在Windows Server 2003域中创建信任关系--理解DNS转发器

在我的网络中，原来的Active Directory域名labs.yijiao，域控制器IP地址是172.30.5.3、172.30.5.15。因为这个Active Directory创建的比较早（2004年创建后一直使用），期间又做过很多实验，也跑着很多的应用，像SMS、SPS、LCS、Exchange、ISA、WSUS等，一直在测试和使用。另外，Windows 2003经过多次升级（从Windows Server 2003到SP1、R2、到SP2）。这样，域中保留了很多的信息，也有一些错误的信息。在做一些新的测试时，经常会出一些“莫名其妙”的问题。在这个时候，虽然我也知道，把所有的域控制器删除、重新格式化、重建域控制器是很好的方法，但总有些“舍不得”。

这时候，我就想到了，再建一个Active Directory，使用新的域名，在两个域之间创建“信任”关系，以后再做测试的时候，在新域中测试就是了。这样，即保留了原来的Active Directory，也不影响以后做实验。

在Active Directory网络中，当有两个域（或有多个域）创建信任关系时，需要正确配置DNS，否则不能创建成功。

我在以前做域的信任时，都是通过设置DNS服务器地址来做到的（在一个DC上添加另一个DC的DNS服务器地址）。而在这次创建信任关系中，我通过DNS转发器，在没有修改DNS地址的时候，完成了创建。

本次操作信息如下：

原来的域：labs.yijiao，Active Directory服务器地址172.30.5.15，计算机名称为heinfo-exchange。

新的域：heinfo.local，Active Directory服务器的地址是172.30.5.50，计算机名称为ad-heinfo。

（1）在heinfo.local的域控制器上，打开DNS服务器，添加到labs.yijiao域的解析到172.30.5.15，如图1、图2所示。

图1 添加转发器DNS区域

图2 设置转发器DNS服务器的地址

图样，在labs.yijiao的DNS服务器上，添加到heinfo.local区域的转发，并设置转发的DNS服务器地址为172.30.5.50。

（2）在labs.yijiao域控制器上，打开“Active Directory域和信任关系”，右击域名，从弹出的对话框中单击“信任”选项卡，单击“新建信任”按钮。

（3）在“信任名称”页中，键入另一个域名，注意，需要输入域的全名：ad-heinfo.heinfo.local，如图3所示。

图3 添加域名

（4）在“信任类型”页中，选择“与一个Windows域建立信任”，并在域名处键入heinfo.local（不要包括计算机名称），如图4所示。

图4 键入域名

（5）在“信任方向”页中选择“双向”，如图5所示。

图5 双向信任

（5）在“信任方”选择“这个域和指定的域”，如图6所示。

图6

（7）在“用户名和密码”页中，键入heinfo.local域的管理员帐户及密码，如图7所示。

图7 键入管理员帐户与密码

（8）在“传出信任身份验证级别-本地域”，选择“全域性身份验证”，如图8所示。

图8

（9）在“信任创建完毕”页中，单击“下一步”按钮，如图9所示。

图9 信任创建完毕

（10）在“确认传出信任”页中，如图10所示，切换到另一台域控制器，仿照图3～图9创建信任关系。

图 10 暂停

（11）切换到heinfo.local域控制器，添加到heinfo-exchange.labs.yijiao的信任关系，如图11所示。

图11 添加到heinfo-exchange.labs.yijiao信任关系

（12）添加labs.yijiao域名，如图12所示。

图12 添加信任关系

（13）提示信任关系已经创建，如图13所示。

图13 提示信任关系已经创建

（14）在“信任”中可以看到，信任关系已经创建。

图14

（15）切换到labs.yijiao域控制器（图10处），继续操作，如图15所示。

图15 继续操作

（16）信任关系创建完成，如图16所示。

图16 信任关系创建完成