多域間訪問的搭建與架設(shè)（建立林域間的信任關(guān)系）注意：首先注意兩個林域之間建立的信任關(guān)系一定要在有FSMO 角色的主域控間，如沒有FSMO 角色的可能會出問題。這里給出強行轉(zhuǎn)換角色的方法。強行奪取FSM

多域間訪問的搭建與架設(shè)

（建立林域間的信任關(guān)系）

注意：首先注意兩個林域之間建立的信任關(guān)系一定要在有FSMO 角色的主域控間，如沒有FSMO 角色的可能會出問題。這里給出強行轉(zhuǎn)換角色的方法。

強行奪取FSMO 主機角色了, 可使用以下方法:

命令行界面：

1、 打開“命令提示符”, 鍵入：ntdsutil

2、 在 ntdsutil 命令提示符下，鍵入：roles

3、 在 fsmo maintenance 命令提示符下，鍵入：connections

4、 在 service connections 命令提示符下，鍵入：connect to server

5、 在 service connections 命令提示符下，鍵入：quit

6、 在 fsmo maintenance 命令提示符下，鍵入：seize rid master

上面是以奪取RID 主機為例，其余主機奪取過程以上述類似，只是第六步稍有不同。 PDC 模擬器： seize pdc

域命名主機： seize domain naming master

結(jié)構(gòu)主機： seize infrastructure master

架構(gòu)主機： seize schema master

加外注意，如果是跨子網(wǎng)或者兩地VPN 的話，要建立WINS 服務(wù)器映射兩邊機子，并且兩邊林主域控的DNS 要指回自己（也可以為空，否則可能兩邊不能驗證通信，這個經(jīng)過多次實驗，原理到現(xiàn)在還搞不清楚），還要新建一個對方的的DNS Zone。并指定Zone Transfero為對方的域控IP 地址。

實驗環(huán)境：

西安凌云高科技系統(tǒng)集成由限公司在日常辦公之中使用的域是benet.Com （一個林）；由于工程部最近接到了一個項目；搭建了一個域名為“project.com”（是另一個林）。然后在該域中一個共享文件夾讓benet.com 中的工程部的員工來訪問來達到不同域中的員工互相討論；如何讓不同的域之間的工程部的員工互訪？如何讓不同的域來達到網(wǎng)絡(luò)的相互信任？如何完成上面的需求？下面我們具體的來一步一步的做？

第 1 頁 共 13 頁

實驗?zāi)康模?/p>

理解信任關(guān)系的概念；

理解跨域間訪問的配置方法；

利用AGDLP 規(guī)則實驗外部信任的互訪；

實驗拓撲：

實驗步驟：

一、理解信任關(guān)系的概念：

首先我們要知道為什么域之間要創(chuàng)建信任的關(guān)系？

我們來看一個實例：西安凌云高科技的域名為“angeldevil.com”而廣州分公司的域名為“gz.angeldevil.com”；如果總公司的員工需要訪問分公司域中的資源，訪問資源就需要帳戶的身份驗證，而一個域中的DC 只能驗證本域的帳戶身份，不能驗證其他域的帳戶。而這時候就需要在域之間建立信任關(guān)系，使資源所在的域（資源域或信任域）信任帳戶所在的域（賬戶域，被信任域）。

在一般的情況下，林中的默認信任域關(guān)系的特點一般有3個特點：

自動建立：林中的域之間的信任關(guān)系是在創(chuàng)建子域或者域樹時自動創(chuàng)建的；

傳遞信任：林中的域的信任關(guān)系是可傳遞的：就像“張三”信任“李四”，“李四”信任“王二”，而“張三”又信任“王二”。

第 2 頁 共 13 頁

雙向信任：雙向信任是指在兩個域之間有兩個方向上的兩條信任：就像“張三”相信“李四”，“李四”相信“張三”一樣；

信任的類型：林中的信任、林之間的信任；

林中的信任分為：樹根信任和父子信任；林之間的信任是自動建立的，而且是雙向的可傳遞的信任關(guān)系；雖然信任關(guān)系的建立為跨訪問資源提供了前提條件，但是成功訪問還是必須設(shè)置權(quán)限：這就需要AGDLP 規(guī)則。

