windowsserver2008外部域信任关系.docx

外部信任关系实验中域控的操作系统均为windows server 2008 R2 Enterprise。域和林的级别均为windows 2003，或者以上。两个林，一个林根域为，一个林根域为域的DNS服务器FQDN为：2008DC01.，IP为：0，DNS指向自己。ernal域的DNS服务器FQDN为：WINDC.ernal。IP为：00，DNS指向自己或者00建立域信任ernal域，即中的资源可以共享给eranl域成员查看，即在域的文件夹属性——安全选项中可以添加nal域的成员，而Iernal域文件夹属性——安全选项中不可以添加域成员在这里是信任域Iernal是被信任域建立域的信任关系，首先要使对方的DNS能解析本地的DNS，方法有很多，如在对方的DNS上建立本地域的辅助DNS，也可以使用条件转发器。在这里我们使用条件转发器。在真实生产环境中两个林或域之间不能通信，分属不同的公司，对于两个林或域之间的通信，可请网络管理员设置路由信息。建立DNS条件转发器在这里DNS区域和AD目录集成在一起。打开域的一台域控，在管理工具中打开DNS管理器，在左侧找到“条件转发器”，右击新建条件转发器，在弹出的对话框中输入要转发解析的对方DNS域名，这里输入被信任域“ernal”和对方的DNS服务器的IP:00，点击确定，条件转发器建立成功。真实环境中解析对方时间要长一些。如下图：在ernal域的DNS服务器上设置也如此步骤，在条件转发器上输入域和DNS的IP:0，这里不再贴图。建立信任在域的一台域控上打开“Active Directory域和信任关系”，右击“”选择“属性”——“信任”选项卡，点击左下方的“新建信任”弹出“新建信任向导”对话框，如下图：上图点击下一步，在出现对话框中输入要信任的域即被信任域ernal，点击下一步，选择“外部信任”，外部信任是林内的域需要与不属于该林的其他域之间创建信任关系，不同于快捷信任关系，快捷信任关系是指林内的任何域信任其他林内的任何域的林信任关系。点击下一步因为我们的目标是ernal域的成员可以在域中得到身份验证，所以我们选择“单向：外传”（指定域为ernal），（如果选择“双向”则两个域的成员均可以在对方域中得到身份验证，这与我们的目标不合，“单向：内传”则是要在ernal域建立信任关系时选择此项），点击下一步，如下图：在“只是这个域”指的是这个域，如果选择“此域和指定域”再点击下一步，刚会要求输入指定域Iernal，还要求有ernal的具有管理员权限的用户和密码建立信任关系。在这里选择第一个“只是这个域”，因为我们还要在Iernal域上建立信任关系。下一步，如下图：全域性身份验证：举个例子，在域上共享的文件夹aaa，在ernal域内成员默认就有直接查看，读取权限，而不需要在aaa的属性安全里更改添加任何账户。如果要使ernal成员对文件夹有更高的权限，则需要对aaa文件夹安全属性做添加具体的账户属性。选择性身份验证：在域上共享一个文件夹aaa，在ernal域成员默认是打不开的，没有任何权限，需要添加具体的账户信息。如果要进行访问遵循以下操作：1.在信任域即上打开”Active Dirctory用户和计算机”找要被信任域ernal能够访问的那台服务器或计算机，比如这台服务器。2.右击的属性，选择“安全”选项卡，在“组和用户名”点击“添加”，在“位置”中选择“ernal”，在下面对像名中输入要访问这台服务器或计算机的Iernal域成员，在弹出的对话框中输入ernal有权限的账户和密码，然后两次确定，回到“安全”选项卡。如下图3.在“安全”选项卡中，定位到刚到的ernal用户，在下面的权限中找到“允许身份验证”在后面的“允许”框中打“√”还可以选择其他权限。如下图设置完以上的操作后，Iernal的用户susan才可以访问这台服务器，对于具体的权限，可以这台服务器的文件夹属性安全选项卡中再具体细化。要想Iernal其他用户访问test这台服务器，可重复操作，可以在ernal域上建立一个全局安全组，将要访问test这台服务器的用户加入到这个组中集中管理。在这里我们选择“全局性身份验证”，当然也可以选择“选择性身份验证”，这两种身份验证在信任关系建立起来后可以更改。如下图：选择后，点击下一步信任密码：用来建立信任关系时验证的密码，当在Iernal建立传入关系时，也将出现此对话框，两端的密码必须一致，否则信任关系建立不成功。如下图：点击下一步，出现一个摘要，向导准备好创建信任。如建立错误，可点击上一步进行返回操作。如无错误，点击下一点，如下图：信任创建完毕，成功创建信任关系，点击下一步“确认传出信任”这里选择“否”，也可以选择“是”，选择否，我们将在ernal手动做出信任关系。如下图，点击下一步“确认传入信任”也选