Vor kurzem wurde ein Kunde fragte mich über Active Directory-Domänen Trusts und wie die Passwörter verwaltet wurden. Ich antwortete mit einigen Vermutungen basieren, wie AD eine Vielzahl von Passwörtern verwaltet. Nach der Feststellung, wie ich dachte, es funktionierte (und erwähnte, dass ich nicht sicher war), habe ich beschlossen, es zu suchen. Ich war meistens richtig.

Jedes Vertrauen eine Domäne verwaltet von einem Trusted Domain Object (TDO) in der Domänenpartition des Systemcontainer dargestellt wird. Die TDO enthält die folgenden Attribute für eine Domain Trust:

• DNS-Domänennamen
• Domain SID
• Vertrauen Art
• Vertrauen transitivity
• Gegenseitige Domain-Namen

Wald vertraut speichern die folgenden Attribute:

• DNS-Domänennamen
• Domain SID
• Vertrauen Art
• Vertrauen transitivity
• Gegenseitige Domain-Namen
• Domain-Namen Baum
• User Principal Name (UPN) Suffixe
• Service Principal Name (SPN) Suffixe
• Sicherheits-ID (SID) Namespaces

Da Vertrauensinformationen in Active Directory gespeichert ist, wissen alle Domänen in der Gesamtstruktur über all die Trusts an Ort und Stelle mit allen Wald Domains. Externe NT 4 vertraut sind nicht als TDOs gespeichert und sind daher nicht in Active Directory.

In einem One-Way-Vertrauen gibt es ein vertrauenswürdiger und vertrauende Domäne. Die vertrauende Domäne verfügt über die Mittel, die das Konto in der vertrauten Domäne zugreifen muss. Da eine bidirektionale Vertrauens nur 2 Einweg vertraut ist, gibt es eigentlich 2 Vertrauen beteiligt Passwörter.

Hier ist, wie das Vertrauen Passwörter verwaltet werden:

Nachdem das Vertrauen geschaffen wird, wird das Kennwort in dem zugehörigen TDO-Objekt gespeichert. Nach 30 Tagen ändert sich der PDC-Emulator in der vertrauenden Domäne das Passwort durch ein neues zu erstellen. Die vertrauenswürdige DC versucht nie, das Passwort zu ändern. Die vertrauensvolle DC aktualisiert die zugehörigen TDO OldPassword Attribut auf den Wert des Standes Passwort. Die vertrauensvolle DC aktualisiert die zugehörigen TDO NewPassword Attribut auf den Wert des neuen Passworts. Auf diese Weise gibt es immer 2 Vertrauen Passwörter mit dem Vertrauen verbunden ist, das alte Passwort und die neue (aktuelle) ein. Dadurch wird sichergestellt, dass selbst wenn es ein Problem mit der Kennwortänderung auf der gesicherten Seite ist, bleibt das Vertrauen aktiv, da beide Seiten nach wie vor ein nützliches Passwort haben (OldPassword). Die vertrauende Domäne DC zu einem vertrauenswürdigen Domänencontroller über RPC verbindet das aktualisierte Kennwort zur Verfügung zu stellen. Der TRUSTED DC empfängt das neue Passwort ein und aktualisiert seine bestehende Vertrauen Passwort. Da das Vertrauen Passwort wird in dem Container Domäne in dem zugehörigen TDO gespeichert, die ganzeDCs in der Domäne die aktualisierte Vertrauen Passwort über regelmäßige AD-Replikation erhalten. Bis die vertrauende DC zu einem vertrauenswürdigen DC authentifiziert das neue Passwort verwenden, ist das neue Passwort nicht gültig. Das alte Passwort wird über den sicheren Kanal verwendet werden, bis das neue Passwort in der vertrauenswürdigen Domäne aktualisiert und validiert. Wenn die Authentifizierung mit dem neuen Passwort ausfällt, fällt es zurück an das alte Passwort und die Kennwortänderung wieder innerhalb von 15 Minuten. Es wird erwartet, dass das Vertrauen Passwörter unter allen Domäne DCs innerhalb eines Tages aktualisiert werden und eine Standardlebensdauer von 30 Tagen, (wie Domäne Computerkonten). Offensichtlich kann vertraut nicht mehr synchron, wenn beide Seiten des Vertrauens nicht aktualisieren und speichern Sie das neue Kennwort richtig.

Vertrauen Einschränkungen:

• Mehr als 2400 Trusted Domain Objects (TDOs) entstehen speziell merkbare Verzögerungen zu Authentifizierung Inter-Domain im Zusammenhang.
• Es gibt ein Maximum von 10 Vertrauensverbindungen Kerberos-Clients (Windows 2003) durchqueren kann eine angeforderte Ressource in einer anderen Domäne zu lokalisieren. Wenn der Vertrauenspfad 10 beginnt nähert, ist es besser, auf externe Trusts erstellen um dieses Problem zu umgehen.

Realm Vertrauen:

Ein Reich Vertrauen ist ein Vertrauen zwischen einem Nicht-Windows-Kerberos-Bereich und einem Windows 2000/2003/2008 Domäne, die Cross-Plattform-Kerberos (v5) Interoperabilität ermöglicht.

