Sdílet prostřednictvím

Jak fungují vztahy důvěryhodnosti pro lesy ve službě Active Directory (Preview)

  • Článek

Služba Active Directory Domain Services (AD DS) poskytuje zabezpečení napříč více doménami nebo lesy prostřednictvím vztahů důvěryhodnosti domén a lesů. Před tím, než může dojít k ověření mezi vztahy důvěryhodnosti, musí systém Windows nejprve zkontrolovat, jestli doména požadovaná uživatelem, počítačem nebo službou má vztah důvěryhodnosti s doménou žádajícího účtu.

Pokud chcete zkontrolovat tento vztah důvěryhodnosti, systém zabezpečení Systému Windows vypočítá cestu důvěryhodnosti mezi řadičem domény (DC) pro server, který přijímá požadavek, a řadičem domény v doméně žádajícího účtu.

Mechanismy řízení přístupu poskytované službou AD DS a modelem distribuovaného zabezpečení Windows vytvářejí prostředí pro provoz důvěryhodnostních vztahů domén a lesů. Aby tyto vztahy důvěryhodnosti fungovaly správně, musí mít každý prostředek nebo počítač přímou cestu důvěryhodnosti k řadiči domény, ve které se nachází.

Služba Net Logon implementuje cestu důvěry pomocí připojení ověřeného vzdáleného volání procedur (RPC) k důvěryhodné doménové autoritě. Zabezpečený kanál se také rozšiřuje na další domény služeb AD DS prostřednictvím důvěryhodných vztahů mezi doménami. Tento zabezpečený kanál slouží k získání a ověření informací o zabezpečení, včetně identifikátorů zabezpečení (SID) pro uživatele a skupiny.

Poznámka

Domain Services podporuje více směrů důvěry mezi lesy, včetně aktuálního náhledu obousměrných důvěryhodných vztahů a jednosměrných důvěryhodných vztahů, které mohou být příchozí nebo odchozí.

Přehled toho, jak se důvěryhodné vztahy vztahují na službu Domain Services, najdete v tématu Koncepty a funkce doménové struktury.

Pokud chcete začít používat důvěryhodnosti ve službě Domain Services, vytvořte spravovanou doménu, která používá důvěryhodnost lesů.

Toky důvěryhodnostních vztahů

Tok zabezpečené komunikace přes důvěry určuje elasticitu důvěry. Způsob, jakým vytvoříte nebo nakonfigurujete důvěru, určuje, jak daleko se komunikace rozšíří v rámci doménové struktury nebo napříč doménovými strukturami.

Směr důvěry určuje tok komunikace přes důvěry. Důvěry můžou být jednosměrné nebo obousměrné a můžou být tranzitivní nebo netranzitivní.

Následující diagram ukazuje, že všechny domény ve stromu Strom 1 a Strom 2 mají ve výchozím nastavení přechodné vztahy důvěryhodnosti. V důsledku toho mají uživatelé v Strom 1 přístup k prostředkům v doménách v Strom 2 a uživatelé v Strom 2 mají přístup k prostředkům ve Strom 1, pokud jsou k prostředku přiřazena správná oprávnění.

diagram vztahů důvěry mezi dvěma lesy

Jednosměrné a obousměrné vztahy důvěryhodnosti

Vztahy důvěryhodnosti umožňují přístup k prostředkům jednosměrně nebo obousměrně.

Jednosměrný důvěryhodný vztah je jednosměrná autentizační cesta vytvořená mezi dvěma doménami. Jednosměrný vztah důvěryhodnosti mezi doménou A a doménou Bznamená, že uživatelé v doméně A mají přístup k prostředkům v doméně B. Naopak, uživatelé v doméně B nemají přístup k prostředkům v doméně A.

Některé jednosměrné vztahy důvěryhodnosti můžou být nepřenosné nebo tranzitivní v závislosti na typu vytvářeného vztahu důvěryhodnosti.

V obousměrné důvěře Doména A důvěřuje Doméně B a Doméně B důvěřuje Doméně A. Tato konfigurace znamená, že žádosti o ověření je možné předávat mezi těmito dvěma doménami v obou směrech. Některé obousměrné relace můžou být nepřenosné nebo tranzitivní v závislosti na typu vytvořeného vztahu důvěryhodnosti.

Všechny důvěryhodnostní vztahy domén v místní doménové struktuře AD DS jsou obousměrné a přechodné. Při vytvoření nové podřízené domény se mezi novou podřízenou doménou a nadřazenou doménou automaticky vytvoří obousměrný vztah důvěryhodnosti.

