实战详解域信任关系

实战详解域信任关系，ActiveDirectory系列之十七2009年09月03日来源：blog.51cto作者：yuelei收藏本文拓扑如下图所示，当前网络中有两个域，一个域是ITET.COM，另一个域是HOMEWAY.COM。两个域内各有一个域控制器，分别是Florence和Firenze，我们让两个域使用了同一个DNS服务器。技术牌客加』站站点创建域信任关系要注意DNS服务器的设置，因为DNS服务器要负责定位域控制器，关键之处在于域控制器使用的DNS服务器要能够把两个域的域控制器都定位出来。我们在实验中规划让两个域使用同一个DNS服务器，显然是出于这个考虑。如果两个域都使用域控制器作DNS，那么要使用辅助区域，转发器等技术才能保证DNS服务器可以把两个域的域控制器都解析出来。如下图所示，我们可以看到两个域的区域数据都在同一个DNS服务器上。

B曲X曾a反向查找区域亩疽a事件查看器个记录文件⑥操作兔虽查看⑦窗口⑩帮助地)homB曲X曾a反向查找区域亩疽a事件查看器个记录文件⑥操作兔虽查看⑦窗口⑩帮助地)_J_medeE_J_sites一1_tcpLJ_udpIJSERVERSE-Cl正向查找区域:厅印■+：■+：■+：jni>dL_J_mEdi：E___]_sites一J_tcpI_udp邕Z与父文件夹相同j0〔与父文件夹相同)曾〔与客文件夹相同)•篁FLORENCE0-起始授枳机构CSOA)名称服务器(NS)主M(A)'“主机(A)主机(A)[25]?ns.itet.co:0101192..168.11.1dnsagat-[DBS\SERVER5\正向查找区域cob我们准备构建一个单向信任关系，让ITET.COM域信任HOMEWAY.COM域，根据之前的分析，ITET想信任HOMEWAY，必须征得被信任域的同意，因此我们先在HOMEWAY.COM域上进行操作。在HOMEWAY.COM的域控制器Firenze上打开管理工作中的域和信任关系，如下图所示，右键点击HOMEWAY.COM域，选择“属性”。文件(B操作㈤查看仞帮助⑭◎莅］四曾昼阕ActiveDirectnry和信任关系；.郡―建ActiveDirectnry域和信任关系homeway；homeway.co管理(M)提升域功能勤别为…类型此视褂中没有可昱示的项目=雇性®帮助⑥|打开当前选择的屈性页。|在域的属性中切换到信任标签，如下图所示，点击“新建信任”。如下图所示，出现信任信任向导，点击“下一步”继续。

输入有信任关系域的名称，如下图所示，我们输入域名为ITET.COMo选择信任方向，内传指的是被其他域信任，外传则是信任其他域。由于ITET.COM信任

接下来我们要选择是在两个域控制器上分别设置信任关系还是同时设置信任关系，为了更清晰地展示这个过程，我们选择在两个域控制器上分别进行信任关系的设置。如果对域信任关系已经熟练掌握，完全可以选择在两个域控制器上同时进行操作。如下图所示，为了保证不被其他域恶意信任,HOMEWAY.COM设置了一个信任口令，只有信任域能回答出这个口令，信任关系才可以建立。如下图所示，信任向导已经做好准备，点击下一步继续。接下来要选择是否确认传入信任关系，由于我们还没有在ITET.COM域中进行设置，因此我们先选择“否，不确认传入信任”。如下图所示，信任关系创建成功，点击完成结束HOMEWAY.COM域的设置工作。

HOMEWAY.COM允许被ITET.COM信任后，我们接下来就可以在ITET.COM的域控制器Florence上设置信任关系，让ITET.COM主动信任HOMEWAY.COM。我们在Florence的管理工具中打开域和信任关系，在域的属性中切换到信任标签，如下图所示，点击“新建信任”。

出现新建信任向导，点击“下一步”继续。信任域的名称为HOMEWAY.COMo对ITET.COM来说，信任方向应该是单向外传。我们选择只是在ITET.COM域进行信任关系的设置，并不涉及HOMEWAY.COM域。

接下来我们要选择用户身份验证的范围，我们选择全域性身份验证，这样分配资源时会更加灵活。接下来要输入域信任口令，我们输入设置的信任口令。如下图所示，域信任向导已经做好了准备，点击下一步继续。如下图所示，域信任关系设置成功！由于已经允许被信任，因此我们现在可以在上确认传出信任了。如下图所示，信任关系创建完成。我们来看看设置信任后的效果，我们在的域控制器Flroence上找到一个文件夹，看看能否把文件夹的访问权限分配给的用户。我们在文件夹属性