- Настройка DNS для включения доверия между двумя базами данных Active Directory
- Вторичные зоны и делегирование
- Штучные зоны и пересылка
- Корневые подсказки
- Настройка условной пересылки
- Похожие посты:
- Настройка доверительных отношений между доменами Active Directory
- Определяемся с типом доверительных отношений¶
- Одностороннее или двустороннее¶
- Настройка DNS¶
- Настройка доверительных отношений¶
Настройка DNS для включения доверия между двумя базами данных Active Directory
Прежде чем вы сможете создать доверие между несколькими лесами в Active Directory, разрешение имен DNS должно работать между двумя лесами. В сегодняшних Задать вопрос администратору, Я покажу вам, как настроить DNS в Windows Сервер, чтобы можно было установить доверительные отношения между лесами.
Прочная DNS-инфраструктура имеет решающее значение для здоровой Active Directory. DNS можно автоматически настроить и настроить при установке контроллера домена. Но когда вам нужно создать доверие между двумя лесами AD, вам придется выполнить некоторую ручную настройку в DNS, чтобы гарантировать, что разрешение имен работает между двумя лесами.
Вторичные зоны и делегирование
Существуют разные способы настройки разрешения имен между двумя доменами DNS. Один из них создает дополнительную зону на вашем DNS-сервере. Вторичная зона содержит полную копию зоны DNS с другого DNS-сервера. Например, я мог бы создать вторичную зону для pim.contoso.com на DNS-сервере, запущенном в ad.contoso.com домена.
Делегирование позволяет корневому DNS-серверу домена разрешать запросы для поддоменов. При создании делегирования вы определяете субдомен для делегирования и IP-адрес или полное доменное имя (FQDN) DNS-сервера, на котором будет размещена делегированная зона. Например, хостинг корневого DNS-сервера contoso.com может делегировать DNS для ad.contoso.com на другой DNS-сервер.
Штучные зоны и пересылка
Зоны-заглушки являются копиями, такими как вторичные зоны, но содержат только сервер имен (NS), начало полномочий (SOA) и иногда склеивают записи Host (A), поскольку зоны-заглушки не являются авторитетными для домена. В отличие от делегирования, зоны-заглушки могут быть копиями зон из любого домена. Например, вы можете создать зону-заглушку для pim.contoso.com на сервере в ad.contoso.com домен. Авторизованный DNS-сервер для pim.contoso.com должны дать разрешение на частичную передачу зоны на ad.contoso.com DNS-сервер.
Серверы пересылки DNS могут использоваться для перенаправления поисковых запросов на другой DNS-сервер. В Windows Сервер DNS, вы можете настроить пересылку для отправки всех запросов, которые не могут быть разрешены локальным DNS-сервером, на другой сервер. В дополнение к этому, Windows Сервер DNS поддерживает условную пересылку, которая отправляет поисковые запросы для домена на другой сервер, не пытаясь разрешить запрос локально.
Корневые подсказки
Корневые подсказки похожи на форвардеры, но вместо рекурсивных запросов используют итеративные запросы. Рекурсивные запросы передаются на сервер имен, указанный в конфигурации пересылки, и клиент ждет ответа. Рекурсивные запросы могут предоставить клиенту реферал, который требует от него запроса другого сервера имен. Этот процесс продолжается до тех пор, пока не будет предоставлен ответ. Рекурсивные запросы более ресурсоемкие для клиента.
Настройка условной пересылки
Итак, какой метод следует использовать при настройке разрешения имен DNS для установления доверия между двумя лесами Active Directory? Наиболее эффективный способ разрешения имен в pim.contoso.com от ad.contoso.com, и наоборот, заключается в создании условного экспедитора в обоих лесах. Нет корневого сервера DNS, который может быть сервером для обоих доменов DNS, поэтому делегирование не может быть использовано.
Условные форвардеры лучше всего подходят в ситуациях, когда мы знаем, что IP-адреса авторитетных DNS-серверов не будут часто меняться. Зоны-заглушки лучше, когда авторитетные DNS-серверы часто меняются, потому что зоны-заглушки обычно не требуют ручной реконфигурации. Условные отправители предоставляют неавторитные ответы, поскольку эти зоны не размещаются на DNS-сервере, на котором выполняются запросы. Но в защищенной среде AD это нормально.
Стоит отметить, что если бы вы Предпочтительный DNS-сервер и Альтернативный сервер DNS IP-адреса, установленные в списке клиентов IP-адресов для сервера до его продвижения на контроллер домена, и они были чем-то иным, чем собственный IP-адрес сервера, эти адреса автоматически добавляются на сервер DNS-сервера Транспортеры когда DNS установлен. Эта конфигурация не автоматизирована на серверах, которые являются многосетевыми. Т.е. серверы, подключенные к нескольким сетям.
Самый быстрый способ создания условного пересылки на вашем DNS-сервере — использовать PowerShell. Войдите в DNS-сервер, откройте окно PowerShell и выполните приведенную ниже команду. В этом примере я вхожу в систему ad.contoso.com и хотите настроить условный форвардер для pim.contoso.com домен. Я знаю IP-адрес DNS-сервера в pim.contoso.com домен 192.168.1.2.
Add-DnsServerConditionalForwarderZone -Name pim.contoso.com -MasterServers 192.168.1.2
Затем я могу повторить это действие в pim.contoso.com леса и создать условный экспедитор для ad.contoso.com домен:
Add-DnsServerConditionalForwarderZone -Name ad.contoso.com -MasterServers 192.168.1.1
В моих лесах AD есть один контроллер домена и один DNS-сервер. Если у вас более одного DNS-сервера в домене или в лесу, вы можете настроить пересылки для репликации в AD, добавив -ReplicationScope параметр и задание значения Орманья or Домен.
