域的信任关系

域的信任关系什么是信任关系信任关系是用于确保一个域的用户可以访问和使用另一个域中的资源的安全机制。根据传递性分，信任关系可分为可传递信任关系和不可传递信任关系。根据域之间关系分，WINDOWS信任关系可分为四种。1．双向可传递父子信任关系2．树与树之间的双向可传递信任关系3．同一个森林两个域之间的快捷方式信任关系外部信任关系，建立不同的域或者不同的森林。WINDOWS域和非WINDOWS域，NT域2000域。一般都是不可传递的单向信任关系。森林信任，2000的森林信任关系是不可传递的。信任仅仅存在与森林根域之间。2003的信任是双向可传递的信任关系。只要在根域创建了森林信任。域里面的所有用户都建立了信任关系。创建信任关系的考虑，域中有一定量用户要求长期访问某个域中的资源。由于安全理由，区分了资源域和账号域部分信任关系默认存在。处于减少上层域DC/GC压力，可创建快捷方式信任关系站点简介♦站点是一个物理概念♦定义处于同一个物理区域的一个或多个子网中的用户对象。优化用户登陆，访问优化AD复制站点连接站点内用更新宣告的方式来获取更新，传输是非压缩的传输，占用的带宽和数据量比较大站点之间使用站点连接器进行复制，可以设置复制时间和复制间隔，占用多少带宽和采用什么样的协议等。可以设置开销和复制时间，值越小，优先级别越高。部署站点的最佳实践。根据复制需求来定制站点间的复制间隔和复制时间。对于大环境，建议关闭ITSG,手动配制复制链接AD排错工具EnableNDSIdiagnosticslog获取详细的底层信息修改注册表MACHINE\system\currentconti\services\ntds\diagnostcs取值范围：0——3调整目录服务日志的大小，以便存放产生的日志其他工具DCDIAG分析域控制器的状态针对域控制器特定的功能执行测试NETDOM管理和检查信任关系确认数据库复制是否正常NETDIAG进行网络功能的诊断NETDIAG/VNETDIAG/DEBUG>netdag.txt输出详细的网络信息到TXT文件然后用NETPAD（纪事本）打开DNS与AD活动目录DNS服务器在AD中，除了提供名称格式的支持服务。一般的名称到IP地址的查询外，最重要的作用是纪录域控制器与全局编录服务器的相关信息。并向客户端提供这些重要信息域控制器会在DNS服务器上注册，注册的纪录不仅包括主机纪录（A纪录），而且包括相应的服务记录（SRV纪录），类似于：-ldap._tcp.dc._,6上面这条纪录代表XYZ.com域的域控制器是DCSERVER1.XYZ.COM客户端需要查询这些纪录，才能找到域控制器，并完成用户登陆，AD查询工作等AD的正常工作。依赖于DNS服务器的正确配制和正常工作个人经验中至少一半的AD故障都源与DNS的配置问题。_msdcszone_msdcs区域中包含所有域控制器的服务纪录（SRV纪录）AD森林根域中的_msdcs区域中还额外包含森林中所有的全局编录服务器的纪录。_msdcs区域的作用是为了定位域控制器和全局编录服务器，如果该区域不存在或者纪录不正确，AD会出现故障。在2003里，该纪录被单独按一个项目创建。Resolvednsconfigurationproblem使用NSLOOKUP来验证DNS记录是否完整如果DNS记录缺失，通过以下方法来进行修复重新启动NETLOGON服务使用nltest.exe/dsregdns注意DNS配置要求，允许动态更新，区域名称和AD域名要一致，DNS服务器本身需要配置域名后缀等。、Nltest.exe/dsregdns修复域控制器服务复制过程的排错DC之间所要复制的内容。目录服务复制，AD对象，用户计算机文件复制服务FRSSYSVOL登陆脚本，组策略等复制相关故障排除的工具图形工具ACTIVEDIRECTORYREPLICATONMONITOR检查AD复制的。