مفاهیم Trust در Active Directory قسمت سوم – سناریو عملی

در قسمت های قبلی مقاله Trust ها بیشتر در مورد مباحث تئوری و پایه Trustها توضیحاتی ارائه شد. درباره مواردی از قبیل تاریخچه Trust ها، انواع Trustهای Transitive و Non Transitive، شرایط استفاده و کاربرد هر کدام از انواع Trust ها،Trust  های یکطرفه و دوطرفه (One Way  و Tow Way)، و همچنین Trust های Incoming و Outgoing بحث شد و در ادامه این مقاله با پیاده سازی یک سناریو جامع و کامل در خدمتتان خواهم بود.

شرح سناریو:

در این سناریو ما دو Domain بنام های Sadeghpour.local و Tehran.co را داریم که قصد ایجاد یک Trust دو طرفه (Two Way Trust) که از نوع Transitive Trust  هم میباشد را به صورت گام به گام داریم، تا کاربران دامین Sadeghpour.local در دامین Tehran.co و برعکس به راحتی بتوانند ضمن Log in  کردن از منابع یکدیگر نیز استفاده کنند. یعنی اگر هر کدام از دو DC حتی Child ای هم داشته باشند بتوانند به منابع آنها هم دسترسی داشته باشند و بلعکس.

اولین فاز سناریو این است که هر دو DC بتوانند یکدیگر را Ping کنند. توجه داشته باشید که Ping کردن این دو DC صرقاً به منزله Ping دو IP Address  ساده نیست، بلکه نیازمند Ping شدن اسم هر دو Domain و برقراری فرایند Resolve در FQDN است. پیشنهاد بنده برای انجام این کار و ایجاد یک Trust مطمئن بین دو DC، تعریف یک Forwarder در DNS است که برای اینجام این کار فقط کافیست کلید های ترکیبی Windows+R را بزنید و از منوی Run دستور dnsmgmt.msc  را وارد کرده تا کنسول مدیریتی DNS Server باز شود. در این قسمت با تعریف کردن یک Forwarder باعث بهبود کارکرد DNS شبکه،(که وظیفه تبدیل اسم به IP و بلعکس را بر عهده دارد) خواهید شد. این Forwarder برای هر دو دامین موجود باید تعریف شود. ضمن این که در شرایط بروز مشکلات در Forwarder میتوان از مکانیزم Conditional Forwarder نیز استفاده نمود.

trust-in-active-directory-concepts-part-iii-01
بعد از تعریف کردن Forwarder برای ایجاد Trust مد نظر فقط کافیست مجدداً وارد منوی Run سیستم شوید و دستور Domain.msc را وارد کنید تا کنسول مدیریتی Active Directory Domain and Trust باز شود. در این قسمت فقط کافیست تا بکمک کلید های ترکیبی Alt+Enter از دامینتان یک Property بگیرید و وارد تب Trusts شده و از طریق گزینه New Trust  برای شروع یک Trust به صورت Manual یا دستی اقدام کنید.

trust-in-active-directory-concepts-part-iii-02

نکته مهمی که در این قسمت باید به آن توجه داشته باشید، این است که اگر شما در Forest تان یک Child Domain ایجاد کرده باشید در این قسمت به صورت Automatic یک  Trustبین Parent و Child تان که از نوع Transitive Trust هم هست را مشاهده خواهید کرد.

با انتخاب گزینه New Trust فرایند ایجاد یک  Trustدستی برای شما آغاز خواهد شد. در این قسمت همانطور که در تصویر هم مشاهدده می کنید با پرسیدن سوال Type the name of the Domain, Forest , or realm for this trust از شما اسم دامینی مقصدی که قرار هست به آن Trust بزنید پرسیده می شود که در اینجا چون ما روی دامین Sadeghpour.local قرار داریم، بنابراین در این قسمت اسم دامین Tehran.co را وارد می کنیم.

trust-in-active-directory-concepts-part-iii-03
بعد از وارد کردن اسم دامین مقصد در قسمت Trust Type از شما نوع Trust پرسیده می شود که طبیعتاً چون ما قصد ایجادTransitive Trust  داریم و از طرفی هم دو دامین متفاوت در دو Forest جداگانه را داریم بنابراین Trust ما در سطح Forest  انجام خواهد شد و طبعاً در این قسمت هم باید گزینه Forest Trust را انتخاب کنیم.

trust-in-active-directory-concepts-part-iii-04

در مرحله بعدی و در قسمت Direction ، در واقع سمت و سو ، و جهت Trust از شما پرسیده می شود که در این قسمت ما گزینه Two Way Trust را انتخاب کرده تا یک Trust دوطرفه را برقرار کنیم.

trust-in-active-directory-concepts-part-iii-05

بعد از این تنظیمات وارد بخش Sides of trust خواهید شد که در این قسمت باید Permission یا سطح دسترسی DC ها را تعیین کنید. با انتخاب گزینه Both of this domain and the specified domain  تعیین می کنید که این تنظیمات در هر دو DC مربوطه برقرار شود. یعنی تمامی تنظیماتی که در حال حاضر در Sadeghpour.local در حال پیاده سازی هستید، عیناً در DC مقابل که همان Tehran.co هست نیز لحاظ شود.

