Jak vztahy důvěryhodnosti fungují pro doménové struktury ve službě Active Directory

  • Článek

Doména služby Active Directory Services (AD DS) poskytuje zabezpečení napříč více doménami nebo doménovými strukturami prostřednictvím vztahů důvěryhodnosti domén a doménové struktury. Před tím, než může dojít k ověření mezi vztahy důvěryhodnosti, musí systém Windows nejprve zkontrolovat, jestli doména požadovaná uživatelem, počítačem nebo službou má vztah důvěryhodnosti s doménou žádajícího účtu.

Pokud chcete zkontrolovat tento vztah důvěryhodnosti, systém zabezpečení Systému Windows vypočítá cestu důvěryhodnosti mezi řadičem domény (DC) pro server, který přijímá požadavek, a řadičem domény v doméně žádajícího účtu.

Mechanismy řízení přístupu poskytované službou AD DS a modelem distribuovaného zabezpečení windows poskytují prostředí pro provoz vztahů důvěryhodnosti domén a doménových struktur. Aby tyto vztahy důvěryhodnosti fungovaly správně, musí mít každý prostředek nebo počítač přímou cestu důvěryhodnosti k řadiči domény, ve které se nachází.

Cesta důvěryhodnosti je implementována službou Net Logon pomocí ověřeného vzdáleného volání procedur (RPC) připojení k důvěryhodné autoritě domény. Zabezpečený kanál se také rozšiřuje na další domény SLUŽBY AD DS prostřednictvím vztahů důvěryhodnosti mezi doménami. Tento zabezpečený kanál slouží k získání a ověření informací o zabezpečení, včetně identifikátorů zabezpečení (SID) pro uživatele a skupiny.

Poznámka:

Domain Services podporuje více směrů důvěryhodnosti doménové struktury, včetně obousměrných vztahů důvěryhodnosti a jednosměrných vztahů důvěryhodnosti, které můžou být příchozí nebo odchozí.

Přehled toho, jak se vztahy důvěryhodnosti vztahují na Domain Services, najdete v tématu Koncepty a funkce doménové struktury.

Pokud chcete začít používat vztahy důvěryhodnosti ve službě Domain Services, vytvořte spravovanou doménu, která používá vztahy důvěryhodnosti doménové struktury.

Toky vztahů důvěryhodnosti

Tok zabezpečené komunikace přes vztahy důvěryhodnosti určuje elasticitu vztahu důvěryhodnosti. Způsob vytvoření nebo konfigurace vztahu důvěryhodnosti určuje, jak daleko komunikace se rozšiřuje v rámci doménové struktury nebo napříč doménovými strukturami.

Tok komunikace přes vztahy důvěryhodnosti je určen směrem vztahu důvěryhodnosti. Vztahy důvěryhodnosti můžou být jednosměrné nebo obousměrné a můžou být tranzitivní nebo nepřenosné.

Následující diagram znázorňuje, že všechny domény ve stromu 1 a stromu 2 mají ve výchozím nastavení přechodné vztahy důvěryhodnosti. V důsledku toho můžou uživatelé ve stromu 1 přistupovat k prostředkům v doménách ve stromové struktuře 2 a uživatelé ve stromu 2 mají přístup k prostředkům ve stromu 1, pokud jsou k prostředku přiřazena správná oprávnění.

Diagram of trust relationships between two forests

Jednosměrné a obousměrné vztahy důvěryhodnosti

Vztahy důvěryhodnosti umožňují přístup k prostředkům jednosměrně nebo obousměrně.

Jednosměrný vztah důvěryhodnosti je jednosměrná cesta ověřování vytvořená mezi dvěma doménami. Jednosměrný vztah důvěryhodnosti mezi doménou A a doménou B můžou uživatelé v doméně A přistupovat k prostředkům v doméně B. Uživatelé v doméně B ale nemají přístup k prostředkům v doméně A.

Některé jednosměrné vztahy důvěryhodnosti můžou být nepřenosné nebo tranzitivní v závislosti na typu vytvářeného vztahu důvěryhodnosti.

