Среда, 21.11.2018, 13:55
Приветствую Вас Гость | RSS

Я - за павсимесную и всиоблемущюю паддершку Аброзования!

Меню сайта
Форма входа
Категории раздела
Сети [14]
Сети
Windows сервер [14]
Сервера Windows. Администрирование
Active Directory [17]
Опрос
Как вы относетесь к порнографии
Всего ответов: 722
Облако тегов
апокриф библия история история религии маска сети настройка IP-адреса НОВЫЙ ЗАВЕТ Альбион гастарбайтер Гражданин и ты Брут Митридат политическая реклама Понт воскрешение гармония Дух плоть праведная плоть канон Аид гомер Мифология моментальность дружба женщина мужчина отношение VPN dns корневой домен DNS клиент FQDN HOSTS пространство имен разрешение имен MX зона DNS корневые Мастер установки Active Directory глобальный каталог раздел домена Раздел конфигурации Раздел схемы GUID.контроллер домена.Серверы плац Внутрисайтовая репликация межсайтовая репликация лес Домен Планирование Active Directory подразделение DNS-сервера DnsCmd DomainDnsZones ForestDnsZones SUPTOOLS.MSI настройка зоны DNS область распространения зоны DNS SOA Primary Name Server Start of Authority Transfer Zone зонная передача Начальная запись зоны DNS Основной сервер DNS передача зоны DNS nslookup дерево доверие доверительные отношения ADSL DMT ISP POTS xDSL Ntds.dit Active Directory.Зоны прямого просм Netlogon SVR Sysvol _msdcs _saites _tcp _udp Dcdiag Dcpromo.log Dcpromos.log Dcpromoui.log Netdiag Ntdsutil консоль ммс панель задач оснастка авторский параметры пользовательский расширение режим консоли
AdSense
Счетчики
PR-CY.ru Каталог@Mail.ru - каталог ресурсов интернет реклама в интернете, реклама сайта
Статистика

Онлайн всего: 1
Гостей: 1
Пользователей: 0

Каталог статей

Главная » Статьи » Active Directory

Как установить доверительные отношения
Данная тема возникло в связи с тем что пользователь edgi задал вопрос по поводу создания транзитивных отношений между двумя лесами и привел еще ссылку с форума http://sysadmins.ru/topic178164.html  где пользователи спорят насчет того что нельзя устанавливать доверительные отношения между двумя лесами так как якобы нужен третий лес что бы обеспечить транзитивность ну и так далее....

Сразу хочу сказать что для того что бы сознать транзитивные доверительные отношения нам не нужен обязательно третий участник что бы обеспечить доверительные транзитивные отношения.

Но давайте рассмотрим процесс установки доверительных отношений между лесами.

Итак пусть у нас есть корневой домен леса rk.com и другой корневой домен леса xu.com. Пусть к примеру данные леса принадлежат одной фирме и они хотят создать транзитивные доверительные отношения между этими лесами (смотрите рисунок 2 здесь).

Примечание: Не забывайте что первый созданный домен есть и корневой домен и дерево и лес. То есть первый созданный домен в нашей сети по умолчанию нужно рассматривать и как корневой домен, и как лес и как дерево (три в одном стакане...простите флаконе)

Мы для простоты расположим данные корневые домены в одну и ту же сеть, так как если бы они располагались в разных сетях нам нужно было (и так и делается если необходимо) что бы эти домены (вернее DNS этих доменов, и отсюда естественно и контроллеры доменов) каким либо образом друг друга виделись.  Если DNS сервера расположены в разных сетях нужно позаботится о том что бы каким либо образом сделать так что бы эти сети видели друг друга (как это сделать это отдельный разговор и пока мы здесь его не будем рассматривать). 

Почему так важно что бы DNS службы этих доменов видели друг друга? А потому что в основе Windows Server нахождение (распознавание) контролеров домена происходит с помощью DNS службы. То есть если служба DNS в каком либо домене настроена неверно, то и нахождение данного контролера домена или контроллеров доменов (если их много) будет невозможно. То есть если сказать просто - контроллеры домена видят друг друга с помощью службы DNS.  Думаю позже я опишу в отдельной статье процесс нахождения контролеров домена, а пока просто запомните что контроллеры домена "слепы" (ничего не видят в сети) без правильно настроенной службы DNS.

