Примечание
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
Для каждого домена CORP, например contoso.local, контроллеры домена PRIV и CONTOSO должны быть связаны отношениями доверия. Это позволяет пользователям домена PRIV получать доступ к ресурсам в домене CORP.
Подключите каждый контроллер домена к соответствующему ему контроллеру
Перед установкой доверия каждый контроллер домена должен быть настроен для разрешения DNS-имен для своего аналога на основе IP-адреса другого контроллера домена или DNS-сервера.
Если контроллеры домена или серверы с программным обеспечением MIM развертываются как виртуальные машины, убедитесь, что на этих компьютерах нет других DNS-серверов, предоставляющих службы именования доменов.
- Если виртуальные машины имеют несколько сетевых интерфейсов, включая сетевые интерфейсы, подключенные к общедоступным сетям, может потребоваться временно отключить эти подключения или переопределить параметры сетевого интерфейса Windows. Важно убедиться, что ip-адрес DNS-сервера, предоставленный DHCP, не используется виртуальными машинами.
Убедитесь, что каждый существующий контроллер домена CORP может направлять имена в лес PRIV. На каждом контроллере домена за пределами леса PRIV, например CORPDC, запустите PowerShell и введите следующую команду:
nslookup -qt=ns priv.contoso.local.Убедитесь, что выходные данные указывают запись сервера имен для домена PRIV с правильным IP-адресом.
Если контроллер домена не может маршрутизировать домен PRIV, используйте диспетчер DNS (находящийся в Пуск>Средства приложений>DNS) для настройки перенаправления DNS-имен для домена PRIV на IP-адрес PRIVDC. Если это лучший домен (например, contoso.local), разверните узлы для этого контроллера домена и его домена, например CORPDC>Зоны прямого поиска>contoso.local, и убедитесь, что ключ с именем priv присутствует как тип сервера имен (NS).
структура файла
Установка доверия в PAMSRV
На PAMSRV установите одностороннее доверие к каждому домену, например, CORPDC, чтобы контроллеры домена CORP доверяли лесу каталогов PRIV.
Войдите в PAMSRV в качестве администратора домена PRIV (PRIV\Administrator).
Запустите PowerShell.
Введите следующие команды PowerShell для каждого существующего леса. При появлении запроса введите учетные данные администратора домена CORP (CONTOSO\Administrator).
$ca = get-credential New-PAMTrust -SourceForest "contoso.local" -Credentials $caВведите следующие команды для каждого домена в существующих лесах.
netdom trust contoso.local /domain:priv.contoso.local /enablesidhistory:yes /usero:contoso\administrator /passwordo:Pass@word1 netdom trust contoso.local /domain:priv.contoso.local /quarantine:no /usero:contoso\administrator /passwordo:Pass@word1 netdom trust contoso.local /domain:priv.contoso.local /enablepimtrust:yes /usero:contoso\administrator /passwordo:Pass@word1
Предоставление доступа для чтения к существующим лесам Active Directory
Для каждого существующего леса включите доступ на чтение к AD администраторам PRIV и службе мониторинга.
Войдите в существующий контроллер домена леса CORP (CORPDC) в качестве администратора домена верхнего уровня в этом лесу (Contoso\Administrator).
Запустите Active Directory пользователей и компьютеров.
Щелкните правой кнопкой мыши домен contoso.local и выберите Делегировать управление.
На вкладке "Выбранные пользователи и группы" щелкните Добавить.
На окне выбора пользователей, компьютеров или групп щелкните Локации и измените расположение на priv.contoso.local. В поле имени объекта введите администраторы домена и щелкните Проверить имена. Когда появится всплывающее окно, введите имя пользователя priv\administrator и пароль.
После администраторов домена добавьте "; MIMMonitor". После подчеркивания имен Domain Admins и MIMMonitor нажмите кнопку ОК, а затем нажмите кнопку Далее.
В списке распространенных задач выберите Прочитать все сведения о пользователе, затем нажмите Далее и Готово.
Закройте пользователей и компьютеры Active Directory.
Откройте окно PowerShell.
Используйте
netdom, чтобы убедиться, что история SID включена, а фильтрация SID отключена. Тип:netdom trust contoso.local /quarantine:no /domain priv.contoso.local netdom trust /enablesidhistory:yes /domain priv.contoso.localВыходные данные должны отображать либо Включение истории SID для этого доверия, либо История SID уже включена для этогодоверия.
Выходные данные также должны указывать на то, что фильтрация SID не включена для этого доверия. Дополнительные сведения см. в разделе Отключение карантина фильтра идентификаторов безопасности.
Запуск служб мониторинга и компонентов
Войдите в PAMSRV в качестве администратора домена PRIV (PRIV\Administrator).
Запустите PowerShell.
Введите следующие команды PowerShell.
net start "PAM Component service" net start "PAM Monitoring service"
На следующем шаге вы переместите группу в PAM.