Obousměrný vztah důvěryhodnosti doména A důvěřuje doméně B a doméně B vztah důvěryhodnosti Doména A. Tato konfigurace znamená, že žádosti o ověření je možné předávat mezi těmito dvěma doménami v obou směrech. Některé obousměrné relace můžou být nepřenosné nebo tranzitivní v závislosti na typu vytvořeného vztahu důvěryhodnosti.

Všechny vztahy důvěryhodnosti domény v místní doménové struktuře SLUŽBY AD DS jsou obousměrné a přechodné vztahy důvěryhodnosti. Při vytvoření nové podřízené domény se mezi novou podřízenou doménou a nadřazenou doménou automaticky vytvoří obousměrný vztah důvěryhodnosti.

Přechodné a nepřenosné vztahy důvěryhodnosti

Přenosnost určuje, zda lze vztah důvěryhodnosti rozšířit mimo dvě domény, se kterými byl vytvořen.

  • Přenositelný vztah důvěryhodnosti lze použít k rozšíření vztahů důvěryhodnosti s jinými doménami.
  • Nepřenosný vztah důvěryhodnosti lze použít k odepření vztahů důvěryhodnosti s jinými doménami.

Při každém vytvoření nové domény v doménové struktuře se mezi novou doménou a její nadřazenou doménou automaticky vytvoří obousměrný vztah důvěryhodnosti. Pokud se podřízené domény přidají do nové domény, cesta důvěryhodnosti prochází hierarchií domény směrem nahoru a rozšiřuje počáteční cestu důvěryhodnosti vytvořenou mezi novou doménou a její nadřazenou doménou. Přechodné vztahy důvěryhodnosti procházejí stromem domény směrem nahoru, protože se vytvářejí přechodné vztahy důvěryhodnosti mezi všemi doménami ve stromu domény.

Požadavky na ověření se řídí těmito cestami důvěryhodnosti, takže účty z jakékoli domény v doménové struktuře můžou být ověřeny jakoukoli jinou doménou v doménové struktuře. Při procesu jednotného přihlašování mají účty se správnými oprávněními přístup k prostředkům v jakékoli doméně v doménové struktuře.

Vztahy důvěryhodnosti doménové struktury

Vztahy důvěryhodnosti doménové struktury pomáhají spravovat segmentované infrastruktury služby AD DS a podporovat přístup k prostředkům a dalším objektům napříč několika doménovými strukturami. Vztahy důvěryhodnosti doménové struktury jsou užitečné pro poskytovatele služeb, společnosti procházející fúze nebo akvizice, obchodní extranety pro spolupráci a společnosti, které hledají řešení pro správní autonomii.

Pomocí vztahů důvěryhodnosti doménové struktury můžete propojit dvě různé doménové struktury a vytvořit jednosměrný nebo obousměrný tranzitivní vztah důvěryhodnosti. Vztah důvěryhodnosti doménové struktury umožňuje správcům propojit dvě doménové struktury služby AD DS s jedním vztahem důvěryhodnosti, aby zajistili bezproblémové ověřování a autorizaci napříč doménovými strukturami.

Vztah důvěryhodnosti doménové struktury lze vytvořit pouze mezi kořenovou doménou doménové struktury v jedné doménové struktuře a kořenovou doménou doménové struktury v jiné doménové struktuře. Vztahy důvěryhodnosti doménové struktury je možné vytvořit pouze mezi dvěma doménovými strukturami a není možné je implicitně rozšířit na třetí doménovou strukturu. Toto chování znamená, že pokud se mezi doménovou strukturou 1 a Doménovou strukturou 2 vytvoří vztah důvěryhodnosti mezi doménovou strukturou 2 a doménovou strukturou 3, doménová struktura 1 nemá implicitní vztah důvěryhodnosti s doménovou strukturou 3.

Následující diagram znázorňuje dva samostatné vztahy důvěryhodnosti doménové struktury mezi třemi doménovými strukturami služby AD DS v jedné organizaci.

