在本实验中,将用到三台虚拟机。相关设置如下图:

Windows 2008 R2之三十五ADCS实现跨森林注册(一)_第1张图片

其中域控制器DCSRV上安装了根CA;计算机ROUTER有两块网卡,充当路由器。

部署过程:

1、在计算机Router上安装“路由和远程访问服务“,确认此计算机具备路由器功能。

即服务器DCSRV和DCSRVB能互相PING通。(设置过程略)

2、确保DCSRV和DCSRVB能相互解析。我们可以通过“转发器”或者建立辅助区域来完成。

以下是通过建立辅助区域来完成,分别在两个森的DNS建立另外一个林的辅助区域。

下图是在DCSRV上建立辅助域Hbyc.net过程。

Windows 2008 R2之三十五ADCS实现跨森林注册(一)_第2张图片

Windows 2008 R2之三十五ADCS实现跨森林注册(一)_第3张图片

Windows 2008 R2之三十五ADCS实现跨森林注册(一)_第4张图片

设置Hbsycsrsj.com区域传送到Hbyc.net的DNS服务器。

Windows 2008 R2之三十五ADCS实现跨森林注册(一)_第5张图片

设置Hbyc.Net区域传送到Hbsycsrsj.Com的DNS服务器

Windows 2008 R2之三十五ADCS实现跨森林注册(一)_第6张图片

3、建立森信任关系。

在DCSRV打开”活动目录域和信任关系“,右击”Hbsycsrsj.COM”,选择”属性“、”信任“、”新建

信任“。过程如下图

Windows 2008 R2之三十五ADCS实现跨森林注册(一)_第7张图片

Windows 2008 R2之三十五ADCS实现跨森林注册(一)_第8张图片

Windows 2008 R2之三十五ADCS实现跨森林注册(一)_第9张图片

Windows 2008 R2之三十五ADCS实现跨森林注册(一)_第10张图片

Windows 2008 R2之三十五ADCS实现跨森林注册(一)_第11张图片

Windows 2008 R2之三十五ADCS实现跨森林注册(一)_第12张图片

Windows 2008 R2之三十五ADCS实现跨森林注册(一)_第13张图片

4、在DCSRV上运行

certutil -setreg Policy\EditFlags +EDITF_ENABLELDAPREFERRALS  启用Ldap引用。

运行Net Stop CertSVC && Net Start CertSvc重启CA服务

见Windows 2008 R2之三十六ADCS实现跨森林注册(二)