Настройка доверительных отношений между доменами Active Directory
Для возможности аутентификации с использованием учетных записей из нескольких доменов, необходимо, чтобы были доверительные отношения между последними. При создании домена в структуре леса, доверие выстраивается автоматически. Но если мы хотим объединить два домена разных организаций или которые раньше работали независимо друг от друга, то необходимо настроить доверительные отношения.
Мы будем рассматривать процесс настройки на примере двустороннего транзитивного доверия между доменами kazan.wsr (172.16.19.64) и spb.wse (172.16.20.96). Саму настройку разделим на 2 этапа — конфигурирование DNS и создания доверий. В качестве операционной системы по данной инструкции можно настроить Windows Server 2008 / 2012 / 2016 / 2019.
Определяемся с типом доверительных отношений¶
Доверительные отношению могут быть разных типов. Перед тем, как их настроить, нужно понять, какие нам требуются.
Одностороннее или двустороннее¶
Определяют направление доверия одного домена к другому.
В односторонних отношениях, только один домен доверяет другому. В результате, на компьютерах одного из доменов можно будет авторизоваться с использованием пользователей другого. При создании такого доверия нужно указать также направление (входящее или исходящее) — оно определяет чьи пользователи смогут проходить аутентификацию на чьем домене.
В двусторонних отношениях домены доверяют друг другу. Таким образом, аутентификация выполняется на всех компьютерах под пользователями любого из доменов.
Внешнее или доверие леса¶
Внешнее или нетранзитивное отношение устанавливается между двумя доменами напрямую вне леса.
Доверие леса или транзитивное отношение связывает леса и все их домены.
Настройка DNS¶
Для построения доверия необходимо, чтобы контроллеры домена видели друг друга. Все запросы на поиск узлов в AD выполняются через службы доменных имен. Таким образом, в нашем примере, мы должны сконфигурировать условную пересылку на DNS обоих доменов. Также важно, чтобы между контроллерами была сетевая доступность — по сети они должны видеть друг друга.
- kazan.wsr и wsb.wse
- Открываем Диспетчер серверов — кликаем по Средства — DNS:
- В открывшемся окне выбираем нужный сервер, если их несколько — раскрываем его — кликаем правой кнопкой мыши по Серверы условной пересылки — Создать сервер условной пересылки:
- В «DNS-домен» пишем второй домен (в нашем случае, secondary.local), затем задаем его IP-адрес, ставим галочку Сохранять условный сервер пересылки в Active Directory и реплицировать ее следующим образом — выбираем Все DNS-серверы в этом домене:
- Для проверки следует использовать команду nslookup в адрес только что добавленного домена. Если будет возвращен ответ с именем и адресом удаленного сервера, то все сделано правильно.
Настройка доверительных отношений¶
- В домене kazan.wsr открываем Диспетчер серверов — кликаем по Средства — Active Directory — домены и доверие:
- В открывшемся окне кликаем правой кнопкой по нашему домену — Свойства:
- Переходим на вкладку Отношения доверия — кликаем по Создать отношение доверия. :
- Нажимаем Далее — вводим имя для второго домена (spb.wse) и кликаем Далее:
- Выбираем Доверие леса (если нам не нужно внешнее доверие) — Далее:
- В окне «Направление отношения доверия» выбираем Двустороннее:
- В следующем окне выбираем, на каком из доменов мы применяем настройку — если у нас есть права администратора для обоих доменов, то выбираем Для данного и указанного доменов:
- Далее нужно выбрать «Уровень проверки подлинности исходящего доверия» — если оба домена принадлежат нашей организации, предпочтительнее выбрать Проверка подлинности в лесу, чтобы предоставить доступ ко всем ресурсам:
- Доверие установлено
Источник
Создание доверительных отношений между лесами Active Directory
Доверительные отношения между лесами в Active Directory могут устанавливаться в нескольких случаях. Как правило, в основном, такие отношения настраиваются при слиянии компаний или, к примеру, при необходимости миграции между лесами.
Итак, доверительные отношения между лесами могут быть настроены только между корневыми доменами этих лесов. В нашем случае мы будем настраивать двухсторонние доверительные отношения между лесами alexitsolutions.com и test.com. Общая схема представлена на рисунке ниже:
Также определим небольшую легенду, чтобы не запутаться в настройках:
Домен А – alexitsolutions.com;
Для того, чтобы нам настроить наши отношения доверия, необходимо настроить DNS и уже потом заняться настройкой самого доверия.
Настройка DNS
Начнем с настройки DNS. Она будет заключаться в настройке серверов условной пересылки на обоих доменах.
