当你的活动目录林只包含两个域时,作为一名管理员,你一定觉得生活无限美好:很少有错误出现,客户端接收快速的回应,且一般情况下事情按本应该的方式正常运作。
但是随着越来越多的域上线,尤其是当你扩大成不同的林来进一步规定安全界线,这样的情况需要更多的管理,尤其是当你开始指望信任关系来无缝地承担所有事情之时。下面将提供一些管理信任关系的***实践,它们让认证可用,也让AD基础设施的管理更容易。
运用快捷信任来消除延迟。当你的活动目录林中有很多树包含多个子域时,延迟就悄悄降临了。当你发现该客户端花长时间认证,尤其是在这些子域间时,***方案是在每个树层级中创建到中级域的快捷信任,如果可行的话。这些快捷信任本质上是双向传递的信任关系,它们有效地减少了认证路经途径的长度,该认证发生在位于两个不同树上的域与域之间。
创建这些快捷信任需要:
打开活动目录域及信任,在左边的窗口中右击你想要与其建立快捷信任的域的域节点,然后点击属性。
在信任标签上,点击新信任关系,然后点击下一步。
在信任名称页面,输入该域的DNS名称(或NetBIOS名称),然后点击下一步。
在信任方面页面,选择创建双向的快捷信任(点击双向),或者如果你需要限制相互性的话选择其中一个单向选项。
接下来是完成导航。
保持你林中所有信任关系的现有列表。这种方式,在你管理任务期间,你不须要弄明白为什么有些认证在工作而别的没有,或者什么域单向信任另一个域而不是其它的等等。这在大型林或有多个林的企业中是常见的问题,因为很多管理员创建信任时并没有为自己的工作创建足够的文档。有个微软的工具叫NLTest,在其它有用的事情中,为所有域查询信任状态并显示一个给定域信任的其它域。
举例来说,要查看域中已建立的信任关系,使用nltest /domain_trusts。你看到的结果会像下方所示:
List of domain trusts: 0: testdomain.com testdomain.com (NT 5) (Forest Tree Root) (Primary Domain) The command completed successfully
执行一个好的备份并总是测试来保证你具有恢复能力。由于信任在其失去的事件中,要正确搭建它很复杂且很难恢复。为了保护你自己,确保所有林中每个域里的所有域控制器都有一个当前经过测试的系统状态备份。系统状态备份包含系统中任意时间点存储的活动目录信任数据。在恢复期间,域控制器进入到特殊模式中,这个模式允许它在所有其它在线域控制器上返回到复制过程:包括复制适当的信任信息,且不会产生或遭遇完整性错误。内置的Windows Server Backup产品包含合适的工具来引导这些系统状态备份,但是其它已经在保护你数据中心的第三方产品也具有这些功能。
【编辑推荐】
