Создание доверительных отношений между лесами

Опубликовано: 24 Марта, 2023

Одной из функций Windows Server 2003, которая, по моему мнению, используется меньше всего, является доверие на уровне леса. Как следует из названия, доверие на уровне леса — это доверие между двумя отдельными лесами, посредством которого каждый домен доверяет каждому другому домену. Существует множество причин, по которым может потребоваться создание доверительных отношений на уровне леса. На самом деле причин так много, что я, наверное, мог бы посвятить этой теме целую статью.


Одно из наиболее распространенных применений трастов на уровне леса связано с корпоративными приобретениями. Например, если ваша компания должна была приобрести другую компанию, вы можете захотеть создать доверительные отношения на уровне леса между двумя сетями до тех пор, пока вы не сможете в конечном итоге объединить сети.


Другое распространенное использование доверительных отношений на уровне леса — изоляция Active Directory. Например, я участвую в бета-тестировании Exchange Server 2007. Из-за того, что Exchange Server использует Active Directory, я не могу установить Exchange 2007 в своем производственном лесу, не повлияв на мое развертывание Exchange Server 2003. Таким образом, я создал совершенно отдельный лес, в котором я могу запускать Exchange 2007. Поскольку мне все еще нужно иметь возможность делать снимки экрана и сохранять их в моей производственной сети, я создал доверительные отношения на уровне леса между двумя лесами.


Четыре типа трастов


Хотя основное внимание в этой статье уделяется доверительным отношениям между лесами, я хотел бы воспользоваться моментом и упомянуть, что на самом деле существует четыре различных типа доверительных отношений, поддерживаемых Windows Server 2003. Каждый из этих четырех типов доверительных отношений имеет свои уникальные цели.


Первый тип доверия – это внешнее доверие. Внешнее доверие — это отношение доверия, при котором домен в вашем лесу доверяет домену, не принадлежащему лесу. Как правило, эти типы трастов чаще всего используются для миграций. В Windows 2000 и 2003 лес может содержать несколько доменов. Однако в Windows NT Server понятие леса отсутствовало. Домен был собственной автономной единицей. Если вам необходимо перенести ресурсы из домена Windows NT в существующий лес Active Directory, то установление внешнего доверия между одним из доменов Active Directory и доменом Windows NT часто является первым шагом.


Второй тип доверия, поддерживаемый Windows Server 2003, называется доверием быстрого доступа. Я уверен, что вы, вероятно, знаете, что Active Directory устроена таким образом, что каждый домен в лесу автоматически доверяет каждому другому домену в лесу. Это означает, что если пользователю из одного домена предоставлены разрешения на доступ к ресурсу в другом домене, то пользователь может прозрачно пройти аутентификацию через контроллер домена в домене ресурсов.


Большую часть времени это глобальное доверие в лесу работает очень хорошо. Однако в некоторых случаях лес настолько велик и состоит из такого количества доменов, что рабочей станции требуется довольно много времени, чтобы найти ресурсный домен. Это особенно верно для доменов, которые существуют через каналы WAN. Здесь в игру вступает краткосрочное доверие. Быстрый траст не дает ни одному из доменов доступа к чему-либо новому, а скорее просто знакомит два домена друг с другом. Как только короткое доверие установлено, два домена могут обращаться друг к другу напрямую, без необходимости пересекать лес в попытке найти контроллер домена.


Третьим типом траста является доверительное управление. Концепция доменов не уникальна для сетей Windows. Другие сетевые операционные системы включают аналогичные структуры, только называют их по-другому. UNIX-эквивалентом домена является область. Если область UNIX предназначена для использования проверки подлинности Kerberos, то можно создать доверительные отношения области между доменом Windows и областью UNIX.


Четвертый тип траста — это, конечно, лесной траст. Доверительные отношения между лесами существуют только в Windows Server 2003. Это означает, что вы не можете создать доверительные отношения между лесом Windows 2000 и лесом Windows Server 2003. Создание доверия леса подразумевает создание внешних доверительных отношений между каждым из доменов леса. Например, если вы хотите создать доверие между лесом A и лесом B, то каждый домен в лесу A будет доверять каждому домену в лесу B, и наоборот.


Подготовительная работа


Прежде чем вы сможете создать доверительные отношения между лесами, необходимо выполнить небольшую подготовительную работу, чтобы подготовить леса, которые будут участвовать в доверительных отношениях. Первое, что вы должны сделать, это повысить функциональный уровень двух лесов до Windows Server 2003. Для этого выберите команду Active Directory Domains and Trusts в меню «Администрирование» сервера. Когда консоль откроется, щелкните правой кнопкой мыши контейнер Active Directory Domains and Trusts и выберите команду Raise Forest Functional Level в появившемся контекстном меню. Когда появится диалоговое окно «Повысить функциональный уровень леса», выберите параметр Windows Server 2003 и нажмите кнопку «Повысить».


