Настройка доверительных отношений между лесами Active Directory

Наличие доверительных отношений (trust) между доменами AD позволяют пользователям одного домена аутентифицироваться в другом домене. Чаще всего доверительные отношения настраиваются при объединении нескольких организации и при миграции между лесами AD.

Настроить доверительные отношения между только между корневыми доменами лесов Active Directory. В этом примере мы настроим двухсторонние доверительные отношения между независимыми лесами contoso.loc и test.loc

Перед настройкой доверительных отношений нужно обеспечить, чтобы контроллеры доменов видели друг друга и могли выполнять разрешение имен в другом лесу. Для этого нужно настроить условную пересылку в DNS в обоих доменах.

1. Откройте консоль DNS Manager (dnsmgmt.msc) в домене contoso.loc;
2. В консоли DNS выберите секцию Conditional Forwarding и создайте новое правило пересылке (New Conditional Forwarder);
3. Укажите имя второго домена (test.loc), IP адрес контроллера домена test.loc, включите опцию Store this conditional forwarder in Active Directory, and replicate it as follows и выберите All DNS servers in this domain;
4. Затем настройте аналогичную условную пересылку на DNS сервере домена test.loc (пересылку запросов для имени домена contoso.loc на IP адрес DC в этом домене).

После этого можно включить доверительные отношения.

1. Откройте консоль Active Directory Domains and Trusts (domain.msc);
2. Откройте свойства своего домена и перейдите на вкладку Trusts;
3. Нажмите New Trust;
4. Укажите имя леса, с которым вы хотите установить доверительные отношения (test.loc)
5. Далее нужно выбрать тип доверительных отношений. Доступно два типа доверия:
   
   External Trust (внешнее доверие) – прямое нетранзитивное доверие между доменами. Позволяет установить доверительные отношения только между корневыми доменами test.loc и contoso.loc

   Forest Trust – транзитивные доверительные отношения между лесами AD и всеми поддоменами в них.

   

6. Далее нужно выбрать направление доверия:
   
   Two – way — двухстороннее доверие между доменами;

   One – way: incoming –одностороннее доверие, при котором пользователи из домена A могут авторизовываться в домене B;

   One – way: outgoing –одностороннего доверия, при котором пользователи из домена B могут авторизовываться в домене A.

7. Затем нужно выбрать в каком домене нужно создать доверие:
   
   This domain only – создать доверите только в текущем домене;

   Both this domain and the specified domain – создать доверительную связь как в домена A, так и в B.

8. Мастер создания доверительных отношений запросит учетные данные пользователя из домена test.loc с правами администратора предпирятия.
9. Затем выберите тип аутентфикации пользователей из домена test.loc:
   
   Domain – wide authentication – разрешить пользователям аутентифицироваться на всех ресурсах вашего домена;

   Selective authentication – выбрать сервера, с которых пользователи домена test.loc могут аутентифицироваться в домене contoso.loc;

10. Затем нужно выбрать исходящие правила аутентфикации (для пользователей вашего домена)
11. Нажмите несколько раз Next -> Next и проверьте, что доверительные отношения между доменами созданы.

Сразу после настройки доверительных отношений появляется предупреждение о том, что включена функция безопасности SID Filtering. Эта опция позволяет исключить из токена пользователя все SID сторонних доменов при доступе к ресурсам через доверительное отношения. Отключать SID Filtering нужно только при миграции между доменами с использовать SID History:

netdom trust contoso.loc /domain:test.loc /quarantine:No