Когато управляваме различни домейни в нашата организация, един от най -важните въпроси, които трябва да вземем предвид, е да позволим на обектите от двата домена да могат общуват помежду си за подобряване на различни аспекти на компанията.
Например, ако Финансовата област в Мадрид е в един домейн, а областта на човешките ресурси в Барселона е в другия домейн, важно е и двете области да са в постоянна комуникация споделяне на файлове, статистика и др.
Най -практичният начин, който можем да внедрим в Windows Server 2016, за да се случи това, е да създадем доверителна връзка между тези два домена и по този начин да му позволим постоянно да се установява и споделят информация между двамата.
Какво е доверителна връзка в Windows Server 2016Както споменахме, а доверителна връзка по принцип това е взаимосвързана връзка между два домена, която позволява на обектите, например потребителите, да бъдат разпознат от другия домейн и може да има достъп до споделените си ресурси.
По същия начин чрез доверителни отношения е възможно да се управлява централизиран начин няколко домена едновременно и управляват всички изисквания на едно и също.
1. Видове отношения на доверие в Windows Server
Има някои видове взаимоотношения, които е важно да знаете, това са:
Външно довериеТова е доверителна връзка, която улеснява достъп до ресурси на домейна, но те не са обединени от връзка на доверие, те са отношения не е преходно.
Горско довериеПри този тип отношения е възможно споделят ресурси между различните гори, са преходни взаимоотношения и могат да бъдат еднопосочни или двупосочни.
Доверие на домейна KerberosТова ви позволява да установите доверие между домейни на Windows Server 2012 и 2016 и домейни, които използват Протокол Kerberos.
Директно довериеС този вид увереност вие подобрява времето за стартиране потребителска сесия във всеки от добавените домейни. Този вид доверие е преходен и може да бъде еднопосочен или двупосочен.
2. Проверете връзката между домейните
След това ще видим как да приложим тази връзка на доверие между два домена:
- Windows Server 2016. IP: 192.168.0.31
- IP адрес на Windows Server 2012: 192.168.0.33
Етап 1
Първата стъпка, която трябва да изпълните, е да проверите, като използвате командата пинг, връзка между двата домена. За да направим това, имаме достъп до командния ред на двата компютъра и пингираме адреса на другия компютър.
Пинг от Windows Server 2016 до Windows Server 2012:
пинг 192.168.0.33
Пинг от Windows Server 2012 до Windows Server 2016
пинг 192.168.0.31
Стъпка 2
След като потвърдим връзката между двата компютъра, трябва да се уверим, че необходимите портове са отворени, за това можем да изтеглим приложението Порт заявка от Microsoft от следната връзка:
Стъпка 3
В показания прозорец трябва да въведем IP адреса на компютъра, който трябва да придобие доверителната връзка, в този случай Windows Server 2012, следователно въвеждаме IP 192.168.0.33 в полето Въведете целевия IP или FQDN за заявка. Натискаме бутона Заявка. Чрез натискане Заявка Ще видим, че системата стартира целия процес на консултиране на пристанищата.
ЗабележкаТрябва да гарантираме, че на място Услуга за запитване бъде опцията Домейни и доверие / Dominios y Trusts
С този инструмент проверяваме дали нашите домейни са подготвени на ниво порт.
3. Конфигурирайте DNS на Windows Server
Етап 1
След това трябва да направим някои DNS настройки на домейна, за това отиваме на следния маршрут:
- Администратор на сървъра
- Инструменти
- DNS
Стъпка 2
Идеята е да се позволи на домейна в Windows Server 2016 да разрешава имената на домейни Windows Server 2012 и за това в показания DNS прозорец ще създадем условен спедитор, за това разполагаме нашето оборудване и избираме опцията Условни спедитори.
Стъпка 3
Там щракваме с десния бутон върху Условни спедитори и избираме опцията Нов условен спедитор.
Стъпка 4
В показания прозорец трябва да въведем името на домейна, към който ще препращаме, и да добавим IP адреса на същия.
