我有一个单一的办公室域 - 内部,带有外部 IP 地址。此服务器是我们运行 Windows Server 2008r2 的办公室活动目录。(AD:PPInternal)
这样,我就有了一个外部托管的私有云堆栈,其 LAN 内有另一个活动目录。(AD:PPExternal)
我想使用云 AD 组授予用户访问我们 SQL 服务器数据库(在私有云堆栈内)的权限。但允许 PPInternal AD 中的人员使用他们的 PPExternal 凭据登录。因此身份验证将如下所示:
计算机 - PPInternal (PPInternal\Name)
SQL mngmt Studio - 服务器 IP + PPExternal 登录 (PPEXTERNAL\Name)
有人知道设置域信任以允许此身份验证的最佳方法吗?我在这里有点卡住了。
谢谢
答案1
对于大多数人来说,这有点违反直觉,但可以这样想:
- 所访问的服务(数据库引擎)位于特定的身份验证领域中,
PPInternal我们称之为目标领域 - 访问主体(用户身份)位于不同的身份验证领域,
PPExternal我们称之为客户领域
为了让服务验证用户可以信任,并且提供的授权信息是值得信赖的,它需要信任客户领域。
由于该服务信任自己的域控制器(目标领域),您需要做的就是创建一个满足这一需求的信任;能够信任来自客户端领域的主体的真实性。
您不想创建双向林信任,而是想创建单向信任。如果您只打算为这两个域提供这种信任,而不为它们各自林中的任何其他域(未来或现有)提供这种信任,我建议采用外部信任。
在里面目标领域(PPInternal):
从Active Directory 域和信任,创建具有以下属性的信任:
- 合作伙伴 FQDN:
<FQDN of PPExternal> - 信任类型:单向外部
- 方向:外向
- 及物性:非及物性
如果您已经拥有 PPExternal 中的域管理员成员帐户的凭据,请选择在完成向导之前完成信任。
如果没有,请前往客户领域(PPExternal)并重复步骤,但选择相反的方向。
恭喜,您刚刚在两个外部 Active Directory 域之间创建了信任关系 :-)