文档章节

SharePoint 2010、2013多个域之间互信(Domain Trust)的设计与实施

 木宛城主
发布于 2015/03/02 19:42
字数 1034
阅读 11
收藏 0
点赞 0
评论 0

在现实的业务场景中,有时为了更好的管理域用户和服务。我们往往会创建多个分散式的域,每个域的Administrator专注于维护特定域中的用户和资源,Administrator也可以定义安全策略,比如账号策略等。

场景介绍

现有如下场景,一个二层拓扑的SharePoint Farm包含一台SharePoint Server,DB Server,AD(假设Contoso.com) ,毫无疑问AD Contoso.com承载了SharePoint的身份认证。现需要再加入一台AD(假设为Mintcode.Local),如下图所示:

如上图所示那样,contoso.com与mintcode.local之间建立了单向(One-Way)的外传信任关系,即Contoso.com信任Mintcode.Local。这样Mintcode.local域中用户能被Contoso.com域验证,但Contoso.com域中用户不能被mintcode.local域认证。

理清了业务场景后,接下来就是怎样去实现了。

准备工作

回顾下上述的拓扑图,有如下两台AD域服务器:

Contoso.com的IP 地址:192.168.123.14

Mintcode.local的IP 地址:192.168.16.7

好了,磨刀不误砍柴工,让我们开始实现吧,首先需准备如下工作——

  • 域服务器之间必须有同样的域功能级别(Domain Functional Level),因为承载了SharePoint 身份认证的域服务器已经是域控了,那么另一台AD也必须提升域功能级别为域控。

打开Active Directory域和信任关系à选中Domainà提升域功能级别

  • DNS或者NETBIOS能够互相被解析,即 Ping 域名可以解析成对应的IP 地址或者nslookup域名也可以成功诊断DNS结构信息。要实现这个有3种方式——

1.DNS指向

设置IP地址,使其DNS指向目标服务器,如下所示:

记得刷新DNS解析缓存

2.建立条件转发器

在Contoso.com DNS中新建条件转发器,记得刷新

3.建立辅助区域

3.1.打开mintcode.local(192.168.16.7)DNS

3.2.选中mintcode.localà属性à允许区域传送à只允许到下列服务器

3.3.打开contoso.com(192.168.123.14)DNS

3.4.新建辅助区域

3.5.指定主服务器IP地址

上述3中实现方式,采用任意一种实现方式都行。不管怎样实现,最总的目的都是相同的,能将域名解析成IP地址,如下所示:

建立域之间的信任关系

怎样建立域之间的信任关系,One-Way、Two-Way,微软给了详细的操作步骤(http://technet.microsoft.com/zh-cn/library/cc816837(v=WS.10).aspx)。

按照上述的拓扑图,需要Mintcode.local中的用户能够在Contoso.com域中认证,为此我需要建立一种One-Way的信任,即Contoso.com信任Mintcode.local。

有了上述的准备工作后,让我们来实现One-Way Trust吧,当然你也可以Two-Way,只不过在我的场景中One-Way足矣了。

  • 打开Active Directory域和信任关系à属性à信任选项卡à新建信任

  • 指定信任名称

  • 信任类型为外部信任

  • 信任方向为单向:外传,即指定域的用户可以在这个域中得到身份验证

  • 确定下信任方

  • 输入mintcode.local的用户名和密码

  • 选择身份验证范围

  • 成功创建信任关系

  • 信任创建完毕

  • 确认传出信任

  • 成功创建好了信任关系

  • 创建成功后,在信任选项卡中已成功创建了外向信任mintcode.local

  • 登陆mintcode.local(192.168.16.7),检查下是否已经自动创建了内向信任(contoso.com)

自定义SharePoint PeoplePicker

结束了吗,当然没,可以做的更好,对人员选择器进行搜索的定制,使其在指定的域中抓取人员信息。

在SharePoint Server上键入如下命令行:

微软也给了很好的解释,详见http://technet.microsoft.com/en-us/library/gg602075(v=office.15).aspx

最后记得同步下User Profile Service,在Populate Containers把mintcode.local包含进来(怎样配置UPS,这是个繁琐的事,详见后续文章

小结

根据不同的场景,你可以选择一个或者多个AD域服务器,优势利弊,不做过多分析,根据实际的需求来即可。

 

© 著作权归作者所有

共有 人打赏支持
粉丝 2
博文 222
码字总数 199010
作品 0
黄浦
sharepoint 2013 使用outlook 打开sharepoint 任务失败

使用outlook 2010打开失败时可以检查下面几点: Applies To: Workflow Conductor 2.1 and higher SharePoint Server 2010 and Microsoft Office SharePoint Server 2007 Microsoft Outlook 2......

pclzr ⋅ 2017/03/23 ⋅ 0

sharepoint2010 升级到 sharepoint2013注意事项

将一个SharePoint 2010站点集升级到SharePoint 2013具体步骤如下: 1) 先将你的SharePoint 2010原先的一些解决方案(wsp)安装到SharePoint 2013上。当然有些wsp你需要升级,这个我会在后期介绍...

yuxye ⋅ 2015/12/19 ⋅ 0

SharePoint Server 2013安装与配置

最近在学习SharePoint解决方案的迁移,在这个过程中需要首先建立SharePoint Server,总体来说配置还是比较简单的,拿出来跟大家稍微分享一下 首先我们的实验环境是这样的,两台DC,两台Share...

mxy00000 ⋅ 2015/10/13 ⋅ 0

sharepoint2007就地升级2010系列(一)2007概览

大家可能熟悉了sharepoint2010,熟悉了sharepoint2013,做了N多个项目,但是有没有做过从sharepoint2007升级或者迁移到sharepoint2010的项目呢?我们做实验的时候,可能更多的是直接安装新的...

