Igal süsteemiadministraatoril tekib aeg-ajalt tõrge "Selle tööjaama ja esmase domeeni vahel ei õnnestunud usaldussuhet luua". Kuid mitte kõik ei mõista selle esinemiseni viivate protsesside põhjuseid ja mehhanisme. Sest ilma jooksvate sündmuste tähendust mõistmata on võimatu mõtestatud asjaajamine, mis asendub juhiste arutu täitmisega.
Arvutikontod, nagu ka kasutajakontod, on domeeni turvalisuse põhimõtted. Igale turbepõhimõttele määratakse automaatselt turbeidentifikaator (SID), mille tasemel see domeeniressurssidele juurde pääseb.
Enne kontole domeenile juurdepääsu andmist peate kontrollima selle autentsust. Igal turvalisuses osalejal peab olema oma konto ja parool ning arvutikonto pole erand. Kui ühendate arvuti Active Directoryga, luuakse selle jaoks arvutikonto ja määratakse parool. Usalduse sellel tasemel tagab asjaolu, et seda toimingut teeb domeeni administraator või muu kasutaja, kellel on selleks selgesõnaline volitus.
Seejärel loob arvuti iga kord, kui domeeni logib, domeenikontrolleriga turvalise kanali ja annab sellele oma mandaadid. Seega luuakse arvuti ja domeeni vahel usaldussuhe ning edasine suhtlus toimub vastavalt administraatori määratud turbepoliitikatele ja juurdepääsuõigustele.
Arvuti konto parool kehtib 30 päeva ja pärast seda muudetakse automaatselt. Oluline on mõista, et parooli muutmise algatab arvuti. See sarnaneb kasutaja parooli muutmise protsessiga. Olles avastanud, et praegune parool on aegunud, asendab arvuti selle järgmisel korral, kui domeeni sisse logite. Seega, isegi kui te pole arvutit mitu kuud sisse lülitanud, jääb domeeni usaldussuhe püsima ning parool muudetakse esimesel sisselogimisel pärast pikka pausi.
Usaldus katkeb, kui arvuti proovib autentida kehtetu parooliga domeeni. Kuidas see juhtuda saab? Lihtsaim viis on arvuti olekut tagasi keerata, kasutades näiteks tavalist süsteemitaaste utiliiti. Sama efekti saab saavutada pildilt, hetktõmmiselt (virtuaalmasinate jaoks) jms taastamisel.
Teine võimalus on kontot vahetada teise samanimelise arvutiga. Olukord on üsna haruldane, kuid mõnikord juhtub see näiteks siis, kui töötaja arvutit muudeti nime salvestamise ajal, vana eemaldati domeenist ja seejärel taastati domeeni, unustades selle ümber nimetada. Sellisel juhul muudab vana arvuti uuesti domeeni sisestamisel arvuti konto parooli ja uus arvuti ei saa enam sisse logida, kuna see ei saa luua usaldussuhet.
Milliseid meetmeid peaksite selle vea ilmnemisel tegema? Kõigepealt selgitage välja usalduse rikkumise põhjus. Kui see oli tagasipööramine, siis kes, millal ja kuidas seda tegi; kui parooli muutis teine arvuti, siis peame jällegi välja selgitama, millal ja mis asjaoludel see juhtus.
Lihtne näide: vana arvuti nimetati ümber ja anti teisele osakonnale, misjärel see jooksis kokku ja veeres automaatselt tagasi viimasesse kontrollpunkti. Pärast seda proovib see arvuti end domeenis vana nime all autentida ja saab loomulikult usaldussuhte loomisel veateate. Õige toiming oleks sel juhul arvuti ümber nimetada nii, nagu seda peaks kutsuma, luua uus kontrollpunkt ja kustutada vanad.
Ja alles pärast seda, kui olete veendunud, et usalduse rikkumise põhjustasid objektiivselt vajalikud tegevused ja et just selle arvuti jaoks saate alustada usalduse taastamist. Selleks on mitu võimalust.
Active Directory kasutajad ja arvutid
See on kõige lihtsam, kuid mitte kiireim ja mugavam viis. Avage mis tahes domeenikontrolleri lisandmoodul Active Directory kasutajad ja arvutid, otsige üles vajalik arvutikonto ja tehke paremklõps, valige Lähtesta konto.
Seejärel logime sisse arvutisse, mis on kaotanud usaldussuhte kohalik administraator ja eemaldage masin domeenist.
