Steg 5 – upprätta förtroende mellan PRIV- och CORP-skogar
För varje CORP-domän, till exempel contoso.local, måste domänkontrollanterna PRIV och CONTOSO vara bundna av ett förtroende. Det gör att användarna i PRIV-domänen kan komma åt resurser i CORP-domänen.
Koppla domänkontrollanterna till varandra
Innan du upprättar förtroende måste domänkontrollanterna konfigureras för DNS-namnmatchning för motparten, utifrån på den andra domänkontrollantens/DNS-serverns IP-adress.
Om domänkontrollanterna eller servern med MIM-programvaran distribueras som virtuella datorer ska du se till att det inte finns några andra DNS-servrar som tillhandahåller dem med DNS-tjänster.
- Om de virtuella datorerna har flera nätverksgränssnitt, inklusive nätverksgränssnitt som är anslutna till offentliga nätverk, kan du behöva inaktivera anslutningarna eller åsidosätta inställningarna för Windows-nätverksgränssnitt tillfälligt. Det är viktigt att du ser till att inga DHCP-angivna DNS-serveradresser används av några virtuella datorer.
Kontrollera att alla befintliga CORP-domänkontrollanter kan vidarebefordra namn till PRIV-skogen. Starta PowerShell på varje domänkontrollant utanför PRIV-skogen, till exempel CORPDC, och skriv följande kommando:
nslookup -qt=ns priv.contoso.local.Kontrollera att utdata visar en namnserverpost för PRIV-domänen med rätt IP-adress.
Om domänkontrollanten inte kan vidarebefordra till PRIV-domänen använder du DNS-hanteraren (finns under Start>Programverktyg>DNS) till att konfigurera vidarebefordran av DNS-namn för PRIV-domänen till IP-adressen för PRIVDC. Om det är en överlägsen domän (t.ex. contoso.local) expanderar du noderna för den här domänkontrollanten och dess domän, till exempel CORPDC>Forward Lookup Zones>contoso.local, och ser till att en nyckel med namnet priv finns som en NS-typ (Name Server).
Upprätta förtroende på PAMSRV
Upprätta enkelriktat förtroende med varje domän på PAMSRV, till exempel CORPDC, så att CORP-domänkontrollanterna har förtroende för PRIV-skogen.
Logga in på PAMSRV som PRIV-domänadministratör (PRIV\Administratör).
Starta PowerShell.
Skriv följande PowerShell-kommandon för varje befintlig skog. Ange autentiseringsuppgifter för CORP-domänadministratören (CONTOSO\Administratör) när du uppmanas till det.
$ca = get-credential New-PAMTrust -SourceForest "contoso.local" -Credentials $caSkriv följande kommandon för varje domän i de befintliga skogarna.
netdom trust contoso.local /domain:priv.contoso.local /enablesidhistory:yes /usero:contoso\administrator /passwordo:Pass@word1 netdom trust contoso.local /domain:priv.contoso.local /quarantine:no /usero:contoso\administrator /passwordo:Pass@word1 netdom trust contoso.local /domain:priv.contoso.local /enablepimtrust:yes /usero:contoso\administrator /passwordo:Pass@word1
Ge läsbehörighet till befintliga Active Directory-skogar
Aktivera läsbehörighet till AD för PRIV-administratörer och övervakningstjänsten för varje befintlig skog.
Logga in på CORP-skogens befintliga domänkontrollant (CORPDC) som domänadministratör på domänen på översta nivå i skogen (Contoso\Administratör).
Starta Active Directory – användare och datorer.
Högerklicka på domänen contoso.local och välj Delegera kontroll.
På fliken Valda användare och grupper klickar du på Lägg till.
I fönstret Välj användare, datorer eller grupper klickar du på Platser och ändrar platsen till priv.contoso.local. På objektnamnet skriver du Domänadministratörer och klickar på Kontrollera namn. När ett popup-fönster visas anger du användarnamnet priv\administratör och lösenordet.
Efter Domänadministratörer lägger du till "; MIMMonitor". När namnen Domänadministratörer och MIMMonitor är understrukna klickar du på OK och sedan på Nästa.
I listan med vanliga uppgifter väljer du Läsa all användarinformation och klickar på Nästa och Slutför.
Stäng Active Directory – användare och datorer.
Öppna ett PowerShell-fönster.
Se till att SID-historik är aktiverat och SID-filtrering är inaktiverat med hjälp av
netdom. Ange:netdom trust contoso.local /quarantine:no /domain priv.contoso.local netdom trust /enablesidhistory:yes /domain priv.contoso.localResultatet bör antingen ge SID-historik aktiveras för förtroendet eller SID-historik har redan aktiverats för förtroendet.
Resultatet bör också ange SID-filtrering har inte aktiverats för förtroendet. Mer information finns i Inaktivera SID-filterkvantering .
Starta övervaknings- och komponenttjänsterna
Logga in på PAMSRV som PRIV-domänadministratör (PRIV\Administratör).
Starta PowerShell.
Skriv följande PowerShell-kommandon.
net start "PAM Component service" net start "PAM Monitoring service"
I nästa steg flyttar du en grupp till PAM.