單向外部域信任關(guān)系的創(chuàng)建與驗(yàn)證示例本節(jié)介紹的是不同林中兩個(gè)Windows Server 2003域之間的單向外部信任關(guān)系的創(chuàng)建，因?yàn)樵谕涣种械腤indows Server 2003各域之間是默認(rèn)建立

單向外部域信任關(guān)系的創(chuàng)建與驗(yàn)證示例

本節(jié)介紹的是不同林中兩個(gè)Windows Server 2003域之間的單向外部信任關(guān)系的創(chuàng)建，因?yàn)樵谕涣种械腤indows Server 2003各域之間是默認(rèn)建立起了雙向可傳遞信任了的，所以無需另外創(chuàng)建，但可以刪除它們之間的默認(rèn)信任關(guān)系。 下面以創(chuàng)建一個(gè)grfw.com 林中的grfw.com 根域單向信任位于lycb.local 林下的BeiJing.lycb.local 子域的單向信任創(chuàng)建為例進(jìn)行介紹。前面介紹到，信任關(guān)系的創(chuàng)建可以在信任域與被信任域雙方各運(yùn)行一次信任創(chuàng)建向?qū)?，各自?chuàng)建自己一方的信任（在各域管理員只擁有自己域適當(dāng)管理憑據(jù)時(shí)），也可以只在任意一方運(yùn)行向?qū)б淮危瑫r(shí)創(chuàng)建雙方的信任（在你同時(shí)擁有雙方域適當(dāng)管理憑據(jù)時(shí)）。本節(jié)先以在信任域與被信任域雙方各運(yùn)行一次信任創(chuàng)建向?qū)槔M(jìn)行介紹。具體創(chuàng)建步驟如下：

【經(jīng)驗(yàn)之談】要?jiǎng)?chuàng)建兩個(gè)域間的信任，必須在一個(gè)DNS 服務(wù)器上為兩個(gè)域創(chuàng)建不同區(qū)域，或者在兩個(gè)域的不同DNS 服務(wù)器屬性對(duì)話框中配置指向?qū)Ψ降霓D(zhuǎn)發(fā)器，如圖2-23和圖2-24所示；如果兩個(gè)域中的DNS 區(qū)域分屬于不同DNS 服務(wù)器時(shí)，則還可以在各自的DNS 服務(wù)器上為對(duì)方域創(chuàng)建輔助DNS 區(qū)域，以便能相互解析（注意，創(chuàng)建輔助DNS 區(qū)域與配置轉(zhuǎn)發(fā)器，只能選擇一種）。有關(guān)輔助DNS 區(qū)域的創(chuàng)建方法參見本系列中級(jí)認(rèn)證教材——《金牌網(wǎng)管師——中小型企業(yè)網(wǎng)絡(luò)組建、配置與管理》一書。

圖2-23 BeiJing.lycb.local 域DNS 服務(wù)器配置的轉(zhuǎn)發(fā)器 圖2-24 grfw.com域DNS 服務(wù)器配置的轉(zhuǎn)發(fā)器

1. 在BeiJing.lycb.local 子域（被信任方）上創(chuàng)建單向信任關(guān)系

在本示例中，信任域是grfw.com ，被信任域是BeiJing.lycb.local 。因?yàn)楸竟?jié)假設(shè)要在介紹在雙方各運(yùn)行一次信任創(chuàng)建向?qū)У男湃蝿?chuàng)建方式，可以在信任的任意一方先進(jìn)行信任關(guān)系創(chuàng)建，只是要注意不同方的信任方向選擇不同。在此以先在被信任域的DC 創(chuàng)建上信任關(guān)系為例進(jìn)行介紹。

（1）在BeiJing.lycb.local 子域的一個(gè)DC 上（本示例為

BeiJinglycb-dc.BeiJing.lycb.local ）執(zhí)行【開始】→【管理工具】→【Active Directory域和信任關(guān)系】菜單操作，打開如圖2-25所示“Active Directory域和信任關(guān)系”

管理單元控制臺(tái)。

圖2-25 “Active Directory域和信任關(guān)系”管理單元控制臺(tái)

（2）在BeiJing.lycb.local 節(jié)點(diǎn)上單擊右鍵，在彈出菜單中選擇“屬性”選項(xiàng)，在打開的對(duì)話框中選擇“信任”選項(xiàng)卡，如圖2-26所示。從中可以看到，在

BeiJing.lycb.local 子域中默認(rèn)是建立起了與父域lycb.local 的雙向可傳遞信任關(guān)系的。

（3）單擊“新建信任”按鈕，打開如圖2-27所示新建信任向?qū)醉搶?duì)話框。其中顯示了利用此向?qū)Э梢孕陆ǖ男湃晤愋?，也就是前面介紹的非默認(rèn)的三種信任。我們這里所建的是第一種信任。

