نمایش نتایج: از شماره 1 تا 8 از مجموع 8
سپاس ها 6سپاس
  • 1 توسط aliafzalan
  • 2 توسط patris1
  • 1 توسط omid85m
  • 2 توسط omid85m

موضوع: دیدن سایت با زدن اسم نه IP , ارتباط بین دو دومین

  
  1. #1
    نام حقيقي: عزیز مبصری

    عضو عادی شناسه تصویری omid85m
    تاریخ عضویت
    Oct 2009
    محل سکونت
    زرندیه
    نوشته
    123
    سپاسگزاری شده
    24
    سپاسگزاری کرده
    74

    دیدن سایت با زدن اسم نه IP , ارتباط بین دو دومین

    سلام
    دوستان من چند تا سوال داشتم که ممنون میشم جوابی به من بدید . البته اگر جواب هاتون رو جوری بگید که من بفهمم که خیلی عالی میشه

    1 – من WAMP رو روی ISA ران کردم و الان میتونم توی کلاینت ها با زدن آی پی سایتم رو ببینم اما من میخوام با زدن یکاسم بتونم سایت روببینم مثل مثلا : OMID.COM ممنون میشم روشش رو بهم بگین

    2 – کلاینت های من پروکسی کلاینت هستن ( اگر درست بگم ) یعنی تو قسمت LAN SETTING اونها و در قسمت پروکسی ، IP آیزا سرور با پورت 8080 ست شده که اونهامیتونن اینترنت داشته باشن و اگر اینو برداریم اینترنت ندارن – حالا مشکل اینجاست که سایتی که رو که ما بالا ران کردیم اگر پروکسی داشته باشن نمی تونن ببینن و باید حتما پروکسی رو بردارن تا با زدن IP بتونن سایت رو ببینن – من میخوام هم اینترنت داشته باشن هم سایتی روک ه روی آیزا ران کردم ببینن ...

    3 – ما سه تا نقطه داریم . دوتا نقطه با وایرلس به هم متصل شدن که نقطه دوم زیر دامین نقطه اول هستش مثل :
    نقطه اول : A.COM
    نقطه دوم : B.A.COM
    اما نقطه سوم که از طریق لیزلاین باهاش در ارتباط هستیم یک دامین جداگونه مثل X داره . خب حالا اگر من اگر سایت رو ران کنم مطمئنا فقط نقطه اول و دوم بهش دسترسی دارن و نقطه سوم چون تحت این دامین نیست نمی تونه اونو ببینه . من چیکارکنم که نقطه سوم هم بتونه سایتی رو که روی آیزا ران کردم ببینه ..؟

    چند نکته : این سایتی که ران کردم اینترانتی هست و این سه نقطه فقط باید بهش دسترسی داشته باشن

    خواهشا جواب هاتون جوری باشه که بتونم به صورت عملی انجام بدم و به نتیجه هم برسم

    ممنون که وقت گذاشتید و مشکلات من رو مطالعه کردید



    موضوعات مشابه:

  2. #2
    نام حقيقي: Ali Afzalan

    مدیر بخش Cisco شناسه تصویری aliafzalan
    تاریخ عضویت
    Apr 2009
    محل سکونت
    Tehran
    نوشته
    2,086
    سپاسگزاری شده
    2557
    سپاسگزاری کرده
    2059
    سلام
    1. شما برای این گار باید یک DNS داخلی داشته باشید. میتونید DNS رو در ویندوز 2003 نصب کرده و یک A Record ایجاد کنید
    که مثلا: www.omid.com بشه 192.168.1.50
    همچنین DNS سرور کاربرها هم باید IP همین DNS باشه که شما نصب کردید.
    2. توی همون قسمت که پروکسی رو تنظیم میکنی (مثلا در IE) روی Advanced کلیک کن و در قسمت Exceptions آدرس هایی رو که می خواهی وارد کن، با این تنظیم اگر درخواستی به سمت این آدرسها باشه، این درخواست ها دیگه به پروکسی سرور ارسال نمیشه.


    omid85m سپاسگزاری کرده است.

  3. #3
    نام حقيقي: عزیز مبصری

    عضو عادی شناسه تصویری omid85m
    تاریخ عضویت
    Oct 2009
    محل سکونت
    زرندیه
    نوشته
    123
    سپاسگزاری شده
    24
    سپاسگزاری کرده
    74
    نقل قول نوشته اصلی توسط aliafzalan نمایش پست ها
    سلام
    1. شما برای این گار باید یک DNS داخلی داشته باشید. میتونید DNS رو در ویندوز 2003 نصب کرده و یک A Record ایجاد کنید
    که مثلا: www.omid.com بشه 192.168.1.50
    همچنین DNS سرور کاربرها هم باید IP همین DNS باشه که شما نصب کردید.
    2. توی همون قسمت که پروکسی رو تنظیم میکنی (مثلا در IE) روی Advanced کلیک کن و در قسمت Exceptions آدرس هایی رو که می خواهی وارد کن، با این تنظیم اگر درخواستی به سمت این آدرسها باشه، این درخواست ها دیگه به پروکسی سرور ارسال نمیشه.
    هر دو مورد حل شد . خیلی ممنون از شما دوست عزیز ، خیلی بهم کمک کردید .

    درمورد مشکل شماره 3 هم ممنون میشم اگر نظری داشته باشید بدونم ...



  4. #4
    نام حقيقي: عزیز مبصری

    عضو عادی شناسه تصویری omid85m
    تاریخ عضویت
    Oct 2009
    محل سکونت
    زرندیه
    نوشته
    123
    سپاسگزاری شده
    24
    سپاسگزاری کرده
    74
    من خودم یه چیزائی درباره مورد 3 شنیدم
    میگن باید بین این دونقطه که دامین جدا از هم دارن trust بزنیم !!

    کسی میدونه چجوری و آیا جواب میده ؟؟؟



  5. #5
    نام حقيقي: عزیز مبصری

    عضو عادی شناسه تصویری omid85m
    تاریخ عضویت
    Oct 2009
    محل سکونت
    زرندیه
    نوشته
    123
    سپاسگزاری شده
    24
    سپاسگزاری کرده
    74
    مدیران خواهش میکنم در مورد مشکل سوم من کمک کنید ....

    من تا آخر ماه فرصت دارم این مشکل رو حل کنم وگرنه فرت ....



  6. #6
    نام حقيقي: 1234

    مدیر بازنشسته
    تاریخ عضویت
    Jul 2009
    محل سکونت
    5678
    نوشته
    5,634
    سپاسگزاری شده
    2513
    سپاسگزاری کرده
    272
    شما اگر میخواهید یوزرهای دومین X.COM با همان اسم و پسورد به سایت A.COM لاگین کننند احتیاج به Trust بین دو دومین دارید
    بهتر از شما به عنوان ادمین شبکه کتاب ۲۹۴-۷۰ را بخوانید


    Creating Domain and Forest Trusts
    کد:
    http://technet.microsoft.com/en-us/library/cc740018%28WS.10%29.aspx
    -----------------------------------------------------------------------------------------------------------------------------------------------------------
    کد:
    http://www.informit.com/articles/article.aspx?p=170286&seqNum=2
    Active Directory Trust Relationships

    Implement an Active Directory directory service forest and domain structure.

    • Establish trust relationships. Types of trust relationships might include external trusts, shortcut trusts, and crossforest trusts.

    Prospects of globalization and international commerce have increased the possibility of companies operating multiforest network enterprise structures. Before we look at the intricacies of interforest trusts, we briefly review trust relationships as they exist within a single forest.
    Before we look at the intricacies of Windows 2000 and interforest trusts, we will briefly review trust relationships as they existed within NT 4.0. Those of you who are upgrading from Windows NT 4.0 will be familiar with the trust relationships used to allow users in one domain to access resources in another domain. Basically, you could configure one domain to trust another one so that users in the second domain could access resources in the first one. Windows NT 4.0 did not create any trust relationships by itself; administrators in both the trusting and trusted domains had to configure every trust relationship. The domain where the resources are located is referred to as the trusting or resource domain, and the domain where the accounts are kept is referred to as the trusted or accounts domain.
    Some characteristics of trust relationships in Windows NT 4.0 follow:

    • In a one-way trust relationship, the trusting domain makes its resources available to the trusted domain (see Figure 3.1). With the appropriate permissions, a user from the trusted domain can access resources on the trusting domain. However, users in the trusting domain are unable to access resources in the trusted domain, unless a two-way trust is set up.
      Figure 3.1 In a one-way trust relationship, the trusting domain holds the resources that users in the trusted domain need to access.
    • A trust relationship exists between only two domains. Each trust relationship has just one trusting domain and just one trusted domain.
    • A two-way trust relationship between domains is simply the existence of two one-way trusts in opposite directions between the domains.
    • In Windows NT 4.0, trust relationships were not transitive; that is, if Domain A trusts Domain B and Domain B trusts Domain C, these relationships do not mean that Domain A automatically trusts Domain C. To have such a relationship, a third trust relationship must be set up whereby Domain A trusts Domain C (see Figure 3.2).

    Trust Relationships Within an Active Directory Forest

    Active Directory in Windows 2000 introduced the concept of two-way transitive trusts that flow upward through the domain hierarchy toward the tree root domain and across root domains of different trees in the same forest. This includes parent-child trusts between parent and child domains of the same tree and tree root trusts between the root domains of different trees in the same forest. Because of this arrangement, administrators in general no longer need to configure trust relationships between domains in a single forest.
    NOTE
    Managing Trust Relationships You should be aware that only members of the Domain Admins group can manage trusts.

    Figure 3.2 If Domain A trusts Domain B and Domain B trusts Domain C in a nontransitive trust, Domain A does not trust Domain C. In a transitive trust relationship, Domain A automatically trusts Domain C through Domain B when the other two trusts are created.
    In addition, Windows Server 2003 provides for another trust relationship called a shortcut trust. It is an additional trust relationship between two domains in the same forest, which optimizes the authentication process when a large number of users need to access resources in a different domain in the same forest. This capability is especially useful if the normal authentication path needs to cross several domains. Consider Figure 3.3 as an example.
    Figure 3.3 Shortcut trusts are useful if the authentication path to another domain in the forest has to cross several domain boundaries.
    Suppose that users in the C.A.A.com domain need to log on to the C.B.B.com domain, which is located in the second tree of the same forest. The authentication path must cross five domain boundaries to reach the C.B.B.com domain. If an administrator establishes a shortcut trust between the C.A.A.com and C.B.B.com domains, the logon process is speeded up considerably. This is also true for shorter possible authentication paths such as C.A.A.com to B.A.com or B.A.com to B.B.com. This also facilitates the use of Kerberos when accessing resources located in another domain.
    Interforest Trust Relationships

    Whenever there is need for accessing resources in a different forest, administrators have to configure trust relationships manually. Windows 2000 offers the capability to configure one-way, nontransitive trusts with similar properties to those mentioned previously, between domains in different forests. You have to explicitly configure every trust relationship between each domain in the different forests. If you need a two-way trust relationship, you have to manually configure each half of the trust separately.
    Windows Server 2003 makes it easier to configure interforest trust relationships. In this section, we study these trust relationships. In a nutshell, for forests that are operating at the Windows Server 2003 forest functional level, you can configure trusts that enable two-way transitive trust relationships between all domains in the relevant forests. If the forest is operating at any other functional level, you still need to configure explicit trusts as in Windows 2000.
    Windows Server 2003 introduces the following types of interforest trusts:

    • External trusts These one-way trusts are individual trust relationships set up between two domains in different forests, as can be done in Windows 2000. The forests involved may be operating at any forest functional level. You can use this type of trust if you need to enable resource sharing only between specific domains in different forests. You can also use this type of trust relationship between an Active Directory domain and a Windows NT 4.0 domain.
    • Forest trusts As already mentioned, these trusts include complete trust relationships between all domains in the relevant forests, thereby enabling resource sharing among all domains in the forests. The trust relationship can be either one-way or two-way. Both forests must be operating at the Windows Server 2003 forest functional level. The use of forest trusts offers several benefits:
      • They simplify resource management between forests by reducing the number of external trusts needed for resource sharing.
      • They provide a wider scope of UPN authentications, which can be used across the trusting forests.
      • They provide increased administrative flexibility by enabling administrators to split collaborative delegation efforts with administrators in other forests.
      • Directory replication is isolated within each forest. Forestwide configuration modifications such as adding new domains or modifying the schema affect only the forest to which they apply, and not trusting forests.
      • They provide greater trustworthiness of authorization data. Administrators can use both the Kerberos and NTLM authentication protocols when authorization data is transferred between forests.

    • Realm trusts These are one-way nontransitive trusts that you can set up between an Active Directory domain and a Kerberos V5 realm such as found in Unix and MIT implementations.

    Establishing Trust Relationships

    This section examines creating two types of trust relationships with external forests: external trusts and forest trusts. We then look at the shortcut trust, which is the only configurable type of trust relationship between two domains in the same forest.
    Before you begin to create trust relationships, you need to be aware of several prerequisites:

    • You must be a member of the Enterprise Admins group or the Domain Admins group in the forest root domain. New to Windows Server 2003, you can also be a member of the Incoming Forest Trust Builders group on the forest root domain. This group has the rights to create one-way, incoming forest trusts to the forest root domain. If you hold this level of membership in both forests, you can set up both sides of an interforest trust at the same time.
    • You must ensure that DNS is properly configured so that the forests can recognize each other.
    • In the case of a forest trust, both forests must be operating at the Windows Server 2003 forest functional level.

