Differences

This shows you the differences between two versions of the page.

--- двухсторонние_отношения_доверия [2025/03/19 13:23] – created jp
+++ двухсторонние_отношения_доверия [2025/03/20 07:54] (current) – jp
@@ Line 1: / Line 1: @@
 ===== Двухсторонние отношения доверия =====
-Двухсторонние отношения доверия можно создать следующим образом.
+Двухсторонние транзитивные отношения доверия можно создать следующим образом.
-В первую очередь необходимо убедиться, что DNS имя домена, с которым мы хотим создать доверительные отношения - разрешается нормально. Для этого нам необходимо на контроллере домена, где мы настраиваем доверие - создать условную пересылку зоны домена, с которым строим отношения доверия.
+. В первую очередь необходимо убедиться, что DNS имя домена, с которым мы хотим создать доверительные отношения - разрешается нормально. Для этого нам необходимо на контроллере домена, где мы настраиваем доверие - создать условную пересылку зоны домена, с которым строим отношения доверия на DNS-сервер\контроллер данного домена.
 Пример: на контроллере домена //arasaka.local// создаем conditional forwarder на КД домена //arasakanext.local//.
+;#;
+{{:wiki:arasakanext-cond-forwarder.jpg?300|}}
+;#;
+. Убеждаемся, что он нормально работает.
+;#;
+{{:wiki:arasakanext-cond-forwarder-works.jpg?600|}}
+;#;
+Можно отрезолвить имя домена, к примеру так:
+   Resolve-DnsName arasakanext.local
+. Открываем консоль //Domains and Trusts//, переходим на вкладку //Trusts// и нажимаем //New Trust//.
+. Вводим имя домена, с которым строим отношения. Оно обязательно должно резолвиться.
+;#;
+{{:wiki:arasakanext-trust_1.jpg?600|}}
+;#;
+. :!: Если резолв работает неверно - получим вот такой выбор на следующей странице мастера. Этого быть НЕ ДОЛЖНО.
+;#;
+{{:wiki:arasakanext-trust_failed.jpg?600|}}
+;#;
+. Если всё ОК - на следующем этапе будет предложено выбрать //forest trust// или //external trust//.
+;#;
+{{:wiki:ext_forest_trust.jpg?600|}}
+;#;
+Если нам требуется настраивать доверие с выбором конкретных доменов, нам потребуется //external trust//. Если же мы хотим доверять всеми доменами леса - подойдёт forest trust. Именно его и выбираем сейчас.
+. Выбираем направление доверия. В нашем случае - двухстороннее.
+;#;
+{{:wiki:trust_direction_arasaka.jpg?600|}}
+;#;
+. Теперь выбираем настриваемую сторону доверия для данных настроек. Если у нас есть учётные данные во втором домене - то можно выбрать опцию //Both this domain and specified domain//, чтобы не повторять настройку и во втором домене. Выберем именно эту опцию сейчас.
+:!: Если у нас нет данных - придется сгенерировать специальный пароль для создания доверия и поделиться им с администратором другого домена. Этот пароль будет запрошен только, если мы не выбираем опцию //Both this domain and specified domain// - в ней будут запрошены учётные данные явно.
+;#;
+{{:wiki:side_of_trust_arasaka.jpg?600|}}
+;#;
+. На данном этапе, если мы хотим, чтобы пользователи домена могли аутентифицироваться на любых ресурсах нашего домена и наоборот - выберем опцию //Domain-wide authentication//.
+;#;
+{{:wiki:arasaka_domain_wide_auth.jpg?600|}}
+;#;
+. Вводим учётные данные из второго домена в обычном формате //domain\administrator//.
+. После создания отношений - можем открыть консоль //domains and trusts// на контроллерах домена обоих доменов и убедиться, что всё ОК.
+;#;
+{{:wiki:trustdomains_result_arasaka.jpg?600|}}
+;#;
+{{tag>ActiveDirectory Microsoft DNS}}