• Nur unterstützt Kerberos v5-Authentifizierung (nicht NTLM).
• One-way & nichttransitiv standardmäßig, kann aber auf transitive geschaltet werden. konfigurieren 2 One-Way-Trusts eine Zwei-Wege-Vertrauensstellung zu ermöglichen.

Hinweis: Windows Server 2003-Verwaltungstools unterzeichnen und alle LDAP-Datenverkehr standardmäßig verschlüsseln.

Kommandozeilen-Tools für die Verwaltung von Trusts:

• NLTest "können Sie verwenden, um die NLTest Befehlszeilentool Vertrauen bezogenen Netzwerk administrative Aufgaben wie die Prüfung der Vertrauensbeziehung zwischen einem Windows-basierten Computer ausführen, der ein Mitglied einer Domäne ist, und dem Domänencontroller, auf dem sein Computerkonto befindet. In Bereichen, in denen eine externe Vertrauens definiert ist, kann NLTest die Vertrauensbeziehung zwischen allen Domänencontrollern in der vertrauenden Domäne und einem Domänencontroller in der vertrauenswürdigen Domäne zu testen. Nltest können auch alle gesicherten Kanal zu verifizieren. "
• NetDom Netdom ist ein Kommandozeilen-Tool, das Sie Active Directory-Vertrauensbeziehungen zu erstellen und verwalten können (außer Wald Trusts) und kann dazu beitragen, die Anzahl der Schritte zu reduzieren benötigt ein Vertrauen zu schaffen, indem Active Directory-Domänen und -Vertrauensstellungen verwenden. Sie können auch die Netdom Kommandozeilen-Tool verwenden, um Batch-Verwaltung von Trusts abgeschlossen haben, verbinden Computer zu Domänen überprüfen Trusts (einschließlich Wald Trusts) und gesichert Kanäle und erhalten Informationen über den Status von trusts.Netdom können an allen Active Directory-Domäne ausgerichtet werden Controller und können alle Active Directory-Vertrauenstypen überprüfen. Die Überprüfung wird von Aufzählen der Domänencontroller in jeder Domäne zwischen zwei Domänen erreicht. Wenn Sie Netdom schaffen haben beide Seiten des Vertrauens auf einmal das Vertrauen Passwort automatisch generiert wird.

WMI-Klassen mit Trusts Assoziierte

Klassenname Namespace-Versionskompatibilität Microsoft_TrustProvider root \ Microsoft Windows 2000 Server und Windows Server 2003 Microsoft_DomainTrustStatus root \ Microsoft Windows 2000 Server und Windows Server 2003 Microsoft_LocalDomainInfo root \ Microsoft Windows 2000 Server und Windows Server 2003

Ports für Trusts Erforderlich

portmapper (135 TCP) Net Logon Fixed-Port-N / - Task-Outbound-Ports eingehenden Ports Von-Bis vertraut auf beiden Seiten aus dem internen Wald LDAP (389 UDP und TCP) Microsoft SMB (445 TCP) Kerberos (88 UDP) Endpoint Auflösung einrichten Eine interne Domäne Domänencontroller-externe Domäne Domänencontroller (alle Ports) Vertrauen Validierung aus dem internen Walddomänencontroller auf den externen Gesamtstruktur Domänencontroller (gehendes Vertrauen nur) LDAP (389 UDP) Microsoft SMB (445 TCP) Endpoint Auflösung - portmapper (135 TCP) Net Logon festen Port N / A interne Domäne Domänencontroller-externe Domäne Domänencontroller (alle Ports) Verwenden Sie Objektauswahl auf der externen Gesamtstruktur Objekte hinzufügen, die in einem internen Wald sind zu Gruppen und DACLs N / A LDAP (389 UDP und TCP) Windows NT Server 4.0-Verzeichnisdienst feste Portnet Logon Fixed-Port-Kerberos (88 UDP) Endpoint Auflösung portmapper (135 TCP) Externe Server-interne Domäne PDCs (Kerberos) Externe Domäne Domänencontroller-interne Domäne Domänencontroller(Net Logon) Richten Sie das Vertrauen auf dem externen Wald vom externen Wald N / A LDAP (389 UDP und TCP) Microsoft SMB (445 TCP) Kerberos (88 UDP) Externe Domäne Domänencontroller-interne Domäne Domänencontroller (alle Ports) verwenden Kerberos-Authentifizierung (interne Wald Client externen Gesamtstruktur) Kerberos (88 UDP) N / A interne Client-externe Domäne Domänencontroller (alle Ports) Verwendung der NTLM-Authentifizierung (interne Wald-Client zu externen Wald) N / A Zielauflösung - portmapper (135 TCP ) Net Logon feste Port externe Domäne Domänencontroller-interne Domäne Domänencontroller (alle Ports) im internen Netzwerk an eine externe Domäne LDAP (389 UDP und TCP) Microsoft SMB (445 TCP) Kerberos (88 UDP) eine Domäne von einem Computer Mitglied werden Endpoint Auflösung - portmapper (135 TCP) Net Logon-Fixed-Port-Windows NT Server 4.0-Verzeichnisdienst festen Port N / A Interne Client-Externe Domäne Domänencontroller (alle Ports)

Um die Dienste an, die Sie auf einem festen Port ausgeführt werden soll, müssen Sie entsprechend der Registrierung für diesen Port konfigurieren.

Referenzen: