Windows 跨多個 Active Directory 網域的網路用戶端單一登入

如果您的 Windows 環境包含多個 Active Directory 網域,可以對網路用戶端設定 Windows 單一登入,以在網域中運作。此種配置還有一些額外的需求與建議事項。

Active Directory 信任需求

執行這項作業的原因和時機

您的 Windows 管理員必須使用「Active Directory 網域及信任」內嵌式公用程式,設定網域之間的樹系信任關係。外部信任關係並不支援 Kerberos 鑑別且無法使用。如需設定信任關係的相關資訊,請參閱 Microsoft 文件。

請注意,上層網域會暗中信任下層網域,使兩層網域之間不需要信任配置。下層網域是指 DNS 階層中比另一網域低一層的網域。例如,sales.east.renovations.com 即為 east.renovations.com 的下層網域。

系統支援下列類型的樹系信任:

  • 雙向 Windows 樹系信任。例如,若樹系 A 與 B 之間存在雙向 Windows 信任,則樹系 A 與 B 中的使用者都可存取任一樹系中的伺服器。
  • 另一樹系的單向進入信任。例如,若樹系 A 具有樹系 B 的進入信任,則樹系 A 的使用者可存取樹系 B 的伺服器。樹系 B 的使用者則無法存取樹系 A,除非樹系 B 同樣具有樹系 A 的進入信任。
  • 另一樹系的單向外送信任。例如,若樹系 A 具有樹系 B 的外送信任,則樹系 B 的使用者可存取樹系 A 的伺服器。樹系 A 的使用者則無法存取樹系 B 的伺服器,除非樹系 B 同樣具有樹系 A 的外送信任。
  • 變遷信任。如果樹系 A 的使用者若因信任而可存取樹系 B 的伺服器,則如果樹系 A 與 B 經配置為變遷信任,樹系 A 的下層網域使用者就可以存取樹系 B 的伺服器。

若要判斷是否已為您的 Active Directory 網域建立信任關係:

程序

  1. 從「管理工具」功能表開啟「Active Directory 網域及信任」公用程式。
  2. 用滑鼠右鍵按一下您的網域,然後按一下「內容」。
  3. 按一下「信任」標籤,查看所列的可信任網域。

電腦時鐘同步化

執行這項作業的原因和時機

各網域中及跨網域的伺服器時鐘必須盡可能保持密切同步,因為 Kerberos(網路用戶端的 Windows 單一登入基礎安全機制)對時鐘偏差極為敏感。您應儘可能隨時更正時鐘差異。必要的話,Windows 管理員可以執行下列步驟,以調高容許的時鐘偏差:

程序

  1. 啟動「群組原則管理」主控台。(例如,在 Windows Server 2008 上,按一下「開始」>「執行」,鍵入 gpmc.msc,然後按一下「確定」。)
  2. 在主控台樹狀結構中,找到您的網域並展開樹狀結構。
  3. 展開「群組」原則物件。
  4. 在「群組」原則物件下,按一下「預設網域」原則(隨即出現)。在「預設網域」原則的「設定」標籤上,按一下「安全性」設定、「帳戶」原則/「Kerberos」原則。
  5. 按兩下「電腦時鐘同步化的最大允差」,來編輯該項設定。

DNS 需求

假設每個網域都有不同的名稱階層(例如,east.renovations.com 及 west.renovations.com),則您的網路管理員必須配置 DNS 正向查閱區域及反向查閱區域,供電腦據以解析來自其他網域的名稱。

瀏覽器需求

必須配置瀏覽器,以允許對每個目的地 Active Directory 網域使用 Windows 單一登入。

Domino® 名稱查閱需求

每個 Domino® 伺服器都必須能夠查閱位於任何 Active Directory 網域中使用者的 Kerberos 名稱。如果使用者的 Kerberos 名稱儲存在多個 Domino® 名錄中,Domino® 管理員必須將每部 Domino® 伺服器設為使用目錄型錄或目錄協助,才能在次要 Domino® 名錄中查閱使用者名稱。如果使用者的 Kerberos 名稱改由目錄協助解析至 Active Directory,則每個 Domino® 伺服器都能使用目錄協助,在使用者所在的各個 Active Directory 中查閱名稱。

