我們在上一篇文章中創建了域信任關系,這個信任關系發生在兩個Win2003域之間,而且兩個域使用了同一個DNS服務器。今天我們更換一個實驗場景,拓撲如下圖所示。一個是Win2003域,另一個是Win2008域。兩個域都使用各自的域控制器提供DNS解析,而且Win2008域的功能級別是Win2003,我們將為大家演示如何在這兩個域之間創建信任關系。
這個實驗的關鍵是DNS!操作系統的差異並不重要,Win2008域可以和Win2003域,甚至可以和Win2000域創建信任關系。我們要注意的是DNS的設置,每個域控制器要確保自己使用的DNS服務器不但可以解析本域的SRV記錄,還可以解析與自己有信任關系域的SRV記錄,也就是說DNS服務器要對信任域和被信任域的SRV記錄都能進行解析。如何讓每個DNS服務器都能解析兩個域的SRV記錄呢?我們有多種技術可以選擇,例如輔助區域,存根區域,私有根或者轉發器。在本次實驗中我們使用輔助區域來解決這個問題,在每個DNS服務器上創建一個對方域的輔助區域,這樣DNS服務器就可以對兩個域進行解析了。
我們為大家演示如何創建itet.com的輔助區域。首先我們要在Server1負責的itet.com區域中進行設置,允許Server2創建itet.com的輔助區域。在Server1上打開DNS管理器,如下圖所示,右鍵點擊itet.com區域,選擇“屬性”。
在區域屬性中切換到“區域傳送”標簽,如下圖所示,勾選“允許區域傳送”,選擇“只允許到下列服務器”,點擊“編輯”按鈕。
點擊編輯按鈕後,如下圖所示,我們添加了Server2的地址192.168.1.102,點擊確定。
如下圖所示,我們已經設定了允許192.168.1.102復制itet.com的區域數據,其實就是允許192.168.1.102成為itet.com的輔助DNS服務器。
Itet.com區域既然已經允許Server2成為輔助服務器了,那我們接下來就開始在Server2上創建輔助區域了。在Server2上打開DNS管理器,如下圖所示,選擇“新建區域”。
區域的名稱設置為itet.com。
接下來需要設置itet.com的主服務器,顯然,itet.com的主服務器是server1,也就是192.168.1.101。
如下圖所示,點擊“完成”按鈕完成itet.com區域的創建。
我們在Server2的DNS管理器中可以看到,itet.com的區域記錄已經被復制到Server2上,Server2已經成功地成為了Server1的輔助服務器。
接下來我們要如法炮制,在Server2上允許Server1成為contoso.com的輔助服務器,然後在Server1上創建contoso.com輔助區域,把contoso.com的區域數據復制到Server1上。如下圖所示,我們看到Server1上也已經成功地把contoso.com的區域數據復制過來了。
DNS進行了充分的准備後,我們就可以進行域信任關系的設置了。我們准備在itet.com和contoso.com之間設置雙向信任關系,如下圖所示,我們在Server1上打開“Active Directory域和信任關系”,右鍵點擊itet.com,選擇“屬性”。
在itet.com的域屬性中切換到“信任”標簽,點擊“新建信任”。
出現新建信任關系向導,點擊“下一步”繼續。
向導詢問server1准備和哪個域建立信任關系,我們輸入contoso.com的域名。
接下來我們要選擇是在兩個域之間建立不可傳遞的外部信任,還是可傳遞的林信任,我們選擇建立外部信任。
如下圖所示,我們選擇建立雙向信任關系。
接下來向導詢問是在兩個域的域控制器上分開設置,還是同時進行設置,我們選擇“此域和指定的域”,准備在兩個域的域控制器上同時進行信任關系的設定。
接下來向導要求輸入contoso.com的域管理員口令,這樣才可以在contoso.com的域控制器上設置信任關系。
我們選擇“全域性身份驗證”,允許信任域用戶使用被信任域的所有資源。
如下圖所示,信任關系的創建已經准備完畢,點擊下一步繼續。
如下圖所示,兩個域之間的信任關系已經成功創建。
確定在itet.com域上傳出信任關系。
接下來在itet.com域上確定傳入信任關系。
如下圖所示,所有的工作都已完成,點擊“完成”結束域信任關系的創建愛你。
從下圖中可以看到,兩個域之間確實創建了不可傳遞的雙向域信任關系,我們的實驗目標已經實現。這個實驗其實有更廣泛的適應性,同時可以用於Win2000與Win2003,Win2000與Win2008等信任關系的創建。大家可以舉一反三,慢慢體會。
區域類型設置為輔助區域。