图形化显示复制拓补强制复制命令行工具REPADMIN诊断域控制器间复制故障确认复制伙伴确认活动目录对象复制来源强制复制域控制器只复制SYSVOL共享文件夹NETLOGON共享低版本客户端的登录脚本和系统策略SYSVOL共享为WIN2000及以后的客户端提供组策略命令行工具NTFRSUTL检查文件复制状态检查复制日程安排强制轮询检查复制集常见问题？？拒绝访问由于存在DNS查找故障，DNA操作无法继续操作被排队或者没有显示任何复制链接复制访问被拒绝或者正在删除名称上下文站点之间存在重复的连接对象多个域控制器中所应用的组策略不一致目录服务因太忙而无法完成操作。AD域错误提示及解决办法。1.这个机器是在目录林根域的PDC,请用“NETTIME/SETSMT：SERVERNAME”配置外部时间源同步。解决办法：在根域PDC模拟器角色上配置外部时间源：在命令行提示符下，运行：NETTIME/SETSNTP:时间服务器，时间服务器可以设置为外部时间源，如,或者其他的时间服务器：等待客户机自动进行时钟同步，或者手动运行：NETSTOPW32TIMEW32TM-ONCENETSTARTW32TIME在windowsxp和windowsserver2003上需要运行：W32tm/resync需要在防火墙上允许PDC访问INTERNET上的时间服务器，开启到INTERNET时间服务器的UDP123端口访问。2．用户登陆，访问服务器经常出现“由于时钟差异，访问拒绝”的提示。跟kerberos协议有关所有的计算机（包括客户机和服务器，操作系统为win2000及以上，会自动将根域的PDC模拟器作为时间服务器，W32TIME（windowstime）服务按照一定的周期进行时钟校正：从计算机启动开始，尝试以45分钟作为时间间隔，联系时间服务器，进行时钟同步如果成功同步，以8小时为间隔，进行同步验证如果同步失败，开始尝试进行时钟同步。为了保证时间服务器正常工作，在根域的PDC模拟器上建议设置外部时间源，指向INTERNET上的时间服务器，在其他计算机上，确保WINDOWSTIME服务正常启动。Kerberos协议要求计算机时钟同步经过分析，发现客户端计算机启动的某个应用程序，会在启动时与服务器进行时钟校验而该服务器时钟与域控制器时钟存在差异（约45分钟）将域控制器时钟与服务器同步，并建议设统一时间源另外请注意，在windowsserver2003上，如果正确配置了外部时间源，但无法与时间源进行时钟同步时，可能标明您需要相应的补丁。3．某客户报告，客户端启动缓慢，在出现“正在准备网络连接”提示时，会长时间的停留。经检查发现，客户端计算机虽然正确配置了DNS服务器地址，但在同时作为域控制器的DNS服务器上，发现没有相应的DNS纪录客户使用了SOMEDOMAIN形式的域名故障原因：windows2000xp2003不在顶级域下注册DNS记录解决方法：1，修改注册表2，使用组策略在客户现场，临时使用了手动加载NETLOGON.dns文件的方法。4．某用户对网络进行结构调整，以提高安全性将所有服务器移动到同一子网，并使用硬件防火墙在服务器子网和客户端计算机所在子网之间进行地址转换（NAT）两台windows2000域控制器被移动到服务器子网。所有客户端计算机位于另外子网。客户端计算机可以访问域控制器的共享文件夹，DNS服务。但是客户端计算机无法登录域原因：防火墙只是转换了IP包头中的IP地址，没有转换NETBIOS数据包头中的源IP地址NETBIOS数据报的用途：查找登录服务器发送登录请求进行域同步浏览服务主机名称宣告浏览服务工作组/域宣告住浏览服务器存在和选举包NETSEND/D：<DOMAIN>“MESSAGE”需要确认防火墙支持NETBIOS数据报包头转换。5．某用户报告，所有用户在注销时，都会提示与网络上某个共享文件夹进行同步，但是实际上该文件夹并没有开启文件缓存功能，同时也没有任何登录和注销脚本与此相关。