Diagram of forest trusts relationships within a single organization

Tato ukázková konfigurace poskytuje následující přístup:

  • Uživatelé ve struktuře 2 mají přístup k prostředkům v libovolné doméně doménové struktury 1 nebo Doménové struktuře 3.
  • Uživatelé ve struktuře 3 mají přístup k prostředkům v jakékoli doméně doménové struktury 2.
  • Uživatelé ve struktuře 1 mají přístup k prostředkům v libovolné doméně doménové struktury 2.

Tato konfigurace neumožňuje uživatelům ve struktuře 1 přístup k prostředkům ve struktuře 3 nebo naopak. Pokud chcete uživatelům ve struktuře 1 a Doménové struktuře 3 umožnit sdílení prostředků, musí se mezi těmito dvěma doménovými strukturami vytvořit obousměrný tranzitivní vztah důvěryhodnosti.

Pokud se mezi dvěma doménovými strukturami vytvoří jednosměrný vztah důvěryhodnosti doménové struktury, můžou členové důvěryhodné doménové struktury využívat prostředky umístěné v důvěřující doménové struktuře. Vztah důvěryhodnosti ale funguje pouze jedním směrem.

Například při jednosměrné vytvoření vztahu důvěryhodnosti doménové struktury mezi doménovou strukturou 1 (důvěryhodná doménová struktura) a Doménovou strukturou 2 (důvěryhodná doménová struktura):

  • Členové Doménové struktury 1 mají přístup k prostředkům umístěným ve struktuře 2.
  • Členové doménové struktury 2 nemají přístup k prostředkům umístěným ve struktuře 1 pomocí stejného vztahu důvěryhodnosti.

Důležité

Služba Microsoft Entra Domain Services podporuje více směrů pro vztahy důvěryhodnosti doménové struktury.

Požadavky na důvěryhodnost doménové struktury

Než budete moct vytvořit vztah důvěryhodnosti doménové struktury, musíte ověřit, že máte správnou infrastrukturu DNS (Domain Name System). Vztahy důvěryhodnosti doménové struktury je možné vytvořit pouze v případech, kdy je k dispozici jedna z následujících konfigurací DNS:

  • Jeden kořenový server DNS je kořenový server DNS pro oba obory názvů DNS doménové struktury – kořenová zóna obsahuje delegování pro každý obor názvů DNS a kořenové rady všech serverů DNS zahrnují kořenový server DNS.

  • Pokud neexistuje žádný sdílený kořenový server DNS a kořenové servery DNS v každém oboru názvů DNS doménové struktury používají pro každý obor názvů DNS podmíněné předávání pro každý obor názvů DNS ke směrování dotazů na názvy v druhém oboru názvů.

    Důležité

    Každá doménová struktura služby Microsoft Entra Domain Services s vztahem důvěryhodnosti musí tuto konfiguraci DNS používat. Hostování jiného oboru názvů DNS než oboru názvů DNS doménové struktury není funkcí služby Microsoft Entra Domain Services. Podmíněné předávání jsou správnou konfigurací.

  • Pokud neexistuje žádný sdílený kořenový server DNS a kořenové servery DNS v každém oboru názvů DNS doménové struktury používají sekundární zóny DNS jsou nakonfigurovány v každém oboru názvů DNS pro směrování dotazů na názvy v druhém oboru názvů.

Pokud chcete vytvořit vztah důvěryhodnosti doménové struktury ve službě AD DS, musíte být členem skupiny Domain Správa s (v kořenové doméně doménové struktury) nebo skupiny Enterprise Správa s ve službě Active Directory. Každému vztahu důvěryhodnosti je přiřazeno heslo, které musí znát správci v obou doménových strukturách. Členové podnikové Správa v obou doménových strukturách můžou vytvořit vztahy důvěryhodnosti v obou doménových strukturách najednou a v tomto scénáři se automaticky vygeneruje a zapíše heslo, které je kryptograficky náhodné.

