Cara kerja hubungan kepercayaan untuk hutan di Active Directory

  • Artikel

Active Directory Domain Services (AD DS) menyediakan keamanan di beberapa domain atau hutan melalui hubungan kepercayaan domain dan hutan. Sebelum autentikasi dapat terjadi di seluruh kepercayaan, Windows harus terlebih dahulu memeriksa apakah domain yang diminta oleh pengguna, komputer, atau layanan memiliki hubungan kepercayaan dengan domain akun yang diminta.

Untuk memeriksa hubungan kepercayaan ini, sistem keamanan Windows menghitung jalur kepercayaan antara pengendali domain (DC) untuk server yang menerima permintaan dan DC di domain akun yang meminta.

Mekanisme kontrol akses yang disediakan AD DS dan model keamanan terdistribusi Windows menyediakan lingkungan untuk pengoperasian domain dan kepercayaan hutan. Agar kepercayaan ini berfungsi dengan baik, setiap sumber daya atau komputer harus memiliki jalur kepercayaan langsung ke DC di domain tempatnya berada.

Jalur kepercayaan diterapkan oleh layanan Net Logon menggunakan koneksi panggilan prosedur jarak jauh terautentikasi (RPC) menuju otoritas domain tepercaya. Saluran aman juga meluas ke domain AD DS lainnya melalui hubungan kepercayaan antar-domain. Saluran aman ini digunakan untuk mendapatkan dan memverifikasi informasi keamanan, termasuk pengidentifikasi keamanan (SID) untuk pengguna dan grup.

Catatan

Layanan Domain mendukung beberapa arah kepercayaan hutan, termasuk kepercayaan dua arah dan kepercayaan satu arah yang dapat masuk atau keluar.

Untuk gambaran umum tentang bagaimana kepercayaan berlaku untuk Layanan Domain, lihat Konsep dan fitur forest.

Untuk mulai menggunakan kepercayaan di Domain Services, buat domain terkelola yang menggunakan kepercayaan forest.

Alur hubungan kepercayaan

Alur komunikasi aman atas kepercayaan menentukan elastisitas kepercayaan. Bagaimana Anda membuat atau mengonfigurasi kepercayaan menentukan seberapa jauh komunikasi meluas di dalam atau di seluruh hutan.

Alur komunikasi atas kepercayaan ditentukan oleh arah kepercayaan. Kepercayaan dapat berlaku satu arah atau dua arah, dan bisa transitif atau non-transitif.

Diagram berikut menunjukkan bahwa semua domain di Pohon 1 dan Pohon 2 memiliki hubungan kepercayaan transitif secara default. Sebagai hasilnya, pengguna di Pohon 1 dapat mengakses sumber daya pada domain di Pohon 2 dan pengguna di Pohon 2 dapat mengakses sumber daya di Pohon 1, ketika izin yang tepat ditetapkan di sumber daya.

Diagram of trust relationships between two forests

Kepercayaan satu arah dan dua arah

Hubungan kepercayaan memungkinkan akses ke sumber daya, dapat berlaku satu arah atau dua arah.

Kepercayaan satu arah adalah jalur autentikasi satu arah yang dibuat di antara dua domain. Dalam kepercayaan satu arah antara Domain A dan Domain B, pengguna di Domain A dapat mengakses sumber daya di Domain B. Namun, pengguna di Domain B tidak dapat mengakses sumber daya di Domain A.

Beberapa kepercayaan satu arah dapat berupa non-transitif atau transitif tergantung pada jenis kepercayaan yang dibuat.

Dalam kepercayaan dua arah, Domain A mempercayai Domain B dan Domain B mempercayai Domain A. Konfigurasi ini berarti bahwa permintaan autentikasi dapat diteruskan di antara kedua domain di kedua arah. Beberapa hubungan dua arah dapat berupa non-transitif atau transitif tergantung pada jenis kepercayaan yang dibuat.

Semua kepercayaan domain di forest AD DS lokal adalah kepercayaan transitif dua arah. Saat domain anak baru dibuat, kepercayaan transitif dua arah secara otomatis dibuat antara domain anak baru dan domain induk.

Kepercayaan transitif dan non-transitif

Transitivitas menentukan apakah kepercayaan dapat diperluas hingga ke luar kedua domain yang terbentuk.

