none
One way trust между 2 -мя лесами доменов RRS feed

  • Вопрос

  • Коллеги помогите разобраться с настройкой trust

    Исходные: Имеем  2 леса  по 1 домену в каждом Домены contonso1.local и contonso2.local (Win 2008 R2 , подняты на обоих роли AD и DNSб Уровень лесов и доменов  win 2008)

    B 2 сервера держащих роли AD , server1.contonso1.local и server2.contonso2.local

    Настроен one way trust  contonso2.local  доверяет contonso1.local

     на сервере server2.contonso2.local  необходимо настроить сетевую папку так , чтобы она была доступна с сервера server1.contonso1.local  Подскажите возможно ли это сделать , если да то алгоритм. Как вариант где почитать (ссылку) ? 

    Заранее благодарен


    • Изменено Domofgod 16 марта 2013 г. 13:35
    16 марта 2013 г. 13:33

Ответы

  • Сделать это можно.

    Алгоритм примерно следующий (подробно расписывать не буду):

    1. Настроить (если оно не настроено) разрешение имен из домена contonso2.local. Проще всего это сделать, создав на сервере ДНС на всех КД в contonso1.local  условную пересылку для домена contonso2.local  на КД этого домена.

    2. Дать (обычным образом - через проводник или еще как) разрешение на папку нужным учетным записям из домена contonso1.local  

    3. Если доверие - селективное, то дать нужным учетным записям из домена contonso1.local  разрешение аутентифицироваться на сервере server2.contonso2.local  

    PS Как вариант, вместо пп.2-3 - использовать для доступа к папке учетную запись из домена contonso2.local, указав ее явно при подключении (в команде net use, например)


    Слава России!

    • Помечено в качестве ответа Domofgod 18 марта 2013 г. 6:39
    16 марта 2013 г. 15:24
  • Да доверие селективное. т.к опыта настройки большого нету. Вы не могли бы подсказать, как настроить п.3?
    В остнастке AD Users & Computers для учётной записи сервера server2 в contonso2.local на вкладке Security дайте нужной группе пользователей из другого леса право Allowed to authenticate. Scope групп сознательно не раскрываю - разберётесь, думаю, сами :)
    • Помечено в качестве ответа Domofgod 18 марта 2013 г. 6:41
    18 марта 2013 г. 6:39
    Отвечающий

Все ответы

  • Сделать это можно.

    Алгоритм примерно следующий (подробно расписывать не буду):

    1. Настроить (если оно не настроено) разрешение имен из домена contonso2.local. Проще всего это сделать, создав на сервере ДНС на всех КД в contonso1.local  условную пересылку для домена contonso2.local  на КД этого домена.

    2. Дать (обычным образом - через проводник или еще как) разрешение на папку нужным учетным записям из домена contonso1.local  

    3. Если доверие - селективное, то дать нужным учетным записям из домена contonso1.local  разрешение аутентифицироваться на сервере server2.contonso2.local  

    PS Как вариант, вместо пп.2-3 - использовать для доступа к папке учетную запись из домена contonso2.local, указав ее явно при подключении (в команде net use, например)


    Слава России!

    • Помечено в качестве ответа Domofgod 18 марта 2013 г. 6:39
    16 марта 2013 г. 15:24
  • Благодарю за ответ

    При поднятии one way trust между лесами contonso1.local  и contonso2.local  в ДНС на обоих серверах в зоне Forward  уже были созданы secondary  зоны contonso2.local  на server1.contonso1.local и зона secondary contonso1.local  на server2.contonso2.local. Без них бы односторонний trust  не создался бы. Этого не достаточно? нужно создать зону имменно в conditional forwarding?

    Попытался в ДНС на сервере server1.contonso.local  удалить зону contonso2.local  из forward zone и создать зону эту же в conditional forwarding получил ошибку  The server with this  IP address is not authoritative for the required zone. хотя  имя сервер было определено правильно server2.

    One way trust  создавался на сервере server1.contonso1.local  как one way trust (incoming) к лесу   server2.contonso2.local.

    Буду благодарен за пояснение.

    • Изменено Domofgod 17 марта 2013 г. 11:39
    17 марта 2013 г. 10:39
  • Создавать именно условную пересылку совершенно необязательно - вторичная зона (раз уж она у Вас есть) решает задачу разрешения имен ничуть не хуже.


    Слава России!

    17 марта 2013 г. 13:21
  • Да доверие селективное. т.к опыта настройки большого нету. Вы не могли бы подсказать, как настроить п.3 ? Или где можно посмотреть.

    Благодарю за ответ

    18 марта 2013 г. 0:13
  • Да доверие селективное. т.к опыта настройки большого нету. Вы не могли бы подсказать, как настроить п.3?
    В остнастке AD Users & Computers для учётной записи сервера server2 в contonso2.local на вкладке Security дайте нужной группе пользователей из другого леса право Allowed to authenticate. Scope групп сознательно не раскрываю - разберётесь, думаю, сами :)
    • Помечено в качестве ответа Domofgod 18 марта 2013 г. 6:41
    18 марта 2013 г. 6:39
    Отвечающий
  • Благодарю

    18 марта 2013 г. 6:40