ایجاد قدم به قدم تراست بین دو فارست جداگانه

ما نیز برای سرور های دانلود از سرور مجازی ابری وب ایده استفاده می کنیم
Telegram_GEEKBOY ایجاد قدم به قدم تراست بین دو فارست جداگانه ایجاد قدم به قدم تراست بین دو فارست جداگانه geek
ایجاد تراست بین دو فارست جداگانه How to configure Forest Level Trust in Windows Server ایجاد قدم به قدم تراست بین دو فارست جداگانه ایجاد قدم به قدم تراست بین دو فارست جداگانه How to configure Forest Level Trust in Windows Server
ایجاد تراست بین دو فارست جداگانه

سلام به دوستان، توی این آموزش میخوام فارست تراست بهتون آموزش بدم، ابتدا یه توضیح کوتاه درباره انواع تراستها میدم. تراست به چه معنیه: تراست یعنی اعتماد کردن، یعنی زمانی که دو فارست که هیچ ربطی به هم ندارن بخوان به همدیگه اعتماد کنن و از اطلاعات و منابع هم استفاده کنن. کلاً تراست ها یا بصورت اتوماتیک ایجاد میشن یعنی ما توی ایجاد شدنشون دخیل نیستیم که بهشون Implicit میگن و یا دستی ایجاد میشن یعنی خودمون ایجادشون می کنیم که بهشون Explicit میگن. زمانی که میخوایم تراست بین دو فارست ایجاد کنیم مشخص میکنیم که آیا میخواییم هردو فارست بتونن از اطلاعات هم استفاده کنن (یعنی تراست دو طرفه بزنیم) یا فقط یکی از فارست ها بتونه به اطلاعات اون یکی فاست دیگه دسترسی داشته باشه (یعنی تراست یک طرفه بزنیم) مثلاً اگه فارست A به فارست B اعتماد کنه، یعنی فارست B میتونه به اطلاعات و منابعی که فارست A مشخصی میکنه دسترسی داشته باشه(بر عکس هم هستن).

خوب حالا اگه فارست A به فارست B اعتماد داشته باشه و فارست B هم به فارست C اعتماد داشته باشه در نتیجه فارست A اعتماد داره به فارست C، که بین قضیه Transitivity میگن.

IC195287 ایجاد قدم به قدم تراست بین دو فارست جداگانه ایجاد قدم به قدم تراست بین دو فارست جداگانه IC195287

انواع تراست در اکتیودایرکتوری:

Understanding Trust Types ایجاد قدم به قدم تراست بین دو فارست جداگانه ایجاد قدم به قدم تراست بین دو فارست جداگانه Capture

parent/child trust: این تراست رو بهش میگن تراست پدر و فرزند که اتوماتیک ایجاد میشه

Default Transitive Trust Relationships ایجاد قدم به قدم تراست بین دو فارست جداگانه ایجاد قدم به قدم تراست بین دو فارست جداگانه Default Transitive Trust Relationships

مثلاً زمانی که یه DC ایجاد میکنیم و بعدش یه child Domain بهش اضافه میکنیم این تراست ایجاد میشه که تراستش دوطرفه هست و در ضمن بصورت پیشفرض transitivity هم داره.

realm trust: این تراست زمانی کاربرد داره که میخوایم بین یه فارستی که سیستم عامل سرورش غیر مایکروسافتی هست تراست ایجاد کنیم با یه فارستی که سیستم عامل سرورش مایکروسافتیه.
Realm Trust ایجاد قدم به قدم تراست بین دو فارست جداگانه ایجاد قدم به قدم تراست بین دو فارست جداگانه 032414 1023 DesigningTr3

البته اینجا یه نکته ای وجود داره و اون هم اینه که چون سرورهای مایکروسافتی از Kerberos V5 استفاده میکنن (Kerberos V5 پروتکل پیش فرض اکتیو دایرکتوری هست) در نتیجه زمانی که میخوایم realm trust ایجاد کنیم باید مطمئن بشیم که اون سیستم عامل غیر مایکروسافتی از kerberos V5 پشتیبانی کنه.

External trust: این تراست هم زمانی کاربرد داره که سیستم عامل سرور یکی از فارست ها که مبخوایم باهاش تراست کنیم NT Server هست.