    Windows Server 2003 provides the New Trust Wizard to simplify the creation of all types of trust relationships. The following sections show you how to create these trust relationships.
    TIP
    Trust Creation Can Be Tricky! Know the variations of the procedures so that you can answer questions about the troubleshooting of problems related to interforest access as they relate to the options available when creating trusts. In particular, be aware of the differences between the incoming and outgoing trust directions

    Creating an External Trust

    Follow Step by Step 3.1 to create an external trust with a domain in another forest or a Windows NT 4.0 domain.
    STEP BY STEP

    3.1 Creating an External Trust


    1. Click Start, Administrative Tools, Active Directory Domains and Trusts to open the Active Directory Domains and Trusts snap-in.
    2. In the console tree, right-click your domain name and choose Properties to display the Properties dialog box for the domain.
    3. Select the Trusts tab. This tab contains fields listing domains trusted by this domain and domains that trust this domain. Initially these fields are blank, as in Figure 3.4.
      Figure 3.4 You can manage trusts from the Trusts tab of a domain's Properties dialog box.
    4. Click New Trust to start the New Trust Wizard, as shown in Figure 3.5.
      Figure 3.5 You can create new trust relationships by using the New Trust Wizard.
    5. Click Next, and on the Trust Name page, type the name of the domain with which you want to create a trust relationship (see Figure 3.6). Then click Next.
      Figure 3.6 On the Trust Name page, you can enter the DNS or NetBIOS name of the domain with which you want to create a trust.
    6. The Trust Type page, shown in Figure 3.7, offers you a choice between an external trust and a forest trust. Select External Trust and then click Next.
      Figure 3.7 You can select the trust type required from the Trust Type page.
    7. The Direction of Trust page, shown in Figure 3.8, offers you a choice of the following three types of trusts:
      • Two-way Creates a two-way trust. This type of trust allows users in both domains to be authenticated in each other's domain.
      • One-way: incoming Creates a one-way trust in which users in your (trusted) domain can be authenticated in the other (trusting) domain. Users in the other domain cannot be authenticated in your domain.
      • One-way: outgoing Creates a one-way trust that users in the other (trusted) domain can be authenticated in your (trusting) domain. Users in your domain cannot be authenticated in the other domain.

      Figure 3.8 The Direction of Trust page offers you options for creating one-way or two-way trusts.
    8. Select a choice according to your network requirements and then click Next.
    9. The Sides of Trust page, shown in Figure 3.9, allows you to complete both sides of the trust if you have the appropriate permissions in both domains. If this is so, select Both This Domain and the Specified Domain. Otherwise, select This Domain Only and then click Next.
      Figure 3.9 The Sides of Trust page enables you to complete both sides of the trust if you have the appropriate permissions.
    10. If you selected This Domain Only on the Sides of Trust page, the Trust Password page appears, asking for a password for the trust. You must specify the same password when creating the trust in the other domain. Type and confirm a password that conforms to password security guidelines, click Next, and then skip to step 13. Ensure that you remember this password.
    11. If you selected Both This Domain and the Specified Domain on the Sides of Trust page, the Outgoing Trust Properties—Local Domain page, shown in Figure 3.10, offers the following two choices in the scope of authentication for users in the trusted domain:
      • Domain-Wide Authentication This option authenticates users from the trusted domain for all resources in the local domain. Microsoft recommends this option only for trusts within the same organization.
      • Selective Authentication This option does not create any default authentication. You must grant access to each server that users need to access. Microsoft recommends this option for trusts that involve separate organizations, such as contractor relationships.

      Figure 3.10 The Outgoing Trust Authentication Level-Local Domain page provides two choices of authentication scope for users in the trusted domain.
    12. Select the appropriate type of authentication and then click Next.
    13. The Trust Selections Complete page displays a list of the options that you have configured (see Figure 3.11). Review these settings to ensure that you have made the correct selections. If any settings are incorrect, click Back and correct them. Then click Next.
      Figure 3.11 The Trust Selections Complete page displays a review of the trust settings you have specified.
    14. The Trust Creation Complete page informs you that the trust relationship was successfully created. Click Next to finish the process.
    15. The Confirm Outgoing Trust page asks whether you want to confirm the outgoing trust (see Figure 3.12). If you have configured the trust from the other side, click Yes, Confirm the Outgoing Trust. Otherwise, click No, Do Not Confirm the Outgoing Trust. Then click Next.
    16. The Confirm Incoming Trust page asks whether you want to confirm the incoming trust. Choices are the same as on the previous page. If you want to confirm this trust, enter a username and password for an administrator account in the other domain.
    17. The Completing the New Trust Wizard page verifies the confirmation of the trust from the other side. Click Finish.
    18. You are returned to the Trusts tab of the domain's Properties dialog box (see Figure 3.13). The name of the domain with which you configured the trust now appears in one or both of the fields according to the trust type you created. Click OK to close this dialog box.

    Figure 3.12 The Confirm Outgoing Trust page provides a chance to confirm the other side of the trust.
    Figure 3.13 After you have created the trust relationship, the Trusts tab of the domain's Properties dialog box shows the name of the trusted domain together with the trust type and transitivity.
    Creating a Forest Trust

    Recall that this type of trust can be created only between two Active Directory forests that are both operating at the Windows Server 2003 forest functional level. Follow Step by Step 3.2 to create a forest trust.
    STEP BY STEP

    3.2 Creating a Forest Trust


    1. Make sure that the forest functional level of both forests is set to Windows 2003. See Chapter 2, "Planning and Implementing an Active Directory Infrastructure," for details.
    2. Follow steps 1–5 of Step by Step 3.1 to access the Trust Name page of the New Trust Wizard.
    3. Type the name of the forest root domain with which you want to create a trust and then click Next.
    4. On the Trust Type page, select Forest Trust and then click Next.
    5. On the Direction of Trust page, select the appropriate direction for the trust and then click Next.
    6. On the Sides of Trust page, specify whether you want to create the trust for this domain only or for both this domain and the specified domain, and then click Next.
    7. If you are creating the trust for both forests, specify a username and password for the specified forest and then click Next. If you are creating the trust for this forest only, specify a trust password, which the administrator in the other forest will need to specify to complete the creation of the trust for her forest. Then click Next.
    8. The Outgoing Trust Authentication Level—Local Forest page, shown in Figure 3.14, provides two choices that are similar to those provided by the Outgoing Trust Authentication Level—Local Domain page. Make a choice and then click Next.
    9. The Trust Selections Complete page displays a list of the options that you have configured (refer to Figure 3.11). Review these settings to ensure that you have made the correct selections. If any settings are incorrect, click Back and correct them. Then click Next.
      Figure 3.14 The Outgoing Trust Authentication Level—Local Forest page provides two choices of authentication scope for users in the trusted forest.
    10. The Trust Creation Complete page informs you that the trust relationship was successfully created. Click Next to finish the process.
    11. The Confirm Outgoing Trust page asks whether you want to confirm the outgoing trust (refer to Figure 3.12). If you have configured the trust from the other side, click Yes, Confirm the Outgoing Trust. Otherwise, click No, Do Not Confirm the Outgoing Trust. Then click Next.
    12. The Confirm Incoming Trust page asks whether you want to confirm the incoming trust. Choices are the same as on the previous page. If you want to confirm this trust, enter a username and password for an administrator account in the other forest.
    13. The Completing the New Trust Wizard page verifies the confirmation of the trust from the other side. Click Finish.
    14. You are returned to the Trusts tab of the domain's Properties dialog box (refer to Figure 3.13). The name of the domain with which you configured the trust now appears in one or both of the fields according to the trust type you created. Click OK to close this dialog box.

