Trust بین دو Domain در Active Directory + انواع Trust در ویندوز سرور 2022
با نصب Active Directory روی یک سرور، یک دامنه یا بهعبارتی Domain ایجاد میشود. این فرآیند آن سرور را به اولین Domain Controller (کنترلکننده دامنه) در دامنهای که بهتازگی ایجاد شده، تبدیل میکند. با نگاهی به شبکه سازمانهای کوچک خواهیم دریافت که همان یک دامنه کفایت میکند. اما در سازمانهای بزرگتر این مسئله فرق میکند و گاهی حتی یک دامنه برای مدیریت اثربخش و سریع کافی نیست. سازمانهای بزرگتر، معمولا از دامنههای متعدد برای تفکیک بخشهای متشکل یا تابعه خود استفاده میکنند.
یک سرویس Active Directory ممکن است بهصورت سلسله مراتبی، شامل دامنههای دیگر شود. اما ممکن است تمامی منابع یک دامنه بهطور مستقیم در دسترس نباشند. مفهوم Trust این اجازه را میدهد تا کاربران، گروهها و سیستمهایی که در دامنههای مختلف مستقر هستند، به منابع دسترسی داشته باشند. هنگامی که در یک شبکه Active Directory، یک دامنه به دامنه دیگری trust دارد، می توانند منابع شان را با یکدیگر به اشتراک بگذارند. بنابراین، Active Directory Domain and Trust ابزاری برای کاربر است که بتواند در شبکه به منابعی از دامنه های دیگر دسترسی پیدا کند.
فهرست مطالب
تعریف Trust بین دو Domain در Active Directory
مفهوم Trust بین دو Domain
Trust یک رابطه منطقی بین دو دامنه یا Forest در Active Directory است که امکان تبادل احراز هویت و دسترسی به منابع را فراهم میکند. وقتی دو دامنه به یکدیگر Trust دارند، کاربران از یک دامنه میتوانند به منابع موجود در دامنه دیگر، مطابق با سطوح دسترسی تعریفشده، دسترسی پیدا کنند.
ویژگیهای کلیدی Trust
Authentication (احراز هویت): کاربران میتوانند در دامنه خود احراز هویت شوند اما به منابع دامنه دیگر دسترسی داشته باشند.
Authorization (مجوز): دسترسی به منابع بر اساس سطوح دسترسی تعریفشده تنظیم میشود.
مزایا Trust بین دو Domain
ایجاد Trust بین دو دامنه مزایای متعددی برای سازمانها و محیطهای IT به همراه دارد. در ادامه به مهمترین مزایا اشاره میکنیم:
دسترسی یکپارچه به منابع
با ایجاد Trust بین دو domain، کاربران یک دامنه میتوانند بدون نیاز به حساب کاربری جداگانه در دامنه دیگر، به منابع مشترک دسترسی داشته باشند. این ویژگی به کاهش پیچیدگی در مدیریت حسابهای کاربری و دسترسی کمک میکند.
کاهش هزینههای مدیریتی
Trust فرآیند مدیریت کاربران و منابع را تسهیل میکند و نیاز به مدیریت دستی حسابهای متعدد در دامنههای مختلف را کاهش میدهد. این امر باعث صرفهجویی در زمان و هزینه نیروی انسانی میشود.
مقیاسپذیری بالا
در سازمانهای بزرگ که ممکن است دهها یا صدها دامنه داشته باشند، Trust امکان مدیریت مقیاسپذیر ارتباطات بین دامنهها را فراهم میکند. این ویژگی بهخصوص در پروژههای مهاجرت و ادغام IT کاربرد دارد.
سهولت در مدیریت کاربران مهمان
اگر یک دامنه شامل کاربران خارجی (مانند شرکا یا مشتریان) باشد، میتوان با ایجاد یک One-Way Trust دسترسی کنترلشدهای را به منابع دامنه اصلی فراهم کرد، بدون آنکه کاربران خارجی به تمام منابع دسترسی داشته باشند.