Seejärel sisestame selle tagasi; nende kahe toimingu vahel võite taaskäivitamise vahele jätta. Pärast domeeni uuesti sisenemist taaskäivitage ja logige sisse domeenikonto all. Arvuti parooli muudetakse, kui arvuti taasühendatakse domeeniga.
Selle meetodi puuduseks on see, et masin tuleb domeenist välja viia, samuti vajadus kahe (ühe) taaskäivituse järele.
Netdomi utiliit
See utiliit on Windows Serveris sisaldunud alates 2008. aasta väljaandest; selle saab installida kasutajate arvutitesse RSAT (Remote Server Administration Tools) paketi osana. Selle kasutamiseks logige sisse sihtsüsteemi kohalik administraator ja käivitage käsk:
Netdom resetpwd /Server:Domeenikontroller /KasutajaD:Administraator /ParoolD:Parool
Vaatame käsuvalikuid:
- Server- mis tahes domeenikontrolleri nimi
- KasutajaD- domeeni administraatori konto nimi
- ParoolD- domeeni administraatori parool
Kui käsk on edukalt täidetud, pole taaskäivitamist vaja, logige lihtsalt kohalikult kontolt välja ja logige sisse oma domeenikontole.
PowerShell 3.0 cmdlet
Erinevalt Netdomi utiliidist on PowerShell 3.0 süsteemis alates Windows 8 / Server 2012-st, vanemate süsteemide puhul saab seda käsitsi installida, toetatud on Windows 7, Server 2008 ja Server 2008 R2. Net Framework 4.0 või uuem on vajalik sõltuvusena.
Samamoodi logige kohaliku administraatorina sisse süsteemi, mille usaldusväärsust soovite taastada, käivitage PowerShelli konsool ja käivitage käsk:
Lähtesta – Arvutimasina parool – Serveri domeenikontroller – Mandaadi domeen\Administraator
- Server- mis tahes domeenikontrolleri nimi
- Mandaat- domeeninimi / domeeni administraatori konto
Selle käsu täitmisel kuvatakse autoriseerimisaken, kus peate sisestama teie määratud domeeni administraatori konto parooli.
Kui cmdlet edukalt lõpule jõuab, ei kuvata ühtegi teadet, seega muutke lihtsalt kontot, taaskäivitamist pole vaja.
Nagu näete, on usaldussuhete taastamine domeenis üsna lihtne; peamine on selle probleemi põhjus õigesti kindlaks teha, kuna erinevatel juhtudel on vaja erinevaid meetodeid. Seetõttu ei väsi me kordamast: kui mis tahes probleem ilmneb, peate esmalt tuvastama põhjuse ja alles seejärel võtma meetmeid selle kõrvaldamiseks, selle asemel, et korrata arutult esimest võrgust leitud juhist.
Selles artiklis räägime sellest, millele on üles ehitatud tõsine suhe mehe ja naise vahel.
Meeste ja naiste vahelised tõsised suhted on loomulikult üles ehitatud usaldusele.
Ilma usalduseta = tõsine suhe on a priori põhimõtteliselt võimatu!
Usaldus = see on alus, millele suhted rajatakse. Maja = ilma vundamendita (korralik vundament) = võimatu ehitada, see laguneb, sama kehtib ka suhetes mehe ja naisega.
Kui sa oma partnerit ei usalda = varem või hiljem = kõik laguneb (hävib), sest suhted hirmu, ärevuse, murede, stressi, valu, tülide jmsga ei kesta kaua.
Mis on usaldus ja selle puudumine?
Usaldus ei tunne kahtlust; kus kahtlus algab, usaldus sureb.
See on usaldus partneri vastu (kahtluste puudumine) ja see on usalduse puudumine (kahtluste olemasolu). Usaldus suhete vastu peab olema täielik ja vastastikune. Kui see nii ei ole, ühel partneritest puudub usaldus = on närivad kahtlused jne - tõsist suhet ei teki (ilma selle probleemi lahendamiseta), sellisel suhtel pole tulevikku, see on hukule määratud ebaõnnestumine.
Mis on siis selles olukorras lahendus? Minu arvates on probleemi lahendamiseks kaks võimalust:
- Esiteks looge oma partneriga usaldus (kui see on kadunud). (raske, kuid võimalik ja kui see on seda väärt (see on loogiline, üksikasjalikum teave artiklis:) - seda on tõesti vaja teha, mõlemad partnerid, suhted on töö!).