  • Kepercayaan transitif dapat digunakan untuk memperluas hubungan kepercayaan dengan domain lain.
  • Kepercayaan non-transitif dapat digunakan untuk menolak hubungan kepercayaan dengan domain lain.

Setiap Anda membuat domain baru di hutan, hubungan kepercayaan transitif dua arah secara otomatis dibuat antara domain baru dan domain induknya. Jika domain anak ditambahkan ke domain baru, jalur kepercayaan mengalir ke atas melalui hierarki domain, memperluas jalur kepercayaan awal yang dibuat antara domain baru dan domain induknya. Hubungan kepercayaan transitif mengalir ke atas melalui pohon domain saat terbentuk, menciptakan kepercayaan transitif antara semua domain di pohon domain.

Permintaan autentikasi mengikuti jalur kepercayaan ini, sehingga akun dari domain apa pun di hutan dapat diautentikasi oleh domain lain di hutan. Dengan satu proses masuk, akun dengan izin yang tepat dapat mengakses sumber daya di domain apa pun di hutan.

Kepercayaan hutan

Kepercayaan hutan membantu Anda mengelola infrastruktur AD DS tersegmentasi dan mendukung akses ke sumber daya serta objek lainnya di beberapa hutan. Kepercayaan hutan berguna bagi penyedia layanan, perusahaan yang menjalani merger atau akuisisi, ekstranet bisnis kolaboratif, dan perusahaan yang mencari solusi untuk otonomi administrasi.

Dengan menggunakan kepercayaan hutan, Anda dapat menghubungkan dua hutan berbeda untuk membentuk hubungan kepercayaan transitif satu arah atau dua arah. Kepercayaan hutan memungkinkan administrator untuk menghubungkan dua hutan AD DS dengan satu hubungan kepercayaan untuk memberikan autentikasi dan pengalaman otorisasi tanpa hambatan di seluruh hutan.

Kepercayaan hutan dapat dibuat hanya antara domain akar hutan di satu hutan dan domain akar hutan di hutan lain. Kepercayaan hutan dapat dibuat hanya di antara dua hutan dan tidak dapat secara implisit diperluas ke hutan ketiga. Perilaku ini berarti bahwa jika kepercayaan hutan tercipta antara Hutan 1 dan Hutan 2, kemudian kepercayaan hutan lainnya tercipta antara Hutan 2 dan Hutan 3, Hutan 1 tidak memiliki kepercayaan implisit dengan Hutan 3.

Diagram berikut menunjukkan dua hubungan kepercayaan hutan terpisah antara tiga hutan AD DS dalam satu organisasi.

Diagram of forest trusts relationships within a single organization

Contoh konfigurasi ini menyediakan akses berikut:

  • Pengguna di Hutan 2 dapat mengakses sumber daya di domain mana pun baik di Hutan 1 atau Hutan 3
  • Pengguna di Hutan 3 dapat mengakses sumber daya di domain mana pun di Hutan 2
  • Pengguna di Hutan 1 dapat mengakses sumber daya di domain mana pun di Hutan 2

Konfigurasi ini tidak memungkinkan pengguna di Hutan 1 untuk mengakses sumber daya di Hutan 3 atau sebaliknya. Untuk memungkinkan pengguna di Hutan 1 dan Hutan 3 berbagi sumber daya, kepercayaan transitif dua arah harus dibuat di antara kedua hutan.

Jika kepercayaan hutan satu arah tercipta di antara dua hutan, anggota hutan terpercaya dapat menggunakan sumber daya yang terletak di hutan kepercayaan. Namun, kepercayaan hanya beroperasi satu arah.

Misalnya, saat kepercayaan hutan satu arah dibuat antara Hutan 1 (hutan yang dipercayai) dan Hutan 2 (hutan yang mempercayai):

  • Anggota Hutan 1 dapat mengakses sumber daya yang terletak di Hutan 2.
  • Anggota Hutan 2 tidak dapat mengakses sumber daya yang terletak di Hutan 1 dengan menggunakan kepercayaan yang sama.

Penting

Microsoft Entra Domain Services mendukung beberapa arah untuk kepercayaan hutan.

Persyaratan kepercayaan hutan

Sebelum Anda bisa membuat kepercayaan hutan, Anda perlu memverifikasi bahwa Anda memiliki infrastruktur Sistem Nama Domain (DNS) yang benar. Kepercayaan hutan hanya dapat dibuat saat salah satu konfigurasi DNS berikut ini tersedia:

  • Server DNS akar tunggal adalah server DNS akar bagi kedua namespace layanan DNS hutan - zona akar berisi delegasi untuk masing-masing namespace layanan DNS dan petunjuk akar dari semua server DNS termasuk server DNS akar.

  • Ketika tidak ada server DNS akar bersama dan server DNS akar di setiap namespace layanan DNS hutan menggunakan penerus bersyarat DNS untuk setiap namespace layanan DNS untuk merutekan kueri untuk nama di namespace layanan lain.

    Penting

    Setiap forest Microsoft Entra Domain Services dengan kepercayaan harus menggunakan konfigurasi DNS ini. Menghosting namespace DNS selain namespace layanan DNS forest bukanlah fitur Microsoft Entra Domain Services. Penerus bersyarat adalah konfigurasi yang tepat.

  • Ketika tidak ada server DNS akar bersama dan server DNS akar di setiap namespace layanan DNS hutan menggunakan zona sekunder dikonfigurasi di setiap namespace layanan DNS untuk merutekan kueri untuk nama di namespace layanan lain.

Untuk membuat kepercayaan forest di AD DS, Anda harus menjadi anggota grup Admin Domain (di domain akar hutan) atau grup Admin Perusahaan di Direktori Aktif. Setiap kepercayaan diberi kata sandi yang harus diketahui oleh administrator di kedua hutan tersebut. Anggota Admin Perusahaan di kedua hutan dapat menciptakan kepercayaan di hutan dalam satu waktu. Dalam skenario ini, kata sandi yang secara kriptografis acak akan secara otomatis dihasilkan dan dituliskan untuk kedua hutan.

Hutan domain terkelola mendukung hingga lima kepercayaan hutan keluar satu arah ke hutan lokal. Kepercayaan forest keluar untuk Microsoft Entra Domain Services dibuat di pusat admin Microsoft Entra. Kepercayaan hutan yang masuk harus dikonfigurasi oleh pengguna dengan hak istimewa yang sebelumnya tercantum di Active Directory lokal.

Proses dan interaksi kepercayaan

Banyak transaksi antar-domain dan antar-hutan bergantung pada domain atau kepercayaan hutan untuk menyelesaikan berbagai tugas. Bagian ini menjelaskan proses dan interaksi yang terjadi saat sumber daya diakses di seluruh kepercayaan dan rujukan autentikasi dievaluasi.

Gambaran umum pemrosesan rujukan autentikasi

Ketika permintaan autentikasi dirujuk ke domain, pengendali domain di domain tersebut harus menentukan apakah hubungan kepercayaan ada dengan domain tempat permintaan tersebut datang. Arah kepercayaan dan apakah kepercayaan bersifat transitif atau nontransitif juga harus ditentukan sebelum mengautentikasi pengguna untuk mengakses sumber daya di domain. Proses autentikasi yang terjadi antara domain tepercaya bervariasi sesuai dengan protokol otentikasi yang digunakan. Protokol Kerberos V5 dan NTLM memproses rujukan untuk autentikasi ke domain secara berbeda

Pemrosesan rujukan Kerberos V5

Protokol autentikasi Kerberos V5 bergantung pada layanan Net Logon pada pengendali domain untuk autentikasi klien dan informasi otorisasi. Protokol Kerberos terhubung ke Pusat Distribusi Kunci (KDC) online dan penyimpanan akun Direktori Aktif untuk tiket sesi.

Protokol Kerberos juga menggunakan kepercayaan untuk layanan pemberian tiket (TGS) lintas realm dan untuk memvalidasi Sertifikat Atribut Hak Istimewa (PAC) di seluruh saluran yang aman. Protokol Kerberos melakukan autentikasi lintas realm hanya dengan sistem operasi merek-non-Windows realm Kerberos seperti realm MIT Kerberos dan tidak perlu berinteraksi dengan layanan Net Logon.

