创建Win2003域和Win2008 域之间的信任关系

创建 Win2003 域和 Win2008 域之间的信任关系

         我们在上一篇文章中创建了域信任关系，这个信任关系发生在两个 Win2003 域之间，而且两个域使用了同一个 DNS 服务器。今天我们更 换一个实验场景，拓扑如下图所示。一个是 Win2003 域，另一个是 Win2008 域。两个域 都使用各自的域控制器提供 DNS 解析，而且 Win2008 域的功能级 别是 Win2003 ，我们将为大家演示如何在这两个域之间创建信任关系。

这个实验的关键是 DNS ！操作系统的差异并不重要， Win2008 域可以和 Win2003 域，甚至可以和 Win2000 域创建信任 关系。我们要注意的是 DNS 的设置，每个域控制器要确保自己使用的 DNS 服务器不但可以解 析本域的 SRV 记录，还可以解析与自己有信任关系域的 SRV 记录，也就是说 DNS 服务器要对信任域和被信任域的 SRV 记录都能进行解析。 如何让每个 DNS 服务器都能解析两个域的 SRV 记录呢？我们有多种 技术可以选择，例如辅助区域，存根区域，私有根或者转发器。在本次实验中我们使用辅助区域来解决这个问题，在每个 DNS 服务器上创建一个对方域的辅助区域，这样 DNS 服务器就可以对两 个域进行解析了。

         我们为大家演示如何创建 itet.com 的辅助区 域。首先我们要在 Server1 负责的 itet.com 区域中进 行设置，允许 Server2 创建 itet.com 的辅助区 域。在 Server1 上打开 DNS 管理器，如下图所 示，右键点击 itet.com 区域，选择“属性”。

 

 

在区域属性中切换到“区域传送”标签，如下图所示，勾选“允许区域传 送”，选择“只允许到下列服务器”，点击“编辑”按钮。

 

 

点击编辑按钮后，如下图所示，我们添加了 Server2 的地址 192.168.1.102 ，点击确定。

 

如下图所示，我们已经设定了允许 192.168.1.102 复制 itet.com 的区域数据，其实就是允许 192.168.1.102 成 为 itet.com 的辅助 DNS 服务器。

 

 

Itet.com 区域既然已经允许 Server2 成为辅助服 务器了，那我们接下来就开始在 Server2 上创建辅助区域了。在 Server2 上打开 DNS 管理器，如下图所示，选择“新建区域”。

 

 

 

 

区域类型设置为辅助区 域。

 

区域的名称设置为 itet.com 。

 

 

接下来需要设置 itet.com 的主服务 器，显然， itet.com 的主服务器是 server1 ，也就是 192.168.1.101 。

 

 

如下图所示，点击“完成”按钮完成 itet.com 区域的 创建。

 

 

我们在 Server2 的 DNS 管理器中可以看到， itet.com 的区域记 录已经被复制到 Server2 上， Server2 已经成功地 成为了 Server2 的辅助服务器。

 

 

接下来我们要如法炮制，在 Server2 上允许 Server1 成为 contoso.com 的 辅助服务器，然后在 Server1 上创建 contoso.com 辅 助区域，把 contoso.com 的区域数据复制到 Server1 上。如下图 所示，我们看到 Server1 上也已经成功地把 contoso.com 的 区域数据复制过来了。

 

 

DNS 进行了充分的准备后，我们就可以进行域信任关系的设置了。我们准备在 itet.com 和 contoso.com 之间设置双向信任关系，如下图所示，我们在 Server1 上打开“ Active Directory 域和信任关系”，右键点击 itet.com ，选择 “属性”。

 

 

在 itet.com 的域属性 中切换到“信任”标签，点击“新建信任”。

 

 

出现新建信任关系向导，点击“下一步”继续。

 

 

向导询问 server1 准备和哪个 域建立信任关系，我们输入 contoso.com 的域名。

 

 

接下来我们要选择是在两个域之间建立不可传递的外部信任，还是可传递 的林信任，我们选择建立外部信任。

 

 

如下图所示，我们选择建立双向信任关系。

 

 

接下来向导询问是在两个域的域控制器上分开设置，还是同时进行设置， 我们选择“此域和指定的域”，准备在两个域的域控制器上同时进行信任关系的设定。

 

 

接下来向导要求输入 contoso.com 的 域管理员口令，这样才可以在 contoso.com 的域控制器上设置信任关系。

 

 

我们选择“全域性身份验证”，允许信任域用户使用被信任域的所有资 源。

 

 

如下图所示，信任关系的创建已经准备完毕，点击下一步继续。

 

 

如下图所示，两个域之间的信任关系已经成功创建。

 

 

确定在 itet.com 域上传出 信任关系。

 

 

接下来在 itet.com 域上确定 传入信任关系。

 

 

如下图所示，所有的工作都已完成，点击“完成”结束域信任关系的创建 爱你。

 

 

从下图中可以看到，两个域之间确实创建了不可传递的双向域信任关系，我们的实验目标已经实现。这个 实验其实有更广泛的适应性，同时可以用于 Win2000 与 Win2003 ， Win2000 与 Win2008 等信任关系的创建。大家可以举一反三，慢慢体会。