Итак.... приступим к процессу создания доверительных отношений, и перед тем как приступить непосредственно к данному процессу ознакомитесь с теоретической стороной данного процесса здесь.  

Как говорилось уже  - доверительные отношения выступают в качестве связывающего звена между лесами, деревьями, доменами. Для администрирования доверительными отношениями используется оснастка Active Directory - домены и доверие, смотрите рисунок 1.

Домены и доверие
Рисунок 1.

Но перед тем как создать доверительные отношения опишем что мы имеем. Итак у нас два корневых домена и соответственно и леса и дерева, а именно rk.com и xu.com предположим что они принадлежат одной фирме и расположены в одной сети. IP адрес первого контролера домена с установленной интегрированной службой DNS с Active Directory (кто не помнит что это смотрите здесь) будет 192.168.0.1 (rk.com), а второго корневого домена леса 192.168.0.5 (xu.com).  То есть служба DNS установлена и на первом и на втором контролере домена. (Как установить и настроить DNS найдете на сайте в других статьях)

Первое в чем мы должны убедится перед тем как приступить к созданию доверительных отношений это в том что корневые домены в обеих лесах видят друг друга через DNS. Для этого мы воспользуемся известной утилитой nslookup из корневого домена леса rk.com и посмотрим что она нам выдаст. Смотрите рисунок 2.

nslookup
Рисунок 2.

На рисунке 2 (блин... наверно нужно писать не рисунок а фигуре, но простите великодушно...) видно что мы в командной строке набрали команду nslookup с параметром xu.com (соседнего леса) и она нам его выдала, что в принципе говорит о том что служба DNS работает и службы DNS видят друг друга. То же самое можно проделать и из корневого домена xu.com смотрите рисунок 3.

nslookup
Рисунок 3.

В том случае если DNS службы не видят друг друга следует добавить условную пересылку. Что это такое читайте здесь и здесь

Для того что бы настроить пересылку мы заходим в оснастку DNS контроллера домена что расположен на компе под именем server1, становимся на него, правой кнопкой мыши открываем контекстное меню, в контекстном меню выбираем свойства и кликаем на нем. Открывается окно показанное на рисунке 4 и выбираем вкладку "Пересылка".

Пересылка
Рисунок 4.

На этой вкладке нажимаем кнопку "Создать" и пишем имя домена куда мы хотим сделать пересылку. В нашем случае это корневой домен леса xu.com. Тут же на вкладке, чуть ниже в поле "Список IP - серверов пересылки для выбранного домена" - добавляем его IP адрес. В нашем примере это 192.168.0.5. 

Ту же самое можно проделать на сервере контроллера домена xu.com...процесс абсолютно аналогичен только нужно писать другой домен и другой адрес. В нашем случае это домен rk.com и его IP - 192.168.0.1.

Итак после того как разобрались с DNS серверами и убедились что они видят друг друга переходим к созданию доверительных отношений и переходим к оснастке "Домены и доверие" показанное на рисунке1.

Далее если мы хотим что бы эти два леса (rk.com и xu.com) были соединены с друг другом посредством транзитивных доверительных отношений то нам необходимо установить режим функционирования леса на уровень "Windows Server 2003" (о режимах функционирования леса и домена смотри здесь). Поэтому мы в оснастке "Домены и доверие" становимся на верхнюю надпись "Active Directory - домены и доверие" и открываем правой кнопкой контекстное меню, смотрите рисунок 5.

Домены и доверие
Рисунок 5.

В контекстном меню выбираем пункт "Изменение режима работы леса..." и щелкаем по нему. Откроется окно с возможными режимами работы леса. Выберите режим работы "Windows Server 2003". Я не могу показать это окно с выбором режима работы так как у мена уже лес переведен в режим работы "Windows Server 2003", а перевод с этого режима функционирования на более низкие режимы функционирования леса невозможно, смотрите рисунок 6. То есть при выборе режима функционирования леса хорошо подумайте, так как перевести в другой режим работы леса просто невозможно....

