从零开始做林的信任关系 -转

http://blog.163.com/yucheng-lai/blog/static/17638197200922494016831/

今天做了个实验,我的实验是用微软2007VPC搭建的,
mcse.com ip192.168.1.2/24 dns自己
msn.com ip192.168.1.1/24 dns自己
為了虚拟机能够通信就设成同一网段
,提升域和林的动能級別
分别在两个林根域运行domain.msc
右击域名—提升域动能级别,如下图:
从零开始做林的信任关系(双向) - Moses - 54
这里我以经提升到2003的了

(如果不执行下图这个操作,kerberos认证将不能通过)
然后再右击—Active Directory 域和信任关系—提升林动能级别:如下图
从零开始做林的信任关系(双向) - Moses - 54
也是提升好的了
注意一点先提升域动能级别才提升得了林的动能级别,要是根域下有子域和额外域控,都要把域动能级别提升!(提升林动能级别前 要求所有域控动能级别都是2003的)
msn.com
从零开始做林的信任关系(双向) - Moses - 54
从零开始做林的信任关系(双向) - Moses - 54
方法同上~~~提升完记得重启(好像不重启也能work,在我的机器就没有提示说让重启,我用的是win2k3,win2k8)
提升好重启!
二.分别在mcse.commsn.comDNS的正向查找区域里创建辅助区域
建议使用方法二

方法一:
Mcse.com\dnsMsn.com的辅助区域
从零开始做林的信任关系(双向) - Moses - 54
从零开始做林的信任关系(双向) - Moses - 54
从零开始做林的信任关系(双向) - Moses - 54
msn.comIP
然后
添加
下一步

从零开始做林的信任关系(双向) - Moses - 54
先别点完成!!打开msn.comDNS展开正向查找区域右击msn.com的属性—选择区域复制—勾选—允许区域复制—只允许到下列服务器(意思是允许哪台DNS服务来复制区域信息)填入mcse.comIP—添加—确定。如图:
从零开始做林的信任关系(双向) - Moses - 54
再回到mcse.comDNS里点完成!或先做好这一步再做辅助区域都可~
两边都同样这样做
说明:在双方的DNS创建对方的正向辅助区域“这样创建信任时双方的域控制器就可以通过DNS找到对方来建立信任关系”
方法二
是在DNS里做转发!
msn.com的设置
右击DNS服务器名选属性—转发器—新建—填入(mcse.com)确定
IP地址列表里填入mcse.comIP
添加  确定  如下图:
从零开始做林的信任关系(双向) - Moses - 54
Mcse.com的设置也同上!
以上这两种方法都可以
三.在域和信任关系里右击域名选属性,在信任选项卡里新建信任
从零开始做林的信任关系(双向) - Moses - 54
从零开始做林的信任关系(双向) - Moses - 54
输入你要创建的和被信任的域名“DNS后缀名”
从零开始做林的信任关系(双向) - Moses - 54


从零开始做林的信任关系(双向) - Moses - 54
从零开始做林的信任关系(双向) - Moses - 54
从零开始做林的信任关系(双向) - Moses - 54
从零开始做林的信任关系(双向) - Moses - 54
从零开始做林的信任关系(双向) - Moses - 54


如果是选了选择性的身份验证
还要对其进行权限的设置
可以在运行dsa.msc上—查看—高级动能—对象属性多出安全标签可以设置相应的权限!

从零开始做林的信任关系(双向) - Moses - 54

下一步
确认传出信任 这一步选    否,不要确认传出信任
确认传入信任  也选,    否,不确认传入信任
从零开始做林的信任关系(双向) - Moses - 54
完成!单间的林双向信任关系
在每台域控上做都可以当做好对方的域和信任关系里会自动生成信任关系!
两个林的用户都可以在对方的客户机上做登录,
两个林的共享资原访问!
从零开始做林的信任关系(双向) - Moses - 54



安全标签位置会多出信任的林
可以进行设置相应的访问权限

posted @ 2009-10-12 09:51  彷徨......  阅读(647)  评论(1编辑  收藏  举报