افزایش همکاری بین واحدهای مختلف سازمان
اگر سازمان شما دارای چندین دامنه یا Forest است، Trust بین دو domain امکان اشتراکگذاری منابع، فایلها و برنامههای کاربردی بین واحدهای مختلف را فراهم میکند و همکاری را بهبود میبخشد.
بهبود امنیت
Trust بین دو domain اجازه میدهد که دسترسی به منابع به صورت کنترلشده و مبتنی بر سیاستهای امنیتی دامنهها انجام شود. شما میتوانید سطوح دسترسی را دقیقاً تنظیم کنید تا تنها کاربران مجاز به منابع دسترسی داشته باشند.
کاهش تاخیر در احراز هویت (Authentication)
با استفاده از Shortcut Trust، مسیرهای احراز هویت بین دامنهها کوتاهتر میشوند، که این امر زمان لازم برای دسترسی به منابع را کاهش داده و تجربه کاربری بهتری را ارائه میدهد.
انتقالپذیری Trust
انتقال پذیری تعیین می کند که آیا یک trust می تواند خارج از دو دامنهای که با آن شکل گرفته است گسترش یابد یا خیر:
- Transitive Trust انتقالپذیر
- Non-Transitive trust غیر انتقالپذیر
Transitive Trust
اساسا یک رابطه دو طرفه است که به طور خودکار بین Parent Domain و Child Domain در Microsoft Active Directory Forest ایجاد می شود. هنگامی که یک Domain ایجاد میشود، بهطور پیشفرض منبع را با Domain اصلی خود به اشتراک میگذارد و کاربران تأیید شده را قادر میسازد تا به منبعی در Child و Parent دسترسی داشته باشند.به عنوان مثال، در یک رابطه Active Directory transitive trust ، اگر دامنه A (a.com) به دامنه B (b.com) تراست داشته باشد و دامنه B با دامنه C (c.com) یک Transitive Trust داشته باشد، بنابراین trust بین دو domain اول و آخر (A و C) نیز برقرار است.
Non-Transitive trust
در این نوع، اگر دامنه A به دامنه B trust داشته باشد، و دامنه B دارای یک non-transitive trust با دامنه C باشد. در این مورد، حتی با اینکه دامنه A یک پیوند غیرمستقیم به دامنه C از طریق دامنه B دارد، با آن trust ندارد. زیرا دامنه C یک non-transitive است.
جهت Trust
در Active Directory در دو جهت میتوان رابطه trust برقرار کرد: Trust یک طرفه یا One way Trust و Trust دو طرفه یا Two-way Trust
Trust یک طرفه
این بدان معنی است که وقتی یک trust بین دو domain برقرار است، آن trust به صورت برعکس اتفاق نمی افتد. از این رو، تنها یک trust یک طرفه جریان دارد.به عنوان مثال، اگر دامنه A دارای trust یک طرفه با دامنه B باشد، دامنه A به دامنه B trust دارد و می تواند به منبعی از دامنه B دسترسی داشته باشد. اما دامنه B به دامنه A trust ندارد و نمی تواند به منبعی از دامنه A دسترسی پیدا کند.
Trust دو طرفه
این بدان معتی است که وقتی یک trust بین دو domain برقرار است، بهصورت برعکس هم این رابطه وجود دارد. بنابراین، هر دو دامنه می توانند به منبع همدیگر دسترسی داشته باشند.به عنوان مثال، اگر دامنه A دارای trust دو طرفه با دامنه B باشد، به طور خودکار به این معنی است که دامنه B نیز به دامنه A trust دارد و هر دو دامنه می توانند منابع را بین خود به اشتراک بگذارند.