    Creating a Shortcut Trust

    Recall that this type of trust can be created between child domains in the same forest to expedite crossdomain authentication or resource access. Follow Step by Step 3.3 to create a shortcut trust relationship.
    STEP BY STEP

    3.3 Creating a Shortcut Trust


    1. In Active Directory Domains and Trusts, right-click your domain and choose Properties.
    2. On the domain's Properties dialog box, select the Trusts tab and click New Trust to start the New Trust Wizard.
    3. Click Next, and on the Trust Name and Password page, type the DNS name or NetBIOS name of the domain with which you want to establish a shortcut trust and then click Next.
    4. On the Direction of Trust page (refer to Figure 3.8), choose the appropriate option (two-way, one-way incoming, or one-way outgoing) and then click Next.
    5. On the Sides of Trust page, specify whether you want to create the trust for this domain only or for both this domain and the specified domain, and then click Next.
    6. If you are creating the trust for both domains, specify a username and password for an administrator account in the specified domain. If you are creating the trust for this domain only, specify a trust password, which the administrator in the other domain will need to specify to complete the creation of the trust for her domain. Then click Next.
    7. The Trust Selections Complete page displays a summary of the settings you have entered (refer to Figure 3.11). Click Back if you need to make any changes to these settings. Then click Next to create the trust.
    8. The Trust Creation Complete page informs you that the trust relationship was successfully created. Click Next to configure the trust.
    9. The Confirm Outgoing Trust page asks whether you want to confirm the other side of the trust. If you have created both sides of the trust, click Yes. Otherwise, click No and then click Next.
    10. The Confirm Incoming Trust page asks whether you want to confirm the incoming trust. Choices are the same as on the previous page. If you want to confirm this trust, enter a username and password for an administrator account in the other domain.
    11. The Completing the New Trust Wizard page informs you that you have created the trust. Click Finish to return to the Trusts tab of the domain's Properties dialog box (refer to Figure 3.13). The name of the domain with which you configured the trust now appears in one or both of the fields according to the trust type you created. Click OK to close this dialog box.

    If you have created only one side of the trust, an administrator in the other domain needs to repeat this procedure to create the trust from her end. She will need to enter the trust password you specified in this procedure.
    A Separate Research Forest
    A major aircraft manufacturer landed a contract with NASA to design one module of a prototype spacecraft for a manned Mars mission. Realizing that the research necessary to complete this project successfully required a high level of security, management asked the senior network administrator to set up a separate forest in the organization's Windows Server 2003 Active Directory design.
    For the project to succeed, researchers needed access to certain data stored in the organization's existing forest. Their user accounts would be in the new forest. Users in the existing forest did not need to access data in the research forest. The administrator had to choose a trust model that would enable the appropriate levels of access.
    With these needs in mind, the administrator decided to implement a one-way external trust relationship in which the existing forest trusted the research forest. It was then possible to place the researchers who needed access into a group that could be granted access to the appropriate resources in the existing forest. Because the trust relationship was one-way, no access in the opposite direction was possible. We take a further look at the use of groups to grant crossforest access in Chapter 6, "Implementing User, Computer, and Group Strategies."

    Managing Trust Relationships

    After you have created a crossforest trust, the following limited set of configuration options is available from the trust's Properties dialog box:

    • Validate trust relationships This option enables you to verify that a trust has been properly created and that the forests can communicate with each other.
    • Change the authentication scope This option enables you to change the selection of domainwide authentication or selective authentication that you made during creation of the trust, should you need to modify access control to the trusting forest's resources.
    • Configure name suffix routing This option provides a mechanism that you can use to specify how authentication requests are routed across Windows Server 2003 forests. It is available only when forest trusts are used.

    Validating Trust Relationships

    To access the trust's Properties dialog box and validate a trust relationship, follow Step by Step 3.4.
    STEP BY STEP

    3.4 Validating a Trust Relationship


    1. In Active Directory Domains and Trusts, right-click your domain name and choose Properties.
    2. On the Trusts tab of the domain's Properties dialog box, select the name of the other domain or forest and click Properties.
    3. This action displays the trust's Properties dialog box, as shown in Figure 3.15.
      Figure 3.15 The General tab of the Properties dialog box of the other domain provides information on the trust's properties.
    4. To validate the trust relationship, click Validate.
    5. If the trust is in place and active, you receive a confirmation message box, as shown in Figure 3.16. Otherwise, you receive an error message, such as the one in Figure 3.17.

    Figure 3.16 This message box informs you that the trust is valid.
    Figure 3.17 If the trust cannot be validated, an error message such as this informs you of the problem.
    Changing the Authentication Scope

    Follow Step by Step 3.5 to change the authentication scope that you set when you create the trust.
    STEP BY STEP

    3.5 Changing the Authentication Scope of a Trust Relationship


    1. Select the Authentication tab of the trust's Properties dialog box, as shown in Figure 3.18.
    2. Select either Domain-Wide Authentication or Selective Authentication (as already described in Step by Step 3.1) and then click OK.

    Figure 3.18 The Authentication tab of a trust's Properties dialog box allows you to change the trust's authentication scope.
    Configuring Name Suffix Routing

    When you initially create a forest trust, all unique name suffixes are routed by default. A unique name suffix is a name suffix within a forest, such as a User Principal Name (UPN) suffix, Service Principal Name (SPN) suffix, or domain name system (DNS) forest or tree name that is not subordinate to any other name suffix. For example, the DNS forest name quepublishing.com is a unique name suffix within the quepublishing.com forest. Consequently, name suffixes in one forest do not exist in another forest.
    Name suffix routing is a mechanism that can manage the routing of authentication requests across Windows Server 2003 forests that are connected by forest trust relationships. It enables name suffixes that do not exist in one forest to be used to route authentication requests to another forest. This includes child name suffixes. As a result, when you view name suffixes in the Name Suffix Routing tab of the domain's Properties dialog box, as shown in Figure 3.19, they are prefixed by * to indicate that they refer to the parent domain and all child domains. If you add new child domains to either forest, they automatically inherit the name suffix routing properties of other domains in the forest. After you add a new name suffix and validate the trust, it appears on the Name Suffixes tab with a status (shown on the Routing column) of Disabled. The Status column indicates New for a newly created name suffix.
    Figure 3.19 The Name Suffix Routing tab of a trust's Properties dialog box allows you to enable or disable name suffix routing between forests.
    You may need to disable name suffix routing to prevent certain authentication requests from flowing across the forest trust. You may also need to enable name suffix routing for additional name suffixes you have created or to exclude a child name suffix from routing. Follow Step by Step 3.6 to configure these name suffix routing options.
    STEP BY STEP

    3.6 Configuring Name Suffix Routing


    1. On the Name Suffix Routing tab of the trust's Properties dialog box, select the suffix whose routing status is to be changed and then click Enable or Disable as required.
    2. The routing status in the Routing column changes. In the case of enabling a new name suffix routing, the New entry disappears from the Status column.
    3. To exclude a child name suffix from routing, select the parent suffix and click Edit to display the Edit domain name dialog box (see Figure 3.20).
      Figure 3.20 You can exclude a name suffix that does not exist in the specified forest from routing by specifying it on the Edit domain name dialog box.
    4. To exclude the name suffix, click Add. On the Add Excluded Name Suffix dialog box, type the name of the suffix and then click OK (see Figure 3.21).
      Figure 3.21 The Add Excluded Name Suffix dialog box allows you to exclude a name suffix from routing to the specified forest.
    5. The excluded name suffix appears on the Edit domain name dialog box. Click OK.

    NOTE
    Name Conflicts Can Occur If the same unique name suffix is used in two forests connected by a forest trust, a conflict (or collision) might occur. In such situations, the Status column on the Name Suffix Routing tab lists the conflict in the indicated domain. You cannot enable this suffix for name routing until you have removed the conflicting name suffix for the indicated domain.

