Steg 5 – upprätta förtroende mellan PRIV- och CORP-skogarStep 5 – Establish trust between PRIV and CORP forests

För varje CORP-domän, till exempel contoso.local, måste domänkontrollanterna PRIV och CONTOSO vara bundna av ett förtroende.For each CORP domain such as contoso.local, the PRIV and CONTOSO domain controllers need to be bound by a trust. Det gör att användarna i PRIV-domänen kan komma åt resurser i CORP-domänen.This lets users in the PRIV domain to access resources on the CORP domain.

Koppla domänkontrollanterna till varandraConnect each domain controller to its counterpart

Innan du upprättar förtroende måste domänkontrollanterna konfigureras för DNS-namnmatchning för motparten, utifrån på den andra domänkontrollantens/DNS-serverns IP-adress.Before establishing trust, each domain controller must be configured for DNS name resolution for its counterpart, based on the other domain controller/DNS server’s IP address.

  1. Om domänkontrollanterna eller servern med MIM-programvaran distribueras som virtuella datorer ska du se till att det inte finns några andra DNS-servrar som tillhandahåller dem med DNS-tjänster.If the domain controllers or server with the MIM software are deployed as virtual machines, ensure that there are no other DNS servers which are providing domain naming services to those computers.

    • Om de virtuella datorerna har flera nätverksgränssnitt, inklusive nätverksgränssnitt som är anslutna till offentliga nätverk, kan du behöva inaktivera anslutningarna eller åsidosätta inställningarna för Windows-nätverksgränssnitt tillfälligt.If the virtual machines have multiple network interfaces, including network interfaces connected to public networks, you may need to temporarily disable those connections or override the Windows network interface settings. Det är viktigt att du ser till att inga DHCP-angivna DNS-serveradresser används av några virtuella datorer.It's important to make sure that a DHCP-supplied DNS server address is not used by any virtual machines.
  2. Kontrollera att alla befintliga CORP-domänkontrollanter kan vidarebefordra namn till PRIV-skogen.Verify that each existing CORP domain controller is able to route names to the PRIV forest. Starta PowerShell på varje domänkontrollant utanför PRIV-skogen, till exempel CORPDC, och skriv följande kommando:On each domain controller outside of the PRIV forest, such as CORPDC, launch PowerShell, and type the following command:

    nslookup -qt=ns priv.contoso.local.
    

    Kontrollera att utdata visar en namnserverpost för PRIV-domänen med rätt IP-adress.Check that the output indicates a nameserver record for the PRIV domain with the correct IP address.

  3. Om domänkontrollanten inte kan vidarebefordra till PRIV-domänen använder du DNS-hanteraren (finns under Start > Programverktyg > DNS) till att konfigurera vidarebefordran av DNS-namn för PRIV-domänen till IP-adressen för PRIVDC.If the domain controller is unable to route the PRIV domain, use DNS Manager (located in Start > Application Tools > DNS) to configure DNS name forwarding for the PRIV domain to PRIVDC’s IP address. Om den är en överordnad domän (t.ex. contoso.local) expanderar du noderna för domänkontrollanten och dess domän, till exempel CORPDC > Zoner för vanlig sökning > contoso.local och ser till att det finns en nyckel med namnet priv som namnservertyp (NS).If it is a superior domain (e.g., contoso.local), expand the nodes for this domain controller and its domain, such as CORPDC > Forward Lookup Zones > contoso.local, and ensure a key named priv is present as a Name Server (NS) type.

    filstruktur för priv-nyckeln – skärmbild

Upprätta förtroende på PAMSRVEstablish trust on PAMSRV

Upprätta enkelriktat förtroende med varje domän på PAMSRV, till exempel CORPDC, så att CORP-domänkontrollanterna har förtroende för PRIV-skogen.On PAMSRV, establish one-way trust with each domain such as CORPDC so that the CORP domain controllers trust the PRIV forest.

  1. Logga in på PAMSRV som PRIV-domänadministratör (PRIV\Administratör).Sign in to PAMSRV as a PRIV domain administrator (PRIV\Administrator).