انواع Trust بین دو Domain در Active Directory
Parent-child Trust
Shortcut Trust
Tree-Root Trust
Realm Trust
Forest Trust
External Trust
Parent-child Trust
Parent-child Trust (اعتماد والدین به فرزند) به طور ضمنی ایجاد می شود. این یک اعتماد two-way transitive است. هنگامی که یک Child Domain به Parent Domain اضافه می شود، Parent-Child Trust به طور خودکار ایجاد می شود. هنگامی که یک Child Domain جدید اضافه می شود، مسیر trust از طریق سلسله مراتب دامنه به سمت بالا جریان می یابد.
Tree-Root Trust
Tree-root trust نیز یک two-way transitive trust شبیه parent-child trust است. هنگامی که یک domain tree جدید در یک forest ایجاد می شود، یک tree-root trust به طور خودکار بین new domain tree و همه tree domains های خروجی ایجاد می شود.
Forest Trust
Forest trust یک transitive trust است و می تواند trust یک طرفه یا دو طرفه داشته باشد. Forest Trust به صورت دستی ایجاد می شود، one-way transitive یا two-way transitive که به شما امکان می دهد دسترسی به منبع بین چندین Forest را فراهم کنید.
بنابراین trust بین دو domain نیازمند رزولوشن DNS بین Forestها دارد. Forest Trust را نمی توان به Forest های دیگر تعمیم داد، برای مثال، اگر Forest1.com به Forest2.com اعتماد کند، و trust دیگری بین Forest2.com و Forest3.com ایجاد شود، Forest1.com اعتماد ضمنی ندارد. اگر trust مورد نیاز است، باید به صورت دستی ایجاد شود.
Shortcut Trust
Shortcut trust به صورت دستی trustهای one-way و transitive trusts ایجاد می کند. فقط می توانند در یک Forest وجود داشته باشند و برای بهینه سازی فرآیند احراز هویت و کوتاه کردن مسیر trust ایجاد شده اند. این trust ها زمانی ایجاد می شوند که یک دامنه نیاز به trust به دامنه دیگر با دور زدن سلسله مراتب trust هایی مانند parent-child trust و Tree-root trusts داشته باشد.
External Trust
External trust یک trust one-way non-transitive است. این trust ها به صورت دستی ایجاد می شوند. یک external trust با یک external domain خارج از Forest trust ایجاد می کند.
Realm Trust
این نوع trust، بین یک دامنه یا یک Forest با دامنه یا یک Forest دیگر که مبتنی بر Active Directory ویندوز نیست ایجاد می شود. می توان یک Realm Trust ایجاد کرد تا دسترسی به منابع و قابلیت همکاری بین پلتفرمی، بین یک دامنه AD DS و Kerberos v5 قلمرو غیر ویندوزی ایجاد شود.
پیشنیاز Trust بین دو Domain Forest
همانطور که از تیتر مقاله پیداست، قصد داریم نحوه trust بین دو Domain Forest را پیاده سازی کنیم. بنابراین ما نیاز به دو Forest جداگانه داریم.
ویندوز سرور اول
- نسخه: Windows Server 2022 Datacenter GUI
- نقش: Active Directory Domain Controller
- Forest Root: hiva.local
ویندوز سرور دوم
- نسخه: Windows Server 2022 Datacenter GUI
- نقش: Active Directory Domain Controller
- Forest Root: project.local
تنظیمات شبکه
هر دو دامنه باید از نظر شبکه به یکدیگر دسترسی داشته باشند (Ping شدن بین دامنهها).
پورتهای مورد نیاز برای Trust باید باز باشند (مانند پورت ۱۳۵، ۱۳۹، ۴۴۵).
تنظیمات DNS
دامنهها باید بتوانند نام دامنه یکدیگر را از طریق DNS حل کنند (Name Resolution).
برای این کار میتوانید از Conditional Forwarders یا Secondary Zones استفاده کنید. برای آشنایی بیشتر با انواع zone میتوانید به مقاله ایجاد و پیکربندی DNS Zone در ویندوز سرور 2022 مراجع کنید.
سطوح دسترسی مناسب
کاربرانی که Trust بین دو Domain را ایجاد میکنند باید دسترسی Administrator در هر دو دامنه داشته باشند.
همگامسازی زمان (Time Sync)
دامنهها باید با یکدیگر همگام باشند. اختلاف زمانی بیش از ۵ دقیقه میتواند مشکلات احراز هویت ایجاد کند.
آموزش Trust بین دو Domain
اولین قدم برای trust دو Domain Forest این است که دو دومین با یکدیگر ping اسمی یا دامنه داشته باشند. بنابراین وارد بخش تنظیمات DNS شده و آدرس IP هریک از دامنه ها را در بخش DNS دامنه مقابل وارد می کنیم. سپس برای اطمینان از اینکه با یکدیگر ارتباط دارند از بخش استارت CMD را باز کرده و ping دامنه می گیریم تا مطمئن شویم با یکدیگر ارتباط دارند. فرقی نمی کند که از کدام دامنه برای ایجاد trust استفاده کنید، چون هدف ما ایجاد یک trust دو طرفه بین دو Domain Forest است. در اینجا دامنه hiva.local را انتخاب کرده و تمامی مراحل زیر را روی این دامنه انجام می دهیم.
طبق عکس زیر از نوار ابزار بالا، روی Tools کلیک کرده و گزینه دوم یعنی Active Directory Domains and Trusts را انتخاب می کنیم.
روی نام دامنه راست کلیک می کنیم و Properties می گیریم.
وارد تب trust می شویم و از قسمت پایین روی New Trust کلیک می کنیم.
در اولین قدم Next را می زنیم.
همانطور که در تصویر زیر مشاهده می کنید در این مرحله اسم domain مقصدی که قرار هست به آن trust شویم پرسیده می شود. چون قبلا روی دامین hiva.local قرار داریم، بنابراین در این قسمت اسم دامین مقابل یعنی project.local را وارد می کنیم و Next را می زنیم.
در قسمت Trust Type از ما نوع trust بین دو domain را می خواهد. چون ما قصد ایجاد Transitive Trust داریم و از طرفی دو Domain Forest جداگانه داریم بنابراین trust بین دو domain در سطح Forest انجام خواهد شد، پس در این قسمت گزینه Forest Trust را انتخاب می کنیم.
در این مرحله از ما جهت trust پرسیده می شود که ما گزینه Two Way Trust را انتخاب کرده تا یک trust دوطرفه داشته باشیم.
در بخش Sides of trust باید Permission یا سطح دسترسی DC ها را تعیین کنیم. وقتی گزینه Both of this domain and the specified domain را انتخاب می کنیم در واقع تعیین می کنیم که این تنظیمات در هر دو DC انجام شود. یعنی تمامی تنظیماتی که در hiva.local در حال پیاده سازی است در project.local هم اجرا شود.
چون در مرحله قبل تنظیمات را برای هر دو DC انتخاب کردیم، در این مرحله باید یک Username و Password از DC مقابل یعنی project.local وارد کنیم.
در این مرحله باید سطح دسترسی و احراز هویت مربوط به کاربران دامنه فعلی یعنی hiva.local را تعیین کنیم. در حالت Forest wide Authentication سطح دسترسی را برای کلیه کاربران دامین لوکالی لحاظ می کنیم و در حالت Authentication Selective می توانیم به صورت سطح به سطح و کاربر به کاربر سیستم احراز هویتی را پیاده سازی کنیم.حالت Authentication Selective برای مواردی استفاده می شود که trust بین دو domain را فقط برای عده خاصی از کاربرانمان در نظر داشته باشیم. در این قسمت گزینه Forest wide Authentication را انتخاب می کنیم.
در این مرحله هم همان تنظیمات مرحله قبل را انجام می دهیم.یعنی Forest wide Authentication را اتنخاب می کنیم. اما اینبار برای یوزرهای دامین مقابل یعنی project.local تعیین می کنیم که همین تنظیمات در آن دامین نیز اعمال شود.
در این قسمت خلاصه ای از تنظیماتی که تا بحال انجام داده ایم را نشان می دهد. Next می زنیم.
برای تأیید نهایی، از ما تنظیمات Incoming و Outgoing پرسیده می شود که هر دوی آنها را تایید کرده و گزینه Yes را انتخاب می کنیم.
Finish را می زنیم و trust بین دو Domain Forest ایجاد می شود.
حالا مجددا به تنظیمات Active Directory Domains and trusts می رویم و روی دامنه hiva.local راست کلیک کرده و property می گیریم و وارد تب trust می شویم.طبق عکس زیر مشاهده می کنیم که دامنه hiva.local با دامنه Project.local تراست شده است و ما توانستیم trust بین دو Domain Forest را ایجاد کنیم.
اگر همین مراحل را در دامنه مقابل یعنی project.local برویم نیز مشاهده می کنیم که دامنه hiva.local تراست شده است. پس trust بین دو domain برقرار است.
مثالی برای درک بهتر
برای درک بهتر نحوه trust بین دو Domain Forest برای شما مثالی می زنیم:
یک Folder ساده به نام Share در دامین hiva.local ساخته ایم و می خواهیم به اشتراک بگذاریم. برای این کار ابتدا روی فولدر راست کلیک کرده و properties را انتخاب می کنیم. از تب Sharing و سپس Security برای به اشتراک گذاشتن فولدر مورد نظر اقدام می کنیم. زمانی که می خواهیم در Advanced Sharing و تب Security به فولدر Permission بدهیم بعد از Add کردن، می توانیم در کادر Location دامنه هایی که به آنها trust داریم را مشاهده کنیم.
همانطور که در ابتدای مثال توضیح دادیم، ما در دامنه hiva.local هستیم، اما به دلیل trust بین دو domain که hiva.local و progect.local هستند، ما می توانیم برای کاربران progect.local فولدر به اشتراک بگذاریم و به تمامی کاربران این دامنه نیز دسترسی داریم.
ویدیوی آموزشی نحوه Trust
برای مشاهده نحوه Trust بین دو Domain Forest می توانید ویدیوی زیر را مشاهده کنید.
تست و رفع اشکال trust بین دو domain
تست احراز هویت کاربران
از ابزارهایی مانند Active Directory Users and Computers (ADUC) استفاده کنید تا مطمئن شوید کاربران از دامنه دیگر میتوانند به منابع دسترسی داشته باشند.
رفع مشکلات DNS
اگر مشکلی در Name Resolution وجود دارد، تنظیمات DNS را مجدداً بررسی کنید.
بررسی Event logs
وارد Event Viewer شوید و لاگهای مربوط به Trust و احراز هویت را بررسی کنید.
نتیجهگیری
ایجاد Trust بین دو domain در Active Directory یکی از قابلیتهای کلیدی برای مدیریت منابع در شبکههای بزرگ است. با درک انواع Trust، پیشنیازها و مراحل عملی ایجاد آن، میتوانید بهسادگی این قابلیت را در سازمان خود پیادهسازی کنید و بهرهوری سیستمها را افزایش دهید.
تست و نمونه سوال بینالمللی
برای دریافت تست و نمونه سوال بینالمللی شامل Trust بین دو Domain، روی دکمه زیر کلیک کنید.
خدمات ما در مجموعه هیواشبکه شامل :
شرکت فنی و مهندسی هیوانوآوران داده گستر : مجری طراحی ، پیاده سازی ، پشتیبانی پروژه های شبکه و امنیت در استان گیلان – رشت و شهرها و استانهای همجوار
آموزشگاه تخصصی هیواشبکه : برگزار کننده دوره های تخصصی شبکه و امنیت ، پیکربندی سرور HP ، مجازی سازی ، MCSA 2022 ، نتورک و … به صورت حضوری با مجوز از سازمان فنی و حرفه ای و آموزش کارکنان دولت در رشت ، استان گیلان و به صورت مجازی در سراسر کشور
هیچ دیدگاهی نوشته نشده است.