Режим работы леса
Рисунок 6.

После того как повысили режим работы леса до максимально возможного а именно до  "Windows Server 2003", в познавательных целях повысим и режим работы домена до уровня "Windows Server 2003". Для этого становимся на корневой домен и открываем контекстное меню, смотрите рисунок 7.

Режим работы домена
Рисунок 7.

Те же самые операции, то есть повышаем уровень леса и домена и на контроллере корневого домена xu.com.

Когда мы убедились что у нас леса (rk.com and xu.com)и домены работают в функциональном режиме  "Windows Server 2003", приступаем к созданию транзитивных доверительных отношений между лесами.

Внимание! Если бы хоть один из лесов доменов находится на функциональном уровне "Windows 2000", то леса доменов могут быть соединены только внешними доверительными отношениями. 

В оснастке "Домены и доверие" становимся на имени корневого домена, в нашем случае это rk.com и открываем контекстное меню правой клавишей мыши. Откроется окно показанное не рисунке 8. переходим на вкладку "Доверия".

Вкладка Доверие
Рисунок 8.

На данной вкладке нажимаем клавишу "Создать доверие". После того как нажали на данную клавишу открывается "Мастер создания отношений доверия", смотрите рисунок 9.

Мастер создания отношений доверия
Рисунок 9.

Нажимаем далее... Открывается окно показанное на рисунке 10.

Мастер создания доверительных отношений
Рисунок 10.

В поле "Имя", пишем имя домена с которым мы хотим создать доверительные отношения, в нашем примере это корневой домен леса xu.com....Давим клаву не  - Далее....

Открывается окно с предложениями о выборе типа доверия, смотрите рисунок 11.

Мастер создания доверительных отношений
Рисунок 11.

Так как мы изначально поставили себе задачу создать транзитивные доверительные отношения между лесами то в этом окне выбираем пункт "Доверие леса" и жмем Далее...

Открывается следующее окно с предложениями о выборе направления доверия, смотрите рисунок 12.


Рисунок 12.

Читаем внимательно что написано в данном окне, думаю что понятно....и выбираем.... к примеру - двухстороннее направление доверия.....жмем Далее...

Открывается окно показанное на рисунке 13.

Мастер создания доверительных отношений
Рисунок 13.

Читаем все внимательно. Для нашего случая я выбрал к примеру второй пункт, который позволяет создать две односторонние доверительные связи, с помощью которых реализуется двустороннее отношение доверия (при условии, что в соседнем лесу администратор также обладает соответствующими привилегиями)....Жмем далее....

Открывается окно в котором проверяет нас на наличие прав в другом домене, смотрите рисунок 14. 


Рисунок 14.

Так как оба леса принадлежат нашей конторе, как мы договорились в начале, и оба леса были созданы нами, то естественно у нас есть права в другом лесе....пишем имя пользователя и пАроЛ в данном окне. Жмем Далее...

Открывается окно показное на рисунке 15.

Мастер создания доверительных отношений
Рисунок 15.

Здесь что бы упростить себе жизнь как допустим сетевому администратору данных лесов я выбрал пункт "Проверка подлинности в лесу", так как в этом случае пользователи одного леса могут получать доступ к любым ресурсам в другом лесе...И как написано в самом окне под этим пунктом, данная проверка используется когда оба леса принадлежат одной конторе....

При выборе пункта "Выборочная проверка подлинности", администратор в ручную, "ручками" указывает какие ресурсы в другом домене будут доступны. Это делается как правило тогда когда леса принадлежат разным конторам, которые не хотят предоставить доступ на все ресурсы.

В этом окне мы определяем уровень проверки подлинности для пользователей из леса xu.com. 

Давим ...Далее...открывается окно показанное на рисунке  16. Окно вроде бы похожее с окном на рисунке 15, однако в этом окне мы определяем уровень доверия из домена который мы прописываем эти доверительные отношения, а в нашем случае мы начали прописывать эти отношения их леса rk.com.


Рисунок 16.

Жмем Далее...

