SharePoint 2010、2013多个域之间互信（Domain Trust）的设计与实施

用户1161731

发布于 2018-01-11 15:33:15

2.3K0

发布于 2018-01-11 15:33:15

在现实的业务场景中，有时为了更好的管理域用户和服务。我们往往会创建多个分散式的域，每个域的Administrator专注于维护特定域中的用户和资源，Administrator也可以定义安全策略，比如账号策略等。

场景介绍

现有如下场景，一个二层拓扑的SharePoint Farm包含一台SharePoint Server，DB Server，AD（假设Contoso.com），毫无疑问AD Contoso.com承载了SharePoint的身份认证。现需要再加入一台AD（假设为Mintcode.Local），如下图所示：

如上图所示那样，contoso.com与mintcode.local之间建立了单向（One-Way）的外传信任关系，即Contoso.com信任Mintcode.Local。这样Mintcode.local域中用户能被Contoso.com域验证，但Contoso.com域中用户不能被mintcode.local域认证。

理清了业务场景后，接下来就是怎样去实现了。

准备工作

回顾下上述的拓扑图，有如下两台AD域服务器：

Contoso.com的IP 地址：192.168.123.14 Mintcode.local的IP 地址：192.168.16.7

好了，磨刀不误砍柴工，让我们开始实现吧，首先需准备如下工作——

域服务器之间必须有同样的域功能级别（Domain Functional Level），因为承载了SharePoint 身份认证的域服务器已经是域控了，那么另一台AD也必须提升域功能级别为域控。

打开Active Directory域和信任关系à选中Domainà提升域功能级别

DNS或者NETBIOS能够互相被解析，即 Ping 域名可以解析成对应的IP 地址或者nslookup域名也可以成功诊断DNS结构信息。要实现这个有3种方式——

1.DNS指向

设置IP地址，使其DNS指向目标服务器，如下所示：

记得刷新DNS解析缓存

2.建立条件转发器

在Contoso.com DNS中新建条件转发器，记得刷新

3.建立辅助区域

3.1.打开mintcode.local（192.168.16.7）DNS

3.2.选中mintcode.localà属性à允许区域传送à只允许到下列服务器

3.3.打开contoso.com（192.168.123.14）DNS

3.4.新建辅助区域

3.5.指定主服务器IP地址

上述3中实现方式，采用任意一种实现方式都行。不管怎样实现，最总的目的都是相同的，能将域名解析成IP地址，如下所示：

建立域之间的信任关系

怎样建立域之间的信任关系，One-Way、Two-Way，微软给了详细的操作步骤（http://technet.microsoft.com/zh-cn/library/cc816837(v=WS.10).aspx）。按照上述的拓扑图，需要Mintcode.local中的用户能够在Contoso.com域中认证，为此我需要建立一种One-Way的信任，即Contoso.com信任Mintcode.local。有了上述的准备工作后，让我们来实现One-Way Trust吧，当然你也可以Two-Way，只不过在我的场景中One-Way足矣了。