Spravovaná doménová struktura podporuje až pět jednosměrných vztahů důvěryhodnosti odchozích doménových struktur s místními doménovými strukturami. Vztah důvěryhodnosti odchozí doménové struktury pro službu Microsoft Entra Domain Services se vytvoří v Centru pro správu Microsoft Entra. Vztah důvěryhodnosti příchozí doménové struktury musí nakonfigurovat uživatel s oprávněními, která jste si poznamenali v místní Active Directory.

Procesy a interakce důvěryhodnosti

Mnoho transakcí mezi doménami a mezi doménovými strukturami závisí na důvěryhodnosti domény nebo doménové struktury, aby bylo možné provádět různé úlohy. Tato část popisuje procesy a interakce, ke kterým dochází při přístupu k prostředkům v rámci vztahů důvěryhodnosti a vyhodnocování referenčních seznamů ověřování.

Přehled zpracování referenčních seznamů ověřování

Když se na doménu odkazuje požadavek na ověření, musí řadič domény v této doméně určit, jestli existuje vztah důvěryhodnosti s doménou, ze které žádost pochází. Směr vztahu důvěryhodnosti a to, jestli je vztah důvěryhodnosti tranzitivní nebo netransitivní, musí být také určen před ověřením uživatele pro přístup k prostředkům v doméně. Proces ověřování, ke kterému dochází mezi důvěryhodnými doménami, se liší podle používaného ověřovacího protokolu. Protokoly Kerberos V5 a NTLM zpracovávají referenční seznamy pro ověřování v doméně jinak.

Zpracování referenčních seznamů Kerberos v5

Ověřovací protokol Kerberos V5 závisí na službě Net Logon na řadičích domény pro ověřování klientů a autorizační informace. Protokol Kerberos se připojuje k online centru distribuce klíčů (KDC) a úložišti účtů služby Active Directory pro lístky relací.

Protokol Kerberos také používá vztahy důvěryhodnosti pro služby TGS (cross-realm ticket-grant services) a k ověření certifikátů atributů oprávnění (PAC) v zabezpečeném kanálu. Protokol Kerberos provádí křížové ověřování pouze s sférami operačního systému Kerberos jiného výrobce než Windows, jako je sféra MIT Kerberos, a nemusí interagovat se službou Net Logon.

Pokud klient k ověřování používá Protokol Kerberos V5, požádá o lístek na server v cílové doméně z řadiče domény v doméně svého účtu. KDC protokolu Kerberos funguje jako důvěryhodný zprostředkovatel mezi klientem a serverem a poskytuje klíč relace, který umožňuje, aby se obě strany navzájem ověřily. Pokud se cílová doména liší od aktuální domény, služba KDC se řídí logickým procesem, který určuje, jestli se dá odkazovat na žádost o ověření:

  1. Je aktuální doména důvěryhodná přímo doménou požadovaného serveru?

    • Pokud ano, odešlete klientovi referenční seznam do požadované domény.
    • Pokud ne, přejděte k dalšímu kroku.

  2. Existuje tranzitivní vztah důvěryhodnosti mezi aktuální doménou a další doménou v cestě důvěryhodnosti?

    • Pokud ano, odešlete klientovi referenční seznam do další domény na cestě důvěryhodnosti.
    • Pokud ne, odešlete klientovi zprávu o odepření přihlášení.

Zpracování referenčních seznamů NTLM

Ověřovací protokol NTLM závisí na službě Net Logon na řadičích domény pro ověřování klientů a autorizační informace. Tento protokol ověřuje klienty, kteří nepoužívají ověřování protokolem Kerberos. PROTOKOL NTLM používá vztahy důvěryhodnosti k předávání žádostí o ověření mezi doménami.

Pokud klient k ověřování používá protokol NTLM, počáteční požadavek na ověření přejde přímo z klienta na server prostředků v cílové doméně. Tento server vytvoří výzvu, na kterou klient reaguje. Server pak odešle odpověď uživatele na řadič domény v doméně účtu počítače. Tento řadič domény zkontroluje uživatelský účet v databázi účtů zabezpečení.

