Étape 5 : établir l'approbation entre les forêts PRIV et CORP

Pour chaque domaine CORP comme contoso.local, les contrôleurs de domaine PRIV et CONTOSO doivent être liés par une approbation. Cela permet aux utilisateurs du domaine PRIV d’accéder aux ressources du domaine CORP.

Connecter chaque contrôleur de domaine à son homologue

Avant d’établir une approbation, vous devez configurer chaque contrôleur de domaine pour la résolution de noms DNS pour son homologue, en fonction de l’adresse IP de l’autre serveur DNS/contrôleur domaine.

  1. Si les contrôleurs de domaine ou le serveur avec le logiciel MIM sont déployés en tant que machines virtuelles, vérifiez qu’aucun autre serveur DNS ne fournit des services d’attribution de noms de domaine à ces ordinateurs.

    • Si les machines virtuelles ont plusieurs interfaces réseau, notamment des interfaces réseau connectées aux réseaux publics, vous devrez peut-être désactiver momentanément ces connexions ou substituer les paramètres d’interface réseau Windows. Vous devez absolument vous assurer qu’aucune machine virtuelle n’utilise une adresse de serveur DNS fournie par DHCP.
  2. Vérifiez que chaque contrôleur de domaine CORP existant peut acheminer les noms vers la forêt PRIV. Sur chaque contrôleur de domaine en dehors de la forêt PRIV, tel que CORPDC, lancez PowerShell et tapez la commande suivante :

    nslookup -qt=ns priv.contoso.local.
    

    Vérifiez que la sortie indique un enregistrement de serveur de noms pour le domaine PRIV avec l’adresse IP correcte.

  3. Si le contrôleur de domaine est incapable de router le domaine PRIV, utilisez le Gestionnaire DNS (accessible dans DémarrerOutils d’applicationDNS) pour configurer le transfert de noms DNS pour le domaine PRIV vers l’adresse IP de PRIVDC. S’il s’agit d’un domaine supérieur (par exemple, contoso.local), développez les nœuds pour ce contrôleur de domaine et son domaine, tels que CORPDCZones de recherche directecontoso.local, et vérifiez qu’une clé nommée priv est présente comme type de serveur de noms (NS).

    Structure de fichiers de clé priv - capture d’écran

Établir l’approbation sur PAMSRV

Sur PAMSRV, établissez une approbation à sens unique avec chaque domaine tel que CORPDC, pour que les contrôleurs de domaine CORP approuvent la forêt PRIV.

  1. Connectez-vous à PAMSRV en tant qu’administrateur de domaine PRIV (PRIV\Administrateur).

  2. Lancez PowerShell.

  3. Tapez les commandes PowerShell suivantes pour chaque forêt existante. À l’invite, entrez les informations d’identification de l’administrateur du domaine CORP (CONTOSO\Administrator).

    $ca = get-credential
    New-PAMTrust -SourceForest "contoso.local" -Credentials $ca
    
  4. Tapez les commandes PowerShell suivantes pour chaque domaine dans les forêts existantes. À l’invite, entrez les informations d’identification de l’administrateur du domaine CORP (CONTOSO\Administrator).

    $ca = get-credential
    New-PAMDomainConfiguration -SourceDomain "contoso" -Credentials $ca
    

Accorder aux forêts un accès en lecture à Active Directory

Pour chaque forêt existante, activez l’accès en lecture à Active Directory par les administrateurs de PRIV et par le service de surveillance.

  1. Connectez-vous au contrôleur de domaine de forêt CORP existant, (CORPDC), en tant qu’administrateur de domaine du domaine de niveau supérieur dans cette forêt (Contoso\Administrateur).

  2. Lancez Utilisateurs et ordinateurs Active Directory.

  3. Cliquez avec le bouton droit sur le domaine contoso.local, puis sélectionnez Délégation de contrôle.

  4. Sous l’onglet utilisateurs et groupes sélectionnés, cliquez sur Ajouter.

  5. Dans la fenêtre Sélectionner les utilisateurs, les ordinateurs ou les groupes, cliquez sur Emplacements et remplacez l’emplacement par priv.contoso.local. Sur le nom de l’objet, tapez Admins du domaine , puis cliquez sur vérifier les noms. Quand une fenêtre contextuelle s’affiche, entrez le nom d’utilisateur priv\administrateur et son mot de passe.

  6. Après Admins du domaine, ajoutez « ; MIMMonitor ». Une fois les noms Admins du domaine et MIMMonitor soulignés, cliquez sur OK, puis sur Suivant.

  7. Dans la liste des tâches courantes, sélectionnez Lire toutes les informations sur l’utilisateur, cliquez sur Suivant, puis sur Terminer.

  8. Fermez Utilisateurs et ordinateurs Active Directory.

  9. Ouvrez une fenêtre PowerShell.

  10. Utilisez netdom pour vérifier que l’historique des SID est activé et que le filtrage des SID est désactivé. Tapez :

    netdom trust contoso.local /quarantine:no /domain priv.contoso.local
    netdom trust /enablesidhistory:yes /domain priv.contoso.local
    

    La sortie doit indiquer Activation de l’historique des SID pour cette approbation ou L’historique des SID est déjà activé pour cette approbation.

    La sortie doit également indiquer que le filtrage des SID n’est pas activé pour cette approbation. Pour plus d’informations, consultez désactiver la mise en quarantaine des filtres sid .

Démarrer les services de surveillance et de composants

  1. Connectez-vous à PAMSRV en tant qu’administrateur de domaine PRIV (PRIV\Administrateur).

  2. Lancez PowerShell.

  3. Tapez les commandes PowerShell suivantes.

    net start "PAM Component service"
    net start "PAM Monitoring service"
    

À l’étape suivante, vous déplacerez un groupe vers PAM.