  2. Starta PowerShell.Launch PowerShell.

  3. Skriv följande PowerShell-kommandon för varje befintlig skog.Type the following PowerShell commands for each existing forest. Ange autentiseringsuppgifter för CORP-domänadministratören (CONTOSO\Administratör) när du uppmanas till det.Enter the credential for the CORP domain administrator (CONTOSO\Administrator) when prompted.

    $ca = get-credential
    New-PAMTrust -SourceForest "contoso.local" -Credentials $ca
    
  4. Skriv följande PowerShell-kommandon för varje domän i de befintliga skogarna.Type the following PowerShell commands for each domain in the existing forests. Ange autentiseringsuppgifter för CORP-domänadministratören (CONTOSO\Administratör) när du uppmanas till det.Enter the credential for the CORP domain administrator (CONTOSO\Administrator) when prompted.

    $ca = get-credential
    New-PAMDomainConfiguration -SourceDomain "contoso" -Credentials $ca
    

Ge skogar läsbehörighet till Active DirectoryGive forests read access to Active Directory

Aktivera läsbehörighet till AD för PRIV-administratörer och övervakningstjänsten för varje befintlig skog.For each existing forest, enable read access to AD by PRIV administrators and the monitoring service.

  1. Logga in på CORP-skogens befintliga domänkontrollant (CORPDC) som domänadministratör på domänen på översta nivå i skogen (Contoso\Administratör).Sign in to the existing CORP forest domain controller, (CORPDC), as a domain administrator for the top-level domain in that forest (Contoso\Administrator).
  2. Starta Active Directory – användare och datorer.Launch Active Directory Users and Computers.
  3. Högerklicka på domänen contoso.local och välj Delegera kontroll.Right click on the domain contoso.local and select Delegate Control.
  4. På fliken Valda användare och grupper klickar du på Lägg till.On the Selected Users and Groups tab, click Add.
  5. I fönstret Välj användare, datorer eller grupper klickar du på Platser och ändrar platsen till priv.contoso.local.On the Select Users, Computers, or Groups window, click Locations and change the location to priv.contoso.local. På objektnamnet skriver du Domänadministratörer och klickar på Kontrollera namn.On the object name, type Domain Admins and click Check Names. När ett popup-fönster visas anger du användarnamnet priv\administratör och lösenordet.When a popup appears, enter the username priv\administrator and its password.
  6. Efter Domänadministratörer lägger du till "; MIMMonitor".After Domain Admins, add "; MIMMonitor". När namnen Domänadministratörer och MIMMonitor är understrukna klickar du på OK och sedan på Nästa.Once the names Domain Admins and MIMMonitor are underlined, click OK, then click Next.
  7. I listan med vanliga uppgifter väljer du Läsa all användarinformation och klickar på Nästa och Slutför.In the list of common tasks, select Read all user information, then click Next and Finish.
  8. Stäng Active Directory – användare och datorer.Close Active Directory Users and Computers.

  9. Öppna ett PowerShell-fönster.Open a PowerShell window.

  10. Se till att SID-historik är aktiverat och SID-filtrering är inaktiverat med hjälp av netdom.Use netdom to ensure SID history is enabled and SID filtering is disabled. Typ:Type:

    netdom trust contoso.local /quarantine /domain priv.contoso.local
    netdom trust /enablesidhistory:yes /domain priv.contoso.local
    

    Resultatet bör antingen ge SID-historik aktiveras för förtroendet eller SID-historik har redan aktiverats för förtroendet.The output should say either Enabling SID history for this trust or SID history is already enabled for this trust.

    Resultatet bör också ange SID-filtrering har inte aktiverats för förtroendet.The output should also indicate that SID filtering is not enabled for this trust. Mer information finns i Inaktivera SID-filterkarantän.See Disable SID filter quarantining for more information.

Starta övervaknings- och komponenttjänsternaStart the Monitoring and Component services

  1. Logga in på PAMSRV som PRIV-domänadministratör (PRIV\Administratör).Sign in to PAMSRV as a PRIV domain administrator (PRIV\Administrator).

  2. Starta PowerShell.Launch PowerShell.

  3. Skriv följande PowerShell-kommandon.Type the following PowerShell commands.

    net start "PAM Component service"
    net start "PAM Monitoring service"
    

I nästa steg flyttar du en grupp till PAM.In the next step, you will move a group to PAM.