内部办公域和外部服务器域信任

Question

我有一个办公室域名-内部有一个外部IP地址。此服务器是我们运行windows服务器2008r2的办公活动目录。(广告: PPInternal)

这样，我就有了一个外部托管的私有云堆栈，它的LAN中还有另一个活动目录。(广告: PPExternal)

我希望允许用户使用云AD组访问我们的SQL服务器数据库(在私有云堆栈中)。但是，允许PPInternal AD中的人员使用他们的PPExternal凭据登录。所以我们会觉得：

计算机- PPInternal (PPInternal)

服务器+ PPExternal登录(PPEXTERNAL\Name)

有人知道设置域信任以允许此身份验证的最佳方法吗？我被困在这里了。

谢谢

Answer 1

对大多数人来说，这有点不合常理，但你可以这样想：

• 访问的服务(数据库引擎)驻留在特定的身份验证领域，PPInternal -让我们将其称为我们的目标领域
• 访问主体(用户标识)驻留在不同的身份验证领域，PPExternal -让我们将其称为客户端域

为了让服务验证用户可以被信任，并且所提供的授权信息是可信的，它需要信任客户端域中的身份验证权威。

由于服务对自己的域控制器(目标领域中的身份验证者)具有信任，所以您所需要做的就是创建一个满足这一需求的信任；能够信任来自客户端领域的主体的真实性。

与其创建双向森林信任，不如创建单向信任。如果您只打算为所讨论的两个域提供此信任，而不是为它们各自的林中的任何其他域(未来或预先存在的域)提供此信任，我建议您进行外部信任。

目标领域中的

(PPInternal):

在Active域和信任中，使用以下属性创建信任：

• 合作伙伴FQDN：<FQDN of PPExternal>
• 信任类型:单向外部
• 方向:即将离任
• 及物性:非传递性

如果您手头已有PPExternal中某个域管理成员帐户的凭据，请选择在完成向导之前完成信任。

如果没有，转到客户端域(PPExternal)并重复这些步骤，但是选择相反的方向。

祝贺您，您刚刚在两个外部Active域之间创建了信任关系:-)