企业存在很多如下现象,子公司里存在单独的域,而在集团公司里是总域, 在子公司中员工里要访问集团公司域下的SharePoint站点,在访问时由于帐户没有在集团域里所以就没有办法访问了,这时可以通过域信任的机制来解决问题。
服务器1:
机器名:portal
OS:Windows Server 2008 R2 x64
域:lng.com (windows server 2008 r2)
ip:192.168.0.150
SharePoint: SharePoint 2010
服务器2:
机器名:petrochina
OS: Windows Server 2003 sp2 x32
域:cnpc.com (Windows Server 2003)
ip:192.168.0.152
SharePoint: SharePoint 2007
lng.com域里的用户可以在cnpc.com域中得到身份验证,而反过来则不行,是单向的
一、配置过程:
1、保证两台不同林域的服务器是互相能ping通的
2、在portal服务器上,创建cnpc.com域的辅助区域
打开DNS-->在正向查找区域-->右键新建区域-->按提示在区域类型处时选择“辅助区域”-->区域名称处输入“cnpc.com”-->在主DNS服务器处输入petrochina服务器的IP地址-->下一步
3、在petrochina服务上,创建lng.com域的辅助区域
打开DNS-->在正向查找区域-->右键新建区域-->按提示在区域类型处时选择“辅助区域”-->区域名称处输入“lng.com”-->在主DNS服务器处输入portal服务器的IP地址-->下一步
4、各配置完DNS后,这时域之间就是可以互通解析的
5、配置portal服务器上域信任
打开“Active Directory域和信任关系”-->选择lng.com右击属性--信任-->新建信任-->在信任名称处输入cnpc.com,在信任方向处选择“单向,内传”,在最后“确认传出信任”处时选择“否,不要确认传出信任”,下一步
6、配置petrochina服务器上域信息
打开“Active Directory域和信任关系”-->选择lng.com右击属性--信任-->新建信任-->在信任名称处输入lng.com,在信任方向处选择“单向,外传”,在最后“确认传出信任”处时选择“是,确认传出信任”,下一步
完成如上几步后就配置好域信任了
二、验证域信任
由于前面的域信任场景是lng.com域里的用户可以在cnpc.com域中得到身份验证,而反过来则不行,是单向的,所以在cnpc.com域所在的petrochina服务器上验证
在服务器上随便找个文件-->属性-->安全-->添加用户-->位置,可以看到多了个lng.com域-->选择lng.com域位置-->高级-->立即查找,这时可以将lng.com域中用户查找出来,这时就表示域信任成功了
三、域信任-SharePoint之间访问验证
在portal服务器上访问在petrochina服务器上的moss2007,默认情况下是用lng.com域用户是登录不了的,由于做了域信任这时就可以访问了且显示的登录用户也是lng.com域用户信息
验证过程:
1、打开petrochina服务器上的Moss2007站点,打开“人员和组”添加lng.com域中用户并赋予权限
2、在portal服务器上访问moss2007站点时,这时用lng.com域用户就可以访问了