部落客最近在研究有關域信任關系方面的內容,準備在過年其間把這些都好好的弄一弄,復習一下之前學習的內容!我相信,這些東西光是在培訓室弄懂了,沒有真正的用在實戰中,日子久了還是會忘記的! 對域的信任關系還是得從Myhat公司講起,由於Myhat公司的老闆善於經理,於近期收購了一家公司ONE,於是經IT經理的授權,網絡管理員便開始進行網絡管理方面的工作! 分析部分:目前由於Myhat公司前些日子在北京建立一個分部,為保障活動目錄安全,在經IT部門進行討論後,決定在北京建立子域!目前子域已經成功建立完成。此時,MYHAT公司的總部與北京分部之間擁有父子信任關系!就目前的情況,為了讓被收購的ONE公司,能夠順利的訪問Myhat公司的資源,公司決定使用MYHAT和ONE公司之間的信任關系來實現! 現在讓我們跟網絡管理員一起來看看這個網絡架構圖吧!
通過建立MYHAT與ONE之間的森林信任來實現兩個域之間的資源共享!圖中,為了友善起見使用快捷信任!建立快捷信任後,我們的Beijing.myhat.com如果需要訪問One.com裡面的資源,就可以直接與one.com裡的域控制器聯系!
現在我們就以這個案例來了解有關域信任關系!在這裡,筆者有幾個問題想問自己!
問題1:為什麼要使用快捷信任?
在這裡我就說說自己的了解吧!首先快捷信任是建立在它的上一級信任的基礎上的!因為它不是直接的信任者,它的信任主要是通過它的上一級來實現的!圖中,沒有myhat父域與One域的互相可傳遞的信任關系,是實現不了Beijing這個子域來實現與One域之間的互相信任關系!
因為不同域之間的訪問,需要調用各域的GC對域內進行查詢,這將使用我們的GC擁有更大的負荷,特別是在大量用戶進行其他域訪問時!而使用快捷信任則可以減少GC一些不必要的查詢,同時也減少自身的負荷!當然,在訪問速度上也會有所提升﹒
問題2:在沒有建立快捷信任前,森林之間如何訪問的?
有關這個問題我將使用下圖對你進行解釋:
由於網絡問題,這個東西寫了多次,有點亂!
現在我們來看看這張圖,我先詳述一下自己的了解!
1、處於Beijing.myhat.com的用戶B,需要訪問來自One.com裡的共享列印機,於是,它就向本域的服務器DC1申請針對one.com裡的列印機的服務票據SPN
2、本域服務器DC1查找自身的數據庫發現沒有,於是就向GC查詢。由於live計算機需要訪問的共享列印機不在本地域,是以GC也未能查找到需要的SPN。
3、GC將資訊回發給DC1,告訴他這個資源不在本地,你可以試著去父域myhat.com查詢!
4、DC1收到這個資訊後,將這個資訊再轉給live計算機。
5、Live計算機在收到這個資訊後,立即開始與myhat.com中的其中一個域控制器DC2取得聯系,詢問是否能夠申請到針對one.com裡的共享列印機SPN服務票據。
6、DC2開始查找自身的數據庫,發現沒有需要的SPN,於是便向GC查詢。
7、GC經過查詢發現這個也沒有這個SPN服務票據,於是就發資訊告訴DC2,到自己的被信任域one.com去問問看。
8、DC2收到這個資訊後,便將這個資訊發給LIVE計算機。
9、Live這台計算機收到資訊後,便開始與One.com域裡的其中一台域控制器DC3取得了聯系!並向其申請針對one.com共享列印機SPN服務票據!經DC3的查詢,發現這個資源在本地,於是LIVE便與DC3域中的KDC進行協商申請SPN服務票據。
10、live計算機取得了針對共享列印機的SPN服務票據。
11、Live計算機用所取得的票據順利的訪問到了共享列印機資源!
以上是Beijing.myhat.com這個子域裡的一台計算機在訪問one.com這個域裡的共享資源時,所需要走的過程~!在這個過程當中,子域Beijing.myhat.com和父域myhat.com的DC及GC需要不斷的查詢,想象一下如果有100台或是1000台計算機這栗並發訪問時,後果難以想象!---------------------------我是分割線
為了便於了解,筆者自己編了一個小故事:
備注:Z為計算機Live DC1為話務員A 子域GC 票務員A
DC2為話務員B 父域GC為票務員B DC3為話務員C
1、快年底了,有一個人Z要去看他女朋友,他女朋友家在陝西西安,他人在東莞萬江。他不知道應該從哪兒買票坐車,於是便打電話到萬江車站,詢問是否有直接到陝西西安的車。
2、萬江車站的話務員A接到電話後,查了一下數據庫,發現沒有。便向車站的票務員A進行查詢.
3、票務員A接到話務員的查詢後,發現自身的數據庫裡也沒有到直接到陝西西安的車,於是便告知話務員A他那裡沒有,不過東莞汽車站可能有,並告訴他東莞汽車站的電話號碼。
4、話務員A得到票務員A的回復後,將這個資訊再轉給Z。
5、OK有了電話號碼,Z開始打電話到東莞汽車站。
6、東莞汽車站話務員B接到電話,開始查找到陝西西安的車次,同樣也發現沒有。於是便向車站的票務員B查詢!
7、票務員B開始找啊找啊,也發現沒有!於是告訴話務員B,我這裡也沒有,你到廣州汽車站查一下吧!並告訴話務員B廣州汽車站的電話號碼。
8、東莞汽車站的話務員B將這個資訊告訴用戶Z。
9、歷經千辛萬苦,Z終於聯系到了廣州汽車站!
10、經過話務員C的查詢,發現有這個車次!於是Z便開始電話訂票。
11、Z拿到車票後,成功的上了到陝西西安的直通車!
有關森林信任的建立請點選:<b>實戰域信任第二部分之建立森林信任</b>