圖2-26 BeiJing.lycb.local子域?qū)傩詫?duì)話框

“信任

”選項(xiàng)卡 圖2-27 “歡迎使用新建信任向?qū)А睂?duì)話框

（4）單擊“下一步”按鈕，打開如圖2-28所示對(duì)話框。在其中輸入要建立信任的信任方域名，可以是NetBIOS 域名，也可以是DNS 域名。但如果是林間的信任關(guān)系建立，則必須輸入的是DNS 林名稱。在這時(shí)里要輸入grfw.com （或者grfw ）名稱。如果在輸入DNS 域名時(shí)顯示如圖2-29所示錯(cuò)誤提示，說不是有效的

Windows 域名，則基本上是因?yàn)閷?duì)方DNS 服務(wù)器上沒有正確配置對(duì)應(yīng)DNS 服務(wù)器的的SRV 記錄。這方面與在工作站加入域時(shí)只能輸入NetBIOS 名稱，不能輸入DNS 域名時(shí)原理是一樣的。具體在《金牌網(wǎng)管師——中小型企業(yè)網(wǎng)絡(luò)組建、配置與管理》一書中已有介紹，不再贅述。

（5）在圖2-28所示對(duì)話框中單擊“下一步”按鈕，打開如圖2-30所示對(duì)話框。因?yàn)榇颂幩鶆?chuàng)建的信任的目的是要讓grfw.com 域（信任域）信任此處操作的

BeiJing.lycb.local 子域（被信任域）用戶，也就是把外部grfw.com 的信任傳入到本地BeiJing.lycb.local 子域，所以在此要選擇“單向：內(nèi)傳”單選項(xiàng)。信任方向是由BeiJing.lycb.local 域→grfw.com域。

圖2-28 “信任名稱”對(duì)話框

圖

2-29 因?qū)Ψ紻NS 服務(wù)器SRV 記錄配置不正確時(shí)出現(xiàn)的錯(cuò)誤提示

圖2-30 “信任方向”對(duì)話框

（6）單擊“下一步”按鈕，打開如圖2-31所示對(duì)話框。在這里因?yàn)橐栽谛湃坞p方各自創(chuàng)建信任為例進(jìn)行介紹，所以要選擇“只是這個(gè)域”單選項(xiàng)（當(dāng)你只有本地域的適當(dāng)管理憑據(jù)時(shí)），如果要以運(yùn)行一次向?qū)瑫r(shí)創(chuàng)建雙方的信任，則要選擇“這個(gè)域和指定的域”單選項(xiàng)，當(dāng)然這時(shí)你必須同時(shí)擁有雙方域的適當(dāng)管理憑據(jù)。同時(shí)創(chuàng)建雙方信任的示例將在下節(jié)介紹。

（7）單擊“下一步”按鈕，打開如圖2-32所示對(duì)話框。在這里配置一個(gè)用于確定信任關(guān)系的初始密碼。這個(gè)密碼在后面會(huì)由Active Directory定期動(dòng)態(tài)更新，以確保信任安全。但在信任雙方創(chuàng)建信任關(guān)系時(shí)所輸入的密碼必須完全一樣。這里的密碼不受帳戶密碼復(fù)雜性策略影響。

（8）單擊“下一步”按鈕，打開如圖2-33所示信任創(chuàng)建設(shè)置摘要對(duì)話框。在其中顯示了本次信任創(chuàng)建的設(shè)置摘要。如果發(fā)現(xiàn)某項(xiàng)設(shè)置不妥時(shí)，可通過單擊“上一步”按鈕返回到相應(yīng)步驟重新設(shè)置。在這里要注意的是“傳遞”屬性中顯示的是“否”，那是因?yàn)檫@里所創(chuàng)建的是外部信任，不具有可傳遞性。

（9）單擊“下一步”按鈕，開始創(chuàng)建信任，成功后會(huì)打開如圖2-34所示對(duì)話框。其中顯示創(chuàng)建信任成功及信任的狀態(tài)及設(shè)置。

（10）單擊“下一步”按鈕，打開如圖2-35所示對(duì)話框。在這里要選擇是否要立即傳入（由信任域向被信任域傳入信任關(guān)系）信任關(guān)系。由于本節(jié)采用的是雙方中單獨(dú)信任創(chuàng)建方式，對(duì)方還沒有創(chuàng)建該信任，沒有確認(rèn)該信任，所以也就沒有信任關(guān)系傳入，在此選擇“否，不確認(rèn)傳入信任”單選項(xiàng)。

（11）單擊“下一步”按鈕，打開如圖2-36所示信任向?qū)瓿蓪?duì)話框，提示必須在另一個(gè)域中創(chuàng)建此信任才能起作用。單擊“完成”按鈕，在被信任域

