Маршрутизация суффиксов имен между лесами

Маршрутизация суффикса имен представляет собой механизм маршрутизации запросов на проверку подлинности между лесами системы Windows Server 2003, объединенными доверием лесов. Чтобы упростить администрирование запросов проверки подлинности при первоначальном создании доверия лесов, все уникальные суффиксы имен маршрутизируются по умолчанию. Уникальный суффикс имен — это суффикс имен внутри леса, такой как суффикс основного имени пользователя (UPN), суффикс имени участника службы (SPN), DNS-имени леса или имени дерева доменов, который не подчинен никакому другому суффиксу имен. Например, DNS-имя леса microsoft.com является уникальным суффиксом имен внутри леса microsoft.com.

Леса могут содержать несколько уникальных суффиксов имен, и все их дочерние суффиксы маршрутизируются неявно. В связи с этим, в оснастке «Active Directory — домены и доверие» перед суффиксами имен отображается символ звездочки (*). Например, если лес использует *.microsoft.com в качестве уникального суффикса имен, то запросы проверки подлинности для всех дочерних доменов microsoft.com (*.child.microsoft.com) будут маршрутизироваться, так как дочерние домены являются частью суффикса имен microsoft.com.

Если между двумя лесами существует доверие лесов, то суффиксы имен, не существующие в одном лесу, могут использоваться для маршрутизации запросов проверки подлинности другому лесу. При добавлении нового дочернего суффикса имен (*.child.widgets.com) к уникальному суффиксу имен (*.widgets.com) дочерний суффикс будет наследовать настройку маршрутизации уникального суффикса имен, которому он принадлежит. Новые уникальные суффиксы имен, созданные после установления доверия лесов, будут видимыми в диалоговом окне Свойства отношения доверия лесов после проверки доверия. Однако маршрутизация для новых уникальных суффиксов имен будет по умолчанию отключена. Дополнительные сведения о проверке доверия см. в разделе Проверка доверия.

При обнаружении дублирующего суффикса имен маршрутизация самого нового суффикса имен будет отключена по умолчанию. Дополнительные сведения о маршрутизации суффиксов имен см. в разделе Включение или отключение маршрутизации существующего суффикса имен. Администраторы могут использовать диалоговое окно Свойства отношения доверия лесов, чтобы вручную помешать маршрутизации в лес запросов проверки подлинности для специальных суффиксов имен.

Примечания

  • Не следует добавлять знак @ к суффиксу UPN или имени пользователя. При маршрутизации запросов проверки подлинности в доверенный лес все символы перед первым символом @ интерпретируются как имя пользователя, а все символы после него — как суффикс UPN.
  • Локальный администратор безопасности (LSA) будет блокировать маршрутизацию для любого суффикса UPN, не являющегося действительным DNS-именем. Например, добавление символа @ к суффиксу UPN приведет к ее автоматическому отключению.

Обнаружение конфликтов

Когда два леса Windows Server 2003 связаны доверием лесов, существует возможность, что уникальные суффиксы имен, существующие в одном лесу, могут конфликтовать с уникальными суффиксами имен, расположенными во втором лесу. Обнаружение конфликтов гарантирует, что каждый суффикс имен будет маршрутизирован только в один лес.

Оснастка «Active Directory — домены и доверие» будет обнаруживать конфликт суффиксов имен, когда:

  • Такое же DNS-имя уже используется;
  • Указанное имя NetBIOS уже используется.
  • Код безопасности (SID) домена конфликтует с другим кодом безопасности суффикса имен.

Когда суффикс имен в лесу конфликтует с новым партнером доверия лесов или когда суффикс имен в существующем доверии лесов конфликтует с новым партнером доверия лесов, имя будет отключено в новом доверии. Например, конфликт будет происходить, если один лес назван widgets.com, а второй лес — sales.widgets.com. Несмотря на конфликт суффиксов имен, маршрутизация будет работать для всех других уникальных суффиксов имен во втором лесу.

Другой пример, предположим, что лес msn.com нуждается в установке двустороннего доверия лесов с лесом widgets.com. И msn.com, и widgets.com имеют идентичные суффиксы UPN microsoft.com. В процессе создания двустороннего доверия лесов мастер создания нового доверия будет обнаруживать и отображать конфликт между двумя суффиксами имен UPN, а затем создаст доверие лесов.

Если оснастка «Active Directory — домены и доверие» обнаруживает конфликт суффиксов имен с доменом партнера доверия, то может быть отказано в доступе к этому домену снаружи леса. Однако доступ к конфликтующему домену из его леса будет работать нормально.

Например, если домен widgets.com существует и в лесу msn.com, и в лесу microsoft.com, пользователи внутри леса msn.com будут иметь доступ к ресурсам в домене widgets.com, который находится в лесу msn.com. Однако пользователям в лесу msn.com будет отказано в доступе к ресурсам в домене widgets.com, расположенном в лесу microsoft.com.

Конфликты будут перечислены в оснастке «Active Directory — домены и доверие» в диалоговом окне Свойства доверия лесов на вкладке Маршрутизация суффикса имен. Если конфликт суффиксов имен обнаружен в течение создания доверия лесов, мастер создания нового доверия предложит сохранить файл журнала конфликтов. Файл журнала также можно сохранить после того как доверие создано. Дополнительные сведения о сохранении этого файла журнала см. в разделе Изменение состояния маршрутизации суффикса имен.

Если существует конфликт кода безопасности домена или NetBIOS-конфликт, оснастка «Active Directory — домены и доверие» идентифицирует соответствующее состояние маршрутизации суффиксов имен как включенное или отключенное с учетом исключений. Подробности того, где существует конфликт, перечислены в файле журнала.

Также можно использовать средство командной строки Netdom, чтобы составить список всех маршрутизируемых имен и включить и отключить маршрутизацию для NetBIOS-имен и кодов безопасности. Например, лес, названный microsoft.com, имеет доверие лесов с widgets.com, и также необходимо добавить доверие лесов для msn.com. И widgets.com, и msn.com имеют дочерние домены с NetBIOS-именем SALES (и DNS-имена USsales.widgets.com и sales.msn.com).

После создания нового доверия для msn.com маршрутизация в имя домена SALES в msn.com будет отключена. Если необходимо использовать имя SALES для маршрутизации в лес msn.com, но не требуется использовать его для маршрутизации в лес widgets.com, можно использовать Netdom для отключения SALES в widgets.com и затем включить его в msn.com.

Сведения о программе Netdom см. в разделе Средства поддержки Active Directory.

Наши рекомендации