Pokud účet v databázi neexistuje, řadič domény určí, jestli se má provést předávací ověřování, předat žádost nebo zamítnout požadavek pomocí následující logiky:

  1. Má aktuální doména přímý vztah důvěryhodnosti s doménou uživatele?

    • Pokud ano, řadič domény odešle přihlašovací údaje klienta řadiči domény v doméně uživatele pro předávací ověřování.
    • Pokud ne, přejděte k dalšímu kroku.

  2. Má aktuální doména tranzitivní vztah důvěryhodnosti s doménou uživatele?

    • Pokud ano, předejte žádost o ověření do další domény v cestě důvěryhodnosti. Tento řadič domény tento proces opakuje kontrolou přihlašovacích údajů uživatele vůči vlastní databázi účtů zabezpečení.
    • Pokud ne, odešlete klientovi zprávu o odepření přihlášení.

Zpracování požadavků na ověřování založené na protokolu Kerberos přes vztahy důvěryhodnosti doménové struktury

Pokud jsou dvě doménové struktury propojené vztahem důvěryhodnosti doménové struktury, dají se žádosti o ověřování vytvořené pomocí protokolů Kerberos V5 nebo NTLM směrovat mezi doménovými strukturami, aby poskytovaly přístup k prostředkům v obou doménových strukturách.

Při prvním navázání vztahu důvěryhodnosti doménové struktury každá doménová struktura shromažďuje všechny důvěryhodné obory názvů v partnerské doménové struktuře a ukládá informace do důvěryhodného objektu domény. Mezi důvěryhodné obory názvů patří názvy stromu domény, přípony hlavního názvu uživatele (UPN), přípony hlavního názvu služby (SPN) a obory názvů ID zabezpečení (SID) používané v jiné doménové struktuře. Objekty TDO se replikují do globálního katalogu.

Poznámka:

Alternativní přípony hlavního názvu uživatele (UPN) u vztahů důvěryhodnosti nejsou podporovány. Pokud místní doména používá stejnou příponu hlavního názvu uživatele (UPN) jako Domain Services, musí přihlášení použít sAMAccountName.

Aby ověřovací protokoly mohly následovat po cestě důvěryhodnosti doménové struktury, musí být hlavní název služby (SPN) počítače prostředku přeložen do umístění v jiné doménové struktuře. Hlavní název služby (SPN) může být jeden z následujících názvů:

  • Název DNS hostitele.
  • Název DNS domény.
  • Rozlišující název objektu spojovacího bodu služby.

Když se pracovní stanice v jedné doménové struktuře pokusí o přístup k datům v počítači prostředku v jiné doménové struktuře, proces ověřování kerberos kontaktuje řadič domény pro lístek služby s hlavním název služby počítače prostředku. Jakmile se řadič domény dotazuje globálního katalogu a zjistí, že hlavní název služby není ve stejné doménové struktuře jako řadič domény, řadič domény odešle referenční seznam pro nadřazenou doménu zpět do pracovní stanice. V tomto okamžiku pracovní stanice dotazuje nadřazenou doménu pro lístek služby a pokračuje v sledování řetězce referenčních seznamů, dokud nedosáhne domény, ve které se prostředek nachází.

Následující diagram a kroky poskytují podrobný popis procesu ověřování Kerberos, který se používá při pokusu o přístup k prostředkům z počítače umístěného v jiné doménové struktuře.

Diagram of the Kerberos process over a forest trust

  1. Uživatel1 se přihlásí k pracovní stanici 1 pomocí přihlašovacích údajů z domény europe.tailspintoys.com . Uživatel se pak pokusí o přístup ke sdílenému prostředku na FileServer1 umístěném v doménové struktuře usa.wingtiptoys.com .

  2. Pracovní stanice1 kontaktuje KDC kerberos na řadiči domény v jeho doméně, ChildDC1 a požádá o lístek služby pro hlavní název služby FileServer1 .

  3. ChildDC1 nenajde hlavní název služby (SPN) ve své doménové databázi a dotazuje globální katalog, aby zjistil, jestli některé domény v doménové struktuře tailspintoys.com obsahují tento hlavní název služby (SPN). Vzhledem k tomu, že globální katalog je omezen na vlastní doménovou strukturu, hlavní název služby (SPN) se nenašel.