- 2., eraldage ja ärge kannatage. (lihtne, lihtne, tead kommentaare, siin pole isegi midagi öelda).
Küsi endalt, kas sa usaldad oma partnerit? Kui ei, siis kas saate teda (hei) uuesti usaldada?
Kui teie vastus on "ei", oleks kõige õigem see suhe lõpetada ja mitte teha üksteise elu keeruliseks, raiskades sellele kõigele hindamatut aega, energiat ja muid ressursse, muutes üksteist õnnetumaks.
Suhte mõte on üksteist tugevamaks muuta. Rääkisin sellest lähemalt artiklis: Kui see nii pole, siis on suhe mõttetu.
Varem või hiljem = ilma täieliku usalduseta = lõpp tuleb niikuinii, paarid lähevad lahku, miks siis raisata aega, mis on iga inimese elus peamine ressurss? Milleks kannatada, üksteist õnnetumaks teha, seda hetke edasi lükata? Mul oli tüdruk, kelle vastu ma pärast tema nalja kaotasin usalduse.
Ma ei tea siiani, kas see oli nali või mitte (armastus on pimestav), aga see jäi mu ajju = väga-väga tugevalt, kuni selleni, et mul oleks väga raske hei uuesti usaldama hakata.
Aga. Küll aga oleks minu puhul võimalik proovida kõike selgeks teha ja parandada (aga mitte täpselt, ei).
Ainult sina ise tead vastust küsimusele – kas saad teda uuesti usaldada või mitte, sest iga juhtum on individuaalne ja me kõik oleme põhimõtteliselt üksikud indiviidid. Saad aru?
Kui see on kindlasti "ei", siis on ainult üks väljapääs, lihtsalt liikuge edasi ilma ennast ja oma partnerit piinamata.
Kuid kui teil on endiselt kahtlusi ja teie vastus, võib-olla, võib-olla jne = siis on usalduse taastamiseks vaja mõlema partneri igapäevast soovitud tööd selles suunas.
Suhted on pidev töö kahe partneri vahel. See on töö. Töö. Ja jälle töö. Igapäevane. Ja mitte ainult usalduse, vaid ka paljude muude komponentide osas, millest me praegu ei räägi...
Kui seda tööd pole, siis paraku ei teki ka harmoonilisi, terviklikke ja õigeid suhteid.
Et püüda oma partneri usaldust tagasi võita, tuleb esiteks maha istuda ja kõik oma partneriga võimalikult detailselt läbi arutada, kõik oma kahtlused, mõtted, hirmud, kaebused jne oma partneri suhtes siiras ja aus. viisil. Tähtis on täielik siirus, vabadus ja ausus. Ilma selleta ei tööta miski.
P.S. Usaldus on tihedalt seotud aususe, siiruse ja aususega.
Ja äärmiselt oluline on seda teha, mitte vältida, mõeldes, et kõik möödub/ununeb. Ei! Mida kauem kõik venib, seda kauem hoitakse kõike sees = seda rohkem “fekaali” välja tuleb.
Kõik kahtlused, hirmud, ebakindlus jne tuleb oma partnerile rääkida. Rääkige talle (hei), mis teile teie suhetes, temas (temas) ei meeldi, öelge talle, kus tunnete ebamugavust, rahulolematust ja nii edasi. Peate omavahel absoluutselt kõike arutama ja väljendama kogu oma suhte arendamise ajal - ja mitte "pühadel" (kui asjad on juba üle keenud).
Meie puhul, mis puudutab usaldust, peate end täielikult avama ja kõik välja nägema. Tunded ja kõik teie emotsioonid = olemata häbelik, kartmata, hoidmata tagasi ABSOLUUTSELT MIDAGI!
Kõik hirmud, teod, teod, väited, probleemid, soovid jne jne kõik, mida tahad = vajab läbi arutamist. Kõik algusest lõpuni ühel istumisel. Ja peale kõike seda tuleb koos luua konkreetne ühistegevuse plaan ja hakata omavahel koostööd tegema, koos, alustama usalduse tekkimist, kuidas? => kõigist nendest kahtlustest, hirmudest, probleemidest, väidetest ja muudest komponentidest koos vabanemine.