Jika klien menggunakan Kerberos V5 untuk autentikasi, klien meminta tiket ke server di domain target dari pengendali domain di domain akunnya. KDC Kerberos bertindak sebagai perantara tepercaya antara klien dan server dan menyediakan kunci sesi yang memungkinkan kedua belah pihak untuk mengautentikasi satu sama lain. Jika domain target berbeda dari domain saat ini, KDC mengikuti proses logis untuk menentukan apakah permintaan autentikasi dapat dirujuk:

  1. Apakah domain saat ini dipercaya langsung oleh domain server yang sedang diminta?

    • Jika ya, kirim klien rujukan ke domain yang diminta.
    • Jika tidak, lanjutkan ke langkah berikutnya.

  2. Apakah hubungan kepercayaan transitif ada antara domain saat ini dan domain berikutnya pada jalur kepercayaan?

    • Jika ya, kirim klien rujukan ke domain berikutnya di jalur kepercayaan.
    • Jika tidak, kirim pesan proses masuk ditolak kepada klien.

Pemrosesan rujukan NTLM

Protokol autentikasi NTLM bergantung pada layanan Net Logon pada pengendali domain untuk autentikasi klien dan informasi otorisasi. Protokol ini mengautentikasi klien yang tidak menggunakan otentikasi Kerberos. NTLM menggunakan kepercayaan untuk meneruskan permintaan autentikasi antar domain.

Jika klien menggunakan NTLM untuk autentikasi, permintaan awal untuk autentikasi bergerak langsung dari klien ke server sumber daya di domain target. Server ini membuat tantangan yang direspons klien. Server kemudian mengirim respons pengguna ke pengendali domain di domain akun komputernya. Pengendali domain ini memeriksa akun pengguna terhadap database akun keamanannya.

Jika akun tidak ada dalam database, pengendali domain menentukan untuk melakukan autentikasi pass-through, meneruskan permintaan, atau menolak permintaan dengan menggunakan logika berikut:

  1. Apakah domain saat ini memiliki hubungan kepercayaan langsung dengan domain pengguna?

    • Jika ya, pengendali domain mengirimkan info masuk klien ke pengendali domain di domain pengguna untuk autentikasi pass-through.
    • Jika tidak, lanjutkan ke langkah berikutnya.

  2. Apakah domain saat ini memiliki hubungan kepercayaan transitif dengan domain pengguna?

    • Jika ya, sampaikan permintaan autentikasi ke domain berikutnya di jalur kepercayaan. Pengendali domain ini mengulangi proses dengan memeriksa info masuk pengguna terhadap database akun keamanannya sendiri.
    • Jika tidak, kirim pesan proses masuk ditolak kepada klien.

Pemrosesan permintaan autentikasi berbasis Kerberos atas kepercayaan hutan

Ketika kedua hutan terhubung oleh kepercayaan hutan, permintaan autentikasi yang dibuat menggunakan protokol Kerberos V5 atau NTLM dapat dirutekan antar hutan untuk menyediakan akses ke sumber daya di kedua hutan.

Ketika kepercayaan hutan pertama kali didirikan, setiap hutan mengumpulkan semua namespace layanan tepercaya di hutan mitranya dan menyimpan informasi dalam objek domain tepercaya. Namespace layanan tepercaya meliputi nama pohon domain, akhiran nama prinsipal pengguna (UPN), akhiran nama prinsipal layanan (SPN), dan namespace layanan ID keamanan (SID) yang digunakan di hutan lainnya. Objek TDO direplikasi ke katalog global.

Catatan

Akhiran UPN alternatif pada perwalian tidak didukung. Jika domain lokal menggunakan akhiran UPN yang sama dengan Layanan Domain, masuk harus menggunakan sAMAccountName.

Sebelum protokol autentikasi dapat mengikuti jalur kepercayaan hutan, nama prinsipal layanan (SPN) komputer sumber daya harus diselesaikan ke lokasi di hutan lain. Salah satu nama berikut dapat menjadi SPN:

  • Nama DNS host.
  • Nama DNS domain.
  • Nama khusus objek titik koneksi layanan.

Ketika stasiun kerja di satu hutan mencoba mengakses data pada komputer sumber daya di hutan lain, proses autentikasi Kerberos menghubungi pengendali domain untuk tiket layanan ke SPN komputer sumber daya. Setelah pengendali domain meminta katalog global dan menentukan bahwa SPN tidak berada di hutan yang sama dengan pengendali domain, pengendali domain mengirim rujukan untuk domain induknya kembali ke stasiun kerja. Pada saat itu, stasiun kerja meminta tiket layanan pada domain induk dan secara berkelanjutan mengikuti rantai rujukan hingga mencapai domain tempat sumber daya berada.