    Globální katalog pak zkontroluje jeho databázi a vyhledá informace o všech důvěryhodnostech doménové struktury, které jsou vytvořeny s jeho doménovou strukturou. Pokud se najde, porovná přípony názvů uvedené v objektu důvěryhodné domény doménové struktury (TDO) s příponou cílového hlavního názvu služby a najde shodu. Jakmile se najde shoda, globální katalog poskytuje nápovědu směrování zpět do childDC1.

    Rady směrování pomáhají směrovat žádosti o ověření směrem k cílové doménové struktuře. Nápovědy se používají jenom v případě, že se nepodaří najít hlavní název služby (SPN) všechny tradiční ověřovací kanály, jako je místní řadič domény a globální katalog.

  4. ChildDC1 odešle referenční seznam nadřazené domény zpět do pracovní stanice 1.

  5. Pracovní stanice1 kontaktuje řadič domény ve struktuře ForestRootDC1 (jeho nadřazenou doménu) pro referenční seznam řadiče domény (ForestRootDC2) v kořenové doméně doménové struktury wingtiptoys.com doménové struktury.

  6. Pracovní stanice1 kontaktuje ForestRootDC2 v doménové struktuře wingtiptoys.com pro lístek služby do požadované služby.

  7. ForestRootDC2 kontaktuje svůj globální katalog, aby našel hlavní název služby (SPN) a globální katalog najde shodu pro hlavní název služby (SPN) a odešle ji zpět do ForestRootDC2.

  8. ForestRootDC2 pak odešle referenční seznam usa.wingtiptoys.com zpět na pracovní stanici 1.

  9. Pracovní stanice1 kontaktuje službu KDC na ChildDC2 a vyjedná lístek pro uživatele User1 , aby získal přístup k FileServer1.

  10. Jakmile má pracovní stanice 1 lístek služby, odešle lístek služby na FileServer1, který načte přihlašovací údaje zabezpečení uživatele User1 a odpovídajícím způsobem vytvoří přístupový token.

Důvěryhodný objekt domény

Každý vztah důvěryhodnosti domény nebo doménové struktury v rámci organizace je reprezentován objektem TDO (Trusted Domain Object) uloženým v kontejneru systému v rámci své domény.

Obsah TDO

Informace obsažené v objektu TDO se liší v závislosti na tom, jestli byl objekt TDO vytvořen vztahem důvěryhodnosti domény nebo vztahem důvěryhodnosti doménové struktury.

Při vytvoření vztahu důvěryhodnosti domény jsou atributy, jako je název domény DNS, identifikátor SID domény, typ důvěryhodnosti, průchodnost důvěryhodnosti a reciproční název domény, reprezentovány v objektu TDO. Objekty TDO důvěřují doménové struktuře, ukládají další atributy pro identifikaci všech důvěryhodných oborů názvů z partnerské doménové struktury. Mezi tyto atributy patří názvy stromu domény, přípony hlavního názvu uživatele (UPN), přípony hlavního názvu služby (SPN) a obory názvů ID zabezpečení (SID).

Vzhledem k tomu, že vztahy důvěryhodnosti jsou uložené ve službě Active Directory jako TDO, všechny domény v doménové struktuře mají znalosti vztahů důvěryhodnosti, které se nacházejí v celé doménové struktuře. Podobně platí, že když jsou dvě nebo více doménových struktur vzájemně propojeny prostřednictvím vztahů důvěryhodnosti doménové struktury, mají kořenové domény doménové struktury v každé doménové struktuře znalosti vztahů důvěryhodnosti, které se nacházejí ve všech doménách v důvěryhodných doménových strukturách.

Změny hesla TDO

Obě domény v vztahu důvěryhodnosti sdílejí heslo, které je uloženo v objektu TDO ve službě Active Directory. V rámci procesu údržby účtu každých 30 dní změní důvěryhodný řadič domény heslo uložené v objektu TDO. Vzhledem k tomu, že všechny obousměrné vztahy důvěryhodnosti jsou ve skutečnosti dvěma jednosměrným vztahem důvěryhodnosti v opačných směrech, proces probíhá dvakrát pro obousměrné vztahy důvěryhodnosti.