Õppige üksteist usaldama, õppige oma vigu tunnistama, õppige süüd (vastutust) võtma, minu arusaamise järgi tähendab see seda, et peate olema valmis parandama seda, mis juhtus teie süül, õppima andestama/andestust paluma, meelt parandama, õppige otsima kompromisse , õppige omavahel rääkima (suhtlema) (kus, kuidas, kellega, millal, kõned/sms, täielik avatus, täielik ligipääs), peate olema üksteisega täiesti siirad ja ausad. Kõik "see" on teie = ühised tegevused.
Miks need olulised on? Sest kui töö (tegevused, tegevused) toimub organiseeritult KOOS (omavahel) = tekib ka aruanne (see sama seos) (ühendus tekib ühistegevuse kaudu) = mis tähendab, et tekib ka usaldus. Aruanne (suhtlus) = usaldus. Pidage seda meeles nagu meie isa.
Ja muidugi ärge unustage väljendit "kannatlikkus ja töö = lihvimine". Kui te tõesti tahate mõlemad olla üksteisega = kui soovite = tugevat, õnnelikku, harmoonilist, terviklikku suhet = siis töötage selle nimel = üksteisega, koos, iga päev ja teid premeeritakse vastavalt teie saavutustele. See on minu jaoks kõik.
Kuid kõige parem on põhimõtteliselt ära hoida usalduse kaotus, siis ei pea te probleemi lahendama. Vigu teevad aga kõik, kuulduste järgi isegi Robotid =) teema oli mulle täna väga lähedane...
Õnnitlused, administraator.
Selle artikli eesmärk on anda samm-sammult juhised loomiseks välised usaldussuhted kahe domeeni vahel Windows 2000. Näib, et kõik usaldussuhte loomiseks vajalik on olemas, õigused on olemas, usalduse tekitamise vahendid on teada, kuid praktikas lihtsad juhised alati ei tööta. Proovime selle koos välja mõelda.
Kui räägime kuivalt, siis me mäletame seda usalduslikud suhted on loogiline seos domeenide vahel, mis pakub täielikku autentimist, kus usaldav domeen aktsepteerib aastal teostatud autentimist usaldusväärne domeen. Sel juhul saavad usaldusväärses domeenis määratletud kasutajakontod ja globaalsed rühmad hankida õigusi ja õigusi ressurssidele usaldusisiku domeenis isegi siis, kui neid kontosid usaldusisiku domeeni viiteandmebaasis pole.
Millal on vaja usaldust tekitada? Esimene vastus on, et ühe ettevõtte (domeen ühes metsas) kasutajad peavad kasutama teise ettevõtte ressursse (teine domeen teises metsas) või vastupidi, siis on turvaobjektide ühest domeenist teise migreerimisel vaja usaldussuhteid ( näiteks Microsofti ADMT v2 tööriista kasutamisel) ja paljudes muudes elutingimustes.
Välise usalduse saab luua ühe- või kahesuunalise intransitiivse usalduse (st mitme domeeniga keskkonnas, mis on piiratud ainult kahe domeeniga) moodustamiseks väljaspool metsa asuvate domeenidega. Välist usaldust kasutatakse mõnikord siis, kui kasutajad vajavad juurdepääsu ressurssidele, mis asuvad mõnes teises metsas asuvas Windowsi domeenis, nagu on näidatud joonisel.
Kui kindla metsa domeeni ja väljaspool seda metsa asuva domeeni vahel luuakse usaldus, pääsevad välisdomeeni turbepõhimõtted (milleks võib olla kasutaja, rühm või arvuti) pääseda juurde sisemise domeeni ressurssidele. loob sisemises domeenis "välise turbepõhiobjekti", mis esindab iga välise usaldusväärse domeeni turbepõhimõtteid. Need välised turbepõhimõtted võivad saada sisemise usaldusdomeeni domeeni kohalike rühmade liikmeteks. Domeeni kohalikud rühmad (mida kasutatakse tavaliselt ressurssidele õiguste määramiseks) võivad sisaldada turbepõhimõtteid väljaspool metsa asuvatest domeenidest.
Olles defineerinud mõisted, jätkame väliste ühesuunaliste usaldussuhete loomisega domeenist D01 domeenini D04.
