在现实的业务场景中,有时为了更好的管理域用户和服务。我们往往会创建多个分散式的域,每个域的Administrator专注于维护特定域中的用户和资源,Administrator也可以定义安全策略,比如账号策略等。
现有如下场景,一个二层拓扑的SharePoint Farm包含一台SharePoint Server,DB Server,AD(假设Contoso.com) ,毫无疑问AD Contoso.com承载了SharePoint的身份认证。现需要再加入一台AD(假设为Mintcode.Local),如下图所示:
如上图所示那样,contoso.com与mintcode.local之间建立了单向(One-Way)的外传信任关系,即Contoso.com信任Mintcode.Local。这样Mintcode.local域中用户能被Contoso.com域验证,但Contoso.com域中用户不能被mintcode.local域认证。
理清了业务场景后,接下来就是怎样去实现了。
回顾下上述的拓扑图,有如下两台AD域服务器:
Contoso.com的IP 地址:192.168.123.14
Mintcode.local的IP 地址:192.168.16.7
好了,磨刀不误砍柴工,让我们开始实现吧,首先需准备如下工作——
打开Active Directory域和信任关系à选中Domainà提升域功能级别
1.DNS指向
设置IP地址,使其DNS指向目标服务器,如下所示:
记得刷新DNS解析缓存
2.建立条件转发器
在Contoso.com DNS中新建条件转发器,记得刷新
3.建立辅助区域
3.1.打开mintcode.local(192.168.16.7)DNS
3.2.选中mintcode.localà属性à允许区域传送à只允许到下列服务器
3.3.打开contoso.com(192.168.123.14)DNS
3.4.新建辅助区域
3.5.指定主服务器IP地址
上述3中实现方式,采用任意一种实现方式都行。不管怎样实现,最总的目的都是相同的,能将域名解析成IP地址,如下所示:
怎样建立域之间的信任关系,One-Way、Two-Way,微软给了详细的操作步骤(http://technet.microsoft.com/zh-cn/library/cc816837(v=WS.10).aspx)。
按照上述的拓扑图,需要Mintcode.local中的用户能够在Contoso.com域中认证,为此我需要建立一种One-Way的信任,即Contoso.com信任Mintcode.local。
有了上述的准备工作后,让我们来实现One-Way Trust吧,当然你也可以Two-Way,只不过在我的场景中One-Way足矣了。
结束了吗,当然没,可以做的更好,对人员选择器进行搜索的定制,使其在指定的域中抓取人员信息。
在SharePoint Server上键入如下命令行:
微软也给了很好的解释,详见http://technet.microsoft.com/en-us/library/gg602075(v=office.15).aspx
最后记得同步下User Profile Service,在Populate Containers把mintcode.local包含进来(怎样配置UPS,这是个繁琐的事,详见后续文章)
根据不同的场景,你可以选择一个或者多个AD域服务器,优势利弊,不做过多分析,根据实际的需求来即可。
SharePoint 2010、2013多个域之间互信(Domain Trust)的设计与实施,布布扣,bubuko.com
SharePoint 2010、2013多个域之间互信(Domain Trust)的设计与实施
原文:http://www.cnblogs.com/OceanEyes/p/how-to-set-domain-trust-in-sharepoint-farm.html