活動目錄應用系列文章之二
作者:許本新
合肥迅傑公司爲了拓展上海市場,所以與上海的遠絲公司搭成了戰略合作伙伴關係的企業,所以兩家企業決定實現企業之間的員工可以相互訪問彼此之間的部分資源,所以爲了實現彼此的訪問就需要在兩家網絡之間搭建信任關係。如圖1所示。此處還有一點大家注意的,由於信任關係類型非常過,在這兩家企業間該創建何種信任關係呢?
圖1多域間訪問
一、 熟悉各種信任關係
爲了有效的在兩家企業見創建信任關係,我們必須對各種信任關係做個詳細的介紹。一般在域環境網絡中存在下面幾中類型的信任,主要信任是內部信任和外部信任。
1. 默認信任
默認信任就是在一個林內部,不管是域樹還是子域,他們之間會建立一種默認的信任關係,這種關係是在創建子域或域樹時自動創建的。並且他們之間是可以相互傳遞這種關係,信任的方向也是雙向的。這種信任關係也稱爲內部信任。內部信任主要有下面兩種情況。
樹根信任:在同一個林中的兩個域樹之間存在。
父子信任:在同一個域樹中父域和子域之間存在。
2. 快捷信任
如果目錄林中的兩棵域樹都很大,而且每棵域樹的子域層數比較多,當兩棵域樹底端的子域彼此之間訪問就會出現驗證傳遞的路徑很長,當然驗證所花費的時間也就很長,這種情況下如果這兩個底端子域是經常訪問的就可以手動創建一個信任關係,這樣一來就可以得到很快驗證,減少驗證的時間,那麼這種信任關係就叫快捷信任。
3. 外部信任
默認識情況下不同目錄林之間是不存在信任關係,爲了實現目錄林間的用戶相互訪問可以手動創建信任關係,這中信任的方向可以有單向和雙向兩種。
4. 林信任
林信任是在不同的林之間創建的可傳遞的信任,手動建立,信任的方向也有單向和雙向兩種。並且創建林信任時,只能在林根域之間才能創建,林功能的級別必須爲windows server 2003 或2000模式,不能爲混合模式。另外還有一種信任叫着鄰域信任。
那麼最後我們可以根據兩家企業的實際情況選擇一種適合兩家企業的信任關係,現在爲了滿足這兩家企業的需求我們應該爲這兩家企業創建林信任!
二、 創建林信任
需要說明一點在創建林信任之前需要將兩家企業林功能全部提升爲windows server 2003模式,而且爲了能夠提升林功能級別,還需要先將所有域和子域的功能級別全部提升爲windows server 2003模式纔可以。
1. 設置DNS轉發器
在實際企業中每個企業都有自己獨立的DNS爲自己企業實現域名解析,所以爲能夠實現兩個不同企業域之間可以相互解析,就需要在兩個企業林間配置轉發器讓兩家企業的DNS可以相互訪問。設置DNS轉發器,是在己方DNS轉發器地址中指向對方DNS地址即可。如圖2所示設置DNS轉發器。
圖2設置DNS轉發器
1. 創建林信任
林信任的創建是在兩個企業林根間進行的創建完成後主要是爲了解決兩企業合併後各子域員工可以相互訪問對方林中的資源。如圖3所示,通過xunjie.com的屬性,然後選擇屬性,在彈出的窗口中選擇“信任”選項卡,然後選擇新建信任關係,書寫上被信任林“yuansi.com”,並選擇“林信任”,如圖4所示。
圖3
圖4
接着需要設置林的信任方向,由於是兩企業的員工彼此訪問所以此次創建林信任是需要選擇雙向信任的。並設置好信任方,因爲我們在這是爲xunjie.com創建信任所以我們選擇的信任方爲“只是這個域”,如圖5和圖6所示。
圖5
圖6
在接下來的“傳出信任身份驗證級別”界面中的兩個選項目:
Ø 全林性身份驗證:該選項使指定林的用戶可以訪問本地林中的所有計算機,當兩個林屬於同一個組織時,使用該項。
Ø 選擇性身份驗證:該選擇將限制指定的林中特定用戶和組的身份驗證,當兩個林不屬於同一個組織時,選擇該項。
根據當前企業需要顯然我們應該選擇第一個選項。如圖7所示。在接下來的窗口中設置好信任密碼,這裏需要注意由於信任的兩個林都需要創建所以雙方的信任密碼需要設置相同。在所有事情搞定後就可以在兩個林的子域或子域用戶來訪問對方林中的資源了。
圖7
請大家繼續關注我的blog後續將會介紹活動目錄其他內容的介紹.