Süsteemide konfiguratsioon:
Tavaliselt on mõlemad domeenid juurutatud erinevates võrkudes ja nendevaheline suhtlus toimub lüüside kaudu. Mõnikord lisatakse nendel eesmärkidel domeenikontrolleritele teine võrgukaart, mis loob nende kaudu ühenduse välisvõrkudega. Selles näites kasutasin kõige lihtsamat juhtumit, kus mõlemad domeenid asuvad samas alamvõrgus. Sel juhul on võimalik usaldussuhteid luua lihtsalt NETBIOS-i domeeninimede määramisega ja määratud arvutused pole vajalikud, kuid võrgu struktuuri muutudes keerulisemaks (erinevad domeeni alamvõrgud, side läbi lüüsi ja virtuaalsed privaatvõrgud) ei saa usaldust olla nii lihtsalt seadistada. Seejärel peaksite rakendama allpool toodud täiendavaid võrgusätteid.
Koostame tegevuskava usalduslike suhete loomiseks:
- kahe serveri vaheliste ühenduste kontrollimine
- iga domeeni seadete kontrollimine
- nime eraldusvõime seadistamine väliste domeenide jaoks
- ühenduse loomine usaldusväärse domeeni poolt
- ühenduse loomine usaldusväärsest domeenist
- loodud ühesuunaliste suhete kontrollimine
- kahepoolse usalduse loomine (vajadusel)
Kõik pole nii keeruline, kui võib tunduda. Selle loendi põhipunktid on kolm esimest punkti, mille õige rakendamine mõjutab otseselt lõpptulemust. Samuti märgin, et kõik toimingud tehakse vastavate domeenide administraatorikontode nimel, kellel on selleks kõik vajalikud õigused.
Alustame.
Esimene asi, mida teha, on süsteemi oleku varundamine kõik domeenikontrollerid mõlemas domeenis (ja ka süsteemikataloogides).
Ja alles siis hakka muudatusi tegema. Seega veenduge, et kahe serveri vahel saaks side luua:
- Server01 serverist tagame, et see on serverist Server04 juurdepääsetav (192.168.1.4)
Nimede lahendamisega seotud vigade vältimiseks on oluline luua ühendused IP-aadressi järgi.
Käsureale sisestame: ping 192.168.1.4
Peaks saama vastused kaugaadressilt. Kui vastus on eitav, analüüsige oma võrgu infrastruktuuri ja lahendage probleemid.
- Server04 serverist tagame, et see on juurdepääsetav serverist Server01 (192.168.1.1)
Käsureale sisestame: ping 192.168.1.1
Peaks saama vastused kaugserveri aadressilt Server01.
Kui kõik on korras, liikuge järgmise sammu juurde, kontrollige domeeni sätteid.
Kõigist sätetest kontrollime ainult iga Active Directory domeeni toetava esmase DNS-tsooni konfiguratsiooni. Sest just selle tsooni andmed sisaldavad domeeniressursikirjeid ja võimaldavad määrata vastavate domeeniteenuste asukohta ja aadresse.
Käivitame igas serveris käske ipconfig.exe /kõik Ja nslookup.exe(ekraan 1 ja 2).
Ipconfig kuvab TCP/IP-protokolli konfiguratsiooni – kontrolleri IP-aadressid, lüüsiaadressid ja DNS-serverid. Kui DNS-i infrastruktuur on õigesti konfigureeritud, kuvab nslookup kohaliku domeeni DNS-i nime päringu tegemisel domeenikontrolleri IP-aadresside loendi. Kui kohaliku domeeni kontrolleri aadresse pole võimalik hankida, kontrollige esmase DNS-serveri konfiguratsiooni ja DNS-serveri edasiotsingu tsooni sisu (joonis 3).
Pange tähele, et süsteemil puudub teave välisdomeeni kohta (veateade kaugdomeeni nime järgi lahendamisel – ekraanid 1 ja 2) ning seetõttu on kontrollerite otsimine väliste domeenidega side loomiseks äärmiselt keeruline. . Sellises olukorras annab usaldusväärse domeeniga ühenduse loomise katse tulemuseks veateate (joonis 4).
Nüüd hakkame seda olukorda lahendama. Konfigureerime DNS-i nime eraldusvõime väliste domeenide jaoks igas serveris.
Mida on vaja teha? Peame saavutama nime eraldusvõime ja hankima välisdomeeni jaoks ressursikirjed. Kõik see on võimalik, kui seadistate kohaliku serveri juurdepääsu DNS-tsoonile, mis toetab välist domeeni ja on võimeline lahendama vajalikke päringuid. Tahaksin kohe märkida, et katse selle probleemi lahendamiseks lihtsalt välise DNS-serveri IP-aadressi lisamisega TCP/IP sätetesse alternatiivina on määratud läbikukkumisele. Astume selle olukorra jaoks õigeid samme.
