配置双向域信任关系.doc

配置双向域信任关系 在这篇文章中，我们将讨论如何配置双向域信任关系。双向域信任关系是指两个域之间可以相互信任的关系，允许域用户在另一个域中使用资源。这种关系可以帮助简化资源分享和访问控制，提高网络安全性和效率。 我们需要了解什么是域控。域控是指域控制器的简称，它是负责管理域内计算机和用户的服务器。域控提供身份验证、资源分配和安全管理等功能。 在这篇文章中，我们将使用两个域，一个是 Win2003 域，另一个是 Win2008 域。两个域都使用各自的域控制器提供 DNS 解析。我们将演示如何在这两个域之间创建信任关系。 第一步，我们需要确保每个域控制器都可以解析对方域的 SRV 记录。这可以通过创建辅助区域来实现。在每个 DNS 服务器上创建一个对方域的辅助区域，这样 DNS 服务器就可以对两个域进行解析了。 在 Server1 上，我们打开 DNS 管理器，右键点击 itet.com 区域，选择“属性”。在区域属性中切换到“区域传送”标签，勾选“允许区域传送”，选择“只允许到下列服务器”，点击“编辑”按钮。然后，我们添加了 Server2 的地址 192.168.1.102，点击确定。这将允许 Server2 成为 itet.com 的辅助 DNS 服务器。 在 Server2 上，我们打开 DNS 管理器，选择“新建区域”。区域类型设置为辅助区域，区域的名称设置为 itet.com。然后，我们需要设置 itet.com 的主服务器，显然，itet.com 的主服务器是 Server1，也就是 192.168.1.101。 接下来，我们需要在 Server1 上允许 Server2 成为 contoso.com 的辅助服务器，然后在 Server1 上创建 contoso.com 辅助区域，把 contoso.com 的区域数据复制到 Server1 上。 现在，我们已经完成了 DNS 的设置，可以开始设置域信任关系了。我们准备在 itet.com 和 contoso.com 之间设置双向信任关系。在 Server1 上，我们打开“Active Directory 域和信任关系”，右键点击 itet.com，选择“属性”。在 itet.com 的域属性中切换到“信任”标签，点击“新建信任”。 然后，我们选择建立双向信任关系，并选择是在两个域之间建立不可传递的外部信任。我们输入 contoso.com 的域名，并选择“全域性身份验证”，允许信任域用户使用被信任域的所有资源。 我们已经成功地创建了双向域信任关系，可以看到两个域之间确实创建了不可传递的双向域信任关系，这样两个域的用户就可以相互访问对方域的资源了。 这个实验其实有更广泛的适应性，同时可以用于 Win2000 与 Win2003，Win2000 与 Win2008 等信任关系的创建。大家可以举一反三，慢慢体会。如果选择可传递的林信任关系，也可以使用类似的方法来创建。