    Removing a Crossforest Trust Relationship

    Sometimes you might need to remove a trust relationship between two forests. For example, a contract may have completed or been terminated, an acquisition of one company by another may have fallen through, and so on. You may need to remove and re-create a trust relationship if you have incorrectly specified properties such as an incorrect trust type or direction.
    You can remove a trust relationship from the Active Directory Domains and Trusts snap-in by following Step by Step 3.7.
    STEP BY STEP

    3.7 Removing a Trust Relationship


    1. In Active Directory Domains and Trusts, right-click your domain name and choose Properties.
    2. On the Trusts tab of the domain's Properties dialog box, select the trust to be removed and click Remove.
    3. You are asked whether you want to remove the trust from the local domain only or from the local domain and the other domain (see Figure 3.22). If you want to remove the trust from both domains, select Yes, Remove the Trust from Both the Local Domain and the Other Domain, type the username and password for an account with administrative privileges in the other domain, and then click OK.
      Figure 3.22 You are asked whether you want to remove the trust from the local domain only or from the local domain and the other domain.
    4. Click Yes on the next dialog box to confirm removing the trust.
    5. You are returned to the Trust tab of the domain's Properties dialog box. Notice that the name of the other domain has been removed.

    Understanding Trust Relationships

    Following are points to remember regarding trust relationships:

    • In a one-way trust relationship, the trusting domain makes its resources available to users in the trusted domain. A two-way trust relationship consists of two one-way trusts in opposite directions.
    • By default in Active Directory, all domains in a forest trust each other with two-way transitive trust relationships. You can also create shortcut trusts between child domains to facilitate rapid authentication and resource access.
    • You need to explicitly set up all trust relationships between different forests. You can set up either external one- or two-way trusts between specific domains in the two forests or a forest trust in which all domains in the two forests trust each other with two–way trusts.
    • A one-way incoming trust allows users in your (trusted) domain to be authenticated in the other (trusting) domain, whereas a one-way outgoing trust allows users in the other (trusted) domain to be authenticated in your (trusting) domain.
    • Two authentication scopes are available: Domainwide authentication allows users from the trusted domain to access all resources in the local domain. Selective authentication does not create any default authentication; you must grant access to each server that users need to access. You can change the authentication scope after trusts are set up, if necessary.
    • You can enable name suffix routing that simplifies authentication requests being routed to another forest. New child domains added to either forest automatically inherit these name suffix routing properties; however, you can disable name suffix routing when required or exclude a child name suffix from routing.

    WARNING
    Removing the Trust If you remove the trust from the local domain only, it still appears from the other domain but generates an error if you attempt to validate it. An administrator from the other domain must remove the trust from that domain as well.







    ویرایش توسط patris1 : 2009-12-16 در ساعت 04:33 PM
    anahita_m و omid85m سپاسگزاری کرده‌اند.

  7. #7
    نام حقيقي: عزیز مبصری

    عضو عادی شناسه تصویری omid85m
    تاریخ عضویت
    Oct 2009
    محل سکونت
    زرندیه
    نوشته
    123
    سپاسگزاری شده
    24
    سپاسگزاری کرده
    74
    ترجمه این مطلب کمی زمان بر هستش و باید ببینم جواب میده یا نه !!!

    یکسری مطالب هم خودم پیدا کردم میزارم که دوستان با این مقوله بیشتر آشنا بشن ...

    قسمت اول :

    روابط Trust – قسمت اول

    یکشنبه ۱۵ نوامبر ۲۰۰۹
    موضوع مدیریت دامین های چند تایی به مدیریت روابط Trust بسیار گره خورده، به عبارت دیگر دامین های چند تایی در سایه روابط Trust امکان پذیر می شوند.
    ارتباطات Trust در یک دامین
    در زمان عضویت کامپیوتر در دامین، زمانی که کامپیوتر هنوز عضو شبکه Workgroup است، کامپیوتر اطلاعات مربوط به کاربران را در پایگاه داده SAM یا Security Account Manager نگه داری می کند. در زمان تشخیص هویت تنها با استفاده از پایگاه داده SAM اطلاعات را کنترل می کند. زمانی که کامپیوتر عضو دامین می شود یک رابطهTrust داخل دامینی بین کامپیوتر و دامین برقرار می شود. نتیجه این رابطه آن است که کامپیوتر اجازه می دهد تا هویت کاربر توسط AD DS تایید شود. همچنین با استفاده از این رابطه، AD DS قادر می شود تا روی دسترسی به منابع نیز مدیریت داشته باشد.
    ارتباطات Trust بین دامینی
    با همان بنیان، می توان مفهوم Trust را گسترش داد و آن را بین دو دامین مطرح کرد. رابطه Trust بین دو دامین باعث می شود که یک دامین به تشخیص هویت دامین دیگر اعتماد داشته باشد و برای دسترسی به منابع نیز بتواند از آن تشخیص هویت استفاده کند. به عبارت دیگر یک ارتباط Trust بین دو دامین یک اتصال منطقی است بین دو دامین که باعث می شوند از مرحله تشخیص هویت گذر کنند.
    در هر رابطه دو دامین نقش دارند:
    1. دامین اعتماد کننده
    2. دامین اعتماد شده
    دامین اعتماد شده، دامینی است که هویت ها را در اطلاعات ذخیره شده خود ذخیره می کند و تشخیص هویت را انجام می دهد.
    دامین اعتماد کننده، دامینی است که نمی تواند کاربر را تشخیص هویت کند زیرا اطلاعات را در اطلاعات ذخیره شده خود ندارد بنابراین به تشخیص هویت دامین اعتماد شد اعتماد می کند.
    کاربران در دامین اعتماد شده می تواند به منابع در صورد داشتن مجوز دسترسی، دسترسی داشته باشند. همچنین می توانند حقوقی داشته باشند همانند اجازه Logon کردن روی کامپیوتر های دامین اعتماد کننده.
    لغات ها در مبحث Trust شاید کمی گیج کننده باشند. درک رابطه trust با استفاده از دیاگرام بسیار ساده تر است. در دیاگرام زیر دامین A به دامین B اعتماد می کند. بنابراین دامین A دامین اعتماد کننده است و دامین B دامین اعتماد شده. اگر یک کاربر در دامین B بخواهد از دامین A استفاده کند، دامین A تشخیص هویت را با استفاده از رابطه Trust به دامین B واگذار می کند. همچنین دامین A می تواند از کاربران یا گروه های دامین B استفاده کند مثلا در دادن مجوز های دسترسی به منابع.

    یک رابطه Trust بین دو دامین با سه مشخصه زیر می تواند معین شود:
    1. transitivity (خاصیت تعدی) : برخی از روابط Trust دارای خاصیت تعدی هستند البته همه رابطه ها دارای این خاصیت نیستند. با توجه به دیاگرام زیر خاصیت تعدی به این شکل تعریف می گردد. دامین A به دامین B اعتماد دارد. دامین B دامین C اعتماد دارد بنابراین دامین A به دامین C نیز اعتماد دارد. اگر Trust دارای خاصیت تعدی نباشد آنگاه دامین A به دامین C اعتماد ندارد. معمولا برای ایجاد اعتماد بین A و C از یک رابطه Trust جداگانه استفاده می گردد اما اگر Trust دارای خاصیت تعدی باشد این Trust جداگانه لازم نیست.