Iga domeeni kohalikus DNS-serveris loome täiendava tsooni, mis sisaldab välise domeeni esmase DNS-tsooni koopiat. Selle tulemusena saab see server tagastada vastused nii kohaliku domeeni päringutele kui ka välise domeeni lisatsooni kirjetele.
Toon näite serveri01 serveri jaoks täiendava tsooni loomise kohta, Server04 toimingute jada on sarnane.
Muudame kaugserveris esmase DNS-tsooni ülekannete parameetreid.
Sees (Server04) avage DNS-i lisaaken (menüü Start kaudu, seejärel programmid ja haldustööriistad).
Paremklõpsake DNS-tsooni ja valige Atribuudid.
Vahekaardil Zone Transfers märkige ruut Luba tsooniülekanded.
Lubage tsooniülekanded ainult teatud DNS-serveritele ja valige sellest loendist suvand ainult serveritele ja seejärel määrake esimese domeeni DNS-serverite IP-aadressid (meie puhul on selleks IP-server01 - 192.168.1.1 ekraan 5).
Sel juhul on võimalik lihtsam seadistus, mis võimaldab ülekandeid mis tahes serverisse, kuid see viib turvalisuse vähenemiseni. Lisaks on näiteks palju tõhusam määrata see IP-aadress praeguse tsooni nimeserverite loendis.
- Lubame teiste DNS-serverite täiendavate tsoonide teavitused
Klõpsake vahekaardil Zone Transfers nuppu Teavita.
Veenduge, et ruut Teavita automaatselt.
Valige suvand Ainult määratud serverid ja lisage serverite IP-aadressid nõutavasse teavituste loendisse.
Selleks sisestage teavituste loendis IP-aadressi väljale serveri IP-aadress eelmisest lõigust (192.168.1.1) ja klõpsake nuppu Lisa (ekraan 6).
- Loome kohalikus serveris täiendava DNS-i tsooni.
Sees (Server01) avage DNS-i aken.
Paremklõpsake konsoolipuus DNS-serverit ja valige New Zone viisardi avamiseks Uus tsoon (joonis 7).
Valige tsooni tüüp Täiendav, sisestage IP-aadressi väljale selle nimi (D04. local) ja põhiserveri IP-aadress (IP 192.168.1.4) ning klõpsake nuppu Lisa.
Kui tsoon on loodud, kulub primaarserverist andmete vastuvõtmiseks veidi aega (sellel hetkel peaksid esmased tsoonid välja nägema nagu joonis 8).
- Kontrollime uut DNS-serveri konfiguratsiooni.
Sees (Server01) avage käsuviiba aken, käivitage käsk nslookup.exe ja sisestage välisdomeeni D04 DNS-nime päring. kohalik – ja selle domeenikontrollerite IP-aadresside tulemus (ekraan 9).
Seda me tahtsimegi – nüüd saab praegune domeen usaldussuhte loomisel määrata välise domeeni vajalikud teenindusaadressid.
Loomulikult saab ülaltoodud arvutusi rakendada vaikesätetega domeenides. Kui teie võrgul on spetsiaalsed DNS-i sätted, peaksite neid üksusi oma vajaduste järgi muutma.
Nüüd on vaja korrata eelmisi samme mõnes teises usaldusväärses domeenis (Server04) asuvas kontrolleris, et see kontroller saaks hankida ka nimeeraldusi ja hankida esimese domeeni jaoks teenuste loendi (ekraan 10).
Kui mõlemad domeeninimed on DNS-serveri kaudu lahendatud, saame jätkata otsese välise ühesuunalise usaldussuhte loomise standardprotseduuriga.
- Loome usaldusliku domeeni poolelt ühenduse (d01. kohalik)
Avage kontrolleris (Server01) lisandmoodul "Active Directory - Domains and Trusts" (menüü Start ja seejärel programmid ja haldustööriistad kaudu).
Paremklõpsake konsoolipuus domeenisõlme, mida soovite hallata (D01.local) ja valige Properties (Joonis 11).
Valige vahekaart Trusts.
Valige Domeenid, mida see domeen usaldab, ja seejärel klõpsake nuppu Lisa.
Sisesta domeeni täisnimi DNS, s.t. D04. kohalik (Windows NT domeeni puhul lihtsalt nimi – ekraan 12).