科技小能手 ⋅ 2017/11/12 ⋅ 0

sharepoint 工作流文章

三个工作流配置文章 SharePoint Designer 2010 部署工作流实例 http://wenku.baidu.com/link?url=go4wGc9CFD5mtSmMiGKkmLjk1JOkpZxI2-tt8nWXSknxModuRL-z-ATMOVeOF9swhver05YEJTl8EtnX3tYB8j......

yuxye ⋅ 2016/02/22 ⋅ 0

SharePoint 2013 开发——工作流架构

博客地址:http://blog.csdn.net/FoxDave SharePoint 2013的工作流较之前有了不同,第一次真正地作为独立的服务的概念推出了。这意味着SharePoint工作流不再运行于SharePoint服务中,而是在一...

justinliu927 ⋅ 2015/06/05 ⋅ 0

企业内部IT一体化系列之三:WEB平台 SharePoint部署

由于System Center Service Manager 2012 R2悲剧的依然不支持SharePoint2013,所有我们的自助门户平台还是只能搭建在SharePoint2010上。关于SharePoint 2013的部署,可以参考我的另一个Share...

kneight ⋅ 2014/07/28 ⋅ 0

System center 2012 R2 实战九、SCOM+sharpoint+visio实现全国地图展示

好久不写博客了,说来有些惭愧,最近一直在忙于做项目,今天是七夕节,总算闲下来了,决定多写一些博客出来 首先放出一篇SCOM+sharpoint+visio实现全国地图展示,最近在做的一个项目中,这也...

科技小能手 ⋅ 2017/11/12 ⋅ 0

基于Visual Studio2010开发office2010办公自动化应用(13)自定义InfoPathAddIn插件

InfoPath 2010 主要优点 通过易于使用的工具快速设计表单 使用功能区界面快速设计。传统菜单和工具栏可能需要几个步骤才能完成一项任务,而功能区以选项卡结构显示命令,按与某活动相关的任务...

junwong ⋅ 2012/03/09 ⋅ 0

一个AD结构引发的Exchange DAG部署问题

在迪拜已经快3周了,今天在创建Exchange 2010 的DAG时遇到了一个小问题。 一行熟悉的创建DAG的shell命令下去,居然报错了! 错误内容如下: c.x.com(客户的域名 ) 上 Active Directory 操作...

angerfire ⋅ 2012/03/22 ⋅ 0

没有更多内容

加载失败,请刷新页面

加载更多

下一页

Greys Java在线问题诊断工具

Greys是一个JVM进程执行过程中的异常诊断工具。 在不中断程序执行的情况下轻松完成JVM相关问题排查工作 目标群体 有时候突然一个问题反馈上来,需要入参才能完成定位,但恰恰没有任何日志。回...

素雷 ⋅ 22分钟前 ⋅ 0

git从远程仓库拉取代码的常用指令

一种(比较麻烦的)拉代码的方法 git clone //克隆代码库,与远程代码库的主干建立连接,如果主干已经在就不用再clone啦,克隆路径为当前路径下的新创建的文件夹 git checkout -b //本地建立...

Helios51 ⋅ 37分钟前 ⋅ 0

005. 深入JVM学习—Java堆内存参数调整

1. JVM整体内存调整图解(调优关键) 实际上每一块子内存区域都会存在一部分可变伸缩区域,其基本流程:如果内存空间不足,则在可变的范围之内扩大内存空间,当一段时间之后,内存空间不紧张...

影狼 ⋅ 42分钟前 ⋅ 0

内存障碍: 软件黑客的硬件视图

此文为笔者近日有幸看到的一则关于计算机底层内存障碍的学术论文,并翻译(机译)而来[自认为翻译的还行],若读者想要英文原版的论文话,给我留言,我发给你。 内存障碍: 软件黑客的硬件视图...

Romane ⋅ 今天 ⋅ 0

SpringCloud 微服务 (七) 服务通信 Feign

壹 继续第(六)篇RestTemplate篇 做到现在,本机上已经有注册中心: eureka, 服务:client、order、product 继续在order中实现通信向product服务,使用Feign方式 下面记录学习和遇到的问题 贰 or...

___大侠 ⋅ 今天 ⋅ 0

gitee、github上issue标签方案

目录 [TOC] issue生命周期 st=>start: 开始e=>end: 结束op0=>operation: 新建issueop1=>operation: 评审issueop2=>operation: 任务负责人执行任务cond1=>condition: 是否通过?op3=>o......

lovewinner ⋅ 今天 ⋅ 0

浅谈mysql的索引设计原则以及常见索引的区别

索引定义:是一个单独的,存储在磁盘上的数据库结构,其包含着对数据表里所有记录的引用指针. 数据库索引的设计原则: 为了使索引的使用效率更高,在创建索引时,必须考虑在哪些字段上创建索...

屌丝男神 ⋅ 今天 ⋅ 0

String,StringBuilder,StringBuffer三者的区别

这三个类之间的区别主要是在两个方面,即运行速度和线程安全这两方面。 首先说运行速度,或者说是, 1.执行速度 在这方面运行速度快慢为:StringBuilder(线程不安全,可变) > StringBuffer...

时刻在奔跑 ⋅ 今天 ⋅ 0

java以太坊开发 - web3j使用钱包进行转账

首先载入钱包,然后利用账户凭证操作受控交易Transfer进行转账: Web3j web3 = Web3j.build(new HttpService()); // defaults to http://localhost:8545/Credentials credentials = Wallet......

以太坊教程 ⋅ 今天 ⋅ 0

Oracle全文检索配置与实践

Oracle全文检索配置与实践

微小宝 ⋅ 今天 ⋅ 0

没有更多内容

加载失败,请刷新页面

加载更多

下一页

返回顶部
顶部