Tranzitivní a netranzitivní důvěry

Přenosnost určuje, zda lze vztah důvěryhodnosti rozšířit mimo dvě domény, se kterými byl vytvořen.

  • Přenositelný vztah důvěryhodnosti lze použít k rozšíření vztahů důvěryhodnosti s jinými doménami.
  • Nepřenosný vztah důvěryhodnosti lze použít k odepření vztahů důvěryhodnosti s jinými doménami.

Při každém vytvoření nové domény v doménové struktuře se mezi novou doménou a její nadřazenou doménou automaticky vytvoří obousměrná tranzitivní důvěra. Pokud se podřízené domény přidají do nové domény, cesta důvěryhodnosti prochází hierarchií domény směrem nahoru a rozšiřuje počáteční cestu důvěryhodnosti vytvořenou mezi novou doménou a její nadřazenou doménou. Přechodné vztahy důvěryhodnosti procházejí stromem domény směrem nahoru a vytvářejí přechodné vztahy důvěryhodnosti mezi všemi doménami ve stromu domény.

Požadavky na ověření se řídí těmito cestami důvěryhodnosti, takže účty z jakékoli domény v doménové struktuře můžou být ověřeny jakoukoli jinou doménou v doménové struktuře. Při jednotném přihlášení mají účty se správnými oprávněními přístup ke zdrojům v jakékoli doméně v doménové struktuře.

Důvěryhodné vztahy lesů

Lesní důvěry pomáhají při správě segmentovaných infrastruktur služby AD DS a podporují přístup k prostředkům a dalším objektům napříč několika lesy. Důvěryhodné vztahy mezi doménami jsou užitečné pro poskytovatele služeb, společnosti, které procházejí fúzemi nebo akvizicemi, obchodní extranety pro spolupráci a společnosti, které hledají řešení pro autonomii v správě.

Pomocí vztahů důvěryhodnosti lesů můžete propojit dva různé lesy a vytvořit jednosměrný nebo obousměrný tranzitivní vztah důvěryhodnosti. Vztah důvěryhodnosti doménové struktury umožňuje správcům propojit dvě doménové struktury služby AD DS s jedním vztahem důvěryhodnosti, aby zajistili bezproblémové ověřování a autorizaci napříč doménovými strukturami.

Vztah důvěryhodnosti lze vytvořit pouze mezi kořenovou doménou v jedné doménové struktuře a kořenovou doménou v jiné doménové struktuře. Důvěryhodnost mezi lesy lze vytvořit pouze mezi dvěma lesy a nelze ji implicitně rozšířit na třetí les. Toto chování znamená, že pokud se mezi Les 1 a Les 2vytvoří důvěryhodný vztah a mezi Les 2 a Les 3vznikne další vztah důvěryhodnosti, potom Les 1 nemá implicitní důvěru s Les 3.

Následující diagram znázorňuje dva samostatné vztahy důvěryhodnosti mezi lesy třemi doménovými strukturami Active Directory Domain Services v jedné organizaci.

Diagram vztahů důvěryhodnosti v rámci lesního seskupení v jedné organizaci

Tato ukázková konfigurace poskytuje následující přístup:

  • Uživatelé v Lesu 2 mají přístup k prostředkům v libovolné doméně v Lesu 1 nebo Lesu 3
  • Uživatelé v Lesu 3 mají přístup k prostředkům v libovolné doméně v Lesu 2
  • Uživatelé v lesní struktuře Les 1 mají přístup k prostředkům v libovolné doméně v lesní struktuře Les 2

Tato konfigurace neumožňuje uživatelům v doménové struktuře 1 přístup k prostředkům v doménové struktuře 3 a naopak. Pokud chcete uživatelům v Les 1 i Les 3 umožnit sdílení prostředků, musí se mezi těmito dvěma lesy vytvořit obousměrný tranzitivní vztah důvěryhodnosti.

Pokud se mezi dvěma lesy vytvoří jednosměrný vztah důvěry, mohou členové důvěryhodného lesa využívat prostředky umístěné v důvěřujícím lese. Vztah důvěryhodnosti ale funguje pouze jedním směrem.

