場景:兩個森林,一個是net.com域,有子域sub.net.com是父子域,一個是blogcn.com域。我們要實現blogcn.com域信任 net.com域,這樣net.com域內的用戶可以無需輸密碼即可訪問blogcn.com域的資源,也可以在blogcn.com域內客戶機上登錄到自己的域。這種情況常出現在兩個公司有合作的時候。上述可以分成兩種情況:
1. blogcn.com域和子域sub.net.com域存在某種信任關係。-->外部信任
2. blogcn.com森林和net.com森林存在某種信任關係。 ----->林信任
一、blogcn.com域和子域sub.net.com域存在某種信任關係。-->外部信任
這種信任關係只在指定的這兩個域之間存在這種信任關係,不會傳遞到其它域。我們可以直接在二者之間做“外部信任”。
假設blogcn.com----->sub.net.com (即前者信任後者)
完成這種信任後:sub.net.com域內的用戶可以在blogcn.com域上登錄到自己的域,同時sub.net.com域內的用戶可以無需輸密碼即可訪問blogcn.com域的資源。
操作:
我們直接在blogcn.com做單向外傳(箭頭向外),也可以在sub.net.com上做單向內傳(箭頭向內)。
1. 在兩個域的DNS上作DNS轉發,相互指向對應的DNSIP即可。此處就不用再贅述了吧。自己做就可以了。
2. 打開blogcn.com域的“AD域和信任關係”,在blogcn.com域上右擊選屬性,單擊“信任”--新建信任--在信任名稱處填寫“sub.net.com”,單擊下一步,如圖所示:
選“單向:外傳”,在下一步圖中選“這個域和指定的域”,繼續,輸入sub.net.com域的管理員及密碼,再次單擊,如下所示彙總信息:
這次做的是外部信任,單擊下一步,並選擇“是,確認傳出信任”,創建成功後,如下圖所示:
做好後,我們來驗證一下,訪問資源和登錄問題。
我們在sub.net.com的DC上利用UNC形式訪問\\n3.blogcn.com,如下圖所示:沒有輸密碼就打開了。
登錄驗證:把blogcn.com域的DC註銷重新登錄,會發現sub這個域,選擇sub,並輸入相應的該域的用戶名和密碼就可以登錄進去了。當然你如果在blogcn.com域的DC上去驗證還要修改相應的策略,總之這個實驗我們已經成功了。
(二)blogcn.com森林和net.com森林存在某種信任關係。 ----->林信任
我們這次實現兩個森林相互信任,我們希望任意域的用戶都可隨意訪問任意林任意域的資源等,怎麼做呢?下面我們開始。
操作:
1. 首先在兩個林的根DNS上做相互的DNS條件轉發。此處自己解決吧。
2. 提升兩個森林的功能級別全部是2003林功能級別。如下所示:對於net.com林,可以先提升sub.net.com子域和net.com域的域功能級別到windows 2003模式,再提升林功能級別是windows 2003。至於如何提升,不用講了吧,不會的話請留言。懶得寫了。
3. 這次我們在net.com林根上來做。打開domain.msc後,在net.com上右擊--屬性如下圖所示:
單擊信任,你會發現默認的存在“父子信任”,而且不可刪除,可傳遞的。
“新建信任”--輸入blogcn.com這個域,再次單擊下一步,出現如下圖所示:
注:如果不提升林功能級別是不會出現這個提示的。
選擇“林信任”,下一步,出現如下圖所示:
選擇“雙向”,下一步,選擇“這個域和指定的域”,下一步,輸入blogcn.com域的管理員和密碼,下一步,如下圖所示:
爲了簡單,我們選擇“全林性身份驗證”,最後結果總述如下:
後面一定選擇“是,傳出信任”,最後完成後如下圖所示:
其實在blogcn.com的DC上的domain.msc上也可以看到。至於驗證就不用了。這樣兩個森林做到了相互信任,資源訪問沒有任何問題了,如果想刪除信任關係,直接在上圖中選中後,單擊“刪除”就可以了。
終於寫完了,一邊寫一邊做實驗帶截圖,真有些麻煩。好了,下次再見了。