在Windows Server 2003域中创建信任关系--理解DNS转发器

在我的网络中,原来的Active Directory域名labs.yijiao,域控制器IP地址是172.30.5.3、172.30.5.15。因为这个Active Directory创建的比较早(2004年创建后一直使用),期间又做过很多实验,也跑着很多的应用,像SMS、SPS、LCS、Exchange、ISA、WSUS等,一直在测试和使用。另外,Windows 2003经过多次升级(从Windows Server 2003到SP1、R2、到SP2)。这样,域中保留了很多的信息,也有一些错误的信息。在做一些新的测试时,经常会出一些“莫名其妙”的问题。在这个时候,虽然我也知道,把所有的域控制器删除、重新格式化、重建域控制器是很好的方法,但总有些“舍不得”。
这时候,我就想到了,再建一个Active Directory,使用新的域名,在两个域之间创建“信任”关系,以后再做测试的时候,在新域中测试就是了。这样,即保留了原来的Active Directory,也不影响以后做实验。
在Active Directory网络中,当有两个域(或有多个域)创建信任关系时,需要正确配置DNS,否则不能创建成功。
我在以前做域的信任时,都是通过设置DNS服务器地址来做到的(在一个DC上添加另一个DC的DNS服务器地址)。而在这次创建信任关系中,我通过DNS转发器,在没有修改DNS地址的时候,完成了创建。
本次操作信息如下:
原来的域:labs.yijiao,Active Directory服务器地址172.30.5.15,计算机名称为heinfo-exchange。
新的域:heinfo.local,Active Directory服务器的地址是172.30.5.50,计算机名称为ad-heinfo。
(1)在heinfo.local的域控制器上,打开DNS服务器,添加到labs.yijiao域的解析到172.30.5.15,如图1、图2所示。
图1 添加转发器DNS区域
图2 设置转发器DNS服务器的地址
图样,在labs.yijiao的DNS服务器上,添加到heinfo.local区域的转发,并设置转发的DNS服务器地址为172.30.5.50。
(2)在labs.yijiao域控制器上,打开“Active Directory域和信任关系”,右击域名,从弹出的对话框中单击“信任”选项卡,单击“新建信任”按钮。
(3)在“信任名称”页中,键入另一个域名,注意,需要输入域的全名:ad-heinfo.heinfo.local,如图3所示。
图3 添加域名
(4)在“信任类型”页中,选择“与一个Windows域建立信任”,并在域名处键入heinfo.local(不要包括计算机名称),如图4所示。
图4 键入域名
(5)在“信任方向”页中选择“双向”,如图5所示。
图5 双向信任
(5)在“信任方”选择“这个域和指定的域”,如图6所示。
图6
(7)在“用户名和密码”页中,键入heinfo.local域的管理员帐户及密码,如图7所示。
图7 键入管理员帐户与密码
(8)在“传出信任身份验证级别-本地域”,选择“全域性身份验证”,如图8所示。
图8
(9)在“信任创建完毕”页中,单击“下一步”按钮,如图9所示。
图9 信任创建完毕
(10)在“确认传出信任”页中,如图10所示,切换到另一台域控制器,仿照图3~图9创建信任关系。
图 10 暂停
(11)切换到heinfo.local域控制器,添加到heinfo-exchange.labs.yijiao的信任关系,如图11所示。
图11 添加到heinfo-exchange.labs.yijiao信任关系
(12)添加labs.yijiao域名,如图12所示。
图12 添加信任关系
(13)提示信任关系已经创建,如图13所示。
图13 提示信任关系已经创建
(14)在“信任”中可以看到,信任关系已经创建。
图14
(15)切换到labs.yijiao域控制器(图10处),继续操作,如图15所示。
图15 继续操作
(16)信任关系创建完成,如图16所示。
图16 信任关系创建完成

你可能感兴趣的:(运维)