External Trust ایجاد قدم به قدم تراست بین دو فارست جداگانه ایجاد قدم به قدم تراست بین دو فارست جداگانه External Trust

این تراست میتونه یک طرفه یا دوطرفه باشه و میتونه transitivity داشته باشه یا نداشته باشه.

Shortcut trust: این تراست زمانی کاربرد داره که میخوایم سرعت افزایش بدیم یعنی مثلاً اگه یه فارست داشته باشیم که تعداد زیادی دومین داره و یه یوزر توی یکی از دومینها میخواد به اطلاعات یه یوزر دیگه توی یکی از دومینهای فارست دوم دسترسی داشته باشه.

Shortcut Trust ایجاد قدم به قدم تراست بین دو فارست جداگانه ایجاد قدم به قدم تراست بین دو فارست جداگانه Shortcut Trust

حالا این یوزر زمانی میتونه به اطلاعات اون یوزر دسترسی داشته باشه که یه پروسه ی تایید یوزر توسط دومین های بالاسریش انجام بشه و در نهایت تراست نیز باید چک بشه که تراست برقرار باشه، خوب حالا اگه این یوزر چند تا دومین بالاسری داشته باشه این تایید زمانبر خواهد بود در نتیجه واسه سرعت بخشیدن دسترسی یوزر به اطلاعات میایم و از این تراست استفاده میکنیم.

ّForest trust: واسه اینکه بتونیم این تراست ایجاد کنیم باید سیستم عامل سرور فارستهایی که میخوایم تراست بینشون ایجاد بشه، ویندوز سرور 2003 به بالا باشن.

Forest Trusts ایجاد قدم به قدم تراست بین دو فارست جداگانه ایجاد قدم به قدم تراست بین دو فارست جداگانه Forest Trusts

این تراست میتونه یک طرفه یا دوطرفه باشه و بصورت پیشفرض Transitivity داره.

خوب یه توضیح درباره گروه ها میدم چون توی تراست مهمه، زمانی که میخوایم گروه بسازیم باید چند تا نکته رو در نظر بگیریم، یکی اینکه گروهی که میخوایم بسازیم نوعش چی باشه (Group Type) و دومی هم هدف گروه هست (Group Scope)، حالا منظور از هدف گروه یعنی کیا میتونن عضو گروه باشن و این گروه کجاها قابل Add شدن هست.

معرفی انواع گروه در اکتیودایرکتوری

Distribution: یه گروه خاص هست که فقط کاربردش واسه ایمیل فرستادن به یورزهاست، یعنی اگه خواستیم به 30 یوزر یه ایمیل مشترک بفرستیم بجای اینکه تک تک این یوزرها رو وارد کنیم و بهشون ایمیل بزنیم میتونیم اسم گروهشونو وارد میکنیم (یوزرهایی که عضو این گروه میشن فقط قابلیت ایمیل دارن و نیمیشه مثلا روی این گروه NTFS Permision ست کرد)

security: گروهی هست که بیشترین کاربرد داره و میشه روی این گروه مثلاً NTFS Permision گذاشت و خیلی کارای دیگه. (واسه ایمیل فرستادن هم میشه از این گروه استفاده کرد)

Group Scope در اکتیودایرکتوری

Group Scope ایجاد قدم به قدم تراست بین دو فارست جداگانه ایجاد قدم به قدم تراست بین دو فارست جداگانه Group Scope

Domain Local: اگه گروهی با این Scope بسازیم، فقط توی همین فارستی که گروه ساختیم قابل دیدن و Add کردن هست (فقط به منابع همین دامین دسترسی دارد) ولی اعضاش میتونن از همه جا باشن (یعنی همین فارستی که گروه توش ساخته شده و فارست هایی که بهشون تراست زدیم)

Global: این گروه برعکس بالایی هست، یعنی اعضاش فقط میتونن از همین فارستی باشن که گروه توش ساخته شده ولی همه جا قابل دیدن و Add شدن هست.