Vztah důvěryhodnosti má důvěryhodnou a důvěryhodnou stranu. Na důvěryhodné straně lze pro tento proces použít jakýkoli zapisovatelný řadič domény. Na straně důvěryhodnosti emulátor primárního řadiče domény provede změnu hesla.

Pokud chcete změnit heslo, řadiče domény dokončí následující proces:

  1. Emulátor primárního řadiče domény (PDC) v důvěryhodné doméně vytvoří nové heslo. Řadič domény v důvěryhodné doméně nikdy neicializuje změnu hesla. Vždy je inicializován emulátorem primárního řadiče domény důvěryhodné domény.

  2. Emulátor primárního řadiče domény v důvěřující doméně nastaví pole OldPassword objektu TDO na aktuální pole NewPassword .

  3. Emulátor primárního řadiče domény v důvěryhodné doméně nastaví pole NewPassword objektu TDO na nové heslo. Uložení kopie předchozího hesla umožňuje vrátit se k původnímu heslu, pokud řadič domény v důvěryhodné doméně neobdrží změnu nebo pokud se tato změna nereplikuje před provedením požadavku, který používá nové heslo důvěryhodnosti.

  4. Emulátor primárního řadiče domény v důvěryhodné doméně provádí vzdálené volání řadiče domény v důvěryhodné doméně s žádostí, aby nastavil heslo pro účet důvěryhodnosti na nové heslo.

  5. Řadič domény v důvěryhodné doméně změní heslo důvěryhodnosti na nové heslo.

  6. Na každé straně vztahu důvěryhodnosti se aktualizace replikují do ostatních řadičů domény v doméně. V důvěryhodné doméně tato změna aktivuje urgentní replikaci důvěryhodného objektu domény.

Heslo se teď změní na obou řadičích domény. Normální replikace distribuuje objekty TDO do ostatních řadičů domény v doméně. Řadič domény v důvěryhodné doméně ale může změnit heslo bez úspěšné aktualizace řadiče domény v důvěryhodné doméně. K tomuto scénáři může dojít, protože se nepodařilo navázat zabezpečený kanál, který je nutný ke zpracování změny hesla. Je také možné, že řadič domény v důvěryhodné doméně může být v určitém okamžiku během procesu nedostupný a nemusí obdržet aktualizované heslo.

Pokud chcete řešit situace, ve kterých se změna hesla úspěšně nesdělí, řadič domény v důvěryhodné doméně nikdy nové heslo nezmění, pokud se úspěšně neověřil (nastavili zabezpečený kanál) pomocí nového hesla. Toto chování je důvod, proč jsou stará i nová hesla uložena v objektu TDO důvěryhodné domény.

Změna hesla se nedokončí, dokud ověřování pomocí hesla nebude úspěšné. Staré uložené heslo lze použít přes zabezpečený kanál, dokud řadič domény v důvěryhodné doméně neobdrží nové heslo, a tím umožní nepřerušovanou službu.

Pokud ověřování pomocí nového hesla selže, protože heslo je neplatné, pokusí se důvěryhodný řadič domény ověřit pomocí starého hesla. Pokud se úspěšně ověří pomocí starého hesla, obnoví proces změny hesla během 15 minut.

Aktualizace důvěryhodnosti hesel je potřeba replikovat do řadičů domény obou stran vztahu důvěryhodnosti do 30 dnů. Pokud se heslo důvěryhodnosti změní po 30 dnech a řadič domény má pouze heslo N-2, nemůže použít vztah důvěryhodnosti ze strany důvěryhodnosti a nemůže vytvořit zabezpečený kanál na důvěryhodné straně.

Síťové porty používané vztahy důvěryhodnosti

Vzhledem k tomu, že vztahy důvěryhodnosti musí být nasazeny napříč různými síťovými hranicemi, může být nutné překlenovat jednu nebo více bran firewall. V takovém případě můžete buď tunelovat důvěryhodný provoz přes bránu firewall, nebo otevřít konkrétní porty v bráně firewall a povolit průchod provozu.

