| Данная тема возникло в связи с тем что пользователь edgi задал вопрос по поводу создания транзитивных отношений между двумя лесами и привел еще ссылку с форума http://sysadmins.ru/topic178164.html где пользователи спорят насчет того что нельзя устанавливать доверительные отношения между двумя лесами так как якобы нужен третий лес что бы обеспечить транзитивность ну и так далее....
Сразу хочу сказать что для того что бы сознать транзитивные доверительные отношения нам не нужен обязательно третий участник что бы обеспечить доверительные транзитивные отношения.
Но давайте рассмотрим процесс установки доверительных отношений между лесами.
Итак пусть у нас есть корневой домен леса rk.com и другой корневой домен леса xu.com. Пусть к примеру данные леса принадлежат одной фирме и они хотят создать транзитивные доверительные отношения между этими лесами (смотрите рисунок 2 здесь).
Примечание: Не забывайте что первый созданный домен есть и корневой домен и дерево и лес. То есть первый созданный домен в нашей сети по умолчанию нужно рассматривать и как корневой домен, и как лес и как дерево (три в одном стакане...простите флаконе)
Мы для простоты расположим данные корневые домены в одну и ту же сеть, так как если бы они располагались в разных сетях нам нужно было (и так и делается если необходимо) что бы эти домены (вернее DNS этих доменов, и отсюда естественно и контроллеры доменов) каким либо образом друг друга виделись. Если DNS сервера расположены в разных сетях нужно позаботится о том что бы каким либо образом сделать так что бы эти сети видели друг друга (как это сделать это отдельный разговор и пока мы здесь его не будем рассматривать).
Почему так важно что бы DNS службы этих доменов видели друг друга? А потому что в основе Windows Server нахождение (распознавание) контролеров домена происходит с помощью DNS службы. То есть если служба DNS в каком либо домене настроена неверно, то и нахождение данного контролера домена или контроллеров доменов (если их много) будет невозможно. То есть если сказать просто - контроллеры домена видят друг друга с помощью службы DNS. Думаю позже я опишу в отдельной статье процесс нахождения контролеров домена, а пока просто запомните что контроллеры домена "слепы" (ничего не видят в сети) без правильно настроенной службы DNS.
Итак.... приступим к процессу создания доверительных отношений, и перед тем как приступить непосредственно к данному процессу ознакомитесь с теоретической стороной данного процесса здесь.
Как говорилось уже - доверительные отношения выступают в качестве связывающего звена между лесами, деревьями, доменами. Для администрирования доверительными отношениями используется оснастка Active Directory - домены и доверие, смотрите рисунок 1.
Рисунок 1.
Но перед тем как создать доверительные отношения опишем что мы имеем. Итак у нас два корневых домена и соответственно и леса и дерева, а именно rk.com и xu.com предположим что они принадлежат одной фирме и расположены в одной сети. IP адрес первого контролера домена с установленной интегрированной службой DNS с Active Directory (кто не помнит что это смотрите здесь) будет 192.168.0.1 (rk.com), а второго корневого домена леса 192.168.0.5 (xu.com). То есть служба DNS установлена и на первом и на втором контролере домена. (Как установить и настроить DNS найдете на сайте в других статьях)
Первое в чем мы должны убедится перед тем как приступить к созданию доверительных отношений это в том что корневые домены в обеих лесах видят друг друга через DNS. Для этого мы воспользуемся известной утилитой nslookup из корневого домена леса rk.com и посмотрим что она нам выдаст. Смотрите рисунок 2.
Рисунок 2.
На рисунке 2 (блин... наверно нужно писать не рисунок а фигуре, но простите великодушно...) видно что мы в командной строке набрали команду nslookup с параметром xu.com (соседнего леса) и она нам его выдала, что в принципе говорит о том что служба DNS работает и службы DNS видят друг друга. То же самое можно проделать и из корневого домена xu.com смотрите рисунок 3.
Рисунок 3.
В том случае если DNS службы не видят друг друга следует добавить условную пересылку. Что это такое читайте здесь и здесь.
Для того что бы настроить пересылку мы заходим в оснастку DNS контроллера домена что расположен на компе под именем server1, становимся на него, правой кнопкой мыши открываем контекстное меню, в контекстном меню выбираем свойства и кликаем на нем. Открывается окно показанное на рисунке 4 и выбираем вкладку "Пересылка".
Рисунок 4.
На этой вкладке нажимаем кнопку "Создать" и пишем имя домена куда мы хотим сделать пересылку. В нашем случае это корневой домен леса xu.com. Тут же на вкладке, чуть ниже в поле "Список IP - серверов пересылки для выбранного домена" - добавляем его IP адрес. В нашем примере это 192.168.0.5.
Ту же самое можно проделать на сервере контроллера домена xu.com...процесс абсолютно аналогичен только нужно писать другой домен и другой адрес. В нашем случае это домен rk.com и его IP - 192.168.0.1.
Итак после того как разобрались с DNS серверами и убедились что они видят друг друга переходим к созданию доверительных отношений и переходим к оснастке "Домены и доверие" показанное на рисунке1.
Далее если мы хотим что бы эти два леса (rk.com и xu.com) были соединены с друг другом посредством транзитивных доверительных отношений то нам необходимо установить режим функционирования леса на уровень "Windows Server 2003" (о режимах функционирования леса и домена смотри здесь). Поэтому мы в оснастке "Домены и доверие" становимся на верхнюю надпись "Active Directory - домены и доверие" и открываем правой кнопкой контекстное меню, смотрите рисунок 5.
Рисунок 5.