trust-in-active-directory-concepts-part-iii-06
از آنجایی که در مرحله قبلی، این تنظیمات را برای هر دو DC انتخاب کردیم، در این مرحله باید یک Username , Password ای که Valid یا معتبر بوده را، از DC مقابل وارد کنیم. (دقت کنید که ما در حال حاضر در دامین Sadeghpour.local قرار داریم و در این قسمت Username , Password معتبری از دامین Tehran.co را باید وارد کنیم.) نکته بسیار مهم دیگری که در این مرحله وجود دارد، این است که شما حتماً باید یوزر و پسورد Enterprise Admin را وارد کنید، نه صرفاً Admin  خود دامین چراکه Trust مد نظر ما در سطح Forest پیاده سازی خواهد شد.

trust-in-active-directory-concepts-part-iii-07

در مرحله بعدی باید Authentication Level یا سطح دسترسی و احراز هویت مربوط به کاربران دامین فعلی (Sadeghpour.local) را تعیین کنیم که در حالت Forest wide Authentication این مورد را برای کلیه کاربران دامین لوکالی خودمان لحاظ می کنیم و در حالت Authentication Selective  هم سطح به سطح و کاربر به کاربر سیستم احراز هویتی را می توانیم پیاده سازی کنیم. حالت Selective برای موردی است که شما Trust را فقط برای عده خاصی از کاربرانتان در نظر دارید. در این قسمت با انتخاب Forest wide Authentication وارد مرحله بعد خواهیم شد.

trust-in-active-directory-concepts-part-iii-09

در مرحله بعدی باز هم همین تنظیمات را در سطح Forest wide Authentication ، اما برای یوزرهای دامین مقابل تعیین می کنیم تا همین تنظیمات در دامین Tehran.co هم اعمال شود.

trust-in-active-directory-concepts-part-iii-09

با انتخاب Next و رفتن به مرحله بعد، در این قسمت خلاصه ای از وضعیت فعلی و تنظیماتی که تا بحال انجام داده اید را مشاهده می کنید.

trust-in-active-directory-concepts-part-iii-10
بعد از این قسمت هم در آخرین مرحله کار 2 سوال دیگر مبنی بر تأیید نهایی تنظیمات Incoming و  Outgoingاز شما پرسیده می شود که با تأیید هر دوی آنها Trust  شما بر قرار خواهد شد.

trust-in-active-directory-concepts-part-iii-11
بعد از انجام تمامی این تنظیمات مجدداً به قسمت Property دامینتان باز خواهید گشت، ولی با این تفاوت که، این بار یک Trust دو طرفه (Two Way) از نوع Transitive Trust  که در سطح یک Forest است نیز ایجاد شده است.

trust-in-active-directory-concepts-part-iii-13
خب تا به اینجای کار تمامی تنظیمات و پیکربندی های لازمه در Active Directory را پیاده سازی شده و در حال حاضر Trust ما برقرار است، اما در بطن قضیه چه اتفاقی افتاده است؟ با انجام این تنظیمات، چه تغییراتی در فضای کاری DC های ما بوجود آمده؟ و چه قابلیت ها و امکاناتی برای ما ایجاد شده است؟ چطور می توانیم از پیاده سازی این مکانیزم استفاده کنیم؟ با یک مثال ساده این موضوع را هم برای شما تشریح خواهم کرد.

برای درک بهتر قضیه یک Folder ساده را در دامین Sadeghpour.local به اشتراک بگذارید، و از تب Sharing و سپس Security برای به اشتراک گذاری این Folder اقدام کنید. وقتی که شما قصد تعریف Permission برای اشتراک گذاری این Folder را دارید، (یعنی تعریف کنید که این پوشه برای چه کسانی به اشتراک گذاشته شود) بعد از Add کردن از طریق گزینه Location میتوانید دامین هایی که به آنها Trust دارید را مشاهده کنید.

trust-in-active-directory-concepts-part-iii-14

توجه کنید که در حال حاضر ما در دامین Sadeghpour.local قرار داریم، اما به دلیل وجود Trust بین Sadeghpour.local و Tehran.co شما قادر به اشتراک گذاری این Folder برای کاربران Tehran.co نیز خواهید بود و به تمامی کاربران این دامین نیز دسترسی خواید داشت.smile icon

مفاهیم Trust در Active Directory قسمت اول
مفاهیم Trust در Active Directory قسمت دوم

دیدگاه 1
  1. milad.gh says

    با سلام و خسته نباشید
    من همه چیز رو میرم جلو ولی مرحله آخر که مربوط به incoming و outgoing هست نمیاد و خطای cannot continue میده ؟
    the attempt to read names claimed by the specified domain has failed-access denied

دیدگاه

آدرس ایمیل شما منتشر نخواهد شد.