خوش آموز درخت تو گر بار دانش بگیرد، به زیر آوری چرخ نیلوفری را
اکتیو دایرکتوری: نحوه ایجاد trust بین دو forest
trust relationship یا رابطه اعتماد بین دو اکتیو دایرکتوری یک لینک قابل اعتماد است که به کاربران authenticate شده اجازه می دهد به منابع دامین دیگر دسترسی داشته باشند. یک trust relationship ممکن است شامل موارد زیر باشد:
Unidirectional یا یک طرفه(One-way): دسترسی به منابع فقط در یک جهت (A) -> (B) امکان پذیر است. مثلا اگر دامین A به دامین B یک Trust یکطرفه داشته باشد، منابع دامین A در اختیار B می تواند قرار بگیرد ولی B به A هیچ Trust ای ندارد.
Bidirectional یا دوطرفه(Two-way): دسترسی به منابع در هر دو جهت در دسترس است. یعنی دامین A به دامین B و بالعکس به هم Trust دارند.
Transitive: اگر دامین A به دامین B یک transitive trust relationship داشته باشد و اگر دامین C در دامین B مورد Trust باشد، در دامین A هم Trust شده است.
در این آموزش، نحوه برقراری رابطه اعتماد بین دو Forest را می بینیم. دو دامین و Forest مجزا را با هم Trust برقرار خواهیم کرد.
یکی از پیشنیازهای مهم در راه اندازی Trust Relationship این است که هر دو دامین، یکدیگر را ping کنند و ارتباط بین این دو برقرار باشد. سپس در DNS server هر دو اکتیو دایرکتوری، باید conditional forwarder ایجاد کنید که با Name هم امکان برقراری ارتباط باشد.
همانطور که در تصویر فوق مشاهده می کنید، دو دامین با نام های khoshamoz.local و test.local داریم. به کنسول DNS سرور khoshamoz.local وارد می شویم و یک conditional forwarder برای دامین test.local ایجاد می کنیم و سپس در DNS سرور test.local وارد می شویم و برای khoshamoz.local یک conditional forwarder ایجاد می کنیم.
سپس ok کنید. اکنون باید هر دو شبکه، با نام بتوانید ping داشته باشید.
حالا وقت برقراری Trust بین دو دامین است. برای این منظور در یکی از دامین ها، مثلا khoshamoz.local وارد می شویم و کنسول server manager کنسول Active Directory Domain and Trust را باز کنید. سپس مانند تصویر زیر، روی نام دامین کلیک راست کرده و Properties بگیرید.
بدین ترتیب پنجره Properties دامین تان باز می شود. در این پنجره به تب Trust بروید و همانطور که مشاهده می کنید لیست کاملا خالی است و اگر برای این دامین، Child domain هایی می داشتیم، از آنجایی که رابطه Trust فی الذاته بین Parent و Child وجود دارد، در اینجا لیست می شد ولی ما هیچ Child domain ای هم نداریم و از قبل با هیچ دامینی هم رابطه اعتماد ایجاد نکرده ایم. پس در نتیجه لیست خالی است. از قسمت پایین فرم دکمه New Trust را کلیک کنید.
ویزارد ایجاد رابطه اعتماد باز می شود. ویزارد خوش آمدگویی را next کنید. در این مرحله باید نام netbios ای یا نام FQDN دامین مقابل تان که می خواهید با Trust برقرار کنید را تایپ کنید.
در این مرحله گزینه Forest trust را فعال و next کنید.
همانطور که ابتدای مطلب هم گفته شد، رابطه اعتماد می تواند دو طرفه و یا یک طرفه باشد. قصد ما ایجاد رابطه trust دوطرفه است پس گزینه two-way را انتخاب کرده و Next کنید.
در این قسمت گزینه دوم یعنی Both this domain and the specific domain را فعال می کنیم و دلیل اینکه این گزینه را انتخاب می کنیم این است که پسورد Administrator دامین مقابل خود یعنی test.local را داریم. اگر پسورد دامین مقابل را نداشته باشیک باید گزینه اول را انتخاب کنیم و مراحل را ادامه دهیم و سپس از سمت دامین test.local هم همین مراحل را به همینم ترتیبی که مشاهده می کنید انجام دهیم تا trust دو طرفه ایجاد شود.
در این مرحله باید پشورد کاربر Administrator دامین test.local را وارد کنیم.
در حالت پیشفرض ما می خواهیم که در هر دو طرف، به تمامی منابع در دامین دیگر دسترسی داشته باشند پس در این صورت گزینه Forest-wide authentication را باید فعال کنیم. ولی اگر قصد بر این است که انتخاب کنیم چه منابعی در دسترسی باشند، باید گزینه دوم را انتخاب کنید.
دوباره همین پنجره فوق نمایش داده می شود که در تصویر فوق برای دامینی که روی آن قرار دارید و در دفعه دوم برای دامین مقابل است.
در این مرحله یک Summary از آنچه که تا به اینجای کار تنظیم کرده اید را مشاهده خواهید کرد.
ویزارد را Next و در این مرحله تایید می کنیم در صورتی که در سمت مقابل Trust ایجاد شد، از این طرف هم به سمت دامین مقابل Trust ایجاد شود.
سپس ویزارد را Next و نهایتا Finish کنید. اکنون دیگر لیست Trust خالی نیست Trust بین دو دامین برقرار شده است. اگر در سرور مقابل هم به پنجره فوق بروید، باید Trust به دامین مقابل را مشاهده کنید.
بدین ترتیب کاربران هر دو دامین و حتی Sub domain ها می توانند در هر جایی که باشند، با نام کاربری خودشان لاگین کنند. فقط در صورتی که بخواهید با نام کاربری خودتان در شبکه مقابل لاگین کنید، پیش از نام کرابری تان، نام دامین تان را هم قید کنید. با Trust برقرار شده هیچ مشکلی در لاگین و دسترسی به منابع هر دو دامین نخواهید داشت.
