不同森林中的Windows 2000域信任

原参考链接：[url]http://www.microsoft.com/china/community/program/originalarticles/techdoc/TreeInWin2000.mspx[/url]

不同森林中的Windows 2000域信任

 

另外一篇:Windows Server活动目录之迁移[组图] 文档比较不错,可作此参考一下!因为里面有涉及到域信任这块!

链接: [url]http://bbs.51cto.com/thread-21050-1-1.html[/url]

摘要

本文讲述了在不同森树林中的环境下，如何做好 Windows 2000 域信任关系。信任关系是连接在域与域之间的桥梁。当 test.com 域与 dc2.com 域建立了信任关系后，两个域之间不但可以按需要相互进行管理，还可以跨网分配文件和打印机等设备资源，使不同的域之间实现网络资源的共享与管理。把两个域之间建立信任关系后，下面将详细介绍不同森树林的 Windows 2000 信任。

目录

环境分析

域信任关系概述

配置 DNS

测试 DNS 是否正常工作

建立两个不同树林的 DC

GUI 添加信任关系

验证信任关系

参考信息

作者介绍

环境分析

A 公司的叫 test.com 的主域控制器叫 netitboy.test.com （ IP ： 192.168.1.9/24 ）， B 公司则是 dc2.com 而主域控制器是 lvfan.dc2.com 。 test.com （ IP ： 192.168.1.10/24 ）和 dc2.com 分别是单独一个域林（也就是说之前是两个完全没有关系的两个域）现在来让他们建立信任关系如图 1 。现在想实现以下功能： test.com 的用户能够访问 dc2.com 中的资源， dc2.com 的用户也要能够访问 test.com 的资源。如图 1

《图 1 》

域信任关系概述

活动目录提供域间的信任关系提供跨域的安全。当域之间有信任关系时，每个域的认证机构都信任其他所有它信任的域的认证机构。如果一个 user 或 application 被一个域认证以后，所有信任这个认证域的域都认同这种模式。一个被信任域中的用户都必须受到信任域上的访问控制。

举例说名：如图 1 的信任关系我们可分析以下三种情况：

1 、 test.com 域只信任 dc2. com 域，那么就 dc2.com 的用户能够访问 test.com 上的资源，反之不行。

2 、 dc2.com 域只信任 test.com 域，这样的话就是 test.com 的用户能够访问 dc2.com 上的资源，反之不行。

3 、 test.com 域和 dc2.com 域互相信任，现在就是双方的用户多能访问到对方的资源。

因为是两个不同林的域，所以他们之间是不可传递信任。

配置 DNS

1 、点击开始 > 设置 > 控制面板 > 添加 / 删除程序 > 添加 / 删除 Windows 组件 > 网络服务 > 域名系统 > 确定

2 、点击开始 > 程序 > 管理工具 >DNS

点击右键 netitboy 出现 " 新建区域 "> 下一步 > 标准主要区域 > 下一步 > 正向搜索区域 > 下一步 > 输入 test.com> 下一步 > 下一步 > 完成

右键点击刚新建完的 test.com> 属性 > 允许动态更新 > 选择 " 是 "> 确定。

3 、建立反向搜索区域

点击反向搜索区域右键 > 出现 " 新建区域 "> 下一步 > 标准主要区域 > 下一步 > 网络 ID 输入： 192.168.1> 下一步 > 下一步 > 完成

右键点击刚新建完的 192.168.1.x.Subnet> 属性 > 允许动态更新 > 选择 " 是 "> 确定。

4 、 这一步是建立完 DC 以后再操作。（注意）

点击新建完的 test.com 右键属性 > 常规 > 更改 > 选择： Active Directory 集成的区域 > 确定

点击新建完的 192.168.1.x.Subnet 右键属性 > 常规 > 更改 > 选择： Active Directory 集成的区域 > 确定

目前我们已经把单个 DC 的 DNS 配置完毕了。下面继续配置 DNS 标准辅助区域！！

5 、点击新建正向搜索区域右键属性 > 新建区域 > 下一步 > 标准辅助区域 > 名称输入： dc2.com>IP 地址输入： 192.168.1.10> 添加 > 下一步 > 完成

点击新建完的 lvfan.com 右键属性选择 " 从主服务器传输 " 若出现错误见图 2 ，则可以按 F5 刷或者点击 " 从主服务器传输 " 新可以从主服务器把数据传输过来。

 

《图 2 》

6 、网上邻居 > 右键属性 > 网络和拨号连接中的网卡假设为： netitboy> 点击右键属性 >Internet 协议（ TCP/IP ） > 属性 > 首先 DNS 服务器输入： 192.168.1.9

7 、再 lvfan 上的 DNS 也是一样配置，该相应的名字就可以了。

8 、到此我们的 DNS 算是真正的配置完毕了。

测试 DNS 是否正常工作

1 、 看反向区域的数据能否从服务器上传输。

2 、 用 Nslookup 和 ping 命令。

这是在 netitboy 计算机上测试的结果如图 3

《图 3 》

这是在 lvfan 计算机上测试的结果如图 4

《图 4 》

建立两个不同树林的 DC

1 再运行里输入 DCPROMO 命令。

2 下一步 > 新域的域控制器 > 下一步 > 创建一个新的域目录林 > 创建新的域目录林 > 输入新域的 DNS 全名，我们输入： test.com> 下一步 > 下一步 > 出现提示，选择否。 > 下一步 > 立即重新启动计算机

3 另外一台计算机在建立的时候输入 dc2.com 就可以了。

GUI 添加信任关系

1 点击开始 > 程序 > 管理工具 > Active Directory 域和信任关系 > 点击 test.com 右键属性 > 信任。如图 5

《图 5 》

注释：标识 1 表示：显示的域都是为此域信任的域。

标识 2 表示：显示的域都是所有信任此域的域。

2 点击添加红色框按钮出现图 6

《图 6 》

3 点击确定出现图 7

《图 7 》

为了信任没有一点办法，我们必须点击 " 是 " 。出现要我们输入被信任域的管理员密码。按确定出现以下提示窗口。如图 8

《图 8 》

4 大家注意了，不要让他出现了返回的错误给吓呆了，没事的继续下一个步骤。

5 在 dc2 上做：点击开始 > 程序 > 管理工具 > Active Directory 域和信任关系 > 点击 dc2.com 右键属性 > 信任。如图 9

《图 9 》

6 点击添加红色框按钮出现对话框，我们输入 test 和用户名和信任密码后点击确定。出现惊喜的窗口图 10 。

《图 10 》

7 反之添加信任关系。所得结果如域信任关系概述的 3 ，使得相互信任！

8 看看现在信任的图

9 到此我们的信任关系已经做完了。等着是怎么去共享资源哦。

验证信任关系

1 、用图形界面，点击开始 > 程序 > 管理工具 >Active Directory 域和信任关系 > 点击 test.com 右键属性 > 信任 > 编辑 > 验证 > 输入 administrator 和密码 > 确定。

2 、用 Windows 2000 Resource Kit 中的 NLTEST 命令验证域信任的关系。

在 test.com 上的结果见图 11

《图 11 》

在 dc2.com 上的结果见图 12

参考信息

Microsoft Windows 2000 Server 资源大全第 4 卷

Microsoft Windows 2000 Server Resource Kit