Zaupanja med domenami

Nastavitve zaupanja med domenami so izredno pomembne. Pri migraciji računalnikov, uporabnikov oz. AD objektov, se morata dva krmilnika povezati kot zaupanja vredna za normalen pretok podatkov med bazami. Seveda obstaja čarovnik in grafični vmesnik za postavitev zaupanja vredne domene. Enostavno izberemo nov trust, torej povezavo dveh drevesnih struktur, pomembno je le, da vnaprej določimo nivo in način zaupanja. Vse je odvisno od želenega rezultata.

V našem primeru, kjer imamo dve različni in ločeni drevesni strukturi aktivnega imenika, bo zaupanje na nivoju drevesa.

Sledi smer zaupanja – tako kot v medosebnem odnosu si morata oba objekta medsebojno zaupati, torej zaupanje je dvosmerno oz. vzajemno. Potrjevanje zaupanja izhaja iz obeh koncev vpletenih sistemov, torej si morata source.domain.local in target.domain.local navzkrižno potrditi in dovoliti zaupanje.

To sproži potrditveno reakcijo in algoritem potrjevanj v domenskih krmilnikih, kjer so v podatkovni bazi shranjeni vzajemni zaupanja vredni podatki.

Življenjski primer tovrstnega dejanja je poroka, kjer si oba zaupata in potrditev tega pride iz obeh koncev, oba rečeta »DA«. Materialni simbol zaupanja je lahko na primer poročni prstan.

V ta namen med domenama vzpostavimo nivo zaupanja dvosmerno. Ti zaupaš meni toliko, kot jaz zaupam tebi. Vzajemni način.

 

Postopek zaupanja se lahko prične na izvorni ali ciljni domeni, kajti iz obeh koncev lahko potrjujemo zadevo, ker predpostavljamo, da smo tudi skrbniki na obeh koncih. V nasprotnem primeru se je potrebno uskladiti z drugimi skrbniki na ciljni oziroma izvorni domeni glede potrjevanje zaupanja.

Na domenskem krmilniku izvorne domene odpremo konzolo »Active Directory Domain and Trusts«, v čarovniku za kreiranje trusta izberemo opcije:

  • Trust type: External trust
  • Tust direction: Two-way
  • Sides of Trust: Both this domain and the specified domain
  • User Name and Password: uporablja se račun s skrbniškimi pooblastil v izvirni domeni in pripadajoče geslo.
  • Outgoing Trust Authentication Level – Local Domain: Domain-wide authentication
  • Outgoing Trust Authentication Level – Specified Domain: Domain-wide authentication
  • Trust Selection Complete: Next
  • Confirm Outgoing Trust: Yes, confirm the outgoing trust
  • Confirm Incoming Trust: Yes, confirm the incoming trust
  • Completing the New Trust Wizard: Finish
  • Active Directory Domain Services: Potrdimo opozorilo o vklopu privzetega filtriranja SID-ov (»SID History filtering«).
  • Kasneje tudi onemogočimo SID History filtering, je potrebno v času migracije. Glej spodaj.