1、在Windows Server 域中创建信任关系在Windows Server 2003域中创建信任关系-理解DNS转发器 2008-11-25 13:00:27标签:域 Active Directory 信任关系 DNS转发器推送到技术圈 版权声明:原创作品,允许转载,转载时请务必以超链接形式标明文章 原始出处 、作者信息和本声明。否则将追究法律责任。在我的网络中,原来的Active Directory域名labs.yijiao,域控制器IP地址是172.30.5.3、172.30.5.15。因为这个Active Directory创建的比较早(2004年创建后一直使用),期间又做过很多实验
2、,也跑着很多的应用,像SMS、SPS、LCS、Exchange、ISA、WSUS等,一直在测试和使用。另外,Windows 2003经过多次升级(从Windows Server 2003到SP1、R2、到SP2)。这样,域中保留了很多的信息,也有一些错误的信息。在做一些新的测试时,经常会出一些“莫名其妙”的问题。在这个时候,虽然我也知道,把所有的域控制器删除、重新格式化、重建域控制器是很好的方法,但总有些“舍不得”。这时候,我就想到了,再建一个Active Directory,使用新的域名,在两个域之间创建“信任”关系,以后再做测试的时候,在新域中测试就是了。这样,即保留了原来的Active
3、Directory,也不影响以后做实验。在Active Directory网络中,当有两个域(或有多个域)创建信任关系时,需要正确配置DNS,否则不能创建成功。我在以前做域的信任时,都是通过设置DNS服务器地址来做到的(在一个DC上添加另一个DC的DNS服务器地址)。而在这次创建信任关系中,我通过DNS转发器,在没有修改DNS地址的时候,完成了创建。本次操作信息如下:原来的域:labs.yijiao,Active Directory服务器地址172.30.5.15,计算机名称为heinfo-exchange。新的域:heinfo.local,Active Directory服务器的地址是172
4、.30.5.50,计算机名称为ad-heinfo。(1)在heinfo.local的域控制器上,打开DNS服务器,添加到labs.yijiao域的解析到172.30.5.15,如图1、图2所示。图1 添加转发器DNS区域图2 设置转发器DNS服务器的地址图样,在labs.yijiao的DNS服务器上,添加到heinfo.local区域的转发,并设置转发的DNS服务器地址为172.30.5.50。(2)在labs.yijiao域控制器上,打开“Active Directory域和信任关系”,右击域名,从弹出的对话框中单击“信任”选项卡,单击“新建信任”按钮。(3)在“信任名称”页中,键入另一个域
5、名,注意,需要输入域的全名:ad-heinfo.heinfo.local,如图3所示。图3 添加域名(4)在“信任类型”页中,选择“与一个Windows域建立信任”,并在域名处键入heinfo.local(不要包括计算机名称),如图4所示。图4 键入域名(5)在“信任方向”页中选择“双向”,如图5所示。图5 双向信任(5)在“信任方”选择“这个域和指定的域”,如图6所示。图6(7)在“用户名和密码”页中,键入heinfo.local域的管理员帐户及密码,如图7所示。图7 键入管理员帐户与密码(8)在“传出信任身份验证级别-本地域”,选择“全域性身份验证”,如图8所示。图8(9)在“信任创建完毕
6、”页中,单击“下一步”按钮,如图9所示。图9 信任创建完毕(10)在“确认传出信任”页中,如图10所示,切换到另一台域控制器,仿照图3图9创建信任关系。图 10 暂停(11)切换到heinfo.local域控制器,添加到heinfo-exchange.labs.yijiao的信任关系,如图11所示。图11 添加到heinfo-exchange.labs.yijiao信任关系(12)添加labs.yijiao域名,如图12所示。图12 添加信任关系(13)提示信任关系已经创建,如图13所示。图13 提示信任关系已经创建(14)在“信任”中可以看到,信任关系已经创建。图14 (15)切换到labs.yijiao域控制器(图10处),继续操作,如图15所示。图15 继续操作(16)信任关系创建完成,如图16所示。图16 信任关系创建完成