Открывается окно показанное на рисунке 17, в котором описываются все "проделки", что были нами сделаны и что из этого получилось.

мастер создания доверительных отношений
Рисунок 17.

Читая что там написано, мы с поставленной вначале задачей справились. если что либо не так у нас есть возможность вернутся, нажав кнопку "назаТ". Жмем далее....

Открывается еще одно окно показанное на рисунке 18.

Мастер доверительных отношений
Рисунок 18.

Комментировать рисунок 18 я не буду ....давим Далее...

Открывается окно показанное на рисунке 19, для подтверждения или не подтверждения исходящего доверия. Читаем что там написано. если что непонятно спрашивайте на форуме.


Рисунок 19.

Жмем далее...Открывается окно показанное на рисунке 20, аналогичное рисунку 19, только связанное с входящим доверием.


Рисунок 20.

Жмем далее...Открывается окно завершения мастера создания отношений доверия, рисунок 21.


Рисунок 21.

Жмем наконец - то "Готово". 

И у нас получится такая картина маслом показанная на рисунке 22.

Доверительные отношения
Рисунок 22.

Если мы сейчас откроем оснастку "Домены и доверие" в корневом домене леса xu.com, то увидим на вкладке доверия что там прописалось доверие к лесу rk.com, смотрите рисунок 23.


Рисунок 23.

Тут не затронут все вопросы по администрированию доверительных отношений, но в принципе основные понятия даны. К вопросу о "механизме маршрутизации суффикса имен" думаю еще вернемся позже, в другой статье. 
Категория: Active Directory | Добавил: AlterEgo25 (30.01.2011)
Просмотров: 56495 | Комментарии: 26 | Теги: дерево, dns, корневой домен, лес, доверие, доверительные отношения | Рейтинг: 3.3/3
Всего комментариев: 26
26 ivanovsema-n  
Подскажите как быть, если DNS сервера все-таки расположены в разных сетях? Есть подобное решение?

2 edgi  
еще вы забыли упомянуть что бы это все работало нужно переслать зоны DNS с одного сервера на другой. т.е. что бы на обоих DNS были зоны и rk.com и xu.com

4 AlterEgo25  
Думаю что передачу зоны делать не надо, так как для разрешения имени мы используем пересылки, а DNS нам нужен только как инструмент нахождения контролеров доменов.

1 edgi  
Спасибо большое за статью. Именно так я и делал на на этапе выбора "тип доверия" (Рисунок 11) у меня это окно не выходит. После ввода имени домена (Рисунок 10) нажимаю "далее" выходит окно "Направление доверия" (Рисунок 12).
1. домен на Windows server 2003 и работает в максимальном уровне (Windows server 2003) ip: 192.168.1.4
2. домен (новый) поднят на Windows server 2008 R2 и работает в том же режиме (Windows server 2003) для совместимости. ip: 192.168.1.7

Замечу что на втором домене транзитивное доверие между лесами делается, а вот на первом не выходит этот выбор.


3 AlterEgo25  
Еще раз хочу вам заметить - проверить не только уровень работы домена, но и леса, обратите внимание именно леса

5 edgi  
в этом то и дело что проверить режим работы ЛЕСА не как не удается. В оснастке домены и доверие отображается режим работы именно ДОМЕНА а не леса хотя на сайте http://technet.microsoft.com/ru-ru/library/cc780862(WS.10).aspx написано что должен быть режим работы ЛЕСА. Не знаю что делать. По всему интернету везде по разному.

6 AlterEgo25  
Нет вам нужно проверить именно режим работы леса...именно думаю что проблема у вас в том что лес работает не в режиме Windows 2003. Что бы это проверить смотрите рисунок 5 данной статьи. Вы становитесь не на домен а на надпись "Active Directory - домены и доверие" и щелкайте правой кнопкой мыши ....ну как показано на рисунке....Именно ИЗМЕНЕНИЕ РЕЖИМА РАБОТЫ ЛЕСА.... smile Смотрите внимательно на рисунок 5

8 edgi  
Прошу прощения за мою не внимательность. Режим работы лесов разный. На 2003 сервере 2000 был я его повысил до 2003. На 2008 сервере режим установлен 2008. Валидация проходит, но sql сервер который подключен к 2003 серверу не видит пользователей из второго домена 2008.