Důležité

Doména služby Active Directory Services nepodporuje omezení provozu RPC služby Active Directory na konkrétní porty.

Přečtěte si část Windows Server 2008 a novější verze podpora Microsoftu článku Jak nakonfigurovat bránu firewall pro domény služby Active Directory a vztahy důvěryhodnosti, abyste se dozvěděli o portech potřebných pro vztah důvěryhodnosti doménové struktury.

Podpůrné služby a nástroje

K podpoře vztahů důvěryhodnosti a ověřování se používají některé další funkce a nástroje pro správu.

Přihlašování

Služba Net Logon udržuje zabezpečený kanál z počítače se systémem Windows do řadiče domény. Používá se také v následujících procesech souvisejících s důvěryhodností:

  • Nastavení a správa důvěryhodnosti – Přihlášení k síti pomáhá udržovat hesla důvěryhodnosti, shromažďuje informace o důvěryhodnosti a ověřuje vztahy důvěryhodnosti pomocí interakce s procesem LSA a TDO.

    Informace o důvěryhodnosti doménové struktury zahrnují záznam FTInfo (Forest Trust Information), který zahrnuje sadu oborů názvů, které mají důvěryhodné doménové struktury spravovat, anotace s polem, které označuje, jestli každá deklarace identity důvěřuje důvěřující doménové struktuře.

  • Ověřování – Poskytuje přihlašovací údaje uživatele přes zabezpečený kanál řadiči domény a vrací identifikátory SID domény a uživatelská práva pro uživatele.

  • Umístění řadiče domény – Pomáhá při hledání nebo umístění řadičů domény v doméně nebo napříč doménami.

  • Předávací ověřování – Přihlašovací údaje uživatelů v jiných doménách se zpracovávají přihlášením k síti. Když důvěryhodná doména potřebuje ověřit identitu uživatele, předá přihlašovací údaje uživatele prostřednictvím příkazu Net Logon k důvěryhodné doméně k ověření.

  • Ověření certifikátu PAC (Privilege Attribute Certificate) – Pokud server používající protokol Kerberos pro ověřování potřebuje ověřit PAC v lístku služby, odešle PAC přes zabezpečený kanál do svého řadiče domény k ověření.

Místní úřad zabezpečení

Místní bezpečnostní autorita (LSA) je chráněný subsystém, který uchovává informace o všech aspektech místního zabezpečení v systému. LSA společně označovaná jako místní zásady zabezpečení poskytuje různé služby pro překlad mezi názvy a identifikátory.

Subsystém zabezpečení LSA poskytuje služby v režimu jádra i v uživatelském režimu pro ověřování přístupu k objektům, kontrolu uživatelských oprávnění a generování zpráv auditu. LSA zodpovídá za kontrolu platnosti všech lístků relací prezentovaných službami v důvěryhodných nebo nedůvěryhodných doménách.

Nástroje pro správu

Správa istrátory můžou používat Doména služby Active Directory a vztahy důvěryhodnosti, Netdom a Nltest k zveřejnění, vytváření, odebírání nebo úpravám vztahů důvěryhodnosti.

  • Doména služby Active Directory s and Trusts je konzola MMC (Microsoft Management Console), která slouží ke správě vztahů důvěryhodnosti domény, úrovní funkčnosti domény a doménové struktury a přípon hlavního názvu uživatele.
  • Nástroje příkazového řádku Netdom a Nltest lze použít k vyhledání, zobrazení, vytvoření a správě vztahů důvěryhodnosti. Tyto nástroje komunikují přímo s autoritou LSA na řadiči domény.

Další kroky

Pokud chcete začít vytvářet spravovanou doménu s vztahem důvěryhodnosti doménové struktury, přečtěte si téma Vytvoření a konfigurace spravované domény služby Domain Services. Potom můžete vytvořit vztah důvěryhodnosti odchozí doménové struktury k místní doméně.