Universal: اعضای این گروه میتونن از همه جا باشن و همه جا قابل دیدن و Add شدن هست، ممکنه پیش خودتون بگید که همین نوع گروه خوبه دیگه همه قابلیتهارو داره ولی این گروه بخاطر اینکه لود میزاره روی سرور فقط جاهایی ازش استفاده میکنیم که مجبور باشیم. (اطلاعات universal توی global catalog شبکه ذخیره میشه و زمانی که DC داره replication انجام میده به جز اطلاعات اکتیو دایرکتوری، اطلاعات global catalog هم replicate میشه خوب زمانی که اطلاعات بیشتر باشه حجم اطلاعاتی که replicate میشه میره بالا ترافیک افزایش پیدا میکنه واسه همینه که universal روی سرور لود میزاره)

خوب حالا مرحله به مرحله فارست تراست بهتون یاد میدم.

SVR1-2015-11-19-18-20-14 ایجاد قدم به قدم تراست بین دو فارست جداگانه ایجاد قدم به قدم تراست بین دو فارست جداگانه SVR1 2015 11 19 18 20 14

واسه ابتدای کار روی منوی tools از Server Manager کلیک میکنیم و سپس از منوی باز شده گزینه Active Directory Domains and Trusts انتخاب میکنیم ،که صفحه زیر ظاهر میشه.

SVR1-2015-11-19-18-23-19 ایجاد قدم به قدم تراست بین دو فارست جداگانه ایجاد قدم به قدم تراست بین دو فارست جداگانه SVR1 2015 11 19 18 23 19

و بعدش روی اسم دومین راست کلیک و propertise انتخاب میکنیم تا صفحه زیر نمایش داده شود و سپس وارد تب Trust میشیم.

SVR1-2015-11-19-18-24-51 ایجاد قدم به قدم تراست بین دو فارست جداگانه ایجاد قدم به قدم تراست بین دو فارست جداگانه SVR1 2015 11 19 18 24 51

حالا روی دکمه New Trust کلیک میکنیم تا یه صفحه ویزارد بصورت زیر برای ما باز بشه.

SVR1-2015-11-19-18-26-22 ایجاد قدم به قدم تراست بین دو فارست جداگانه ایجاد قدم به قدم تراست بین دو فارست جداگانه SVR1 2015 11 19 18 26 22

next میکنیم و سپس توی صفحه زیر اسم فارستی که میخوایم بهش تراست بزنیم رو وارد می کنیم.

SVR1-2015-11-19-18-26-30 ایجاد قدم به قدم تراست بین دو فارست جداگانه ایجاد قدم به قدم تراست بین دو فارست جداگانه SVR1 2015 11 19 18 26 30

دوباره next میکنیم و اگه با صفحه ای شبیه صفحه زیر برخورد کنیم یعنی نتونسته فارست مقابل (همونی که توی مرحله قبل وارد کردیم) پیدا کنه در نتیجه باید چک کنیم که Dns تنظیم شده باشه.

SVR1-2015-11-19-18-26-52 ایجاد قدم به قدم تراست بین دو فارست جداگانه ایجاد قدم به قدم تراست بین دو فارست جداگانه SVR1 2015 11 19 18 26 52

صفحات بالا رو میبندیم و سپس بصورت زیر Dns تنظیم میکنیم (این تنظیم Dns باید توی هر دو فارست انجام بشه وگرنه فارست ها نمیتونن همدیگرو پیدا کنن) صفحه Dns میتونیم یا از طریق تایپ Dns در استارت ویندوز یا از طریق Administrative Tools توی استارت و یا از طریق منوی Tools در Server Manager باز کنیم، که صفحه زیر نشون داده میشه.

SVR1-2015-11-19-18-29-59 ایجاد قدم به قدم تراست بین دو فارست جداگانه ایجاد قدم به قدم تراست بین دو فارست جداگانه SVR1 2015 11 19 18 29 59

SVR1-2015-11-19-22-10-16 ایجاد قدم به قدم تراست بین دو فارست جداگانه ایجاد قدم به قدم تراست بین دو فارست جداگانه SVR1 2015 11 19 22 10 16

روی new zone کلیک می کنیم تا یه صفحه ویزارد باز بشه و سپس روی next کلیک می کنیم تا صفحه زیر نمایش داده بشه.