Unidirectional یا یک طرفه(One-way): دسترسی به منابع فقط در یک جهت (A) -> (B) امکان پذیر است. مثلا اگر دامین A به دامین B یک Trust یکطرفه داشته باشد، منابع دامین A در اختیار B می تواند قرار بگیرد ولی B به A هیچ Trust ای ندارد.
Bidirectional یا دوطرفه(Two-way): دسترسی به منابع در هر دو جهت در دسترس است. یعنی دامین A به دامین B و بالعکس به هم Trust دارند.
Transitive: اگر دامین A به دامین B یک transitive trust relationship داشته باشد و اگر دامین C در دامین B مورد Trust باشد، در دامین A هم Trust شده است.
در این آموزش، نحوه برقراری رابطه اعتماد بین دو Forest را می بینیم. دو دامین و Forest مجزا را با هم Trust برقرار خواهیم کرد.
یکی از پیشنیازهای مهم در راه اندازی Trust Relationship این است که هر دو دامین، یکدیگر را ping کنند و ارتباط بین این دو برقرار باشد. سپس در DNS server هر دو اکتیو دایرکتوری، باید conditional forwarder ایجاد کنید که با Name هم امکان برقراری ارتباط باشد.
همانطور که در تصویر فوق مشاهده می کنید، دو دامین با نام های khoshamoz.local و test.local داریم. به کنسول DNS سرور khoshamoz.local وارد می شویم و یک conditional forwarder برای دامین test.local ایجاد می کنیم و سپس در DNS سرور test.local وارد می شویم و برای khoshamoz.local یک conditional forwarder ایجاد می کنیم.
سپس ok کنید. اکنون باید هر دو شبکه، با نام بتوانید ping داشته باشید.
حالا وقت برقراری Trust بین دو دامین است. برای این منظور در یکی از دامین ها، مثلا khoshamoz.local وارد می شویم و کنسول server manager کنسول Active Directory Domain and Trust را باز کنید. سپس مانند تصویر زیر، روی نام دامین کلیک راست کرده و Properties بگیرید.
بدین ترتیب پنجره Properties دامین تان باز می شود. در این پنجره به تب Trust بروید و همانطور که مشاهده می کنید لیست کاملا خالی است و اگر برای این دامین، Child domain هایی می داشتیم، از آنجایی که رابطه Trust فی الذاته بین Parent و Child وجود دارد، در اینجا لیست می شد ولی ما هیچ Child domain ای هم نداریم و از قبل با هیچ دامینی هم رابطه اعتماد ایجاد نکرده ایم. پس در نتیجه لیست خالی است. از قسمت پایین فرم دکمه New Trust را کلیک کنید.
ویزارد ایجاد رابطه اعتماد باز می شود. ویزارد خوش آمدگویی را next کنید. در این مرحله باید نام netbios ای یا نام FQDN دامین مقابل تان که می خواهید با Trust برقرار کنید را تایپ کنید.
در این مرحله گزینه Forest trust را فعال و next کنید.
همانطور که ابتدای مطلب هم گفته شد، رابطه اعتماد می تواند دو طرفه و یا یک طرفه باشد. قصد ما ایجاد رابطه trust دوطرفه است پس گزینه two-way را انتخاب کرده و Next کنید.
در این قسمت گزینه دوم یعنی Both this domain and the specific domain را فعال می کنیم و دلیل اینکه این گزینه را انتخاب می کنیم این است که پسورد Administrator دامین مقابل خود یعنی test.local را داریم. اگر پسورد دامین مقابل را نداشته باشیک باید گزینه اول را انتخاب کنیم و مراحل را ادامه دهیم و سپس از سمت دامین test.local هم همین مراحل را به همینم ترتیبی که مشاهده می کنید انجام دهیم تا trust دو طرفه ایجاد شود.
در این مرحله باید پشورد کاربر Administrator دامین test.local را وارد کنیم.
در حالت پیشفرض ما می خواهیم که در هر دو طرف، به تمامی منابع در دامین دیگر دسترسی داشته باشند پس در این صورت گزینه Forest-wide authentication را باید فعال کنیم. ولی اگر قصد بر این است که انتخاب کنیم چه منابعی در دسترسی باشند، باید گزینه دوم را انتخاب کنید.
دوباره همین پنجره فوق نمایش داده می شود که در تصویر فوق برای دامینی که روی آن قرار دارید و در دفعه دوم برای دامین مقابل است.
در این مرحله یک Summary از آنچه که تا به اینجای کار تنظیم کرده اید را مشاهده خواهید کرد.
ویزارد را Next و در این مرحله تایید می کنیم در صورتی که در سمت مقابل Trust ایجاد شد، از این طرف هم به سمت دامین مقابل Trust ایجاد شود.
سپس ویزارد را Next و نهایتا Finish کنید. اکنون دیگر لیست Trust خالی نیست Trust بین دو دامین برقرار شده است. اگر در سرور مقابل هم به پنجره فوق بروید، باید Trust به دامین مقابل را مشاهده کنید.
بدین ترتیب کاربران هر دو دامین و حتی Sub domain ها می توانند در هر جایی که باشند، با نام کاربری خودشان لاگین کنند. فقط در صورتی که بخواهید با نام کاربری خودتان در شبکه مقابل لاگین کنید، پیش از نام کرابری تان، نام دامین تان را هم قید کنید. با Trust برقرار شده هیچ مشکلی در لاگین و دسترسی به منابع هر دو دامین نخواهید داشت.
نمایش دیدگاه ها (0 دیدگاه)
دیدگاه خود را ثبت کنید: