域的信任关系

域的信任关系

什么是信任关系

信任关系是用于确保一个域的用户可以访问和使用另一个域中的资源的安全机制。

根据传递性分，信任关系可分为可传递信任关系和不可传递信任关系。

根据域之间关系分，

WINDOWS信任关系可分为四种。

1．双向可传递父子信任关系

2．树与树之间的双向可传递信任关系

3．同一个森林两个域之间的快捷方式信任关系

4．外部信任关系，建立不同的域或者不同的森林。WINDOWS域和非WINDOWS域，NT域2000域。一般都是不可传递的单向信任关系。

5．森林信任，2000的森林信任关系是不可传递的。信任仅仅存在与森林根域之间。

2003的信任是双向可传递的信任关系。只要在根域创建了森林信任。域里面的所有用户都建立了信任关系。

创建信任关系的考虑，

1．域中有一定量用户要求长期访问某个域中的资源。

2．由于安全理由，区分了资源域和账号域

3．部分信任关系默认存在。

4．处于减少上层域DC/GC压力，可创建快捷方式信任关系

站点简介

◆站点是一个物理概念

◆定义处于同一个物理区域的一个或多个子网中的用户对象。

◆优化用户登陆，访问

◆优化AD复制

站点连接

站点内用更新宣告的方式来获取更新，传输是非压缩的传输，占用的带宽和数据量比较大。站点之间使用站点连接器进行复制，可以设置复制时间和复制间隔，占用多少带宽和采用什么样的协议等。可以设置开销和复制时间，值越小，优先级别越高。

部署站点的最佳实践。

根据复制需求来定制站点间的复制间隔和复制时间。

对于大环境，建议关闭ITSG，手动配制复制链接

AD排错

工具

Enable NDSI diagnostics log

获取详细的底层信息

修改注册表

MACHINE\system\current conti \services\ntds\diagnostcs

取值范围：0——3

调整目录服务日志的大小，以便存放产生的日志

其他工具

DCDIAG

分析域控制器的状态

针对域控制器特定的功能执行测试

NETDOM

管理和检查信任关系

确认数据库复制是否正常

NETDIAG

进行网络功能的诊断

NETDIAG /V

NETDIAG /DEBUG >netdag.txt输出详细的网络信息到TXT文件

然后用NETPAD （纪事本）打开

DNS与AD活动目录

DNS服务器在AD中，除了提供名称格式的支持服务。一般的名称到IP地址的查询外，最重要的作用是纪录域控制器与全局编录服务器的相关信息。并向客户端提供这些重要信息。域控制器会在DNS 服务器上注册，注册的纪录不仅包括主机纪录（A纪录），而且包括相应的服务记录（SRV纪录），类似于：

-ldap._tcp.dc._, 6oo in srv 100 389

上面这条纪录代表域的域控制器是

客户端需要查询这些纪录，才能找到域控制器，并完成用户登陆，AD查询工作等

AD的正常工作。依赖于DNS服务器的正确配制和正常工作

个人经验中至少一半的AD故障都源与DNS的配置问题。

_msdcs zone

_msdcs 区域中包含所有域控制器的服务纪录（SRV纪录）

AD森林根域中的_msdcs区域中还额外包含森林中所有的全局编录服务器的纪录。

_msdcs区域的作用是为了定位域控制器和全局编录服务器，如果该区域不存在或者纪录不正确，AD会出现故障。

在2003里，该纪录被单独按一个项目创建。

Resolve dns configuration problem

使用NSLOOKUP来验证DNS记录是否完整

如果DNS记录缺失，通过以下方法来进行修复

重新启动NET LOGON服务

使用nltest.exe/dsregdns

注意DNS配置要求，允许动态更新，区域名称和AD域名要一致，DNS服务器本身需要配置域名后缀等。、

Nltest.exe /dsregdns 修复域控制器服务

复制过程的排错

DC之间所要复制的内容。

目录服务复制，AD对象，用户计算机

文件复制服务FRS

SYSVOL 登陆脚本，组策略等

复制相关故障排除的工具

图形工具

ACTIVE DIRECTORY REPLICATON MONITOR

检查AD复制的。图形化显示复制拓补

强制复制

命令行工具

REPADMIN

诊断域控制器间复制故障

确认复制伙伴

确认活动目录对象复制来源

强制复制

域控制器只复制SYSVOL共享文件夹

NETLOGON共享

低版本客户端的登录脚本和系统策略

SYSVOL 共享

为WIN 2000及以后的客户端提供组策略

命令行工具

NTFRSUTL

检查文件复制状态

检查复制日程安排

强制轮询

检查复制集

常见问题？？

拒绝访问

由于存在DNS查找故障，DNA操作无法继续

操作被排队或者没有显示任何复制链接

复制访问被拒绝或者正在删除名称上下文

站点之间存在重复的连接对象

多个域控制器中所应用的组策略不一致

目录服务因太忙而无法完成操作。

AD域错误提示及解决办法。

1．这个机器是在目录林根域的PDC，请用“NET TIME/SETSMT：SERVERNAME”配置外部时间源同步。

解决办法：

在根域PDC模拟器角色上配置外部时间源：

在命令行提示符下，运行：NET TIME/SETSNTP：时间服务器，时间服务器可以设置为外部时间源，如, 或者其他的时间服务器：

等待客户机自动进行时钟同步，或者手动运行：

NET STOP W32TIME

W32TM-ONCE

NET START W32TIME

在windows xp 和windows server 2003上需要运行：

W32tm/resync