Следующим шагом в подготовке к созданию доверия на уровне леса является то, что вы должны убедиться, что корневой домен каждого леса может видеть корневой домен из другого леса. Это означает, что вам придется создать необходимые записи DNS и использовать команду NSLOOKUP, чтобы убедиться, что вы можете разрешать доменные имена в другом лесу.


Наконец, вы должны убедиться, что знаете имя пользователя и пароль для учетной записи администратора на уровне леса в каждом лесу.


Создание лесных трастов


Теперь, когда вы завершили всю подготовительную работу, вы можете начать процесс создания доверия, открыв консоль Active Directory Domains and Trusts. Когда консоль откроется, найдите корневой домен леса. Вы можете создать доверие леса только на уровне корневого домена. Как только вы найдете корневой домен, щелкните его правой кнопкой мыши и выберите команду «Свойства» в появившемся контекстном меню. Когда вы это сделаете, вы увидите лист свойств домена.


На этом этапе вы должны выбрать вкладку «Доверие» листа свойств, показанную на рисунке A. Нажмите кнопку «Новое доверие», чтобы запустить мастер «Новое доверие».



Изображение 20640
Рисунок A. Нажмите кнопку «Новое доверие», чтобы создать доверие


Когда мастер запустится, нажмите «Далее», чтобы пропустить экран приветствия мастера. На этом этапе мастер предложит вам ввести имя домена, леса или области доверия. Этот экран может немного сбивать с толку, но все, что вам нужно сделать, это ввести доменное имя корневого домена в лесу, с которым вы хотите установить доверительные отношения.


Нажмите «Далее», и мастер спросит вас, создаете ли вы доверие области или доверие с доменом Windows. Выберите вариант домена Windows и нажмите «Далее». На этом этапе вы увидите, вероятно, самый важный вопрос, заданный мастером. Мастер хочет знать, будете ли вы создавать внешнее доверие или доверие леса. Выберите параметр «Доверие леса» и нажмите «Далее».


В этот момент вы увидите экран с вопросом, хотите ли вы установить одностороннее входящее, одностороннее исходящее или двустороннее доверие. У траста две стороны. Например, представьте, что у вас есть два домена с именами A и B. Теперь представьте, что домен A содержит ресурсы, к которым пользователям домена B нужен доступ. В такой ситуации домен А будет доверенным доменом, а домен Б — доверенным доменом. В данном конкретном случае двустороннее доверие не подходит, потому что пользователям в домене A не нужен доступ к чему-либо в домене B. Однако в реальной жизни часто двустороннее доверие является наиболее подходящим выбором.


Для целей этой статьи я предполагаю, что вы выбрали двусторонний траст. Теперь вас спросят, хотите ли вы настроить только свою сторону доверия или обе стороны доверия. Это относится к тому факту, что вам потребуется пароль администратора для обоих доменов, чтобы установить доверие. Если у вас есть пароль администратора только для вашего собственного домена, вам нужно будет выбрать вариант «Только для этого домена», и администратор другого домена должен будет повторить процедуру на своей стороне со своим собственным паролем. Однако, если вы знаете оба пароля, гораздо проще настроить обе стороны доверия одновременно.


Нажмите «Далее», и Windows спросит вас, хотите ли вы выполнить аутентификацию по всему лесу или выборочную аутентификацию. Выборочная аутентификация позволяет точно настроить процесс аутентификации, но требует гораздо больше работы. Большую часть времени вы будете в порядке, используя аутентификацию по всему лесу.


Нажмите «Далее», и вы увидите сводку выбранных вами параметров. Нажмите «Далее» в последний раз, и доверие будет установлено. Когда процесс завершится, вы увидите сообщение с вопросом, хотите ли вы подтвердить связь между лесами. Попробуйте подтвердить ссылку, но имейте в виду, что у Microsoft были проблемы с этим конкретным фрагментом кода. Иногда это работает, а иногда нет. Если процесс подтверждения завершается неудачей, это не обязательно означает, что доверие не установлено.


Вывод


Как видите, в некоторых ситуациях вам может понадобиться доверять пользователям из другого леса. В этой статье я объяснил, как вы можете создать такой траст.

Компьютерные сети

РЕКОМЕНДУЕМЫЕ СТАТЬИ

Что такое прокси IPv4 и что он умеет
14 Июня, 2023
Оптические патч-корды: что это за кабели и для чего они нужны?
11 Мая, 2023
Оборудование MikroTik: что это такое и зачем оно нужно?
5 Апреля, 2023
Сервер удаленного доступа (RAS) для дозвона
29 Марта, 2023
Проверка настройки удаленного доступа к сети
29 Марта, 2023
Разрешения пользователя NT4
29 Марта, 2023
Установка/настройка сетевых драйверов NT4
29 Марта, 2023
Сеть тормозит!
29 Марта, 2023