Například když je vytvořena jednosměrná lesní důvěra mezi Lesem 1 (důvěryhodný les) a Lesem 2 (důvěřující les):

  • Členové Forest 1 mají přístup k prostředkům umístěným v Forest 2.
  • Členové doménové struktury 2 nemají přístup k prostředkům umístěným v Doménové struktuře 1 používající stejný vztah důvěryhodnosti.

Důležitý

Služba Microsoft Entra Domain Services podporuje více směrů pro vztahy důvěryhodnosti doménové struktury.

Požadavky na důvěryhodnost lesů

Než budete moct vytvořit důvěryhodný vztah lesní domény, musíte ověřit, že máte správnou infrastrukturu DNS. Důvěry mezi lesy lze vytvořit pouze tehdy, pokud je k dispozici jedna z následujících konfigurací DNS:

  • Jednotný kořenový server DNS je kořenový server pro obě doménové struktury ve stromové hierarchii DNS – kořenová zóna obsahuje delegace pro každý z oborů názvů DNS a kořenové odkazy všech serverů DNS zahrnují kořenový server DNS.

  • Pokud neexistuje žádný sdílený kořenový server DNS a kořenové servery DNS v každém oboru názvů DNS doménové struktury používají podmíněné předávání ke směrování dotazů na názvy v jiném oboru názvů.

    Důležitý

    Každá doménová struktura služby Microsoft Entra Domain Services s vztahem důvěryhodnosti musí tuto konfiguraci DNS používat. Hostování jiného oboru názvů DNS než oboru názvů DNS doménové struktury není funkcí služby Microsoft Entra Domain Services. Podmíneční přeposílače je správná konfigurace.

  • Pokud neexistuje žádný sdílený kořenový server DNS a pokud kořenové servery DNS v každém oboru názvů doménové struktury používají sekundární zóny DNS, jsou v každém oboru názvů DNS nakonfigurovány ke směrování dotazů na názvy v jiném oboru názvů.

Pokud chcete vytvořit lesní důvěru ve službě AD DS, musíte být členem skupiny Domain Admins (v kořenové doméně) nebo skupiny Enterprise Admins ve službě Active Directory. Každému trustu je přiřazeno heslo, které musí znát správci v obou lesích. Členové skupiny Správci podniku v obou lesích mohou vytvořit důvěryhodné vztahy v obou lesích najednou a v tomto scénáři je automaticky vygenerováno a zapsáno heslo, které je kryptograficky náhodné.

Spravovaná doménová struktura podporuje až pět jednosměrných vztahů důvěryhodnosti odchozích doménových struktur s místními doménovými strukturami. Odchozí důvěryhodnost lesní domény pro službu Microsoft Entra Domain Services je vytvořena v Centru správy Microsoft Entra. Uživatel s dříve zmíněnými oprávněními v místní službě Active Directory musí nakonfigurovat příchozí důvěru lesa.

Procesy a interakce důvěry

Mnoho transakcí mezi doménami a lesy závisí na důvěře nebo vztazích důvěry mezi doménami nebo lesy, aby bylo možné provádět různé úlohy. Tato část popisuje procesy a interakce, ke kterým dochází při přístupu k prostředkům v rámci vztahů důvěryhodnosti a vyhodnocování referenčních seznamů ověřování.

Přehled zpracování předávání v rámci autentizace

Když se na doménu odkazuje požadavek na ověření, musí řadič domény v této doméně určit, jestli existuje vztah důvěryhodnosti s doménou, ze které žádost pochází. Směr vztahu důvěryhodnosti a to, jestli je vztah důvěryhodnosti tranzitivní nebo netransitivní, musí být také určen před ověřením uživatele pro přístup k prostředkům v doméně. Proces ověřování, ke kterému dochází mezi důvěryhodnými doménami, se liší podle používaného ověřovacího protokolu. Protokoly Kerberos V5 a NTLM zpracovávají přesměrování pro ověřování v rámci domény odlišně.

Zpracování předání Kerberos v5

Ověřovací protokol Kerberos V5 závisí na službě Net Logon na řadičích domény pro ověřování klientů a autorizační informace. Protokol Kerberos se připojuje k online centru distribuce klíčů (KDC) a úložišti účtů služby Active Directory pro lístky relací.

Protokol Kerberos také používá vztahy důvěryhodnosti pro mezirealmové služby vydávání lístků (TGS) a k ověření certifikátů atributů oprávnění (PAC) v zabezpečeném kanálu. Protokol Kerberos provádí ověřování mezi sférami pouze se sférami Kerberos operačních systémů jiných než Windows, jako je například sféra MIT Kerberos, a nemusí spolupracovat se službou Net Logon.

