最佳實踐:創建活動目錄林信任
當你的活動目錄林只包含兩個域時,作為一名管理員,你一定覺得生活無限美好:很少有錯誤出現,客戶端接收快速的回應,且一般情況下事情按本應該的方式正常運作。
但是隨著越來越多的域上線,尤其是當你擴大成不同的林來進一步規定安全界線,這樣的情況需要更多的管理,尤其是當你開始指望信任關系來無縫地承擔所有事情之時。下面將提供一些管理信任關系的***實踐,它們讓認證可用,也讓AD基礎設施的管理更容易。
運用快捷信任來消除延遲。當你的活動目錄林中有很多樹包含多個子域時,延遲就悄悄降臨了。當你發現該客戶端花長時間認證,尤其是在這些子域間時,***方案是在每個樹層級中創建到中級域的快捷信任,如果可行的話。這些快捷信任本質上是雙向傳遞的信任關系,它們有效地減少了認證路經途徑的長度,該認證發生在位于兩個不同樹上的域與域之間。
創建這些快捷信任需要:
打開活動目錄域及信任,在左邊的窗口中右擊你想要與其建立快捷信任的域的域節點,然后點擊屬性。
在信任標簽上,點擊新信任關系,然后點擊下一步。
在信任名稱頁面,輸入該域的DNS名稱(或NetBIOS名稱),然后點擊下一步。
在信任方面頁面,選擇創建雙向的快捷信任(點擊雙向),或者如果你需要限制相互性的話選擇其中一個單向選項。
接下來是完成導航。
保持你林中所有信任關系的現有列表。這種方式,在你管理任務期間,你不須要弄明白為什么有些認證在工作而別的沒有,或者什么域單向信任另一個域而不是其它的等等。這在大型林或有多個林的企業中是常見的問題,因為很多管理員創建信任時并沒有為自己的工作創建足夠的文檔。有個微軟的工具叫NLTest,在其它有用的事情中,為所有域查詢信任狀態并顯示一個給定域信任的其它域。
舉例來說,要查看域中已建立的信任關系,使用nltest /domain_trusts。你看到的結果會像下方所示:
List of domain trusts: 0: testdomain.com testdomain.com (NT 5) (Forest Tree Root) (Primary Domain) The command completed successfully
執行一個好的備份并總是測試來保證你具有恢復能力。由于信任在其失去的事件中,要正確搭建它很復雜且很難恢復。為了保護你自己,確保所有林中每個域里的所有域控制器都有一個當前經過測試的系統狀態備份。系統狀態備份包含系統中任意時間點存儲的活動目錄信任數據。在恢復期間,域控制器進入到特殊模式中,這個模式允許它在所有其它在線域控制器上返回到復制過程:包括復制適當的信任信息,且不會產生或遭遇完整性錯誤。內置的Windows Server Backup產品包含合適的工具來引導這些系統狀態備份,但是其它已經在保護你數據中心的第三方產品也具有這些功能。
【編輯推薦】
