如何在两个域中建立信任关系（Windows 活动目录实战）

如何在两个域中建立信任关系

外部信任是不可传递的信任，用于对位于 Microsoft Windows NT 4.0 域或 Active Directory 域（这两种域都位于没有加入林信任的单独的林中）上的资源提供访问权限。不可传递的信任是一种信任关系，只限于在两个域中使用，可以是单向信任，也可以是双向信任。

创建外部信任

1. 单击“开始”，指向“管理工具”，然后单击“ActiveDirectory 域和信任关系”。

2. 在控制台树中，右键单击要与其建立信任关系的域，然后单击“属性”。

3. 单击“信任”选项卡，然后单击“新建信任”，以启动“新建信任向导”。

4. 单击“下一步”。

5. 在“信任名称”页中，键入域的 DNS 名称或 NetBIOS 名称，然后单击“下一步”。

6. 在“信任类型”页中，单击“外部信任”，然后单击“下一步”。

7. 在“信任方向”页中，使用下列方法之一： • 要创建双向外部信任，请单击“双向”。这个域中的用户和指定域中的用户可以访问这两个域中任何一个的资源。

•要创建单向、传入的外部信任，请单击“单向：传入”。指定域中的用户不能访问这个域中的任何资源。

•要创建单向、传出的外部信任，请单击“单向：传出”。指定域中的用户不能访问指定域中的任何资源。

具体例子：

操作环境：两个独立域AA.com与BB.com(域已经建立好了)。

　　AA.com的网段为192.168.0.x，AA.com域管理服务器所在的IP为192.168.0.1，机器名为aa。

　　BB.com的网段为192.168.3.x，BB.com域管理服务器所在的IP为192.168.3.1，机器名为bb。

　　两个域用VPN建立好连接，可互相ping通。

　　操作目的：建立互相信任的关系(单向信任关系也可参考，基本相同)。

　　操作过程：

　　1、建立DNS。DNS必须使用服务器的，而不能使用公网的，因为要对域进行解析。由于在AA.com和BB.com上的步骤相同，故只以AA.com为例。

　　在192.168.0.1上打开管理工具->DNS->连接到计算机->这台计算机(做为小公司，一般域服务器也用于DNS的解析)。在其正向搜索区域里新建区域->Active Directory集成的区域，输入aa.com，区域文件就叫aa.com.dns好了，然后完成。

　　右击新建的aa.com，选择属性->常规，把允许动态更新改变为是。

　　然后在正向搜索区域里新建区域->标准辅助区域，输入bb.com，IP地址输入192.168.3.1，然后完成。

　　右击新建的bb.com，选择从主服务器传输。

　　在反向搜索区域里新建区域->Directory集成的区域，输入网络ID192.168.0，然后完成。

　　右击新建的192.168.0.x Subnet，选择属性->常规，把允许动态更新改变为是。

　　现在aa.com的DNS已经建立好了，bb.com的也按此建立。

　　在192.168.0.1上进行测试，注意：DNS的传输可能需要一定的时间，最好在半个小时到一个小时后进行测试。

　　(1)测试域名解析：ping aa.com

　　正常的为

　　Pinging aa.com [192.168.0.1] with 32 bytes of data:

　　Reply from 192.168.0.1: bytes=32 time<1ms TTL=64

　　Reply from 192.168.0.1: bytes=32 time<1ms TTL=64

　　Reply from 192.168.0.1: bytes=32 time<1ms TTL=64

　　Reply from 192.168.0.1: bytes=32 time<1ms TTL=64

　　Ping statistics for 192.168.0.1:

　　Packets: Sent = 4, Received = 4, Lost = 0 (0% loss),

　　Approximate round trip times in milli-seconds:

　　Minimum = 0ms, Maximum = 0ms, Average = 0ms

　　这说明aa.com域已经解析好，如果ping bb.com也能得到类似的响应，说明bb.com的解析也完成。

　　(2)测试反向搜索：nslookup 192.168.0.1

　　正常的为

　　Server: aa.aa.com

　　Address: 192.168.0.1

　　Name: aa.aa.com

　　Address: 192.168.0.1

　　如果在bb.com的域服务器上也测试成功，则可以建立域信任关系了。

　　2、建立域信任关系

　　在aa机器上管理工具->Active Directory 域和信任关系里可以看到自己的域aa.com，在它上面属性->信任里，受此域信任的域和信任此域的域里添加bb.com。

　　现在就大功告成了。

　　注意：如果服务器里有两块网卡，其中有一块不用的，最好将此网卡禁用了。

　　如果有做它用，请用route -p来明确路由方向。