Pokud klient k ověřování používá protokol Kerberos V5, požádá o lístek na server v cílové doméně z řadiče domény v doméně svého účtu. KDC protokolu Kerberos funguje jako důvěryhodný zprostředkovatel mezi klientem a serverem a poskytuje klíč relace, který umožňuje, aby se obě strany navzájem ověřily. Pokud se cílová doména liší od aktuální domény, služba KDC se řídí logickým procesem, který určuje, jestli se dá odkazovat na žádost o ověření:

  1. Je aktuální doména důvěryhodná přímo doménou požadovaného serveru?

    • Pokud ano, odešlete klientovi referenční seznam do požadované domény.
    • Pokud ne, přejděte k dalšímu kroku.

  2. Existuje tranzitivní vztah důvěryhodnosti mezi aktuální doménou a další doménou v cestě důvěryhodnosti?

    • Pokud ano, odešlete klientovi doporučení do další domény na cestě důvěry.
    • Pokud ne, odešlete klientovi zprávu o odepření přihlášení.

Zpracování referenčních seznamů NTLM

Ověřovací protokol NTLM závisí na službě Net Logon na řadičích domény pro ověřování klientů a autorizační informace. Tento protokol ověřuje klienty, kteří nepoužívají ověřování protokolem Kerberos. PROTOKOL NTLM používá důvěryhodnost pro předávání ověřovacích žádostí mezi doménami.

Pokud klient k ověřování používá protokol NTLM, počáteční požadavek na ověření přejde přímo z klienta na server prostředků v cílové doméně. Tento server vytvoří výzvu, na kterou klient reaguje. Server pak odešle odpověď uživatele na řadič domény v doméně účtu daného počítače. Tento řadič domény zkontroluje uživatelský účet v databázi účtů zabezpečení.

Pokud účet v databázi neexistuje, řadič domény určí, jestli se má provést předávací ověřování, předat žádost nebo zamítnout požadavek pomocí následující logiky:

  1. Má aktuální doména přímý vztah důvěryhodnosti s doménou uživatele?

    • Pokud ano, řadič domény odešle přihlašovací údaje klienta řadiči domény v doméně uživatele pro předávací ověřování.
    • Pokud ne, přejděte k dalšímu kroku.

  2. Má aktuální doména tranzitivní vztah důvěryhodnosti s doménou uživatele?

    • Pokud ano, předejte žádost o ověření do další domény v cestě důvěryhodnosti. Tento řadič domény tento proces opakuje kontrolou přihlašovacích údajů uživatele vůči vlastní databázi účtů zabezpečení.
    • Pokud ne, odešlete klientovi zprávu o odepření přihlášení.

Zpracování požadavků na ověřování založené na protokolu Kerberos přes vztahy důvěryhodnosti doménové struktury

Pokud jsou dva lesy propojeny prostřednictvím vztahu důvěryhodnosti lesů, lze žádosti o ověřování vytvořené pomocí protokolů Kerberos V5 nebo NTLM směrovat mezi lesy, aby se poskytl přístup k prostředkům v obou lesích.

Při prvním zřízení důvěry v rámci lesní doménové struktury každá tato struktura shromažďuje všechny důvěryhodné jmenné prostory v partnerské doménové struktuře a ukládá tyto informace do důvěryhodného objektu domény. Mezi důvěryhodné obory názvů patří názvy stromu domény, přípony hlavního názvu uživatele (UPN), přípony hlavního názvu služby (SPN) a obory názvů ID zabezpečení (SID) používané v jiné doménové struktuře. Objekty TDO se replikují do globálního katalogu.

Poznámka

Alternativní přípony hlavního názvu uživatele (UPN) u důvěry nejsou podporovány. Pokud místní doména používá stejnou příponu UPN jako Domain Services, musí přihlášení použít sAMAccountName.

Než mohou ověřovací protokoly následovat cestou důvěryhodnosti lesů, hlavní název služby (SPN) počítače prostředku musí být přeložen na umístění v jiném lese. Hlavní název služby (SPN) může být jeden z následujících názvů:

  • Název DNS hostitele.
  • Název DNS domény.
  • Rozlišující název objektu spojovacího bodu služby.