1. Идем по пути Server Manager – Tools – DNS:
2. В консоли DNS находим пункт Conditional Forwarders – вызываем контекстное меню и выбираем New Conditional Forwarder:
3. На странице создания сервера условной пересылки необходимо заполнить отмеченные поля:
DNS Domain – вводим имя нашего домена. Поскольку мы сейчас находится в домене alexitsolutions.com и настраиваем сервер условной пересылки на test.com, то соответственно, вводим это название;
IP Addresses of the master servers – указываем IP – адрес нашего сервера DNS из домена test.com. Если все хорошо, то мы получим его имя;
Выставляем галочку Store this conditional forwarder in Active Directory, and replicate it as follows и выбираем All DNS servers in this domain;
4. Нажимаем OK. На этом наш сервер условной пересылки alexitsolutions -> test создан;
5. Идем на сервер DNS домена test.com и создаем такой же сервер условной пересылки, но наоборот test -> alexitsolutions.
После того, как мы завершили настройки DNS, можно переходить к настройке отношений доверия между лесами.
Настройка доверительных отношений
1. Идем по пути Start – Windows Administrative Tools – Active Directory Domains and Trusts:
2. Откроется консоль Active Directory Domains and Trusts:
Выбираем наш домен – вызываем контекстное меню – Properties;
3. Появится окно свойств домена:
Переходим на вкладку Trusts и выбираем New Trust;
4. Откроется первая страница мастера New Trust Wizard:
5. На следующей странице необходимо указать имя леса, с которым будем устанавливать отношения доверия:
В нашем случае это test.com, поэтому в поле Name указываем test.com и нажимаем Next;
6. На следующей странице необходимо выбрать тип доверия:
Предусмотрено 2 режима доверия:
- External trust (внешнее доверие) – устанавливает нетранзитивное доверие между доменами напрямую. При данном режиме доверия связь может быть только между корневыми доменами A и B;
- Forest trust (доверие лесов) – устанавливает транзитивные отношения между лесами со всеми доменами внутри них. При данном режиме доверия пользователи из любого домена леса A могут обращаться к любому домену леса B и наоборот;
В нашем случае мы выбираем External Trust и нажимаем Next;
7. На следующей странице мастера необходимо выбрать направление доверия:
Предусмотрены несколько вариантов направления доверия:
- Two – way: доверие между доменами двухстороннее;
- One – way: incoming – тип одностороннего доверия, при котором пользователи из домена A могут авторизовываться в домене B;
- One – way: outgoing – тип одностороннего доверия, при котором пользователи из домена B могут авторизовываться в домене A.
В нашем случае мы настраиваем двухстороннее доверие, поэтому выбираем Two – way и нажимаем Next;
8. На следующей странице необходимо выбрать, где будет создано доверие:
Здесь также представлено несколько вариантов:
- This domain only – отношение доверия создается только в локальном домене (с которого мы строим доверие);
- Both this domain and the specified domain – отношение доверия создается как в домене A, так и в домене B.
В нашем случае мы настроим сразу в двух доменах. Выбираем второй вариант и нажимаем Next;
9. На следующей странице необходимо ввести данные пользователя домена B:
Вводим логин/пароль пользователя, имеющего административные привилегии в домене test.com и нажимаем Next;
10. На следующей странице необходимо настроить уровень аутентификации для пользователей из домена test.com:
Здесь мы можем выбрать из нескольких вариантов:
- Domain – wide authentication: данная настройка позволяет пользователям авторизоваться на всех ресурсах нашего домена;
- Selective authentication: данная настройка позволяет предоставить доступ только к отдельным серверам.
В нашем случае мы настраиваем Domain – wide, соответственно, выбираем эту опцию и нажимаем Next;
11. На следующей странице нам предлагают настроить уже исходящие правила – права, которые будут иметь пользователи уже нашего домена в test.com:
Оставляем по умолчанию и нажимаем Next;
12. На следующей странице нам предлагают ознакомиться с создаваемыми правилами:
Просматриваем и нажимаем Next;
13. На следующей странице мы видим результат работы мастера:
Как видим, отношения доверия созданы. Нажимаем Next;
14. На следующих страницах, при желании, мы можем проверить работу входящего и исходящего доверий:
В нашем текущем примере мы этого делать не будем, поэтому выбираем No и нажимаем Next;
15. Далее открывается последняя страница мастера, которая говорит нам о том, что создание успешно завершено:
16. Мы вернемся на страницу свойств домена, где можно будет увидеть, что отношения доверия успешно созданы:
Здесь просто нажимаем OK и закрываем свойства.
17. Отношения доверия успешно настроены.
Фильтрация SID
Сразу после настройки доверительных отношений мы получим сообщение следующего содержания:
Данное предупреждение говорит о том, что у нас автоматически была активирована функция SID Filtering. Основная задача этой функции – отслеживание, чтобы в доверяющем домене могли пройти аутентификацию только те пользователи доверенного домена, которые имеют соответствующий SID этого доверенного домена. Данная опция полезна в плане безопасности, но если мы, к примеру, собираемся мигрировать пользователей и использовать атрибут SID History, то данную опцию необходимо выключать вручную.
Источник