实战域信任第二部分之建立森林信任

Technorati 标签: 实战, 森林信任, 域, 功能级别, Bnsen, DNS, DNS辅助区域

继<实战域信任第一部分之安装子域>建立子域之后,,我们就要开始建立森林与森林之间的信任关系了。当然我们是需要做好准备工作的。在对方拥有信任关系的同时我们需要让他们正常解析!而最好地方法便是建立相应的DNS辅助区域。

实现步骤

1、建立双方相应的DNS辅助区域

2、建立双方间的信任关系!

环境介绍如图:

image

在此,myhate.com下拥有一个子域BJ.myhate.com,现在我们要实现的是在myhate.com与one.com上建立双向的森林信任!

一、准备工作:建立DNS次要区域

开启One.com上的DNS服务器开启区域复制!

image

开启我们的DNS新增区域精灵

image

新增一个次要区域

image

输入相关的区域域名

image

输入次要DNS服务器地址,请确保对方的DNS服务器开启复制功能!

image

完成了新增区域。

image

好的。现在我们到myhate.com的DNS服务器上开启DNS复制功能

image

同样也是新增区域,因操作跟前面的一样,在此不再详述

image

完成了新增区域

image

现在看看完成后的次要区域。这是在myhate.com的DNS服务器上的截图

image

下面这张是在one.com的DNS服务器上的截图

image

在完成这一些准备工作后,我们现在就需要进行建立域信任关系。

二、建立信任关系

提升域及林的功能��

因为目前one.com及myhate.com域默认的域功能级别为windows 2000模式。而windows 2000模式的功能域无法创建林信任。所以我们需要先将两个域提升各自的域及林的功能级别。以此以one.com为例:

打开[active dierectory网络及信任]――定位到[one.com提高网域功能等级]

image

开始提升到windows server 2003纯模式

image

提升功能级别后,将无法还原!

 image

现在我们需要提升林的功能级别:以myhate为例

首先我们要定位到active directory网域及信任---提高树系功能等级。(唉,这繁体的真难以让人理解)

image

告诉你树系提升后将不能还原!

image

要保证双方都把网域的功能级别及树系的功能级别提升到2003,否则你将不能实现森林信任!因为windows 2000的森林模式是没有森林信任的功能的。注意哟!

image

image

新建信任关系:定位至活�目��域和信任―one.com属性页--点击[新建信任]

image

进行新增信任精灵

image

输入对方的DNS域名

image

选择信任类型--树系信任

image

建立双向信任关系

image

将这个信任[建立于这个网域及指定网络]

image

输入对方网域的系统管理员账户及密码

image

选取[验证整个网域],以便于可以验证myhate域里的所有资源。

image

选择指定网域的验证方式

image

确认信任设定

image

信任关系建立成功

image

询问是否要传出信任。因为我们使用的是双向信任,所以没有必要连出信任。如果是单向的,就需要确认连出信任。

image

完成新增信任精灵

image

已建立成功。现在我们来看看截图:

image

image

好的。现在他们的信任关系已经成功建立,现在我们要开始来测一下!

信任关系验证:

测试准备说明:

1、一台XP已加入one这个域。

2、新增一个共享资料夹看是否能设定对方域用户的权限

A、现在我们来查看一下XP系统的测试机的登录界面

image

2、现在看下一个共享资料夹上是否可以设定相关域的权限

image

image

好的。到此,本文已完毕。双方在验证方面均已OK,不过我个人觉得这个实验的成败有两点:

1、DNS辅助区域设定。我看到网上有些文章使用DNS的转发功能为实现双方的解析,但那样会引起DNS服务器的循环解析,给DNS服务器极大的压力,同时也可能引起死机。对此,博主不推荐此种做法。

2、域及林的功能级别提升。森林信任是提升域及林的功能级别以后才可以实现的功能。否则你只能创建外部信任、快捷信任及域树内部信任关系!

本文出自 “潜入技术的海洋” 博客,请务必保留此出处http://myhat.blog.51cto.com/391263/123109

你可能感兴趣的:(职场,森林,实战,休闲)