Když se pracovní stanice v jedné doménové struktuře pokusí o přístup k datům v počítači prostředku v jiné doménové struktuře, proces ověřování Kerberos kontaktuje řadič domény pro lístek služby na základě SPN počítače prostředku. Jakmile se řadič domény dotazuje globálního katalogu a určí, že hlavní název služby není ve stejné doménové struktuře jako řadič domény, řadič domény odešle referenční seznam pro nadřazenou doménu zpátky do pracovní stanice. V tomto okamžiku pracovní stanice dotazuje nadřazenou doménu pro servisní lístek a pokračuje ve sledování řetězce referenčních seznamů, dokud nedosáhne domény, ve které se prostředek nachází.

Následující diagram a kroky obsahují podrobný popis procesu ověřování Kerberos, který se používá, když počítače s operačním systémem Windows pokoušejí přistupovat k prostředkům z počítače umístěného v jiném lesu.

Diagram procesu Kerberos v rámci lesní důvěryhodnosti

  1. User1 se přihlašuje k Workstation1 pomocí přihlašovacích údajů z domény europe.tailspintoys.com. Uživatel se pak pokusí o přístup ke sdílenému prostředku na FileServer1 umístěném v lese usa.wingtiptoys.com.

  2. Workstation1 kontaktuje službu Kerberos KDC na řadiči domény ve své doméně, ChildDC1, a požádá o servisní lístek pro hlavní název služby FileServer1 SPN.

  3. ChildDC1 nenajde hlavní název služby (SPN) v databázi domény a dotazuje globální katalog, aby zjistil, jestli některé domény v doménové struktuře tailspintoys.com obsahují tento hlavní název služby (SPN). Vzhledem k tomu, že globální katalog je omezený na vlastní les, hlavní název služby (SPN) není nalezen.

    Globální katalog pak zkontroluje svou databázi a vyhledá informace o všech doménových trustech, které jsou vytvořeny s jeho lesem. Pokud se najde, porovná přípony názvů uvedené v objektu důvěryhodné domény doménové struktury (TDO) s příponou cílového hlavního názvu služby a najde shodu. Jakmile se najde shoda, globální katalog poskytuje nápovědu ke směrování zpět do ChildDC1.

    Směrovací pokyny pomáhají navádět žádosti o ověření do cílové doménové struktury. Nápovědy se používají pouze tehdy, když se všechny tradiční ověřovací kanály, jako je místní řadič domény a následně globální katalog, nezdaří nalézt hlavní název služby (SPN).

  4. ChildDC1 odesílá referenční informaci své nadřazené domény zpět na Workstation1.

  5. Pracovní stanice1 kontaktuje řadič domény v ForestRootDC1 (své nadřazené doméně) pro odkaz na řadič domény (ForestRootDC2) v kořenové doméně doménové struktury wingtiptoys.com.

  6. Pracovní stanice1 kontaktuje ForestRootDC2 v doménové struktuře wingtiptoys.com pro služební lístek na požadovanou službu.

  7. ForestRootDC2 kontaktuje globální katalog, aby našel hlavní název služby (SPN) a globální katalog najde shodu pro hlavní název služby (SPN) a odešle SPN zpět do ForestRootDC2.

  8. ForestRootDC2 pak odešle referál usa.wingtiptoys.com zpět do Workstation1.

  9. Workstation1 kontaktuje KDC na ChildDC2 a vyjednává pověření pro User1, aby získal přístup k FileServer1.

  10. Jakmile Pracovní stanice1 má servisní lístek, odešle jej na FileServer1, který přečte bezpečnostní pověření User1a odpovídajícím způsobem vytvoří přístupový token.

Důvěryhodný objekt domény

Důvěryhodný objekt domény (TDO) uložený v kontejneru System v rámci své domény představuje každou doménu nebo les důvěry v organizaci.

Obsah TDO

Informace obsažené v objektu TDO se liší v závislosti na tom, jestli byl objekt TDO vytvořen vztahem důvěryhodnosti domény nebo vztahem důvěryhodnosti doménové struktury.

Při vytvoření vztahu důvěryhodnosti domény jsou atributy, jako je název domény DNS, identifikátor SID domény, typ důvěryhodnosti, průchodnost důvěryhodnosti a reciproční název domény, reprezentovány v objektu TDO. TDO objektů důvěry v doménové struktuře ukládají další atributy k identifikaci všech důvěryhodných jmenných prostorů z partnerského lesního prostředí. Mezi tyto atributy patří názvy stromu domény, přípony hlavního názvu uživatele (UPN), přípony hlavního názvu služby (SPN) a obory názvů ID zabezpečení (SID).

