摘要
本文讲述了在不同森树林中的环境下,如何做好Windows 2000域信任关系。信任关系是连接在域与域之间的桥梁。当test.com域与dc2.com域建立了信任关系后,两个域之间不但可以按需要相互进行管理,还可以跨网分配文件和打印机等设备资源,使不同的域之间实现网络资源的共享与管理。把两个域之间建立信任关系后,下面将详细介绍不同森树林的Windows 2000信任。
目录
环境分析
域信任关系概述
配置DNS
测试DNS是否正常工作
建立两个不同树林的DC
GUI添加信任关系
验证信任关系
参考信息
作者介绍
---------------------------------------------------------
环境分析
A公司的叫test.com的主域控制器叫netitboy.test.com(IP:192.168.1.9/24),B公司则是dc2.com而主域控制器是lvfan.dc2.com。test.com(IP:192.168.1.10/24)和dc2.com分别是单独一个域林(也就是说之前是两个完全没有关系的两个域)现在来让他们建立信任关系如图1。现在想实现以下功能:test.com的用户能够访问dc2.com中的资源,dc2.com的用户也要能够访问test.com的资源。如图1
图1
域信任关系概述
活动目录提供域间的信任关系提供跨域的安全。当域之间有信任关系时,每个域的认证机构都信任其他所有它信任的域的认证机构。如果一个user或application被一个域认证以后,所有信任这个认证域的域都认同这种模式。一个被信任域中的用户都必须受到信任域上的访问控制。
举例说名:如图1的信任关系我们可分析以下三种情况:
1、 test.com域只信任dc2. com域,那么就dc2.com的用户能够访问test.com上的资源,反之不行。
2、 dc2.com域只信任test.com域,这样的话就是test.com的用户能够访问dc2.com上的资源,反之不行。
3、 test.com域和dc2.com域互相信任,现在就是双方的用户多能访问到对方的资源。
因为是两个不同林的域,所以他们之间是不可传递信任。
---------------------------------------------------------
配置DNS
1、点击开始设置控制面板添加/删除程序添加/删除Windows组件网络服务域名系统确定
2、点击开始程序管理工具DNS
点击右键netitboy出现"新建区域"下一步标准主要区域下一步正向搜索区域下一步输入test.com下一步下一步完成
右键点击刚新建完的test.com属性允许动态更新选择"是"确定。
3、建立反向搜索区域
点击反向搜索区域右键出现"新建区域"下一步标准主要区域下一步网络ID输入:192.168.1下一步下一步完成
右键点击刚新建完的192.168.1.x.Subnet属性允许动态更新选择"是"确定。
4、 这一步是建立完DC以后再操作。(注意)
点击新建完的test.com右键属性常规更改选择:Active Directory集成的区域确定
点击新建完的192.168.1.x.Subnet右键属性常规更改选择:Active Directory集成的区域确定
目前我们已经把单个DC的DNS配置完毕了。下面继续配置DNS标准辅助区域!!
5、点击新建正向搜索区域右键属性新建区域下一步标准辅助区域名称输入:dc2.comIP地址输入:192.168.1.10添加下一步完成
点击新建完的lvfan.com右键属性选择"从主服务器传输"若出现错误见图2,则可以按F5刷或者点击"从主服务器传输"新可以从主服务器把数据传输过来。
图2
6、网上邻居右键属性网络和拨号连接中的网卡假设为:netitboy点击右键属性Internet协议(TCP/IP)属性首先DNS服务器输入:192.168.1.9
7、再lvfan上的DNS也是一样配置,该相应的名字就可以了。
8、到此我们的DNS算是真正的配置完毕了。
---------------------------------------------------------
测试DNS是否正常工作
1、 看反向区域的数据能否从服务器上传输。
2、 用Nslookup 和 ping 命令。
这是在netitboy计算机上测试的结果如图3
图3
这是在lvfan计算机上测试的结果如图4
图4
---------------------------------------------------------
建立两个不同树林的DC
1再运行里输入DCPROMO命令。
2下一步新域的域控制器下一步创建一个新的域目录林创建新的域目录林输入新域的DNS全名,我们输入:test.com下一步下一步出现提示,选择否。下一步立即重新启动计算机
3另外一台计算机在建立的时候输入dc2.com就可以了。
(未结束)