    2. جهت (direction) : یک رابطه Trust می تواند یک طرفه یا دو طرفه باشد. در Trust به صورت یک طرفه یا one way کاربران در دامین اعتماد شده می توانند در دامین اعتماد کننده تشخیص هویت شوند اما عکس آن امکان پذیر نیست. در مثال فوق کاربران دامین B در دامین A تشخیص هویت می شوند اما کاربران دامین A در دامین B تشخیص هویت نمی شوند. در بسیاری از سناریو برای رسیدن به هدف رابطه دو طرفه (Two Way) می توان یک Trust دیگر با یک جهت متصاد Trust موجود ایجاد کرد.
    3. اتوماتیک یا دستی: برخی از روابط Trust خودکار ساخته می شوند و برخی دیگر لازم است تا به صورت دستی ساخته شوند. در یک جنگل (Forest) تمام دامین ها به یک دیگر اعتماد دارند. به این دلیل که دامین هر Root Domain به Forest Root اعتماد دارد و هر Child Domain به parent Domain خود اعتماد دارد. این Trust ها به صورت خودکار ساخته می شوند و لازم نیست خاصیت تعدی یا جهت در آن ها در نظر گرفته شود.
    پروتکل های تشخیص هویت و روابط Trust

    ویندوز سرور 2003 با استفاده از دو پروتکل می تواند تشخیص هویت می کند: Kerberos V5 یا NT LAN Manager به اختصار NTLM و Kerberos V5 پروتکل پیش فرض در ویندوز های سرور 2008، 2003 و ویندوز های 7، Vista و XP است. اگر کامپیوتری در شبکه موجود باشد که از Kerberos V5 پشتیبانی نمی کند به جای Kerberos V5 از NTLM استفاده می شود.
    تشخیص هویت Kerberos در یک دامین
    به صورت بسیار مختصر؛ زمانی که کاربر به یک کلاینت تحت دامین و با پشتیبانی Kerberos تلاش می کند که Logon کند، درخواست تشخیص هویت برای Domain Controller ارسال می شود. هر Domain Controller همانند یک Key Distribution Center یا با اختصار KDC عمل می کند. پس از تایید هویت کاربر، KDC به کاربر های تایید شده یک Ticket-Granting Ticket یا به اختصار TGT می دهد. زمانی که کاربر نیاز دارد از یک منبع در همان دامین استفاده کند، ابتدا کاربر باید دارای یک Session Ticket معتبر برای آن کامپیوتری که منبع روی آن است داشته باشد. Session Ticket توسط KDC در Domain Controller فراهم می شوند. بنابراین کاربر درخواست Session Ticket خود را به Domain Controller می دهد. از آنجا که کاربر قبلا تشخیص هویت شده است دارای TGT است و TGT خود را برای نشانه ای این امر نمایش می دهد. این امر باعص می شود تا KDC بدون آنکه دوباره عمل تشخیص هویت را انجام دهد Session Ticket را به کاربر بدهد. Session Ticket احتیاج دارد تا سرور و سرویس مورد نظر معین شده باشد. KDC می تواند با استفاده از Service Principal Name یا SPN سرور درخواست شده در همان دامین سرویس را معین کند.
    سپس کاربر می تواند با استفاده از Session Ticket خود به سرویس مطلوب متصل شود. سرور قادر است تا Session Ticket را بررسی کند و کنترل کند که کاربر تشخیص هویت شده است. این اتفاق با استفاده از Private Key انجام می شود. در هر صورت در اینجا قصد بررسی kerberos V5 را نداریم و در نهایت سرور با توجه به Trust داخل دامینی تشخیص هویت دامین که توسط دامین کنترلر انجام می شود را قبول دارد.
    تشخیص هویت Kerberos در یک جنگل
    هر Child Domain به Parent Domain خود Trust دارد و هر Tree Root به Forest Root نیز Trust دارد. این دو Trust از نوع Transitive و Two Way و اتوماتیک است. به Trust اول Parent-Child Trust و به Trust دوم Tree-Root Trust گفته می شود. درک Trust در یک جنگل از روی دیاگرام بسیار ساده تر از نوشتن این روابط است از این رو با توجه به دیاگرام زیر مطالب زیر را در نظر بگیرد.

    به روابط Trust ساخته شده از روی Tree-Root Trust و Parent-Child Trust در اصطلاح Trust Path یا Trust Flow گفته می شود. در دیاگرام اول نمایی از DNS و در دیاگرام دوم نمایی از Trust Path به نمایش در آمده است. Tailspintoys.com در اینجا Forest Root است و Forest شامل دو Tree می باشد. اگر یک کاربر در USA.Windtiptoys.com بخواند یک Shared Folder روی EUROPE.Tailspintoys.com را ببیند تراکنش های زیر اتفاق می افتد.
    1. کاربر روی کامپیوتر در USA.wingtiptoys.com ابتدا Logon می کند و توسط دامین کنترلر در دامین خود یعنی usa.wingtiptoys.com تشخیص هویت می شود. مراحل تشخیص هویت مشابه آن است که پیش تر گفته شد و کاربر یک TGT دریافت می کند.
    کاربر می خواهد Shared Folder روی Europe.tailspintoys.com را ببیند.
    2. کاربر به KDC روی دامین کنتر USA.wingtiptoy.com متصل می شود و درخواست Session Ticket می کند.
    3. بر اساس SPN دامین کنترلر در USA.wingtiptoy.com متوجه می شود که سرویس مورد نظر روی دامین خود نیست. وظیفه KDC یک واسط بین کلاینت و سرویس است. از آنجا که سرویس Trust است اما در دامین خود نیست، KDC برای کمک به دسترسی به سرویس یک referral صادر می کند تا کاربر بتواند به Session Ticket مورد نظر خود دست پیدا کند.
    KDC برای این کار یک الگوریتم ابتدایی دارد. اگر دامین KDC به صورت مستقیم با دامین سرویس Trust باشد، KDC به صورت مستقیم یک referral به دامین سرویس می دهد. اگر به صورت مستقیم Trust نباشد، Trust به صورت Transitive است بنابراین KDC یک Referral برای دامین بعدی در TRUST PATH صادر می کند.
    4. از آنجا که usa.wingtiptoy.com مستقیما به europe.tailspintoy.com دارای Trust نیست، KDC یک referral برای دامین بعدی یعنی wingtiptoy.com صادر می کند.
    5. کلاینت با KDC دامین ارجاع شده یعنی wingtiptoy.com ارتباط برقرار می کند.
    6. بار دیگر KDC در wingtiptoy.com یک referral برای tailspintoy.com صادر می کند.
    7. کلاینت با KDC در tailspintpy.com ارتباط بر قرار می کند و به europe.tailspintoys.com ارجاع داده می شود.
    8. کلاینت به KDC در Europe.tailspintoys.com ارتباط برقرار می کند و از آنجا که Europe.tailspintoys.com به usa.wingtiptoys.com اعتماد دارد یک Session Ticket برای کاربر صادر می کند.
    9. با توجه به Session Ticket کاربر می تواند با توجه به مجوز های دسترسی خود به Shared Folder دسترسی داشته باشد.
    فرآیند فوق ممکن است پیچیده و زمان گیر به نظر آید اما تمام فرآیند در پشت صحنه صورت می گیرد و کاربر با این مسائل درگیر نمی شود. آنچه در اینجا به عنوان ارتباط Kerberos V5 و روابط Trust بحث شد ساده شده و مختصر شده است.


    ks_habi سپاسگزاری کرده است.