單一登入配置建議事項

執行這項作業的原因和時機

一旦完成使用者的 Windows 單一登入後,Domino® 伺服器就會傳回使用者的 LTPA 記號。您應審慎規劃 SSO 部署方式,考慮 Domino® 伺服器是否會共用相同的 SSO 配置。

例如,若設定 SSO 配置,使網域 "east.renovations.com" 中的伺服器與網域 "west.renovations.com" 之伺服器共用相同 SSO 金鑰,則 east 伺服器可接受 west 伺服器所建立的 LTPA 記號。在此情況下,SSO 配置文件可使用諸如 "renovations.com" 的一般 DNS 網域。

不過,若 east 及 west 的伺服器不共用相同 SSO 金鑰,則如果使用諸如 "renovations.com" 的一般 DNS 網域,您的 SSO 將會沒有效率。而是應針對會在其中作業的 Windows DNS 網域,來調整您的 SSO 網域。

範例:沒有效率的 SSO 配置

下列範例說明當 west.renovations.com 及 east.renovations.com 中的伺服器不共用 SSO 金鑰時,使用一般 SSO 網域 (renovations.com) 為何沒有效率。

程序

  1. 使用者使用 Windows 單一登入,鑑別 east.renovations.com 中的伺服器。east 伺服器使用 east 伺服器的 SSO 金鑰來建立使用者的 LTPA 記號。使用者的瀏覽器取得要用於 renovations.com DNS 網域的 LTPA 記號。
  2. 使用者存取 west.renovations.com 中的伺服器。瀏覽器傳送 LTPA 記號,此記號設成適用 renovations.com 中的伺服器。west.renovations.com 中的伺服器花費時間嘗試驗證記號但卻失敗,因其並未與 east 伺服器共用 SSO 金鑰。
  3. west 伺服器無法驗證現有的 LTPA 記號,因此必須透過 Windows 單一登入來鑑別使用者。west 伺服器使用 west 伺服器的 SSO 金鑰來建立使用者的 LTPA 記號。使用者的瀏覽器取得新的 LTPA 記號,以用於 renovations.com DNS 網域。此時瀏覽器只擁有 west 伺服器所建的 LTPA 記號,而它會取代先前的記號。
  4. 使用者存取 east.renovations.com 中的伺服器。瀏覽器傳送 LTPA 記號,此記號設成適用 renovations.com 中的伺服器。east 伺服器花費時間嘗試驗證記號但卻失敗(因為 west 伺服器是以另一 SSO 金鑰加以建立)。使用者必須再次使用 Windows 單一登入,以鑑別 east 伺服器。east 伺服器會再覆寫現有 LTPA 記號。

結果

重復使用 Windows 單一登入且覆寫 LTPA 記號的循環極無效率。

範例:有效率的 SSO 配置

下列範例說明當 west.renovations.com 及 east.renovations.com 中的伺服器未共用 SSO 金鑰時,使用針對 Windows 網域調整過的 SSO 網域為何較有效率。

程序

  1. 使用者鑑別 east.renovations.com 中的伺服器並獲得 LTPA 記號,以與 east.renovations.com DNS 網域搭配使用。
  2. 使用者存取 west.renovations.com 中的伺服器。瀏覽器不會送出 LTPA 記號,此記號僅用於 east 伺服器。
  3. west 伺服器必須透過 Windows 單一登入鑑別使用者。使用者取得第二個 LTPA 記號,以與 west.renovations.com DNS 網域搭配使用。
  4. 使用者存取 east.renovations.com 中的伺服器。瀏覽器送出所擁有的第一個 LTPA 記號,此記號設成適用 east 伺服器。east 伺服器使用此 LTPA 記號來識別使用者。
  5. 使用者存取 west.renovations.com 中的伺服器。瀏覽器送出所擁有的第二個 LTPA 記號,此記號設成適用 wast 伺服器。west 伺服器使用此 LTPA 記號來識別使用者。