内部办公室域和外部服务器域信任

内部办公室域和外部服务器域信任

我有一个单一的办公室域 - 内部,带有外部 IP 地址。此服务器是我们运行 Windows Server 2008r2 的办公室活动目录。(AD:PPInternal)

这样,我就有了一个外部托管的私有云堆栈,其 LAN 内有另一个活动目录。(AD:PPExternal)

我想使用云 AD 组授予用户访问我们 SQL 服务器数据库(在私有云堆栈内)的权限。但允许 PPInternal AD 中的人员使用他们的 PPExternal 凭据登录。因此身份验证将如下所示:

计算机 - PPInternal (PPInternal\Name)

SQL mngmt Studio - 服务器 IP + PPExternal 登录 (PPEXTERNAL\Name)

有人知道设置域信任以允许此身份验证的最佳方法吗?我在这里有点卡住了。

谢谢

答案1

对于大多数人来说,这有点违反直觉,但可以这样想:

  • 所访问的服务(数据库引擎)位于特定的身份验证领域中,PPInternal我们称之为目标领域
  • 访问主体(用户身份)位于不同的身份验证领域,PPExternal我们称之为客户领域

为了让服务验证用户可以信任,并且提供的授权信息是值得信赖的,它需要信任客户领域

由于该服务信任自己的域控制器(目标领域),您需要做的就是创建一个满足这一需求的信任;能够信任来自客户端领域的主体的真实性。

您不想创建双向林信任,而是想创建单向信任。如果您只打算为这两个域提供这种信任,而不为它们各自林中的任何其他域(未来或现有)提供这种信任,我建议采用外部信任

在里面目标领域PPInternal):

Active Directory 域和信任,创建具有以下属性的信任:

  • 合作伙伴 FQDN:<FQDN of PPExternal>
  • 信任类型:单向外部
  • 方向:外向
  • 及物性:非及物性

如果您已经拥有 PPExternal 中的域管理员成员帐户的凭据,请选择在完成向导之前完成信任。

如果没有,请前往客户领域PPExternal)并重复步骤,但选择相反的方向。

恭喜,您刚刚在两个外部 Active Directory 域之间创建了信任关系 :-)

相关内容