Vertrauensstellungen in Active Directory

IT-Administratoren arbeiten seit der Einführung der Technologie in Windows 2000 Server mit und um Active Directory herum. Windows 2000 Server wurde am 17. Februar 2000 veröffentlicht, aber viele Administratoren begannen bereits Ende 1999 mit Active Directory zu arbeiten, als es am 15. Dezember 1999 zur Herstellung freigegeben wurde (RTM).

Was ist Trust in AD?

Eine Trust ist eine Beziehung zwischen Forests und/oder Domänen.

In einem AD-Forest vertrauen alle Domänen einander, weil ein two way transitive trust erstellt wird, wenn jede Domäne hinzugefügt wird. Dies ermöglicht die Authentifizierung von einer Domäne zu jeder anderen Domäne im selben Forest.

Sie können auch Trusts außerhalb des Forests mit anderen AD DS-Forests und Domänen oder Kerberos v5-Realms erstellen.

Zurück in der Zeit von Windows NT 4.0, gab es keinen Forest oder eine hierarchische Struktur. Wenn Sie mehrere Domänen hatten, mussten Sie manuell Vertrauensstellungen zwischen ihnen erstellen. Mit Active Directory haben Sie automatisch bidirektionale transitive Vertrauensstellungen zwischen Domänen im selben Forest. Zurück bei Windows NT 4.0 mussten Sie auch NetBIOS verwenden, um Vertrauensstellungen zu etablieren!

Glücklicherweise haben wir große Fortschritte gemacht und verfügen jetzt über zusätzliche Vertrauensfunktionalitäten, insbesondere im Bereich der securing trusts mit selektiver Authentifizierung und SID-Filterung.

Each trust in a domain is stored as a trustedDomain object (TDO) in the System container. Thus, to find and list all of the trusts and trust types in a domain named contoso.com, run the Get-ADObject –SearchBase “cn=system,dc=contoso,dc=com” –Filter * -Properties trustType | where {$_.objectClass –eq “trustedDomain”} | select Name,trustType Windows PowerShell command.

Es gibt 4 gültige Werte für das Attribut trustType. Allerdings sind nur der Wert 1 (der eine Vertrauensstellung mit einer NT-Domäne anzeigt) und der Wert 2 (der eine Vertrauensstellung mit einer Active Directory-Domäne anzeigt) üblich. Es gibt viele weitere nützliche Informationen über Vertrauensstellungen, die im Objekt trustedDomain gespeichert sind.

In einer Domäne namens contoso.com, führen Sie den Get-ADObject –SearchBase “cn=system,dc=contoso,dc=com” –Filter * -Properties * | where {$_.objectClass –eq “trustedDomain”} | FL Windows PowerShell command aus, um alle trust properties anzusehen.

Sie können auch viele der Kernattribute einer Vertrauensstellung einsehen, indem Sie den Befehl Get-ADTrust –Filter * ausführen.

Vertrauenseigenschaften

Die Tabelle unten zeigt die trust properties und eine Beschreibung jeder Eigenschaft.

Aus Sicht der Skalierbarkeit gibt es ein paar Dinge über Trusts, die Sie kennen sollten:

• Maximale Anzahl von Vertrauensstellungen für die Kerberos-Authentifizierung.

Wenn ein Client in einer vertrauenswürdigen Domäne versucht, auf eine Ressource in einer vertrauenden Domäne zuzugreifen, kann sich der Client nicht authentifizieren, wenn der Vertrauenspfad mehr als 10 Vertrauensbeziehungen hat. In Umgebungen mit einer großen Anzahl von Vertrauensstellungen und langen Vertrauenspfaden sollten Sie Verknüpfungstrusts implementieren, um die Leistung zu verbessern und die Funktionalität der Kerberos-Authentifizierung sicherzustellen.

• Die Leistung verschlechtert sich nach 2.400 Vertrauensstellungen.

In wirklich großen und komplexen Umgebungen können Sie eine enorme Anzahl von Vertrauensstellungen haben. Sobald Sie 2,400 trusts erreichen, könnte jede zusätzliche Vertrauensstellung, die Ihrer Umgebung hinzugefügt wird, die Leistung über die Vertrauensstellungen hinweg signifikant beeinflussen, insbesondere im Zusammenhang mit der Authentifizierung.

Weitere Informationen zu den Grundlagen von Active Directory finden Sie in unserem AD tutorial for begginners.