В контекстном меню выбираем пункт "Изменение режима работы леса..." и щелкаем по нему. Откроется окно с возможными режимами работы леса. Выберите режим работы "Windows Server 2003". Я не могу показать это окно с выбором режима работы так как у мена уже лес переведен в режим работы "Windows Server 2003", а перевод с этого режима функционирования на более низкие режимы функционирования леса невозможно, смотрите рисунок 6. То есть при выборе режима функционирования леса хорошо подумайте, так как перевести в другой режим работы леса просто невозможно....
Рисунок 6.
После того как повысили режим работы леса до максимально возможного а именно до "Windows Server 2003", в познавательных целях повысим и режим работы домена до уровня "Windows Server 2003". Для этого становимся на корневой домен и открываем контекстное меню, смотрите рисунок 7.
Рисунок 7.
Те же самые операции, то есть повышаем уровень леса и домена и на контроллере корневого домена xu.com.
Когда мы убедились что у нас леса (rk.com and xu.com)и домены работают в функциональном режиме "Windows Server 2003", приступаем к созданию транзитивных доверительных отношений между лесами.
Внимание! Если бы хоть один из лесов доменов находится на функциональном уровне "Windows 2000", то леса доменов могут быть соединены только внешними доверительными отношениями.
В оснастке "Домены и доверие" становимся на имени корневого домена, в нашем случае это rk.com и открываем контекстное меню правой клавишей мыши. Откроется окно показанное не рисунке 8. переходим на вкладку "Доверия".
Рисунок 8.
На данной вкладке нажимаем клавишу "Создать доверие". После того как нажали на данную клавишу открывается "Мастер создания отношений доверия", смотрите рисунок 9.
Рисунок 9.
Нажимаем далее... Открывается окно показанное на рисунке 10.
Рисунок 10.
В поле "Имя", пишем имя домена с которым мы хотим создать доверительные отношения, в нашем примере это корневой домен леса xu.com....Давим клаву не - Далее....
Открывается окно с предложениями о выборе типа доверия, смотрите рисунок 11.
Рисунок 11.
Так как мы изначально поставили себе задачу создать транзитивные доверительные отношения между лесами то в этом окне выбираем пункт "Доверие леса" и жмем Далее...
Открывается следующее окно с предложениями о выборе направления доверия, смотрите рисунок 12.
Рисунок 12.
Читаем внимательно что написано в данном окне, думаю что понятно....и выбираем.... к примеру - двухстороннее направление доверия.....жмем Далее...
Открывается окно показанное на рисунке 13.
Рисунок 13.
Читаем все внимательно. Для нашего случая я выбрал к примеру второй пункт, который позволяет создать две односторонние доверительные связи, с помощью которых реализуется двустороннее отношение доверия (при условии, что в соседнем лесу администратор также обладает соответствующими привилегиями)....Жмем далее....
Открывается окно в котором проверяет нас на наличие прав в другом домене, смотрите рисунок 14.
Рисунок 14.
Так как оба леса принадлежат нашей конторе, как мы договорились в начале, и оба леса были созданы нами, то естественно у нас есть права в другом лесе....пишем имя пользователя и пАроЛ в данном окне. Жмем Далее...
Открывается окно показное на рисунке 15.
Рисунок 15.
Здесь что бы упростить себе жизнь как допустим сетевому администратору данных лесов я выбрал пункт "Проверка подлинности в лесу", так как в этом случае пользователи одного леса могут получать доступ к любым ресурсам в другом лесе...И как написано в самом окне под этим пунктом, данная проверка используется когда оба леса принадлежат одной конторе....
При выборе пункта "Выборочная проверка подлинности", администратор в ручную, "ручками" указывает какие ресурсы в другом домене будут доступны. Это делается как правило тогда когда леса принадлежат разным конторам, которые не хотят предоставить доступ на все ресурсы.
В этом окне мы определяем уровень проверки подлинности для пользователей из леса xu.com.
Давим ...Далее...открывается окно показанное на рисунке 16. Окно вроде бы похожее с окном на рисунке 15, однако в этом окне мы определяем уровень доверия из домена который мы прописываем эти доверительные отношения, а в нашем случае мы начали прописывать эти отношения их леса rk.com.
Рисунок 16.
Жмем Далее...
Открывается окно показанное на рисунке 17, в котором описываются все "проделки", что были нами сделаны и что из этого получилось.
Рисунок 17.
Читая что там написано, мы с поставленной вначале задачей справились. если что либо не так у нас есть возможность вернутся, нажав кнопку "назаТ". Жмем далее....
Открывается еще одно окно показанное на рисунке 18.
Рисунок 18.
Комментировать рисунок 18 я не буду ....давим Далее...
Открывается окно показанное на рисунке 19, для подтверждения или не подтверждения исходящего доверия. Читаем что там написано. если что непонятно спрашивайте на форуме.
Рисунок 19.
Жмем далее...Открывается окно показанное на рисунке 20, аналогичное рисунку 19, только связанное с входящим доверием.
Рисунок 20.
Жмем далее...Открывается окно завершения мастера создания отношений доверия, рисунок 21.
Рисунок 21.
Жмем наконец - то "Готово".
И у нас получится такая картина маслом показанная на рисунке 22.
Рисунок 22.
Если мы сейчас откроем оснастку "Домены и доверие" в корневом домене леса xu.com, то увидим на вкладке доверия что там прописалось доверие к лесу rk.com, смотрите рисунок 23.
Рисунок 23.
Тут не затронут все вопросы по администрированию доверительных отношений, но в принципе основные понятия даны. К вопросу о "механизме маршрутизации суффикса имен" думаю еще вернемся позже, в другой статье.
| 
Смотрите внимательно на рисунок 5
