继<实战域信任第一部分之安装子域>建立子域之后,,我们就要开始建立森林与森林之间的信任关系了。当然我们是需要做好准备工作的。在对方拥有信任关系的同时我们需要让他们正常解析!而最好地方法便是建立相应的DNS辅助区域。
实现步骤:
1、建立双方相应的DNS辅助区域
2、建立双方间的信任关系!
环境介绍如图:
在此,myhate.com下拥有一个子域BJ.myhate.com,现在我们要实现的是在myhate.com与one.com上建立双向的森林信任!
一、准备工作:建立DNS次要区域
开启One.com上的DNS服务器开启区域复制!
开启我们的DNS新增区域精灵
新增一个次要区域
输入相关的区域域名
输入次要DNS服务器地址,请确保对方的DNS服务器开启复制功能!
完成了新增区域。
好的。现在我们到myhate.com的DNS服务器上开启DNS复制功能
同样也是新增区域,因操作跟前面的一样,在此不再详述
完成了新增区域
现在看看完成后的次要区域。这是在myhate.com的DNS服务器上的截图
下面这张是在one.com的DNS服务器上的截图
在完成这一些准备工作后,我们现在就需要进行建立域信任关系。
二、建立信任关系
提升域及林的功能��
因为目前one.com及myhate.com域默认的域功能级别为windows 2000模式。而windows 2000模式的功能域无法创建林信任。所以我们需要先将两个域提升各自的域及林的功能级别。以此以one.com为例:
打开[active dierectory网络及信任]――定位到[one.com提高网域功能等级]
开始提升到windows server 2003纯模式
提升功能级别后,将无法还原!
现在我们需要提升林的功能级别:以myhate为例
首先我们要定位到active directory网域及信任---提高树系功能等级。(唉,这繁体的真难以让人理解)
告诉你树系提升后将不能还原!
要保证双方都把网域的功能级别及树系的功能级别提升到2003,否则你将不能实现森林信任!因为windows 2000的森林模式是没有森林信任的功能的。注意哟!
新建信任关系:定位至活�目��域和信任―one.com属性页--点击[新建信任]
进行新增信任精灵
输入对方的DNS域名
选择信任类型--树系信任
建立双向信任关系
将这个信任[建立于这个网域及指定网络]
输入对方网域的系统管理员账户及密码
选取[验证整个网域],以便于可以验证myhate域里的所有资源。
选择指定网域的验证方式
确认信任设定
信任关系建立成功
询问是否要传出信任。因为我们使用的是双向信任,所以没有必要连出信任。如果是单向的,就需要确认连出信任。
完成新增信任精灵
已建立成功。现在我们来看看截图:
好的。现在他们的信任关系已经成功建立,现在我们要开始来测一下!
信任关系验证:
测试准备说明:
1、一台XP已加入one这个域。
2、新增一个共享资料夹看是否能设定对方域用户的权限
A、现在我们来查看一下XP系统的测试机的登录界面
2、现在看下一个共享资料夹上是否可以设定相关域的权限
好的。到此,本文已完毕。双方在验证方面均已OK,不过我个人觉得这个实验的成败有两点:
1、DNS辅助区域设定。我看到网上有些文章使用DNS的转发功能为实现双方的解析,但那样会引起DNS服务器的循环解析,给DNS服务器极大的压力,同时也可能引起死机。对此,博主不推荐此种做法。
2、域及林的功能级别提升。森林信任是提升域及林的功能级别以后才可以实现的功能。否则你只能创建外部信任、快捷信任及域树内部信任关系!
本文出自 “潜入技术的海洋” 博客,请务必保留此出处http://myhat.blog.51cto.com/391263/123109