创建
Win2003
域和
Win2008
域之间的信任关系
我们在上一篇文章中创建了域信任关系,这个信任关系发生在两个
Win2003
域之间,而且两个域使用了同一个
DNS
服务器。今天我们更换一个实验场景,拓扑如下图所示。一个是
Win2003
域,另一个是
Win2008
域。两个域都使用各自的域控制器提供
DNS
解析,而且
Win2008
域的功能级别是
Win2003
,我们将为大家演示如何在这两个域之间创建信任关系。
![](http://img1.51cto.com/attachment/200908/200908031249229243849.jpg)
这个实验的关键是
DNS
!操作系统的差异并不重要,
Win2008
域可以和
Win2003
域,甚至可以和
Win2000
域创建信任关系。我们要注意的是
DNS
的设置,每个域控制器要确保自己使用的
DNS
服务器不但可以解析本域的
SRV
记录,还可以解析与自己有信任关系域的
SRV
记录,也就是说
DNS
服务器要对信任域和被信任域的
SRV
记录都能进行解析。如何让每个
DNS
服务器都能解析两个域的
SRV
记录呢?我们有多种技术可以选择,例如辅助区域,存根区域,私有根或者转发器。在本次实验中我们使用辅助区域来解决这个问题,在每个
DNS
服务器上创建一个对方域的辅助区域,这样
DNS
服务器就可以对两个域进行解析了。
我们为大家演示如何创建
itet.com
的辅助区域。首先我们要在
Server1
负责的
itet.com
区域中进行设置,允许
Server2
创建
itet.com
的辅助区域。在
Server1
上打开
DNS
管理器,如下图所示,右键点击
itet.com
区域,选择“属性”。
![](http://img1.51cto.com/attachment/200908/200908031249229276194.jpg)
在区域属性中切换到“区域传送”标签,如下图所示,勾选“允许区域传送”,选择“只允许到下列服务器”,点击“编辑”按钮。
![](http://img1.51cto.com/attachment/200908/200908031249229284347.jpg)
点击编辑按钮后,如下图所示,我们添加了
Server2
的地址
192.168.1.102
,点击确定。
![](http://img1.51cto.com/attachment/200908/200908031249229294489.jpg)
如下图所示,我们已经设定了允许
192.168.1.102
复制
itet.com
的区域数据,其实就是允许
192.168.1.102
成为
itet.com
的辅助
DNS
服务器。
![](http://img1.51cto.com/attachment/200908/200908031249229301037.jpg)
Itet.com
区域既然已经允许
Server2
成为辅助服务器了,那我们接下来就开始在
Server2
上创建辅助区域了。在
Server2
上打开
DNS
管理器,如下图所示,选择“新建区域”。
![](http://img1.51cto.com/attachment/200908/200908031249229307519.jpg)
区域类型设置为辅助区域。
![](http://img1.51cto.com/attachment/200908/200908031249229314684.jpg)
区域的名称设置为
itet.com
。
![](http://img1.51cto.com/attachment/200908/200908031249229323054.jpg)
接下来需要设置
itet.com
的主服务器,显然,
itet.com
的主服务器是
server1
,也就是
192.168.1.101
。
![](http://img1.51cto.com/attachment/200908/200908031249229329142.jpg)
如下图所示,点击“完成”按钮完成
itet.com
区域的创建。
![](http://img1.51cto.com/attachment/200908/200908031249229335469.jpg)
我们在
Server2
的
DNS
管理器中可以看到,
itet.com
的区域记录已经被复制到
Server2
上,
Server2
已经成功地成为了
Server2
的辅助服务器。
![](http://img1.51cto.com/attachment/200908/200908031249229342454.jpg)
接下来我们要如法炮制,在
Server2
上允许
Server1
成为
contoso.com
的辅助服务器,然后在
Server1
上创建
contoso.com
辅助区域,把
contoso.com
的区域数据复制到
Server1
上。如下图所示,我们看到
Server1
上也已经成功地把
contoso.com
的区域数据复制过来了。
![](http://img1.51cto.com/attachment/200908/200908031249229350119.jpg)
DNS
进行了充分的准备后,我们就可以进行域信任关系的设置了。我们准备在
itet.com
和
contoso.com
之间设置双向信任关系,如下图所示,我们在
Server1
上打开“
Active Directory
域和信任关系”,右键点击
itet.com
,选择“属性”。
![](http://img1.51cto.com/attachment/200908/200908031249229358957.jpg)
在
itet.com
的域属性中切换到“信任”标签,点击“新建信任”。
![](http://img1.51cto.com/attachment/200908/200908031249229366482.jpg)
出现新建信任关系向导,点击“下一步”继续。
![](http://img1.51cto.com/attachment/200908/200908031249229372859.jpg)
向导询问
server1
准备和哪个域建立信任关系,我们输入
contoso.com
的域名。
![](http://img1.51cto.com/attachment/200908/200908031249229379362.jpg)
接下来我们要选择是在两个域之间建立不可传递的外部信任,还是可传递的林信任,我们选择建立外部信任。
![](http://img1.51cto.com/attachment/200908/200908031249229385959.jpg)
如下图所示,我们选择建立双向信任关系。
![](http://img1.51cto.com/attachment/200908/200908031249229393079.jpg)
接下来向导询问是在两个域的域控制器上分开设置,还是同时进行设置,我们选择“此域和指定的域”,准备在两个域的域控制器上同时进行信任关系的设定。
![](http://img1.51cto.com/attachment/200908/200908031249229401102.jpg)
接下来向导要求输入
contoso.com
的域管理员口令,这样才可以在
contoso.com
的域控制器上设置信任关系。
![](http://img1.51cto.com/attachment/200908/200908031249229409509.jpg)
我们选择“全域性身份验证”,允许信任域用户使用被信任域的所有资源。
![](http://img1.51cto.com/attachment/200908/200908031249229418532.jpg)
如下图所示,信任关系的创建已经准备完毕,点击下一步继续。
![](http://img1.51cto.com/attachment/200908/200908031249229442562.jpg)
如下图所示,两个域之间的信任关系已经成功创建。
![](http://img1.51cto.com/attachment/200908/200908031249229449887.jpg)
确定在
itet.com
域上传出信任关系。
![](http://img1.51cto.com/attachment/200908/200908031249229458872.jpg)
接下来在
itet.com
域上确定传入信任关系。
![](http://img1.51cto.com/attachment/200908/200908031249229466404.jpg)
如下图所示,所有的工作都已完成,点击“完成”结束域信任关系的创建爱你。
![](http://img1.51cto.com/attachment/200908/200908031249229474004.jpg)
从下图中可以看到,两个域之间确实创建了不可传递的双向域信任关系,我们的实验目标已经实现。这个实验其实有更广泛的适应性,同时可以用于
Win2000
与
Win2003
,
Win2000
与
Win2008
等信任关系的创建。大家可以举一反三,慢慢体会。
![](http://img1.51cto.com/attachment/200908/200908031249229481697.jpg)