SVR1-2015-11-19-22-10-24 ایجاد قدم به قدم تراست بین دو فارست جداگانه ایجاد قدم به قدم تراست بین دو فارست جداگانه SVR1 2015 11 19 22 10 24

طبق چیزی که تو عکس بالا معلومه ما میتونیم سه نوع Zone بسازیم، Zone ی که واسه تراست بدردمون میخوره آخری هست یعنی Stub zone ، Stub zone یه Zone خاص هست یعنی میگرده و فقط Dns های موجود در فارست مقابل (که میخوایم بهش تراست بزنیم) برای ما نمایش میده. پس روی Stub Zone کلیک میکنیم و next میزنیم تا صفحه ای دیگه برامون باز بشه.

SVR1-2015-11-19-22-13-41 ایجاد قدم به قدم تراست بین دو فارست جداگانه ایجاد قدم به قدم تراست بین دو فارست جداگانه SVR1 2015 11 19 22 13 41

حالا روی گزینه اول کلیک میکنیم یعنی میخوایم فارست تراست ایجاد کنیم و سپس next میزنیم.

SVR1-2015-11-19-22-14-31 ایجاد قدم به قدم تراست بین دو فارست جداگانه ایجاد قدم به قدم تراست بین دو فارست جداگانه SVR1 2015 11 19 22 14 31

اسو فارست مقابل تایپ میکنیم و next میزنیم. حالا در اینجا IP سرور دومین مقابل وارد میکنیم و اگه مشکلی نباشه تایید IP نمایش داده میشه بصورت زیر.

SVR1-2015-11-19-22-15-44 ایجاد قدم به قدم تراست بین دو فارست جداگانه ایجاد قدم به قدم تراست بین دو فارست جداگانه SVR1 2015 11 19 22 15 44

next میزنیم و بعد روی finish کلیک میکنیم، حالا دوباره میریم سعی میکنیم تراست ایجاد کنیم، تمام کارای که قبل از Dns انجام دادیم دوباره انجام میدیم و زمانی که فارست مقابل وارد میکنیم و Next میزنیم صفحه ای زیر نمایش داده میشه یعنی تونست فارست مقابل پیدا کنه.

SVR1-2015-11-19-22-17-43 ایجاد قدم به قدم تراست بین دو فارست جداگانه ایجاد قدم به قدم تراست بین دو فارست جداگانه SVR1 2015 11 19 22 17 43

چون میخوایم فارست تراست ایجاد کنیم باید روی گزینه Frost Trust کلیک کنیم و سپس Next بزنیم

SVR1-2015-11-19-22-19-05 ایجاد قدم به قدم تراست بین دو فارست جداگانه ایجاد قدم به قدم تراست بین دو فارست جداگانه SVR1 2015 11 19 22 19 05

خوب حالا اگه بخوایم تراستمون یک طرفه باشه روی One way کلیک میکنیم و اگه بخوایم دو طرفه باشه روی Two way کلیک میکنیم که من میخوام تراست دوطرفه ایجاد کنم و بعدش Next میزنیم.

SVR1-2015-11-19-22-22-57 ایجاد قدم به قدم تراست بین دو فارست جداگانه ایجاد قدم به قدم تراست بین دو فارست جداگانه SVR1 2015 11 19 22 22 57

اینجا از ما میپرسه که میخواید تراست توی هر دو فارست تنظیم بشه یا فقط توی همین فارست (اگه گزینه اول انتخاب کنیم باید همه ی اینکارایی که تا الان انجام دادیم دوباره واسه فارست مقابل هم انجام بدیم ولی اگه گزینه دوم انتخاب کنیم دیگه اینکار لازم نیست تنظیمات تراست واسه فارست مقابل انجام میشه) و چون ما داریم توی VMware این کارارو انجام میدیم لازم نیست که دوبار این کارا تکرار بشه در نتیجه میایم روی گزینه دوم کلیک میکنیم (ولی توی کار باید گزینه اول انتخاب کنیم چون واسه تراست از ما پسورد فارست مقابل میخواد و ما که پسورد فارست مقابل نداریم)

SVR1-2015-11-19-22-24-13 ایجاد قدم به قدم تراست بین دو فارست جداگانه ایجاد قدم به قدم تراست بین دو فارست جداگانه SVR1 2015 11 19 22 24 13

خوب میبینید که از ما پسورد ادمین فارست مقابل میخواد، پسورد وارد میکنیم و next میزنیم.

