Наличие доверительных отношений (trust) между доменами AD позволяют пользователям одного домена аутентифицироваться в другом домене. Чаще всего доверительные отношения настраиваются при объединении нескольких организации и при миграции между лесами AD.
Настроить доверительные отношения между только между корневыми доменами лесов Active Directory. В этом примере мы настроим двухсторонние доверительные отношения между независимыми лесами contoso.loc и test.loc
Перед настройкой доверительных отношений нужно обеспечить, чтобы контроллеры доменов видели друг друга и могли выполнять разрешение имен в другом лесу. Для этого нужно настроить условную пересылку в DNS в обоих доменах.
- Откройте консоль DNS Manager (
dnsmgmt.msc
) в домене contoso.loc; - В консоли DNS выберите секцию Conditional Forwarding и создайте новое правило пересылке (New Conditional Forwarder);
- Укажите имя второго домена (test.loc), IP адрес контроллера домена test.loc, включите опцию Store this conditional forwarder in Active Directory, and replicate it as follows и выберите All DNS servers in this domain;
- Затем настройте аналогичную условную пересылку на DNS сервере домена test.loc (пересылку запросов для имени домена contoso.loc на IP адрес DC в этом домене).
После этого можно включить доверительные отношения.
- Откройте консоль Active Directory Domains and Trusts (
domain.msc
); - Откройте свойства своего домена и перейдите на вкладку Trusts;
- Нажмите New Trust;
- Укажите имя леса, с которым вы хотите установить доверительные отношения (test.loc)
- Далее нужно выбрать тип доверительных отношений. Доступно два типа доверия:
External Trust (внешнее доверие) – прямое нетранзитивное доверие между доменами. Позволяет установить доверительные отношения только между корневыми доменами test.loc и contoso.locForest Trust – транзитивные доверительные отношения между лесами AD и всеми поддоменами в них.
- Далее нужно выбрать направление доверия:
Two – way — двухстороннее доверие между доменами;One – way: incoming –одностороннее доверие, при котором пользователи из домена A могут авторизовываться в домене B;
One – way: outgoing –одностороннего доверия, при котором пользователи из домена B могут авторизовываться в домене A.
- Затем нужно выбрать в каком домене нужно создать доверие:
This domain only – создать доверите только в текущем домене;Both this domain and the specified domain – создать доверительную связь как в домена A, так и в B.
- Мастер создания доверительных отношений запросит учетные данные пользователя из домена test.loc с правами администратора предпирятия.
- Затем выберите тип аутентфикации пользователей из домена test.loc:
Domain – wide authentication – разрешить пользователям аутентифицироваться на всех ресурсах вашего домена;Selective authentication – выбрать сервера, с которых пользователи домена test.loc могут аутентифицироваться в домене contoso.loc;
- Затем нужно выбрать исходящие правила аутентфикации (для пользователей вашего домена)
- Нажмите несколько раз Next -> Next и проверьте, что доверительные отношения между доменами созданы.
Сразу после настройки доверительных отношений появляется предупреждение о том, что включена функция безопасности SID Filtering. Эта опция позволяет исключить из токена пользователя все SID сторонних доменов при доступе к ресурсам через доверительное отношения. Отключать SID Filtering нужно только при миграции между доменами с использовать SID History:
netdom trust contoso.loc /domain:test.loc /quarantine:No
1 comment
Эта команда только для выключения SID Filtering на уровне домена. На уровне леса используется другой ключ: EnableSidHistory:Yes