Diagram dan langkah-langkah berikut ini memberikan deskripsi terperinci tentang proses autentikasi Kerberos yang digunakan ketika komputer yang menjalankan Windows mencoba mengakses sumber daya dari komputer yang terletak di hutan lain.

Diagram of the Kerberos process over a forest trust

  1. User1 masuk ke Workstation1 menggunakan info masuk dari domain europe.tailspintoys.com. Pengguna kemudian mencoba mengakses sumber daya bersama di FileServer1 yang terletak di hutan usa.wingtiptoys.com.

  2. Workstation1 menghubungi KDC Kerberos pada pengendali domain di domainnya, ChildDC1, dan meminta tiket layanan untuk SPN FileServer1.

  3. ChildDC1 tidak menemukan SPN dalam database domainnya dan meminta katalog global untuk menemukan domain di hutan tailspintoys.com yang berisi SPN ini. Karena katalog global terbatas pada hutannya sendiri, SPN tidak ditemukan.

    Katalog global kemudian memeriksa databasenya untuk menemukan informasi tentang kepercayaan hutan yang didirikan dengan hutannya. Jika ditemukan, ia membandingkan akhiran nama yang tercantum dalam objek domain terpercaya (TDO) kepercayaan hutan dengan akhiran target SPN untuk menemukan kecocokan. Setelah kecocokan ditemukan, katalog global menyediakan petunjuk perutean kembali ke ChildDC1.

    Petunjuk perutean membantu permintaan autentikasi langsung ke arah hutan tujuan. Petunjuk hanya digunakan ketika semua saluran autentikasi tradisional, seperti pengendali domain lokal dan kemudian katalog global, gagal menemukan SPN.

  4. ChildDC1 mengirim rujukan untuk domain induknya kembali ke Workstation1.

  5. Workstation1 menghubungi pengendali domain di ForestRootDC1 (domain induknya) untuk rujukan ke pengendali domain (ForestRootDC2) di domain akar hutan dari hutan wingtiptoys.com.

  6. Workstation1 menghubungi ForestRootDC2 di hutan wingtiptoys.com untuk tiket layanan ke layanan yang diminta.

  7. ForestRootDC2 menghubungi katalog globalnya untuk menemukan SPN, dan katalog global menemukan kecocokan untuk SPN dan mengirimkannya kembali ke ForestRootDC2.

  8. ForestRootDC2 kemudian mengirim rujukan ke usa.wingtiptoys.com kembali ke Workstation1.

  9. Workstation1 menghubungi KDC di ChildDC2 dan menegosiasikan tiket untuk User1 agar mendapat akses ke FileServer1.

  10. Setelah Workstation1 memiliki tiket layanan, ia mengirim tiket layanan ke FileServer1 yang membaca info masuk keamanan User1dan membangun token akses yang sesuai.

Objek domain tepercaya

Setiap domain atau kepercayaan hutan dalam organisasi diwakili oleh Objek Domain Tepercaya (TDO) yang disimpan dalam kontainer Sistem dalam domainnya.

Konten TDO

Informasi yang terkandung dalam TDO bervariasi tergantung pada apakah TDO dibuat oleh kepercayaan domain atau oleh kepercayaan hutan.

Saat kepercayaan domain dibuat, atribut seperti nama domain DNS, SID domain, jenis kepercayaan, transitivitas kepercayaan, dan nama domain resiprokal diwakili dalam TDO. TDO kepercayaan hutan menyimpan atribut tambahan untuk mengidentifikasi semua namespace layanan tepercaya dari hutan mitra. Atribut ini meliputi nama pohon domain, akhiran nama prinsipal pengguna (UPN), akhiran nama prinsipal layanan (SPN), dan namespace layanan ID keamanan (SID) yang digunakan di hutan lainnya.

Karena kepercayaan disimpan dalam Direktori Aktif sebagai TDO, semua domain di hutan memiliki pengetahuan tentang hubungan kepercayaan yang ada di seluruh hutan. Demikian pula ketika dua atau lebih hutan bergabung melalui kepercayaan hutan, maka domain akar hutan di setiap hutan kemudian mengetahui hubungan kepercayaan yang ada di seluruh domain di hutan tepercaya.

