单向外部域信任关系的创建和验证示例.pdfVIP

单向外部域信任关系的创建与验证示例 本节介绍的是不同林中两个Windows Server 2003 域之间的单向外部信任关系的 创建，因为在同一林中的Windows Server 2003 各域之间是默认建立起了双向可 传递信任了的，所以无需另外创建，但可以删除它们之间的默认信任关系。 下面以创建一个 林中的 根域单向信任位于lycb.local 林下的 BeiJing.lycb.local 子域的单向信任创建为例进行介绍。前面介绍到，信任关系的 创建可以在信任域与被信任域双方各运行一次信任创建向导，各自创建自己一方 的信任（在各域管理员只拥有自己域适当管理凭据时），也可以只在任意一方运 行向导一次，同时创建双方的信任（在你同时拥有双方域适当管理凭据时）。本 节先以在信任域与被信任域双方各运行一次信任创建向导为例进行介绍。具体创 建步骤如下： 【经验之谈】要创建两个域间的信任，必须在一个DNS 服务器上为两个域创建 不同区域，或者在两个域的不同DNS 服务器属性对话框中配置指向对方的转发 器，如图2-23 和图2-24 所示；如果两个域中的DNS 区域分属于不同DNS 服务 器时，则还可以在各自的DNS 服务器上为对方域创建辅助DNS 区域，以便能相 互解析（注意，创建辅助DNS 区域与配置转发器，只能选择一种）。有关辅助 DNS 区域的创建方法参见本系列中级认证教材—— 《金牌网管师—— 中小型企 业网络组建、配置与管理》一书。 图2-23 BeiJing.lycb.local 域DNS 服务器配置的转发器 图2-24 域DNS 服务器配置 的转发器 1. 在BeiJing.lycb.local 子域（被信任方）上创建单向信任关系 在本示例中，信任域是，被信任域是BeiJing.lycb.local 。因为本节假设 要在介绍在双方各运行一次信任创建向导的信任创建方式，可以在信任的任意一 方先进行信任关系创建，只是要注意不同方的信任方向选择不同。在此以先在被 信任域的DC 创建上信任关系为例进行介绍。 （1）在BeiJing.lycb.local 子域的一个DC 上（本示例为 BeiJinglycb-dc.BeiJing.lycb.local ）执行【开始】→ 【管理工具】→ 【Active Directory 域和信任关系】菜单操作，打开如图2-25 所示“Active Directory 域和信任关系” 管理单元控制台。 图2-25 “Active Directory 域和信任关系”管理单元控制台 （2 ）在BeiJing.lycb.local 节点上单击右键，在弹出菜单中选择“属性”选项，在 打开的对话框中选择“信任”选项卡，如图2-26 所示。从中可以看到，在 BeiJing.lycb.local 子域中默认是建立起了与父域lycb.local 的双向可传递信任关系 的。 （3 ）单击“新建信任”按钮，打开如图2-27 所示新建信任向导首页对话框。其中 显示了利用此向导可以新建的信任类型，也就是前面介绍的非默认的三种信任。 我们这里所建的是第一种信任。 图2-26 BeiJing.lycb.local 子域属性对话框“信任”选项卡 图2-27 “欢迎使用新建信任向导”对话 框 （4 ）单击“下一步”按钮，打开如图2-28 所示对话框。在其中输入要建立信任的 信任方域名，可以是NetBIOS 域名，也可以是DNS 域名。但如果是林间的信任 关系建立，则必须输入的是DNS 林名称。在这时里要输入 （或者grfw ） 名称。如果在输入DNS 域名时显示如图2-29 所示错误提示，说不是有效的 Windows 域名，则基本上是因为对方DNS 服务器上没有正确配置对应DNS 服务 器的的SRV 记录。这方面与在工作站加入域时只能输入NetBIOS 名称，不能输 入DNS 域名时原理是一样的。具体在《金牌网管师—— 中小型企业网络组建、 配置与管理》一书中已有介绍，不再赘述。 （5 ）在图2-28 所示对话框中单击“下一步”按钮，打开如图2-30 所示对话框。因 为此处所创建的信任的目的是要让 域（信任域）信任此处操作的 BeiJing.lycb.local 子域（被信任域）用户，也就是把外部 的信任传入到 本地BeiJing.lycb.local 子域，所以在此要选择“单向：内传”单选项。信任方向是 由BeiJing.lycb.local 域→ 域。 图2-28 “信任名称”对话框 图2-29 因对方D