实验环境:
西安凌云高科技系统集成由限公司在日常办公之中使用的域是benet.Com(一个林);由于工程部最近接到了一个项目;搭建了一个域名为“project.com”(是另一个林)。然后在该域中一个共享文件夹让benet.com中的工程部的员工来访问来达到不同域中的员工互相讨论;如何让不同的域之间的工程部的员工互访?如何让不同的域来达到网络的相互信任?如何完成上面的需求?下面我们具体的来一步一步的做?
实验目的:
理解信任关系的概念;
理解跨域间访问的配置方法;
利用AGDLP规则实验外部信任的互访;
实验拓扑:
实验步骤:
一、理解信任关系的概念:
首先我们要知道为什么域之间要创建信任的关系?
我们来看一个实例:西安凌云高科技的域名为“angeldevil.com”而广州分公司的域名为“gz.angeldevil.com”;如果总公司的员工需要访问分公司域中的资源,访问资源就需要帐户的身份验证,而一个域中的DC只能验证本域的帐户身份,不能验证其他域的帐户。而这时候就需要在域之间建立信任关系,使资源所在的域(资源域或信任域)信任帐户所在的域(账户域,被信任域)。
在一般的情况下,林中的默认信任域关系的特点一般有3个特点:
自动建立:林中的域之间的信任关系是在创建子域或者域树时自动创建的;
传递信任:林中的域的信任关系是可传递的:就像“张三”信任“李四”,“李四”信任“王二”,而“张三”又信任“王二”。
双向信任:双向信任是指在两个域之间有两个方向上的两条信任:就像“张三”相信“李四”,“李四”相信“张三”一样;
信任的类型:林中的信任、林之间的信任;
林中的信任分为:树根信任和父子信任;林之间的信任是自动建立的,而且是双向的可传递的信任关系;虽然信任关系的建立为跨访问资源提供了前提条件,但是成功访问还是必须设置权限:这就需要AGDLP规则。
树根信任:在同一个林中的两个域树之间的存在;
父子信任:在同一个域树中父域和子域之间的存在;
林之间的信任分为:外部信任和林信任。
外部信任是指在不同林的域之间创建的不可信任的传递;林信任是在windows service 2003林中特有的信任;是windows service 2003林根域之间的建立的信任,在两个windows service 2003 林之间创建林信任可为任一林内的各个域之间提供一种单项或者双向的可传递的信任关系。
二、配置外部信任;
为了方便我们实验的配置,我们在这里已经创建好了域benet.Com和“project.com”我们只是来了解外部信任怎么来创建:
2.1.0在配置外部信任之前我们首先来配置“转发器”。(配置转发器其实是让两个DNS互相能够访问),选择DNS属性—转发器,然后填写对端的DNS的IP地址;如图是在windows sp1上的设置;
当然在配置外部信任的时候双发必须要配置,在windows r2上配置和在sp1的方法一样;