Vzhledem k tomu, že vztahy důvěryhodnosti jsou uložené ve službě Active Directory jako TDO, všechny domény v doménové struktuře mají znalosti vztahů důvěryhodnosti, které se nacházejí v celé doménové struktuře. Podobně platí, že když jsou dvě nebo více lesních domén vzájemně propojeny prostřednictvím vztahů důvěryhodného lesu, mají kořenové domény v každém lesu znalosti o vztazích důvěryhodnosti, které se nacházejí ve všech doménách v důvěryhodných lesích.

Změny hesla TDO

Obě domény v vztahu důvěryhodnosti sdílejí heslo, které je uloženo v objektu TDO ve službě Active Directory. V rámci procesu údržby účtu každých 30 dní změní důvěryhodný řadič domény heslo uložené v objektu TDO. Vzhledem k tomu, že všechny obousměrné důvěryhodné relace jsou ve skutečnosti dvěma jednosměrnými důvěryhodnými relacemi v opačných směrech, proces probíhá dvakrát pro obousměrné důvěryhodné relace.

Důvěra má důvěřivou a důvěryhodnou stranu. Na důvěryhodné straně lze pro tento proces použít jakýkoli zapisovatelný řadič domény. Na straně důvěryhodnosti emulátor primárního řadiče domény provede změnu hesla.

Pokud chcete změnit heslo, řadiče domény dokončí následující proces:

  1. Emulátor primárního řadiče domény (PDC) v důvěryhodné doméně vytvoří nové heslo. Řadič domény v důvěryhodné doméně nikdy neicializuje změnu hesla. Inicializaci vždy zahájí emulátor PDC důvěryhodné domény.

  2. Emulátor primárního řadiče domény v důvěřující doméně nastaví pole OldPassword objektu TDO na aktuální pole NewPassword.

  3. Emulátor primárního řadiče domény v důvěřující doméně nastaví pole NewPassword objektu TDO na nové heslo. Když si necháte kopii předchozího hesla, můžete se vrátit ke starému heslu, pokud řadič domény v důvěryhodné doméně změnu neobdrží nebo pokud se tato změna nereplikuje před provedením požadavku, který použije nové heslo důvěryhodnosti.

  4. Emulátor PDC v důvěřující doméně provádí vzdálené volání řadiče domény ve svěřené doméně a žádá ho, aby nastavil heslo pro účet důvěryhodnosti na nové heslo.

  5. Řadič domény v důvěryhodné doméně změní heslo důvěryhodnosti na nové heslo.

  6. Na každé straně důvěryhodnostního vztahu se aktualizace replikují na ostatní řadiče domény v doméně. V důvěryhodné doméně tato změna aktivuje urgentní replikaci důvěryhodného objektu domény.

Heslo bylo nyní změněno na obou řadičích domény. Normální replikace distribuuje objekty TDO do ostatních řadičů domény v doméně. Řadič domény v důvěryhodné doméně ale může změnit heslo bez úspěšné aktualizace řadiče domény v důvěryhodné doméně. K tomuto scénáři může dojít, protože se nepodařilo navázat zabezpečený kanál, který je nutný ke zpracování změny hesla. Je také možné, že řadič domény v důvěryhodné doméně může být v určitém okamžiku během procesu nedostupný a nemusí obdržet aktualizované heslo.

Pokud chcete řešit situace, ve kterých se změna hesla úspěšně nesdělí, řadič domény v důvěryhodné doméně nikdy nové heslo nezmění, pokud se pomocí nového hesla úspěšně neověří (nenastaví zabezpečený kanál). Toto chování je důvod, proč jsou stará i nová hesla uložena v objektu TDO důvěryhodné domény.

Změna hesla se nedokončí, dokud ověřování pomocí hesla nebude úspěšné. Staré uložené heslo lze použít přes zabezpečený kanál, dokud řadič domény v důvěryhodné doméně neobdrží nové heslo, a tím umožní nepřerušovanou službu.

Pokud ověřování pomocí nového hesla selže, protože heslo je neplatné, pokusí se důvěryhodný řadič domény ověřit pomocí starého hesla. Pokud se úspěšně ověří pomocí starého hesla, obnoví proces změny hesla během 15 minut.

