Модуль 4. Лабораторная работа 3

Создание доверительных (трастовых) отношений между лесами Active Directory

Доверительные отношения между лесами Active Directory (forest trusts), настройка маршрутизации суффиксов UPN (Name Suffix Routing)

Подготовка:

Эта лабораторная выполняется в паре. Выберите себе партнера из числа других слушателей и выполняйте лабораторную, получая от него необходимую информацию (например, о имени его домена) и согласовывайте с ним свои действия. В этой лабораторной домен, который вы создали, будет называться ваш_домен, а домен, с которым вы будете устанавливать доверительные отношения - домен_партнера.

Задание:

установите доверительные отношения между лесом, в который входит ваш домен, и лесом, в который входит домен вашего партнера, и настройте Name Suffix Routing таким образом, чтобы разрешить маршрутизацию всех суффиксов UPN между лесами. Убедитесь, что вы имеете возможность назначать на вашем компьютере разрешения для пользователей из чужого домена

Решение:

1. Откройте консоль Active Directory Domains and Trusts, выберите узел вашего домена и в контекстном меню выберите Properties. Перейдите на вкладку Trusts и нажмите на кнопку New Trust. В окне Welcome to the New Trust Wizard нажмите на кнопку Help, в окне справки раскройте узел Active Directory Domains and Trusts и прочитайте справку Checklist: Creating a forest trust.

2. Откройте консоль сервера DNS, откройте свойства зоны для своего домена, перейдите на вкладку Zone Transfers и установите флажок Allow Zone Transfers, в переключатель - в положение To Any Server. Нажмите OK, чтобы закрыть окно свойств своей зоны.

3. В консоли сервера DNS щелкните правой кнопкой мыши по узлу Forward Lookup Zones, в контекстном меню выберите New Zone, на экране Zone Type мастера New Zone Wizard выберите Secondary Zone и нажмите Next. На экране Zone Name введите имя домена вашего партнера и нажмите на кнопку Next. На экране Master DNS Server введите IP-адрес компьютера вашего партнера, нажмите на кнопку Add, а затем нажмите на кнопку Finish.

4. Раскройте узел созданной вами зоны и убедитесь, что в ней появились записи, скопированные с компьютера вашего партнера. Если возникла ошибка, убедитесь, что партнер завершил п. 2 этой лабораторной, а затем в контекстном меню для созданной secondary зоны выберите Transfer from Master.

5. Вернитесь в консоль Active Directory Domains and Trusts, нажмите на кнопку Next в окне New Wizard Trust, и на экране Trust Name введите имя леса, с которым вы устанавливаете доверительные отношения (например, domain2.ru). Нажмите на кнопку Next.

6. На экране Trust Type установите переключатель в положение Forest Trust и нажмите Next.

7. На экране Direction of Trust установите переключатель в положение Two-way.

8. На экране Sides of Trust установите переключатель в положение This domain only.

9. На экране Outgoing Trust Authentification Level установите переключатель в положение Forest-wide authentification.

10. На экране Trust Password введите два раза пароль P@ssw0rd. Нажмите два раза на кнопку Next.

11. На экранах Confirm Outgoing Trust и Confirm Incoming Trust установите переключатель в положение No и нажмите Next, а затем - Finish.

12. На вкладке Trusts в окне вашего домена выберите в нажнем списке (Incoming trusts) созданный вами траст и нажмите на кнопку Properties.

Примечание. При проверке трастовых отношений и других операция с трастами вполне допускается пауза до нескольких минут.

13. На вкладке General свойств траста нажмите на кнопку Validate. В ответ на приглашение ввести имя пользователя для проверки входящего (incoming) траста введите имя пользователя из домена партнера в формате имя_домена_партнера\имя_пользователя, например Domain2\Administrator и его пароль (скорее всего, такой же, как и у вас).

14. В ответ на приглашение обновить информацию о маршрутизации суффиксов UPN нажмите No, перейдите на вкладку Name Suffix Routing, выделите строку с суффиксом, напротив которой стоит Disable, и про помощи кнопки Enable включите маршрутизацию этого суффикса.

15. Создайте на диске C:\ новый каталог, откройте его свойства и перейдите на вкладку Secuirty. На вкладке Security в списке Locations выберите лес вашего партнера, в списке Enter the object names to select введите имя пользователя из чужого домена (например, Domain2\Administrator или user_domain2@mail_domain2.ru) и нажмите на кнопку CheckName, чтобы проверить существование этого пользователя. Нажмите на кнопку OK, чтобы вернуться на вкладку Security. Убедитесь, что этот пользователь появился в списке Group or User Names и ему можно предоставить разрешения.

Примечание

Если в при поиске пользователя возникнет ошибка, нажмите на кнопку Advanced и проведите поиск по чужому лесу (нажав на кнопку Find Now). Если возникнет ошибка, связанная с расхождением часов двух компьютеров, то выполните в командной строке команду Net time \\IP_адрес /Set, где IP-адрес - это IP-адрес вашего партнера, например:

net time \\192.168.5.201 /set

Эта команда синхронизирует часы ваших компьютеров.

Получить учебные материалы по этому курсу