创建Win2003域和Win2008域之间的信任关系
创建Win2003域和Win2008域之间的信任关系
假如一个公司的拓扑如下图所示。一个是Win2003域,另一个是Win2008域。两个域都使用各自的域控制器提供DNS解析,而且Win2008域的功能级别是Win2003,如何在这两个域之间创建信任关系。
这里的关键是DNS!操作系统的差异并不重要,Win2008域可以和Win2003域,甚至可以和Win2000域创建信任关系。我们要注意的是DNS的设置,每个域控制器要确保自己使用的DNS服务器不但可以解析本域的SRV记录,还可以解析与自己有信任关系域的SRV记录,也就是说DNS服务器要对信任域和被信任域的SRV记录都能进行解析。如何让每个DNS服务器都能解析两个域的SRV记录呢?我们有多种技术可以选择,例如辅助区域,存根区域,私有根或者转发器。在本次实验中我们使用辅助区域来解决这个问题,在每个DNS服务器上创建一个对方域的辅助区域,这样DNS服务器就可以对两个域进行解析了。
1。创建itet.com的辅助区域。首先我们要在Server1负责的itet.com区域中进行设置,允许Server2创建itet.com的辅助区域。在Server1上打开DNS管理器,如下图所示,右键点击itet.com区域,选择“属性”。
在区域属性中切换到“区域传送”标签,如下图所示,勾选“允许区域传送”,选择“只允许到下列服务器”,点击“编辑”按钮。
点击编辑按钮后,如下图所示,我们添加了Server2的地址192.168.1.102,点击确定。
如下图所示,我们已经设定了允许192.168.1.102复制itet.com的区域数据,其实就是允许192.168.1.102成为itet.com的辅助DNS服务器。
Itet.com区域既然已经允许Server2成为辅助服务器了,那我们接下来就开始在Server2上创建辅助区域了。在Server2上打开DNS管理器,如下图所示,选择“新建区域”。
区域类型设置为辅助区域。
区域的名称设置为itet.com。
接下来需要设置itet.com的主服务器,显然,itet.com的主服务器是server1,也就是192.168.1.101。
如下图所示,点击“完成”按钮完成itet.com区域的创建。
我们在Server2的DNS管理器中可以看到,itet.com的区域记录已经被复制到Server2上,Server2已经成功地成为了Server2的辅助服务器。
接下来我们要如法炮制,在Server2上允许Server1成为contoso.com的辅助服务器,然后在Server1上创建contoso.com辅助区域,把contoso.com的区域数据复制到Server1上。如下图所示,我们看到Server1上也已经成功地把contoso.com的区域数据复制过来了。
DNS进行了充分的准备后,我们就可以进行域信任关系的设置了。我们准备在itet.com和contoso.com之间设置双向信任关系,如下图所示,我们在Server1上打开“Active Directory域和信任关系”,右键点击itet.com,选择“属性”。
在itet.com的域属性中切换到“信任”标签,点击“新建信任”。
出现新建信任关系向导,点击“下一步”继续。
向导询问server1准备和哪个域建立信任关系,我们输入contoso.com的域名。
接下来我们要选择是在两个域之间建立不可传递的外部信任,还是可传递的林信任,我们选择建立外部信任。
如下图所示,我们选择建立双向信任关系。
接下来向导询问是在两个域的域控制器上分开设置,还是同时进行设置,我们选择“此域和指定的域”,准备在两个域的域控制器上同时进行信任关系的设定。
接下来向导要求输入contoso.com的域管理员口令,这样才可以在contoso.com的域控制器上设置信任关系。
我们选择“全域性身份验证”,允许信任域用户使用被信任域的所有资源。
如下图所示,信任关系的创建已经准备完毕,点击下一步继续。
如下图所示,两个域之间的信任关系已经成功创建。
确定在itet.com域上传出信任关系。
接下来在itet.com域上确定传入信任关系。
如下图所示,所有的工作都已完成,点击“完成”结束域信任关系的创建爱你。
从下图中可以看到,两个域之间确实创建了不可传递的双向域信任关系,我们的目标已经实现。同时可以用于Win2000与Win2003,Win2000与Win2008等信任关系的创建。大家可以举一反三,慢慢体会。
