En av Windows Server 2003-funksjoner som jeg tror er den mest under benyttes er skogen nivå tillit. Som navnet tilsier, er en skog nivå tillit en tillit mellom to separate skoger, der hvert domene Stiftelser annenhver domene. Det er mange grunner til at du kanskje ønsker å skape skog nivå klareringer. Det er så mange grunner faktisk, at jeg kunne sikkert dedikere en hel artikkel til emnet.
En av de mest vanlige bruk av skog nivå stiftelser har å gjøre med oppkjøp. For eksempel, hvis selskapet skulle kjøpe et annet selskap, kan det være lurt å lage en skog nivå tillit mellom de to nettverkene til du kan til slutt slå sammen nettverkene sammen.
En annen vanlig bruk for skog nivå stiftelser er Active Directory isolasjon. For eksempel er jeg involvert i beta testing for Exchange Server 2007. På grunn av måten at Exchange Server bruker Active Directory, jeg kan ikke installere Exchange 2007 inn i min produksjon skogen uten å påvirke min Exchange Server 2003 distribusjon. Som sådan, jeg opprettet en helt egen skog der kan jeg kjøre Exchange 2007. Siden jeg fortsatt må være i stand til å fange skjermbilder og lagre dem til min produksjonsnettverk, har jeg laget en skog nivå tillit mellom de to skoger.
De fire typer Stiftelser
Selv om denne artikkelen primære fokus er på klareringer mellom skoger, jeg ønsket å ta et øyeblikk og nevne at det faktisk finnes fire forskjellige typer stiftelser som støttes av Windows Server 2003. Disse fire typer stiftelser hver har sine egne unike formål.
første typen tillit er en ekstern tillit. En ekstern tillit er et tillitsforhold der et domene innenfor skog klarert et domene som ikke tilhører skogen. Vanligvis er disse typer stiftelser som oftest brukt for vandringer. I Windows 2000 og 2003, kan en skog inneholde flere domener. Men i Windows NT Server, det var ingen konseptet av en skog. Et domene var sin egen, selvstendig autonom enhet. Hvis du trenger å migrere ressurser fra en Windows NT-domene i et eksisterende Active Directory-skogen, deretter etablere en ekstern tillit mellom en av Active Directory-domener og Windows NT domenet er ofte det første skrittet.
Andre type tillit som er støttes av Windows Server 2003 er det som er kjent som en snarvei tillit. Som jeg er sikker på at du sikkert vet, er Active Directory utformet slik at hvert domene i en skog stoler annenhver domene i en skog automatisk. Hva dette betyr er at hvis en bruker fra et domene har fått tillatelse til å få tilgang til en ressurs i et annet domene, så brukeren kan transparent autentisere gjennom en domenekontroller innenfor ressursdomenet.
Mesteparten av tiden denne globale tillit i en skog fungerer ganske bra. Men det er noen tilfeller der en skog er så stor, og består av så mange domener, at det tar en arbeidsstasjon en stund å finne en ressurs domene. Dette gjelder særlig for domener som eksisterer på tvers av WAN-koblinger. Det er der snarveien tillit kommer inn i bildet. En snarvei tillit gir ikke enten domene tilgang til noe nytt, men heller det bare slags introduserer de to domener til hverandre. Når snarveien tillit er på plass, kan de to domener tilgang til hverandre direkte uten å måtte krysse skogen i et forsøk på å finne en domenekontroller.
Tredje typen tillit er et rike tillit. Begrepet domener er ikke unik for Windows-nettverk. Andre nettverksoperativsystemene inkluderer lignende strukturer, de bare kaller dem noe annet. UNIX tilsvarer et domenenavn er et rike. Hvis en UNIX riket er designet for å bruke Kerberos-godkjenning, så er det mulig å skape et rike tillit mellom en Windows-domene og et UNIX riket.
Fjerde type tillit er selvfølgelig skogen tillit. Forest klareringer bare finnes i Windows Server 2003. Hva dette betyr er at du ikke kan opprette en tillit mellom en Windows 2000-skogen og Windows Server 2003 skogen. Opprette en skog tillit har implikasjon av å skape eksterne stiftelser mellom hver av skogens domener. For eksempel, hvis du var å skape en tillit mellom Forest A og Forest B, deretter hvert domene i Forest A ville stole hvert domene i Forest B, og visa versa.
