы завершить траст.

Если вы хотите создать внешнее доверие с помощью инструмента командной строки NetDom, следующая команда показывает, как создать двустороннее внешнее доверие между локальным доменом Active Directory и целевым доменом:

NetDom Trust TechGenix.com /D:Example.TechGenix.Com /Add /Twoway

В инструменте командной строки NetDom доступно несколько переключателей. Например, вы можете использовать переключатель «/SelectiveAUTH:Yes», чтобы включить сценарий выборочной аутентификации для доверия.

Как мы уже говорили ранее, оснастку доменов и доверий Active Directory легко использовать для создания внешнего доверия, поскольку создание внешнего доверия — это одноразовая операция. Тем не менее, вам необходимо будет регулярно проверять доверие, чтобы убедиться, что доверие действительно существует. Для проверки доверия всегда предпочтительнее использовать инструмент командной строки NetDom. Чтобы проверить доверие с помощью NetDomin, вы выполните следующую команду:

NetDom Trust TechGenix.com /D:Example.TechGenix.Com /Verify

Два способа сделать это

Мы объяснили процесс создания внешнего доверия между лесами Active Directory с использованием как доменов Active Directory, так и доверительных отношений, а также инструмента командной строки NetDom. Если возникнет необходимость, теперь вы знаете, как это сделать.