Aktualizace důvěryhodnosti hesel je potřeba replikovat do řadičů domény obou stran vztahu důvěryhodnosti do 30 dnů. Pokud se heslo vztahu důvěryhodnosti změní po 30 dnech a řadič domény má pouze heslo N-2, nemůže použít důvěru ze strany důvěřující a nemůže na důvěryhodné straně vytvořit zabezpečený kanál.

Síťové porty používané důvěryhodnými vztahy

Protože důvěryhodné vztahy musí být zavedeny napříč různými síťovými hranicemi, může být nutné překročit jednu nebo více brán firewall. V takovém případě můžete buď tunelovat důvěryhodný provoz přes bránu firewall, nebo otevřít konkrétní porty v bráně firewall a povolit průchod provozu.

Důležitý

Služba Active Directory Domain Services nepodporuje omezení provozu RPC služby Active Directory na konkrétní porty.

Přečtěte si část Windows Server 2008 a novější verze článku podpory společnosti Microsoft Jak nakonfigurovat bránu firewall pro domény služby Active Directory a důvěry, a získáte informace o portech potřebných pro lesní důvěru.

Podpůrné služby a nástroje

K podpoře vztahů důvěryhodnosti a ověřování se používají některé další funkce a nástroje pro správu.

Síťové přihlášení

Služba Net Logon udržuje zabezpečený kanál z počítače se systémem Windows do řadiče domény. Používá se také v následujících procesech souvisejících s důvěryhodností:

  • Nastavení a správa důvěryhodnosti – Přihlášení k síti pomáhá udržovat hesla důvěryhodnosti, shromažďuje informace o důvěryhodnosti a ověřuje vztahy důvěryhodnosti pomocí interakce s procesem LSA a TDO.

    Informace o důvěryhodnosti pro doménové struktury zahrnují záznam Informací o důvěryhodnosti lesa (FTInfo), který obsahuje sadu oborů názvů, jež přisuzuje spravovat důvěryhodný les, s připojeným polem, které označuje, zda každou deklaraci identity důvěřuje důvěřující les.

  • Ověřování – Poskytuje přihlašovací údaje uživatele přes zabezpečený kanál řadiči domény a vrací identifikátory SID domény a uživatelská práva pro uživatele.

  • Umístění řadiče domény – Pomáhá při hledání nebo umístění řadičů domény v doméně nebo napříč doménami.

  • Předávací ověřování – Přihlašovací údaje uživatelů v jiných doménách jsou zpracovávány službou Net Logon. Když důvěryhodná doména potřebuje ověřit identitu uživatele, předá přihlašovací údaje uživatele prostřednictvím příkazu Net Logon k důvěryhodné doméně k ověření.

  • Ověření certifikátu PAC (Privilege Attribute Certificate) – Pokud server používající protokol Kerberos pro ověřování potřebuje ověřit PAC v lístku služby, odešle PAC přes zabezpečený kanál do svého řadiče domény k ověření.

Místní bezpečnostní autorita

Místní bezpečnostní autorita (LSA) je chráněný subsystém, který uchovává informace o všech aspektech místního zabezpečení v systému. LSA, společně označovaná jako místní zásady zabezpečení, poskytuje různé služby pro překlad mezi názvy a identifikátory.

Subsystém zabezpečení LSA poskytuje služby v režimu jádra i v uživatelském režimu pro ověřování přístupu k objektům, kontrolu uživatelských oprávnění a generování zpráv auditu. LSA zodpovídá za kontrolu platnosti všech lístků relací prezentovaných službami v důvěryhodných nebo nedůvěryhodných doménách.

Nástroje pro správu

Správci můžou pomocí domén a vztahů důvěryhodnosti služby Active Directory, netdom a nltest vystavit, vytvářet, odebírat nebo upravovat vztahy důvěryhodnosti.

  • Domény a vztahy důvěryhodnosti služby Active Directory je konzola Microsoft Management Console (MMC), která slouží ke správě vztahů důvěryhodnosti domén, úrovní funkčnosti domén a lesa a přípon hlavních názvů uživatelů.
  • Nástroje Netdom a Nltest lze použít k vyhledání, zobrazení, vytváření a správě důvěr. Tyto nástroje komunikují přímo s autoritou LSA na řadiči domény.

Další kroky

"Abychom mohli začít s vytvářením spravované domény s lesní důvěrou, viz Vytvoření a konfigurace spravované domény služby Domain Services." Potom můžete Vytvořit vztah důvěryhodnosti odchozí doménové struktury k místní doméně.