實(shí)戰(zhàn)詳解域信任關(guān)系

實(shí)戰(zhàn)詳解域信任關(guān)系，ActiveDirectory系列之十七2009年09月03日來源：blog.51cto作者：yuelei收藏本文拓?fù)淙缦聢D所示，當(dāng)前網(wǎng)絡(luò)中有兩個(gè)域，一個(gè)域是ITET.COM，另一個(gè)域是HOMEWAY.COM。兩個(gè)域內(nèi)各有一個(gè)域控制器，分別是Florence和Firenze，我們讓兩個(gè)域使用了同一個(gè)DNS服務(wù)器。技術(shù)牌客加』站站點(diǎn)創(chuàng)建域信任關(guān)系要注意DNS服務(wù)器的設(shè)置，因?yàn)镈NS服務(wù)器要負(fù)責(zé)定位域控制器，關(guān)鍵之處在于域控制器使用的DNS服務(wù)器要能夠把兩個(gè)域的域控制器都定位出來。我們在實(shí)驗(yàn)中規(guī)劃讓兩個(gè)域使用同一個(gè)DNS服務(wù)器，顯然是出于這個(gè)考慮。如果兩個(gè)域都使用域控制器作DNS，那么要使用輔助區(qū)域，轉(zhuǎn)發(fā)器等技術(shù)才能保證DNS服務(wù)器可以把兩個(gè)域的域控制器都解析出來。如下圖所示，我們可以看到兩個(gè)域的區(qū)域數(shù)據(jù)都在同一個(gè)DNS服務(wù)器上。

B曲X曾a反向查找區(qū)域畝疽a事件查看器個(gè)記錄文件⑥操作兔雖查看⑦窗口⑩幫助地)homB曲X曾a反向查找區(qū)域畝疽a事件查看器個(gè)記錄文件⑥操作兔雖查看⑦窗口⑩幫助地)_J_medeE_J_sites一1_tcpLJ_udpIJSERVERSE-Cl正向查找區(qū)域:廳印■+：■+：■+：jni>dL_J_mEdi：E___]_sites一J_tcpI_udp邕Z與父文件夾相同j0〔與父文件夾相同)曾〔與客文件夾相同)?篁FLORENCE0-起始授枳機(jī)構(gòu)CSOA)名稱服務(wù)器(NS)主M(A)'“主機(jī)(A)主機(jī)(A)[25]?ns.itet.co:0101192..168.11.1dnsagat-[DBS\SERVER5\正向查找區(qū)域cob我們準(zhǔn)備構(gòu)建一個(gè)單向信任關(guān)系，讓ITET.COM域信任HOMEWAY.COM域，根據(jù)之前的分析，ITET想信任HOMEWAY，必須征得被信任域的同意，因此我們先在HOMEWAY.COM域上進(jìn)行操作。在HOMEWAY.COM的域控制器Firenze上打開管理工作中的域和信任關(guān)系，如下圖所示，右鍵點(diǎn)擊HOMEWAY.COM域，選擇“屬性”。文件(B操作㈤查看仞幫助?◎蒞］四曾晝闋ActiveDirectnry和信任關(guān)系；.郡―建ActiveDirectnry域和信任關(guān)系homeway；homeway.co管理(M)提升域功能勤別為…類型此視褂中沒有可昱示的項(xiàng)目=雇性?幫助⑥|打開當(dāng)前選擇的屈性頁。|在域的屬性中切換到信任標(biāo)簽，如下圖所示，點(diǎn)擊“新建信任”。如下圖所示，出現(xiàn)信任信任向?qū)?，點(diǎn)擊“下一步”繼續(xù)。

輸入有信任關(guān)系域的名稱，如下圖所示，我們輸入域名為ITET.COMo選擇信任方向，內(nèi)傳指的是被其他域信任，外傳則是信任其他域。由于ITET.COM信任

接下來我們要選擇是在兩個(gè)域控制器上分別設(shè)置信任關(guān)系還是同時(shí)設(shè)置信任關(guān)系，為了更清晰地展示這個(gè)過程，我們選擇在兩個(gè)域控制器上分別進(jìn)行信任關(guān)系的設(shè)置。如果對(duì)域信任關(guān)系已經(jīng)熟練掌握，完全可以選擇在兩個(gè)域控制器上同時(shí)進(jìn)行操作。如下圖所示，為了保證不被其他域惡意信任,HOMEWAY.COM設(shè)置了一個(gè)信任口令，只有信任域能回答出這個(gè)口令，信任關(guān)系才可以建立。如下圖所示，信任向?qū)б呀?jīng)做好準(zhǔn)備，點(diǎn)擊下一步繼續(xù)。接下來要選擇是否確認(rèn)傳入信任關(guān)系，由于我們還沒有在ITET.COM域中進(jìn)行設(shè)置，因此我們先選擇“否，不確認(rèn)傳入信任”。如下圖所示，信任關(guān)系創(chuàng)建成功，點(diǎn)擊完成結(jié)束HOMEWAY.COM域的設(shè)置工作。

HOMEWAY.COM允許被ITET.COM信任后，我們接下來就可以在ITET.COM的域控制器Florence上設(shè)置信任關(guān)系，讓ITET.COM主動(dòng)信任HOMEWAY.COM。我們在Florence的管理工具中打開域和信任關(guān)系，在域的屬性中切換到信任標(biāo)簽，如下圖所示，點(diǎn)擊“新建信任”。

出現(xiàn)新建信任向?qū)?，點(diǎn)擊“下一步”繼續(xù)。信任域的名稱為HOMEWAY.COMo對(duì)ITET.COM來說，信任方向應(yīng)該是單向外傳。我們選擇只是在ITET.COM域進(jìn)行信任關(guān)系的設(shè)置，并不涉及HOMEWAY.COM域。

接下來我們要選擇用戶身份驗(yàn)證的范圍，我們選擇全域性身份驗(yàn)證，這樣分配資源時(shí)會(huì)更加靈活。接下來要輸入域信任口令，我們輸入設(shè)置的信任口令。如下圖所示，域信任向?qū)б呀?jīng)做好了準(zhǔn)備，點(diǎn)擊下一步繼續(xù)。如下圖所示，域信任關(guān)系設(shè)置成功！由于已經(jīng)允許被信任，因此我們現(xiàn)在可以在上確認(rèn)傳出信任了。如下圖所示，信任關(guān)系創(chuàng)建完成。我們來看看設(shè)置信任后的效果，我們在的域控制器Flroence上找到一個(gè)文件夾，看看能否把文件夾的訪問權(quán)限分配給的用戶。我們在文件夾屬性