BeiJing.lycb.local 的信任關(guān)系中可以見到已新建了信任此域的傳入信任關(guān)系。信

任域是

grfw.com ，如圖

2-37所示。

圖2-31 “信任方”對(duì)話框

圖2-32 “信任密碼”對(duì)話框

圖

2-33

“

選擇信任完畢”對(duì)話框

圖2-34 “信任創(chuàng)建完畢”對(duì)話框

圖2-35 “確認(rèn)傳入信任”對(duì)話框

圖

2-36

“正在完成新建信任向?qū)А睂?duì)話框

圖2-37 在被信任域BeiJing.lycb.local 中創(chuàng)建的單向信任

2. 在grfw.com 域（信任方）上創(chuàng)建單向信任關(guān)系

在被信任方創(chuàng)建好單向信任后，接下來還需要在信任方創(chuàng)建同樣的單向信任（因?yàn)槠吖?jié)采用的是單獨(dú)信任創(chuàng)建方式）。下面是具體的步驟（在信任域grfw.com 的DC 上進(jìn)行操作）。

（1）在grfw.com 的一個(gè)DC 的“Active Directory域和信任關(guān)系”管理單元的

grfw.com 節(jié)點(diǎn)上單擊右，在彈出菜單中選擇“屬性”選項(xiàng)，然后在打開的對(duì)話框中選擇“信任”選項(xiàng)卡，從中可以看出，此時(shí)該域上沒有創(chuàng)建任何信任關(guān)系。這也證明了雙方單獨(dú)創(chuàng)建信任的真正含義，那就是那次只在本地域上創(chuàng)建沒有確認(rèn)的信任，在對(duì)方域上不同時(shí)創(chuàng)建該信任，需要在對(duì)方域上單獨(dú)運(yùn)行信任創(chuàng)建向?qū)А?/p>

（2）單擊“新建信任”按鈕，同樣會(huì)打開如圖2-27所示新建信任向?qū)醉搶?duì)話框。

圖

2-38 grfw.com域?qū)傩詫?duì)話框“信任”選項(xiàng)卡

（3）單擊“下一步”按鈕，打開如圖2-39所示對(duì)話框。在其中輸入要建立信任的被信任方域名?？梢允荄NS 域名（本示例為BeiJing.lycb.local ），也可以是NetBIOS 域名（本示例為BeijIng ）。

圖2-39 “信任名稱”對(duì)話框

（4）單擊“下一步”按鈕，打開如圖2-40所示對(duì)話框。因?yàn)榇颂巹?chuàng)建的是單向信任，而且信任方向是由BeiJing.lycb.local 域→grfw.com域，此處創(chuàng)建信任的目的就是由把本地域grfw.com 向外傳出信任到對(duì)方域，所以此處要選擇“單向：外傳”單選項(xiàng)。這與在被信任域上操作時(shí)的圖2-30是不一樣的（創(chuàng)建的信任關(guān)系方向不一樣）。大家注意理解。

（5）單擊“下一步”按鈕，同樣會(huì)打開如圖2-31所示對(duì)話框。同樣因?yàn)椴捎玫氖菃为?dú)創(chuàng)建信任方式，所以要選擇“只是這個(gè)域”單選項(xiàng)。

（6）單擊“下一步”按鈕，打開如圖2-41所示對(duì)話框。在這里要選擇信任方對(duì)被信任方用戶身份驗(yàn)證的方式（如果所創(chuàng)建的是單向信任，則只會(huì)在信任方創(chuàng)建信任時(shí)才會(huì)有這個(gè)對(duì)話框）。如果是同一個(gè)公司的不同林中的域，則通常是選擇“全域性身份驗(yàn)證”單選項(xiàng)，這樣被信任域就可以自動(dòng)對(duì)被信任域訪問本地域中所有資源按照管理設(shè)置進(jìn)行身份驗(yàn)證；如果兩個(gè)域是不同的公司，則出于安全考慮，則需要手動(dòng)設(shè)置允許被信任域用戶訪問的資源了。這時(shí)就要選擇“選擇性身份驗(yàn)證”單選項(xiàng)，以限制被信任域用戶訪問某些資源。在此選擇“全域性身份驗(yàn)證”單

選項(xiàng)。

圖2-40 “信任方向”對(duì)話框

圖2-41 “傳出信任身份驗(yàn)證”對(duì)話框

（7）單擊“下一步”按鈕，同樣會(huì)打開如圖2-32所示對(duì)話框。在這里要指定一個(gè)與在圖2-32所示對(duì)話框中一樣設(shè)置的的信任密碼。

（8）單擊“下一步”按鈕，同樣會(huì)打開如圖2-42所示對(duì)話框。在這里顯示了本次信任創(chuàng)建向?qū)е械脑O(shè)置摘要。注意與前面的圖2-33進(jìn)行比較。