Если вы хотите настроить сервер условной пересылки DNS с помощью графического интерфейса, вот как это сделать в Windows Сервер 2016:
- Войдите в DNS-сервер.
- Открытые Диспетчер серверов в меню «Пуск».
- В диспетчере серверов выберите DNS из Tools меню.
- Разверните дерево DNS-сервера на левой панели, щелкните правой кнопкой мыши Условные форвардеры и Новый условный форвардер из меню.
- В Новый условный форвардер , введите имя домена DNS, для которого вы хотите разрешить запросы.
- В списке IP-адресов нажмите .
Настройте DNS-сервер условной пересылки в Windows Сервер 2016 (Изображение предоставлено Расселом Смитом)
- Введите IP-адрес DNS-сервера, который будет разрешать запросы из домена, введенного на предыдущем шаге, и нажмите ENTER.
- Если DNS-сервер может быть достигнут, через несколько секунд Полное доменное имя сервераимя в поле появится имя DNS-сервера.
- Если вы хотите реплицировать условный форвардер в AD, нажмите Сохраните этот условный форвардер в Active Directory и скопируйте его следующим образом:
- Выберите Все DNS-серверы в этом лесу or Все DNS-серверы в этом домене в раскрывающемся меню.
- Нажмите OK.
Не беспокойтесь, если DNS-сервер, который вы вводите для условного пересылки, сначала не проверяется. Подождите несколько минут и снова проверьте свойства условного форвардера. Вы должны убедиться, что сервер был проверен.
В этом Задать вопрос администратору, Я показал вам лучший способ настроить разрешение имен DNS между двумя лесами Active Directory.
Похожие посты:
Источник
Настройка доверительных отношений между доменами Active Directory
Для возможности аутентификации с использованием учетных записей из нескольких доменов, необходимо, чтобы были доверительные отношения между последними. При создании домена в структуре леса, доверие выстраивается автоматически. Но если мы хотим объединить два домена разных организаций или которые раньше работали независимо друг от друга, то необходимо настроить доверительные отношения.
Мы будем рассматривать процесс настройки на примере двустороннего транзитивного доверия между доменами kazan.wsr (172.16.19.64) и spb.wse (172.16.20.96). Саму настройку разделим на 2 этапа — конфигурирование DNS и создания доверий. В качестве операционной системы по данной инструкции можно настроить Windows Server 2008 / 2012 / 2016 / 2019.
Определяемся с типом доверительных отношений¶
Доверительные отношению могут быть разных типов. Перед тем, как их настроить, нужно понять, какие нам требуются.
Одностороннее или двустороннее¶
Определяют направление доверия одного домена к другому.
В односторонних отношениях, только один домен доверяет другому. В результате, на компьютерах одного из доменов можно будет авторизоваться с использованием пользователей другого. При создании такого доверия нужно указать также направление (входящее или исходящее) — оно определяет чьи пользователи смогут проходить аутентификацию на чьем домене.
В двусторонних отношениях домены доверяют друг другу. Таким образом, аутентификация выполняется на всех компьютерах под пользователями любого из доменов.
Внешнее или доверие леса¶
Внешнее или нетранзитивное отношение устанавливается между двумя доменами напрямую вне леса.
Доверие леса или транзитивное отношение связывает леса и все их домены.
Настройка DNS¶
Для построения доверия необходимо, чтобы контроллеры домена видели друг друга. Все запросы на поиск узлов в AD выполняются через службы доменных имен. Таким образом, в нашем примере, мы должны сконфигурировать условную пересылку на DNS обоих доменов. Также важно, чтобы между контроллерами была сетевая доступность — по сети они должны видеть друг друга.
- kazan.wsr и wsb.wse
- Открываем Диспетчер серверов — кликаем по Средства — DNS:
- В открывшемся окне выбираем нужный сервер, если их несколько — раскрываем его — кликаем правой кнопкой мыши по Серверы условной пересылки — Создать сервер условной пересылки:
- В «DNS-домен» пишем второй домен (в нашем случае, secondary.local), затем задаем его IP-адрес, ставим галочку Сохранять условный сервер пересылки в Active Directory и реплицировать ее следующим образом — выбираем Все DNS-серверы в этом домене:
- Для проверки следует использовать команду nslookup в адрес только что добавленного домена. Если будет возвращен ответ с именем и адресом удаленного сервера, то все сделано правильно.
Настройка доверительных отношений¶
- В домене kazan.wsr открываем Диспетчер серверов — кликаем по Средства — Active Directory — домены и доверие:
- В открывшемся окне кликаем правой кнопкой по нашему домену — Свойства:
- Переходим на вкладку Отношения доверия — кликаем по Создать отношение доверия. :
- Нажимаем Далее — вводим имя для второго домена (spb.wse) и кликаем Далее:
- Выбираем Доверие леса (если нам не нужно внешнее доверие) — Далее:
- В окне «Направление отношения доверия» выбираем Двустороннее:
- В следующем окне выбираем, на каком из доменов мы применяем настройку — если у нас есть права администратора для обоих доменов, то выбираем Для данного и указанного доменов:
- Далее нужно выбрать «Уровень проверки подлинности исходящего доверия» — если оба домена принадлежат нашей организации, предпочтительнее выбрать Проверка подлинности в лесу, чтобы предоставить доступ ко всем ресурсам:
- Доверие установлено
Источник