Perubahan kata sandi TDO

Kedua domain dalam hubungan kepercayaan berbagi kata sandi, yang disimpan di objek TDO di Direktori Aktif. Sebagai bagian dari proses pemeliharaan akun, setiap 30 hari pengendali domain kepercayaan mengubah kata sandi yang disimpan di TDO. Karena semua kepercayaan dua arah sebenarnya adalah dua kepercayaan satu arah yang bergerak ke arah yang berlawanan, proses tersebut terjadi dua kali agar terjadi kepercayaan dua arah.

Suatu kepercayaan memiliki sisi memercayai dan terpercaya. Di sisi terpercaya, pengendali domain yang dapat ditulis dapat digunakan untuk proses tersebut. Di sisi memercayai, emulator PDC melakukan perubahan kata sandi.

Untuk mengubah kata sandi, pengendali domain menyelesaikan proses berikut:

  1. Emulator pengendali domain primer (PDC) di domain memercayai membuat kata sandi baru. Pengendali domain di domain tepercaya tidak pernah memulai perubahan kata sandi. Hal ini selalu dimulai oleh emulator PDC domain memercayai.

  2. Emulator PDC di domain memercayai menetapkan bidang OldPassword objek TDO ke bidang NewPassword saat ini.

  3. Emulator PDC di domain memercayai menetapkan bidang NewPassword objek TDO ke bidang kata sandi baru. Menyimpan salinan kata sandi sebelumnya memungkinkan untuk kembali ke kata sandi lama jika pengendali domain di domain tepercaya gagal menerima perubahan, atau jika perubahan tidak direplikasi sebelum permintaan yang menggunakan kata sandi kepercayaan baru dibuat.

  4. Emulator PDC di domain memercayai melakukan panggilan jarak jauh ke pengendali domain di domain tepercaya yang memintanya untuk mengatur kata sandi pada akun kepercayaan ke kata sandi baru.

  5. Pengendali domain di domain tepercaya mengubah kata sandi kepercayaan ke kata sandi baru.

  6. Di setiap sisi kepercayaan, pembaruan direplikasi ke pengontrol domain lain di domain. Di domain memercayai, perubahan ini memicu replikasi mendesak dari objek domain tepercaya.

Kata sandi sekarang diubah pada kedua pengendali domain. Replikasi normal mendistribusikan objek TDO ke pengendali domain lain di domain. Namun, mungkin bagi pengontrol domain di domain memercayai untuk mengubah kata sandi tanpa harus memperbarui pengontrol domain di domain tepercaya. Skenario ini dapat terjadi karena saluran aman, yang diperlukan untuk memproses perubahan kata sandi, tidak dapat ditetapkan. Juga dapat terjadi karena pengendali domain di domain tepercaya mungkin tidak tersedia di beberapa titik selama proses dan mungkin tidak menerima kata sandi yang diperbarui.

Untuk menghadapi situasi di mana perubahan kata sandi tidak berhasil dikomunikasikan, pengendali domain di domain memercayai tidak pernah mengubah kata sandi baru kecuali telah berhasil diautentikasi (menyiapkan saluran aman) menggunakan kata sandi baru. Perilaku ini adalah mengapa kata sandi lama dan baru disimpan di objek TDO domain memercayai.

Perubahan kata sandi tidak diselesaikan hingga autentikasi menggunakan kata sandi berhasil. Kata sandi lama yang tersimpan dapat digunakan melalui saluran aman sampai pengontrol domain di domain tepercaya menerima kata sandi baru, sehingga memungkinkan layanan tanpa gangguan.

Jika autentikasi yang menggunakan kata sandi baru gagal karena kata sandi tidak valid, pengontrol domain memercayai mencoba mengautentikasi menggunakan kata sandi lama. Jika berhasil diautentikasi dengan kata sandi lama, kata sandi akan melanjutkan proses perubahan kata sandi dalam waktu 15 menit.

Pembaruan kata sandi kepercayaan perlu direplikasi ke pengendali domain dari kedua sisi kepercayaan dalam 30 hari. Jika kata sandi kepercayaan diubah setelah 30 hari dan pengendali domain hanya memiliki kata sandi N-2, kata sandi tersebut tidak dapat menggunakan kepercayaan dari sisi memercayai dan tidak dapat membuat saluran aman di sisi tepercaya.