SVR1-2015-11-19-22-25-50 ایجاد قدم به قدم تراست بین دو فارست جداگانه ایجاد قدم به قدم تراست بین دو فارست جداگانه SVR1 2015 11 19 22 25 50

SVR1-2015-11-19-22-25-54 ایجاد قدم به قدم تراست بین دو فارست جداگانه ایجاد قدم به قدم تراست بین دو فارست جداگانه SVR1 2015 11 19 22 25 54

اینجا میپرسه که میخواید تمام یوزرهای دومین مقابل بتونن وارد دومین شما بشن (گزینه اول) یا فقظ بعضی یوزرها این اجازه رو داشته باشن (گزینه دوم)، که اینجا ما گزینه اول انتخاب میکنیم یعنی میخوایم فعلاً تمام یوزرها اون دومین بتونن وارد دومین ما بشن، next میزنیم و صفحه بعد نیز جهت برعکسشو میپرسه (یعنی چه یوزرهایی از دومین خودمون بتونن وارد دومین مقابل بشن) که باز گزینه اول انتخاب میکنیم و next میزنیم که صفحه زیر نمایش داده میشه.

SVR1-2015-11-19-22-25-58 ایجاد قدم به قدم تراست بین دو فارست جداگانه ایجاد قدم به قدم تراست بین دو فارست جداگانه SVR1 2015 11 19 22 25 58

این صفحه یه گزارش بهمون نشون میده که بررسی میکنیم درست باشه.

SVR1-2015-11-19-22-28-40 ایجاد قدم به قدم تراست بین دو فارست جداگانه ایجاد قدم به قدم تراست بین دو فارست جداگانه SVR1 2015 11 19 22 28 40

اینجا میپرسه که تراست تایید کنم (تراستی که از طرف ما به اون دومین زده میشه) yes میزنیم.

SVR1-2015-11-19-22-28-45 ایجاد قدم به قدم تراست بین دو فارست جداگانه ایجاد قدم به قدم تراست بین دو فارست جداگانه SVR1 2015 11 19 22 28 45

اینجا هم میپرسه که تراست تایید کنم (تراستی که از طرف دومین مقابل به دومین ما زده میشه) yes میزنیم.

SVR1-2015-11-19-22-28-51 ایجاد قدم به قدم تراست بین دو فارست جداگانه ایجاد قدم به قدم تراست بین دو فارست جداگانه SVR1 2015 11 19 22 28 51

زمانی که صفحه بالا ظاهر شد یعنی تراستمون با موفقیت ایجاد شده finish میزنیم.

خوب حالا یه نگا به صفحه تراست دومین خودمون میندازیم که میبینید تراست ایجاد شده بصورت زیر (هم از طرف دومین مقابل هم از طرف دومین خودمون)

SVR1-2015-11-19-22-28-56 ایجاد قدم به قدم تراست بین دو فارست جداگانه ایجاد قدم به قدم تراست بین دو فارست جداگانه SVR1 2015 11 19 22 28 56

وارد سرور دومین مقابل میشیم و یه نگا به تراستش میندازیم بصورت زیر، اینجا هم به صورت اتوماتیک تراست ایجاد شده پس همه چی درسته.

SVR2-2015-11-19-22-32-20 ایجاد قدم به قدم تراست بین دو فارست جداگانه ایجاد قدم به قدم تراست بین دو فارست جداگانه SVR2 2015 11 19 22 32 20

خوب حالا میایم تراستمونو تست میکنیم، یه فولدر توی اون دومین ایجاد میکنیم و اجازه میدیم یوزرهامون بتونن دسترسی داشته باشن به اون فولدر. ابتدا یوزرهایی که میخوایم به فولدر دسترسی داشته باشن ایجاد میکنیم (حتما نیازی نیست یوزر ایجاد کنید میتونید از همون یوزرهایی که دارید استفاده کنید) و یه گروه میسازیم (از نوع global) و این یوزرهارو عضوش میکنیم (به این خاطر Scope گروه از نوع global ایجاد میکنیم چون میخوایم بعدا توی اون دومین قابل دیدن و add شدن باشه)

SVR2-2015-11-19-22-41-54 ایجاد قدم به قدم تراست بین دو فارست جداگانه ایجاد قدم به قدم تراست بین دو فارست جداگانه SVR2 2015 11 19 22 41 54

SVR2-2015-11-19-22-42-47 ایجاد قدم به قدم تراست بین دو فارست جداگانه ایجاد قدم به قدم تراست بین دو فارست جداگانه SVR2 2015 11 19 22 42 47

در بالا میبینید که دوتا یوزر بنام U1 و U2 ایجاد کردم بهمراه یه گروه بنام Google Group و اعضاشو این دوتا یوزر گذاشتم، کارمون توی این دومین تمومه میریم توی دومین مقابل.