Sisestage oma parool (näiteks 12 W#$r) antud usaldussuhte jaoks. Parool peab kehtima mõlemas domeenis: põhidomeenis ja usaldusväärses domeenis. Parooli ennast kasutatakse ainult usaldussuhte loomise ajaks, pärast selle loomist parool kustutatakse.
Pealegi, kuna loome kahest vajalikust ühendusest ainult ühte, on usaldussuhet koheselt võimatu kontrollida (ekraan 13). Peaksite looma sarnase, kuid tagasiside usaldusväärselt domeenilt.
Selles režiimis saate vaadata loodud väljuva ühenduse omadusi (ekraan 14).
Kordame seda protseduuri domeeni jaoks, mis moodustab otsese usaldussuhte teise osa.
Loome ühenduse usaldusväärse domeeni poolelt (d04. local)
Avage kontrolleris (Server04) Active Directory domeenide ja usaldusandmete lisandmoodul.
Paremklõpsake konsoolipuus domeenisõlme, mida soovite hallata (D04.local) ja valige Atribuudid.
Valige vahekaart Trusts (ekraan 15).
Valige domeenid, mis seda domeeni usaldavad, ja seejärel klõpsake nuppu Lisa.
Sisestage DNS-i täielik domeeninimi - D01. kohalik.
Sisestage selle usalduse parool, mille olete varem määranud (12 W#$ r – ekraan 16).
Sest Kui oleme oma usaldussuhte jaoks seadistanud vastupidise suhte, peame uut suhet testima (ekraan 17).
Selleks tuleb määrata kasutajakonto, millel on õigus muuta usaldussuhteid vastasdomeenist D01. kohalik, need on domeeni administraatori kirje d01 (ekraan 18).
Kui mandaadid on õiged, pingitakse suhe ja luuakse usaldus (joonis 19).
Nüüd vaatame, kuidas kontrollida väliseid usaldussuhteid. Näiteks kontrollime suhet usaldusväärsest domeenist (D01.local)
Usaldussuhte testimiseks tehke järgmist.
Avage Active Directory domeenid ja usaldusfondid.
Paremklõpsake konsoolipuus domeeni, mis osaleb usalduses, mida soovite kontrollida (D01.local), ja seejärel klõpsake nuppu Atribuudid.
Valige vahekaart Trusts.
Valige loendist Domains Trusted by This Domain usaldussuhe, mida soovite kontrollida (D04. kohalik) ja klõpsake nuppu Redigeeri (ekraan 20).
Klõpsake nuppu Kontrolli.
Ilmuvas dialoogiboksis tuleb sisestada kasutaja mandaadid, kellel on õigus usaldussuhet muuta ehk välise domeeni administraatori kirje d04 ja tema parool (ekraan 21).
Nii nagu varem, kui registreerimisandmed on õiged ja suhe toimib, kuvatakse kinnitusteade (ekraan 22).
Vigade korral kontrollige oma võrgustruktuuri (lüüside, tulemüüride, ruuterite sätted, eraldavad domeeni alamvõrgud), DNS-i infrastruktuuri sätteid, domeenikontrollerite vaheliste füüsiliste ühenduste funktsionaalsust, aga ka võimalikke tõrkeid Active Directory domeenides (analüüsides sündmuste logisid domeenikontrolleritel).
Kui usaldusväärsest domeenist on usaldus loodud, on nüüd võimalik vaadata usaldusväärse domeeni ressursse, kasutades autentitud kasutajate (need rühma KÕIK erirühma liikmed) autentimist.
Veendume, et saame usaldusväärse domeeni turvalisuse põhiobjekte kasutada usaldusisiku domeenis (kontod D04. kohalikust domeenist). Selleks loome domeenis D01 jagatud ressursi ja võimaldame sellele juurdepääsu globaalsele rühmale “Domeeni kasutajad” usaldusväärsest domeenist D04.
Loo domeenis D01. kohalik jagatud kaust domeenikontrolleris Server01.
Seega saime usaldusväärsest domeenist D04 juurdepääsu ressursile usaldusisiku domeenis D01, mida me vajasime.
Vajadusel on võimalik seadistada usaldussuhteid vastupidises suunas, domeenist D04 kuni D01. See tähendab, et domeenist D04 saab usaldusdomeen. kohalik ja usaldusväärne domeen on juba D01. kohalik.