Стъпка 5
Натискаме Да приеме и можем да видим, че нашият спедитор е създаден.
Стъпка 6
Можем да потвърдим тази конфигурация, като стартираме a nslookup за да видите, че спедиторът действително е разрешен.
4. Конфигурирайте връзката на доверие между домейните на Windows Server
Етап 1
За да започнем този процес, ще преминем към следния маршрут. Ще видим следния прозорец:
- Администратор на сървъра
- Инструменти
- Домейни и доверие на Active Directory
Стъпка 2
Там трябва да кликнете с десния бутон върху нашия домейн и да изберете опцията Свойства (редактиране) и изберете раздела Увереност. Избираме опцията Нова увереност разположен в долната част и ще видим следващия съветник.
Стъпка 3
Натискаме Следващия и в показания прозорец посочваме името на домейна, с който ще направим доверието.
Стъпка 4
В следващия прозорец трябва да дефинираме какво доверие ще бъде установено за тази връзка.
Стъпка 5
Натискаме отново Следващия и след това трябва да определим какъв тип посока ще има доверието, имаме следните опции. Ние определяме този, който най -добре отговаря на нашите нужди.
ДвупосочноС този тип адрес потребителите могат влезте в двата домейна.
Еднопосочен входС този тип адрес потребителите на този домейн могат да влизат в другия домейн.
Еднопосочен изходС този тип адрес потребителите от другия домейн могат да се удостоверяват в този домейн.
Стъпка 6
Чрез натискане Следващия Трябва да дефинираме къде трябва да се създаде доверителното отношение, само в локалния домейн или в двата домейна, ако решим първия вариант, трябва да преминем към следващия домейн и да създадем доверителното отношение там.
Стъпка 7
След като тази стойност бъде дефинирана, натиснете Следващия и ще бъде необходимо да въведете идентификационните данни на потребителя.
Стъпка 8
След това трябва да дефинираме типа удостоверяване, където имаме следните опции:
ГораС този вид удостоверяване потребителите на другия домейн ще бъдат удостоверени в ресурсите на този домейн.
Селективно удостоверяванеИзползвайки тази опция, достъпът до системата ще бъде предоставен индивидуална форма.
Стъпка 9
След това ще видим обобщение на връзката за създаване. Натискаме Следващия и ще видим, че доверието е създадено правилно.
Стъпка 10
Чрез натискане Следващия Ще видим следното съобщение, където трябва да дефинираме, ако потвърдим изходящото доверие.
Стъпка 11
Потвърждаваме го и натискаме отново Следващия и тогава трябва да потвърдим входящото доверие.
Стъпка 12
Натискаме Следващия и процесът на създаване на връзката ще приключи.
Стъпка 13
По този начин завършваме процеса на създаване на доверителна връзка и можем да го видим успешно създаден в менюто Домейни и доверие на Active Directory
По този начин ние създадохме отношенията на доверие между две гори.
5. Достъп до споделени ресурси
Етап 1
За достъп до съответните ресурси на другия домейн трябва да вземем предвид два аспекта, които са:
- Задайте съответните разрешения на ресурса, като щракнете върху щракнете с десния бутон / Свойства / Защита и добавяне на съответния домейн и към групата Потребители на домейн.
- Въведете доверения домейн, като използвате FQDN от командата Бягай и съответния домейн.
Стъпка 2
Можем да получим достъп до налични ресурси в другия домейн.
По този начин ние установяваме отношения на доверие, за да споделяме ресурси между различни потребители по прост и сигурен начин. По този начин можем да обменяме информация, дори и да имаме домейни на различни места благодарение на нашия Windows Server 2016. Чрез създаването на тези доверителни отношения между домейни ще можем да общуваме по -лесно, като можем да споделяме информация. Ако се интересувате от темата cСподеляйте материали между различни компютри с Windows Server 2016, погледнете този урок.
Споделяйте папки WServer