Prep Work
Før du kan opprette en tillit mellom skog, må du gjøre en liten bit av prep arbeid for å forberede skogene som vil bli involvert i foretakene. Det første du må gjøre er å heve skogen funksjonelt nivå av de to skoger til Windows Server 2003. Det gjør du ved å velge Active Directory-domener og klareringer kommandoen fra serverens Administrative Verktøy-menyen. Når konsollen åpnes, høyreklikker du på Active Directory-domener og klareringer container og velg Raise Forest Functional nivå kommandoen fra den resulterende hurtigmenyen. Når Raise Forest Functional dialognivå vises, velger du alternativet Windows Server 2003 og klikk Raise knappen.
Neste trinn i forberedelsene for å lage en skog nivå tillit er at du må sørge for at hver skogens rotdomene kan se rotdomene fra den andre skogen. Dette betyr at du må skape den nødvendige DNS-poster og bruke nslookup kommandoen for å være sikker på at du kan løse domenenavn i den andre skogen.
Slutt må du sørge for at du vet brukernavnet og passordet til en skog nivå administratorkonto i hvert skogen.
Opprette Forest Stiftelser
Nå som du har fullført alle prep arbeid, kan du begynne tillit skapelsesprosessen ved å åpne Active Directory-domener og klareringer konsollen. Når konsollen åpnes, finn skogens rotdomene. Du kan bare opprette en skog tillit ved roten domenenivå. Når du finner roten domene, høyreklikk på den og velg Egenskaper kommando fra den resulterende hurtigmenyen. Når du gjør det, vil du se domenet eiendommer ark.
På dette punktet, må du velge egenskaper arket Trust kategorien, som vises i figur A. Klikk på Ny-Trust-knappen for å starte ny tillit veiviseren
Figur A:. Klikk på Ny Trust-knappen for å opprette en stole
Når veiviseren starter, klikker du Neste for å omgå trollmannens velkomstskjermen. På dette punktet, vil veiviseren be deg om å gå inn i domenet, skog, eller rike navnet på tillit. Denne skjermen kan være litt forvirrende, men alt du trenger å gjøre er å skrive domenenavnet av roten domenet i skogen som du ønsker å etablere tillit med.
Klikk Neste og veiviseren vil spørre deg om du oppretter en sfære tillit eller en stiftelse med et Windows-domene. Velg domenet alternativet Windows og klikk på Neste. På dette punktet, vil du se hva som er trolig den viktigste spørsmålet stilt av veiviseren. Veiviseren vil vite om du vil opprette en ekstern tillit eller en skog tillit. Velg skog alternativet og klikk Neste.
På dette punktet, vil du se en skjerm som spør om du ønsker å opprette en enveis innkommende, en enveis utgående, eller en toveis tillit. En tillit har to sider. Tenk deg for eksempel at du har to domener kalt A og B. Nå forestille seg at domenet A inneholder ressurser som brukere i domenet B trenger tilgang til. I en situasjon som dette, ville domenet A være det klarerte domenet, og Domain B ville være det klarerte domenet. I dette tilfellet, ville en toveis tillit ikke være hensiktsmessig fordi brukerne i Domain En trenger ikke tilgang til noe i Domene B. Mange ganger i det virkelige liv skjønt, er en toveis tillit det mest hensiktsmessige valget. Anmeldelser Ved anvendelsen av denne artikkelen, jeg antar at du har valgt en toveis tillit. Du vil nå bli spurt om du ønsker å konfigurere kun din egen side av tillit eller begge sider av tillit. Hva dette refererer til er det faktum at du vil trenge et administrativt passord for begge domenene for å etablere tillit. Hvis du bare har det administrative passordet til ditt eget domene, så må du velge Dette Domene alternativet Bare og administrator av den andre domenet må gjenta prosedyren på sin ende med et eget passord. Hvis du vet begge passordene skjønt, er det mye enklere å konfigurere begge sider av tillit samtidig.
Klikk Neste og Windows vil spørre deg om du ønsker å utføre Forest Wide godkjenning eller Selektiv godkjenning. Selektiv Authentication lar deg finjustere godkjenningsprosessen, men det innebærer mye mer arbeid. Mesteparten av tiden vil du være i orden å bruke Forest Wide godkjenning.
Klikk Neste og du vil se en oppsummering av de valgene du har valgt. Klikk på Neste en siste gang og tillit vil bli etablert. Når prosessen er ferdig, vil du se en melding som spør om du ønsker å bekrefte sammenhengen mellom skogene. Gå videre og prøve å bekrefte koblingen, men husk at Microsoft har hatt problemer med denne del av koden. Noen ganger fungerer det og noen ganger er det ikke. Hvis bekreftelsesprosessen mislykkes, betyr det ikke nødvendigvis at tilliten ikke er etablert.
Konklusjon
Som du ser, er det noen situasjoner der du kanskje må stole brukere fra en annen skog. I denne artikkelen har jeg forklart hvordan du kan skape en slik tillit.