用户担心这是安全问题。经过检查，发现该文件夹下存放所有用户的APPLICATIONDATA目录，应该是由于文件夹重定向策略引起的。但是经过所有目前的组策略对象。没有发现有相应的策略设置对象。使用GPMC进行分析。确认是管理人员曾经的测试所引起的。在策略对象中重新定向目录到用户本地计算机。GPMC进行组策略的分析。6：某客户在两年前将同一windowsNT4域的两台域控制器升级到windwsserver2000域控制器，升级后未正确配置DNS服务，导致两年来两台域控制器在同步上一直存在故障，出现用户无法正常修改口令，经常性登陆失败。用户曾经尝试卸载其中一台域控制器，打算重新安装，但是卸载失败。将其中一台域控制器卸载，然后重新安装，是较好的方法采用将其中一台与网络隔离，强制转移操作主机角色，然后卸载（如果正常卸载失败还可以考虑通过修改注册表的方法）在保留的域控制器上，使用NTDSUTIL工具清除已卸载域控制器记录信息。正确配制DNS服务重新安装域控制器。1．使用修改注册表的方法卸载域控制器2.NTDSUTIL清除残存的域控制器信息。操作主机角色详解背景知识单主模式只能对系统中某一特定结点进行修改其他结点都以该结点为准进行复制多主模式可以对系统中任意结点进行修改相互复制机制冲突及冲突解决机制操作主机的引入WINDOWSNT域PDC主域控制BDC副域控制器WINDOWS2000/2003活动目录域DC操作主机OM以前又叫做FSMO操作主机类型森林级别架构主机域命名主机域级别RID主机PDC模拟主机基础架构主机架构主机功能控制活动目录中所有对象，属性的定义提示Regsvr32schmmgmt.dllSchemaAdmins组域命名主机功能控制森林内域的添加和删除添加和删除对外部目录的交叉引用对象提示建议与GC配制在一起EnterpriseAdmins组RID主机功能管理域中对象相对标示符RID池提示对象安全标识符=域安全标识符+相对标识符RIDPDC模拟主机功能模拟WindowsNTPDC默认的域主浏览器默认的域内权威时间源统一管理域账号密码更新，验证及锁定提示PDC模拟主机不仅仅是模拟NTPDC一般负荷较大基础结构主机功能负责对跨域对象引用进行更新提示单域情况下基础结构主机不需要工作不能同时和GC配置在一起如何察看操作主机角色用图形界面工具用命令行工具NTDSUTILNETDOMDCDIAG其他操作主机的放置默认情况架构主机在森林根域的第一台DC上域命名主机在森林根域的第一台DC上其他三个主机在各自域的第一台DC上问题和GC的冲突性能考虑操作主机的放置手工优化基础结构主机与GC不要放在一起域命令主机与GC放一起架构主机与域命名主机可放一起PDC模拟主机建议单独放置操作主机的转移和抓取转移图形界面工具命令行NTDSUTIL抓取图形界面工具命令行NTDSUTIL操作主机故障架构主机影响更改域结构受影响短期内一般看不到影响典型问题如不能安装EXCHANGE处理需要确定原OM为永久性脱机才可抓取确保目标DC为具有最新更新的DC操作主机故障域命名主机影响更改域结构受影响短期内一般看不到影响典型问题如添加删除域处理需确定原OM为永久性脱机才可抓取确保目标DC具有最新更新的DC操作主机故障RID主机影响无法获得新的RID池分配典型问题如无法新建大量用户账户处理需确定原OM为永久性脱机才可抓取确保目标DC为具有最新更新的DC操作主机故障PDC模拟主机影响低端客户不能访问AD不能更改域账户密码浏览服务问题时间同步问题处理需要比较及时的恢复可以临时抓取到其他DC在原OM恢复后可以抓取回去操作主机故障基础架构主机影响外域帐号不能识别，标记为SID处理需要比较及时的恢复可以临时抓取到其他DC在原OM恢复后可以抓取回去。清理需移除的DC留下的残留数据S/?id=216498抓取操作主机角色到另外一台DCS/?id=25550