10 AlterEgo25  
ну вот ведите как все просто оказалось...а теперь скажите а пользователи из одного домена имеют доступ к ресурсам другого домена или нет?

12 AlterEgo25  
Проверь это путем расшаркивания какой - то папки

14 edgi  
в домен даже не пускает. т.е. через сетевое окружение пытаюсь зайти в домен 2008 не пускает.

15 edgi  
поставил пересылку в настройках dns с одного на другой как вы в статье писали.

18 AlterEgo25  
Пересылку надо ставить если DNS -ы не видят друг друга....если видят то тогда не надо...что бы это проверить используйте nslookup - как это сделать описано здесь... alterego.ucoz.orgправда все не могу закончить данную статью...все не времени angry

16 edgi  
DNS работает и на том домене (лесе) и на другом. т.е. они видят друг друга. Режимы работы лесов одинаковые и режимы работы доменов тоже одинаковые.

17 AlterEgo25  
Но вы получили транзитивные двухстороннее доверительные отношения между лесами или нет?

21 edgi  
да получил в обе стороны работаю. Но в домен 2008 нельзя войти через сетевое окружение. не понимаю в чем проблема. sad

22 AlterEgo25  
Проверьте брандмауэр и файрвол если они есть и не только от операционной системы а так же и от антивирусов или от других фирм если они установлены

23 edgi  
сетевой экран отключил не помогло. антивирус др.веб без сетевого экрана. Отключение его тоже не дало результатов. Может опять переустановить полностью сервер 2008

24 AlterEgo25  
То есть, вы расшарили полностью папку на сервере 2008 и не можете получить к этой папки доступ по сети...или как? Расшартье полностью какую либо папку и дайте все права на нее внешним пользователям.
Посмотрите видна она в сети или нет?
Попробуйте получить доступ к ней с другого сетевого компа если у вас в сети такие имеются и прописаны в родном домене и скажите что получилось.
А вообще сервера между собой пингуются или нет?

25 edgi  
нет я до папки вообще не могу дойти. вот смотрите:
я захожу в сетевое окружение Microsoft windows network-дальше отображаются домены: ek.local (2008) и старый домен evro.local (2003) так вот все компы в сети присоединены к evro.local и мой комп в том числе вот с него я пытаюсь зайти в новый домен через сеть в ek.local туда не пускает.

7 AlterEgo25  
И еще...я был на вашем сайте и там есть моя статья про дружбу между мужчиной и женщиной....простите великодушно, но я специально пишу такие статьи, на данном сайте что бы снять с него строгую специализацию и узконаправленность... что бы в случае копипаста указывали сайт для поднятия ТИЦ-а. Будьте любезны укажите источник. smile

9 edgi  
оп... прошу за это прощения. Сейчас поставлю. очень понравилось. Просто я имею такое же мнение по этому поводу.

11 AlterEgo25  
Конечно как то страно смотрится статьи про видну и про женщин...Не находите.....но что сделаешь блин если они моя самая большая слабость biggrin

13 edgi  
biggrin Вот и у меня так же. в точности.

19 AlterEgo25  
Это радует....значит с нашей слабостью мы не одиноки biggrin

20 AlterEgo25  
тогда вы должны быть солидарны и в этом вопросе http://alterego.ucoz.org/blog/1/2010-07-24-2

Добавлять комментарии могут только зарегистрированные пользователи.
[ Регистрация | Вход ]
Поиск
Подписатся
Подписаться на рассылку
"Active Directory - от простого к сложному."


 
Mail.Ru
Подписатся
Подписаться на:
Active Directory от простого к сложному | RSS
Имя:
E-mail

Посетите Каталог Maillist.ru.
Maillist.ru: Active Directory от простого к сложному
Поделись с другом
Поиск
Loading
Рейтинг чатов Поисковый каталог Эхо Ру счетчик посещений
счетчик посещений

Copyright MyCorp © 2018
Используются технологии uCoz