外部信任关系 实验中域控的操作系统均为w indow s server 2008 R2 Enterprise。域和林的级别均为w indow s 2003,或者以上。 两个林,一个林根域为sample.com,一个林根域为int.internal。sample.com域的DNS 服务器FQDN 为:2008DC01.sample.com,IP 为:192.168.1.10,DNS 指向自己127.0.0.1。int.internal 域的DNS 服务器FQDN 为:WINDC.int.internal。IP为:192.168.1.100,DNS 指向自己127.0.0.1 或者192.168.1.100 建立sample.com 域信任int.internal 域,即sample.com 中的资源可以共享给int.interanl 域成员查看,即在sample.com 域的文件夹属性——安全选项中可以添加 int.intnal 域的成员,而 Int.internal 域文件夹属性——安全选项中不可以添加 sample.com 域成员 在这里 sample.com 是信任域 Int.internal 是被信任域 建立域的信任关系,首先要使对方的DNS 能解析本地的DNS,方法有很多,如在对方的DNS 上建立本地域的辅助 DNS,也可以使用条件转发器。在这里我们使用条件转发器。 在真实生产环境中两个林或域之间不能通信,分属不同的公司,对于两个林或域之间的通信,可请网络管理员设置路由信息。 一、 建立DNS 条件转发器 在这里 DNS 区域和AD 目录集成在一起。 打开 sample.com 域的一台域控,在管理工具中打开 DNS 管理器,在左侧找到“条件转发器”,右击新建条件转发器,在弹出的对话框中输入要转发解析的对方 DNS 域名,这里输入被信任域“int.internal”和对方的DNS 服务器的IP:192.168.1.100,点击确定,条件转发器建立成功。真实环境中解析对方时间要长一些。如下图: 在int.internal 域的DNS 服务器上设置也如此步骤,在条件转发器上输入sample.com 域和DNS 的IP:192.168.1.10,这里不再贴图。 二、 建立信任 在sample.com 域的一台域控上打开“Active Directory 域和信任关系”,右击“sample.com”选择“属性”——“信任”选项卡,点击左下方的“新建信任”弹出“新建信任向导”对话框,如下图: 上图点击下一步,在出现对话框中输入要信任的域即被信任域int.internal,点击下一步,选择“外部信任”,外部信任是林内的域需要与不属于该林的其他域之间创建信任关系,不同于快捷信任关系 ,快捷信任关系是指林内的任何域信任其他林内的任何域的林信任关系。点击下一步 因为我们的目标是int.internal 域的成员可以在sample.com 域中得到身份...