步驟 5 – 建立 PRIV 與 CORP 樹系之間的信任

  • 發行項

«步驟 4步驟 6»

每個像是 contoso.local、 PRIV 和 CONTOSO 網域控制站等的 CORP 網域都由信任繫結。 這可讓 PRIV 網域中的使用者存取 CORP 網域上的資源。

將每個網域控制站連線至其對應項目

在建立信任前,必須根據其他網域控制站/DNS 伺服器的 IP 位址,為其對等項目的 DNS 名稱解析設定每個網域控制站。

  1. 如果將網域控制站或含 MIM 軟體的伺服器作為虛擬機器部署,請確定沒有其他 DNS 伺服器為這些電腦提供網域命名服務。

    • 如果虛擬機器有多個網路介面 (包括連線到公用網路的網路介面),您可能需要暫時停用這些連線,或覆寫 Windows 網路介面設定。 請務必確定不會有任何虛擬機器使用具有 DHCP 的 DNS 伺服器位址。

  2. 驗證每個現有的 CORP 網域控制站都能夠將名稱路由傳送至 PRIV 樹系。 在每個 PRIV 樹系之外的網域控制站上 (例如 ORPDC) 啟動 PowerShell,並輸入下列命令:

    nslookup -qt=ns priv.contoso.local.

    檢查會指出具有正確 IP 位址之 PRIV 網域名稱伺服器記錄的輸出。

  3. 如果網域控制站無法路由傳送 PRIV 網域,請使用 DNS 管理員 (位於 [啟動]>[應用程式工具]>[DNS]) 設定轉寄 PRIV 網域至 PRIVDC 之 IP 位址的 DNS 名稱。 如果它是上層網域 (,例如 contoso.local) ,請展開此網域控制站及其網域的節點,例如CORPDC>正向查閱區域>contoso.local,並確定名為priv的金鑰會以名稱伺服器 (NS) 類型呈現。

    Priv 金鑰的檔案結構 - 螢幕擷取畫面

在 PAMSRV 上建立信任

在 PAMSRV 上,與每個網域 (像是 CORPDC) 建立單向信任,讓 CORP 網域控制站信任 PRIV 樹系。

  1. 以 PRIV 網域系統管理員身分 (PRIV\Administrator) 登入 PAMSRV。

  2. 啟動 PowerShell。

  3. 為每個現有的樹系輸入下列 PowerShell 命令。 出現提示時,請輸入 CORP 網域系統管理員 (CONTOSO\Administrator) 認證。

    $ca = get-credential
New-PAMTrust -SourceForest "contoso.local" -Credentials $ca

  4. 輸入現有樹系中每個網域的下列命令。

    netdom trust contoso.local /domain:priv.contoso.local /enablesidhistory:yes /usero:contoso\administrator /passwordo:Pass@word1

netdom trust contoso.local /domain:priv.contoso.local /quarantine:no        /usero:contoso\administrator /passwordo:Pass@word1

netdom trust contoso.local /domain:priv.contoso.local /enablepimtrust:yes   /usero:contoso\administrator /passwordo:Pass@word1

授與現有 Active Directory 樹系的讀取權限

在每個現有樹系中啟用 PRIV 系統管理員和監視服務的 AD 讀取權限。

  1. 以該樹系 (Contoso\Administrator) 中最頂層網域的網域系統管理員身分登入現有 CORP 樹系網域控制站 (CORPDC)。

  2. 啟動 [Active Directory 使用者和電腦]

  3. 以滑鼠右鍵按一下 contoso.local 網域,並選取 [委派控制項]

  4. 在 [選取的使用者及群組] 索引標籤上,按一下 [新增]

  5. 在 [Select Users, Computers, or Groups (選取使用者、電腦或群組)] 視窗上,按一下 [位置],並將位置變更為 priv.contoso.local。 在 物件名稱上,輸入 Domain Admins 並按一下 [檢查名稱] 。 出現快顯視窗時,輸入使用者名稱 priv\administrator 和其密碼。

  6. 在 Domain Admins 後面加入 "; MIMMonitor"。 在 Domain AdminsMIMMonitor 名稱加上底線後,按一下 [確定],然後按一下 [下一步]

  7. 在常見工作的清單中,選取 [讀取所有使用者資訊] ,然後按一下 [下一步] 及 [完成]

  8. 關閉 [Active Directory 使用者和電腦]。

  9. 開啟 PowerShell 視窗。

  10. 使用 netdom,確保已啟用 SID 歷程記錄和停用 SID 篩選。 輸入:

    netdom trust contoso.local /quarantine:no /domain priv.contoso.local
netdom trust /enablesidhistory:yes /domain priv.contoso.local

    輸出應該顯示「啟用此信任的 SID 歷程記錄」 或「此信任已啟用 SID 歷程記錄」

    輸出應該也指出「此信任未啟用 SID 篩選」。 如需詳細資訊 ,請參閱停用 SID 篩選 條件隔離。

啟動監視和元件服務

  1. 以 PRIV 網域系統管理員身分 (PRIV\Administrator) 登入 PAMSRV。

  2. 啟動 PowerShell。

  3. 輸入下列 PowerShell 命令。

    net start "PAM Component service"
net start "PAM Monitoring service"

在下一個步驟中,您會將一個群組移至 PAM。

«步驟 4步驟 6»