如何删除林内不必要的信任

在功能级别是 2003 的林内，信任关系是不用手工建立的，而且信任关系还是双向可传递的并且不能删除，对于多域的公司给管理员省了不少事，设想一下如果林内的某个域的 DC （非根域）发生了物理故障并且没有备份可以用来恢复，如可手工删掉它与其他域的信任关系呢？今天就模拟这个场景来设计一个试验，试验场景如下：

假设子域域控制器 Berlin 发生了物理故障，我们在 FLORENCE 上手工删掉与 Berlin 的信任关系，试验过程中我们需要几个工具，在 windows2003 安装光盘 SUPPORT\TOOLS\ 目录下的 supportools.msi ，这里面有许多工具我们只需要用其中的几个。

试验环境搭建好了，默认情况下父域与子域之间的信任是双向可传递的，而且关系是不能直接删除

接下来我们就用这条命令来查看域之间的信任关系

域刚搭建好的时候用这条命令查看父域是不信任子域的状态是 UNTRUSTED ，等一会儿就好了。

接下来我们假设 Berlin 这台域控制器坏掉了，我们用 netdom 命令删除父域与子域之间的信任关系，先来看一下这条命令的格式

Trusting_domain_name 应该是子域的域名 , /domain: 是固定的 trusted_domain_name 应该是父域的域名 , /remove 删除 ， /force 强制

执行一下，没有成功，提示我们这是一个父域与子域的信任，不能删除，明显当运行这条命令的时候它会去联系子域的域控制器，如果存在关系不能删除

这一次我让 Berlin 离线，在执行一遍，敲完 ENTER 后大概有几秒钟的等待，它还会去找子域的 DC ，在这个过程中抓包可以看出来

询问 192.168.20.2 还 Keep-Alive 吗？接下来又发出几个广播包

重新使用这条命令 点击是

信任关系删除了

接下来手工删掉默认站点中的 Berlin ，

在 DC 上重新启动 Net Logon 服务，这样 dns 中有关子域的记录会消失（只剩下 A 记录了），手工删除它就可以了