  8. #8
    نام حقيقي: عزیز مبصری

    عضو عادی شناسه تصویری omid85m
    تاریخ عضویت
    Oct 2009
    محل سکونت
    زرندیه
    نوشته
    123
    سپاسگزاری شده
    24
    سپاسگزاری کرده
    74
    روابط Trust – قسمت دوم

    پنجشنبه ۲۶ نوامبر ۲۰۰۹
    Trust های دستی

    4 نوع Trust هستند که باید به صورت دستی ساخته شوند:
    1. Shortcut Trust
    2. External Trust
    3. Realm Trust
    4. Forest Trust
    ساخت یک Trust به صورت دستی

    با توجه به Trust که قصد ساختن آن را دارید و نحوه ی آن باید عضو گروه Domain Admins یا Enterprise Admins باشید. برای ساخت یک Trust به صورت دستی قدم های زیر را طی کنید:
    1. کنسول Active Directory Domains & Trusts را باز کنید.
    2. روی دامینی که یک سمت از رابطه ی Trust است راست کلیک کنید و گزینه Properties را بزنید. توجه داشته باشید روی این دامین باید دارای privilege های ساخت یک رابطه trust باشید.
    3. روی TAB (زبانه) Trust کلیک کنید و سپس روی دکمه new کلیک کنید. یک ویزارد برای ساخت یک رابطه Trust به شما کمک خواهد کرد.
    4. در صفحه Trust Name، نام دامین دیگری که در رابطه Trust قرار می گیرد را وارد کنید و سپس next را بزنید.
    5. اگر دامین وارد شده جزء همان جنگل (Forest) دامین جاری نباشد، باید یکی از سه نوع Trust زیر را انتخاب کنیدو:
    - Forest
    - External
    - Realm
    اگر در همان جنگل باشد، نوع Trust به صورت Shortcut در نظر گرفته می شود. در ادامه انواع Trust را مورد بررسی قرار می دهیم.
    6. در صفحه Direction Of Trust باید جهت رابطه Trust را با توجه به شرح زیر معین کنید:
    - Two-Way: یک ارتباط Trust دو طرفه که در آن هر دو دامین، دامین اعتماد شده و دامین اعتماد کننده خواهند بود. به عبارت مناسب تر؛ هر دو دامین تشخیص هویت یکدیگر را مورد اعتماد قرار می دهند.
    - One-Way:Incoming : یک ارتباط Trust یک طرفه به صورتی که دامینی که روی آن کلیک راست کرده اید و Properties را زدید دامین اعتماد شده است و دامین دیگر دامین اعتماد کننده است. جهت فلش در دیاگرام به دامین اعتماد شده وارد می شود و استفاده از لغت Incoming به این منظور است.
    - One-Way: Outgoing : یک ارتباط Trust یک طرفه به صورتی که دامینی که روی آن کلیک راست کرده اید و Properties را زدید دامین اعتماد کننده و دامین دیگر دامین اعتماد شونده است. جهت فلش در دیاگرام به دامین اعتماد شده وارد می شود از این رو لغت Outgoing انتخاب شده است.
    7. در صفحه Sides of the trust با توجه به دسترسی های اکانت خود با توجه به توضیحات زیر یکی از گزینه های زیر را انتخاب کنید:
    - Both this domian and specified domain : در هر دو سمت رابطه ی Trust نصب می شود. برای انتخاب این گزینه باید در هر دو سمت privilege های ساخت یک رابطه Trust را داشته باشید.
    - This Domain Only : در دامینی که روی آن کلیک کرده اید و Properties را زده اید رابطه ساخته می شود و یک مدیر دیگر در دامین دیگر باید همین پروسه را روی آن دامین انجام دهد.
    با توجه به گزینه های انتخابی قبلی مراحل بعدی متفاوت خواهند بود:
    - اگر Both this domain and specified domain را انتخاب کرده اید، باید یک username و password با دسترسی های مناسب وارد کنید.
    - اگر This Domain Only را انتخاب کرده اید، باید یک کلمه رمز که برای برقراری Trust استفاده می شود را انتخاب و وارد کنید. یک کلمه رمز نباید password خودتان باشید و باید یکتا باشد. پس از برقراری رابطه دامین آن را تغییر خواهد داد.
    8. اگر Trust از نوع outgoing باشد؛ باید یکی از موارد زیر را انتخاب کنید:
    - Selective Authentication
    - Domain-Wide Authentication یا Forest-Wide Authentication با توجه به آنکه نوع Trust چیست External یا Forest
    این گزینه ها در آینده توضیح داده می شود.
    9. در پنجره جدید، توضیحات مختصر تنظیمات در نظر گرفته شما نمایش داده می شود. آن را بررسی کنید و Next را بزنید.
    اگر در ساخت رابطه Trust گزینه both Sides را انتخاب کرده باشید، در اینجا مراحل پایان می پذیرد، اگر This Domain Only را انتخاب کرده باشید، رابطه Trust برقرار نمی شود مگر آنکه:
    - اگر نوع رابطه ساخته شده توسط شما one-way:Outgoing است، یک مدیر شبکه در دامین دیگر، با توجه به فرآیند بالا یک رابطه Trust با نوع One-Way:Incoming بسازد.
    - اگر نوع رابطه ساخته شده توسط شما One-Way:Incoming است، یک مدیر شبکه در دامین دیگر، با توجه به فرآیند بالا یک رابطه Trust با نوع One-Way:Outcoming بسازد.
    - اگر نوع رابطه ساخته شده توسط شما Two-way است، یک مدیر شبکه در دامین دیگر، با توجه به فرآیند بالا یک رابطه Trust با نوع Two-Way بسازد.
    Trust های Shortcut

    با توجه به آنچه که در خصوص Trust های درون دامینی و فرآیند طی شدن یک Trust به صورت Transitive گفته شد، این فرآیند به شدت می تواند Performance را کاهش دهد. همچنین اگر یکی از دامین کنترلر های مسیر Trust در دسترس نباشد به صورت کلی Authentication کاربر صورت نمی گیرد و دسترسی به سرویس مورد نظر صورت نمی گیرد. برای حل این مشکل از Shortcut Trust باید استفاده کنیم. لازم به ذکر است که Shortcut Trust ها لازم است در مرحله طراحی در نظر گرفته شوند تا از بروز مشکلات احتمالی جلوگیری گردد. Shortcut Trust ها Authentication و Session ها را در یک جنگل چند دامینی بهینه می کنند. دیاگرام زیر مثالی از دو Shortcut Trust است.

    Trust های External

    زمانی که لازم است با یک دامینی که در جنگل دیگری است کار کنیم، باید یک External Trust بسازیم. در دیاگرام زیر دو External Trust مشخص شده است.

