×

Windows2012双向信任域完整实验(多图引导讲解)-win10 加域

hqy hqy 发表于2022-08-10 15:08:45 浏览824 评论0

抢沙发发表评论

Windows2012双向信任域完整实验(多图引导讲解)-win10 加域

https://www.shangyouw.cn/win10/arc109004.html

前述

我们知道,windows服务器中,域控制器是很重要的概念,域控制器掌控一个域的用户认证,默认情况下,域用户只能登录自己所在的域环境,当网络规模扩大,出现多域情况时,域用户是禁止登录其它域的。但是,当我们建立了域和域之间的信任关系后,我们就可以实现利用本地域用户账号登录到其它域环境,使用其它域的主机、文件、打印机等资源。今天,我也模拟了一个类似的域环境结构,方便大家学习掌握域的信任关系。


实验准备环境

图1 实验拓扑图


我们准备三台windows2012主机,其中两台dc.pip.cc和dc.pop.kk模拟两个独立的域控制器,因为今天要做域和域之间的信任关系,要保证两个域之间都认识对方,所以我单独做了一台DNS服务器,同时用于pip.cc和pop.kk两个域的域名解析。这就引出了一个新的概念,常规情况下,域控制器和DNS服务器都是做在一起的,而本次实验,我们要先实现DNS和域控制器的分离。


准备一、配置主机IP地址


图2 dc.pip.cc


图3 dc.pop.kk


图4 DNS服务器


从图2、图3、图4三张图我们可以看出,做域控制器和DNS服务器分离之前,3台主机的DNS客户端都同时指向了192.168.1.3这个地址,也就是同时指向了DNS服务器,包括DNS服务器自己。


准备二、先配置DNS服务器


图5 安装DNS服务器


图6 添加自己


图6中,先建立pip.cc区域,同时先将“自己”添加进去,取名dns,表示“我”是一台dns服务器。


图7 设置“非安全”动态更新方式


图7中,将动态更新方式改为“非安全”,表示允许非授权主机更新DNS记录,因为在升级域控制器时,域控制器要向DNS正向区域中写入信息,所以一定要开放这个权限。


图8 起始授权机构的主服务


图8中,将起始授权机构的主服务器更改为全称“dc.pip.cc”。


图9 名称服务器


图9中,将名称服务器也改为全称“dc.pip.cc”。


图10 pip.cc和pop.kk


图10中,用相同的方法再定义pop.kk这个域,定义好后放到一边,DNS服务器配置完成。下面,我们来配置域控制器。


准备三、再配置域控制器


图11 在dc.pip.cc上安装域服务


图12 创建新的林pip.cc


图13 去掉DNS服务器


图11、图12、图13中是dc.pip.cc主机安装域的过程,唯一要注意的地方是图13,因为DNS和域控制器不在同一台主机上了,要去掉“DNS服务器”选项。


用同样的方法安装dc.pop.kk域控制器,完成后检查DNS服务器


图14 DNS服务器


图14中,我们发现DNS服务器的内容多了,这个是域控制器向它写入的信息,如果出现,就表示域控制器和DNS分离的操作成功。


在域控制器上配置信任关系

图15 新建信任关系


图16 信任对象


图17 信任密钥


图15、图16、图17中是建立信任关系的主要步骤,大部分都是默认的,这里要注意的是图16中,当前我在pip.cc上,信任对象就写pop.kk,信任密钥要记住。用同样的方法在pop.kk上配置对pip.cc的信任,信任密钥两端要一致,才能验证通过,这一点很重要。


验证效果

图18 验证效果


图18中,我们用来自pop.kk域的用户去登录位于pip.cc域的主机,如果能登录成功,就表示信任关系建立了。


图19 windows7客户端


准备一台windows7主机,准备加域pip.cc,图19是windows 7的IP地址设置信息。


图20 加入pip.cc域


图20中,将windows 7 加入到pip.cc域。


图21 pop.kk域用户建立


图21中,在dc.pop.kk域中添加用户element


图22 popelement登录pip.cc域


图22中,是验证效果的关键步骤,用pop.kk的用户element,去登录pip.cc域。


图23 whoami验证


图23中,登录成功后用“whoami”指令验证当前登录用户,验证完成!


总结

Windows域的信任关系是一个非常复杂而且庞大的系统工程,尤其是涉及到多域、多林的情况,信任关系的授权会更加繁琐,本案例中使用了相对容易理解的“单林单域”结构,信任关系用了双向信任,而没有用单向信任,这个过程还有待读者在学习中完善,真正理解Windows服务器的域环境,对基于Windows服务平台的学习,将是极大的进步。


打赏

本文链接:https://www.kinber.cn/post/2626.html 转载需授权!

分享到:


推荐本站淘宝优惠价购买喜欢的宝贝:

image.png

 您阅读本篇文章共花了: 

群贤毕至

访客