===== Двухсторонние отношения доверия =====

Двухсторонние транзитивные отношения доверия можно создать следующим образом. 

1. В первую очередь необходимо убедиться, что DNS имя домена, с которым мы хотим создать доверительные отношения - разрешается нормально. Для этого нам необходимо на контроллере домена, где мы настраиваем доверие - создать условную пересылку зоны домена, с которым строим отношения доверия на DNS-сервер\контроллер данного домена. 

Пример: на контроллере домена //arasaka.local// создаем conditional forwarder на КД домена //arasakanext.local//. 

;#;
{{:wiki:arasakanext-cond-forwarder.jpg?300|}}
;#;


2. Убеждаемся, что он нормально работает.

;#;
{{:wiki:arasakanext-cond-forwarder-works.jpg?600|}}
;#;


Можно отрезолвить имя домена, к примеру так:

   Resolve-DnsName arasakanext.local
3. Открываем консоль //Domains and Trusts//, переходим на вкладку //Trusts// и нажимаем //New Trust//.

4. Вводим имя домена, с которым строим отношения. Оно обязательно должно резолвиться.

;#;
{{:wiki:arasakanext-trust_1.jpg?600|}}
;#;


5. :!: Если резолв работает неверно - получим вот такой выбор на следующей странице мастера. Этого быть НЕ ДОЛЖНО.

;#;
{{:wiki:arasakanext-trust_failed.jpg?600|}}
;#;

6. Если всё ОК - на следующем этапе будет предложено выбрать //forest trust// или //external trust//. 

;#;
{{:wiki:ext_forest_trust.jpg?600|}}
;#;


Если нам требуется настраивать доверие с выбором конкретных доменов, нам потребуется //external trust//. Если же мы хотим доверять всеми доменами леса - подойдёт forest trust. Именно его и выбираем сейчас. 

7. Выбираем направление доверия. В нашем случае - двухстороннее. 

;#;
{{:wiki:trust_direction_arasaka.jpg?600|}}
;#;

8. Теперь выбираем настриваемую сторону доверия для данных настроек. Если у нас есть учётные данные во втором домене - то можно выбрать опцию //Both this domain and specified domain//, чтобы не повторять настройку и во втором домене. Выберем именно эту опцию сейчас. 

:!: Если у нас нет данных - придется сгенерировать специальный пароль для создания доверия и поделиться им с администратором другого домена. Этот пароль будет запрошен только, если мы не выбираем опцию //Both this domain and specified domain// - в ней будут запрошены учётные данные явно. 

;#;
{{:wiki:side_of_trust_arasaka.jpg?600|}}
;#;

9. На данном этапе, если мы хотим, чтобы пользователи домена могли аутентифицироваться на любых ресурсах нашего домена и наоборот - выберем опцию //Domain-wide authentication//. 

;#;
{{:wiki:arasaka_domain_wide_auth.jpg?600|}}
;#;

10. Вводим учётные данные из второго домена в обычном формате //domain\administrator//.


11. После создания отношений - можем открыть консоль //domains and trusts// на контроллерах домена обоих доменов и убедиться, что всё ОК.  

;#;
{{:wiki:trustdomains_result_arasaka.jpg?600|}}
;#;

{{tag>ActiveDirectory Microsoft DNS}}