Port jaringan yang digunakan oleh kepercayaan

Karena kepercayaan harus digunakan di berbagai batas jaringan, mereka mungkin harus menjangkau satu atau beberapa firewall. Jika ini masalahnya, Anda dapat bergerak di terowongan lalu lintas kepercayaan di firewall atau membuka port tertentu di firewall untuk memungkinkan lalu lintas.

Penting

Active Directory Domain Services tidak mendukung pembatasan lalu lintas RPC Direktori Aktif ke port tertentu.

Baca bagian Windows Server 2008 dan versi lebih baru dari Artikel Dukungan Microsoft Cara mengonfigurasi firewall untuk domain Direktori Aktif dan kepercayaan untuk mempelajari port yang diperlukan untuk kepercayaan hutan.

Layanan dan alat pendukung

Beberapa fitur dan alat manajemen tambahan digunakan untuk mendukung kepercayaan dan autentikasi.

Net Logon

Layanan Net Logon mempertahankan saluran aman dari komputer berbasis Windows ke DC. Ini juga digunakan dalam proses terkait kepercayaan berikut:

  • Pengaturan dan manajemen kepercayaan - Net Logon membantu menjaga kata sandi kepercayaan, mengumpulkan informasi kepercayaan, dan memverifikasi kepercayaan dengan berinteraksi dengan proses LSA dan TDO.

    Untuk kepercayaan Hutan, informasi kepercayaan mencakup catatan Informasi Hutan Kepercayaan (FTInfo),yang mencakup serangkaian namespace layanan yang diklaim dikelola oleh hutan tepercaya, dianotasikan dengan bidang yang menunjukkan apakah masing-masing klaim dipercaya oleh hutan kepercayaan.

  • Autentikasi - Memasok info masuk pengguna melalui saluran aman ke pengontrol domain dan mengembalikan SID domain dan hak pengguna untuk pengguna.

  • Lokasi pengendali domain - Membantu menemukan pengontrol domain di suatu domain atau di seluruh domain.

  • Validasi pass-through - Info masuk pengguna di domain lain diproses oleh Net Logon. Ketika domain kepercayaan perlu memverifikasi identitas pengguna, domain tersebut meneruskan info masuk pengguna melalui Net Logon ke domain tepercaya untuk verifikasi.

  • Verifikasi Sertifikat Atribut Hak Istimewa (PAC) - Ketika server yang menggunakan protokol Kerberos untuk autentikasi perlu memverifikasi PAC dalam tiket layanan, ia mengirim PAC ke seluruh saluran aman ke pengontrol domainnya untuk verifikasi.

Otoritas Keamanan Lokal

Otoritas Keamanan Lokal (LSA) adalah subsistem terproteksi yang menyimpan informasi tentang semua aspek keamanan lokal pada suatu sistem. Secara kolektif dikenal sebagai kebijakan keamanan lokal, LSA menyediakan berbagai layanan untuk terjemahan antara nama dan pengidentifikasi.

Subsistem keamanan LSA menyediakan layanan dalam mode kernel dan mode pengguna untuk memvalidasi akses menuju objek, memeriksa hak istimewa pengguna, dan menghasilkan pesan audit. LSA bertanggung jawab untuk memeriksa validitas semua tiket sesi yang disajikan oleh layanan di domain tepercaya atau tidak tepercaya.

Alat manajemen

Administrator dapat menggunakan Domain dan Kepercayaan Direktori Aktif, Netdom dan Nltest untuk mengekspos, membuat, menghapus, atau memodifikasi kepercayaan.

  • Domain dan Kepercayaan Direktori Aktif adalah Konsol Manajemen Microsoft (MMC) yang digunakan untuk mengelola kepercayaan domain, tingkat fungsional domain dan hutan, dan akhiran nama prinsipal pengguna.
  • Alat baris perintah Netdom dan Nltest dapat digunakan untuk menemukan, menampilkan, membuat, dan mengelola kepercayaan. Alat-alat ini berkomunikasi langsung dengan otoritas LSA pada pengendali domain.

Langkah berikutnya

Untuk mulai membuat domain terkelola dengan kepercayaan hutan, lihat Membuat dan mengonfigurasi domain terkelola Domain Services. Kemudian, Anda dapat Membuat kepercayaan hutan keluar ke domain lokal.