Khi trong môi trường mạng triển khai Multi Domain thì phải chú ý đến Trust Domain. Khi hai Domain Trust với nhau thì User có thể sử dụng tài nguyên của nhau.
Các Domain nằm trong cùng Forest thì tự động Trust với nhau. 1- Giới thiệu
Sử dụng công cụ AD Domain & Trust để xem và cấu hình.
Hai cơ chế (two-way): Outgoing và Incoming. User được sử dụng tài nguyên của nhau.
Một cơ chế (one-way): một trong hai. Chỉ được sử dụng tài nguyên của một bên. Ví dụ: khi mua them công ty.
Trust Protocol: Win2k3 sử dụng Kerberos v.5 (default) hoặc NTLM
Trust Type:
+ Tree-root trust: Trust giữa Forest Root Domain và Tree Root domain (2-way) + Parent-child trust: 2-way (vd: Microsoft.com và uk.microsoft.com)
+ Shortcut trust: hai domain tự động Trust thong qua Cross-link (vd:
us.microsoft.com và sls.uk.msn.com) nhưng thời gian đăng nhập quá lâu nên cấu hình Shorcut Trust (1-way hoặc 2-way)
+ Realm Trust: cấu hình cho Windows và non-Windows (1-way hoặc 2-way)
+ External Trust: Hai domain trong hai Forest (vd: Microsoft.com và Intel.com). + Forest Trust: cấu hình cho hai Forest Root Domain trust với nhau. (1 way và 2 way).
2- Triển khai
External trust (274 – 294): điều kiện
+ Các domain phải phân giải được tên của nhau (sử dụng VPN hoặc Lease Line). Cấu hình DNSForwarder. Sau khi cấu hình thì Restart DNS.
+ Đồng bộ thời gian giữa hai hệ thống (quan trọng)
Kiểm tra: Log off sẽ thấy thêm Domain của Forest bên kia. Chỉ có Domain của máy được cấu hình mới thấy được nhau.
Forest Trust: điều kiện
Domain Functional Level: các cơ chế hoạt động trong Domain + Mixed Mode: Hỗ trợ Win trước Win2k
+ 2000: Chỉ hỗ trợ từ Win2k trở lên + 2003: Chỉ hỗ trợ Win2k3 trở lên
+ 2003 Interrim: nâng cấp từ NT lên 2003 mới có. Chỉ hỗ trợ NT và 2k3.
Cách làm: Mở AD Domain & Trust Raise Forest Functional Level
Nếu đã cấu hình External Trust thì Remove rồi thực hiện cấu hình lại. Kiểm tra: