最佳實踐:創(chuàng)建活動目錄林信任
當你的活動目錄林只包含兩個域時,作為一名管理員,你一定覺得生活無限美好:很少有錯誤出現(xiàn),客戶端接收快速的回應,且一般情況下事情按本應該的方式正常運作。
但是隨著越來越多的域上線,尤其是當你擴大成不同的林來進一步規(guī)定安全界線,這樣的情況需要更多的管理,尤其是當你開始指望信任關(guān)系來無縫地承擔所有事情之時。下面將提供一些管理信任關(guān)系的***實踐,它們讓認證可用,也讓AD基礎設施的管理更容易。
運用快捷信任來消除延遲。當你的活動目錄林中有很多樹包含多個子域時,延遲就悄悄降臨了。當你發(fā)現(xiàn)該客戶端花長時間認證,尤其是在這些子域間時,***方案是在每個樹層級中創(chuàng)建到中級域的快捷信任,如果可行的話。這些快捷信任本質(zhì)上是雙向傳遞的信任關(guān)系,它們有效地減少了認證路經(jīng)途徑的長度,該認證發(fā)生在位于兩個不同樹上的域與域之間。
創(chuàng)建這些快捷信任需要:
打開活動目錄域及信任,在左邊的窗口中右擊你想要與其建立快捷信任的域的域節(jié)點,然后點擊屬性。
在信任標簽上,點擊新信任關(guān)系,然后點擊下一步。
在信任名稱頁面,輸入該域的DNS名稱(或NetBIOS名稱),然后點擊下一步。
在信任方面頁面,選擇創(chuàng)建雙向的快捷信任(點擊雙向),或者如果你需要限制相互性的話選擇其中一個單向選項。
接下來是完成導航。
保持你林中所有信任關(guān)系的現(xiàn)有列表。這種方式,在你管理任務期間,你不須要弄明白為什么有些認證在工作而別的沒有,或者什么域單向信任另一個域而不是其它的等等。這在大型林或有多個林的企業(yè)中是常見的問題,因為很多管理員創(chuàng)建信任時并沒有為自己的工作創(chuàng)建足夠的文檔。有個微軟的工具叫NLTest,在其它有用的事情中,為所有域查詢信任狀態(tài)并顯示一個給定域信任的其它域。
舉例來說,要查看域中已建立的信任關(guān)系,使用nltest /domain_trusts。你看到的結(jié)果會像下方所示:
List of domain trusts: 0: testdomain.com testdomain.com (NT 5) (Forest Tree Root) (Primary Domain) The command completed successfully
執(zhí)行一個好的備份并總是測試來保證你具有恢復能力。由于信任在其失去的事件中,要正確搭建它很復雜且很難恢復。為了保護你自己,確保所有林中每個域里的所有域控制器都有一個當前經(jīng)過測試的系統(tǒng)狀態(tài)備份。系統(tǒng)狀態(tài)備份包含系統(tǒng)中任意時間點存儲的活動目錄信任數(shù)據(jù)。在恢復期間,域控制器進入到特殊模式中,這個模式允許它在所有其它在線域控制器上返回到復制過程:包括復制適當?shù)男湃涡畔ⅲ也粫a(chǎn)生或遭遇完整性錯誤。內(nèi)置的Windows Server Backup產(chǎn)品包含合適的工具來引導這些系統(tǒng)狀態(tài)備份,但是其它已經(jīng)在保護你數(shù)據(jù)中心的第三方產(chǎn)品也具有這些功能。
【編輯推薦】