樹根信任：在同一個林中的兩個域樹之間的存在；

父子信任：在同一個域樹中父域和子域之間的存在；

林之間的信任分為：外部信任和林信任。

外部信任是指在不同林的域之間創(chuàng)建的不可信任的傳遞；林信任是在windows service 2003林中特有的信任；是windows service 2003林根域之間的建立的信任，在兩個windows service 2003 林之間創(chuàng)建林信任可為任一林內(nèi)的各個域之間提供一種單項或者雙向的可傳遞的信任關(guān)系。

二、配置外部信任；

為了方便我們實驗的配置，我們在這里已經(jīng)創(chuàng)建好了域benet.Com 和“project.com”我們只是來了解外部信任怎么來創(chuàng)建：

2.1.0在配置外部信任之前我們首先來配置“轉(zhuǎn)發(fā)器”。（配置轉(zhuǎn)發(fā)器其實是讓兩個DNS 互相能夠訪問），選擇DNS 屬性—轉(zhuǎn)發(fā)器，然后填寫對端的DNS 的IP 地址；如圖是在windows sp1上的設(shè)置；

第 3 頁 共 13 頁

當然在配置外部信任的時候雙發(fā)必須要配置，在windows r2上配置和在sp1的方法一樣；

2.1.1在project 域DC 上打開“域和信任關(guān)系的界面”的窗口，然后右擊“project.com”的域名，然后在彈出的快捷菜單中選擇屬性——信任命令，單擊新建信任按鈕就會出現(xiàn)如圖所示的界面：

第 4 頁 共 13 頁

2.1.2然后在彈出的界面中，輸入信任的名，單擊下一步。

2.1.3下來我們選擇信任的方向為“單向：外傳”。在這里我們?yōu)槭裁匆x擇單向呢？下面我們分別來了解一下這三種選項不同的意義：“雙向”：本地域信任指定域。同時指定域信任本地域；“單向：內(nèi)傳”：指定域信任本地域；“單向：外傳：”本地域信任指定域。所以在我們在這里我們所選擇的是“單向：外傳：”，因為我們所采用的是本地的信任指定的。

第 5 頁 共 13 頁

2.1.4在如圖所示的界面中我們選擇“這個域和指定的域”，由于是信任關(guān)系是在兩個域之間建立的，如果我們在域“project.com”（本地域）建立一個“單向：外部”信任，則需要在域“benet.com”上建立一個“單向：內(nèi)傳”信任。

2.1.5在指定的域中輸入具有管理權(quán)限的用戶名稱和密碼。

第 6 頁 共 13 頁

2.1.6. 我們在身份驗證之中我們選擇“全域性身份驗證”當我們選擇此項的時候它會自動的分配資源；而當我們選擇“選擇性身份驗證”就會有選擇的進行身份驗證：

2.1.7. 創(chuàng)建完畢后，會出現(xiàn)如圖所示的界面：單擊下一步。在這里面我們可以知道信任關(guān)系創(chuàng)建成功；然后會顯示它的方向；信任的類型；是不是可傳遞等一些詳細的信息：

第 7 頁 共 13 頁

2.1.8. 選擇“是，確認傳入信任”單選按鈕，單擊下一步，表示信任關(guān)系已經(jīng)建立了，單擊完成即可OK 。

2.1.9. 如圖是完成所的新建界面的向?qū)Ы缑妫?/p>

第 8 頁 共 13 頁

2.2.0. 創(chuàng)建信任關(guān)系完成后，可以看到有集中方式驗證。

在“project.com”域的DC 上使用“域和信任關(guān)系”，可以看到如圖所示的界面：

第 9 頁 共 13 頁

三、利用ADGLP 規(guī)則來實現(xiàn)網(wǎng)絡(luò)的互訪；

3.1.0. 在“benet.com”上創(chuàng)建用戶“xiaohei”和安全組“xiaobai”；如圖所示：

3.1.1. 然后登陸到“project.com”中，創(chuàng)建本地域組“bendiyu”；如圖所示：

3.1.2. 然后把在benet.com 中的安全組添加到project.com”中，單擊“位置”然后選擇“benet.com”,然后選擇“高級”即可完成；

第 10 頁 共 13 頁