    در ادامه در مبحث امنیت روابط Trust درخصوص پیش بینی های امنیتی در این خصوص بحث خواهد شد.
    Trust های Realm

    زمانی که لازم است یک رابطه Trust بین یک دامین با سرویس های امنیتی روی پیاده سازی های دیگری از kerberos V5 انجام شود از Realm Trust استفاده می شود. مثلا در زمانی که لازم است دامین با یک Unix Kerberos V5 یک رابطه Trust برقرار کند. Realm Trust ها تنها به صورت One-Way امکان پذیر هستند بنابراین برای ایجاد یک رابطه دو طرفه، دو رابطه One-Way با جهت های متضاد ایجاد گردد. همچنین به صورت پیش فرض این رابطه transitive نیست اما می توانند Transitive شوند.
    اگر یک Kerberos v5 Realm غیر ویندوزی به دامین ویندوزی اعتماد کنند، در این صورت تمام اشیاء امنیتی در دامین ویندوزی مورد اعتماد قرار خواهند گرفت. اگر دامین ویندوزی به kerberos V5 Realm اعتماد کند کاربران در Realm می توانند به منابع دسترسی پیدا اما این فرآیند مستقیم نیست. زمانی که کاربر توسط یک Kerberos Realm غیر ویندوزی Authenticate می شود ticket صادر شده برای او شامل تمام مواردی که ویندوز جهت Authorization نیاز دارد نیست. بنابراین یک متد برای بازنشاندن اکانت ها لازم است. اشیاء امنیتی لازم در دامین ویندوزی ساخته می شود و به هویت های واقعی در Keberos Realm غیر ویندوزی مرتبط می گردند.
    Trust های Forest

    زمانی که لازم است بین دو کمپانی با دو جنگل متفاوت همکاری ایجاد شود از Forest Trust استفاده می شود. یک Forest Trust یک Trust به صورت One-way یا Two-Way است که به صورت Transitive بین دو Forest Root ایجاد می شود. Forst Trust ها به نسبت سایر Trust های دیگر، طرح ریزی و مدیریت ساده تری دارند از این رو در بسیاری از سناریو ها اولین گزینه ی انتخابی باید Forest Trust باشد. همچنین Forest Trust ها در بسیاری از سناریو ها همانند همکاری بین دو شرکت، ادغام شدن دو شرکت و مالکیت شرکت دیگر راهکار مناسبی است. همچنین در سازمان هایی با بیش از یک Forest – این عمل جهت ایزوله کردن سرویس و اطلاعات اکتیو دایرکتوری صورت می گیرد – گزینه مناسب ارتباط Forest Trust است.
    زمانی که یک ارتباط Trust بین دو Forest ایجاد می شود SID Filtering (همچنین Domain quarantine گفته می شود) فعال می گردد. SID Filtering در ادامه مورد بحث قرار می گیرد. تصویر زیر یک مثال از Forest Trust است.

    یک Forest Trust می تواند One-Way یا Two-Way باشد. همانطور که گفته شد Forest Trust دارای ویژگی تعدی است (Transitive است). با این وجود خودشان دارای این ویژگی نیستند. به عنوان مثال اگر tailspintoys.com به worldwideimporters.com اعتماد داشته باشد و worldwideimporters.com به northwindtrades.com اعتماد داشته باشد، tailspintoys.com به northwindtrades.com اعتماد ندارد. برای ایجاد این رابطه باید یک Trust دیگر ایجاد شود.
    پیش نیاز ها

    - برای ایجاد Forest Trust باید Functional Level در هر دو Forest ویندوز سرور 2003 باشد.
    - همانطور که پیش تر گفته شد؛ برای ایجاد رابطه Trust باید دارای privilege های لازم باشید.
    - برای ایجاد Forest Trust باید DNS به صورت مناسب تنظیم شده باشد:
    1. اگر یک Root DNS Server وجود داشته باشد، می توان Root DNS Server را برای هر دو Namespace جنگل ها قرار داد و Root hints تمام DNS Server ها را به روز کرد.
    2. اگر Root DNS Server وجود نداشته باشد، برای هر DNS Server می توان از conditional forwarders استفاده کرد.
    3. اگر Root DNS Server وجود نداشته باشد و Forest DNS Namespace خانواده ویندوز سرور 2003 یا جدید تر نباشد، یک Secondary Zone در هر DNS namespace تنظیم می گردد.
    نکته: در برقراری ارتباط بین یک دامین ویندوز سرور 2008 و دامین ویندوز NT 4.0 از External Trust استفاده می شود. به عنوان مثال اگر شما مدیر یک دامین ویندوز سرور 2008 هستید و کاربران می خواهند به منابعی که در دامین روی ویندوز NT 4.0 است دسترسی پیدا کنند باید یک رابطه Trust به صورتی که دامین ویندوز NT 4.0 به Windows Server 2008 اعتماد داشته باشد ایجاد کنید. در این حالت دامین ویندوز NT 4.0 دامین اعتماد کننده و دامین ویندوز سرور 2008 دامین اعتماد شده است.
    مدیریت روابط

    جهت اطمینان از کارکرد یک رابطه Trust، می توان این ارتباط را بین هر دو دامین ویندوزی Validate کرد. امکان Validate کردن Realm Trust وجود ندارد. برای این منظور:
    1. کنسول Active Directory Domains and Trusts را باز کنید.
    2. روی دامینی که شامل رابطه است کلیک راست کرده و Properties را بزنید. روی tab (زبانه) Trust کلیک کنید و سپس Trust که می خواهید Validate کنید را انتخاب کنید.
    3. روی Trust مورد نظر کلیک راست کنید و Properties را بزنید. سپس Validate را بزنید. Yes را برای Validate کردن یک Incoming Trust بزنید. همچنین می توانید No را برای عدم Validate کردن بزنید.
    4. با استفاده از دستور زیر همچنین می توانید یک رابطه را Validate کنید:
    netdom trust TrustingDomainName /domain:TrustedDomainName /verify
    5. برای حذف یک رابطه می توانید Remove را بزنید و یا از دستور زیر در خط فرمان استفاده کنید:


    netdom trust TrustingDomainName /domain:TrustedDomainName /remove
    [/force] /userD:User PasswordD:*

    توجه: استفاده از سوییچ Force برای حذف Realm Trust ها لازم است.


    pardazande و bahram677 سپاسگزاری کرده‌اند.

کلمات کلیدی در جستجوها:

NTLM Authentication چیست

زدن ip

http://forum.persiannetworks.com/f80/t30284.html

دیدن سایت با ip

ارتباط بین دو domain

AD Parent and child trust

سایت دیدن آی پی

زدن ایپی

forest local domain group

چيست ؟ crossfive

domain تراست زدن دو

ایجاد trust بین دو دامین

trust بین trees چطور ایجاد میشود؟

trust زدن بین دامین ها

مراحل trust زدن

a delegation for this dns server cannot be created پیغام اکتیودایرکتوریلینک ارتباطی به بین دو DCزدن آی پی اینترنتدیدن سایت با استفاده از iptrustدر ارتباط شبکهKDC در دامين يعني چه؟؟دو اسم برای سرور 2008پروکسی که با پورت 8080 کار میکندمراحل تغییرip در اکتیودایرکتوری 2003رابطه dnsو اکتیودایرکتوری

برچسب برای این موضوع

مجوز های ارسال و ویرایش

  • شما نمی توانید موضوع جدید ارسال کنید
  • شما نمی توانید به پست ها پاسخ دهید
  • شما نمی توانید فایل پیوست ضمیمه کنید
  • شما نمی توانید پست های خود را ویرایش کنید
  •