Доверительные отношения

 Доверительные отношения между доменами нужны для предоставления доступа другим организациям к ресурсам вашей сети. Подробную информацию о довериях вы можете получить в библиотеке Microsoft. На русском языке.

 Тестовый стенд:
 - Хостовой сервер: Intel i7 4700, 32 GB RAM, AMD R7 200, Windows 10 1803 + Hyper-V
 - VM1, Intel i7 4700 x2, 4 GB RAM, Windows Server 2016, exonix.ru
 - VM2, Intel i7 4700 x2, 4 GB RAM. Windows Server 2008 R2, beta.com

 BETA.COM

Windows IP Configuration

   Host Name . . . . . . . . . . . . : DC2
   Primary Dns Suffix  . . . . . . . : beta.com
   Node Type . . . . . . . . . . . . : Hybrid
   IP Routing Enabled. . . . . . . . : No
   WINS Proxy Enabled. . . . . . . . : No
   DNS Suffix Search List. . . . . . : beta.com

Ethernet adapter Local Area Connection:

   Connection-specific DNS Suffix  . :
   Description . . . . . . . . . . . : Microsoft Hyper-V Network Adapter
   Physical Address. . . . . . . . . : 00-15-5D-B2-21-5D
   DHCP Enabled. . . . . . . . . . . : No
   Autoconfiguration Enabled . . . . : Yes
   IPv6 Address. . . . . . . . . . . : ----------------------------(Preferred)
   Link-local IPv6 Address . . . . . : fe80::e897:923f:e9fd:f3f8%11(Preferred)
   IPv4 Address. . . . . . . . . . . : 192.168.178.222(Preferred)
   Subnet Mask . . . . . . . . . . . : 255.255.255.0
   Default Gateway . . . . . . . . . : fe80::3681:c4ff:fe0b:e24d%11
                                       192.168.178.1
   DHCPv6 IAID . . . . . . . . . . . : 234886493
   DHCPv6 Client DUID. . . . . . . . : 00-01-00-01-22-9B-4B-36-00-15-5D-B2-21-5D
   DNS Servers . . . . . . . . . . . : ::1
                                       127.0.0.1
   NetBIOS over Tcpip. . . . . . . . : Enabled

 EXONIX.RU

Windows IP Configuration

   Host Name . . . . . . . . . . . . : DC1
   Primary Dns Suffix  . . . . . . . : exonix.ru
   Node Type . . . . . . . . . . . . : Hybrid
   IP Routing Enabled. . . . . . . . : No
   WINS Proxy Enabled. . . . . . . . : No
   DNS Suffix Search List. . . . . . : exonix.ru

Ethernet adapter Ethernet:

   Connection-specific DNS Suffix  . :
   Description . . . . . . . . . . . : Microsoft Hyper-V Network Adapter
   Physical Address. . . . . . . . . : 00-15-5D-B2-21-5A
   DHCP Enabled. . . . . . . . . . . : No
   Autoconfiguration Enabled . . . . : Yes
   IPv6 Address. . . . . . . . . . . : ---------------------------(Preferred)
   Link-local IPv6 Address . . . . . : fe80::d865:ef77:2166:66b9%5(Preferred)
   IPv4 Address. . . . . . . . . . . : 192.168.178.100(Preferred)
   Subnet Mask . . . . . . . . . . . : 255.255.255.0
   Default Gateway . . . . . . . . . : fe80::3681:c4ff:fe0b:e24d%5
                                       192.168.178.1
   DHCPv6 IAID . . . . . . . . . . . : 50337117
   DHCPv6 Client DUID. . . . . . . . : 00-01-00-01-22-93-14-97-00-15-5D-B2-21-5A
   DNS Servers . . . . . . . . . . . : ::1
                                       192.168.178.100
                                       127.0.0.1
   NetBIOS over Tcpip. . . . . . . . : Enabled

 Для того, чтобы клиенты разрешали доменные имена доверенного домена, необходимо или делегировать ДНС-зону для ДНС сервера в доверенном домене и затем подключить зону как "stub" или "secondary" или использовать "Условные пересылки". Я буду использовать условные пересылки. На WS 2016 добавим условную пересылку с помощью PowerShell:

Add-DnsServerConditionalForwarderZone -Name beta.com -MasterServers 192.168.178.222

 На WS 2008 R2 добавляем условную пересылку в оснастке DNS:

trust1.png 

После настройки ДНС необходимо проверить разрешение имём с помощью nslookup. Если всё успешно - можно приступать к настройке доверительных отношений. Настройка будет производиться на сервере WS 2016 с помощью утилиты netdom:

PS C:\> netdom trust /d:beta.com exonix.ru /add /twoway /Ud:aleks@beta.com /pd:*
Type the password associated with the domain user:

To improve the security of this external trust, security identifier (SID)
filtering is enabled. However, if users have been migrated to the trusted
domain and their SID histories have been preserved, you may choose to turn
off this feature.

For more information about SID filtering and how to turn it off, see the help
for netdom trust /FilterSids or see Help and Support.

The command completed successfully.

 После этого на серверах добавятся нетранзитивные двухсторонние доверительные отношение. 

trust2.png

 Нетранзитивные отношения означают доверия только между двумя доменами. Если в лесу exonix.ru будет создан ещё один домен, например, alpha.de, то доверий между beta.com и alpha.de не будет. Доменная аутентификация означает, что все пользователи будут доступны для поиска и аутентификации в доверенном домене.

trust3.png

 Другой вариант доверий. Односторонние, выборочные (Selective): exonix.ru доверяет beta.com. Данные доверия требуются, когда домен beta.com является доменом-бастионом для домена exonix.ru:

netdom trust /d:beta.com exonix.ru /add /Ud:aleks@beta.com /pd:* /SelectiveAUTH:yes

trust4.png

 В домене exonix.ru появится возможность предоставлять доступ пользователям домена beta.com:

trust5.png

 В обратном направлении такого не будет:

trust6.png

 

 

17.11.2012
новая статья 03.06.2018