SVR1-2015-11-19-22-51-23 ایجاد قدم به قدم تراست بین دو فارست جداگانه ایجاد قدم به قدم تراست بین دو فارست جداگانه SVR1 2015 11 19 22 51 23

SVR1-2015-11-19-22-51-38 ایجاد قدم به قدم تراست بین دو فارست جداگانه ایجاد قدم به قدم تراست بین دو فارست جداگانه SVR1 2015 11 19 22 51 38

SVR1-2015-11-19-22-51-43 ایجاد قدم به قدم تراست بین دو فارست جداگانه ایجاد قدم به قدم تراست بین دو فارست جداگانه SVR1 2015 11 19 22 51 43

یه گروه بنام Google Users ایجاد میکنیم (scope گروه Domain local میزاریم چون میخوایم اعضاش به جز اینکه از این دومین باشن از جاهایی هم که تراست زدیم باشن) و اعضاش میشن همون گروهی که توی اون دومین ساختیم (یعنی Google Group) واسه اینکه بتونیم گروه های اون دومین ببینیم باید روی Locations کلیک کنیم و اون یکی دومین انتخاب کنیم و بعدش اسم گروه وارد کنیم و Add بزنیم. حالا اگه زمانی که میخواستیم گروه Google Users بسازیم اشتباهی نوع Scope گروهشو Global انتخاب میکردیم، زمانی که میخواستیم توی Locations اون دومین انتخاب کنیم چیزی نمایش داده نمیشد (اینجاست که فرق Global و Domain Local مشخص میشه)

خوب گروههامونو ساختیم نوبت به این رسیده که یه فولدر بسازیم (واسه تست تراست) تا گروه Google Users (در حقیقت U1,U2) بتونه بهش دسترسی داشته باشه.

SVR1-2015-11-19-22-57-18 ایجاد قدم به قدم تراست بین دو فارست جداگانه ایجاد قدم به قدم تراست بین دو فارست جداگانه SVR1 2015 11 19 22 57 18

SVR1-2015-11-19-22-58-19 ایجاد قدم به قدم تراست بین دو فارست جداگانه ایجاد قدم به قدم تراست بین دو فارست جداگانه SVR1 2015 11 19 22 58 19

یه فولدر بنام Test Data در سرور اول ساختیم و به اشتراک گذاشتیمش (به صورت بالا) و به گروه Google User دسترسی در حد Modify دادیم، خوب حالا با U1 وارد win10 میشیم.

Test Windows 10-2015-11-19-23-11-55 ایجاد قدم به قدم تراست بین دو فارست جداگانه ایجاد قدم به قدم تراست بین دو فارست جداگانه Test Windows 10 2015 11 19 23 11 55

Test Windows 10-2015-11-19-23-14-47 ایجاد قدم به قدم تراست بین دو فارست جداگانه ایجاد قدم به قدم تراست بین دو فارست جداگانه Test Windows 10 2015 11 19 23 14 47

Test Windows 10-2015-11-19-23-15-30 ایجاد قدم به قدم تراست بین دو فارست جداگانه ایجاد قدم به قدم تراست بین دو فارست جداگانه Test Windows 10 2015 11 19 23 15 30

خوب میبینید که فولدری که به اشتراک گذاشتیم نشون میده و تونستیم یه فایل توش ایجاد کنیم حالا اگر به یوزری دیگری که خارج از گروه Google Users هست وارد شده و تست کنید دیگر دسترسی به فایل ها و تغییرات آن ها ندارید.

در صورتی که مطالب سایت برای شما مفید بوده است، می توانید از طریق لینک زیر از سایت حمایت کنید.

ممکن است شما دوست داشته باشید بیشتر از نویسنده

ارسال یک نظر

آدرس ایمیل شما منتشر نخواهد شد.